Escolar Documentos
Profissional Documentos
Cultura Documentos
Segurança em Redes Sem Fio PDF
Segurança em Redes Sem Fio PDF
Segurança em
a realização da segurança do ambiente wireless da sua
Saúde (MS) e da Cultura (MinC).
organização. Serão ensinados os fundamentos de ra-
Redes
sem Fio
mitigá-los com uso de ferramentas baseadas em Linux
27 unidades da federação, a rede
e Windows. Serão desenvolvidas as competências para
tem mais de 800 instituições
a estruturação de uma rede sem fio de forma segura e
conectadas. São aproximadamente
atendendo a todos os requisitos necessários para impe-
3,5 milhões de usuários usufruindo
dir os principais ataques. O aluno será ainda familiari-
de uma infraestrutura de redes
zado com ferramentas livres para verificação da rede e
avançadas para comunicação,
realização de auditorias de segurança.
computação e experimentação,
Este livro inclui os roteiros das atividades práticas e o
que contribui para a integração
conteúdo dos slides apresentados em sala de aula,
apoiando profissionais na disseminação deste conheci- Ronaldo Vasconcellos entre o sistema de Ciência e
Tecnologia, Educação Superior,
mento em suas organizações ou localidades de origem.
Saúde e Cultura.
Ministério da
Cultura
Ministério da
Saúde
Ministério da
Educação
ISBN 978–85–63630–30–8
Ministério da
Ciência, Tecnologia
e Inovação
9 788563 630308
A RNP – Rede Nacional de Ensino
e Pesquisa – é qualificada como
uma Organização Social (OS),
sendo ligada ao Ministério da
Ciência, Tecnologia e Inovação
(MCTI) e responsável pelo
Programa Interministerial RNP,
que conta com a participação dos
ministérios da Educação (MEC), da
Saúde (MS) e da Cultura (MinC).
Pioneira no acesso à Internet no
Brasil, a RNP planeja e mantém a
rede Ipê, a rede óptica nacional
acadêmica de alto desempenho.
Com Pontos de Presença nas
27 unidades da federação, a rede
tem mais de 800 instituições
conectadas. São aproximadamente
3,5 milhões de usuários usufruindo
de uma infraestrutura de redes
avançadas para comunicação,
computação e experimentação,
que contribui para a integração
entre o sistema de Ciência e
Tecnologia, Educação Superior,
Saúde e Cultura.
Ministério da
Cultura
Ministério da
Saúde
Ministério da
Educação
Ministério da
Ciência, Tecnologia
e Inovação
Segurança em
Redes
sem Fio
Ronaldo Vasconcellos
Segurança em
Redes
sem Fio
Ronaldo Vasconcellos
Rio de Janeiro
Escola Superior de Redes
2013
Copyright © 2013 – Rede Nacional de Ensino e Pesquisa – RNP
Rua Lauro Müller, 116 sala 1103
22290-906 Rio de Janeiro, RJ
Diretor Geral
Nelson Simões
Edição
Pedro Sangirardi
Revisão
Lincoln da Mata
Revisão Técnica
Frederico Costa
Versão
1.3.0
Este material didático foi elaborado com fins educacionais. Solicitamos que qualquer erro encon-
trado ou dúvida com relação ao material ou seu uso seja enviado para a equipe de elaboração de
conteúdo da Escola Superior de Redes, no e-mail info@esr.rnp.br. A Rede Nacional de Ensino e
Pesquisa e os autores não assumem qualquer responsabilidade por eventuais danos ou perdas,
a pessoas ou bens, originados do uso deste material.
As marcas registradas mencionadas neste material pertencem aos respectivos titulares.
Distribuição
Escola Superior de Redes
Rua Lauro Müller, 116 – sala 1103
22290-906 Rio de Janeiro, RJ
http://esr.rnp.br
info@esr.rnp.br
Bibliografia: p. 181-182.
ISBN 978-85-63630-30-8
CDD 004.65
Sumário
A metodologia da ESR xiii
A quem se destina xiv
Permissões de uso xv
Sobre os autores xvi
WLAN 3
Regulamentação 3
Papel da WLAN 3
Fundamentos de radiofrequência 4
Causas de perda 6
Reflexão 6
Espalhamento 6
Difração 7
Refração 7
LOS 8
VSWR 9
iii
Antenas – Ganho 9
Potência de radiação 10
Matemática RF 11
Tecnologias de transmissão 12
Organizações e padrões 16
WPA 16
WPA2 17
Padrões IETF 18
Padrões IEEE 18
Tendências 20
Wi-Fi a bordo 21
Padrão 802.11n 21
2. WLAN: equipamentos
e configuração
Introdução 25
Acess Point 26
iv
Clientes WLAN 26
Antena Semidirecional 28
Amplificadores 29
Atenuadores 29
Splitter 29
Conectores 30
Cabos 30
Configuração de clientes 31
Windows 31
Linux 32
Concepções erradas 49
Segurança física 51
Wardriving 51
Piggybacking 52
Warflying 52
Divulgação de informações 53
Negação de serviço 53
Outros ataques 54
Tráfego 802.11 55
Arquitetura IBSS 55
802.1x 56
IEEE 802.11 57
v
Captura 59
Metodologias de auditoria 67
Fingerprinting do AP 69
Fingerprinting ativo 69
Mapeamento externo 70
Mapeamento interno 71
Avaliação do tráfego 72
Ferramentas de auditoria 73
Wireshark 74
Kismet 75
NetStumbler 76
GPSMAP 77
vi
5. Redes rogue e ataques DoS
Introdução 85
Problemas agravantes 86
Tipos de rogue 86
Warwalking 88
Medidas de defesa 100
vii
6. Redes WEP-PSK
Introdução 107
Chaves WEP 108
Problemas de WEP 111
Ataque de dicionário 114
Etapas da auditoria 117
Atividade 6.1 – Capturando pacotes cifrados com WEP com ferramentas Aircrack-ng 119
7. Redes WPA-PSK
Introdução 125
WPA 126
TKIP – MIC 126
WEP 127
Michael 127
Rekeying 128
viii
Key Mixing 129
Vulnerabilidades do TKIP 136
WPA2 136
Modelos de implantação 143
Cobertura 143
Métodos de detecção 144
Análise de tendências 145
Características importantes 147
ix
Roteiro de Atividades 8 153
Configurações de segurança 159
Atualização de firmware 160
OpenWRT 162
Vantagens do OpenWRT 162
Arquitetura de autenticação 172
802.1x e FreeRADIUS 173
Desvantagens de EAP-TLS 174
Conclusão 175
Cenário atual 176
x
Roteiro de Atividades 10 177
Bibliografia 181
xi
xii
Escola Superior de Redes
A Escola Superior de Redes (ESR) é a unidade da Rede Nacional de Ensino e Pesquisa (RNP)
responsável pela disseminação do conhecimento em Tecnologias da Informação e Comunica-
ção (TIC). A ESR nasce com a proposta de ser a formadora e disseminadora de competências
em TIC para o corpo técnico-administrativo das universidades federais, escolas técnicas e
unidades federais de pesquisa. Sua missão fundamental é realizar a capacitação técnica do
corpo funcional das organizações usuárias da RNP, para o exercício de competências aplicá-
veis ao uso eficaz e eficiente das TIC.
A ESR oferece dezenas de cursos distribuídos nas áreas temáticas: Administração e Projeto
de Redes, Administração de Sistemas, Segurança, Mídias de Suporte à Colaboração Digital e
Governança de TI.
A metodologia da ESR
A filosofia pedagógica e a metodologia que orientam os cursos da ESR são baseadas na
aprendizagem como construção do conhecimento por meio da resolução de problemas típi-
cos da realidade do profissional em formação. Os resultados obtidos nos cursos de natureza
teórico-prática são otimizados, pois o instrutor, auxiliado pelo material didático, atua não
apenas como expositor de conceitos e informações, mas principalmente como orientador do
aluno na execução de atividades contextualizadas nas situações do cotidiano profissional.
Dessa forma, o instrutor tem participação ativa e dialógica como orientador do aluno para as
atividades em laboratório. Até mesmo a apresentação da teoria no início da sessão de apren-
dizagem não é considerada uma simples exposição de conceitos e informações. O instrutor
busca incentivar a participação dos alunos continuamente.
xiii
As sessões de aprendizagem onde se dão a apresentação dos conteúdos e a realização das
atividades práticas têm formato presencial e essencialmente prático, utilizando técnicas de
estudo dirigido individual, trabalho em equipe e práticas orientadas para o contexto de atua-
ção do futuro especialista que se pretende formar.
Sobre o curso
O curso tem por objetivo capacitar o participante para a realização da segurança do
ambiente wireless da sua organização. Serão ensinados os fundamentos de radiofrequência
e identificados os principais protocolos e normas envolvidas na comunicação Wi-Fi. Com
ênfase em redes Wi-Fi (IEEE 802.11a/b/g/n), serão apresentados os riscos que ameaçam
este tipo de rede, e técnicas para mitigá-los com uso de ferramentas baseadas em Linux e
Windows. Serão desenvolvidas as competências para a estruturação de uma rede sem fio
de forma segura e atendendo a todos os requisitos necessários para impedir os principais
ataques. O aluno será ainda familiarizado com ferramentas livres para verificação da rede
e realização de auditorias de segurança.
A quem se destina
O curso é destinado aos profissionais de segurança, auditores e administradores de rede.
Profissionais de outras áreas podem participar, desde que tenham realizado o curso
Tecnologias de Redes sem Fio, oferecido pela ESR, ou possuam conhecimento equivalente.
Itálico
Indica nomes de arquivos e referências bibliográficas relacionadas ao longo do texto.
xiv
Largura constante
Indica comandos e suas opções, variáveis e atributos, conteúdo de arquivos e resultado da saída
de comandos. Comandos que serão digitados pelo usuário são grifados em negrito e possuem
o prefixo do ambiente em uso (no Linux é normalmente # ou $, enquanto no Windows é C:\).
Conteúdo de slide
Indica o conteúdo dos slides referentes ao curso apresentados em sala de aula.
Símbolo
Indica referência complementar disponível em site ou página na internet.
Símbolo
Indica um documento como referência complementar.
Símbolo
Indica um vídeo como referência complementar.
Símbolo
Indica um arquivo de aúdio como referência complementar.
Símbolo
Indica um aviso ou precaução a ser considerada.
Símbolo
Indica questionamentos que estimulam a reflexão ou apresenta conteúdo de apoio ao
entendimento do tema em questão.
Símbolo
Indica notas e informações complementares como dicas, sugestões de leitura adicional ou
mesmo uma observação.
Permissões de uso
Todos os direitos reservados à RNP.
Agradecemos sempre citar esta fonte quando incluir parte deste livro em outra obra.
Exemplo de citação: TORRES, Pedro et al. Segurança em Redes sem Fio. Rio de Janeiro:
Escola Superior de Redes, RNP, 2013.
Comentários e perguntas
Para enviar comentários e perguntas sobre esta publicação:
Escola Superior de Redes RNP
Endereço: Av. Lauro Müller 116 sala 1103 – Botafogo
Rio de Janeiro – RJ – 22290-906
E-mail: info@esr.rnp.br
xv
Sobre os autores
Ronaldo Vasconcellos é formado em Análise de Sistemas (PUC Campinas), com especiali-
zação em redes (IC Unicamp) e certificações GIAC Certified Incident Handler (GCIH) e GIAC
Assessing and Auditing Wireless Networks (GAWN). Trabalha com segurança computacional
desde 2002 (seis anos na área de Resposta a Incidentes Computacionais), e desde 2010 na
área de pesquisa em Ameaças Cibernéticas e Cibercrime, com foco no Brasil e Ibero-América.
xvi
1
História, padrões e fundamentos
de radiofrequência
Apresentar breve histórico das redes sem fio (ou Wi-Fi); mostrar as organizações
objetivos
conceitos
Os fundamentos de radiofrequência, Matemática RF, organizações e hotplug.
Introdução
11 WLAN: redes locais sem fio. q
11 Fundamentos de radiofrequência.
11 Tecnologias de transmissão.
11 Organizações e padrões.
11 Tendências.
Exercício de nivelamento 1 e
O Capítulo 1 tem teor introdutório, apresentando breve histórico das redes sem fio, fun-
damentos de radiofrequência, tecnologias de transmissão (FHSS, DSSS, OFDM e MIMO) e
organizações envolvidas na padronização e regulamentação de redes sem fio no mundo.
Ao final do capítulo, é traçado um panorama do mercado de redes sem fio com foco em
redes WLAN e WMAN, e apresentadas tendências e tecnologias emergentes.
1
11 Recebem e transmitem informações usando ondas eletromagnéticas (EM). q
11 Comprimentos de onda que vão de 9 kilohertz (kHz) a centenas de Gigahertz (GHz).
Redes sem fio estão por toda a parte. Embora redes de computadores sem fio sejam um
tópico recente, outros tipos de rede sem fio estão presentes em nossas vidas há muito
tempo: microfones sem fio, rádio AM e FM, celulares GSM, infravermelho, entre outros.
11 Medium Frequency (MF): 300 kHz-3 MHz: estações de rádio AM (535 kHz-1 MHz);
11 Very High Frequency (VHF): 30 MHz-300 MHz: estações de rádio FM, telefones sem fio
e controle remoto de garagem;
11 Ultra High Frequency (UHF): 300 MHz-3 GHz, WLAN (2.4 GHz), Bluetooth, sistemas de
pager, celulares 1G, 2G e 3G, Global System for Mobile Communication (GSM), Enhanced
Data Rates for Global Evolution (EDGE);
Apesar de muitas e diversas, são normalmente classificadas por sua área de cobertura: q
11 WWAN: 3G, EV-DO/EV-DV.
Foco deste curso: WLAN, padrões IEEE 802.11 e padrões associados (IEEE 802.1X).
11 Wireless Wide Area Network (WWAN): atualmente representada por tecnologias como
3G, 802.20 (MBWA – Mobile Broadband Wireless Access) e EV-DO/EV-DV.
produto foi certificado de maneira independente pelo WiMAX Forum, de maneira que
seja garantida a interoperabilidade entre fornecedores. Essa classe de redes possui
alcances metropolitanos, com mobilidade (IEEE 802.16e), e complementa os padrões de
IEEE 802.11, com enfoque em redes locais.
11 Wireless Local Area Network (WLAN): veremos os padrões 802.11 mais adiante em
detalhes, uma vez que são o foco deste curso.
2
11 Wireless Personal Area Network (WPAN): o padrão Bluetooth (IEEE 802.11.1-2002
Bluetooth 1.1/802.11.1-2005 Bluetooth 1.2), hoje muito popular em celulares, foi criado
para interconectar celulares, PDAs (Personal Digital Assistants) e PCs de maneira fácil e
sem fio. Tem mostrado, com suas vulnerabilidades, o quanto a indústria não aprendeu
com os erros do início do desenvolvimento dos padrões de redes Wi-Fi.
WLAN
11 Rede local sem fio (Wireless Local Area Network – WLAN). q
11 Wi-Fi: certificação de interoperabilidade.
w Wi-Fi
Para mais informações Marca criada em 2000 com assessoria da Interbrand, empresa de consultoria de marcas que
sobre Wi-Fi Alliance, criou marcas conhecidas como Prozac, Imation (3M) e Compaq. A Wi-Fi Alliance certifica a
acesse:
http://www.wi-fi.org interoperabilidade entre equipamentos que não são padrões, como o Institute of Electrical
and Electronics Engineers (IEEE). De acordo com Phil Belanger, membro fundador da organi-
zação, “Wireless Fidelity” não significa nada. Foi apenas uma tentativa de juntar duas palavras,
Wi e Fi. Até 2002, o nome da aliança era Wireless Ethernet Compatibility Alliance (WECA).
Regulamentação
11 WLAN é regulamentada nos EUA pela Federal Communications Commission (FCC) e, q
no Brasil, pela Agência Nacional de Telecomunicações (Anatel).
11 Ainda restritas ao papel de ponto de entrada em uma rede cabeada: velocidade baixa
e resistência a falhas.
Nos Estados Unidos, a frequência utilizada pelas WLAN (IEEE 802.11) é regulamentada pela
Federal Communications Commission (FCC).
Papel da WLAN
Como veremos no decorrer do curso, um dos principais elementos de uma rede sem fio é o
Wireless Access Point (WAP), popularmente chamado de AP. Trata-se do elemento da rede
que tem o papel de ponto de entrada na rede cabeada, mas frequentemente oferece outras
funcionalidades, tais como controle de acesso, firewall, Network Address Translation (NAT),
entre outras.
É importante que, diante de tantos padrões de rede sem fio emergentes – WiMAX, EV-DO,
Bluetooth e outros – se entenda bem o papel das redes WLAN 802.11. WiMAX não foi
desenvolvido para substituir Wi-Fi, mas sim para complementar essa tecnologia.
3
Redes 802.11 continuarão a exercer seu papel na rede local (LAN), já tecnologias como w
WiMAX e EV-DO serão a solução mais adequada quando os requisitos tiverem ênfase Mais informações em:
maior em abrangência e mobilidade. US Frequency Allocation
Chart (http://www.ntia.
doc.gov/osmhome/
Os sete principais papéis da WLAN allochrt.pdf) e Anatel
q
– Resolução nº 506, de
11 Acesso. 1º de julho de 2008, que
republica o Regula-
11 Extensão da rede. mento sobre Equipa-
mentos de
11 Última milha.
Radiocomunicação de
11 Mobilidade. Radiação Restrita: http://
www.anatel.gov.br
11 Conectividade de prédio a prédio.
11 Escritório móvel.
Existem diversos motivos que impulsionam uma organização a implantar uma WLAN, que
podem envolver desde custo até impossibilidade de instalação de cabos.
Fundamentos de radiofrequência
11 Sinais de corrente alternada (AC) de alta frequência. q
11 Irradiados pelo ar na forma de ondas de rádio com o auxílio de antenas.
Segurança em Redes sem Fio
11 Ondas se propagam seguindo certos princípios de física, que abordaremos neste Capítulo.
22 Omnidirecional.
22 Semidirecional.
22 Altamente direcional.
4
Sinais de rádio são irradiados pelo ar com a ajuda de antenas, componentes muito impor-
tantes no projeto de uma rede sem fio. Antenas inadequadas podem restringir o alcance do
sinal, da mesma forma que o uso de cabos e conectores inadequados podem atenuar o sinal
Alternate Current (AC) e prejudicar a transmissão e a recepção de dados.
11 Problemas de conectividade;
11 Localizar um AP rogue.
11 Propagação inconsistente. q
11 Interferências externas.
11 Comportamento:
A radiofrequência (RF) é chamada de fumaça e espelhos (“smoke & mirrors”) por seu com-
portamento errático e inconsistente. Diversos fatores podem afetar o comportamento de
ondas de rádio, tais como:
11 Pode ocorrer ganho no sinal pelo uso de antenas e amplificadores AC. De maneira
contrária, o comportamento do sinal pode causar perda de sinal se houver diferença de
impedância entre cabos e conectores.
11 Perda de sinal por fenômenos físicos que afetam a intensidade, o trajeto e outras caracte-
rísticas das ondas de rádio.
11 Normalmente é um processo ativo, mas pode ser passivo por sinais refletidos.
Perda:
5
O ganho de uma antena é passivo e medido em dBi, ou seja, decibéis com um radiador
isotrópico (como o sol). Isso significa que uma antena altera o padrão de radiação, não
aumentando a potência de entrada do sinal.
A perda em um sinal RF ocorre principalmente pela dispersão do sinal; à medida que o sinal
trafega pelo ar, sua potência diminui a uma taxa inversamente proporcional à distância per-
corrida. Para efeito de ilustração, depois de percorrer 100 metros, um sinal de RF normal-
mente sofre uma perda de cerca de 80 dB. Se o sinal percorre mais 100 metros, a perda é de
cerca de 86 dB. A perda (path loss) é expressa pela seguinte fórmula:
Causas de perda
Reflexão
11 Similar à reflexão da luz. q
11 Sinal pode se manter o mesmo.
i r i
r
i
ray box r A imagem parece estar
Figura 1.1
por trás do espelho
Exemplo de
reflexão.
q
de transferência de
Obstáculo pequeno comparado com o comprimento de onda. dados no padrão IEEE
Segurança em Redes sem Fio
802.11n. Dotados de
Tipos: múltiplas antenas de
transmissão e
11 Onda se depara com uma superfície irregular e é refletida em várias direções. recepção, os equipa-
11 Ondas se refletem em uma escala menor, em partículas pequenas. mentos da próxima
geração de WLAN
Sinal resultante é fraco demais. atingirão velocidades
de 108 mpbs, graças a
O fenômeno do espalhamento pode ocorrer de duas formas. Uma delas é quando uma onda este problema das
redes 802.11a/b/g.
se depara com uma superfície irregular e é refletida em muitas direções simultaneamente.
6
Depois que isso ocorre, o sinal pode se dividir em vários sinais resultantes, que podem ter
intensidade insuficiente para ter utilidade para o receptor.
Outra forma de espalhamento ocorre quando as ondas atravessam um meio com partículas
em suspensão. Como exemplo de espalhamento, citamos uma onda atravessando uma região
com alta densidade de poeira suspensa no ar, fenômeno típico do ambiente de certas fábricas.
Difração
11 Fenômeno confundido com refração – onda atravessando um meio diferente. q
11 Ondas de RF contornando um obstáculo.
7
Ar
Água
Profundidade aparente
Profundidade real
Outra causa comum de perda do sinal RF é a refração, a mudança na direção das ondas
ao passar de um meio para outro, com densidade diferente. Esse fenômeno pode ocorrer
quando as ondas atravessam o vidro; quando, por exemplo, passam por um aquário (ar,
vidro, água, vidro e ar novamente, sem levar em conta outros fenômenos). O índice de
refração do meio determina a mudança no ângulo de propagação da onda.
É bom lembrar que um mesmo tipo de meio pode ter índices de refração diferentes,
e o mais comum de se constatar é a diferença entre ar frio e ar quente. Refração não
é um problema para pequenos ambientes, mas sim para a transmissão entre pontos
distantes e sujeitos a mudanças de condições atmosféricas.
LOS
11 Line of Sight ou Linha de Visada. q
11 Linha aparente que liga receptor e transmissor.
r
Segurança em Redes sem Fio
8
Considere uma linha imaginária que liga transmissor e receptor, considerando a curvatura
da Terra para longas distâncias. LOS é essa linha imaginária que liga os dois pontos.
Entretanto, apenas uma linha reta desobstruída não é suficiente para ondas RF, pois se uma
determinada área em torno da LOS é obstruída, o sinal RF pode sofrer interferência. Essa
área imaginária é denominada Zona Fresnel (pronuncia-se “fra-NEL”) e tem seu raio calcu-
lado da seguinte forma:
d = distância do link em Km
F = frequência em GHz
r = raio em metrosEmbora obstruções de 20 a 40% da Zona Fresnel causem pouco impacto
no link, é recomendável que não haja obstrução alguma nessa área.
VSWR
11 Voltage Standing Wave Radio. q
11 Ocorre quando impedâncias de cabos e conectores não combinam; reflexão de
corrente de volta para o transmissor.
11 Pode causar danos a um equipamento que não prevê essa falha de instalação.
Essa redução no fluxo é indicada por Voltage Standing Wave Ratio (VSWR), a razão entre
a impedância do dispositivo e a impedância perfeita, denotada pelo valor 1. Um valor de
VSWR perfeito é 1:1, o valor típico é 1.5:1. Um valor de VSWR maior que o típico pode causar
retorno de sinal para o equipamento que, se não possuir proteção, poderá ser danificado.
Antenas – Ganho
11 Dispositivo passivo. q
11 Transforma sinais de RF em ondas de rádio no ar.
11 Categorias de antena:
22 Omnidirecional.
22 Semidirecional.
22 Altamente direcional.
Antenas são dispositivos que convertem sinais de RF em ondas de rádio no ar. São disposi-
tivos passivos, ou seja, não aumentam a potência do sinal RF.
9
Existem três categorias genéricas de antena, cada uma delas com ganhos adequados a um
determinado tipo de aplicação. Antenas omnidirecionais são as mais comuns, encontradas
tanto no AP quanto nos clientes. Transmitem e recebem ondas de RF em 360º em torno do seu
eixo, normalmente horizontal – perpendicular à superfície da Terra. As outras categorias de
antena – semidirecional e altamente direcional – têm aplicações diferentes, tais como links de
grandes distâncias ou mesmo atividades de auditoria como wardriving e warwalking.
Ao focar o raio da antena, o ganho da antena (em dBi) aumenta. O chamado “beamwidth” é a
medida desse foco, ou seja, a largura do sinal RF que a antena transmite.
Potência de radiação
11 Intentional Radiator (IR). q
11 Qualquer equipamento que irradia sinais de RF.
22 Access Point.
Intentional Radiator (IR) é um termo que descreve um sistema responsável por irradiar sinais
de RF. No caso de um Access Point, o IR é composto de todos os elementos do dispositivo
(transmissor, cabos e conectores), exceto a antena.
É muito importante distinguir IR de EIRP, conceito que veremos a seguir. Embora órgãos
como FCC e Anatel não definam um IR máximo permitido, é bom lembrar que, depois de
combinado com uma antena, o sinal RF emitido por um IR pode facilmente ultrapassar os
limites permitidos.
22 AP “enxerga” o cliente.
22 Para auditar redes, basta que o cliente capte os sinais dos APs e de outros clientes
– antena de alto ganho.
conceitos básicos de “matemática RF”, que serão úteis no cálculo desse valor.
Nos EUA, a FCC determina que o EIRP não pode exceder 1 watt, para aplicações em
ambientes fechados, e 4 watts para ambientes abertos. No Brasil, a Anatel determina que
na faixa de frequência que engloba as redes 802.11b/g, o EIRP (ou seja, o IR acrescido de
ganho da antena) não pode exceder 400 mW em cidades com mais de 50 mil habitantes.
Não é difícil exceder esse limite, levando em consideração a potência comum das interfaces
de rede (50-100 mW) e o ganho obtido com antenas. As condições de uso são descritas na
Resolução 506 da Anatel, de 1º de julho de 2008.
10
Para que um cliente seja capaz de se associar a um AP, é necessário que a intensidade de sinal
deste último seja suficiente. Assim, um auditor que capte sinais de uma rede com o auxílio de
uma antena semidirecional será capaz de se associar à rede somente se o AP também for capaz
de captar seus sinais de RF. É necessário, portanto, que ambos os pontos se “enxerguem”.
Matemática RF
11 Ganho e perda medidos em decibéis (dB). q
11 dBm: 1 milliwatt (1 mW) referência de potência absoluta.
11 dBi: mesma medida de dBm, mas tem como referência um irradiador isotrópico (sol).
11 Escala logarítmica:
Um link de RF deve ter potência compatível com aquela determinada pelos órgãos regu-
ladores. Para que o administrador da rede seja capaz de assegurar que isso não acon-
teça, é necessário que ele conheça o básico de “matemática RF” para calcular o valor do
EIRP de seus APs.
