UNIVERSIDADE ESTADUAL DE MONTES CLAROS UNIMONTES CENTRO DE CINCIAS EXATAS E TECNOLGICAS CCET DEPARTAMENTO DE CINCIAS DA COMPUTAO DCC CURSO:

SO: SISTEMAS DE INFORMAO 8 PERODO

Projeto Final de Graduao

Segurana em Redes Wi-Fi.

Aluno: Paulo Amrico Freire Aguiar. E-Mail: paulofaguiar@yahoo.com.br. Orientador: Prof. Msc. Antnio Eugnio.

Junho, 2005.

UNIVERSIDADE ESTADUAL DE MONTES CLAROS UNIMONTES CENTRO DE CINCIAS EXATAS E TECNOLGICAS CCET DEPARTAMENTO DE CINCIAS DA COMPUTAO DCC CURSO: SISTEMAS DE INFORMAO 8 PERODO

O Projeto Orientado de Concluso de Curso (POCC): SEGURANA EM REDES WI-FI, elaborado por PAULO AMRICO FREIRE AGUIAR, foi julgado adequado por todos os membros da Banca Examinadora, como requisito parcial para obteno do ttulo de BACHAREL EM SISTEMAS DE INFORMAO e aprovado, em sua forma final, pelo Departamento de Cincias da Computao da Universidade Estadual de Montes Claros.

Montes Claros, 20 de junho de 2005.

Aprovado pela Banca Examinadora constituda pelos seguintes professores:

Orientador: Prof. Msc. Antnio Eugnio Silva

Avaliador: Prof. Msc. Nilton Alves Maia

Avaliadora: Prof. Patrcia Takaki Neves

Agradecimentos:

Agradeo ao Professor Eugnio que se disps a me ajudar, mesmo no sendo o orientador desde o incio. Agradeo minha namorada Isabela pela ajuda, pelas horas de correes e incentivo nos momentos de desnimo. Agradeo minha famlia pelo apoio e pelo bom ambiente para que este projeto pudesse ser feito. E por fim agradeo a Deus por me dar determinao, inteligncia e por me cercar de pessoas boas.

ndice:

Introduo ............................................................................................................... 7 Cenrio .............................................................................................................. 12 1- Segurana em Redes de Computadores .......................................................... 16 1.1- Poltica de Segurana................................................................................. 16 1.2- Criptografia ................................................................................................. 17 1.2.1- Criptografia Simtrica........................................................................... 18 1.2.2- Criptografia Assimtrica ....................................................................... 20 1.3- Assinatura Digital........................................................................................ 22 1.4- Certificado Digital ....................................................................................... 23 1.5- Selo Cronolgico Digital ............................................................................. 25 2- Redes Wireless e Redes Wi-Fi. ........................................................................ 26 3- Segurana nas redes Wi-Fi............................................................................... 31 3.1- Questes Gerais sobre Segurana em Redes ........................................... 32 3.1.1- Identificao e Autenticao de Usurios ............................................ 32 3.1.1.1- Senhas:............................................................................................. 32 3.1.1.2- Senha de nica Sesso (One Time Password): ............................... 33 3.1.1.3- Smartcards:....................................................................................... 34 3.1.1.4- Biometria:.......................................................................................... 34 3.1.2- Antivrus ............................................................................................... 34 3.1.3- Auditoria............................................................................................... 35 3.1.4- NAT...................................................................................................... 35 3.1.5- SDI - Sistemas de Deteco de Intruso ............................................. 36 3.1.6- Servidor Proxy ..................................................................................... 37 3.1.7- Firewalls............................................................................................... 38 3.1.8- VPN...................................................................................................... 42 3.1.9- Segurana Fsica ................................................................................. 45 3.1.9.1- Localizao. ...................................................................................... 45

3.1.9.2- Instalaes........................................................................................ 46 3.1.9.3- Fenmenos Naturais......................................................................... 49 3.1.9.4- Vandalismo/Terrorismo ..................................................................... 49 3.1.10- Outras Questes ................................................................................ 50 3.2- Questes de segurana inerentes s redes ............................................... 51 3.2.1- DHCP................................................................................................... 51 3.2.2- Mapeamento por MAC Address. .......................................................... 51 3.2.3- Broadcast do SSID (Service Set ID) .................................................... 52 3.2.5- WEP Wired Equivalent Privacy ......................................................... 53 3.2.6- WPA - Wi-Fi Protected Access ............................................................ 56 3.2.6.1- Autenticao no WPA. ...................................................................... 57 3.2.6.2- Criptografia de dados........................................................................ 60 3.2.6.3- Integridade dos dados....................................................................... 61 3.2.7- WPA2 ou 802.11i ................................................................................. 66 3.2.8- HotSpots .............................................................................................. 67 4- Concluso ......................................................................................................... 69 Referncia Bibliogrfica: ....................................................................................... 72

ndice de Ilustraes:

Figura 1 Criptografia sem chave ........................................................................ 18 Figura 2 Criptografia Simtrica........................................................................... 19 Figura 3 Criptografia Assimtrica ....................................................................... 22 Figura 4 Rede com Estrutura Ad-Hoc. ............................................................... 28 Figura 5 Rede BBS ............................................................................................ 29 Figura 6 Rede ESS. ........................................................................................... 29 Quadro 1 Comparao entre padres Wi-Fi....................................................... 30 Figura 7 Token de Autenticao......................................................................... 33 Figura 8 - Servidor Proxi ....................................................................................... 37 Quadro 2 Exemplo de Regras de Firewall.......................................................... 39 Figura 9 Rede protegida por Firewall ................................................................. 41 Figura 10 VPN.................................................................................................... 43 Quadro 3 Relao entre materiais e Atenuao sofrida pelo sinal de rdio....... 46 Figura 11 - Warchalking ........................................................................................ 48 Figura 12 Autenticao no WEP ........................................................................ 55 Figura 13 Autenticao 802.1x........................................................................... 58 Figura 14 Criptografia de dados e controle de Integridade no WPA .................. 62 Figura 15 - Descriptografia e Controle de Integridade no WPA ............................ 64

