Segurança em Redes Wi-Fi

(um Estudo de Caso)

Ewerton L. Madruga (PUC-Rio)

Seminário de Capacitação e Inovação
Rede Nacional de Pesquisa - RNP
Recife – PE, Dezembro 2004

1
 Tópicos
n Redes Wi-Fi (IEEE 802.11)
n Problemas criptográficos do WEP
n Infra-Estrutura de Chaves Públicas (PKI)
n Certificados Digitais
n IEEE 802.1x – EAP/TLS
n A Rede da PUC-Rio
n Conclusão

2
 Redes Wi-Fi
n Redes Wireless:
n WiFi (IEEE 802.11)
n Bluetooth
n WiMAX (IEEE 802.16)
n Redes Wi-Fi
n 2.4 GHz
n até 11 Mbps
n direct sequence spread spectrum (DSSS) na
camada física.

3
 Redes Wi-Fi
n Usuário se conecta através de um AP
(infraestrutura) ou de outro usuário (ad-
hoc)
n Estação de Base = “Access Point” (AP)
n Basic Service Set (BSS)
n Laptops e iPAQs de usuários
n Access point (AP): estação de base
n BSS’s agrupadas para formar um Sistema
de Distribuição (DS)
4
 Modos de Operação

Modo “Infra-Estrutura” Modo “Ad-Hoc”

5
 Tópicos
n Redes Wi-Fi (IEEE 802.11)
n Problemas criptográficos do WEP
n Infra-Estrutura de Chaves Públicas (PKI)
n Certificados Digitais
n IEEE 802.1x – EAP/TLS
n A Rede da PUC-Rio
n Conclusão

6
 WEP
n Criptografia com WEP (“Wired Equivalent
Privacy”)
n Objetivos do Protocolo:
n Confidencialidade: ninguém “espia” dados
n Controle de Acesso: apenas usuários
autorizados.
n Integridade de Dados: evitar modificação
n Infelizmente, WEP não atinge objetivos
7
Modelo da Rede

Internet

8
Criptografando com WEP

Mensagem CRC(M)

RC4(k,IV)

IV Cifrado

9
 Problemas WEP
n Previsibilidade dos elementos do
algoritmo
n Cartões PCMCIA comuns iniciam IVs com
Zero e incrementam seu valor por 1 a
cada pacote.
n IV tem apenas 24 bits: APs com alto
tráfego permitem que este espaço se
acabe em algumas dezenas de minutos.

10
 Tópicos
n Redes Wi-Fi (IEEE 802.11)
n Problemas criptográficos do WEP
n Infra-Estrutura de Chaves Públicas
(PKI)
n Certificados Digitais
n IEEE 802.1x – EAP/TLS
n A Rede da PUC-Rio
n Conclusão

11
 Infra-Estrutura de Chaves
Públicas
n Uso do par de chaves <pública/privada> é
uma ótima solução para:
n Distribuição de chaves
n Assinatura digital
n Entretanto, o problema de administrar e
gerenciar chaves é uma “dor-de-cabeça”

12
 Infra-Estrutura de Chaves
Públicas
n Para enviar mensagem para cliente, usa-
se a chave pública dele.
n Para verificar assinatura de cliente,
também usa-se a chave pública dele.
n Problema: como saber se a chave pública
é realmente do cliente ?
n Crítico: confiança entre partes.

13
 Tópicos
n Redes Wi-Fi (IEEE 802.11)
n Problemas criptográficos do WEP
n Infra-Estrutura de Chaves Públicas (PKI)
n Certificados Digitais
n IEEE 802.1x – EAP/TLS
n A Rede da PUC-Rio
n Conclusão

14
 Certificados Digitais
n Certificado = Chave Pública + Assinatura
entidade idônea.
n Autoridade Certificadora (CA): assina
certificados digitalmente (SERPRO, Caixa,
CertSign)
n Assume-se:
n CA verificou identidade do cliente.
n CA é instituição idônea.

15
 Aplicações
n Certificados emitidos para:
n Indivíduos
n Servidores (SSL)
n Aplicativos ( ActiveX, Java jars)
n Certificados para Concentradores de VPNs
n Listas de Revogação de Certificados.

16
 Tópicos
n Redes Wi-Fi (IEEE 802.11)
n Problemas criptográficos do WEP
n Infra-Estrutura de Chaves Públicas (PKI)
n Certificados Digitais
n IEEE 802.1x – EAP/TLS
n A Rede da PUC-Rio
n Conclusão

17
IEEE 802.1x - EAP

Internet

Servidor
de
Autenticação

18
 Autenticação Extensível
n IEEE 802.1X
n Autenticação Mútua de Cliente e Servidor
n Chave WEP por sessão, e derivada
dinamicamente.
n Diferentes métodos (PEAP, MD5, TLS)
n EAP-TLS
n Uso de Certificado Digital para autenticar
Cliente e Servidor

19
 EAP-TLS (1)
Cliente Autenticador
EAP Request
<Identity>

EAP Response
<Identity (MyID)>

EAP Request, type = EAP-TLS

<TLS Start>

EAP Response, type = EAP-TLS

<TLS Client Hello>

EAP Request, type = EAP-TLS

<TLS Server Hello, TLS Certificate, TLS Certificate Request,
TLS Server Done> 20
 EAP-TLS (2)
Cliente Autenticador

EAP Response, type = EAP-TLS

<TLS Certificate, TLS Client Key Exchange, TLS CCS,
Certificate verify, TLS FIN>

EAP Request, type = EAP-TLS

<TLS CCS, TLS FIN>

EAP Response, type = EAP-TLS

EAP Success / EAP Failure

21
 Tópicos
n Redes Wi-Fi (IEEE 802.11)
n Problemas criptográficos do WEP
n Infra-Estrutura de Chaves Públicas (PKI)
n Certificados Digitais
n IEEE 802.1x – EAP/TLS
n A Rede da PUC-Rio
n Conclusão

22
 Rede da PUC-Rio
n Total de 10.500 alunos de graduação
n Total de 8 AP’s
n Professores, Alunos e Funcionários
recebem certificado digital
n Servidor de Certificados (OpenSSL)
n Servidor de Autenticação: FreeRADIUS

23
Topologia

APs

24
 Conclusões
n Uso de Certificados Digitais tem auxiliado
no controle de acesso à rede.
n Usuários não precisam se preocupar com
espiões de tráfego “sem-fio”.
n Escolha e implementação de mecanismos
de segurança dão muito trabalho !

25