Ao calcular a potência de sua WLAN, o administrador deve levar em consideração alguns fatores:
Alguns valores-chave devem ser conhecidos antes de se iniciar o cálculo: uma antena com
ganho de 3 dB duplica a potência do IR, enquanto uma antena com ganho de 10 dB aumenta
em dez vezes a potência do IR. Dispositivos como atenuadores causam o efeito contrário, ou
seja, reduzem o valor de IR na mesma proporção. Lembre-se de que as perdas com cabos e
Access Point (100 mW) + cabo (~ -2 dB) + conectores (~ -1 dB) + antena de 10 dB = (100 mW/2)
* 10 = 500 mW
Exercício de fixação 1 e
Fundamentos de radiofrequência
1. Quais são as causas de perda de um sinal RF?
11
2. Que fatores um administrador de rede deve levar em conta para calcular a potência de
sua WLAN?
Tecnologias de transmissão
Espalhamento espectral (Spread Spectrum): q
11 Energia média do sinal transmitido é espalhada sobre uma largura de faixa muito
maior do que a largura de faixa que contém a informação.
Spread Spectrum é uma tecnologia de transmissão que tem como características principais a
grande largura de banda e a baixa potência de pico. Sinais transmitidos por Spread Spectrum
são como ruído, difíceis de serem interceptados ou demodulados sem equipamento adequado.
Essa tecnologia compensa o uso de uma maior largura de faixa de transmissão com uma
melhora na rejeição aos sinais interferentes de outros sistemas operando na mesma faixa
de frequência. Essa característica é especialmente interessante para WLANs, uma vez
que outros tipos de equipamento operam na mesma frequência, como telefones sem fio,
Bluetooth e fornos de micro-ondas.
DSSS:
OFDM:
11 802.11ª.
Somente duas implementações de Spread Spectrum são especificadas pela FCC: Frequency
Hopping Spread Spectrum (FHSS) e Direct Sequence Spread Spectrum (DSS). Considerando
que a FCC é um dos principais órgãos reguladores do mundo, podemos afirmar que essas
são as principais tecnologias de Spread Spectrum utilizadas. Orthogonal Frequency Division
Multiplexing (OFDM) não é uma implementação de Spread Spectrum, mas é o principal
transporte de camada física de redes sem fio de alta velocidade.
Segurança em Redes sem Fio
Veremos, a seguir, conceitos básicos das tecnologias de Spread Spectrum mais utilizadas:
DSSS e OFDM.
12
Direct Sequence Spread Spectrum (DSSS)
11 Maiores taxas de transferência que FHSS e mais sujeito a interferências. q
11 Padrão IEEE para DSSS na faixa 2.4 GHz ISM:
Direct Sequence Spread Spectrum (DSSS) é a tecnologia de Spread Spectrum mais utilizada,
principalmente por oferecer taxas de transmissão de dados mais altas do que FHSS. Dife-
rente de FHSS: tecnologia usada em Bluetooth e 802.11a – DSSS é mais suscetível a interfe-
rências por outras aplicações que usem as mesmas frequências.
Canais
1 2 3 4 5 6 7 8 9 10 11 12 13 14
13
Como vimos antes, a alocação dos canais em redes 802.11b/g tem algumas características básicas:
11 Início nos canais 1 a 2.412 GHz, término nos canais 11 a 2.462 GHz;
Visualizando canal a canal em um gráfico, fica claro que há sobreposição entre os canais.
Isso significa que, se houver um AP operando no canal 1 e outro no mesmo ambiente, ope-
rando no canal 2, haverá colisões e, consequentemente, retransmissão de pacotes.
1 1
11 11 Figura 1.6
Projeto de rede
WLAN com
1 utilização de
intersecção de
células com canais
não sobrepostos.
11 OFDM é um “chuveiro”.
Segurança em Redes sem Fio
Orthogonal Frequency Division Multiplexing (OFDM), diferente de FHSS e DSSS, não usa os
princípios de Spread Spectrum na comunicação. É o mecanismo de transmissão de camada
física utilizado por redes 802.11a, que opera a 5 GHz em de 2.4 GHz, como 802.11b/g.
OFDM organiza a camada física em canais de operação que operam em paralelo. Cada canal de
20 MHz com 52 subportadoras, 4 delas usadas para monitoração. Cada um desses 48 subcanais
é usado para transmitir dados, o que aumenta consideravelmente a taxa de transmissão.
14
Lower and Middle U-NII Bands: 8 Carriers in 200 MHz / 20 MHz Spacing
30 MHz 30 MHz
5150 5180 5200 5220 5240 5260 5280 5300 5320 5350
Lower Band Edge Upper Band Edge
20 MHz 20 MHz
Figura 1.7
Imagem que ilustra
as portadoras em 5725 5745 5765 5785 5805 5825
50 GHz. Lower Band Edge Upper Band Edge
11 A largura de banda ISM de 5GHz não é contínua. Existem duas áreas: 5.15GHz – 5,35GHz e
5.725GHz – 5.825GHz;
11 As subportadoras dos sinais OFDM são moduladas de tal forma que, embora os “ombros”
dos canais adjacentes se sobreponham, os sinais não interferem uns nos outros, pro-
vendo assim 8 canais sem sobreposição na primeira área (5.15GHz - 5,35 GHz) e 5 canais
sem sobreposição na segunda (5.725GHz - 5.825GHz).
Vantagens: q
11 Maior frequência, menor alcance.
Desvantagens:
11 Menor alcance.
15
Mas OFDM também tem algumas desvantagens, e as principais são a abrangência menor,
comparada a redes 2.4 GHz, e a falta de interoperabilidade com equipamentos 802.11b e
802.11g. Pode-se considerar, como outra desvantagem, o preço de equipamentos 802.11a,
mais alto do que os populares 802.11b e 802.11g.
Exercício de fixação 2 e
Tecnologias de transmissão
O que são DSSS e OFDM?
Organizações e padrões
Vamos conhecer agora as organizações que definem os padrões usados em redes 802.11 q
e 802.11a/b/g, além de alguns padrões, como WPA2, WPA2, IETF e IEEE.
Organizações:
11 Wi-Fi Alliance.
Embora não seja essencial, é interessante conhecer um pouco sobre as organizações que
definem os padrões usados em redes 802.11 e 802.11a/b/g. Conhecendo as organizações,
poderemos distinguir um padrão (802.11b) de um selo de interoperabilidade, assim como os
definidos pela Wi-Fi Alliance.
16
11 RC4 como algoritmo de criptografia. q
22 WEP também emprega RC4.
11 Autenticação:
Ao contrário do que muitos pensam, Wi-Fi Protected Access (WPA) não é um padrão, mas
sim uma certificação de interoperabilidade criada pela Wi-Fi Alliance em 2003. Diferente da IEEE,
que define especificações, a Wi-Fi Alliance cuida de um programa de certificação que atesta que
um dado equipamento tem interoperabilidade garantida com outros equipamentos.
WPA foi criado num trabalho conjunto entre IEEE e Wi-Fi Alliance para sanar as vulnerabili-
dades de WEP enquanto o padrão 802.11i não era concluído, fato que ocorreu somente em
2004. O padrão 802.11i também é conhecido como WPA2 e emprega o novo cipher suite TKIP,
que emprega o algoritmo de criptografia Advanced Encryption Standard (AES) no lugar do RC4
utilizado em WEP. Um dos requisitos de seu desenvolvimento foi a necessidade de ser implan-
tado como atualização de software, ou seja, utilizando o mesmo hardware de WEP.
WPA emprega Temporal Key Integrity Protocol (TKIP), que substitui WEP por um novo algo-
ritmo de criptografia. WPA, assim como Dynamic WEP, também permite que seja utilizado
802.1x associado com um método Extensible Authentication Protocol (EAP) para autenti-
cação, o chamado WPA Enterprise. Tal como WEP, também é possível utilizar autenticação
por chave pré-compartilhada, denominada WPA Personal ou WPA-PSK (Pre-Shared Key).
WPA2
11 Wi-Fi Protected Access 2. q
11 Baseado em 802.11i ratificado (2004).
WPA2 é outro selo Wi-Fi Alliance que muitos confundem com padrão. Ele nada mais é do que
a garantia de interoperabilidade entre dispositivos levando em conta a versão ratificada de
802.11i, publicada em 2004. WPA, por sua vez, garantia a interoperabilidade com base na
versão draft de 802.11i, publicada em 2003.
WPA2 implementa o algoritmo de criptografia AES como parte do cipher suite CCMP
(Counter-Mode/Cipher Block Chaining Message Authentication Code Protocol), aprovado
pelo FIPS (Federal Information Processing Standard) como algoritmo para proteção de dados
sigilosos aprovado para aplicações do governo norte-americano. Produtos certificados
como WPA2 são compatíveis com WPA, mas o inverso nem sempre ocorre – WPA2 exige
mais recursos de hardware para processar o algoritmo Advanced Encryption Standard (AES).
Assim como WPA, WPA2 oferece dois modos de operação: WPA2-PSK, também conhecido
como WPA2 Personal, e WPA2 Enterprise. WPA2 por si só é um mecanismo de segurança
pouco explorado, associado a 802.1x e um bom método EAP, como EAP-TLS, torna-se a
opção mais segura de rede sem fio hoje.
17
Padrões IETF
RADIUS: q
11 RFC 2138: Remote Authentication Dial In User Service (RADIUS) e RFC 2139 –
RADIUS Accounting.
EAP:
Dois padrões da IETF são muito importantes em redes seguras: RADIUS e EAP.
Neste capítulo, veremos com mais detalhes EAP-TLS, um dos métodos mais seguros atual-
mente. EAP é usado pelo AP, que na arquitetura RADIUS é um Network Access Server (NAS).
Um método EAP pode fornecer um mecanismo seguro de negociação da Pairwise Master
Key (PMK), usada na Capítulo com TKIP (WPA) ou CCMP (WPA2).
Padrões IEEE
Camada física (PHY): q
11 802.11 (2.4 GHz).
Como já vimos na conceituação de DSSS, a camada física é especificada pelos padrões IEEE 802.11,
que determinam frequência de operação e taxa de transferência, entre outros parâmetros.
A seguir, citamos outros padrões 802.11 que apóiam a operação dos padrões que determinam a
operação das interfaces de rede, os conhecidos 802.11, 802.11a, 802.11b e 802.11g e o futuro 802.11n.
18
l
Saiba mais sobre o O padrão 802.11n é a especificação de IEEE para a próxima geração de interfaces 802.11, cuja
padrão IEEE 802.11 em versão draft foi aprovada em janeiro de 2006. Esse padrão emprega uma tecnologia que
“Official IEEE 802.11
Working Group Project aumenta a taxa de transferência física pelo uso de múltiplas antenas, tanto no transmissor
Timelines - 2013-03- quanto no receptor. Essa tecnologia é chamada de Multiple-Input Multiple-Output (MIMO) e
22” e “IEEE P802.11 -
usa transmissão e recepção de múltiplos sinais para aumentar o desempenho da rede.
Task Group N -
Meeting Update”.
Embora já existam equipamentos baseados no draft de 802.11n sendo comercializados, é
bom lembrar que já foram constatados problemas de compatibilidade entre equipamentos
de fabricantes diferentes, bem como interferência em redes 802.11b e 802.11g e alcance
excessivo (400 metros), demasiado se for comparado ao alcance médio de 30 metros
encontrado na maioria dos equipamentos 802.11b e 802.11g. A versão final da especificação
é esperada para novembro de 2009.
11 802.11i: padrão já ratificado para melhor segurança. Define o protocolo TKIP para per-
mitir que hardwares mais antigos permitam upgrade (base da certificação WPA) e Robust
Secure Networks (RSN), dirigido a novos hardwares devido aos requerimentos de AES.
11 802.11k: padroniza a maneira como as interfaces lidam com dados de nível de sinal e
ruído, importantes no processo de roaming – associação a outro AP sem que a conexão
seja interrompida. Hoje, fabricantes tratam do evento de roaming de formas diferentes.
11 802.11m: documentação das melhorias e funções que foram agregadas a redes 802.11-1999
11 802.11w: o grupo de trabalho 802.11w visa estender a proteção de dados aos quadros de
gerenciamento, resolvendo assim alguns problemas de segurança. Envolve mudanças
por software nos firmwares de clientes e access points. Provê proteção de três formas:
19
Outros padrões IEEE
11 802.11c: Bridge Operation Procedures. q
11 802.11d: operação sob outras regulações.
Tendências
Convergências. q
11 VoIP Phones:
11 Celular + Wi-Fi.
22 T-Mobilie hotspot@home.
11 Media Players:
Wi-Fi e telefonia IP
A empresa Skype introduziu em 2004 uma tecnologia de VoIP baseada em P2P (Peer-to-Peer),
que trouxe aos usuários comuns a telefonia IP de uma maneira mais fácil. Essa populari-
zação de VoIP veio ao encontro da popularização de Wi-Fi, e possibilitou a associação com
telefones IP sem fio.
Embora Skype seja o sistema de VoIP mais utilizado, há também telefones IP sem fio base-
Segurança em Redes sem Fio
20
Wi-Fi a bordo
11 Acesso dentro de aviões. q
11 Empresas: AirCell, Row 44, On Air, Aeromobile e Panasonic Avionics.
Padrão 802.11n
11 TGn - 802.11n Enhancements for Higher Throughput. q
11 Próxima geração de redes Wi-Fi.
22 600 Mbps.
l O objetivo do TGn com 802.11n é a introdução de redes com velocidades de 100 Mbps pelo
Uma curiosidade: a uso de novas tecnologias de transmissão na camada física. Embora os APs, atualmente,
pronúncia correta é “My normalmente tenham mais de uma antena, há apenas um conjunto de componentes para
Moe”, não “Mee Moe”.
Essa pronúncia foi processar o sinal RF ou RF Chain. O transmissor tem um único RF chain de saída e o receptor
definida como padrão tem um único RF chain de entrada.
numa sessão plenária
da IEEE em 2004, após Com Multiple-Input/Multiple-Output (MIMO), cada RF chain é capaz de transmitir e receber
votação: 69 votos a
simultaneamente, o que aumenta consideravelmente a velocidade de transmissão da
favor de “My Moe”, 24 a
favor de “Mee Moe” e camada física (PHY). Além disso, o processamento simultâneo do receptor trata melhor de
outros 25 que se problemas com interferência por multipath.
abstiveram de votar.
11 Abril de 2006.
w 802.11n.
Saiba mais no Enhanced 11 Versão final esperada para novembro de 2009.
Wireless Consortium
(EWC): http://www. Em 19 de janeiro de 2006, durante a reunião do grupo de trabalho IEEE 802.11, o 802.11n
enhancedwirelesscon-
Task Group (TGn) aprovou a proposta do Enhanced Wireless Consortium (EWC). Como era
sortium.org
esperado, diversos fabricantes já lançaram produtos baseados nesse draft.
21
22
Segurança em Redes sem Fio
Roteiro de Atividades 1
Atividade 1.1 – Matemática RF
Suponha que precisamos configurar uma WLAN. Nossa empresa decidiu cortar custos e
determinou que estruturássemos a WLAN em Access Points baseados em Linux. Antes de
configurá-los (o que aprenderemos a fazer no próximo Capítulo), teremos de instalar a inter-
face WLAN, cabos e antena. Temos os seguintes equipamentos:
11 Antena de 25 dBi.
Considerando que 1.000 mW é equivalente a 1 W e que cada conector insere 1 dBi de perda,
calcule a Effective Isotropic Radiated Power (EIRP) do sistema. Consulte o material do Capí-
tulo teórico correspondente para efetuar esse cálculo.
Assim como ocorreu com WPA (pré-padrão), que foi baseado no draft de 802.11i, hoje
diversos fabricantes já estão oferecendo equipamentos baseados no draft de 802.11n.
Suponha que seu gerente seja um “early adopter”, ou seja, uma pessoa que adota novas
Capítulo 1 - Roteiro de Atividades
tecnologias tão logo elas surjam. Usando, como argumentos, características dos padrões
802.11a/b/g, requerimentos de tráfego entre equipamentos da WLAN e problemas que os
atuais equipamentos baseados na versão draft de 802.11n apresentaram (consulte referên-
cias a seguir), convença-o a desistir de implantar esses novos equipamentos na organização.
Referências:
11 Status of Project IEEE 802.11n: Standard for Enhancements for Higher Throughput:
http://grouper.ieee.org/groups/802/11/Reports/tgn_update.htm
23
11 Tom’s Networking: Draft 802.11n Revealed: Part 1: The Real Story on Throughput vs.
Range e Part 2: Interoperable? Not so much: http://www.tomsnetworking.com
Diretoria AP-05
AP-01
Engenharia
AP-02
Administração
AP-03 AP-04
Figura 1.8
Recursos Humanos TI
Raio da irradiação
da antena de cada
AP.
AP SSID CANAL
01 Diretoria
02 Administração
03 RH
04 TI
05 Engenharia
Segurança em Redes sem Fio
24
2
WLAN: equipamentos
e configuração
objetivos
conceitos
Configuração de clientes WLAN.
Introdução
Access Point (AP): q
11 Elemento-chave de uma WLAN.
11 Principais modos:
22 Root (padrão).
22 Repeater.
22 Bridge.
11 Bridge: usado para ligar dois segmentos de rede cabeados por meio de uma rede sem fio;
Exercício de nivelamento 1 e
WLAN
O que é uma WLAN?
25
Acess Point
Opções típicas: q
11 Potência ajustável.
11 Firewall básico.
11 Antenas destacáveis.
11 Atualização de firmware.
Os APs mais comuns do mercado são, na realidade, Broadband Routers; ou seja, não se
limitam ao papel de “switch sem fio” – oferecem diversas funcionalidades interessantes a
um dispositivo e normalmente exercem o papel de gateway. Uma função característica de
um gateway presente nesses equipamentos é a de servidor DHCP, importante na alocação
dinâmica de endereços IP para os clientes que se associam ao AP. Os endereços mais
usados nesse tipo de servidor são os das classes 10/8 (10.0.0.0-10.255.255.255), 172.16/12
(172.16.0.0-172.31.255.255) e 192.168/16 (192.168.0.0). Essas redes são especificadas na RFC
1918 (Address Allocation for Private Internets).
O ajuste da potência de transmissão é mal interpretado como sendo uma medida de segu-
rança. Possui alguma utilidade como maneira de se evitar que atacantes capturem tráfego
na preparação de ataques contra a WLAN (como WEP, WPA; mas é difícil conter as ondas
de rádio). É melhor que o administrador de rede se empenhe em tornar a WLAN segura
por criptografia e outros mecanismos do que pela diminuição da potência, que ainda pode
impedir que certos clientes se conectem. Outra função mal interpretada como associada à
segurança é o filtro por endereço Medium Access Control (MAC), que restringe a associação
de clientes a apenas uma relação previamente conhecida. Essa opção detém apenas usuá-
rios comuns, já que é trivial alterar esse endereço para se fazer passar por outra interface.
Outra função típica é a de firewall, ou seja, um filtro de pacotes básico com base em ende-
reços e portas TCP/IP de origem e destino. Por meio dessa funcionalidade é possível, por
exemplo, ter acesso à interface administrativa não apenas por intermédio da WLAN, o que é
mais comum, mas também por meio da LAN.
Clientes WLAN
Fit AP: q
Segurança em Redes sem Fio
11 Inteligência no AP.
11 Configuração individual.
11 Administração trabalhosa.
Thin AP:
11 APs “burros”.
11 Configuração centralizada.
26
w A escolha de clientes é muito importante, especialmente quando a compatibilidade sob
Para verificar a Linux importa. Outro aspecto importante é a incompatibilidade entre marcas diferentes, em
compatibilidade de especial nos padrões proprietários de aceleração – Afterburner/SpeedBooster da Broadcom
uma interface sob
Linux, consulte o site: e D-Link AirPlus Extreme, por exemplo.
http://linux-wless.
passys.nl/ Dê preferência para as interfaces com chipsets Atheros ou Ralink. Há ferramentas de auditoria
muito úteis que podem ser executadas somente com uma determinada interface e driver.
Figura 2.1
Tipos de interfaces
para redes sem fio.
11 Vertical.
Beamwidth:
11 Horizontal.
11 Vertical.
11 Polarização: orientação física da antena. Ondas de rádio são compostas de dois campos,
elétrico e magnético. Na polarização Horizontal, o campo elétrico é paralelo à superfície
da Terra enquanto que, na Vertical, o campo elétrico é perpendicular;
11 Ganho: medido em dBi (decibels referenced to an isotropic radiator). Não é possível criar
um irradiador isotrópico, como o sol, apenas 360º no plano Horizontal. O padrão de irra-
diação tem a forma de uma rosca. Antenas, por seu caráter passivo, não fazem nada mais
do que “espremer” a rosca para aumentar a abrangência;
de uma antena. É medido em graus e também tem como referência a superfície da Terra.
Valores mais comuns por tipo de antena:
Fórmula para FSPL, onde “F” é frequência e “d”, a distância em metros: FSPL (dB) = 32.5 + 20
log F + log d.
27
A 100 metros de distância, por exemplo, a perda por PL é de 80.23 dB.
11 Aumento no ganho.
Figura 2.2
Antena
Omnidirecional
(dipolo).
Antena Semidirecional
11 Painel e Yagi (ilustrações). q
11 Irradia mais em uma direção.
Figura 2.3
Antena
Semidirecional.
28
Antena altamente direcional
11 Comunicação ponto a ponto. q
11 Beamwidth estreito.
22 Foco direcionado.
22 Maior alcance.
Figura 2.4
Antena altamente
direcional.
Os gráficos que ilustram o padrão de irradiação foram gerados pelo Numerical Electromagnetic
Code (NEC) Finite-Element Antenna Simulator – Lawrence Livermore Laboratories.
Amplificadores
11 Aumentam a amplitude de um sinal de RF e a sensibilidade. q
11 Dois tipos:
22 Unidirecional (envio).
Atenuadores
11 Necessários para provocar perda calculada. q
11 Evitam violações nas determinações de FCC/Anatel.
Figura 2.5
Amplificador.
Splitter
11 Divide sinal em múltiplos sinais RF. q
11 Aplicação em múltiplas antenas.
11 Não recomendado.
22 Introduz perda.
29
Figura 2.6
Splitter.
Conectores
11 Proprietários. q
11 Impedância deve combinar com cabos.
Figura 2.7
Conectores.
Cabos
11 Principais: Andrew, Times Microware e Belden. q
11 Mais usado: Times Microwave LMR.
Cuidados:
11 Mesma impedância dos outros componentes (VSWR) e frequência superior (2.5 GHz
para WLAN 2.4 GHz).
Exercício de fixação 1 e
Segurança em Redes sem Fio
30
2. O que é polarização?
Configuração de clientes
Windows
11 Plataforma nativa de praticamente todas as interfaces. q
11 Wireless Zero Configuration Service (WZCSVC).
Lembretes no Windows:
11 Desativar WZCSVC, caso opte por controlar a interface pelo serviço do fabricante.
11 WZCSVC.
22 Associação ao AP simplificada.
O suporte a interfaces WLAN no Microsoft Windows está voltado à facilidade de uso. Alguns
detalhes úteis a um usuário mais avançado – como BSSID do AP – são omitidos, de forma
que dois APs distintos com o mesmo SSID são exibidos como sendo um único SSID.
É importante observar que o uso do serviço WZCSVC é facultativo na maioria das vezes, já Capítulo 2 - WLAN: equipamentos e configuração
que as interfaces normalmente são acompanhadas de drivers do fabricante. Entretanto, é
preciso escolher qual dos serviços controlará a interface – se escolher pelo serviço do fabri-
cante, devemos desativar o WZCSVC, conforme veremos a seguir.
31
Em janeiro de 2006, durante a conferência ShmooCon 2006, Mark “Simple Nomad” Loveless Figura 2.8
anunciou uma vulnerabilidade na escolha automática de redes do WZCSVC. Desativando o
WZCSVC.
Suponha que o notebook de Alice está configurado para usar um SSID “CASA”. Fora do alcance
de seu AP, se Bob configurar sua estação com o mesmo SSID, o notebook de Alice se associa Figura 2.9
à rede ad-hoc de mesmo nome. Na próxima vez que Alice ligar seu notebook sem um AP com Restringir
associações a redes
SSID “CASA” nas proximidades, ele passará a anunciar uma rede ad-hoc com SSID “CASA”. de infraestrutura ou
‘ad-hoc’ (Advanced).
Linux
11 Drivers ainda constituem um problema. q
11 Chipsets melhor suportados por drivers e ferramentas:
11 Demais chipsets:
11 Drivers:
22 WLAN-ng.
22 RT73 – Ralink.
11 Utilitários:
22 Iwconfig:
32
11 Interfaces Atheros com módulo MadWifi: q
22 wlanconfig.
11 Modo “master”:
11 Kismet AOPR;
11 Wellenreiter O;
11 Karma APR;
11 Aircrack AOPR;
11 Aircrack-ng AOPR;
11 Airsnort OP;
11 WEPAttack AOPR;
11 WEPCrack AOPR;
33
34
Segurança em Redes sem Fio
Roteiro de Atividades 2
Atividade 2.1 – Configuração de um cliente Windows
Neste primeiro exercício, configuraremos um cliente Windows para uma rede típica.
A configuração de um cliente Windows para uma WLAN WEP, para uma WPA Personal
(WPA-PSK) ou para uma WPA2-Personal (WPA2-PSK) difere apenas na solicitação de uma
senha. Note que nem todas as interfaces de rede são capazes de se associar a redes WPA
e WPA2, Personal (PSK) ou Enterprise. Isso se deve ao suporte de hardware e software
(drivers), o que não existia para alguns equipamentos mais antigos. Portanto, esse problema
não acontecerá nesta atividade, uma vez que as interfaces de rede adotadas são compatí-
veis com os padrões de segurança mais recentes.
11 Windows XP em inglês:
11 Windows XP em português:
35
2. Quando o serviço está ativo, tendo sido disparado quando o sistema foi ligado (caso
típico), os campos “Status” e “Startup Type” exibem os valores “Started” e “Automatic”,
respectivamente. Isso pode ser confirmado clicando com o botão direito do mouse sobre
a entrada “Wireless Zero Configuration” (conforme figura anterior), e em seguida selecio-
nando “Properties/Propriedades”.
3. O serviço também pode ser iniciado via prompt de comando executando o comando net
start wzcsvc.
Uma vez garantido que o serviço WZCSVC esteja em operação, podemos partir para a confi-
guração da interface WLAN.
Segurança em Redes sem Fio
36
Configuração básica de uma interface de rede
A configuração de uma interface WLAN em Windows XP é bem simples e intuitiva. Existem
diversos caminhos para se chegar à interface gráfica de configuração, mas aqui descreve-
remos o que consideramos típico de uma instalação padrão de Windows XP.
A interface de seleção de redes disponíveis pode ser chamada tanto pela opção “Open
Network Connections” quanto pela opção “View Available Wireless Networks”. Seleciona-
remos a primeira opção, para que tenhamos uma visão mais ampla de como a interface
WLAN se comporta no sistema.