Introduo

A indstria da informtica, apesar de ser recente quando comparada a outros setores, teve e continua tendo um progresso assustador. Os computadores evoluram dos imensos e carssimos mainframes valvulados para os compactos e poderosos desktops e mais recentemente para os compactos computadores portteis como os laptops e palms [TANENBAUM, 97]. Da mesma forma que a informtica, a indstria da comunicao vem evoluindo a largos passos. A fuso da informtica e das comunicaes foi natural. Houve a necessidade de se compartilhar dados e recursos com outros computadores. Dessa necessidade surgiram as redes de computadores, atravs das quais os usurios dos computadores podem se comunicar atravs de mensagens, acessar dados localizados remotamente e compartilhar dados e recursos entre si. Desde ento as redes tm sido adotadas em larga escala. Surgiram ento as redes coorporativas, atravs das quais os computadores de uma empresa passaram a estar conectados de forma a possibilitar a troca e correlacionamento de informaes de toda a empresa, independentemente se as informaes esto disponveis localmente ou remotamente. As redes tambm aumentaram sua confiabilidade, uma vez que poderia haver backups de informaes e redundncia de recursos caso houvesse alguma falha. Dessa forma o processo corporativo no pararia mais se, por exemplo, o servidor de nomes da empresa explodisse, outro equipamento tomaria seu lugar e faria este trabalho. Outro ponto importante na popularizao das redes de computadores sua relao custo/benefcio. Atravs delas o processamento passou a ser dividido, possibilitando um desempenho de um poderoso mainframe com um preo muito mais baixo. Ocorrendo o aumento das informaes a serem processadas, devido propriedade de escalabilidade das redes, o desempenho da rede pode ser

aumentado atravs da troca ou incluso de novos equipamentos para suprir a demanda por processamento. A partir deste ponto foram criadas redes dentro de universidades, prdios pblicos e at mesmo redes abrangendo cidades inteiras ou reas ainda maiores como pases e continentes. Com tantas vantagens, as redes passaram a ser utilizadas por pessoas fora do ambiente corporativo. Dentre as principais finalidades de uso das redes por pessoas fora das empresas esto:

acesso a informaes e recursos remotos. comunicao interpessoal. diverso interativa.

A maior rede existente atualmente, a Internet, surgiu dessas necessidades. Ela evoluiu de uma rede militar privada norte americana (Arpanet) para uma rede multiuso pblica. Atravs dela informaes de todos os tipos e assuntos foram disponibilizadas para o acesso pblico. Pessoas usam a Internet para se comunicar, seja atravs de e-mails (correspondncia eletrnica) ou chats por texto voz e vdeo. At a dcada de 90 as redes de computadores eram essencialmente cabeadas. Desenvolveu se ento o conceito de redes sem fio e computao mvel para suprir a necessidade de um grupo de usurios de se conectar, atravs de computadores mveis como palms, notebooks e outros dispositivos, rede corporativa onde trabalha ou ao seu computador pessoal localizado em sua casa para acesso a dados remotos. A impossibilidade de se fazer conexes cabeadas a partir de locais como carros, avies ou lugares inacessveis a instalaes de estruturas de cabeamento como prdios antigos tambm contribuiu para o desenvolvimento das redes sem fio e computao mvel. Dessa forma foi necessrio desenvolver um meio de transmisso de informaes que pudesse transpor tais barreiras culminando no

desenvolvimento das redes sem-fio que podem transmitir dados por infravermelho ou ondas de rdio, dispensando o uso de cabos. Uma observao mostra se pertinente neste momento. Confunde se muito computao mvel com redes sem fio. Apesar de ter uma estreita relao, as redes sem fio e a computao mvel no so a mesma coisa. Computao mvel diz respeito capacidade do usurio de continuar conectado enquanto se movimenta. J as redes sem fio tm como principal idia a utilizao de outro meio que no seja cabeado como, por exemplo, ondas de rdio, microondas, raios lazer para transmisso de dados, no significando que os componentes desta rede possam se mover livremente e continuar tendo acesso aos dados e recursos remotos [TANENBAUM, 97]. As redes conhecidas como IEEE 802.11, Wi-Fi (Wireless Fidelity) ou WLANs, que so um tipo de rede wireless (sem-fio), so redes que utilizam sinais de rdio para a sua comunicao e so estas o objeto deste estudo. Durante as primeiras dcadas de sua existncia, as redes de computadores foram usadas principalmente por pesquisadores universitrios para enviar mensagens de correio eletrnico ou por empresas para compartilhar impressoras. Dessa forma, segurana no era uma preocupao inicial dos projetistas de redes. Com o crescimento da utilizao das redes, pessoas passaram a utiliz-las para realizar operaes bancrias e outras aes mais delicadas, que necessitavam de segurana. As empresas ento passaram a necessitar de privacidade, sigilo e controle da integridade de suas informaes e ento a segurana das redes passou a ser a maior preocupao dos projetistas de redes. Os projetistas a partir deste momento deveriam se preocupar com o sigilo (manter as informaes longe dos usurios no autorizados a acess-las), autenticao (identificar quem est acessando as informaes da rede), norepudio (ter informaes das aes realizadas sobre a rede para us-las como provas das transaes) e controle de integridade (a comunicao da rede no poder ser forjada e as informaes no poderiam ser alteradas e/ou destrudas por um usurio no autorizado). Dessa forma passou a se utilizar nas redes mtodos de criptografia para esconder as informaes de usurios no autorizados.

Usurios passaram a ser autenticados com assinaturas digitais, senhas e outros mtodos, de forma que as transaes feitas por cada usurio fossem arquivadas e as transaes no pudessem ser repudiadas devido utilizao de certificados digitais, que passaram a ser a prova da ocorrncia de uma transao em uma certa data e com certos termos. A criao de mensagens falsas foi dificultada atravs da criptografia, mtodos de autenticao e mecanismos de controle de integridade. Dessa forma as redes de computadores passaram a ser muito mais seguras [TANENBAUM, 97]. Com o surgimento e adoo em larga escala das redes Wi-Fi, que utilizam transmisso via rdio, novas preocupaes de segurana surgiram. Os projetistas agora teriam que se preocupar com a interferncia e interceptao do sinal de rdio.

