Redes Sem Fio - 01

Segurança em
Infraestrutura de Redes
Cabeadas e Redes sem Fio
Moacir Canella Bortoloso
bortoloso.redes@gmail.com
Carga horária da disciplina – 20 horas
Datas previstas de realização das aulas da disciplina:

25/09/2010 Manhã - 09/10/2010 Tarde -23/10/2010 Manhã - 12/11/2010 Noite
1
Segurança em Infraestrutura de Redes Cabeadas e Redes sem Fio
Breve
Apresentação
• Professor – Moacir Canella Bortoloso
Formação acadêmica:
Graduação – Bacharelado em Ciência da Computação
UCP - Universidade Católica de Petrópolis - 1994;
Pós-graduação – Telecomunicações e Redes
UFES – Universidade Federal do Espírito Santo - 2001;
Mestrado – Ciência da Computação
UFES – Universidade Federal do Espírito Santo - 2006;
Experiência profissional em Tecnologia da Informação
Atuando na área de redes de computadores desde 1993
• Alunos
Plano de Disciplina
•Objetivo
Esclarecer os conceitos necessários para definição e
analise de redes cabeadas e sem fio.
• Conteúdo programático
Conceitos de Conectividade;
Conceitos básicos de Segurança;
Implementações seguras de switchs e routers;
Projeto de Topologias Seguras;
Wireless;
Monitoração e análise de logs.
Continuação – plano da disciplina
Formas de avaliação
Trabalho Principal – 3 pts

poderá ser realizado em grupo de no máximo 3
alunos
Trabalhos Secundários (03) – 1 pts

durante a aula com previsão de 30 minutos para
realização e em grupo de no máximo 3 alunos
Avaliação individual – 4 pts

Agenda – Aula 3
•Objetivo
Esclarecer os conceitos necessários para definição e
analise de redes cabeadas e sem fio.
• Conteúdo programático
O papel do IEEE802.1X;
Mecanismos para mitigar a vulnerabilidade na
camada 2;
Motivação e conceitos básicos de redes sem fio;
Entendendo a variedade de padrões para redes sem
fio;
Ataques e vulnerabilidades nas redes sem fio;
Procedimentos para mitigar as vulnerabilidades;
O papel do IEEE 802.1X
É um padrão que define o mecanismos de
autorização e autenticação, baseado em portas e
distribuição de chaves para dispositivos IEEE 802
LAN com ou sem fio. [netstumbler.com]
A autenticação baseada em portas é relacionada a
associação entre um ponto de acesso requerente
(dispositivo que requer acesso a uma autenticação: uma
estação de trabalho, um smartphone e etc), um (nó)
concentrador (switch e/ou access point) da rede e um
servidor de autenticação.
O padrão IEEE802.1X provê um framework capaz de
estabelecer uma ligação segura entre o usuário
requerente e o servidor de autenticação.
6
O padrão foi desenvolvido para capturar as

informações de autenticação dos usuários e com base
nelas negar ou aceitar um pedido de autenticação.
 O padrão IEEE802.1X faz uso do EAP Extensible
Authentication Protocol para ampliar seus métodos
de autenticação.
 O EAP foi desenvolvido originariamente pelo IETF
Internet Engineering Task Force para permitir
autenticação no uso do protocolo PPP (Point-to-
Point Protocol).
7
 O EAP estabelece o processo de troca de mensagens

entre um cliente e um servidor e portanto necessita de
um protocolo de autenticação, sendo assim, sua
eficiência depende do protocolo de autenticação
usado.
 Os mais comuns são:
 EAP-MD5 (Message Digest 5)
 EAP-TLS (Transport Level Security)
 EAP-TTLS (Tunneled – TLS)
 EAP-PEAP (Protected EAP Protocol)
 EAP-LEAP (Lighweight Extensible Authentication Protocol)
8
O padrão IEEE802.1X em união com o

processo de autenticação EAP, conhecido como
padrão 802.1X/EAP faz uso de 3 (três) entidades
que são definidas a seguir:
Supplicant PAE (Port Access Entity) – suplicante ou
requerente.
Authenticator PAE (Port Access Entity) – nó
responsável por verificar as credencias de acesso.
Authenticator Server – servidor capaz de estabelecer
o processo de autenticação segura.
9
Figura definida pelo grupo IEEE 802.1X/EAP
10
O funcionamento do 802.1x/EAP para controle
de acesso por porta
Authenticator Identity Store/Management
• LAN Switch • Microsoft AD
• WLAN Access Point • LDAP
• NDS
• ODBC
L2 IP Network
Access
Request for Service Backend Authentication Identity Store