A interface WLAN se comporta como uma interface Ethernet para o sistema, inclusive na
forma como recebe os pacotes da camada física da rede. Veremos que uma vez associado à
rede com auxílio do serviço WZCSVC ou do driver do fabricante, o cliente recebe tráfego de
rede como se fosse uma interface Ethernet. Para a pilha TCP/IP do sistema operacional (SO)
não importa se a camada de rede (IP) recebe pacotes de uma interface Token Ring, 802.11 ou
Ethernet – o driver se encarrega de entregar para a camada IP pacotes no formato esperado
por esta camada de rede.
Capítulo 2 - Roteiro de Atividades
Ao clicar duas vezes sobre a interface de rede WLAN, finalmente chegamos à interface
gráfica do Wireless Zero Configuration.
37
Ao clicar em “Connect Anyway/Conectar de qualquer forma”, o processo de associação é
iniciado. Uma vez associada, a interface é entregue à camada IP de TCP/IP que, tipicamente,
tenta configurar a interface por DHCP. Quando a interface gráfica do WZCSVC exibir o texto
“Connected/Conectado”, sua interface WLAN já foi configurada com um endereço IP e a
configuração está concluída. Note que, em nenhum momento, a interface gráfica informa o
canal da rede em questão.
38
Clique no botão “Advanced” (seção inferior direita) para definir os tipos de rede aos quais o
cliente poderá se associar.
apenas associações com Access Points sejam permitidas, ou seja, em uma rede infraestrutu-
rada. Desmarcar a opção “Automatically connect…” (mostrada na ilustração anterior) impede
que o cliente se associe automaticamente a redes não conhecidas previamente.
39
Não utilizaremos interfaces gráficas para a configuração em Linux porque variam de distri-
buição para distribuição. A configuração por linha de comando, por outro lado, dá ao aluno
uma visão mais detalhada das etapas da configuração de uma interface WLAN.
Antes de qualquer comando, certifique-se de que seu usuário detém privilégios de superu-
suário – ou seja, root. Em sua máquina virtual VMware do BackTrack 3, execute o seguinte
comando em um console:
# sudo su –
# iwconfig
lo no wireless extensions.
Encryption key:off
Power Management:off
A resposta do comando informou que há uma interface com nome rausb0 ativa, ou seja, não
é necessário instalar ou carregar módulos (drivers). No caso do nosso laboratório, encon-
traremos sempre interfaces com nome rausb0, normalmente o nome padrão atribuído a
interfaces Ralink com módulo rt73.
Caso a resposta do comando anterior informe que não há nenhuma interface com exten-
sões wireless (no wireless extensions), será necessário instalar ou simplesmente carregar o
módulo (driver). Uma vez que o módulo é rt73:
Segurança em Redes sem Fio
# modinfo rt73
# modprobe -v rt73
Depois de instalado, o sistema lista o driver como instalado. Confirme se os módulos foram
carregados, executando o seguinte comando:
# lsmod
40
Apenas para informação, os arquivos de módulos normalmente ficam nos seguintes diretórios:
/lib/modules/2.6.x
11 iwlist: varredura por redes, listando frequências oferecidas pelo AP, taxas de trans-
missão (bit-rate) e outras configurações;
# ifconfig rausb0 up
ESSID:”rnpesr”
Protocol:IEEE 802.11g
Mode:Managed
Encryption key:off
12 Mb/s; 48 Mb/s
Extra:bcn_int=100
Extra:atim=0
41
Pela saída desse comando, é possível conhecer a rede à qual nosso cliente se conectará.
O exemplo mostra o SSID “rnpesr” e o canal é 6 (2.437 GHz). De posse desses dados, já
podemos configurar a interface para uma rede aberta. Verifique qual será o SSID e canal
utilizados no laboratório:
# iwconfig rausb0
Encryption key:off
Power Management:off
11 O modo managed indica que a interface está sendo configurada para se associar a um AP.
Outros modos comuns são: monitor (para captura de quadros de dados, controle e geren-
ciamento), master (permite que a interface aja como AP) e ad-hoc (células sem um AP).
# dhcpcd rausb0
# iwconfig rausb0
42
Encryption key:1111-1AAA-AA11-111A-AAAA-EEEE-E0 Security
mode:restricted
Power Management:off
Caso você esteja usando um driver diferente, o processo de autenticação ou associação não
será concluído. A configuração inicial da interface é igual à de uma rede aberta.
Usaremos apenas alguns parâmetros do comando wpa_supplicant; para uma lista completa,
consulte a ajuda on-line do mesmo comando “man wpa_supplicant” ou, simplesmente,
execute o comando sem parâmetros. As opções que utilizaremos são:
# WPA-PSK/TKIP
ctrl_interface=/var/run/wpa_supplicant
43
network={
ssid=”rnpesr”
key_mgmt=WPA-PSK
proto=WPA
pairwise=TKIP
group=TKIP
psk=”chave compartilhada”
}
Para testar se a configuração está correta, execute o seguinte comando:
Atenção ao driver e interfaces compatíveis com o WPA para obter sucesso na associação.
A opção “-d” exibirá todas as mensagens da transação. Para configuração automática,
a opção “-B” é mais conveniente, já que mantém o programa em execução, porém em
segundo plano (background).
Uma vez concluído com sucesso (veja com atenção a saída do comando com a opção “-d”), a
associação é realizada. Abaixo, uma saída típica indicando o sucesso da associação:
Uma vez associado à rede, o cliente pode prosseguir com a configuração dos parâmetros
de rede, normalmente por meio da execução de um cliente DHCP. Note que o processo do
wpa_supplicant deverá permanecer ao longo de toda a duração da associação.
# dhcpcd rausb0
44
Configuração com a ferramenta wicd
O wicd é um gerenciador de redes sem-fio para Linux, que visa fornecer uma interface
gráfica simples para auxiliar na conexão à redes Wi-Fi. Essa ferramenta simplifica o processo
de estabelecimento de conexão a uma rede Wi-Fi, podendo estar configurada com WEP,
WPA-PSK ou WPA-Enterprise.
# ps ax | grep wicd
# wicd
Na tela inicial do wicd é possível visualisar as redes disponíveis. Note que ao lado do SSID
existe a informação da potência do sinal, configuração de segurança e canal. Para se
conectar, escolha uma rede e clique no botão “Connect” logo abaixo o SSID da rede.
45
Caso a rede necessite de uma configuração de segurança (WEP, WPA etc), ao clicar em
conectar, a seguinte tela será exibida:
Clique em “OK” e, em seguida, no botão “Properties” logo abaixo do SSID da rede escolhida.
A seguinte tela será exibida:
Segurança em Redes sem Fio
46
Escolha o método de autenticação na caixa de seleção acima do campo “Key”. Para utili-
zação de uma chave pré-compartilhada (PSK), escolha a opção “WPA 1/2 (Preshared Key)” e
informe a chave no campo “Key”, como pode ser visto na figura a seguir:
Clique em “OK” e na tela principal do wicd, depois clique em “Connect”. A conexão será efe-
tuada e a informação do endereço IP aparecerá na barra de status do wicd, como pode ser
visto na figura a seguir:
Capítulo 2 - Roteiro de Atividades
47
l
Saiba mais
O wicd é um frontend
para os comandos
padrão de manipu-
lação de redes Wi-Fi no
Linux, como: iwconfig,
Para desconectar da rede, clique no botão “Disconnect”, abaixo do SSID da rede escolhida. iwlist, wpa_supplicant e
Se desejar que determinada rede configurada se conecte automaticamente ao iniciar o wicd, dhclient/dhcpcd.
habilite a opção “Automatically connect to this network”.
Segurança em Redes sem Fio
48
3
Auditoria em redes sem fio
(parte 1)
objetivos
Apresentar as principais classes de ataques a redes sem fio; analisar e capturar tráfego
MAC 802.11; ensinar a utilização dos analisadores de tráfego em uma WLAN.
conceitos
Principais tipos de ataques e as características da camada MAC de 802.11; captura de
tráfego e análise por meio de ferramentas como Wireshark, TCPdump e Airodump-ng.
Introdução
Estima-se que 70% dos ataques bem-sucedidos contra Access Points e clientes de q
WLANs ocorrem pelas seguintes causas (Gartner):
Redes sem fio estão cada vez mais presentes nas empresas, casas e espaços públicos. Os
problemas de WEP, que tornaram as WLANs notórias pela insegurança, já foram sanados e
hoje existem implementações altamente seguras de WLAN. Já é hora de apontar os verda-
deiros culpados pela insegurança: os administradores.
Capítulo 3 - Auditoria em redes sem fio (parte 1)
Concepções erradas
11 “Utilizamos filtro por endereços MAC.” q
11 “WEP é melhor que nada.”
49
11 “Uso WPA-PSK e estou seguro.” q
11 “Ninguém encontrará minha rede wireless.”
11 “Temos firewall.”
Existem diversas concepções erradas sobre segurança de redes sem fio, conferindo falsa
impressão de segurança a quem configura uma WLAN. Pode-se dizer que hoje uma WLAN
verdadeiramente segura deve contar, pelo menos, com as seguintes características:
11 Mecanismo de segurança: pelo menos WPA Personal (WPA-PSK) com uma senha forte,
preferencialmente WPA2 Enterprise (WPA2 com 802.1x e EAP);
11 Virtual Private Network (VPN): para proteger os dados entre a estação e o ponto final
da conexão, caso se queira garantir que não haja interceptação dos dados na rede de
distribuição a qual o AP é conectado;
11 Políticas de acesso e monitoração: deve-se contar com políticas que definam quem tem
e quem não tem acesso e com o monitoramento dos fluxos de acesso.
11 Filtro por MAC Address: filtro por endereço MAC restringe acesso em redes cabeadas,
o que não acontece em redes sem fio, uma vez que em uma rede cabeada tem-se maior
controle do meio (controlar o acesso a determinada porta do switch). Como em redes sem
fio não existe uma forma de controlar o acesso ao meio, fica mais fácil descobrir quais
endereços MAC estão liberados e alterar o endereço MAC é trivial, em Linux ou Windows;
11 WEP: WEP 40 bits pode ser quebrado em questão de minutos; o de 128 bits leva um
pouco mais de tempo. A quebra depende de vários fatores, entre eles a quantidade de
colisões (repetição de IV) e quantidade de tráfego coletada;
11 Ninguém encontrará minha rede: qualquer cliente dentro do alcance do seu AP pode
enxergar o tráfego de sua rede e, com isso, avaliar a possibilidade de ataque. Muitos
administradores têm a visão de rede sem fio que o Windows oferece e, sob a plataforma
Linux, é possível visualizar qualquer tipo de tráfego, mesmo em canais incomuns (como
Segurança em Redes sem Fio
12 e 14). Mesmo que a rede esteja configurada para não fazer broadcast de SSID, ainda
assim, se houver tráfego de dados na rede, é possível descobrir o SSID com ferramentas
como o airodump-ng e kismet;
11 Ataques DoS: ataques de negação de serviço são simples e baratos em uma WLAN. Ferra-
mentas como Void11, em conjunto com uma interface de rede com chipset Prism, ou mdk3
para chipsets Atheros ou Ralink, são suficientes para conduzir um ataque bem-sucedido;
50
11 Autenticação ou criptografia: usar criptografia e autenticação não protege a rede auto-
maticamente. Há fraquezas tanto em criptografia quanto em autenticação, e por isso é
importante conhecer os riscos de cada conjunto de soluções;
11 Segregação: segregar simplesmente não elimina os riscos, já que podem ser exploradas
vulnerabilidades de aplicação ou mesmo no cliente VPN;
11 Não existem redes sem fio: para afirmar que não há redes sem fio, sua organização
deve ter políticas em operação, bem como auditá-las;
11 Firewall: basta um AP rogue mal configurado (intencionalmente ou não) próximo a uma janela
para que o perímetro do seu firewall se estenda. O conceito de perímetro deve ser revisto;
11 Ninguém nos invadiria: os motivos de se invadir uma WLAN podem ser vários, do
simples acesso gratuito à ponte a ataques diversos. Não subestime o valor de sua rede.
Segurança física
11 Não há segurança física. q
11 Conter a abrangência de uma rede sem fio é muito difícil.
11 Vazamento de sinal.
É importante que o administrador de uma WLAN tenha um fato em mente: não há segurança
física em redes sem fio.
Em redes cabeadas era necessário o acesso físico – ou seja, passar por portões, portas,
controle por crachá, seguranças e chaves para obter acesso a um ponto de rede. Em redes
sem fio, o ponto de rede é o ar, literalmente. O controle de acesso de uma WLAN tem mais
relação com o mecanismo de segurança do que com o controle da abrangência da rede.
Qualquer mudança no ambiente pode causar vazamento de sinal da WLAN, desde a simples
retirada de um móvel até a instalação de divisórias.
Wardriving
11 Termo cunhado por Peter Shipley em 1999. q
11 Busca por redes sem segurança.
11 DEFCON 9 (2001):
War Games (1983) é o nome de um filme que influenciou, em alguns pontos, a cultura da
segurança computacional. Termos como firewall e backdoor eram novidade em 1983:
51
Piggybacking
11 Termo em inglês para conexão em redes sem fio alheias. q
11 Prática comum entre vizinhos e viajantes.
11 Outros problemas:
O roubo de serviços não é novidade: há muito tempo se rouba energia elétrica e TV a cabo,
por exemplo. Com redes sem fio não é diferente.
É muito comum que, em áreas urbanas densas de grandes cidades, diversas redes sem fio
l
estejam disponíveis. Nesse cenário, a proximidade entre apartamentos, salas comerciais e
outros espaços de coabitação permite que uma pessoa use a rede aberta inadvertidamente.
Saiba mais sobre
De certa forma, o culpado por essa prática é quem configura o AP: quem pratica piggybacking piggyback no artigo
prefere redes fáceis de se conectar a redes com mecanismos de segurança configurados. “Hey neighbor, stop
piggybacking on my
Embora esse fato não justifique este tipo de prática, é difícil concordar com a indignação
wireless”, The New York
de um proprietário de AP que não se deu ao trabalho de trocar a senha-padrão. Clientes Times: http://www.
Windows, por exemplo, podem perfeitamente fazer piggybacking sem perceber ao encontrar nytimes.com
uma rede com mesmo nome (SSID) de sua rede preferencial.
Warflying
Sinais de rádio podem se propagar de maneira imprevisível. q
Warflying Tom Hardware’s Guide (2004).
Figura 3.1
Warflying.
Segurança em Redes sem Fio
52
DEFCON Wifi Shootout Contest
11 Quase 125 milhas (~200 Km) na edição 2005. q
11 Link 802.11b sem amplificação do sinal, PCMCIA Z-Com XI-325 HP+ 802.11b 300 mW
(24.7 dBm).
Figura 3.2 A conferência hacker DEFCON, que acontece anualmente em Las Vegas (EUA) desde 1993, teve um
Wifi Shootout novo evento adicionado às suas atividades paralelas: o Wifi Shootout Contest. Nesse campeonato,
Contest/DEFCON,
equipe Team iFiber ganha quem conseguir montar uma rede Wi-Fi que transmita pela maior distância possível.
Redwire.
A equipe Team iFiber Redwire tinha membros com todo tipo de conhecimento: soldagem,
matemática, eletrônica, radioamador, programação e Linux.
Da mesma forma que uma LAN com hub, em uma WLAN temos o meio compartilhado.
Dessa forma, todos os clientes associados recebem uma cópia dos quadros da WLAN.
Existe a opção de isolar os clientes associados a um AP (variável wl0_ap_isolate do OpenWRT), Capítulo 3 - Auditoria em redes sem fio (parte 1)
mas isso ocorre somente no nível da camada 3, ou seja, no encaminhamento de pacotes.
Na prática deste curso, os alunos terão a oportunidade de capturar tráfego e analisá-lo com
as ferramentas Wireshark e Kismet.
Negação de serviço
Denial of Service (DoS). q
Três categorias:
53
Denial of Service (DoS) é um jargão de segurança de redes para negação de serviço, e
constitui basicamente no fato de um serviço se tornar indisponível. No caso de uma WLAN,
clientes são impedidos de se associar a um AP por ação de um atacante. O próprio IEEE
assume que uma WLAN é vulnerável por natureza a ataques de negação de serviço por RF
Jamming, motivo da ausência de mecanismos de proteção contra este tipo de ataque.
11 Soluções:
22 Políticas.
22 Monitoramento.
22 Auditoria.
Access points rogue representam uma das principais ameaças a redes sem fio. Podem ser
plantados em uma empresa tanto por usuários desavisados quanto por um atacante que
deseja ter acesso à sua rede sem ser notado.
Um AP típico, que exerce o papel de gateway, oferece os serviços de DHCP, para alocação
dinâmica de endereços, e de NAT, para o compartilhamento de um endereço IP entre vários
clientes do AP. Nesse cenário, um usuário que conecte seu AP ao ponto de rede da sua
estação de trabalho poderá nunca ser notado pelo administrador da rede, uma vez que até
mesmo a troca do endereço MAC da interface Ethernet que se conecta à rede cabeada é
uma prática comum. Assim, ataques que partam de clientes de um AP “rogue” aparentam
partir do ponto de rede do usuário, ou do ponto de rede não utilizado com o qual o atacante
se infiltrou na rede.
Outros ataques
11 Redes domésticas e hotspots. q
11 Exploração de vulnerabilidades do sistema operacional.
22 Possibilidade futura.
Clientes podem estar sob a proteção de uma WLAN corporativa segura mas, quando se
associam a um hotspot ou a um AP doméstico, a segurança normalmente é mais branda.
O cliente fica vulnerável a ataques não necessariamente relacionados com redes sem fio,
tais como exploração de vulnerabilidades em um Sistema Operacional não atualizado ou em
uma estação sem firewall pessoal.
54
Bluetooth já mostrou ser vulnerável a ataques de worms, como se viu no caso do
worm Cabir (Bluetooth-Worm:SymbOS/Cabir: http://www.f-secure.com/). Até o
momento, worms de redes 802.11 são apenas uma possibilidade futura, mas é impor-
tante levar esse risco em consideração.
Tráfego 802.11
11 WLAN usa enquadramento 802.11 e 802.2 – Logical Link Control (LLC). q
11 Ethernet: tráfego 802.3.
11 Camada MAC:
22 Mecanismos de acesso.
22 Suporte à fragmentação.
22 Gerenciamento de energia.
Neste capítulo será apresentada uma visão geral da camada MAC de 802.11, com a descrição
dos principais campos dos quadros, entre outros conceitos importantes. No roteiro de ativi-
dades práticas deste capítulo, serão exercitadas a captura e a análise de tráfego.
A camada MAC é especificada na ISO/IEC 8802-11:1999. As placas de rede atuais não per-
mitem operação em full-duplex com apenas um transmissor, não sendo possível implantar
Carrier Sense Multiple Access (CSMA) ou Collision Avoidance ou (CA). Além disso, não é
possível uma detecção de colisões confiável em rádio, o que é resolvido pelas mensagens
Request To Send (RTS) ou Clear To Send (CTS), um mecanismo virtual de sensibilidade ao
sinal da portadora.
11 Wired Equivalent Privacy (WEP): confidencialidade dos dados trocados, será assunto do
Capítulo 3 - Auditoria em redes sem fio (parte 1)
Capítulo 6.
11 Basic Service Set Identifier (BSSID): endereço único de 48 bits que identifica de maneira
única um AP e um conjunto de estações sem fio (STA).
Arquitetura IBSS
11 Independent Basic Service Set network q
11 Peer to peer (ad-hoc).
11 Extended Service Set (ESS): múltiplas redes BSS que compartilham um mesmo ESS,
permitindo roaming entre APs.
11 WDS: relay entre dois APs, podendo ser utilizado para ligar duas redes cabeadas através
de uma rede sem fio.
802.1x
11 Autenticação. q
11 Controle de acesso baseado em portas.
11 Apenas tráfego EAP (EAP Over Lan – EAPOL) é permitido antes da conclusão
da autenticação.
Alguns métodos estão relacionados a seguir, enquanto a lista completa encontra-se dispo-
nível no site da IANA. Abordaremos EAP com mais detalhes nos Capítulos 9 e 10, em que
projetaremos e implantaremos uma rede segura baseada em métodos EAP e EAPOL.
11 EAP-MD5;
11 EAP-TLS;
11 EAP-TTLS;
11 EAP-MSCHAPv2.
Segurança em Redes sem Fio
56
Servidor de autenticação
(RADIUS)
Rede sem fio
2
Au
thenticator
Figura 3.3
Conceitos do 1
802.1x: requerente,
autenticador, rede Internet ou outros
sem fio, servidor
recursos LAN
de autenticação e
3
internet ou outros Supplicant
recursos de rede.
IEEE 802.11
Três tipos: q
11 Management: Beacons, probes e autenticação.
Octetos: 2 2 6 6 6 2 6 0-2312 4
Cabeçalho MAC
Bits: 2 2 4 1 1 1 1 1 1 1 1
11 Duration/ID;
11 Address 1;
11 Address 2;
11 Address 3;
57
11 Sequence Control;
11 Address 4;
11 Data: o tamanho máximo do campo de dados antes de qualquer criptografia é de 2.304 bytes,
mas o payload real depende do tipo de criptografia aplicada.
Bits: 2 2 4 1 1 1 1 1 1 1 1
11 Protocol Version (2 bits): número do protocolo; na prática, o valor é sempre 0 (zero). Figura 3.5
Quadros 802.11 –
11 Type (2 bits): especifica se é um quadro de gerenciamento, controle ou dados. O campo Frame Control (FC).
Subtype (4 bits) especifica subtipos de quadros de controle, gerenciamento ou dados.
A lista completa com as 26 combinações de type ou subtype pode ser encontrada na seção
7.1.3.1 do documento ANSI/IEEE Std 802.11. Alguns exemplos:
11 To DS: ativado quando o quadro possui o sistema de distribuição como destino, normal-
mente representado pelo AP;
11 Power Mgmt: ativado para notificar que a estação encontra-se em modo de economia
Segurança em Redes sem Fio
de energia;
11 More Data: ativado quando a estação avisa que saiu do estado de economia de energia;
11 WEP: ativado quando WEP está habilitado no Basic Service Set (BSS), agrupamento de
estações (STA) e um AP;
11 Strict Order: quando ativado, determina que os quadros devem ser recebidos na sequência
em que foram enviados; caso contrário, devem ser descartados.
58
Quadros 802.11
Demais campos. q
Duration/ID:
11 Sequence control.
22 Pouco usado.
Quadros de gerenciamento:
11 Campos:
22 Fixed Parameters.
22 Tagged Parameters:
33 Outros Tag numbers: Supported Rates (1) e Canal/DS Parameter set (11).
Captura
11 Ethernet utiliza enquadramento IEEE 802.3. q
11 WLAN: 802.11 + sub-header 802.2 (Logical Link Control – LLC).
59
Modos de operação das interfaces de rede
Managed: q
11 Mais comum, associação a um Access Point (rede BSS).
11 A captura de pacotes é feita somente quando o cliente que a efetua está associado.
Monitor:
11 Depende de drivers (
Master:
11 Access Point.
Ad-hoc:
A captura em modo monitor é a mais interessante para o auditor. Da mesma forma que
captura qualquer tipo de tráfego da rede, permite que o auditor fique “invisível” aos Access
Points, ou seja, não transmite pacotes para conduzir a auditoria.
11 Não permite que a interface se associe a um AP, isto é, em modo monitor a interface
somente é capaz de capturar pacotes;
11 Captura um canal por vez; enquanto a interface captura em um canal, todos os outros
não estão sendo monitorados. A solução para esse problema seria o uso de pelo menos
11 interfaces de rede simultâneas, cada uma delas monitorando um canal distinto. Outra
solução, mais viável, é implementada em softwares de auditoria como airodump-ng e
kismet. Trata-se do channel hopping, uma técnica que configura a interface em um canal
por alguns segundos e vai alternando sequencialmente entre os canais disponíveis, moni-
torando assim todo o espectro disponível.
Segurança em Redes sem Fio
60
Roteiro de Atividades 3
Atividade 3.1 – Captura e análise de tráfego em sistemas Windows
Neste exercício você verá, na prática, quais são as diferenças entre as capturas de tráfego
de sistemas Windows e Linux. Começaremos pelo sistema Windows, que apresenta mais
limitações. Localize e execute o utilitário Wireshark em sua estação.
Figura 3.6
Wireshark.
Na janela anterior, você iniciará duas capturas diferentes: uma com a opção “Capture
packets in promiscuous mode” marcada; e outra com a mesma opção desmarcada.
61
2. Repita o experimento anterior, depois de ter associado o cliente a um AP. Provoque algum
tipo de tráfego (HTTP, ICMP etc.) e observe qual tipo de tráfego o Wireshark captura com
e sem a opção “promiscuous” marcada. O que você notou de diferente nessa experiência?
A essa altura do experimento, você já deve ter constatado que só é possível capturar tráfego
da interface WLAN quando o cliente está associado. E não é só isso: apenas tráfego desti-
nado a broadcast e à própria interface é capturado, ou seja, uma vez associada à interface
802.11, para Wireshark não há diferença em relação a uma interface Ethernet. Note ainda
que a captura ocorre em apenas um canal: o canal da rede à qual o cliente se associou.
Capturando tráfego
Revendo os conceitos do Roteiro de Atividades 2, certifique-se de que a interface WLAN
está instalada e ativa. Agora você irá configurar a interface em modo Monitor. Nesse modo,
a interface é capaz de capturar não apenas quadros (pacotes da camada MAC) de dados,
como também de controle e gerenciamento.
Para começar a explorar esse novo universo de captura de tráfego, iniciaremos configu-
rando a interface de rede. A interface que temos em nosso laboratório é Ralink; por isso
usaremos wlan0 como nome do dispositivo. Para ativar a interface em modo monitor,
utilizaremos um script do pacote aircrack-ng, que simplifica esse processo executando os
comandos iwconfig e iwpriv com os parâmetros necessários para cada driver:
Alguns drivers como os dos chipset Atheros e Ralink suportam a criação de interfaces vir-
tuais e essa característica permite que em uma única interface física, seja possível criar uma
interface virtual em modo monitor e manter outra interface virtual em modo Managed. Com
isso, pode-se por exemplo capturar e injetar pacotes em uma mesma interface física.
Após executar esse comando, é criada uma interface (mon0 no nosso caso), que permite a
captura de qualquer tipo de quadro 802.11 (gerenciamento, controle e dados), mas impõe
duas limitações: a captura acontece em apenas um canal por vez e, enquanto a interface
estiver nesse modo, não é capaz de se associar a uma rede (interface em modo Managed).
Assim, o valor do SSID é irrelevante para uma interface nesse modo de operação.
Segurança em Redes sem Fio
Um parâmetro que pode ser passado para o comando airmon-ng é o canal que deseja moni-
torar. Isso pode ser feito através do comando airmon-ng no momento de sua primeira exe-
cução ou com o comando iwconfig após a execução do airmon-ng. Caso não seja passado o
parâmetro do canal para o airmon-ng, a interface estará apta para realizar channel hopping.
62
Exemplos:
ou
Capturar tráfego em Linux com a interface em modo Managed é o mesmo que capturar
em sistemas Windows, ou seja, é necessário que haja associação. Para capturar em modo
Monitor, basta iniciar algum utilitário de captura; usaremos TCPdump como exemplo:
Com esse comando, todo o tráfego será capturado e salvo no arquivo captura-monitor.pcap.