Os administradores das redes Wi-Fi devem estar atentos aos seguintes aspectos de segurana:

estas redes utilizam sinais de rdio para a comunicao e qualquer pessoa com um mnimo de equipamento poder interceptar os dados transmitidos por um cliente wireless (notebooks, PDAs, estaes de trabalho, etc), uma vez que o sinal de rdio transmitido em todas as direes;

por serem bastante simples de instalar, muitas pessoas esto utilizando redes desse tipo em casa, sem nenhum cuidado adicional, e at mesmo em empresas, sem o conhecimento e estudo adequado para implant-las.

alm das preocupaes com os clientes da rede, tambm so necessrios alguns cuidados na configurao dos APs(Access Point), dispositivos atravs do qual se tem acesso rede. Os APs so intermedirios na comunicao entre os hosts da rede Wi-Fi [NIC BR, 03]. Para resolver estes problemas de segurana, meios eficazes de

autenticao e criptografia da transmisso de dados vo sendo desenvolvidos como foi o caso do protocolo WEP (Wired Equivalent Privacy) que oferece funcionalidades de segurana e est sendo substitudo atualmente pelo WPA (Wi-

10

Fi Protected Access), que uma soluo de segurana intermediria entre o WEP e o 802.11i (WPA2) e que oferece um maior nvel de proteo j que foram encontradas muitas falhas posteriormente no capitulo 3. As primeiras redes sem fio tinham velocidades de at 2 mbps, muito baixas em relao s redes cabeadas. As taxas de erro de transmisso tambm so maiores neste tipo de rede devido a maior sujeio do sinal transmitido interferncia. Hoje estes pontos tm evoludo bastante com tratamento de erros e velocidades que chegam a 54 mbps (802.11g). Com o uso de outras tecnologias, a velocidade dos padres a e g pode ser aumentada para 108 Mbps. Existem tambm redes que combinam rede cabeada com rede sem fio como, por exemplo, uma LAN cabeada dentro de um avio que se comunica atravs de um roteador com uma ligao de rdio para um roteador em terra atravs do qual um passageiro se conecta a rede de sua empresa. O que se pode observar de tudo isso a existncia de um crescente mercado wireless. As redes sem fio continuaro a evoluir e com essa evoluo tem-se dado muita importncia ao quesito segurana. Dessa forma, os problemas de segurana das redes Wi-Fi tm recebido muita ateno, gerando grandes esforos para super-los e, por conseguinte, a segurana nestas redes tende a evoluir muito tambm. no WEP. Estes protocolos sero discutidos

11

Cenrio

Na industria de computadores, o segmento que mais cresce o de computao mvel, que consiste na parte da computao que independe de localizao dos dispositivos ou de que os dispositivos envolvidos estejam parados em relao ao outro para que se estabelea conexo. Hoje em dia se d muito valor independncia de localizao na comunicao. Dispositivos mveis como Laptops, palmtops, PDAs (Personal Digital Assistent), vm acompanhando a telefonia celular como um dos ramos da tecnologia que mais crescem em quantidade de usurios. Estes dispositivos do apoio de hardware computao mvel. Enquanto que a telefonia celular oferece ao usurio a capacidade de se comunicar por voz independentemente da localizao deste, a computao mvel se prope a oferecer esta mesma independncia para a transmisso de dados e estes dispositivos mveis vm preencher essa necessidade [TANENBAUM, 97]. O crescimento da adoo da tecnologia nas empresas de mdio e grande porte j um fato, sustentado na adequao ao trabalho dos chamados usurios mveis, que passam 20% do tempo ou mais longe da estao de trabalho. Segundo o The Yankee Group, a motivao das organizaes em buscar uma soluo wireless est diretamente ligada possibilidade de envio e recebimento dos e-mails corporativos e o uso da Internet pblica de qualquer localidade [BUIATI, 03]. A grande surpresa, no entanto, a adoo do uso do wireless em residncias e pequenas empresas. De acordo com pesquisas levantadas nos distribuidores de produtos de informtica, o mercado wireless aumenta em passos de 30% ao ms. Alm do j evidente sucesso dos servios de dados via redes celulares, os pontos de acesso pblico (HotSpots Wi-Fi, Wi-Max - Wi-Fi Banda Larga ou similares, criando redes locais wireless - WLAN) tem ocupado espaos a uma velocidade espantosa. O Gartner Group estima que, em 2007, 31 milhes de pessoas sero usurios freqentes desses pontos, outros 35 milhes,

12

espordicos, distribudos por mais 750.000 desses pontos. Na participao usual do Brasil nos negcios de tecnologia, nossos respectivos nmeros podero ser 600 mil usurios freqentes, 600 mil espordicos e 15.000 pontos. Por outro lado, os pontos de acesso wireless privados podem alcanar cifras da ordem de oito milhes no mundo e 160.000 no Brasil. Por parte da Intel, a estimativa que o mercado wireless chegue faixa de 10% do montante total de seus lucros [TRODMAN, 04]. Atravs dos dispositivos de computao mvel como os laptops, os usurios tm a necessidade de se conectar a outros hosts para acessar dados remotamente como, por exemplo, dados localizados no seu pc em sua casa ou o banco de dados de sua empresa para uma consulta. Estas redes wireless vm ganhando grande popularidade pela mobilidade, capacidade do usurio se manter conectado mesmo quando em movimento, que provem aos seus usurios e pela facilidade de instalao e uso em ambientes domsticos e empresariais, hotis, conferncias, aeroportos, etc. Apesar da existncia de barreiras, como a prpria segurana, para a adoo das conexes sem fio, o mercado para quem trabalha com a soluo no apresenta retrao, nem dficit. A SND, empresa distribuidora de produtos de tecnologia, h dois anos investe no wireless para revenda e tem retorno seguro. O wireless hoje estabelecido. O mercado est consolidado, um produto que no oferece grandes sustos para os produtores e distribuidores diz o Diretor de Marketing da SND, Cludio Sender [CARVALHO, 03]. O Wi-Fi no pra de se renovar e enche o mercado de otimismo com as novidades que aumentam seu desempenho e sua confiabilidade. Os padres vo se sobrepondo. O 802.11b, atualmente o mais utilizado no meio corporativo, j est comeando a dar espao para o padro 802.11g, j que este, alm de ser compatvel com o primeiro, tem maior poder de transmisso de dados (54 Mbps). As redes wireless tambm esto evoluindo no quesito segurana. O padro WPA (Wi-Fi Protected Access), substituto para o WEP (Wired Equivalent Privacy), proporciona para os usurios wireless um sistema de autenticao de cada