(Connectivity) Support Integration
Supplicant Authentication Server

• Desktop/laptop • Microsoft IAS
• IP phone • ACS (Access Control Server)
• WLAN Access Point • Any IETF RADIUS server
• LAN Switch
Mecanismos para mitigar a vulnerabilidade
na camada 2
Ataque de ARP -
DHCP Rogue Spoofing
Server
Conexão em Loop
Ataque
MITM 12
na camada 2
 DHCP Rogue Server:
 Usar equipamentos que implementem DHCP Server Screening este
filtra os pacotes entre o servidor “rogue DHCP” e os usuários para
prevenir o fornecimento não autorizado de IP;
 Man in The Middle:
 Usar soluções que contemple o bloqueio de MAC e/ou IP não
autorizados;
 Usar soluções que monitore e controle as trocas de mensagens DHCP
DHCP Snooping e/ou estabeleça um processo de autenticação para o
servidor DHCP (soluções de NAC);
 Conexão em Looping
 Usar soluções que implementem detecção de loopback detection
(LBD) que tem como objetivo desativar a porta em caso de loops
locais ;
 Utilizar BPDU Guard em redes com STP 13
na camada 2
 MAC Flooding
 Usar soluções que implementem port security com o intuito de
reduzir a inundação de quadros nos switch;
 Este mecanismo associa um único endereço MAC ou um grupo de
endereços confiáveis a uma porta do switch de tal maneira que se um
endereço MAC desconhecido tentar usar a porta ele será bloqueada
automaticamente.
14
Mecanismos para mitigar a vulnerabilidade na
camada 2 –
Aumentando a Segurança com o uso de NAC
Entendendo NAC – Network Access Control

É um solução de segurança que visa identificar
de forma segura a estação e o usuário, com o
uso ou não do IEEE802.1X, e garantir que este
conjunto (estação/usuário) está qualificado ou
não a usar um conjunto de recursos oferecidos
aos usuários da rede.
15
Elementos fundamentais numa solução NAC
IDENTIFICAR DE GARANTIR UMA QUARENTENA GERÊNCIA
FORMA SEGURA POLÍTICA E E
A ESTAÇÃO E O CONSISTENTE REMEDIAÇÃO CONFIGURAÇÃO
USUARIO
O QUE Identificar estações e Verifica e reforça uma Atua com base nos Criação de políticas
usuários e criar única política resultados da verificação granulares para
SIGNIFICA…
associações entre eles consistente em toda a do status da estação, mapear rapidamente
rede isolando e remediando grupos de usuários às
para que ela venha a ser suas políticas
considerada adequada.
SEM Crítico para associar Um mecanismo de Somente saber que uma Políticas que são muito
as estações e os política descentralizada estação não está complexas ou muito
ISSO . . . usuários às suas (ex: baseado na adequada não é difíceis de criar podem
respectivas políticas. estação) pode levar a suficiente. inviabilizar o projeto.
Previne “device problemas de Deve haver um
spoofing”. Segurança. responsável pela
readequação.
Uma solução NAC completa deve ter todas as quatro características.

A ausência de uma das quatro características limita significativamente a solução.
O funcionamento básico das soluções de NAC
Internet
 Rede
Corporativa

Os 4 (quatro) elementos das soluções de NAC
1. Autenticação do Os usuário são

usuário autenticados antes de
ter acesso a rede
1. Autenticação do
usuário
Onde está o usuário?

De onde vem o acesso?
2. Análise do Quando o pedido de
ambiente e acesso ocorreu?
estação de Como a estação de
trabalho trabalho está em relação
as políticas de segurança?
1. Autenticação do 3. Controlar o uso com

usuário base nos recursos
de hardware e
aplicar as políticas
de acesso
2. Análise do Permitir ou negar acesso.

ambiente e Associar o usuário a uma VLAN.
estação de
trabalho Colocar os usuários em
quarentena.
Atribuir aos usuários as ACLs
(Access Control List) ou politicas
de firewall e antivirus
1. Autenticação do 3. Controlar o uso com

usuário base nos recursos
de hardware e
aplicar as políticas
de acesso
2. Análise do 4. Gerenciamento de
ambiente e todos os itens do
estação de NAC
trabalho
A gestão da politica de
NAC é geralmente o ele
mais fraco
Internet