O formato dos arquivos gerados pelo TCPdump é compatível com Wireshark.
Outra forma de capturar o tráfego IEEE 802.11 é através do aplicativo Airodump-ng, que faz
parte do pacote aircrack-ng.
Nesta atividade vamos capturar tráfego no canal 6, assim configure a interface em modo
monitor no canal 6.
ou
Memorize esse aspecto dos canais. Ele será essencial nas capturas de tráfego das práticas
de WEP e WPA.
Capture os pacotes 802.11 e os salve no arquivo teste-01.cap. Se você repetir o comando sem
apagar teste-01.cap, será criado um novo arquivo (teste-02.cap). Para especificar um canal,
utilize o parâmetro --channel do airodump-ng:
63
Analisando tráfego
Agora, é hora de abrir o arquivo salvo no exercício anterior e, para tanto, usaremos o utili-
tário Wireshark, por se tratar de um software que possui uma apresentação mais didática
dos pacotes.
Figura 3.7
Opções de captura
do Wireshark.
Com base no que foi aprendido na parte teórica, use o analisador de tráfego Wireshark para
selecionar pelo menos dois subtipos de cada tipo de quadro:
11 Quadros de Dados.
Use display filters do Wireshark para selecionar esses quadros específicos. Explique brevemente
a função do subtipo selecionado. A seguir, alguns tipos de filtros que podem ser utilizados:
wlan.fc.type_subtype = 8 (beacons)
64
Atividade 3.3 – Vazamento de informações em redes Wi-Fi
Cenário: você é um analista de segurança e deseja provar a vulnerabilidade de uma rede Wi-Fi
sem criptografia. Para isso, solicita à diretoria permissão para realizar uma auditoria na rede,
com o intuito de provar que dados sigilosos podem ser obtidos com muita facilidade por qual-
quer usuário que tenha conhecimento em ferramentas de análise de redes Wi-Fi.
8. Qual é o usuário e senha para acessar a interface de administração web do Access Point?
65
66
Segurança em Redes sem Fio
4
Auditoria em redes sem fio
(parte 2)
objetivos
conceitos
Auditoria em redes sem fio; ferramentas de auditoria.
Introdução
11 Metodologias de auditoria. q
11 Ferramentas de auditoria.
Neste capítulo, abordaremos técnicas e ferramentas de auditoria de redes sem fio. Aborda-
remos o mapeamento com uso de Global Positioning System (GPS), possível de ser realizado
por ferramentas livres ou comerciais. Nosso enfoque estará em NetStumbler e Kismet,
ferramentas livres disponíveis para Windows e Linux, respectivamente.
Exercício de nivelamento 1 e
Ataques a redes sem fio
Capítulo 4 - Auditoria em redes sem fio (parte 2)
Quais são os principais tipos de ataques a redes sem fio?
Metodologias de auditoria
Auditoria contra determinada política. q
11 Antes:
22 Autorização.
67
11 Buscar desvios: q
22 Cláusulas da política de segurança não obedecidas.
É importante lembrar que uma auditoria é feita em relação a uma determinada política.
Assim, o auditor deve ter pleno acesso à política da organização, de forma que possa avaliar
corretamente quais são os desvios com relação à norma. Embora a auditoria de redes sem
fio normalmente não envolva acesso, é importante que se tenha autorização prévia da
gerência do setor auditado.
O código de práticas ISO/IEC 17799:2005 conta com alguns controles que citam redes sem
fio de maneira explícita:
Nem sempre redes e dispositivos sem fio estão incluídos na política de segurança q
adotada. Outros objetivos de uma auditoria:
11 Configuração.
Nem sempre a organização possui uma política de segurança. Mesmo quando implantada,
é comum que não existam requisitos de segurança em dispositivos móveis e redes sem fio.
A implantação completa de uma política de segurança para redes e dispositivos sem fio
envolve a política implantada, monitoramento e auditoria. Outros objetivos de uma audi-
toria, seja feita contra uma determinada política ou não:
11 Configuração: o resultado de uma auditoria pode atestar que a empresa adota meca-
nismos de segurança considerados bons na WLAN, da mesma forma que pode provar
que o mecanismo determinado pela política não foi adotado. Um AP com senha-padrão
ou uma rede configurada com WEP em vez de WPA são exemplos de desvios, se uma
política estiver implantada;
Segurança em Redes sem Fio
68
Fingerprinting do AP
Passivo: q
11 Não há necessidade de estar conectado à rede.
11 Identificar o fabricante:
Ativo:
11 Necessidade de conexão.
Fingerprinting passivo
w O fingerprinting passivo do Access Point pode ser feito a partir do tráfego de gerenciamento
e controle coletado. Conforme tratado no Capítulo 3, para a coleta desse tipo de dado é
A lista de prefixos
disponíveis está em necessário que o driver da interface de rede permita o modo “monitor” (RFMON). Mais
“IEEE OUI and adiante, veremos que os endereços MAC podem revelar informações mais interessantes
Company_id
quando o tráfego é multicast.
Assignments
(Pesquisa)” e “IEEE OUI
O endereço MAC possui 6 bytes (48 bits), normalmente separados por hífen (-) ou por dois
and Company_id
Assignments”: http:// pontos (:) e expressos em base hexadecimal. Os três primeiros são únicos por fabricante e
standards.ieee.org/ alocados pelo IEEE.
regauth/oui/oui.txt
Utilitários como NMAP e Wireshark fazem uso dessa lista para identificar o fabricante da inter-
face de rede. Outra fonte de informações que pode ser obtida passivamente está nos quadros
de gerenciamento, mais especificamente nos beacons. Interfaces da Broadcom, presentes em
APs Linksys, incluem “tagged tags” específicos nos quadros de gerenciamento. Outra maneira
de identificar a marca é a maneira como SSIDs ocultos aparecem, ou seja, com nenhum valor
(Linksys), 6 ou mais bytes nulos (0x00 – Cisco), ou como um espaço (0x20 – Enterasys).
Fingerprinting ativo
A identificação ativa, diferentemente da passiva, envolve conexão no AP para obter texto
com informações e versões do equipamento (banner). Sua grande desvantagem está na
detecção da auditoria no momento da conexão do auditor.
Capítulo 4 - Auditoria em redes sem fio (parte 2)
Como veremos adiante, ferramentas de auditoria também podem ser ativas. NetStumbler
identifica redes de maneira ativa e não é indicado caso o auditor deseje conduzir uma audi-
toria “silenciosa” aos administradores da rede.
11 Informações úteis.
11 SSIDs usados, marcas de interfaces, potência do sinal e nível de ruído, entre outros
indicadores.
69
Processar os dados gerados por ferramentas de auditoria como Kismet e NetStumbler
é uma boa opção para a geração de gráficos de nível gerencial. A partir de arquivos em
formato XML (Extensible Markup Language) e CSV (Comma-Separated Values), é possível
gerar gráficos com informações importantes para quem implementou ou vai implementar
uma WLAN:
11 Distribuição de canais;
Manualmente:
22 Beacon.
22 Probe request.
22 Probe response.
11 EAP-TLS;
w
11 LEAP;
11 PEAP.
Mais informações em
Convém lembrar que a ferramenta precisa capturar certa quantidade de quadros para “Kismet Readme
caracterizar um BSS. Kismet também pode identificar redes que cifram os dados mas não Configuration”:
http://www.kismetwire-
marcam a flag WEP nos quadros. Isto pode ser feito com a habilitação da opção “fuzzycrypt”.
less.net/documenta-
tion.shtml#readme
A análise manual será tratada com uso da ferramenta Wireshark nas atividades práticas
deste capítulo.
Mapeamento externo
Segurança em Redes sem Fio
22 Receptor GPS.
70
Um dos aspectos mais interessantes do mapeamento externo é a possibilidade de mapear
o alcance das redes com o uso de coordenadas de latitude e longitude. Esse tipo de
GPS auditoria é possível com o auxílio de um receptor Global Positioning System (GPS) que,
Sistema de navegação associado ao software de auditoria, informa as coordenadas geográficas de cada pacote
por satélite que fornece recebido. Tanto Kismet quanto NetStumbler permitem a associação com um receptor GPS
a um aparelho móvel
sua posição, assim para geração de mapas.
como informação
horária, sob todas É conveniente lembrar que um atacante equipado com uma interface com boa sensi-
condições atmosféricas,
a qualquer momento bilidade e antenas de alto ganho pode mapear redes a partir de pontos distantes do
e em qualquer lugar centro da rede (localização do AP).
na Terra, desde que o
receptor se encontre
no campo de visão de
quatro satélites GPS. Mapeamento interno
Pode ser associado com mapas internos da organização. q
GPS não é possível.
71
O mapeamento interno é importante na avaliação da necessidade de novos APs – clientes
normalmente exigem um nível de SNR (Signal to Noise Ratio) mínimo de 4 dB para associação.
Avaliação do tráfego
Tráfego não cifrado. q
11 Quadros de dados são cifrados em redes com segurança ativa.
11 Divulgação de informações.
É possível avaliar o nível de informações da organização que são divulgadas pela análise
do tráfego da rede. Isso pode ser feito por intermédio de analisadores de pacotes, como
Wireshark, Snort e TCPdump.
Convém lembrar que, numa rede com um mecanismo de segurança implantado, os quadros
802.11 de dados são cifrados. Assim, só é possível analisá-los depois de decifrados. Hoje, os
únicos mecanismos de segurança que permitem que se decifre tráfego previamente capturado
são WEP e WPA (TKIP). Kismet permite que o tráfego WEP seja decifrado em tempo real, uma
vez que a chave seja conhecida.
Ferramentas como strings (úteis para identificar cadeias de texto dentro de arquivos binários,
como o de captura) e Wireshark são úteis para a identificação do tipo de informações divul-
gadas pela rede.
11 Identifica tráfego cifrado na ausência dos bytes 0xAA 0xAA, que caracterizam
o cabeçalho LLC.
WEP:
é bem provável que você, como auditor, não encontre redes abertas, sem algum mecanismo
de segurança. Assim, a ferramenta de auditoria deve ser capaz de identificar adequada-
mente as redes com mecanismo de segurança.
A presença da flag WEP nos quadros não é o único indicador com mecanismo de segurança
ativado. Kismet é capaz de identificar redes com segurança por meio dos principais indica-
dores. Por exemplo:
11 Quadros de dados são cifrados. Assim, se não existem os bytes “0xAA 0xAA”, que carac-
terizam o cabeçalho LLC em um quadro de dados, o quadro passou por algum tipo de
proteção, possivelmente por um mecanismo de segurança;
72
11 Quadros de dados cifrados deveriam, por padrão, ter a flag WEP marcada, mas isso nem
sempre acontece. A opção “netfuzzycrypt” faz com que Kismet tente detectar redes
com segurança;
11 É possível, ainda, decifrar tráfego WEP em alguns casos, como veremos adiante.
Saiba mais em “IPv4 11 01-00-5E-00-00-00 a 01-00-5E-7F-FF-FF alocado pela IANA para Multicast Internet.
Multicast Address
Space Registry” e 11 01-00-5E-00-00-05 = 224.0.0.5.
“Ethernet Number” no
Outra maneira de se analisar tráfego cifrado é por meio da análise dos endereços da camada
site http://www.iana.org
MAC. A presença do endereço de destino multicast pode revelar pistas sobre o protocolo
usado, de acordo com intervalos determinados pela IANA.
11 PCAPHistogram.
É possível que uma empresa adote um mecanismo de segurança próprio para cifrar os
pacotes. Mas como realizar essa detecção?
Exercício de fixação 1 e
Metodologias de auditoria
Quais as principais diferenças entre fingerprinting passivo e o fingerprinting ativo? Capítulo 4 - Auditoria em redes sem fio (parte 2)
Ferramentas de auditoria
Principais ferramentas de auditoria: q
11 TCPdump.
11 Airodump-ng.
11 Wireshark.
11 NetStumbler (Windows).
73
11 Kismet. q
22 Linux apenas, versão Windows em desenvolvimento.
11 Outras ferramentas.
No decorrer deste curso, serão apresentadas outras ferramentas para cenários específicos,
como mecanismos de segurança WEP e WPA.
Wireshark
11 Poderoso analisador de tráfego que possui uma interface de visualização de pacotes q
mais amigável que a do comando TCPdump.
Wireshark (antigo Ethereal até 2006) é uma ferramenta tradicional de análise de tráfego
que também é de grande utilidade para WLAN. É capaz de lidar com arquivos PCAP, possui
formato compatível com diversas outras ferramentas como TCPdump e revela mais informa-
ções do que esta última ferramenta, por apresentar os dados na forma de árvore, decodi-
ficar tráfegos conhecidos, entre outros recursos.
Convém lembrar que, com a interface em modo “managed”, qualquer ferramenta será capaz
de capturar apenas tráfego 802.3 (Ethernet aparente). Para capturar tráfego 802.11 + 802.2
Segurança em Redes sem Fio
(LLC), é necessário que a interface esteja em modo “monitor” ou RFMON, o que, atualmente,
é possível apenas com os drivers Linux.
74
Figura 4.2 Wireshark permite a visualização dos pacotes de maneira hierárquica, camada a camada.
Tela do Wireshark. Esse tipo de visualização, aliado a recursos de agrupamento de fluxos e decodificação –
inclusive de tráfego WEP, desde que se conheça a chave – são diferenciais dessa ferramenta
que a tornaram líder. Convém lembrar que Wireshark depende da biblioteca de captura de
pacotes Libpcap ou Winpcap. Sob a plataforma Windows, o instalador já inclui a última
versão de Winpcap.
Para pensar
Kismet
11 Diversas funções como Wardriving, site survey, IDS distribuído, auditoria, detecção de q
APs “rogue” e detecção de IVs duplicados em redes com WEP.
75
Kismet é a ferramenta livre que oferece mais recursos ao auditor. Além de exibir informa-
ções sobre as redes em um nível de detalhes maior do que ferramentas como NetStumbler
e Kismet, tem um diferencial essencial: audita redes com a interface em modo “monitor”,
ou seja, não envia pacotes de probe como NetStumbler e outras. A auditoria em modo
“managed”, o mesmo usado na associação, é “barulhenta” e permite que se detecte a pre-
sença de um cliente através de investigação na área.
Kismet oferece a possibilidade de captura associada com um receptor GPS, o que permite
a geração posterior de mapas, como o NetStumbler. Outra característica interessante de
Kismet é a possibilidade de gerar dados da auditoria em diversos formatos, o que permite
a visualização tanto por ferramentas simples (como Excel) quanto por utilitários que geram
mapas mais complexos dos dados gerados.
Finalmente, Kismet permite a captura de todos os canais simultaneamente (inclusive o canal 14),
através da utilização de sensores drone ou de diversas interfaces de rede.
A interface gráfica de Kismet é simples, mas conta com diversos filtros e métodos de orde-
nação. Algumas funcionalidades:
11 Filtros por BSSID, SSID, contagem de pacotes, potência do sinal e presença de WEP;
11 Visualização de estatísticas, conteúdo dos pacotes em tempo real (dump): útil para
análise de divulgação de informações sensíveis em uma rede sem fio desprovida de
mecanismos de segurança;
11 Estatísticas;
NetStumbler
11 Ferramenta mais popular, restrita ao Windows, com diversas funções: q
11 Configuração da sua rede, detecção de interferência, APs não autorizados (rogue),
wardriving (suporte a GPS).
NetStumbler: http://
O suporte a NetStumbler é bom, pois dificilmente se encontra uma interface não suportada. www.stumbler.net/
A interface opera em modo “managed”, como um cliente da WLAN. Enquanto a ferramenta compat/ e uma página
com comparação de
é utilizada, não é possível a associação a um AP. A ferramenta interrompe o serviço Wireless
hardware: http://www.
Zero Configuration (WZCSVC) durante sua execução, caso não sejam utilizados drivers seattlewireless.net/
proprietários da NIC. HardwareComparison
76
Ao contrário do Kismet, o NetStumbler é “barulhento”: a identificação de redes ocorre pelo
envio de probes com a interface em modo “managed”. Isso torna o cliente que realiza a
auditoria visível para um administrador que use Kismet para detectar atacantes. Kismet, por
Figura 4.3
Tela do sua vez, não transmite um único pacote em suas auditorias, porque configura a interface de
NetStumbler. rede para modo “monitor”, capaz de capturar dados de qualquer rede em um dado canal.
GPSMAP
11 Utilitário que integra o pacote Kismet. q
11 Diversos tipos de mapa.
hoje é de pouca utilidade para auditorias no Brasil, porque os sites usados como fonte de
mapas não possuem boa cobertura. Existem ferramentas que permitem visualizações mais
modernas de mapas, como o Google Earth.
77
O mapa anterior foi gerado a partir do utilitário GPSMAP de Kismet, durante uma auditoria Figura 4.4
feita no centro de Los Angeles. As cores exibidas indicam o nível de segurança da rede: Mapa feito com o
utilitário GPSMAP
verde para redes seguras e vermelho para inseguras. do Kismet. Centro
de Los Angeles,
outubro de 2005.
Segurança em Redes sem Fio
78
Roteiro de Atividades 4
Atividade 4.1 – NetStumbler no Windows e suas funcionalidades
Nesta atividade, executaremos o NetStumbler e vamos nos familiarizar com a sua interface
e os seus comandos.
11 Detectar outras WLAN que podem estar causando interferência em sua rede;
O Kismet pode ser usado com qualquer interface de rede sem fio que suporte o modo
monitor (RFMON), podendo capturar, passivamente, os tráfegos 802.11a, b ou g.
Execute o Kismet por intermédio da linha de comando ou através das opções de aplica-
tivos do BackTrack 5 (“Backtrack” > “Information Gathering” > “Network Analysis” > “WLAN
Analysis” > “kismet”). Para executar na linha de comando, utilize:
# kismet
Observe a tela inicial de captura do Kismet. Nela, é possível visualizar as redes que foram
detectadas passivamente (modo monitor) pela placa de rede wireless, além do canal que
cada rede usa, o tipo de rede (A, B ou G) e também se existe segurança habilitada, entre
outras informações.
Capítulo 4 - Roteiro de Atividades
A interface do Kismet possui três áreas distintas. A central e maior delas contém as infor-
mações sobre as redes detectadas. A da direita possui informações estatísticas gerais, o(s)
driver(s) da(s) placa(s) que monitora e os canais que estão sendo monitorados. A inferior
possui os alertas e eventos que ocorrem em tempo real, tais como: detecção de uma nova
rede, alerta do IDS, salvamento dos dados etc.
79
Opções Tecla
Help h
Statistics a
Track alerts w
Quit Q
80
Abaixo da opção “W” as seguintes opções estão disponíveis:
N No encryption in use
Tecle “s” e selecione de que forma desejamos que as redes sejam apresentadas na interface
gráfica.
Channel c
SSID s
Packet count p
WEP w
Selecione uma das redes e tecle “i” para informações detalhadas sobre a rede selecionada.
A tecla “L” (lock) força o Kismet a monitorar apenas um canal selecionado de determinada
rede, o que aumenta a o número de pacotes capturados naquele canal específico. A tecla “H”
retorna para o salto entre canais, ou seja, todos os canais são varridos em sequência.
O Kismet, conforme captura o tráfego 802.11, salva as informações das redes, clientes e
quadros obtidos em diversos formatos:
11 .network: resumo em formato texto das informações das redes e clientes observados;
11 .csv: informações observadas, separadas por “;”, para aplicações de banco de dados;
11 .weak: arquivo em formato libpcap contendo pacotes WEP que podem ser analisados
pelo Airsnort.
81
Verifique a captura do arquivo .dump, copiado para o pendrive ou partição pelo aplicativo
Wireshark, conforme a prática anterior.
Utilize as funcionalidades do Kismet que foram apresentadas pelo instrutor e procure entender
o seu funcionamento. Outras opções de execução podem ser realizadas. Verifique-as através
do comando:
# man kismet
82
Realizar uma injeção de uma tentativa de autenticação utilizando um endereço MAC fictício
(00:11:22:33:44:55) em uma rede aberta. Essa injeção será realizada com o comando aireplay-ng:
00:11:22:33:44:55 mon0
Aqui podemos visualizar, pelo log do aireplay-ng, que a associação forjada foi bem-sucedida.
11 -1: opção para ataque do tipo “fakeauth” (uma tentativa de autenticação ao AP);
83
Figura 4.6
Visualizando o
resultado.
Segurança em Redes sem Fio
84
5
Redes rogue e ataques DoS
Apresentar ameaças inerentes a redes sem fio antes de ataques aos dispositivos
objetivos
de segurança e o conceito de redes sem fio não autorizadas (redes rogue); mostrar
o risco constante de ataques de negação de serviço (DoS) e maneiras de proteger
a rede contra tais riscos.
conceitos
Redes rogue Fingerprinting do AP e ataques de negação de serviço em redes 802.11s.
Introdução
11 Rede rogue é qualquer Wireless Access Point (WAP) instalado sem a permissão do q
administrador de rede.
11 Denial of Service (DoS): ocorre quando o cliente é incapaz de manter associação com
um AP.
Neste capítulo, abordaremos duas ameaças constantes às redes wireless: redes rogue e
ataques de negação de serviço, estes últimos mais conhecidos por sua sigla em inglês, DoS
(Denial of Service).
Na segunda parte do capítulo, abordaremos ataques DoS contra redes sem fio, bem como
algumas medidas de defesa contra esse tipo de ataque. Esse tipo de ataque é inerente à
especificação 802.11, que permite que sejam forjados pacotes de desassociação e desauten-
Capítulo 5 - Redes rogue e ataques DoS
Exercício de nivelamento 1 e
Redes rogue
O que são redes rogue?
85
Problemas agravantes
11 WAP instalado com a permissão do administrador, mas indevidamente configurado. q
11 Permite acesso à rede interna cabeada.
Não há perímetro quando se fala em redes sem fio. Redes rogue normalmente são definidas
como redes não autorizadas. Entretanto, muitas vezes o Access Point possui autorização dos
administradores de rede para operar, mas não é devidamente configurado.
11 A rede não permite o controle do acesso ao meio de transmissão, como nas redes cabeadas;
11 Sem os filtros de firewall definidos pela política da empresa e por mecanismos de segu-
rança, esse elemento da rede abre uma brecha no perímetro – um perímetro aberto não
é um perímetro.
Tipos de rogue
11 Amigável. q
11 Malicioso.
11 Não intencional.
11 Rogue amigável: tipicamente instalado por um usuário que instala um AP SOHO (Small
Office/Home Office) ou configura sua estação como AP, sem a devida preocupação com
segurança. Envolve a infração da política de segurança por um usuário;
11 Rogue malicioso: instalado com a intenção de criar uma “porta dos fundos” (backdoor)
em sua rede, de forma que o atacante tenha livre acesso a ela;
11 Rogues não intencionais: diferentemente dos amigáveis, são autorizados. A diferença está na
implantação, que ocorre sem considerar a política de segurança para dispositivos sem fio. É o
tipo mais comum, já que as organizações normalmente não monitoram suas redes sem fio.
11 Warwalking.
Segurança em Redes sem Fio
Uma vez conceituado o risco das redes rogues e descritos os tipos mais comuns, examina-
remos diferentes técnicas de identificação de rogues. A seguir, apresentamos as técnicas de
análise em duas frentes:
86
Rede cabeada: Fingerprinting do AP
11 Ferramentas de varredura de vulnerabilidades. q
11 Analisa o lado do AP que toca a LAN.
11 Depende de assinaturas.
11 Nessus.
11 HTTP Fingerprinting: praticamente todo WAP conta com uma interface administrativa web.
Uma vez que o servidor web embarcado normalmente é proprietário, procura-se por cadeias
de texto no banner (tela inicial) que o identifiquem de maneira única: uma assinatura;
w 11 Consultas SNMP: se a porta SNMP estiver aberta e a community string (que tem a
Leia “Wireless Access função de uma senha) for conhecida, esse plugin do Nessus tenta consultar o valor
Point Detection” em “sysDesc”.
http://www.tenable.com
Nessus, que antes era open source em todo o sentido da expressão, adotou em 2004 um
novo sistema de licenças, visando controlar o uso de sua ferramenta por empresas. Para ter
acesso aos plugins tão logo sejam lançados, é necessária a aquisição de uma licença.
Capítulo 5 - Redes rogue e ataques DoS
87
CPU WRT54G v4
WRT54GS v3
OpenWrt
br0
eth1
WIFI
vlan0 vlan1 eth Access Point
Tagging
eth0
Porta interna
A arquitetura interna da maioria dos APs é composta de bridges e VLANs, como se pode w
observar pela arquitetura interna do AP WRT54GS (v3), da Linksys. Externamente, há a inter- Pesquise “IEEE OUI and
face de rede sem fio operando em modo Master, que confere ao AP sua função principal, Company_id Assign-
ments” no site http://
uma interface de rede para conexão com a rede de distribuição (a rede cabeada) e, por final, standards.ieee.org/
conexões para a ligação de estações por rede cabeada convencional. A interface que toca a
LAN permite que se faça esse tipo de análise.
Warwalking
11 Uso de ferramentas de wardriving. q
11 Etapas:
Kismet é uma ferramenta muito útil na detecção de rogues. Com Kismet, é possível conduzir
todas as etapas de um warwalking, com a possibilidade de filtrar redes não interessantes na
análise, ou seja, redes autorizadas e vizinhas (de outra organização próxima).
88
Para determinar as redes permitidas ou vizinhas: AP de uma empresa próxima, por exemplo
– é necessário saber os endereços (BSSID) dessas redes. Com esses dados em mãos, é pos-
sível configurar o servidor Kismet de forma que tais redes sejam omitidas da análise, isto é,
apenas redes rogue possíveis são exibidas.
O filtro pode ser configurado no arquivo kismet.conf, através da diretiva filter_tracker. Alguns
exemplos de filtro:
11 Filtro por máscara: ignora endereços (origem, destino ou BSSID) por prefixo:
filter_tracker = ANY(xx:xx:xx:00:00:00/FF:FF:FF:00:00:00)
É bom lembrar, entretanto, que um atacante pode forjar um AP por completo, ou seja, cons-
truir um AP com SSID, BSSID e outras configurações idênticas às da rede autêntica. Nesse
caso, o auditor deve identificar também a origem do sinal para se certificar de que apenas o
AP autêntico está divulgando a rede da empresa.
11 Duas maneiras:
22 RFMON.
22 Enquanto associado.
11 Limitações:
22 RFMON.
22 Associado.
Usar os próprios clientes da rede para monitoração é uma boa alternativa para os hardwares
dedicados. Existem alternativas comerciais para essa tarefa – AirWave RAPIDS, por exemplo –,
mas nosso foco é em ferramentas gratuitas.
Capítulo 5 - Redes rogue e ataques DoS
89
Através de utilitários como CScript (Windows scripting host), Scriptomatic, WMI Code Creator
e WMI Administrative Tools, é possível criar scripts VBS que consultam certos parâmetros do
Sistema Operacional. O “namespace” que nos interessa é o root\WMI, e as classes que nos
interessam possuem o padrão MSNdis_80211_.