13

usurio em conjunto com um programa de gerenciamento para o administrador da rede, o que dificulta qualquer tentativa de invaso. Com o apoio de avanados centros de pesquisa e tecnologia como os da Lucent, da Intel, da IBM, da Cisco, entre outros, o futuro das redes sem fio no poderia ser mais promissor, j que, a cada dia, novos dispositivos mveis so lanados no mercado com mais recursos e funcionalidades [BUIATI, 03]. Ao implementar uma rede Wi-Fi, deve se atentar para a questo de segurana. Este tipo de rede envolve preocupaes adicionais no quesito segurana em relao s redes cabeadas. Sendo assim existe uma cautela e um medo muito grande em decidir por implantar uma rede Wi-Fi, principalmente no meio coorporativo. Devido s medidas extras de segurana que devem ser tomadas em uma rede Wi-Fi, as pessoas acham que este tipo de rede no seguro e ento passou a existir um estigma relacionando redes sem fio com falta de segurana. sabido tambm que poucas pessoas possuem capacidade tcnica suficiente para desenvolver uma boa poltica de segurana para uma rede wireless. Cada vez mais vemos redes wireless caseiras e at mesmo coorporativas sendo implementadas sem a devida ateno questo segurana. Pretende-se ento, atravs deste trabalho, realizar um estudo sobre a implementao e a manuteno de segurana em redes sem fio para que este sirva de referncia para a administrao de redes sem fio. Sero discutidos, sob uma abordagem terica, tecnologias e mtodos que incrementam a segurana WiFi e eliminam falhas. Ao final do trabalho ser apresentada uma concluso a respeito da qualidade da segurana Wi-Fi na atualidade. Ser realizada uma Pesquisa Bibliogrfica e Documental onde sero utilizados como fonte de estudo e pesquisa livros, artigos, revistas e principalmente Internet. importante lembrar que todo o material utilizado neste projeto prove de fontes confiveis e de credibilidade, o que garante a veracidade e qualidade das informaes apresentadas neste. O trabalho foi estruturado em 4 captulos. No primeiro captulo, d se embasamento terico ao tema segurana abordado no projeto. feita ento uma

14

explicao a respeito dos conceitos de Poltica de Segurana, Criptografia, Certificado Digital, Selo Cronolgico Digital e Autenticao. Estes conceitos sero de grande importncia ao longo de todo o projeto. No segundo captulo as redes Wi-Fi so mais bem discutidas quanto a sua arquitetura. feita uma distino dos padres Wi-Fi quanto a suas caractersticas. So citadas tambm neste captulo as formas de estruturao das redes Wi-Fi. No terceiro captulo, tem se a discusso a respeito dos mtodos, polticas e tecnologias de segurana aplicveis s redes Wi-Fi. Inicialmente feita uma abordagem das medidas gerais de segurana de redes de computadores que podem ser empregadas nas redes Wi-Fi. Estas medidas gerais, tais como Firewall, VPN, segurana fsica, so abordadas levando-se em considerao as peculiaridades das redes Wi-Fi. Em seguida so abordadas medidas que so inerentes s redes Wi-Fi. Estas medidas foram classificadas como inerentes s redes Wi-Fi devido ao fato de terem sido criadas para este tipo de rede ou pelo fato de se tornarem pontos crticos nestas redes. Abordado o tema de segurana nas redes Wi-Fi, no quarto captulo, apresentada uma concluso a respeito do tema, avaliando ento a qualidade da segurana nas redes Wi-Fi.

15

1- Segurana em Redes de Computadores

Este captulo tem por objetivo dar embasamento terico s informaes apresentadas no restante do projeto. Neste captulo sero discutidos conceitos bsicos de segurana em redes de computadores tais como criptografia, polticas de segurana e autenticao.

1.1- Poltica de Segurana

Uma poltica de segurana um conjunto de leis, regras e prticas que regulamentam a utilizao dos recursos de rede e das informaes de uma organizao. Uma boa poltica de segurana deve conter detalhes de como os recursos e informaes de uma organizao devem ser disponibilizados e utilizados. Os recursos e as informaes de uma organizao devem ser tratados de acordo com seu grau de sensibilidade. A implementao de uma poltica de segurana se baseia na aplicao das regras de utilizao dos recursos e informaes, que limitam o acesso sobre os mesmos. De modo resumido, o objetivo de uma poltica de segurana definir o que e o que no permitido em termos de segurana, durante a operao de um dado sistema. A utilizao de polticas de segurana bem definida e eficiente permite o uso otimizado dos recursos do sistema com um mnimo de risco quanto segurana das informaes e recursos deste sistema [SOARES, 95]. A implementao de uma boa poltica de segurana pode ser conseguida atravs da utilizao de vrios mecanismos como os antivrus, polticas de senhas e Firewalls. Estes mecanismos sero discutidos adiante.

16

1.2- Criptografia
A criptografia a arte ou cincia de se escrever em cifra ou em cdigos, de forma a qualquer acesso no autorizado a dados sigilosos. A criptografia vem sendo muito utilizada, principalmente para fins militares e diplomticos. No campo computacional, a tcnica da criptografia surgiu da necessidade de se enviar informaes sensveis atravs de meios de comunicao no confiveis e utilizada para garantir a segurana em um ambiente computacional que necessite de sigilo das informaes que por ali trafegam [MAIA, 05]. A criptografia utilizada para codificar os dados antes que estes sejam transmitidos. Dessa forma, se os dados forem interceptados, dificilmente podero ser lidos e entendidos.