Rede
Corporativa

Servidor de NAC
Quais são os tipos de autenticação
disponiveis?
Internet

Rede
Corporativa
3 (Três) tipos básicos:
802.1X
Autenticação baseada em
Servidor
servidor Web de NAC
Híbridos – 802.1X + Agentes

proprietários.
802.1X – Geralmente o preferido e mais
seguro
Internet
 Rede
Corporativa
 




 Servidor
de NAC
 Usuário estabelece uma conexão (com fio ou sem fio)
 Os ativos de redes iniciam o processo através 802.1X (EAP)
 O usuário se autentica ao servidor de NAC
 Se a autenticação e outras verificações são aprovadas, ou seja, o usuário e a
estação estão OK. É atribuído um endereço IP a estação de trabalho e o usuário
esta apto.
Servidor Web é mais fácil, porém, menos
seguro
Internet
 Rede

Corporativa 


Servidor
de NAC
 O usuário acessa a rede NAC; e recebe um endereço IP limitado
 O usuário através do web browser acessa o portal para autenticação
 O usuário se autentica ao servidor de políticas de acesso
 Se a autenticação e outras verificações são aprovadas, ou seja, o usuário e a
estação estão OK, é permitido o acesso através do portal ou a rede é
reconfigurada.
Híbridos – Baseado em agentes proprietários
Internet
 Rede
Corporativa
 



Servidor
de NAC
 O usuário se conecta a rede e recebe um IP

 Um processo, servidor/agente, instalado previamente autentica e valida a
estação de trabalho na rede NAC
 Se a autenticação e outras verificações são aprovadas, ou seja, o usuário e a
estação estão OK, a rede é reconfigurada e o acesso é permitido.
Quais informações fazem parte da análise do
ambiente e estação de trabalho
Ambientais Politica de Segurança
 Método de Acesso  Estar em acordo com as politicas
(rede cabeada, sem fio, VPN etc..) de segurança
 Restrições e limitações de horas, Cliente de proxy instalado e atualizado;
dias e períodos Aplicações que estão sendo executadas
ou não (software de inventário
 Sistema operacional das estações ativado);
(XP, W7, Mac, Linux) Correções de segurança (patch level
 Método de autenticação Microsoft);
EAP, 802.1X e/ou proprietário Antivirus instalado e atualizado.
O processo completo de Segurança com uso de

soluções de NAC deve responder as seguintes
perguntas:
Quem é você?
Sua estação está adequada?
Onde você pode ir?
Que nível de serviço você vai receber?
O que você está fazendo?
28
Entendendo NAP - Network Access Protection
(NAP)
 Network Access Protection (NAP) é uma plataforma
de reforço à diretiva integrada ao Windows Vista,
Microsoft Windows XP, Windows 7 e ao Windows
Server, também chamado de 2008, que permite a
você proteger melhor o que se refere à rede,
reforçando a conformidade com os requisitos para
integridade do sistema.
29
Network Access Protection (NAP)
 Semelhante ao funcionamento das soluções de NAC o
NAP faz uma verificação quanto a saúde da estação de
trabalho e o usuário, referente aos seguintes aspectos:
1. Determinar se o computador está em conformidade
com a política de segurança da empresa.
Computadores em conformidade são considerados
“saudáveis”;
2. Bloquear o acesso do sistema à rede baseado na sua
“saúde”;
3. Fornecer os updates necessários para permitir ao
sistema “ficar saudável”. Uma vez remediado, o
sistema pode entrar na rede.
Entendendo o funcionamento do NAP
Rede Corporativa
Rede Restrita
Servidores de Servidores
Remediação de Política
Aqui estão.
Posso ter os
updates? Atualizações de política constantes
para o servidor RADIUS
Posso ter acesso?
Aqui está o meu status
Solicitando de
acesso. Este cliente deve ser
saúdeAqui
atual.
está o meu novo bloqueado com base
status de saúde. na sua saúde?
Voce está com Dispositivo De acordo com a