É bom lembrar que nem todas as interfaces de rede possuem drivers que permitem
que todas as classes MSNdis_80211_* sejam usadas.
22 Clientes ociosos.
22 Dispositivos dedicados.
11 IDS Distribuído.
Implantar uma rede sem fio segura significa utilizar mecanismos de segurança, possuir uma
política, monitorar a rede e auditá-la contra a política vigente. Monitoração é um elemento
muito importante, mas muitas empresas simplesmente o ignoram.
Kismet é uma ferramenta open source (código aberto) que não deve nada a ferramentas Open source
comerciais. É mais conhecido como ferramenta de auditoria e mapeamento de redes sem Também conhecido por
fio, mas sua funcionalidade de IDS de camada MAC é boa o suficiente para que se implante software livre, respeita
as quatro liberdades
monitoração da rede. definidas pela Free
Software Foundation,
Kismet é composto de três componentes: compartilhadas também
pelo projeto Debian.
11 Kismet Client: interface gráfica de visualização dos dados coletados pelo Kismet Server.
Assim como em ferramentas como Nessus, normalmente conecta-se com um servidor no
próprio host. Sua configuração se resume basicamente a selecionar as informações que
serão exibidas e o endereço do servidor Kismet;
mente sobre a
(normalmente, a rede sem fio). Exige pouco hardware e permite que se instalem drones
implantação de drones
diferentes para canais diferentes – a situação ideal é um drone em cada canal em tempo Kismet.
integral – e até padrões diferentes, como IEEE 802.11a, por exemplo.
90
Intrusion Prevention System (IPS)
11 Rogues identificados pelo Kismet. q
11 Cliente tenta se conectar ao AP rogue.
Riscos:
11 Falso-positivos.
É possível atacar o problema dos rogues de uma maneira mais ativa com a implantação
de um Intrusion Prevention System (IPS). Difere de um IDS porque, em vez de se limitar a
registrar intrusões, reage a elas. Uma sugestão de reação é efetuar um ataque de Denial of
Service (DoS) contra os clientes que associam ao AP rogue.
Quando o IPS da rede sem fio detecta a tentativa de um cliente se associar a um AP rogue, ele
transmitirá quadros de desautenticação 802.11 forjados para a estação. Dessa forma, a estação
considera os quadros provenientes do AP rogue e a conexão é terminada imediatamente.
Pacotes de desautenticação são pacotes 802.11 de gerenciamento (tipo 00) e subtipo 1100.
São anúncios que indicam que o receptor não está mais autenticado. É uma comunicação de
uma via que, normalmente, parte de um Access Point (BSS) e deve ser aceito pela estação,
com efeito imediato. A condição de negação de serviço se atinge quando se transmite cons-
tantemente esse tipo de quadro 802.11 a cada tentativa de autenticação da estação.
Existem soluções comerciais de IPS disponíveis, mas é possível implantar um IPS básico
associando a saída do Kismet com mdk3 – respectivamente, ferramentas de monitoração/
IDS e ataque DoS por desautenticação.
Teremos a oportunidade de experimentar tanto com IDS distribuído usando Kismet quanto
com ataques DoS.
11 Análise manual.
91
Força (dBm)
RSSI
(Intensidade do sinal)
Relação
sinal-ruído
Nível de ruído
119129
Figura 5.2
Relação Sinal x
Tempo (segundos) Ruído.
Signal to Noise Ratio (SNR) ou Relação Sinal x Ruído, algumas vezes referenciado como S/N, é
um valor usado para a razão entre a potência de um sinal e o ruído de fundo. Quanto maior
o valor de SNR, menor é o número de erros e mais próximo se está do transmissor. É possível
estimar a localização de rogues com base nesse indicador e no endereço MAC do dispositivo.
O melhor SNR é obtido quando se está associado à rede, mas isso nem sempre é possível
para um auditor. Por isso, é necessário o uso de interfaces de rede em modo Monitor asso-
ciado a ferramentas como Kismet para a leitura das medições de SNR.
É importante lembrar que o valor de SNR tem mais relação com o padrão de propagação
do sinal do que com o dispositivo transmissor em si. Isso quer dizer que é possível captar, a
metros do AP rogue, um valor mais alto do que em cima dele.
11 Primeira fase da análise manual: consiste em obter diagramas do prédio que está
sendo auditado. Isso é importante para que o auditor possa identificar, no diagrama, o
sinal e o ruído em cada ponto;
92
Criando um AP rogue sob Linux
11 Objetivo: se passar por um AP existente. q
11 Interface em modo Master: implementação mais simples:
Primeiro troca-se o endereço MAC, IP e máscara de rede da interface sem fio, de forma que
l sejam os mesmos do AP que se deseja duplicar. Depois, ativamos o modo Master e definimos
um SSID igual ao do AP original, o que já é suficiente para que estações próximas vejam a
Para solução completa
de Soft AP, normal- interface como rede sem fio. Em seguida, configura-se parâmetros típicos de hotspots, como
mente se emprega um a ausência de mecanismos de segurança (WEP e WPA, para falar dos mais básicos) e, final-
software chamado
mente, a taxa de transmissão.
DNSmasq, um servidor
que integra as funções
Os passos anteriores já são suficientes para que as estações se conectem ao seu AP clone,
de encaminhador de
requisições DNS e embora ainda não sejam possíveis consultas DNS ou roteamento para a internet. Uma vez
servidor DHCP, ideal que a intenção é apenas de capturar tráfego dos clientes, bastaria um servidor DHCP devi-
para pequenas redes
damente configurado para configurar automaticamente nas estações endereços IP, servi-
que tenham NAT
implementado. dores DNS e gateway.
Exercício de fixação 1 e
Redes rogue
Capítulo 5 - Redes rogue e ataques DoS
93
Denial of Service (DoS)
11 Negação de Serviço. q
11 Ameaça frequentemente ignorada.
22 Notebooks comuns.
Ataques DoS normalmente são desprezados por quem projeta uma rede sem fio, especial-
mente pela concepção errada de que são ataques complexos, que exigem equipamentos
caros e um atacante altamente capacitado.
É possível iniciar um ataque DoS com equipamentos comuns encontrados em lojas e sof-
twares simples, baseados em Windows e Linux. Para transmitir, um atacante não precisa
nem mesmo estar próximo à rede-alvo: o uso de antenas de alto ganho permite que se
ataque a rede a grandes distâncias.
A seguir, veremos alguns ataques que podem ser feitos contra organizações que tenham
redes sem fio implantadas.
Não persistentes:
11 Perdem sua eficácia quando o ataque cessa ou o atacante fica fora de alcance.
11 Mais comum.
11 Persistentes: causam impacto no sistema atacado, mesmo depois que o ataque termina;
11 Um ou mais canais.
94
Ataques contra a camada física visam explorar vulnerabilidades, tanto do meio quanto de
especificações de protocolo.
O meio de radiofrequência utilizado por redes sem fio inclui as faixas de 2.4 GHZ ou 5 GHZ.
Esse é o alvo do atacante que deseja atacar o meio. Redes sem fio, como redes cabeadas,
dependem de um meio compartilhado que, mesmo sem atacantes, já é sujeito a DoS – um
usuário que use demais o meio ou outras redes com a mesma frequência.
Os ataques mais comuns não envolvem inserção de ruído na rede através de equipamentos
específicos, opção muitas vezes cara. É mais comum explorar vulnerabilidades nas próprias
especificações da camada MAC de IEEE 802.11 e nos clientes. Vamos nos limitar a explorar esses
últimos ataques, que usam equipamentos-padrão de rede sem fio e exigem softwares simples.
11 Falha crítica.
Introduzimos a questão de ataques DoS contra a camada MAC por autenticação ou asso-
ciação. O ataque ocorre pelo esgotamento de recursos do Access Point: o atacante envia
quadros de gerenciamento dos subtipos autenticação e associação com origem forjada, na
tentativa de esgotar a memória e o processamento do Access Point. Lembre-se de que uma
95
interface pode se associar a apenas um BSS, o que nesse caso não acontece – a interface de
rede do atacante não conclui nenhuma associação porque o endereço de origem foi forjado.
A especificação IEEE 802.11 determina que o número máximo de Association Identifiers (AID)
que podem ser alocados é de 2007, por razões de economia de energia, mas não determina
o que deve ser feito quando esse limite é atingido. Os Access Points têm diversas reações a
esse ataque, todas com alguma forma de DoS:
11 Reboot;
11 “Congelamento” do AP.
O único limitador desse ataque é que, em redes com autenticação por chave compartilhada
(WEP), o atacante deve primeiro se autenticar – o que implica obter a chave WEP de alguma
forma. Veremos adiante como comprometer chaves WEP.
* general options:
* 0: no action
* 1: deauth stations
* 2: auth flood
* 3: assoc flood
*
Segurança em Redes sem Fio
96
* -T n timeout (default: 10sec)
* -l file matchlist
*/
Figura 5.3
Interface gráfica do
gVoid11.
Void11 é uma implementação do ataque de associação ou autenticação para Linux que usa o
driver HostAP. Usa endereços MAC aleatórios para atacar APs especificados na execução do
programa ou qualquer um que seja detectado.
A reação do driver do cliente pode ser a de buscar o mesmo SSID em outros canais, tentar
uma nova conexão com o AP ou ignorar por completo os quadros.
Diferente de ataques de camada física, que atacam toda a atividade de redes sem fio em
determinados canais, esse tipo de ataque é mais específico. Pode ser direcionado a um
cliente específico ou mesmo a todos os clientes de um AP, ao enviar o quadro para o ende-
reço de broadcast (FF:FF:FF:FF:FF:FF).
97
Ataque não persistente: autenticação inválida
11 Atacante envia requisição de autenticação inválida para AP com MAC de origem q
(vítima) forjado.
11 Não persistente.
w
Nesse ataque DoS divulgado na lista BUGTRAQ, um pacote forjado de autenticação é
enviado com um algoritmo inválido, que aparenta ter partido do cliente que se pretende
atacar. Uma vez que o Access Point já estava autenticado, os APs normalmente respondem Mais informações em
com um quadro de gerenciamento “unknown or unsupported algorithm” e interrompem a “BugTraq: 802.11b DoS
exploit”: http://www.
conexão em andamento. securityfocus.com e em
Mark “Fat Bloke”
De acordo com seu autor, um pacote a cada 2.5 segundos é o suficiente para se ter sucesso e Osborne: http://www.
manter um ataque DoS constante. loud-fat-bloke.co.uk/
11 1 segundo ~ 31 pacotes.
É possível atacar esse mecanismo forjando pacotes RTS com o Network Allocation Vector
(NAV) definido com seu valor máximo – 32.767 microssegundos. Assim, o envio de pelo
menos 31 desses pacotes por segundo é o suficiente para impedir que outros nós tenham
acesso à rede por 1 segundo. Aplicado de maneira constante, coloca a rede em condição de
negação de serviço (DoS).
O cliente da rede “escuta” o meio antes de transmitir. Uma vez transmitido, o cliente recebe
um quadro de reconhecimento (ACK, tipo 01 e subtipo 1101) apenas para quadros de dados
Segurança em Redes sem Fio
enviados – quadros de gerenciamento não recebem ACK. Essa característica faz com que as
redes sofram do problema do nó oculto, representado na próxima ilustração.
98
Ataque não persistente: problemas de CSMA/CA
Nó A Nó B Nó C
Figura 5.4
Problema do
nó oculto.
11 A estação B recebe o quadro RTS e responde para toda a área de abrangência de B com
um quadro Clear To Send (CTS). A estação que não enviou um quadro RTS interpreta isso
como um sinal para aguardar antes de transmitir. A estação que transmitiu o quadro RTS
– estação A, nesse caso – interpreta como sinal verde para a transmissão do quadro;
11 Solução: 802.11w.
A proteção dos quadros de gerenciamento está sendo tratada pelo grupo de trabalho
TGw (Project IEEE 802.11 Task Group w – Protected Management Frames).
O IEEE está ciente das falhas de 802.11 e dos ataques aos quadros de gerenciamento, mas
esse grupo de trabalho não tem como objetivo acabar com a ameaça do DoS. O resultado
desse grupo de trabalho será um padrão 802.11w capaz de eliminar diversas vulnerabilidades
do protocolo de gerenciamento de 802.11. Vale lembrar que o meio sempre será vulnerável a
interferências de outras redes, fornos de micro-ondas, telefones sem fio e/ou mesmo
RF-jamming, que consiste em poluir propositalmente a faixa de frequência das ondas de rádio.
99
Medidas de defesa
11 Pouco pode ser feito. q
11 Barreiras contra a propagação de sinais de radiofrequência.
11 Plano de resposta.
Pouco pode ser feito para a contenção de ataques de DoS. A única maneira de impedir os
ataques que abordamos é difícil de ser implantada: limitar a capacidade do atacante de
transmitir para os dispositivos da sua rede sem fio. Um sistema de IDS pode ser útil para
identificar ataques em andamento, o que pode eliminar outras possibilidades de indisponi-
bilidade na rede sem fio.
Identificar ataques também pode auxiliar na resposta a ataques, fazendo com que os
administradores da rede tomem medidas cabíveis, como por exemplo procurar o dispositivo
usando técnicas de identificação de rogues.
A melhor medida de defesa contra ataques DoS é ter um plano de resposta a esse tipo de
ameaça, determinando o que a organização deverá fazer para minimizar o impacto em
elementos críticos da rede.
Segurança em Redes sem Fio
100
Roteiro de Atividades 5
Atividade 5.1 – Identificando APs na rede cabeada
Nesta atividade, executaremos o Nmap, com um script Nmap Script Engine (NSE) específico
para identificar Access Points que estão ligados na rede cabeada do laboratório. Esse script foi
desenvolvido por Joshua Wright (instrutor do SANS Institute) e está disponível no diretório
/root/Desktop/SEG6/rogueap.nse e no site http://www.willhackforsushi.com/code/rogueap.nse
Exemplo:
101
É importante observar que essa abordagem é útil somente na análise a partir da rede
cabeada. A ideia é saber se existe um AP oculto na rede, logo não faz sentido usar essa
varredura a partir de um cliente associado ao AP.
Além do Nessus e do Nmap, é possível realizar essa varredura através do software Paglo
RogueScanner, disponível tanto para Windows como para Linux
Nesse tipo de ataque, a condição de Negação de Serviço (Denial of Service – DoS) é criada
quando um cliente é impedido de se manter associado a um AP. Também é possível realizar
um ataque ainda mais abrangente, que afeta qualquer cliente de um dado AP.
Esse tipo de ataque explora vulnerabilidades dos próprios protocolos 802.11, que não foram
desenvolvidos sem prever o envio de quadros forjados, que simulam ordens do AP para
clientes que chegam na forma de quadros 802.11 do tipo “deauthentication” e “disassociation”.
Antes de qualquer comando, você deve verificar se sua interface de rede 802.11 e respectivo
driver permitem a injeção de pacotes, essencial na criação de quadros que se passam por
tráfego proveniente do AP. Para verificar isso, use os comandos airmon-ng, airodump-ng e
aireplay-ng, parte do pacote de ferramentas Aircrack-ng.
Tanto a interface de rede que estamos usando quando o módulo (driver) rt73 foram tes-
Segurança em Redes sem Fio
12:11:38 Found 1 AP
102
12:11:38 00:02:6F:xx:xx:xx - channel: 1 - ‘rnpesr’
# airodump-ng mon0
00:02:6f:xx:xx:xx 00:18:DE:xx:xx:xx 3 0- 1 0 3
00:03:6f:xx:xx:xx 00:02:2D:xx:xx:xx 41 0- 2 8 7
Observe que no painel superior são exibidos os Access Points. Neste painel você vai coletar
dois dados importantes: o SSID e o BSSID do Access Point que será atacado.
Observe no painel inferior as associações entre clientes e APs. A última coluna desse painel
(probes) exibe os probes que esse cliente está realizando, as redes que estão sendo buscadas.
Um comportamento comum de clientes Windows é buscar por redes já conhecidas; esse campo
normalmente é preenchido por vários SSIDs, inclusive de redes que não existem na área.
Forme par com um colega ao lado. Você realizará o ataque e ele será atacado.
Capítulo 5 - Roteiro de Atividades
Você precisa saber o endereço MAC do cliente. Para isso, oriente seu colega a executar o
seguinte comando:
# ifconfig wlan0
Anote:
BSSID do AP:
SSID do AP:
103
Endereço MAC cliente:
Acompanhe o cliente de seu colega se associando e trocando tráfego com o AP pelo Airodump-ng.
Onde:
Lembre-se de que o endereço do cliente de seu colega será usado no parâmetro “-c”.
Essa saída indica que você provavelmente cometeu um erro ao digitar o BSSID do AP:
2. Você pode também realizar um ataque que causa a desassociação de todos os clientes de
um AP. Você pode fazer isto ordenando que o destino dos quadros seja broadcast.
Configurando o cenário:
1. Computador vítima:
a. Configurar a rede sem fio do Windows para acessar a rede do laboratório (SSID: ESR-SEG6).
104
b. Assim que o Windows se associar ao AP e pegar um IP, desligue o AP.
c. O Windows mantém uma lista de Access Points que ele já se conectou e fica fazendo probes
na rede em busca desses Access Points. Assim, suponhamos que você se conecte na rede
do trabalho e se desconecte e vá a um local público. Se um usuário mal-intencionado rea-
lizar um scan nesse local, ele conseguirá visualizar os probes que seu Sistema Operacional
está realizando, e poderá assim criar um AP rogue para fazer com seu Sistema Operacional
se conecte automaticamente a essa rede falsa.
2. Computador atacante:
11 mon0 – interface em modo raw que será utilizada para criar a rede rogue.
c. Crie o arquivo /etc/dhcp3/dhcpd.conf com os dados a seguir para criar um servidor DHCP
para a rede rogue (arquivo dhcpd.conf disponível em /root/Desktop/SEG6):
default-lease-time 60;
max-lease-time 72;
ddns-update-style none;
authoritative;
log-facility local7;
# /etc/init.d/dhcp3-server start
105
f. Iniciar o metasploit com o script karmetasploit (uma implementação da famosa ferramenta
de rogue Karma, para o framework metasploit). O script karma.rc está em /root/Desktop/SEG6:
# cd /pentest/exploits/framework3
# cp /root/Desktop/SEG6/karma.rc .
# ./msfconsole –r karma.rc
3. Computador vítima:
106
6
Redes WEP-PSK
objetivos
Examinar o protocolo WEP e conhecer suas falhas, tornando-o seguro (não é fácil);
conhecer as possibilidades de ataque a redes com WEP.
conceitos
Mecanismo de segurança WEP.
Introdução
11 Problemas de WEP. q
11 Ataques contra WEP.
Neste capítulo, analisaremos o protocolo Wired Equivalent Privacy (WEP), bem como suas
diversas vulnerabilidades, que comprometem a confidencialidade e a integridade dos dados
trocados em uma rede sem fio. Para provar as vulnerabilidades, apresentaremos alguns
ataques possíveis e ferramentas disponíveis.
Criptografia:
11 Algoritmo RC4.
107
WEP foi criado para fornecer a redes sem fio a confidencialidade de redes cabeadas, embora
seja conhecido como um mecanismo de segurança. Entretanto, devido à falta de meca-
nismos de segurança no início do desenvolvimento dessas redes WEP, foi adotado como
uma maneira de evitar o acesso não autorizado.
O problema de WEP não está em seus protocolos de criptografia, mas em sua implemen-
tação fraca. RC4 é um algoritmo de criptografia de fluxo (stream cipher) usado em proto-
colos de segurança amplamente utilizados, como Secure Socket Layer (SSL) e Transport
Layer Security (TLS).
WEP protege apenas os dados (payload) de quadros 802.11, ou seja, quadros de gerencia-
mento, de controle e o próprio cabeçalho de quadros de dados não são protegidos.
Chaves WEP
11 64 e 128 bits, na verdade, são 40 e 104 bits + IV de 24 bits. q
11 Chave única por pacote.
11 Chave pré-compartilhada:
11 IV é transmitido no pacote.
A função do IV é proteger uma premissa básica de RC4: não repetir o uso de uma chave mais
de uma vez. Dessa forma, cada quadro de dados 802.11 tem uma chave definida pelo admi-
nistrador – também conhecida como chave pré-compartilhada (de PSK, Pre-Shared Key) – e
uma chave variável, o vetor de inicialização (IV).
l
Embora seja parte do segredo, o IV não pode ser um segredo, já que o receptor precisa
WEP oferece suporte a
conhecer o IV para decifrar os dados do quadro. Por isso, ele é informado em um campo do até quatro chaves,
próprio pacote, em texto claro. referenciadas por um
índice no cabeçalho
Uma das principais fraquezas de WEP está justamente no IV. O IEEE não definiu um padrão dos pacotes. Embora
não seja uma opção
de seleção de IVs, o que cria uma vulnerabilidade do ponto de vista do algoritmo RC4:
muito utilizada, tem
repetição de chaves. Uma vez que o campo do quadro 802.11 que comporta o IV tem 24 bits como objetivo permitir
(FF:FF:FF em hexadecimal), o valor máximo do IV é de 16777215. A repetição de valores de que se faça rotação
Segurança em Redes sem Fio
entre chaves.
IV invalida a segurança de RC4, possibilitando a recuperação do texto cifrado do quadro.
Adiante serão analisados ataques que exploram essa falha.
108
IV q
11 4 bytes antes dos dados.
ICV
Quando o flag de WEP estiver ativado no cabeçalho de 802.11, a seção de dados do quadro é
interpretada como dados precedidos por 4 bytes (IV) e seguidos de mais 4 bytes (ICV/CRC32).
Como mencionamos no slide anterior, o IV deve ser informado no quadro para que o receptor
seja capaz de decifrá-lo em posse da chave WEP. O Integrity Check Value (ICV) é o resultado do
cálculo do checksum CRC32, valor usado pelo receptor para verificar a integridade do quadro.
Figura 6.1
WEP no quadro 802.11 Headers IV Data CRC32
802.11.
É bom lembrar que o CRC32 não é suficiente para detectar alterações nos quadros em trânsito.
22 Chave.
22 Para que PRGA tenha o mesmo tamanho dos dados a serem cifrados.
Para ser considerado seguro, o protocolo RC4 nunca pode usar uma chave mais de uma vez.
Como isso é possível?
A chave é composta por duas partes: a chave pré-compartilhada, conhecida como chave
WEP ou PSK, e um Initialization Vector (IV) de 24 bits. A função do IV é alterar, pelo menos,
os últimos 24 bits da chave usada em cada pacote, uma vez que seus bits iniciais são fixos e
devem ser conhecidos por APs e clientes. O processo de cifragem WEP é simples:
11 Cálculo do valor ICV, um campo de 32 bits (4 bytes) adicionado ao fim do texto em claro
(os dados do datagrama);
11 Algoritmo RC4 gera Pseudo Random Generation Algorithm (PRGA) com base na chave
(PSK e IV concatenados) e no comprimento do texto em claro (incluindo ICV). PRGA tem
o mesmo comprimento do texto em claro acrescido do ICV de 32 bits, necessário na
Capítulo 6 - Redes WEP-PSK
operação XOR;
11 Conteúdo do pacote cifrado, resultado de uma operação XOR entre PRGA e texto em
claro (acrescido do ICV);
109
IV Shared key
RC4
RC4 Keystream
Plaintext IV Ciphertext
XOR
Figura 6.2
Integrity Check Ciphertext Processo de
ICV cifragem dos dados
Algorithm
por WEP.
A figura anterior ilustra o processo de cifragem dos dados por WEP. Note que a chave de
cada pacote é a chave pré-compartilhada concatenada ao valor do IV – o que tem, como
objetivo, satisfazer ao pré-requisito básico do algoritmo RC4 (chaves únicas). Note que o
texto cifrado é concatenado com o valor de Integrity Check Value (ICV), usado na verificação
da integridade do pacote na recepção.
XOR
05,8 0 0
05,8 1 1
15,8 0 1
15,8 1 0
Secret Key
II
Plaintext
IV WEP
Seed PRNG Key Sequence ICV’
Integrity Algorithm
Ciphertext ICV’=ICV?
ICV
Figura 6.3
Decifrando os
Message pacotes WEP.
11 O processo de decifração do pacote é um pouco mais complexo, pois não se trata apenas
Segurança em Redes sem Fio
11 PRGA é gerado a partir dos valores do IV recebido no pacote e da chave WEP, conhecida
previamente pela estação;
11 A operação XOR entre texto cifrado e PRGA revela texto em claro + ICV;
110
Problemas de WEP
A chave pode ser obtida a partir do texto cifrado. q
11 Maior falha de WEP.
11 Ataque FMS.
11 Ferramenta: wep_crack.
Um elemento crítico para o sucesso desse tipo de ataque é o conhecimento prévio de uma
porção do pacote cifrado por WEP. Esse fator importante desse tipo de ataque foi obtido a
partir da própria estrutura típica dos pacotes: o cabeçalho 802.2 (LLC), que normalmente
segue o cabeçalho 802.11, possui o valor 0xAA 0xAA.
A única verificação que o receptor de tráfego WEP faz ao receber um pacote é sobre o valor
do Integrity Check Value (ICV). Se o ICV observado conferir com o ICV calculado, então a
estação receptora assume que o transmissor possui a chave correta. A base dessa suposição
é o fato de que uma chave inválida geraria PRGA inválido, fazendo com que o pacote não
seja decifrado adequadamente.
Esse processo não provê um mecanismo que garanta que um pacote nunca tenha sido visto
naquela rede, permitindo que tráfego já recebido pela estação seja injetado. Entretanto,
nesse cenário o atacante não é capaz de saber o conteúdo dos pacotes.
Capítulo 6 - Redes WEP-PSK
111
11 Podem ser forjados com dados arbitrários. q
22 Valores recalculados por atacante.
22 Mesmo CRC.
11 Ferramenta: HashCalc.
O protocolo WEP de redes 802.11 possui outra falha envolvendo ICV: o algoritmo CRC32,
mecanismo Message Integrity Check (MIC) usado nas verificações de integridade ICV e FCS,
é considerado criptograficamente fraco. Isso se deve à ausência de senha em uma auten-
w
ticação do tipo Hashed Message Authentication Mechanism (HMAC), que gera hash com
número de bits insuficiente para tornar cada hash único.
Como já vimos, o Integrity Check Value (ICV) é calculado sobre o texto em claro e concate- Conheça o SlavaSoft
nado ao fim deste antes de ser cifrado. Já o valor Frame Check Sequence (FCS) é obtido a HashCalc – Hash, CRC
and HMAC Calculator:
partir do cálculo CRC32 de todo o pacote. http://www.slavasoft.
com
A ferramenta HashCalc pode ser usada para a geração do mesmo valor de CRC32 para duas
entradas diferentes: a chamada “colisão”.
11 Vazamento da chave.
Implantações antigas:
A rotação de chaves WEP era feita manualmente nas primeiras implantações, em que não
havia a possibilidade de rotação de chaves de implementações mais recentes. Essa difi-
culdade de distribuição de chaves levou e ainda leva diversas empresas a simplesmente
manterem a mesma chave por anos a fio.