A criptografia computacional usada para garantir:

1. sigilo: somente os usurios autorizados tm acesso s informaes. 2. integridade da informao: garantia ao usurio de que a informao est correta, que no foi alterada tanto acidentalmente quanto intencionalmente. 3. autenticao do usurio: o processo que permite ao sistema verificar a identidade do usurio ou dispositivo com quem est se comunicando [MAIA, 05].

Os sistemas criptogrficos podem ser de dois tipos: Simtricos e Assimtricos.

17

1.2.1- Criptografia Simtrica

O cifragem de uma mensagem baseia-se em dois componentes: um algoritmo e uma chave. Um algoritmo uma transformao matemtica. Ele converte uma mensagem em claro em uma mensagem cifrada e vice-versa. Quando Alice (origem) cifra uma mensagem, ela utiliza um algoritmo de ciframento para transformar o contedo em claro da mensagem em texto cifrado. Quando Bob (destinatrio) decifra uma mensagem, ele utiliza o algoritmo de deciframento correspondente para converter o texto cifrado de novo em uma mensagem clara como mostra a Figura 1 [MAIA, 05].

Figura 1 Criptografia sem chave

Antigamente, a segurana do ciframento estava baseada somente no sigilo do algoritmo criptogrfico. Se Eve (um intruso) conhecesse o algoritmo sem

18

chave, poderia decifrar uma mensagem cifrada to facilmente quanto Bob. Podese contornar o problema apresentado utilizando o segundo componente bsico da criptografia de mensagens: a chave. Uma chave uma cadeia aleatria de bits utilizada em conjunto com um algoritmo. Cada chave distinta faz com que o algoritmo trabalhe de forma ligeiramente diferente. Embora existam algoritmos que dispensem o uso de chaves, sua utilizao oferece duas importantes vantagens. A primeira permitir a utilizao do mesmo algoritmo criptogrfico para a comunicao com diferentes receptores, apenas trocando a chave. A segunda vantagem permitir trocar facilmente a chave no caso de uma violao, mantendo o mesmo algoritmo. O nmero de chaves possveis depende do tamanho (nmero de bits) da chave. Por exemplo, uma chave de 8 bits permite uma combinao de no mximo 256 chaves (28). Quanto maior o tamanho da chave, mais difcil quebr-la, pois estamos aumentando o nmero de combinaes. A criptografia com chave simtrica mostrada na Figura 2.

Figura 2 Criptografia Simtrica

19

Quando Alice cifra uma mensagem, ela utiliza um algoritmo de ciframento e uma chave secreta para transformar uma mensagem clara em um texto cifrado. Bob, por sua vez, ao decifrar uma mensagem, utiliza o algoritmo de deciframento correspondente e a mesma chave para transformar o texto cifrado em uma mensagem em claro. Eve, por no possuir a chave secreta, mesmo conhecendo o algoritmo, no conseguir decifrar a mensagem. A segurana do sistema passa a residir no mais no algoritmo e sim na chave empregada. ela que agora, no lugar do algoritmo, dever ser mantida em segredo por Alice e Bob. Quando a chave de ciframento a mesma utilizada para deciframento ou esta ltima pode facilmente ser obtida a partir do conhecimento da primeira, ambas precisam ser compartilhadas previamente entre origem e destinatrio, antes de se estabelecer o canal criptogrfico desejado, utilizando-se um canal seguro e independente do destinado comunicao sigilosa. Este tipo de ciframento emprega a criptografia conhecida como simtrica ou de chave secreta. Apesar de sua simplicidade, existem alguns problemas na criptografia simtrica: como cada host necessita de uma chave para se comunicar de forma segura, para um uma rede de n usurios precisaramos de de n chaves, quantidade esta que dificulta a gerncia das chaves; a chave deve ser trocada entre as partes e armazenada de forma segura, o que nem sempre fcil de ser garantido; a criptografia simtrica no garante a identidade de quem enviou ou recebeu a mensagem (autenticidade e no-repudio) [MAIA, 05].

1.2.2- Criptografia Assimtrica

A maneira de contornar os problemas da criptografia simtrica a utilizao da criptografia assimtrica ou de chave pblica. A criptografia assimtrica est baseada no conceito de par de chaves: uma chave privada e uma chave pblica. Qualquer uma das chaves utilizada para cifrar uma mensagem e a outra para 20

decifr-la. As mensagens cifradas com uma das chaves do par s podem ser decifradas com a outra chave correspondente. A chave privada deve ser mantida secreta, enquanto a chave pblica disponvel livremente para qualquer interessado. De uma forma simplificada, o sistema funciona assim: Bob e todos os que desejam comunicar-se de modo seguro geram uma chave de ciframento e sua correspondente chave de deciframento. Ele mantm secreta a chave de deciframento; esta chamada de sua chave privada. Ele torna pblica a chave de ciframento: esta chamada de sua chave pblica. A chave pblica realmente condiz com seu nome. Qualquer pessoa pode obter uma cpia dela. Bob inclusive encoraja isto, enviando-a para seus amigos ou publicando-a em boletins. Assim, Eve no tem nenhuma dificuldade em obt-la. Quando Alice deseja enviar uma mensagem a Bob, precisa primeiro encontrar a chave pblica dele. Feito isto, ela cifra sua mensagem utilizando a chave pblica de Bob, despachando-a em seguida. Quando Bob recebe a mensagem, ele a decifra facilmente com sua chave privada. Eve, que interceptou a mensagem em trnsito, no conhece a chave privada de Bob, embora conhea sua chave pblica. Mas este conhecimento no o ajuda a decifrar a mensagem. Mesmo Alice, que foi quem cifrou a mensagem com a chave pblica de Bob, no pode decifr-la agora. A grande vantagem deste sistema permitir que qualquer um possa enviar uma mensagem secreta, apenas utilizando a chave pblica de quem ir receb-la. Como a chave pblica est amplamente disponvel, no h necessidade do envio de chaves como feito no modelo simtrico. A confidencialidade da mensagem garantida, enquanto a chave privada estiver segura. Caso contrrio quem possuir acesso chave privada ter acesso s mensagens [MAIA, 05].