Cliente política, o cliente não Servidor
acesso restrito até de Acesso
está atualizado. RADIUS
se atualizar. à Rede
(DHCP, Coloque-o
Permita o acesso.
em
VPN) quarentena, fale
para ele se atualizar.
Client recebe acesso a toda a intranet.
Motivação e conceitos básicos das Redes
sem fio
 É possível entender os conceitos básicos a partir de
algumas motivações:
1. Mobilidade, flexibilidade, facilidade e pricipalmente
compartilhar recursos de Tecnologia da Informação;
2. Integrar, sincronizar e compartilhar informações entre
terminais móveis e fixos;
3. Menos intrusiva, ou seja, não existe necessidade de
furar parades, passar cabos, colocar tomadas etc...
4. É escalavel, permite que mais usuários tenham acesso
com menor custo de instalação.
32
Motivação e conceitos básicos das Redes
sem fio
 Todas essas funcionalidades se traduzem em
conectividade – “aula 1”:
O desafio atual é ter conectividade, a qualquer hora, em
qualquer lugar, usando qualquer rede, através de uma
interface única, de livre escolha, com a qualidade
necessária e de forma segura.
É difícil conseguir conectividade tendo que:
Carregar fios; padronizar tomadas; padronizar
recursos...
Portanto, fica claro que as redes sem fio chegaram
para ficar!
33
Entendendo a variedade de padrões para redes sem fio
34
Entendendo a variedade de padrões para redes sem fio
Global
Suburban
Urban
In- Building
Micro-Cell
Home-Cell
Macro-Cell Pico-Cell
35
Entendendo a variedade de padrões para
redes sem fio
 É fácil entender a variedade de padrões?
 Especificações anteriores influenciaram os projetos;
 Fatores ambientais e aspectos físicos;
 Evolução tecnológica;
 Público alvo;
 Restrições de segurança;
 Garantia na qualidade de serviço.
 Por que não usamos um só?
 Devido aos mesmos aspectos.
36
redes sem fio
 Baseados na frequência de Rádio:
 As ondas de rádios são muito comuns nas redes porque podem viajar
longas distâncias, atravessar paredes e a sua geração é relativamente
barata;
 O comportamento das ondas de rádio também depende da frequência,
ou seja, nas frequências altas, tendem a viajar em linha reta e ser
refletidas por obstáculos, já nas baixas, tendem a atravessar as
paredes, e são limitadas em distâncias menores;
 O problema com as redes via rádio é que dois dispositivos usando a
mesma frequência interferem entre si.
Nome de Banda Limite Limite
inferior superior
( VLF) Frequência muito baixa 3 kHz 30 kHz
( LF ) Frequência baixa 300 kHz 3 MHz
(HF ) Frequência alta 3 MHz 30 MHz
(VHF ) Frequência muito alta 30 MHz 300 MHz
(UHF ) Frequência ultra - alta 300 MHz 3 GHz
redes sem fio
 Baseados em Microondas:
 A microonda é um subconjunto das frequências de rádio
cujo início é considerado em 1 GHz e o término, por volta
de 18 GHz.
Nome da Banda Limite inferior Limite superior
Banda L 1 GHz 1 GHz

Banda S 2 GHz 4 GHz
Banda C 4 GHz 8 GHz
Banda X 8 GHz 12 GHz
Banda KU 12 GHz 18 GHz
redes sem fio
 Baseados em ondas infravermelhas:
 As ondas infravermelhas existem entre o espectro visível e
o das microondas;
 O Sinal de onda infravermelho é direcional, ou seja, deve
ser apontado para o aparelho de uma posição próxima e
não consegue atravessar objetos sólidos;
 O padrão IEEE 802.11b também inclui uma especificação
com o infravermelho, mas é limitado a uma distância de
10 m e não pode atravessar paredes;
 O infravermelho é largamente usado em ambientes bem
localizados, como em controles remotos de televisão e as
portas de infravermelho na maioria dos computadores
laptops.

Redes Sem Fio - 01

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Redes Sem Fio - 01

Título original:

Enviado por

Direitos autorais:

Formatos disponíveis

Segurança em

Carga horária da disciplina – 20 horas

Datas previstas de realização das aulas da disciplina:

Continuação – plano da disciplina

Trabalho Principal – 3 pts

Trabalhos Secundários (03) – 1 pts

Avaliação individual – 4 pts

O padrão foi desenvolvido para capturar as

 O EAP estabelece o processo de troca de mensagens

O padrão IEEE802.1X em união com o

Figura definida pelo grupo IEEE 802.1X/EAP

Request for Service Backend Authentication Identity Store

Supplicant Authentication Server

Entendendo NAC – Network Access Control

Uma solução NAC completa deve ter todas as quatro características.

O funcionamento básico das soluções de NAC

1. Autenticação do Os usuário são

Onde está o usuário?

1. Autenticação do 3. Controlar o uso com

2. Análise do Permitir ou negar acesso.

1. Autenticação do 3. Controlar o uso com

Híbridos – 802.1X + Agentes

 O usuário se conecta a rede e recebe um IP

O processo completo de Segurança com uso de

Voce está com Dispositivo De acordo com a

Nome da Banda Limite inferior Limite superior

Banda L 1 GHz 1 GHz

Você também pode gostar