112
Vetor de inicialização muito curto
11 Alta probabilidade de ocorrência de colisão. q
11 Matemática aumenta as chances de colisão, mesmo com 16.7 milhões de possibilidades.
22 Paradoxo do aniversário.
11 Requisito de RC4.
11 Estação cifra o desafio com a chave WEP que conhece e envia para o AP.
22 Desafio XOR.
22 Resposta = PRGA.
Essa falha não poderia ser diferente das demais: outra falha de projeto, dessa vez permi-
Capítulo 6 - Redes WEP-PSK
Ao requisitar acesso a um AP, a estação recebe um desafio (challenge), que consiste num
texto em claro. Ao receber o texto, a estação o cifra com a chave WEP que possui e envia o
texto cifrado de volta para o AP. O AP também cifra o texto com sua chave, e o compara com
o texto cifrado enviado pela estação. Se os textos cifrados conferem, o AP assume que a
estação tem a chave WEP correta e autentica a estação.
113
A falha nesse processo está na oportunidade de o atacante ter acesso fácil a texto em claro
e cifrado. Lembre-se de que:
11 XOR entre texto em claro e PRGA tem, como produto, texto cifrado.
Para pensar
11 Ferramentas:
22 AirSnort: inativo.
22 Aircrack: inativo.
22 Aircrack-ptw.
Existem ferramentas que implementam ataques com base nas vulnerabilidades descritas
por FMS, com graus de eficiência variáveis.
Aircrack é uma implementeção mais recente e eficiente que AirSnort. Diferente deste último,
Aircrack requer um arquivo LIBPCAP e não é capaz de quebrar a chave durante a captura.
Entretanto, é muito mais eficiente que AirSnort: em média, 250 mil pacotes são suficientes
para a obtenção da chave. Atualmente Aircrack está inativo.
Ataque de dicionário
11 Útil apenas em AP de fabricantes que restringem a seleção de chaves a caracteres ASCII. q
11 Utilidade de fingerprinting.
11 Calcula PRGA.
Segurança em Redes sem Fio
114
Esse ataque tira proveito da prática de alguns fornecedores de AP que restringem o espaço
de caracteres possíveis a ASCII.
Nesse cenário, o atacante precisa de apenas dois pacotes e de recursos computacionais para
iniciar um ataque de dicionário off-line. Os elementos do ataque podem ser resumidos em:
11 Verificação do sucesso das tentativas buscando os caracteres 0xAA 0xAA, típicos do início
do cabeçalho SNAP (802.2), que indicam que o pacote foi decifrado;
11 Por que coletar dois pacotes? Verificação dupla, no caso de descoberta da chave.
11 Problema:
Ao criar chaves WEP, normalmente se utilizam palavras de dicionário, o que facilita ataques.
Outro fator que limita a escolha é a exigência de comprimento: 10 caracteres para WEP 40 bits,
e 26 para 104 bits.
Não é raro o administrador de rede escolher uma chave baseada em uma palavra
com caracteres repetidos, de forma que o requisito de comprimento seja atendido.
115
Infelizmente, o algoritmo Neesus Datacom não gera chaves WEP exclusivas, falhando em seu Figura 6.4
objetivo e possibilitando ataques. Algoritmo de
geração de chaves
A primeira operação do algoritmo já começa a tornar as chaves menos únicas, uma vez Neesus Datacom.
que quebra a senha digitada em blocos de 4 bytes e realiza uma operação de XOR entre as
colunas. Outro fator da senha que torna as chaves menos únicas é o fato de caracteres ASCII
terem valores em hexadecimal que variam de 0x00 a 0x7F, sendo que o bit mais significativo
nunca é definido (7F = 1111111).
Ao final, uma chave de 40 bits passa a ser tão única quanto uma chave de 21 bits – um
espaço de possibilidades que permite que um atacante tente todas as 221 combinações
(2.097.152 chaves) em um ataque de força bruta.
11 Pacotes de desafio/resposta.
11 Procurar por pacotes que estejam com o “privacy bit” ativado. Isso pode ser feito no
Wireshark através do display filter “wlan.fc.protected == 1”. Lembre-se de que conexões
MAN Lucent não apresentam esse bit;
116
11 Procurar por tráfego de desafio/resposta, típico da fase de autenticação WEP;
11 Procurar pela presença de tráfego EAPOL (EAP Over LAN), que pode indicar a presença de
802.1x e, por consequência, a ausência de autenticação WEP.
Etapas da auditoria
11 A auditoria depende da quantidade de tráfego coletada. q
11 Sequência de técnicas sugerida:
11 Ataque de dicionário:
22 Arquivo .network.
Avaliar uma rede com WEP depende do tempo que o auditor tem à sua disposição – quanto
mais tempo disponível, melhor a análise.
É possível identificar se há interfaces de rede que selecionam IVs fracos (artigo FMS). Isso
pode ser feito com a análise da saída do utilitário Kismet, mais especificamente o campo
“Weak” do arquivo .nework.
117
Outro cenário em que WEP pode ser apropriado é para uso doméstico, desde que o usuário
esteja ciente de que um atacante determinado não será contido. Redes desprovidas de
segurança são alvos mais fáceis; de qualquer forma, mesmo redes com WEP dependem de
certas condições (captura de grande quantidade de tráfego, horário ideal de captura etc.)
para permitirem a interceptação dos dados ou o acesso não autorizado da rede.
22 30 segundos, se possível.
11 Colisões de IV:
É possível tornar WEP mais seguro por segurança em profundidade (In-Depth Security), ou
seja, pela adoção de mecanismos de segurança em várias camadas, embora esse não seja
o foco deste curso. Comparado com mecanismos de segurança mais recentes, WEP oferece
menos segurança e deve ser substituído por mecanismos mais eficientes, tais como TKIP
(WPA1) ou AES (WPA2).
Caso essa substituição por mecanismos mais modernos e seguros não seja possível, por
motivos financeiros ou por manutenção de compatibilidade, é viável implantar Dynamic WEP
e reduzir o intervalo de emissão de chaves para 30 ou 60 segundos. Essa medida dificultará
ataques FMS, uma vez que o atacante não conseguirá coletar IVs suficientes.
Colisões de IV não podem ser evitadas, já que tanto estações como APs podem selecionar
os valores de IV de maneira sequencial. Por outro lado, reduzir o intervalo de emissão de
chaves aumenta a utilização de CPU e gera mais colisões de IV, uma vez que o contador é
zerado para 00:00:00 com mais frequência.
Segurança em Redes sem Fio
118
Roteiro de Atividades 6
Este capítulo teve o propósito de demonstrar a vulnerabilidade do protocolo WEP e não de
ensinar técnicas de cracking, o que está fora do seu escopo. Outro aspecto importante da
prática está no fato de que a parte inicial do processo de recuperação da chave, captura de
pacotes WEP, filtragem e seleção correta dos pacotes podem demandar muito tempo, devido a
variáveis como distância do AP, interferência, instabilidade do driver rt73 da interface Linksys
WUSB54GC. Para garantir uma experiência positiva, fornecemos um arquivo de captura ideal.
Atividade 6.1 – Capturando pacotes cifrados com WEP com ferramentas Aircrack-ng
Antes de usar a ferramenta Aircrack-ng, precisamos capturar tráfego ideal, com vetores de
inicialização em quantidade suficiente para a recuperação da chave.
Hoje, com apenas 40 mil pacotes, a probabilidade de sucesso na recuperação de uma chave
WEP 104 bits é de cerca de 50%. A probabilidade de sucesso aumenta para 80% com 60 mil
pacotes e para 95% com 85 mil pacotes.
Capturar esse volume de tráfego naturalmente pode levar muito tempo, dependendo do
volume de tráfego da rede. Para resolver esse problema, aprenderemos a acelerar a captura
do tráfego ideal pela injeção de tráfego.
Antes de qualquer ação, devemos conhecer a rede cuja chave desejamos recuperar.
É interessante que capturemos apenas tráfego relevante, ou seja, que pertença ao AP em
questão. Vamos usar Airodump-ng para conhecer os seguintes dados:
11 Endereço MAC de um cliente associado ao AP: Escolha um cliente com mais tráfego
(painel inferior);
11 Canal.
# airodump-ng mon0
BSSID:
Capítulo 6 - Roteiro de Atividades
MAC:
Canal:
Já colocamos a interface wlan0 em modo Monitor com a execução do comando airmon-ng. Agora
vamos iniciar a captura do tráfego específico. Comecemos abrindo três terminais diferentes.
Para efeito de organização, vamos executar todos os comandos a partir do seguinte diretório:
119
/root/Desktop/SEG6/saidas/
# cd /root/Desktop/SEG6//saidas/wep
Substitua o valor do parâmetro “--bssid” pelo BSSID que anotamos. Escolha o canal correto e
utilize-o como parâmetro “--channel”.
Mantenha essa janela de terminal aberta e abra outra. Nessa segunda janela de terminal
executaremos a ferramenta aireplay-ng, com a finalidade de aumentar a quantidade de
pacotes que trafegam na rede e capturar mais IVs em um menor espaço de tempo. Para
melhores resultados, tente se posicionar entre o AP e o cliente escolhidos.
Com esse comando, vamos capturar o tráfego ARP entre um cliente (especificado pelo parâ-
metro “h”) e o AP (especificado pelo parâmetro “b”) e o injetar novamente, criando tráfego
ideal mais rapidamente. Devido ao comportamento do tráfego ARP, é necessário que pelo
menos um cliente esteja associado ao AP para que o funcionamento da ferramenta seja
bem-sucedido.
O método PTK usa especificamente tráfego ARP, por isso esse tipo de injeção foi escolhido.
Consulte a documentação do Aireplay-ng para conhecer os outros tipos de injeção.
Essa é a saída do comando aireplay-ng. Note que à esquerda (got...) é exibido o número de
pacotes ARP capturados. À direita é exibido o número de pacotes injetados.
Read 1508 packets (got 136 ARP requests and 0 ACKs), sent 149
packets...(501 pps
Read 1555 packets (got 176 ARP requests and 0 ACKs), sent 199
packets...(500 pps
Read 1607 packets (got 222 ARP requests and 0 ACKs), sent 248
120
packets...(498 pps
Read 1655 packets (got 260 ARP requests and 0 ACKs), sent 298
packets...(498 pps
Read 1704 packets (got 302 ARP requests and 0 ACKs), sent 349
packets...(500 pps
Aguarde até que o número de pacotes injetados atinja a marca de 40 mil pacotes. Observe a saída
“sent xxx packets”. Quando o número 40 mil for alcançado, avance para a atividade seguinte.
É bem provável que a quantidade de pacotes necessários não tenha sido obtida com a
injeção de apenas 40 mil pacotes. Por isso, vamos manter a janela com o Aireplay-ng aberta
e manter a execução de Aircrack-ng, que realiza as colisões em intervalos de 5 mil pacotes.
Para utilizar o Aircrack-ng, é necessária uma captura com no mínimo 250 mil pacotes (IVs)
para chaves WEP de 40 bits e pelo menos 500 mil pacotes (IVs) para chaves de 104 bits.
Abra uma nova janela de terminal, a terceira janela. Mantenha as duas outras janelas
abertas, com Airodump-ng e Aireplay-ng.
# aircrack-ng
http://www.aircrack-ng.org
Common options:
121
Static WEP cracking options:
# aircrack-ng -P 2 /root/Desktop/SEG6/saidas/wep/airodump-saida-01.
cap
Segurança em Redes sem Fio
A captura e injeção de pacotes estão sujeitas a diversas variáveis. Por isso, é possível que
você não consiga capturar o tráfego mínimo necessário. Se isso acontecer, use o arquivo
pré-capturado para observar a saída bem-sucedida do comando dentro do tempo destinado
ao laboratório.
# aircrack-ng -P 2 /root/Desktop/SEG6/wep-aireplay-ng.cap
122
Verifique a quantidade de vetores de inicialização (IVs) necessários e o tamanho da chave obtida,
e estime o tempo gasto na recuperação da chave depois que o tráfego ideal foi capturado.
Agora vamos repetir o comando anterior com outros métodos de ataque para constatar o
avanço que o ataque PTW trouxe.
Primeiro vamos capturar mais tráfego da rede da qual já descobrimos a chave no exercício
anterior. Use Airodump-ng especificando canal e SSID para capturar somente o tráfego que
lhe interessa, ou seja, não capture o tráfego de outros Access Points.
# wep_decrypt
Execute o wep_decrypt usando os seguintes parâmetros. Vamos usar o arquivo que captu-
ramos e a chave WEP que já obtivemos.
Lembre-se de que a chave tem 10 caracteres hexadecimais (0-9 a-f) se o AP foi configurado
com WEP 40 bits. Se o AP foi configurado com WEP 104 bits, então o comprimento da chave
é de 26 caracteres hexadecimais.
Outra maneira de decodificar o tráfego WEP é com Kismet. Podemos fazer isso de duas formas:
11 Em tempo real;
Inicie o Kismet através do menu “BackTrack > Information Gathering > Network Analysis >
WLAN Analysis > kismet”. Não precisamos configurar as fontes de captura no arquivo
/usr/local/etc/kismet.conf, porque isso é feito de maneira automática. Entretanto, para con-
figurar o Kismet manualmente é necessário editar os arquivos kismet.conf e kismet_ui.conf
(caso queira alterar a aparência da interface gráfica) e executar o próprio comando kismet
(e não start-kismet-ng).
Capítulo 6 - Roteiro de Atividades
ncsource=wlan0
wepkey=00:01:02:03:04:05,111111111111111111111111111
123
Onde:
11 A cadeia de caracteres seguinte, separada por vírgula, é a chave da rede (10 caracteres
hexadecimais para WEP 40 bits e 26 caracteres hexadecimais para WEP 104 bits).
O Kismet também pode ser usado para decriptar tráfego WEP pré-capturado, seja com
Kismet, TCPdump ou Airodump-ng (pacote Aircrack-ng), ou seja, arquivos no formato
tcpdump/libpcap. Para isso substitua o “capture source” da interface de rede 802.11 USB
pela seguinte fonte de captura:
pcapfile
Depois de configurado, basta iniciar o Kismet. Todo o tráfego do arquivo de formato libpcap
será rapidamente processado por Kismet.
Segurança em Redes sem Fio
124
7
Redes WPA-PSK
objetivos
conceitos
WPA, TKIP e redes WPA-PSK.
Introdução
WPA: q
11 Wi-Fi Protected Access (abril de 2003).
WPA é a primeira implementação do padrão IEEE 802.11i e conta com a maioria de suas
especificações. É baseada em Temporal Key Integrity Protocol (TKIP) para confidencialidade
e integridade dos dados.
Assim como WPA2 e Wi-Fi, WPA não é um padrão propriamente dito. É uma certificação que
a Wi-Fi Alliance concede a produtos, com base em primeiro lugar em interoperabilidade
entre fabricantes. O padrão IEEE em questão é o 802.11i, implementado por completo em
WPA2, e parcialmente (baseado no draft) em WPA (pré-padrão). O protocolo TKIP foi criado
considerando duas limitações:
Capítulo 7 - Redes WPA-PSK
11 Implementável por meio de upgrade de software, de forma que não seja necessário
upgrade de hardware. Essa condição limitou a escolha de mecanismos de segurança;
11 Limitação de processamento dos dispositivos, uma vez que dispositivos de rede como
interfaces de rede e Access Points não possuem poder de processamento significativo.
125
WPA
Personal: q
11 Não requer servidor de autenticação.
Enterprise:
O WPA pode ser implantado de dois modos diferentes, de acordo com o porte e as necessi-
dades da empresa:
22 MIC Michael.
O desenvolvimento de WPA foi pautado com uma importante condição: ser implantado em
hardware existente. Essa condição influenciou diversos de seus componentes na limitação
de processamento ou com a necessidade de ser atualizável por software. WPA resolveu as
vulnerabilidades de WEP de três formas diferentes:
11 Michael: WEP não implementava Message Integrity Check (MIC) em seu protocolo, essen-
cial na prevenção de ataques de replay. WPA adota um MIC chamado Michael, que foi
Segurança em Redes sem Fio
TKIP – MIC
11 Temporal Key Integrity Protocol. q
11 Conjunto de mecanismos de segurança.
126
11 Melhora segurança em relação a WEP, mesmo com limitações de projeto. q
22 MIC: proteção contra tráfego forjado.
TKIP é o protocolo que provê a confidencialidade e a integridade ao tráfego da rede que WEP
não proporcionava. Juntamente com a possibilidade de autenticação 802.1x/EAP no modelo
Enterprise, TKIP melhora a proteção da rede por diversos mecanismos:
WEP
CRC32: q
11 Permite duas entradas com o mesmo checksum.
Sem MIC:
Uma das vulnerabilidades de WEP é permitir que seu tráfego seja capturado, alterado e
retransmitido. Isso é possível porque a função de hash CRC32 (Cyclic Redundancy Check) –
usada tanto no checksum ICV quanto no FCS de WEP – possibilita que o conteúdo do pacote
seja alterado, obtendo um mesmo checksum CRC32. Em WPA, este problema foi resolvido
com a introdução de Michael como MIC.
Michael
11 Gera hash de 64 bits. q
11 A partir de cabeçalho + payload e chave de 64 bits.
O protocolo usado para MIC em TKIP se chama Michael, criado por Niels Fergunson.
Essa função de autenticação recebe, como entradas, dados arbitrários (cabeçalho e payload,
no caso de 802.11) e uma chave de 64 bits para gerar um hash de 64 bits, incluído no pacote.
Recebido o pacote, o sistema receptor aplica Michael novamente para gerar o hash, com
Capítulo 7 - Redes WPA-PSK
a mesma chave usada pelo sistema que transmitiu. Se um atacante alterar o pacote em
trânsito, essa alteração se refletirá no hash, que será diferente do esperado pelo sistema
receptor, porque o atacante não possui a chave MIC de 64 bits.
127
TKIP – sequência do IV
Ataques de replay. q
11 WEP não impõe restrições sobre a seleção de IVs.
Um fator que certamente facilita esse tipo de ataque é que não é necessário conhecer o con-
teúdo do tráfego capturado para retransmiti-lo, ou seja, não é necessário ter a chave WEP.
Para pensar
Um atacante poderia utilizar essa técnica para provocar um tráfego que lhe inte-
resse na rede; por exemplo: a resposta de um sistema financeiro que ele sabe, de
antemão, que opera em rede sem fio.
TKIP resolve o problema de WEP de uma maneira simples: exige que todas as estações e
Access Points da rede usem IVs sequenciais, que começam em 0 (zero) e são incrementados
de 1 (um). As estações devem manter controle sob o número de sequência de cada uma das
outras estações. No caso de receberem um pacote com IV menor que um anteriormente
recebido, o pacote é simplesmente descartado. Por outro lado, se o IV tem valor maior que
o esperado, então o pacote passa por verificação de MIC e de chave de cifragem antes que o
contador da estação seja atualizado com o novo valor.
sequência é reiniciado antes de voltar a 0 (zero) e as chaves passam por rotação permanente.
Rekeying
11 Problema de WEP, que eventualmente reutilizava chaves. q
11 Colisões de IV.
128
A repetição de chaves invalida o protocolo RC4. Em redes WEP esse evento acontece, uma
vez que há apenas 16 milhões de valores IV únicos.
Uma solução para esse problema seria a troca periódica e automática da chave WEP, o que
é possível somente com extensões disponíveis em 802.1x. Entretanto, a rotação baseada em
tempo, usada em Dynamic WEP, é ineficiente a taxas altas de transferência. Assim, a rotação
deveria ter, como gatilho, o número de pacotes enviados e recebidos, e não o tempo de
duração desta operação.
11 Master Key.
11 Intermediate Key.
11 Temporal Key.
TKIP resolveu o problema de reemissão de chaves de WEP com a implantação de três tipos
de chave aliada à rotação regular. Os níveis das chaves são os seguintes:
11 Temporal Key: nível mais baixo da chave usada para cifrar os dados. Sofre rotação antes
que os valores se repitam.
Key Mixing
11 Problema de WEP. q
11 Ocorrência de IVs fracos revela a chave WEP.
11 Colisão de chaves.
A divulgação do IV pelo protocolo WEP é outro ponto de vulnerabilidade, pois permite que
um atacante identifique colisões simplesmente ao capturar tráfego na rede em questão.
Capítulo 7 - Redes WPA-PSK
WPA mitiga esse problema ao levar em conta as limitações de projeto, isto é, deveria usar
os mesmos 3 bytes reservados para IV em WEP, para que fosse possível a atualização por
software. Para WPA, foi desenvolvido o mecanismo de mistura de chaves (key mixing).
129
Key Mixing – solução de WPA
Chave temporária para cifrar dados, em vez de PSK. q
Fases:
Em vez de cifrar os dados com a chave pré-compartilhada (como em WEP), WPA cifra os
dados com uma chave temporária. Esse processo é composto de duas fases:
11 Na fase 1: uma PMK (Pairwise Master Key) é criada a partir da PSK e depois misturada
com os endereços MAC de origem e destino, gerando uma chave intermediária chamada
Pairwise Transient Key PTK ();
A chave de 128 bits é usada para cifrar o pacote, sendo que os primeiros 3 bytes são
transmitidos no campo que comporta IV em WEP. Os endereços MAC são misturados com
a chave temporária, o que torna a chave única, mesmo se todos os clientes usam a mesma
PSK e PMK. Mesmo que um atacante tivesse acesso a esta chave de 128 bits resultante do
processo, ele não seria capaz de determinar estas duas últimas chaves.
Figura 7.1
Detalhes de
TKIP – 4-Way Handshake informação
da chave.
Segurança em Redes sem Fio
130
O handshake de TKIP é a maneira pela qual Supplicant e Authenticator trocam os dados
necessários para gerar a Pairwise Temporal Key (PTK). Para que PTK seja gerado, assume-se
que AP e estação tenham conhecimento de:
11 Seus próprios endereços MAC, uma vez que PTK é gerado a partir da concatenação de
PMK, ANonce, SNonce, MAC do AP e MAC da estação.
No primeiro quadro, temos uma seção “Key Information”, que fornece informações sobre
tipos de chaves que serão trocadas: “HMAC-MD5” para MIC, e RC4 para “cifragem”.
Figura 7.2 Nessa nova visão do primeiro quadro, é possível visualizar o ANonce, indicador de uma nova
Valores das chaves. negociação PTK.
Esse quadro contém o primeiro de dois nonces usados no cálculo de PTK, o ANonce (A de AP).
Em posse desse valor, a estação (STA) tem a capacidade de construir a Pairwise Transient Key
Capítulo 7 - Redes WPA-PSK
O quadro em particular não carrega MIC porque o Authenticator ainda não possui informações
suficientes para gerar o PTK, não tendo, portanto, um valor de MIC necessário para o cálculo.
131
Quando o Authenticator recebe esse segundo quadro, extrai o nonce do Supplicant e pode
calcular o PTK usando a chave HMAC para validar o MIC do pacote.
O penúltimo quadro do handshake se origina do Authenticator, que inclui o Group Temporal Figura 7.3
Key (GTK) e um número de sequência juntamente com um MIC. O número de sequência é Handshake.
Supplicant confirma
usado no próximo quadro multicast ou broadcast, de forma básica de detecção de replay nonces únicos e
pelas estações. PTK corretos.
Esse quadro garante para o Supplicant que não há nenhum atacante “homem do meio” (Man
In The Middle – MITM), ou seja, que o quadro não foi alterado no caminho. Essa verificação
garante também que o Authenticator calculou o PTK corretamente.
Segurança em Redes sem Fio
132
Figura 7.4 O último quadro do handshake vem do Supplicant, que reconhece o recebimento do quadro
Pronto para anterior. Esse quadro também serve para indicar que o Supplicant está pronto para
transmitir e receber
dados. transmitir e receber dados.
STA AP
ANonce
AP constrói o PTK
GTK + MIC
O gráfico ilustra as quatro etapas do handshake TKIP, descritas passo a passo anteriormente.
O objetivo dessa transação é fornecer ao cliente a Pairwise Transient Key (PTK), a chave tem-
porária que valerá até a próxima emissão de chaves, usada na geração de três novas chaves:
11 EAPOL-Key Confirmation Key (KCK): chave usada para computar o MIC em pacotes
EAPOL-Key;
11 EAPOL-Key Encryption Key (KEK): chave usada para cifrar os pacotes EAPOL-Key;
11 Temporal Key (TK): chave usada para cifrar o tráfego sem fio em si.
133
Outro objetivo desta transação é fornecer para a estação o número de sequência usado na
transmissão de tráfego broadcast e multicast.
11 Identificam WPA-PSK.
11 Suporte a TKIP –
11 WPA.
11 PSK.
134
wlan_mgt.tag.number eq 221
Esse tag tem 22 bytes e é interpretado pelo Wireshark diversas vezes, o que nos traz infor-
mações interessantes:
w
Com seu artigo publicado em 2003, Robert Moskowitz apontou para uma fraqueza no
processo de derivação da Pairwise Transient Key (PTK) de redes WPA-PSK. Essa vulnera-
Leia o texto “Weakness bilidade permite que um atacante realize um ataque de dicionário off-line contra a chave
in Passphrase Choice in pré-compartilhada (PSK), coletando apenas o conteúdo do handshaking.
WPA Interface”, de
Robert Moskowitz, e
Joshua Wright, do SANS Institute, implementou esse ataque na ferramenta coWPAtty, que
visite o site coWPAtty:
https://sourceforge. será abordada em mais detalhes na atividade prática deste Capítulo.
net/projects/cowpatty
Melhorando a segurança de WPA-PSK
11 Insegurança está em senhas compartilhadas. q
11 Limitar conhecimento da chave.
Devemos ter em mente que WPA-PSK é voltado para o mercado doméstico e de pequenas
empresas (SOHO), uma vez que o gerenciamento das chaves se torna impraticável em
ambiente corporativo. Considerando esse escopo de WPA-PSK, duas medidas podem ser
tomadas para melhorar a sua segurança:
11 Limitar o conhecimento da senha, algo subjetivo demais para ser considerado como
medida de segurança;
Capítulo 7 - Redes WPA-PSK
11 Seleção de senhas fortes, com caracteres variados e com pelo menos 20 caracteres
de extensão.
135
Vulnerabilidades do TKIP
Apesar das implementações de segurança, o protocolo TKIP é vulnerável. q
11 Utiliza um mecanismo de verificação de integridade basedado no CRC32.
Apesar do protocolo TKIP implementar uma solução contra replay de pacotes, essa não foi sufi- l
ciente, uma vez que ainda utiliza um mecanismo de verificação de integridade baseado em CRC32. No artigo “Practical
attacks against WEP
A realização desse ataque não é simples, pois depende de um access point com suporte a QoS, and WPA”, Martin Beck
e Erick Tews demons-
pois o ataque utiliza os canais QoS para transmitir os pacotes “reconstruídos”. Esse ataque
tram esse ataque, que
pode ser realizado com a ferramenta tkiptun-ng, disponibilizada pelo Aircrack-ng, porém não ficou conhecido como
realizaremos esse ataque devido à falta de suporte de QoS pelo AP que utilizamos nos testes. ataque Beck-Tews. Leia
também o artigo “
Em 2009, dois pesquisadores japoneses, Toshihiro Ohigashi and Masakatu Morii, apre- A Practical Message
Falsification Attack on
sentaram um paper com uma forma mais eficiente de executar o ataque de Beck-Tews,
WPA” de Toshihiro
utilizando uma técnica de Man In The Middle. Porém, esse ataque não foi implementado Ohigashi e Masakatu
oficialmente na ferramenta tkiptun-ng. Morii.