21

A criptografia de chave assimtrica mostrada na Figura 3.

Figura 3 Criptografia Assimtrica

1.3- Assinatura Digital

Outro benefcio da criptografia com chave pblica a assinatura digital, que permite garantir a autenticidade de quem envia a mensagem, associada integridade do seu contedo. Por exemplo, suponha que Alice (origem) queira comunicar o nascimento de sua filha para seu amigo (destinatrio = Bob), mas queira garantir ao mesmo que a mensagem foi enviada realmente por ela. E, embora no se importe com o sigilo da mensagem, deseja que a mesma chegue integra ao destinatrio, sem alteraes como, por exemplo, do sexo da criana. Alice ento cifra a mensagem com sua chave privada e a envia, em um processo denominado de assinatura digital. Cada um que receber a mensagem dever decifr-la, ou seja, verificar a validade da assinatura digital, utilizando para 22

isso a chave pblica de Alice. Como a chave pblica de Alice apenas decifra (ou seja, verifica a validade de) mensagens cifradas com sua chave privada, fica garantida assim a autenticidade, integridade e no-repudio da mensagem. Pois se algum modificar um bit do contedo da mensagem ou se outra pessoa assin-la ao invs de Alice, o sistema de verificao no ir reconhecer a assinatura digital de Alice como sendo vlida. importante perceber que a assinatura digital, como descrita no exemplo anterior, no garante a confidencialidade da mensagem. Qualquer um poder acess-la e verific-la, mesmo um intruso (Eve), apenas utilizando a chave pblica de Alice. Para obter confidencialidade com assinatura digital, basta combinar os dois mtodos. Alice primeiro assina a mensagem, utilizando sua chave privada. Em seguida, ela criptografa a mensagem novamente, junto com sua assinatura, utilizando a chave pblica de Bob. Este, ao receber a mensagem, deve, primeiramente, decifr-la com sua chave privada, o que garante sua privacidade. Em seguida, "decifr-la" novamente, ou seja, verificar sua assinatura utilizando a chave pblica de Alice, garantindo assim sua autenticidade [MAIA, 05].

1.4- Certificado Digital

Certificado Digital associa a identidade de algum a um par de chaves eletrnicas (privada e pblica) que, usadas em conjunto, fornecem a comprovao da identidade desta pessoa. uma verso eletrnica (digital) de uma Carteira de Identidade. Autoridades de certificao, como Verisign, Cybertrust e Nortel, assinam certificados digitais garantindo sua validade. Uma CA tambm tem a

responsabilidade de manter e divulgar uma lista com os certificados revogados (Certificate Revocation List - CRL). Certificados nesta lista podem ter sido roubados, perdidos ou, simplesmente, estar sem utilidade. As CAs podem estar

23

encadeadas em hierarquias de certificao, onde a CA de um nvel inferior valida sua assinatura com a assinatura de uma CA mais alta na hierarquia[MAIA, 05].

Um Certificado Digital contm trs elementos:

1. informao de atributo: informao sobre o objeto que certificado. No caso de uma pessoa, isto pode incluir seu nome, nacionalidade, organizao, departamento etc. 2. chave de informao pblica: esta a chave publicada na Autoridade Certificadora. O certificado atua para associar a chave pblica informao de atributo. A chave pblica pode ser qualquer chave assimtrica. 3. assinatura da Autoridade Certificadora: a CA assina os dois primeiros elementos, validando os. Quem recebe o certificado verificar a assinatura e acreditar na informao de atributo e chave pblica associadas.

Existem diversos tipos de certificados, conforme descrio feita a seguir.

certificados de CA: utilizados para validar outros certificados; so autoassinados ou assinados por outra CA.

certificados de servidor: utilizados para identificar um servidor seguro; contm o nome da organizao e o nome DNS do servidor.

certificados pessoais: contm nome do portador e, eventualmente, informaes como endereo eletrnico, endereo postal, etc.

certificados de desenvolvedores de software: utilizados para validar assinaturas associadas a programas.

A infra-estrutura para lidar com o gerenciamento de chaves pblicas definida pelo padro Public Key Infrastructure (PKI), que define onde os certificados digitais sero armazenados e recuperados, de que forma esto armazenados, como um certificado revogado, entre outras informaes [MAIA, 05].

24

1.5- Selo Cronolgico Digital

O servio de Selo Cronolgico gera selos cronolgicos ou Timestamps que associam a data e a hora a um documento digital em forma de criptografia forte. O Selo Digital pode ser usado para provar a existncia de um documento eletrnico em determinada data [MAIA, 05].

25

2- Redes Wireless e Redes Wi-Fi.

Para definir um padro para as redes locais sem fio (WLANS), o IEEE criou o Wireless Local-Area Networks Standard Working Group, IEEE Project 802.11. Este grupo tinha como objetivo definir especificaes e padres para as redes que possuam como meio de transmisso as ondas de rdio ou infravermelho. A arquitetura adotada pelo projeto 802.11 baseia-se na diviso da rea coberta pelo sinal da rede em clulas que so chamadas de BSA (Basic Service Area). Um grupo de dispositivos se comunicando, via rdio ou infravermelho, definem um BSS (Basic Service Set). A transmisso dos dados em uma rede 802.11 se d atravs da utilizao de portadoras analgicas de rdio ou infravermelho. Os dados so modulados na portadora de rdio e transmitidos atravs de ondas eletromagnticas. Mltiplas portadoras de rdio podem coexistir num mesmo meio, sem que uma interfira na outra. Para extrair os dados, o receptor sintoniza numa freqncia especfica e rejeita as outras portadoras de freqncias diferentes [SOARES, 95]. Em um ambiente onde exista tanto rede wireless quanto rede cabeada, como, por exemplo, Ethernet, os APs (Access Points) fazem a intercomunicao dos dois tipos de rede. Os APs no apenas fornecem a comunicao com as redes cabeadas convencionais, como tambm intermedeiam o trfego com os pontos de acesso vizinhos, num esquema de micro clulas com roaming semelhante a um sistema de telefonia celular.