WPA2
WPA2 é a implementação de fato do modelo de segurança proposto em 802.11i. q
11 Implementa 802.11i por completo.
11 WPA2 Personal e Enterprise: assim como WPA, é possível usar chave pré-compartilhada
(PSK) ou autenticação 802.1 com um dos tipos de EAP disponíveis.
11 Counter Mode with Cipher Block Chaining Message Authentication Code Protocol
(CCMP) para prover confidencialidade, integridade e autenticação. Baseado no algoritmo
Advanced Encryption Standard (AES).
11 A implementação desse protocolo foi feita completamente do zero, baseado nos estudos
dos protocolos 802.10 e IPsec, não tendo nenhuma relação com WEP e necessitando
suporte específico tanto de hardware quanto de software no AP e na interface de acesso.
11 A implementação de WPA2, bem como WPA associado a 802.1x e EAP, será abordada nos
Segurança em Redes sem Fio
Capítulos 9 e 10. Neste Capítulo, implantaremos uma WLAN mais segura, baseada em
WPA2 (AES/CCMP) e com autenticação 802.1x pelo EAP type EAP-TLS.
136
Roteiro de Atividades 7
Atividade 7.1 – Descobrindo a chave WPA-PSK por ataque de dicionário
Neste exercício, constataremos que os protocolos WPA Personal (WPA-PSK) e WPA2 Personal
(WPA2-PSK) – mecanismos de segurança que muitos usuários consideram invulneráveis –
são suscetíveis a ataques de dicionário.
Todos esses arquivos (exceto exemplo-john-rules.txt) serão criados pelo aluno na segunda
fase do laboratório, em ambiente ao vivo. Considere-os como modelos.
# cowpatty
Atenção aos parâmetros “-f”, “-s” e “-r”. Mais adiante utilizaremos também o parâmetro “-d”
para lidar com hashs de senha pré-processados para um determinado SSID, usando o
comando genpmk (pacote coWPAtty).
Capítulo 7 - Roteiro de Atividades
Para iniciar o ataque off-line de força bruta contra o arquivo de captura wpa-eapol-rnpesr.cap,
use o comando:
# cowpatty –f /root/Desktop/SEG6/wpa/wordlist-portugues.txt –s
rnpesr –r /rnp-esr/7-wpa/demo/wpa-eapol-rnpesr.cap
Aguarde.
137
Se ao final da execução do comando tivermos a seguinte saída, nenhuma das palavras é a
chave PSK (Pre-Shared Key) da rede “rnpesr”.
Unable do identify the PSK from the dictionary file. Try expanding
your passphrase list, and double check the SSID. Sorry it didn’t
work out.
Siga a orientação da própria saída do programa, ou seja, expanda a sua lista de palavras.
Isso pode ser feito com a mesma lista de palavras (wordlist); usaremos a ferramenta John
the Ripper (john) para esse fim.
Um dos recursos dessa ferramenta é o parâmetro “--rules”, que testa diversas variações
comuns de cada uma das palavras. Execute o seguinte comando:
# john –-wordlist=/root/Desktop/SEG6/wpa/wordlist-portugues.txt -–
rules --stdout > /rnp-esr/7-wpa/saidas/wordlist-portugues-john.txt
Para compreender melhor o efeito do parâmetro “rules” da ferramenta John the Ripper, con-
sulte o arquivo exemplo-john-rules em /root/Desktop/SEG6/wpa//exemplo-john-rules.txt. Essa
foi a saída para o comando sobre um arquivo que tinha apenas uma palavra, “exemplo”.
Note que a diferença na quantidade de palavras é bem significativa. O primeiro arquivo tem
1.383 linhas/palavras. Consulte o número de palavras da segunda lista de palavras:
# wc -l /root/Desktop/SEG6/wpa//saidas/wordlist-portugues-john.txt
# genpmk
Escolha a lista de palavras com a qual tivemos sucesso na etapa anterior (antes ou depois de
John the Ripper). Coloque esse arquivo como parâmetro “-f”.
138
Uma vez gerado o hash file, podemos executar novamente o coWPAtty, agora usando esse
arquivo em vez do dicionário. Note que não usamos mais o parâmetro “-f” (dictionary file), e
sim “-d” (arquivo hash gerado pela ferramenta genpmk).
Observe a execução do coWPAtty e anote o tempo que a ferramenta levou para descobrir
as senhas. Qual foi a principal diferença observada entre os dois métodos de descoberta da
chave? Note que esse arquivo hash só pode ser utilizado para ataques contra o SSID usado
no comando genpmk.
Nesse momento existe um AP configurado com WPA-PSK. O instrutor informará canal, SSID
e BSSID (endereço MAC do AP).
Apenas um aluno e o instrutor conhecem a chave da rede WPA Personal/WPA PSK. A estação
de trabalho será associada ou desassociada para gerar o tráfego de que você precisa.
# cd /root/Desktop/SEG6/wpa/saidas/
# airodump-ng --channel X --bssid rnpesr2 -w airodumpng-rnpesr2
Onde X é o canal que o instrutor forneceu, “BSSID” é o BSSID que o instrutor forneceu e
PREFIXO é um campo livre para definição do prefixo do nome de arquivo de saída. Outra
maneira de descobrir esses dados da rede é com as ferramentas Kismet.
A chave da rede é uma das palavras da lista fornecida no início desta prática, wordlist-portugues.txt.
Capítulo 7 - Roteiro de Atividades
A chave também pode ser uma variação deste arquivo, gerada pela ferramenta John the Ripper.
Para iniciar o ataque off-line de força bruta contra o arquivo capturado, use a ferramenta
coWPAtty:
# cowpatty –f /root/Desktop/SEG6/wpa/wordlist-portugues.txt –s
rnpesr2 –r airodumpng-rnpesr2-01.cap
Note que cada vez que executamos o comando airodump-ng, é criado um novo arquivo de
captura sequencial. Exemplo: para um prefixo rnp (comando airodump-ng), os arquivos são
rnp-01.cap, rnp-02.cap e assim por diante.
# cd /root/Desktop/SEG6/wpa/saidas
# genpmk –f /root/Desktop/SEG6/wpa/wordlist-portugues.txt –s
rnpesr2 –d wordlist-portugues.hash
Uma vez gerado o arquivo hash, execute novamente o coWPAtty, agora usando esse arquivo
em vez do dicionário:
# cd /root/Desktop/SEG6/wpa/saidas
Ou:
# cd /root/Desktop/SEG6/wpa/saidas
140
8
Sistemas de detecção de intrusões
(IDS) em redes WLAN
objetivos
conceitos
Funcionalidades de um AP pela instalação de OpenWRT.
Introdução
11 Conceitos de IDS. q
11 Modelos de implantação.
11 Métodos de detecção.
11 Características importantes.
Ao final, introduziremos o modelo de IDS que o Kismet implementa, com a interessante pos-
sibilidade de distribuição de sensores (Drones), que reportam a um servidor central. Essa
introdução será importante para a atividade prática que se seguirá.
141
11 IDS rede sem fio (WIDS) versus IDS rede cabeada. q
22 Camada 2.
22 Canais.
Sistemas de Intrusion Detection System (IDS) em redes sem fio são uma extensão da tecno-
logia já empregada em redes cabeadas. Do ponto de vista de rede, a diferença entre redes
cabeadas e sem fio está na camada física, e é a monitoração nessa camada que nos interessa.
11 Não possuem perímetro: pode parecer estranho à primeira vista, mas é possível afirmar
que não há perímetro em redes sem fio, especialmente levando em conta o risco dos rogues;
11 Camada TCP/IP: IDS de uma rede sem fio deve inspecionar quadros de camada 2 – é
isso que lhe confere a capacidade de detectar ataques DoS e outros específicos de redes
802.11. A integração com um IDS de camadas superiores pode ser feita, desde que se
resolva a questão do tráfego cifrado;
Termos importantes
Evento de interesse para o analista. q
Falso-positivo:
22 Alarme falso.
Falso-negativo:
22 Ausência de detecção.
Sistemas de IDS normalmente são baseados em captura de tráfego, busca por assinaturas
conhecidas e alguma forma de alerta para o analista. Existem alguns termos essenciais na
Segurança em Redes sem Fio
11 Evento de interesse (Event of Interest): evento que pode indicar a presença de um ata-
cante. No contexto de redes sem fio, podemos dar como exemplo a identificação de uma
estação que esteja usando a ferramenta NetStumbler. É importante para se entender os
motivos ou táticas de um atacante;
142
11 Falso-negativo: o oposto de falso-positivo: há um ataque em andamento, mas o IDS não
é capaz de identificá-lo e, consequentemente, alertar o analista. Um falso-negativo é pior
para a organização do que um falso-positivo e, normalmente, indica uma carência do IDS
– não identificar corretamente tráfego fragmentado em pacotes, por exemplo – ou, o que
é mais frequente, uma base de assinaturas desatualizada.
B as
e de Dados
Alarmes
Detector Contramedidas
Con
figurações
Dados
Ações
Figura 8.1
Arquitetura Sistema
genérica de um IDS.
Modelos de implantação
Cobertura
11 Sensores dedicados. q
22 Salta entre canais sem se preocupar com clientes conectados.
Embora esse modelo seja o de maior custo, teremos condições de implantá-lo na atividade
prática deste Capítulo 8. A relação entre a quantidade de clientes e Access Points, assim
como a disponibilidade de um software de monitoração de qualidade superior e open source
(Kismet) permite que experimentemos um modelo mais sofisticado de monitoração, com mais
funcionalidades. A capacidade de operar em modo “monitor” – em que todo o tráfego de um
dado canal, incluindo os de gerenciamento e controle, é capturado – aliado à possibilidade
143
de saltar entre canais e detectar 22 tipos de ataques conhecidos, confere para Kismet uma
solução com recursos comparáveis aos de soluções comerciais.
Implantação integrada
11 APs existentes para monitoração. q
11 Opção mais barata.
11 Varredura limitada.
Outro modelo de implantação disponível é o “integrado”, que usa os próprios Access Points
da infraestrutura para monitoração da rede. É uma solução de baixo custo, mas exige que se
utilize um equipamento que permita essa funcionalidade, porque é necessário que a inter-
face sem fio seja capaz tanto de monitorar quanto de prover serviço de infraestrutura.
Uma implantação de Kismet não é possível nesse modelo, a menos que se tenha um Access
Point com duas interfaces de rede sem fio: uma em modo “monitor” – exigência de Kismet –
e outra para prover associação para clientes.
Diferente do modelo “cobertura”, sensores nesse modelo não são capazes de moni-
torar todos os canais, já que precisam permanecer em um único canal para prover
conectividade para clientes.
Métodos de detecção
11 Análise de assinaturas. q
11 Análise de tendências.
11 Análise de anomalias.
22 Baseada em assinaturas.
11 Disponível no Kismet.
22 Possibilidade de falsos-positivos.
Na análise por assinaturas, cada pacote capturado é analisado contra uma base de assina-
turas de ataques conhecidos. A vantagem dessa técnica é a velocidade de análise, per-
Segurança em Redes sem Fio
mitindo que o sensor seja capaz de detectar ataques mesmo a altas taxas. O único fator
limitante é a capacidade de processamento do dispositivo, que deve ser levada em conside-
ração quando a implementação dos sensores ocorre nos Access Points.
144
Kismet provê análise de pacotes por assinaturas para 12 tipos de ataques diferentes, como
veremos mais adiante neste capítulo.
Análise de assinaturas
NetStumbler. q
11 Probes contra um AP descoberto.
Análise de tendências
11 Pode ser classificada como um subtipo de detecção por anomalia. q
11 Identifica ataques avaliando dados coletados no decorrer do tempo.
11 Disponível no Kismet.
11 Desassociações em excesso;
11 Detecção de clientes que apenas efetuam probes na rede, mas nunca se associam: ativi-
dade típica de ferramentas como NetStumbler.
O Kismet implementa esse tipo de análise e exige mais processamento e memória somente
no servidor – o que diminui consideravelmente o risco de esgotamento de recursos no
Access Point, por conta dessa análise. Trataremos mais adiante de dois tipos de ataques
detectados pelo Kismet por esse tipo de análise.
Análise de anomalias
11 Alarme na ocorrência de eventos afastados significativamente de um comportamento q
145
considerado normal.
11 Identifica eventos anômalos que não condizem com a especificação IEEE 802.11.
11 Pouco implementada.
O método por anomalia produz alarmes na ocorrência de eventos que se afastem signifi-
cativamente de um comportamento considerado normal (base de normalidade – baseline),
porém, requer um período anterior de observação da rede para a formação da baseline.
Basicamente, esse tipo de detecção considera suspeito um dado tráfego que não siga a
especificação IEEE 802.11.
11 Implantação simples.
Alguns recursos devem ser considerados, na avaliação de soluções de IDS para uma rede
sem fio. Alguns deles:
11 Protocolo de comunicação seguro: protocolos como Syslog, HTTP e SNMP devem ser evi-
tados em favor de opções que não transmitam os dados monitorados em claro pela rede.
e superiores.
Com relação à integração com sistemas IDS tradicionais, é possível direcionar a saída de
Kismet para um named pipe (opção “fifo” da configuração) e enviar o tráfego para uma ferra-
menta como Snort.
146
Essa opção, entretanto, é limitada para tráfego WEP, o único que Kismet é capaz
de decifrar.
Características importantes
Dwell Time e Hop Time: q
11 Tempo em que não há monitoração por troca de canais.
Área de cobertura:
11 Área de cobertura: sensores normalmente usam a rede cabeada para reportar o tráfego
monitorado para o servidor centralizado e, por isso, não precisam transmitir. Assim, não
existem as mesmas restrições de distância que afetam a implantação de APs. Portanto, é
possível implantar sensores numa razão de 4:1, ou seja, 4 APs para cada sensor IDS;
11 Dwell time, Hop Time: o tempo gasto entre os saltos de canais (dwell time) e o tempo
necessário para trocar de canal (hop time) devem ser levados em conta por serem
fatores importantes. É possível que ataques aconteçam enquanto a rede não está sendo
monitorada devido a um desses eventos. Soluções para esse problema são estabilizar em
um canal em que se tenha detectado um ataque ou manter o maior número possível de
sensores em canais estáticos;
11 Modo RFMON:
22 Raw monitoring.
22 Tráfego 802.11a/b/g.
Kismet agrega diversas funções: detector de redes sem fio 802.11 de camada 2, sniffer
(captura de pacotes) e sistema de detecção de intrusões em redes sem fio (WIDS). Esta
última funcionalidade nos interessa em especial.
147
O Kismet tem diversas opções de source, fontes de captura que são fontes de pacotes para
análise. O tipo de fonte determina a maneira de capturar dados da interface: como mudar de
canal, como entrar em modo RFMON. Por meio da interface de captura “kismet_drone”, é pos-
sível identificar o endereço IP e a porta do drone – termo usado para o sensor remoto do Kismet.
Drones Kismet
11 Normalmente servidor, sensor e interface gráfica no mesmo host. q
11 IDS distribuído (escalabilidade).
O uso de drones transforma Kismet em um IDS distribuído. Drones têm todo o suporte a
fontes de capturas do sensor normal, reportando por uma conexão secundária (normalmente,
pela rede cabeada) para um servidor Kismet que armazena e analisa os pacotes coletados.
Diversas configurações de varredura de canais são possíveis: diversos drones que moni-
toram canais distintos, poucos drones que varrem poucos canais ou apenas um drone que
varre todos os canais. É importante lembrar aqui dos conceitos de dwell time e hop time:
quanto menos se saltar entre canais, maior a cobertura do espectro e menor a possibilidade
de perder o tráfego de um atacante.
Kismet provê detecção de ataques baseada em assinaturas e tendências, com foco na camada
2 (802.11). A integração com a camada 3 e superiores é possível através do uso de Snort com
fonte de captura em um named pipe criado pelo Kismet. A configuração é simples:
148
w
11 Configura-se um Drone Kismet pelo arquivo de configuração kismet_drone.conf;
11 Configura-se o Kismet Server de forma que uma das fontes de captura seja um Drone
Aprenda mais sobre
Named Pipes e o Kismet. O capture source em questão é o kismet_drone;
Kismet. Acesse
11 Acesso aos dados por um cliente Kismet, seja no mesmo host do servidor ou não.
“Introduction to Named
Pipes” em http://www2.
linuxjournal.com/ A integração com Snort é feita por named pipes e deve ser feita no host que hospeda o Kismet
article/2156 e “Kismet Server. Infelizmente, apenas tráfegos WEP ou não cifrados podem ser encaminhados para
reader” em http://www.
o Snort, uma vez que Kismet é capaz de decifrar em tempo real apenas esse tipo de tráfego.
kismetwireless.net/
documentation. Os alertas foram desenvolvidos para sensores estáticos, ou seja, podem emitir alertas sem
shtml#readme importância quando são utilizados sensores móveis em cenários de wardriving, por exemplo.
A descrição das regras nos próximos slides se refere à versão Kismet-2006-04-R1.
11 APSPOOF.
11 LONGSSID: detecta solicitações de conexão SSIDs com nome maior que 32 bytes.
11 APSOOF: uma lista de endereços MAC válidos para um determinado SSID pode ser passada
através da opção “apspoof=”. Se for detectado na rede algum Beacon ou tentativa de
conexão ao SSID monitorado, cujo MAC do AP não esteja na lista, um alerta é emitido;
11 DHCPCLIENTID: um cliente que enviar um pacote de DHCP DISCOVER contendo uma tag
de Client-ID, que não bate com o MAC address de origem do pacote, pode estar tentando
gerar uma negação de serviço contra o servidor DHCP;
149
11 DISCONCODEINVALID/DEAUTHCODEINVALID: detecta pacotes de desconexão e/ou desau-
tenticação que não possua códigos corretos para a razão da desconexão/desautenticação;
11 CHANCHANGE: ataque do tipo Man In The Middle (MITM) no qual o atacante tenta dire-
cionar usuários para um AP falso com mesmo SSID de um AP da organização;
11 BSSTIMESTAMP: o timestamp BSS não pode ser forjado. Um timestamp BSS diferente é
uma provável tentativa de forjar o BSSID ou SSID de um Access Point;
11 CRYPTODROP: detecta um AP que esteja configurado com um nível mais baixo de segu-
rança (por exemplo, um AP com WEP em uma rede WPA), pode ser utilizado para enganar
um usuário e obter suas credenciais;
150
11 BCASTDISCON: detecta se algum host está enviando pacotes pacotes forjados de desau-
tenticação ou desasociação, o que pode gerar desconexão de todos clientes de uma rede
Wi-Fi (DoS);
Servidor Kismet.
Clientes Kismet.
11 Local ou remoto.
11 Kismet Server.
11 Kismet Client.
11 Kismet Drone.
O objetivo da atividade é ter sensores abrangendo todos os canais de 802.11b/g, com o obje-
tivo final de detectar ataques e rogues.
151
Segurança em Redes sem Fio
152
Roteiro de Atividades 8
Na prática de reconhecimento da ferramenta Kismet, lidamos com uma infraestrutura com-
posta por Kismet Server e Kismet Client em operação no mesmo host. Existe um terceiro
elemento, Kismet Drone, um software leve, que exerce apenas um papel: encaminhar os
dados coletados para um Kismet Server remoto, como um sensor de detecção.
Dessa forma, podemos criar uma infraestrutura com vários drones e um servidor Kismet rece-
bendo os dados de diversas posições, com placas e canais diferentes, através da rede cabeada.
11 Ativação do Kismet Server, configurado para receber pacotes apenas do único drone
ativado (editar kismet.conf );
11 Verificação do funcionamento;
11 # ifconfig wlan0 up
11 Ativação do Kismet Server, configurado para receber pacotes dos demais drones ativados
Capítulo 8 - Roteiro de Atividades
11 Verificação do funcionamento.
153
Atividade 8.1 – Configurando o Kismet Drone
A configuração do drone é feita de maneira bem simples: bastam algumas alterações no
arquivo kismet_drone.conf, em /usr/local/etc/ do seu BackTrack. Lembre-se de salvar o arquivo
de configuração.
1. Altere para o endereço IP do Kismet Server ou pela máscara da rede, por exemplo:
allowedhosts=192.168.1.1
bindaddress=192.168.1.10
source=rt73,wlan0,drone1,1
channelhop=false
Para configurar o Kismet Server para operar com drones, inclua a seguinte linha no seu
arquivo kismet.conf (em “/usr/local/etc/” ):
source=kismet_drone,192.168.1.10:3501,d1
Você pode configurar diversos drones – um para cada canal, por exemplo. A nomenclatura
d1, por exemplo, pode indicar um drone que opera apenas no canal 1.
Note que, uma vez que Kismet utiliza a interface WLAN em modo “monitor”, não é possível
usá-la para associação. Assim, a comunicação entre Kismet Server e Drone normalmente
ocorre por meio da rede cabeada.
Agora, seu WIDS está pronto. Basta iniciar o Kismet Drone seguido do Kismet Server para
visualizar os pacotes recebidos remotamente.
# rmmod rt73
# modprobe rt73
Segurança em Redes sem Fio
A interface Linksys WUSB54GC em especial normalmente exige que o módulo seja carre-
gado novamente para que a captura de Kismet (Server ou Drone) aconteça com sucesso.
154
Execute o comando kismet_drone, para acionar o Kismet Drone. Abaixo uma saída bem-sucedida:
bt etc # kismet_drone
# kismet
# man kismet_drone
# man kismet
Crie um WIDS com pelo menos três drones, de forma que cada um deles cuide de uma faixa
de canais. Enumere pelo menos duas vantagens de se monitorar o máximo de canais simul-
taneamente (dica: dwell time).
Se desejar que cada drone monitore apenas determinado canal (ex. 6), altere no arquivo
kismet_drone.conf de cada um dos drones:
source=rt73,rausb0,drone1,1
source=rt73,rausb0,drone2,2
source=rt73,rausb0,drone3,3
source=rt73,rausb0,drone4,4
Capítulo 8 - Roteiro de Atividades
O nome que se dá ao source (drone1, drone2, neste caso) é irrelevante para a exibição no
Kismet Client. O nome do source que aparece no painel do Kismet Client é configurado na
linha source do arquivo kismet.conf .
source=rt73,rausb0,drone1
channelhop=false
155
Atividade 8.4 – Alertas
O Kismet, atualmente, oferece 22 tipos de alertas diferentes que poderão ser visualizados
na barra de alertas, na parte inferior da interface gráfica:
11 AIRJACKSSID;
11 APSPOOF;
11 BSSTIMESTAMP;
11 CHANCHANGE;
11 CRYPTODROP;
11 DEAUTHFLOOD;
11 BCASTDISCON;
11 DHCPCLIENTID;
11 DHCPCONFLICT;
11 DISASSOCTRAFFIC;
11 DISCONCODEINVALID;
11 DEAUTHCODEINVALID;
11 DHCPNAMECHANGE;
11 DHCPOSCHANGE;
11 LONGSSID;
11 LUCENTTEST;
11 SFBCOMSSID;
11 MSFDLINKRATE;
11 MSFNETGEARBEACON;
11 NETSTUMBLER;
11 NULLPROBERESP;
11 PROBENOJOIN.
Provoque uma situação de alerta para seu WIDS recém-criado. Exemplos de ataque:
Netstumbler – Ataque de DoS com Aireplay-ng.
Segurança em Redes sem Fio
156
9
Implantando uma WLAN segura
(parte 1)
objetivos
conceitos
WEP, WPA2 Personal (WPA2-PSK) e WPA2 Enterprise.
Introdução
11 Estudo de caso: Linksys WRT54GS. q
11 AP mais seguro com OpenWRT.
Segurança padrão no AP
Assim como outras opções de firmware (DD-WRT, por exemplo), OpenWRT oferece configu-
rações mais avançadas e flexíveis que o firmware original, tais como segmentação da rede,
automatização de tarefas e ajuste da potência de transmissão, bem como administração
remota segura por SSH (Secure Shell). Contudo, nem todos os APs suportam o upgrade,
devendo-se, antes, verificar a compatibilidade com o firmware escolhido. Nas práticas
subsequentes, configuraremos os APs com os firmwares comerciais já instalados.
157
Linksys e D-Link são padrão no mercado SOHO. q
Estudo de caso: Linksys WRT54GS.
Administração:
11 Suporte a HTTPS.
Figura 9.1
WRT54GS.
Linksys, juntamente com D-Link, podem ser considerados padrões no mercado SOHO (Small
Office/Home Office). Essa característica, que os tornam acessíveis, juntamente com seus
recursos, fizeram com que o WRT54GS fosse o AP escolhido para as práticas.
Uma característica típica desse tipo de dispositivo é a presença de um servidor web embu-
tido para permitir o gerenciamento da unidade. Nesse modelo em particular essa é a única
interface administrativa disponível de fábrica, que tem autenticação HTTP e suporte a
HTTPS para proteger o tráfego que carrega a senha de acesso.
WPA.
11 WPA-PSK (Personal).
11 Enterprise.
WPA2 (802.11i).
11 Personal.
Esse Access Point foi lançado em 2004 e permite que se utilize todos os mecanismos
Segurança em Redes sem Fio
158
Figura 9.2 Configurações de segurança
q
Tela do WRT54GS:
configurações 11 Secure Easy Setup (SES).
relacionadas à
segurança. 11 SSID.
11 AP isolation.
A Linksys inclui, entre seus roteadores sem fio mais recentes, o recurso Secure Easy Setup
(SES). Trata-se de um utilitário instalado, no cliente, associado a um botão no AP que, uma
vez pressionado, configura de maneira automática uma rede WPA-PSK. Não trataremos
dessa configuração, uma vez que está voltada justamente para quem não quer conhecer
detalhes de redes sem fio.
A seleção do Service Set Identifier (SSID) é importante, pois um SSID mal selecionado pode
dar a um atacante informações importantes. O simples fato de não alterar o SSID já torna o
Capítulo 9 - Implantando uma WLAN segura (parte 1)
AP atraente, considerando que pode indicar um AP com configuração padrão – SSID Linksys
e com senha “admin” no caso do WRT54GS. Evite, também, escolher um SSID que diga algo
sobre sua organização – salas, andares e departamentos.
O broadcast do SSID pode ser desabilitado, de forma que somente quem conhecer o AP
poderá se associar a ele. Essa “proteção” é de pouca utilidade para conter atacantes, uma
vez que esse dado é divulgado em pacotes de associação e fácil de capturar.
Outro recurso normalmente associado à segurança é o filtro de acesso por endereço MAC.
Esse tipo de filtro pode conter um atacante menos experiente, mas não conterá aquele que
forjar seu endereço MAC – algo feito facilmente tanto em plataformas Linux quanto Windows.