As funes bsicas dos Access Points (APs) so:

autenticao, associao e reassociao: permite que um dispositivo se mantenha conectado ao transitar entre BSAs distintas. As estaes utilizam uma varredura para encontrar o AP com melhor qualidade de sinal e se associam a ele. 26

gerenciamento de potncia: isto possvel em APs que possuem a funcionalidade de armazenar temporariamente em cache frames

endereados aos hosts que esto poupando energia (com funo de recepo desabilitada) j que um dos grandes problemas dos dispositivos mveis a durao da carga da bateria. O AP e os hosts operam com relgios sincronizados. De tempos em tempos as estaes ligam os seus receptores para receber o trfego endereado a elas armazenado no AP. sincronizao: refere-se sincronizao dos relgios dos dispositivos com o relgio do AP. O valor do relgio enviado periodicamente atravs de Beacons (quadros com informaes sobre a rede). Atravs dos Beacons, os dispositivos sincronizam os seus relgios [SOARES, 95].

As redes Wi-Fi so uma subdiviso das redes wireless. Existem redes wireless que usam sinais de rdio e outras utilizam infravermelho para transmisso de dados. As redes Wi-Fi se caracterizam por seu meio de transmisso ser atravs de ondas de rdio. Elas operam na freqncia de 2.4Ghz ou 5Ghz, dependendo do padro em questo.

As redes Wi-Fi possuem trs padres distintos:

802.11a: especifica o padro das redes sem fio que atuam na freqncia de 5GHz e permite transmisses de at 54 Mbps.

802.11b: especifica o padro que atua na freqncia de 2.4 GHz a 2.485 GHz (2.5 GHz no Brasil) e permite transmisses de at 11 Mbps.

802.11g: especifica o padro que atua na freqncia 2.4 GHz a 2.485 GHz (2.5 GHz no Brasil) e permite transmisses de at 54 Mbps [FERREIRA, 05].

Sendo que uma rede Wi-Fi, dos padres citados acima, pode ser estruturada de trs modos:

27

Independent Basic Service Set (IBSS) ou redes Ad-Hoc: so redes nas quais os dispositivos sem fio se comunicam diretamente entre si sem a necessidade de um AP. Comparada a uma rede Ethernet, a rede Ad-Hoc seria como uma rede ponto a ponto. A Figura 4 mostra uma rede Ad-Hoc.

Figura 4 Rede com Estrutura Ad-Hoc.

28

Basic Service Set (BSS): so redes onde um conjunto de dispositivos se comunica entre si atravs de um nico AP. Uma BSS mostrada na Figura 5.

Figura 5 Rede BBS Extended Service Set (ESS): so duas ou mais redes Wi-Fi interconectadas entre si. Uma ESS mostrada na Figura 6.

Figura 6 Rede ESS. 29

Este projeto se aplica aos trs padres. O padro 802.11a, por possuir maior freqncia, sofre menos interferncia de outros objetos e aparelhos, porem seu alcance menor. As redes b e g, por atuarem na mesma faixa de freqncia, so compatveis entre si. Abaixo podemos observar um quadro comparativo entre os trs padres Wi-Fi lembrando que a distncia alcanada por estas redes altamente varivel com o ambiente.

Quadro 1 Comparao entre padres Wi-Fi. 802.11b Velocidade Freqncia Distncia Compatibilidade 11Mbps 2.4GHz 100 metros 802.11g 802.11a 54Mbps 5GHz 50 metros 802.11g 54Mbps 2.4GHz 100 metros 802.11b

A seguir se iniciar a discusso a respeito da segurana nas redes Wi-Fi. As medidas e tecnologias discutidas devem ser aplicadas de acordo com a necessidade de segurana da rede, desde que sejam possveis de serem implementadas.

30

3- Segurana nas redes Wi-Fi

A diferena entre as redes Wi-Fi e Ethernet se d na camada fsica e na poro inferior da camada de enlace do modelo de referncia OSI da ISO devido diferena no meio de transmisso utilizado e das tcnicas de autenticao, garantia de integridade e privacidade utilizadas nos dois tipos de rede [DUARTE, 03]. Dessa forma, qualquer medida de segurana que atue na camada de rede ou em uma camada superior do modelo TCP/IP dever ser aplicada a uma rede Wi-Fi sem nenhuma ou com mnimas alteraes em relao a uma rede Ethernet. A preocupao maior em relao segurana Wi-Fi se d em questo da diferena entre os meios de transmisso das redes Wi-Fi e Ethernet. Nas redes Wi-Fi, como o sinal transmitido atravs de ondas de rdio, mais difcil manter controle sobre o sinal j que este se propaga em todas as direes.

A definio de segurana em redes de computadores estabelece duas suposies iniciais:

a rede contm dados e recursos valiosos que so crticos para as organizaes e/ou usurios;

os dados e recursos da rede so valiosos e por isso devem ser protegidos [TANENBAUM, 97].

O objetivo de se implementar segurana em uma rede de computadores manter a confidencialidade, integridade e disponibilidade dos dados e recursos. Com as redes Wi-Fi no diferente, embora estas redes usem transmisso via rdio para transmitir dados.

31

3.1- Questes Gerais sobre Segurana em Redes

Nesta seo sero discutidas medidas de segurana das redes cabeadas que podem e devem se aplicadas s redes Wi-Fi quando possvel. Sero discutidas medidas de segurana como uso de antivrus, auditoria e atualizao de software.

3.1.1- Identificao e Autenticao de Usurios

Para disponibilizar os dados e recursos de uma rede apenas s pessoas autorizadas, devemos ter:

identificao: meio de estabelecer a identidade do usurio. autenticao: meio de verificar a veracidade da identidade do usurio.

A identificao diz respeito ao nome do usurio na rede, ao passo que a autenticao pode ser feita atravs de senhas, smartcards e outros mtodos. A autenticao de usurio pode ser feita de vrias formas, sendo que certos mtodos so mais eficientes que outros. Alguns dos mtodos de autenticao de usurios mais usados so as senhas, senhas de sesso nica, SmartCards, Biometria.