159
11 Firewall, filtros de aplicação e DMZ. q
11 Administração:
22 Alteração de senha.
22 Habilitar HTTPS.
11 DMZ: possibilidade de expor um host diretamente à rede de distribuição, que pode ser a
rede interna ou a internet, no caso do usuário doméstico.
O acesso à interface de administração deve ser feito apenas por usuários autorizados e,
para que isto aconteça, o AP implementa algumas medidas de controle de acesso.
Outra maneira de proteger o acesso administrativo é habilitar o servidor web com HTTPS
e usar apenas esse protocolo de acesso. É possível, ainda, restringir ou permitir o acesso a
estações ligadas à LAN do AP. De forma semelhante, é possível restringir ou permitir o acesso
à interface administrativa a partir de hosts da rede cabeada à qual o AP está conectado.
Por padrão, um AP como esse não possui nem mesmo a possibilidade de se escolher um
usuário para o controle de acesso de HTTP – o que certamente permite ataques por força
bruta. Quanto menor for a exposição da interface administrativa, melhor – especialmente
em redes abertas.
Atualização de firmware
11 O AP também está sujeito a vulnerabilidades. q
11 Pode ser encarada como atualização de segurança.
Tal como sua estação Windows, que precisa de atualizações de segurança do Sistema Opera-
cional (SO), de antivírus, do anti-spyware e de diversos outros componentes do sistema, um
Segurança em Redes sem Fio
Atualizar o firmware deve ser encarado como uma tarefa rotineira de segurança, especial-
mente porque são frequentes as vulnerabilidades descobertas nesse tipo de dispositivo.
Como exemplo, podemos citar o caso do próprio WRT54GS com firmware 4.50.6, que
160
apresentava uma vulnerabilidade que permitia que, mesmo definido o authentication type
(menu “Wireless” > “Advanced Wireless Settings”) para Auto ou Shared, o AP se comportava
como aberto – mesmo com WPA-PSK e TKIP habilitados.
11 Versão 3.
11 Solução: Linux.
Os Access Points da Linksys têm recursos de hardware abundantes em suas versões mais
antigas. As séries WRT54G e GS ficaram conhecidas por terem tido seu código-fonte libe- Capítulo 9 - Implantando uma WLAN segura (parte 1)
w
rado, satisfazendo às obrigações GNU GPL e permitindo o desenvolvimento de firmwares
alternativos baseados em Linux.
Conheça mais sobre o A partir da versão 5, lançada em abril de 2006, tanto a versão G como GS passaram a ter
OpenWRT (Table of firmware baseado em VxWorks e tiveram sua memória flash reduzida a um tamanho insu-
Hardware) e sobre os
hardwares Linksys em ficiente para a instalação dos firmwares baseados em Linux. Uma nova série foi lançada
“Linksys hardware (WRT54GL), que voltou a permitir a instalação de outros firmwares, com a desvantagem de
notes”.
oferecer apenas 4 MB e 16 MB de memória Flash e RAM, respectivamente. Esse modelo é
basicamente um WRT54G versão 4 – que ainda permite a instalação de Linux.
161
OpenWRT
11 Firmware alternative. q
11 Torna o AP um mini-PC com Linux.
Outras opções:
11 DD-WRT.
11 HyperWRT.
Outras opções de firmware consagradas pelo uso, e mais voltadas para quem deseja uma
interface gráfica mais rica, são DD-WRT e HyperWRT.
Vantagens do OpenWRT
11 Gerenciamento melhorado: SSH, SNMP e possibilidade de automações por scripts. q
11 Mais parâmetros de configuração: nem tudo está na interface gráfica, ainda rudimentar.
O OpenWRT traz diversas vantagens, se for comparado com o firmware original da Linksys e
até mesmo com outros firmwares baseados em Linux:
11 RADIUS: um aspecto que diferencia essa distribuição de firmware das demais é a possi-
Segurança em Redes sem Fio
bilidade de instalação de pacotes, que vão desde Snort e Nmap até um servidor RADIUS
– o que nos interessará, particularmente, no Capítulo 10. A possibilidade de RADIUS no
próprio AP elimina a necessidade de um authentication server dedicado, facilitando a
implantação de WPA e WPA2 Enterprise em ambientes mais modestos;
11 Linux: por meio de comandos comuns de Linux, como ifconfig, uname, iwconfig e brctl
(para controlar bridges), é possível entender com mais detalhes a arquitetura interna do
AP. Se não for suficiente, é possível alterar a arquitetura, segregando LAN e WLAN em
VLANs distintas, por exemplo.
162
CPU WRT54G v4
WRT54GS v3
OpenWrt
br0
eth1
WIFI
vlan0 vlan1 eth Access Point
Tagging
eth0
Porta interna
Figura 9.4
Arquitetura do Switch
WRT54GS.
w Ethernet, de uma interface de rede sem fio e de um processador que os conecta. A LAN que,
por padrão, engloba WLAN e LAN em bridge, passa a ser separada da WAN que, no contexto
Para mais informações
sobre a arquitetura do AP, é o backbone ao qual ele é conectado. A LAN é representada pela interface vlan0 e a
interna do AP, que varia WAN, pela interface vlan1. A interface sem fio pode ser manipulada, tal como uma interface
conforme o fabricante
de uma estação Linux, pelo dispositivo eth1.
e o modelo em
questão, consulte a
Nesse ponto, lembre-se da configuração de uma estação Linux: o modo Master é o que
documentação de
OpenWRT: OpenWR- confere ao dispositivo a funcionalidade de AP. Alterar o modo da interface de rede do AP
Tdocs: Configuration 2. Capítulo 9 - Implantando uma WLAN segura (parte 1)
para Managed muda sua função para o cliente. Essa opção é interessante quando se deseja
Network Configuration.
transformar o AP naquilo que se costuma chamar de “extensor” – um dispositivo que possui
uma interface.
11 SquashFS é o recomendado.
163
3. Selecione o método de instalação: q
11 HTTP.
11 TFTP.
A instalação do OpenWRT é simples, mas deve ser feita com muita cautela (não será reali-
zada nas práticas deste curso). Uma falha no procedimento pode ser o suficiente para um AP
“bricked” – ou seja, inutilizável.
A versão “micro” oferece quantidade reduzida de pacotes disponíveis logo após o flashing
do firmware novo, inclusive sem interface gráfica administrativa. Devido aos recursos que
temos no WRT54GS v3, essa opção não se faz necessária.
A última etapa na escolha do firmware é decidir entre dois sistemas de arquivos: SquashFS
ou JFFS2. Recomenda-se a utilização de SquashFS que, apesar de ser um filesystem que
permite somente leitura, proporciona a impressão de um FS que permite escrita por meio
de uma partição secundária JFFS2. Essa partição, que permite somente leitura, tem uma
utilidade interessante: recuperar facilmente arquivos originais da instalação.
w
Mais informações sobre
Os modos de instalação mais comuns são pela interface web e por TFTP. É recomendado que a instalação por TFTP
podem ser obtidas em:
se utilize este último modo, embora exija que a variável de boot_wait da NVRAM esteja ativada Installing OpenWRT via
(boot_wait=on) – o que não constitui padrão em todos os equipamentos. Optaremos aqui pelo TFTP.
modo de instalação pela interface gráfica, um modo por meio do qual se obtém mais sucesso.
Segurança em Redes sem Fio
164
Instalação do firmware pela interface administrativa web
Figura 9.5 O modo de instalação por TFTP não é possível em todos os casos; por isso, ilustraremos a
Upload do instalação através da interface web. Alguns cuidados devem ser tomados antes de efetuar o
firmware.
upload do firmware selecionado:
11 Certifique-se de que a fonte de energia esteja bem instalada e de que a energia esteja
estável. Falta de energia durante o processo pode resultar em um AP “bricked”.
11 Conecte a estação ao AP por meio da rede cabeada, em uma das portas LAN disponíveis
(não a porta WAN). Defina um endereço estático na mesma rede do endereço do AP
(192.168.1.1) – 192.168.1.100 – com Subnet mask 255.255.255.0, por exemplo.
11 Certifique-se de que a conexão com o AP não esteja sendo feita com o servidor HTTPS do
dispositivo. Se for o caso, habilite novamente HTTP.
Uma vez seguidas todas estas recomendações, seu AP estará pronto para sofrer flashing. Em
seguida, pressione o botão “Upgrade” para prosseguir.
Capítulo 9 - Implantando uma WLAN segura (parte 1)
A utilização dos LEDs é levemente alterada no OpenWRT. Dispositivos com o LED “DMZ”
indicarão que o processo terminou, da seguinte forma:
165
Segurança em Redes sem Fio
166
Roteiro de Atividades 9
11 Configuração pós-boot.
http://stevehorbachuk.com/linksys
11 Usuário: admin
11 Senha: admin
Procure pela página do produto e pela opção firmware. Tenha em mãos os dados do hardware,
disponíveis na etiqueta localizada na parte inferior do aparelho. Você deve procurar por
modelo e versão do hardware (hardware version, h/w version).
Figura 9.6
Localização da
etiqueta.
WRT54Gv5v6_1.02.5.002_fw.bin
167
Antes de realizar o upload do firmware:
1. Conecte seu desktop em uma das portas Ethernet. Em hipótese alguma realize a atuali-
zação através de um link 802.11, porque não é seguro. Se esse processo for interrompido,
existe a possibilidade de danos irreparáveis.
A atualização é muito importante. Existem versões que permitem, por exemplo, a confi-
guração de parâmetros de um AP sem a necessidade de senha. Assim, um usuário com
o laptop associado ao AP é capaz de alterar a senha da interface administrativa e obter
controle sobre a rede.
Configurações adicionais:
11 Defina o time zone correto para que os logs sejam registrados adequadamente. Normal-
mente os APs sincronizam seu relógio automaticamente depois de ligados à internet com
sucesso. Essa opção está disponível nos aparelhos Linksys em “Setup – Basic Setup”.
Na aba “Administration”:
11 Desabilite a opção “Wireless Access Web”. Dessa forma, o AP poderá ser administrado
somente pela porta Ethernet, ou seja, é necessário o acesso físico.
11 Desabilite a opção “Remote Management”. Dessa forma você não permite que a adminis-
tração seja feita a partir da interface WAN, que normalmente fica em contato com a internet.
Configure o AP como WPA2 Personal, utilizando AES como protocolo de cifragem. Defina
uma chave WPA2 compartilhada utilizando os critérios de segurança vistos durante o curso.
Escolha uma senha robusta para evitar ataques de dicionários. Uma senha longa e que use
todos os caracteres ASCII (símbolos, números, maiúsculas, minúsculas) é sua única proteção.
Segurança em Redes sem Fio
168
Atividade 9.3 – Configurações extras de segurança e desempenho
Em administração, altere o SSID default. Esse tipo de medida é especialmente importante para
redes WPA Personal, já que o ataque depende do SSID. Valores padrão auxiliam o atacante.
11 Escolha um canal de frequência que não esteja sendo utilizado por outro AP, na área de
alcance, com uma separação de canais o maior possível para os vizinhos.
11 Configure o AP para utilizar o MAC Filters. Coloque apenas a sua estação na lista de ende-
reços MAC permitidos e verifique a conexão. Verifique com um colega se um cliente com
um MAC diferente consegue se conectar ao AP.
11 Desabilite os protocolos que não são necessários (ex.: IEEE 802.11b), caso todas as placas
de sua rede utilizem 802.11g. Para melhor desempenho, configure a interface em modo
802.11b apenas (aba “Wireless – Basic Wireless Settings”).
169
Segurança em Redes sem Fio
170
10
Implantando uma WLAN segura
(parte 2)
Apresentar conceitos de arquitetura de autenticação; mostrar conceitos de autenticação
objetivos
conceitos
EAP-TLS; FreeRADIUS; configuração WPA2 com RADIUS.
Introdução
No Capítulo 9, concluímos a instalação de um AP com WPA2-PSK, segurança suficiente para
um usuário doméstico ou microempresa. Com essa implementação, não é necessária a ins-
talação de um servidor de autenticação, além de estar disponível em qualquer AP comprado
nos últimos dois anos. Embora WPA2-PSK sofra do mesmo problema de WEP, a necessidade
de uma chave compartilhada torna superiores seus mecanismos de segurança.
Desvantagens:
11 Chave compartilhada: mesma chave para todos os usuários, segredo mantido por
pouco tempo.
171
WPA foi criado pela Wi-Fi Alliance como resposta aos problemas de WEP. Para isso, intro-
duziu apenas parte (TKIP em vez de CCMP) do padrão 802.11i, que ainda estava em desen-
volvimento. Hoje, nem mesmo WPA-PSK, uma solução vigente para WEP até 2004, constitui
garantia de segurança, pois ferramentas como coWPAtty são capazes de quebrar a chave
pelo ataque de dicionário off-line. Ataque de dicionário
Consiste na cifragem
As desvantagens de WPA2 são as mesmas de qualquer sistema com senhas compartilhadas: das palavras de um
o risco presente de vazamento para usuários não autorizados. Outro aspecto negativo do dicionário e de compa-
uso de PSK é a dificuldade de distribuição de chaves junto aos clientes, um processo manual rações com os arquivos
de senhas de usuários.
e que dificulta a troca periódica de chaves.
Arquitetura de autenticação
IEEE 802.1x – Port Based Network Access Control. q
Servidor de autenticação externo.
11 FreeRADIUS.
22 RFC 3748.
Para que se implemente 802.11i em sua totalidade – o que também é conhecido como
Robust Secure Network (RSN) –, é preciso ir além de WPA-PSK. Para isso, introduzimos mais
um elemento na infraestrutura: o servidor de autenticação 802.1x.
O padrão 802.1x não define o tipo de servidor de autenticação backend que deve ser utili-
zado, mas RADIUS pode ser considerado o padrão “de fato”. Existem diversas implemen-
tações de RADIUS, mas trataremos apenas da opção open source FreeRADIUS. Com ele, é
possível implantar RADIUS tanto como um servidor externo quanto no próprio AP.
O 802.1x usa o protocolo Extensible Authentication Protocol (EAP), que permite diversos
esquemas de autenticação: smart cards, Kerberos, chaves públicas, entre outros. O foco do
curso está no método EAP-TLS, que usa os protocolos de autenticação otimizados, pro-
vidos pelo protocolo EAP para autenticação, para um esquema de segurança ainda mais
seguro, quando associado com WPA2. O papel de Transport Layer Security (TLS), usado
para diversas aplicações como web e e-mail, é o de prover autenticação mútua, negociação
de algoritmos de criptografia com integridade protegida e troca de chaves entre cliente e
servidor RADIUS, evitando ataques como man-in-the-middle.
Chaves Públicas (ICP), uma vez que é necessária a presença de certificados no ser-
vidor de autenticação e no suplicante.
172
Servidor de autenticação
(RADIUS)
Rede sem fio
2
Au
thentica t or
É bom lembrar que a segurança da rede fica a cargo de WPA2 após a autenticação: 802.1x
entra em ação somente nas autenticações inicial e periódicas (determinadas pelo AP) para
garantir a troca segura de chaves.
Outra observação importante é que o túnel TLS pode ser não formado diretamente Capítulo 10 - Implantando uma WLAN segura (parte 2)
entre cliente e Authentication Server (RADIUS): não aplicável quando é usado
FreeRADIUS.
802.1x e FreeRADIUS
11 FreeRADIUS como Authentication Server. q
11 Implementação open source de RADIUS para Unix.
173
11 Suporte a diversos tipos de métodos EAP: q
22 EAP-TTLS.
22 EAP-TLS.
22 LEAP.
22 PEAP.
11 Nativo: MAC OS X, Windows 2000 SP4, Windows XP, Windows Mobile 2003 e supe-
riores, Windows CE 4.2.
Uma das vantagens desse tipo EAP é a falta de necessidade de um diretório de usuários: as
credenciais do usuário passam a ser seu certificado e uma senha (opcional, dependendo da
implantação). Assim, a tarefa de administrar usuários se concentra na ICP, a mesma usada
para login na rede (single-sign-on), certificados para e-mail e outras aplicações. Para negar
acesso a um usuário, basta que se revogue seu certificado, a tarefa de manutenção de uma
Certificate Revogation List (CRL), parte de uma ICP estabelecida.
Outro ponto positivo de EAP-TLS é o amplo suporte oferecido pelas principais plataformas
de cliente, notadamente Linux, BSD e Windows.
Desvantagens de EAP-TLS
Depende de uma ICP bem implantada. q
11 Recomendável para distribuição e gerenciamento adequados de chaves.
Ter uma ICP bem implantada é condição básica para uma implantação bem-sucedida desse
tipo de EAP. Armazenar os certificados na forma de smart cards pode ser uma opção inte-
ressante para tornar o uso de certificados mais simples para o usuário final. Essa tecnologia
também diminui o risco de acesso indevido à rede, no caso de o atacante ter acesso a um
cliente com certificado instalado. A necessidade de uma ICP não é exatamente uma desvan-
tagem de EAP-TLS, mas sim um fator que adiciona complexidade ao esquema de segurança
que desencoraja muitas organizações a adotá-lo.
174
Esse esquema de segurança, entretanto, tem uma vulnerabilidade: divulgação de infor-
mações. Tanto o certificado do cliente quanto do servidor são enviados em texto claro,
divulgando informações sobre os certificados. A posse dessas informações não é útil para
um ataque à integridade das conexões, mas pode ajudar na coleta de informações que
precedem um ataque de engenharia social. A transmissão de certificados em claro pela
rede, embora pareça uma falha de segurança, é prática comum em protocolos de segurança
consagrados, como SSL ou o próprio TLS.
Na prática, não implantaremos uma ICP, uma vez que isso está fora do escopo do curso.
Para demonstrar um cenário com WPA2 e EAP-TLS, serão gerados manualmente um par de
certificados para o cliente e outro para o servidor, sem a presença de uma infraestrutura de
distribuição de chaves conforme tipicamente encontrada em uma ICP.
Conclusão
WPA2 Enterprise com EAP-TLS. q
11 Ainda é o mecanismo EAP mais seguro.
WPA2, por si só, ainda é um bom mecanismo de segurança, mesmo usado numa configu-
ração com chave compartilhada (WPA2-PSK). Embora esse nível de segurança seja suficiente
para empresas no que diz respeito à integridade e confidencialidade dos dados trafegados,
a autenticação se torna mais consistente quando WPA2 Enterprise é implementada em sua
totalidade, com o uso de 802.1x e de uma arquitetura de autenticação.
É bom lembrar que, uma vez conectado à rede, o cliente está sujeito aos mesmos problemas
de segurança de estações da rede cabeada: worms, exploração de vulnerabilidades e
spywares, entre outras ameaças existentes. É importante manter o sistema atualizado com
as últimas versões e protegido com antivírus e anti-spyware atualizados, além de um firewall
w Outra questão que deve ser considerada é que um AP com WPA2 e EAP-TLS implementados
pessoal bem configurado.
Saiba mais: “Best EAP Capítulo 10 - Implantando uma WLAN segura (parte 2)
for an enterprise oferece tráfego cifrado apenas entre cliente e AP, ou seja, na rede cabeada (rede de distri-
wireless LAN” e buição) o tráfego pode ser observado. Para garantir tráfego cifrado até o destino, é possível
“Guidelines for
usar um proxy com HTTPS ou um proxy sobre uma VPN (Virtual Private Network).
Securing Wireless Local
Area Networks
Seu cliente pode estar seguro dentro do domínio da sua rede sem fio, mas não usando outras
(WLANs)” do National
Institute of Standards redes. Um exemplo de cenário possível seria aquele de um cliente conectado a um hotspot
and technology (NIST). (Vex, T-Mobile etc.), que não implementa isolamento de tráfego entre os clientes, permitindo a
propagação de worms e a exploração de vulnerabilidades por parte de outros clientes.
175
Cenário atual
11 Segurança no AP hoje é possível. q
11 Novo alvo está nos clientes.
11 Ferramentas que se passam pela rede à qual o cliente quer se conectar, seja ela qual for:
Do ponto de vista do AP, é possível dizer que as redes sem fio estão muito seguras. O novo
alvo de ataques está em dispositivos Bluetooth (802.15.1) e em clientes Wi-Fi.
Ferramentas como KARMA – disponível para Linux e compatível com interfaces de rede
Atheros e driver MadWifi – permitem a simulação de qualquer rede com a qual um cliente
queira se conectar. Dessa forma, se um cliente tenta se conectar a um AP com SSID “ESR”,
KARMA simula uma rede com as mesmas características para levar o cliente a se conectar ao
atacante. Uma vez conectado, o cliente pode fornecer dados interessantes para o atacante,
como credenciais do servidor de e-mail IMAP/SMTP/POP, Instant Messaging (ICQ, Skype) ou
serviços normalmente configurados para login automático por grande parte dos usuários.
Outra oportunidade criada por um ataque desse tipo é a exploração de vulnerabilidades
não corrigidas no cliente.
Outro tipo de ataque que tem sido motivo de muita preocupação é o ataque ao driver da
interface Wi-Fi. Isso é possível com uma técnica chamada fuzzing de protocolo que consiste
em testar a interface com parâmetros não previstos pelo padrão IEEE 802.11. Campos do
quadro de gerenciamento com mais conteúdo do que a especificação determina, entre
outros casos de teste, podem causar buffer overflow, entre outros efeitos na interface Wi-Fi.
176
Roteiro de Atividades 10
Atividade 10.1 – Autenticação RADIUS
Nesta atividade, configuraremos o AP e o cliente para utilização do protocolo WPA2 Enterprise.
O protocolo 802.1x será usado para a autenticação através do método EAP-TLS.
O servidor de autenticação remota será o FreeRADIUS, rodando sob um Linux Fedora Core 6,
previamente instalado e configurado em nosso ambiente de laboratório. Os seguintes
passos após a instalação do FreeRADIUS no servidor foram feitos:
11 Definição das contas dos alunos e senhas a serem divulgadas pelo instrutor;
Essa pequena infraestrutura foi criada apenas para que os alunos tenham a oportunidade
de trabalhar com esse tipo de configuração, considerada hoje uma das mais seguras.
A implantação correta de EAP-TLS envolve uma Infraestrutura de Chaves Públicas (ICP), o
que está fora do escopo deste curso.
Na prática, podemos utilizar alguns softwares, como o Password Amplifier, para gerar uma
chave compartilhada forte.
177
Atividade 10.3 – Testando a autenticação
Verifique as opções de configuração de sua interface sem fio no Windows, para associação
através do WPA2, autenticação 802.1x e método EAP-TLS.
Propriedades do certificado:
Para fazer com que o serviço RADIUS sempre “suba” ao inicializar o Sistema Operacional do
servidor Linux, execute:
Segurança em Redes sem Fio
# chkconfig radiusd on
178
11 clients.conf: descrição e credenciais dos diferentes dispositivos que consultam o RADIUS
(APS, NAS etc.)
Para criar uma Autoridade Certificadora (CA) e o certificado, pode-se usar os scripts contidos
em: http://www.alphacore.net/contrib/nantes-wireless/eap-tls-HOWTO.html
# cd /etc/raddb/certs
11 CA.server: script de criação dos certificados para o servidor (Fully Qualified Domain
Nome – FQDN).
11 CA.client: script de criação de certificados para cada usuário. Não confundir com clients.conf
do RADIUS.
# man radiusd
179
Segurança em Redes sem Fio
180
Bibliografia
11 Aircrack-ng – http://www.aircrack-ng.org
11 Aircrack-ptw – http://www.cdc.informatik.tu-darmstadt.de/aircrack-ptw/
11 AirPcap: The USB 2.0 Wireless Capture Adapter for Windows that enables
Wireless Capture with Wireshark –
http://www.cacetech.com/products/airpcap.htm
11 Bluetooth – http://www.bluetooth.com
11 CoWPAtty – http://wirelessdefence.org/Contents/coWPAttyMain.htm
11 MadWifi – http://madwifi.org/
181
11 Muni Wireless – http://www.muniwireless.com/
11 Nessus – http://www.nessus.org
11 SANS ISC Handler’s Diary November 10th 2005 (More 802.11 soup) –
http://isc.sans.org/diary.php?storyid=837
11 Secure works black hat coverage: senior secure works researcher exposes
vulnerabilities in Wireless Device Drivers at Black Hat Conference –
http://www.secureworks.com/newsandevents/blackhatcoverage.html
11 TCPdump/libpcap – http://www.tcpdump.org/
11 WepAttack – http://wepattack.sourceforge.net/
11 WinPcap – http://www.winpcap.org/
11 Wireshark – http://www.wireshark.org/
182
Ronaldo Vasconcellos é formado em
Análise de Sistemas (PUC Campinas),
com especialização em redes (IC Uni-
camp) e certificações GIAC Certified
Incident Handler (GCIH) e GIAC
Assessing and Auditing Wireless
Networks (GAWN). Trabalha com segu-
rança computacional desde 2002 (seis anos na área de Res-
posta a Incidentes Computacionais), e desde 2010 na área de
pesquisa em Ameaças Cibernéticas e Cibercrime, com foco
no Brasil e Ibero-América.
Ronaldo Vasconcellos é formado em A RNP – Rede Nacional de Ensino
Análise de Sistemas (PUC Campinas),
com especialização em redes (IC Uni-
e Pesquisa – é qualificada como
camp) e certificações GIAC Certified uma Organização Social (OS),
Incident Handler (GCIH) e GIAC Asses-
sing and Auditing Wireless Networks sendo ligada ao Ministério da
(GAWN). Trabalha com segurança Ciência, Tecnologia e Inovação
computacional desde 2002 (seis anos na área de Resposta
a Incidentes Computacionais), e desde 2010 na área de (MCTI) e responsável pelo
pesquisa em Ameaças Cibernéticas e Cibercrime, com foco Programa Interministerial RNP,
no Brasil e Ibero-América.
que conta com a participação dos
O curso tem por objetivo capacitar o participante para
ministérios da Educação (MEC), da
Segurança em
a realização da segurança do ambiente wireless da sua
Saúde (MS) e da Cultura (MinC).
organização. Serão ensinados os fundamentos de ra-
Redes
sem Fio
mitigá-los com uso de ferramentas baseadas em Linux
27 unidades da federação, a rede
e Windows. Serão desenvolvidas as competências para
tem mais de 800 instituições
a estruturação de uma rede sem fio de forma segura e
conectadas. São aproximadamente
atendendo a todos os requisitos necessários para impe-
3,5 milhões de usuários usufruindo
dir os principais ataques. O aluno será ainda familiari-
de uma infraestrutura de redes
zado com ferramentas livres para verificação da rede e
avançadas para comunicação,
realização de auditorias de segurança.
computação e experimentação,
Este livro inclui os roteiros das atividades práticas e o
que contribui para a integração
conteúdo dos slides apresentados em sala de aula,
apoiando profissionais na disseminação deste conheci- Ronaldo Vasconcellos entre o sistema de Ciência e
Tecnologia, Educação Superior,
mento em suas organizações ou localidades de origem.
Saúde e Cultura.
Ministério da
Cultura
Ministério da
Saúde
Ministério da
Educação
ISBN 978–85–63630–30–8
Ministério da
Ciência, Tecnologia
e Inovação
9 788563 630308