3.1.1.1- Senhas. Neste mtodo, o usurio se identifica com um nome de usurio e se autentica atravs de uma senha. Deve-se ter cuidado ao utilizar senhas. Os usurios devem ser alertados dos perigos do uso de senhas fceis, bvias e etc. Senhas que se referem a caractersticas do usurio, como, por exemplo, data de nascimento, so facilmente descobertas.

32

Deve se estabelecer uma poltica de trocas peridicas das senhas dos usurios. Senhas curtas so fracas. Deve se dar preferncia a senhas de, no mnimo, oito caracteres. Deve se atentar para cadastros de usurios vencidos como funcionrios de frias, funcionrios demitidos ou aposentados e etc. Estes usurios devem ser removidos da lista de usurios da rede. Ex-funcionrios tm grande participao em ataques s empresas. Mesmo seguindo estas medidas na criao de senhas, este no o mtodo mais recomendado para proteger pontos crticos de acessos no autorizados. Existem mtodos mais fortes que sero descritos a seguir.

3.1.1.2- Senha de nica Sesso (One Time Password).

Como o prprio nome j indica, senhas de sesso nica so utilizadas apenas uma vez. Aps o fechamento da sesso, a senha se torna invlida para uso, impossibilitando seu roubo e uso posterior por um atacante. A maneira mais comum de se implementar este mtodo atravs de algum dispositivo fsico conhecido como ficha ou token.

Figura 7 Token de Autenticao.

33

3.1.1.3- Smartcards. O Smartcard um dispositivo porttil (carto) que possui uma CPU, uma porta I/O e memria no voltil que s pode ser acessada pela cpu do carto. Geralmente so utilizadas senhas em conjunto com os Smartcards. Este mtodo prove um nvel alto e segurana. utilizado em caixas automticos dos bancos.

3.1.1.4- Biometria. Este mtodo utiliza como autenticao uma caracterstica fsica do usurio, como impresso digital, leitura de retina ou reconhecimento de voz. um mtodo mais caro e mais complexo de se implementar, possibilitando maior nvel de segurana. Estes mtodos citados podem ser utilizados para diversos fins. Eles podem proteger dados, dispositivos, recintos etc. A implementao de alguns destes mtodos para proteger os dados das rede Wi-Fi no era possvel de incio (WEP), mas se tornou disponvel com o WPA. O WPA utiliza o protocolo EAP para dar suporte a diversos tipos de autenticao. O WEP, WPA e EAP sero melhor descritos no Captulo 3.

3.1.2- Antivrus
Os vrus so, sem dvida nenhuma, um dos maiores problemas dos administradores de rede. Eles podem destruir dados, prejudicar o funcionamento de sistemas e aplicativos entre outras coisas. Para se ver livre dos vrus e cavalos de tria faz se necessrio a utilizao de um bom antivrus como o Norton, Mcfee ou AVG. necessrio tambm que os antivrus tenha suas definies de vrus atualizadas periodicamente (no mnimo uma vez por semana). A conscientizao do usurio tambm importante no combate aos vrus e Cavalos de Tria. necessrio informar ao usurio do perigo de se abrir arquivos 34

de procedncia duvidosa ou desconhecida em e-mails, disquetes, cds ou arquivos baixados da Internet. Uma poltica de uso dos recursos da rede deve ser feita neste sentido para controlar a entrada de arquivos desconhecidos na rede.

3.1.3- Auditoria
A auditoria uma importante ferramenta de segurana quando utilizada corretamente. A auditoria pode ser empregada em diversos nveis. Podem ser criados logs de acesso dos arquivos da rede, logs de acesso aos dispositivos, logs de requisies de servio etc. Os logs so recursos poderosos para descobrir as causas de um problema, comportamentos suspeitos, uso de recursos por parte dos usurios entre outras coisas. Para que as informaes dos logs sejam consistentes, necessrio que os relgios dos dispositivos da rede estejam sincronizados. Dessa forma tem-se o momento exato do acontecimento de um evento. Os logs podem ser armazenados localmente em um host reservado para este fim ou pode ser armazenado em mdias de armazenamento como fitas e CDRs. Dependendo da importncia das informaes de um log, este deve ficar armazenado por anos antes que possa ser apagado. Administradores de rede devem reservar tempo para leitura do logs dos sistemas e dispositivos da rede a procura de falhas. Isto pode fornecer estatsticas poderosas a respeito do uso dos recursos da rede e pode prevenir ataques e falhas.

3.1.4- NAT
NAT consiste em utilizar faixas de endereos IP reservados para enderear os dispositivos da rede interna. Dessa forma, os endereos da rede interna so desconhecidos pela rede externa.

35

Ao se utilizar NAT, alguns endereos vlidos so disponibilizados para serem utilizados pelos hosts internos que devem ser identificados publicamente e para que hosts internos possam acessar a Internet. Quando um pacote roteado da rede interna para a rede externa, o NAT substitui o endereo NAT reservado por um endereo global vlido

temporariamente. Quando a sesso de aplicao terminar, o endereo global disponibilizado novamente para que outros hosts possam acessar a rede pblica.

As vantagens do NAT so:

aumento da segurana, uma vez que os endereos dos hosts da rede interna no so conhecidos publicamente.

permite o endereamento de um grande numero de hosts utilizando poucos endereos globais j que estes endereos s sero utilizados por hosts que devam ser conhecidos publicamente (como servidores WEB) e por hosts que queiram acessar a rede pblica [CYCLADES BRASIL, 99].

3.1.5- SDI - Sistemas de Deteco de Intruso

Como o prprio nome diz, os sistemas de Deteco de Intruso tm o objetivo de monitorar o sistema e detectar quando o sistema pode estar sendo invadido. Este um mtodo conhecido e eficiente de proteger o sistema e guardlo contra possveis invases.

Um Sistema de Deteco de Intruso realiza as seguintes tarefas:

detectar ataques na rede em tempo real. gerar relatrios. responder a ataques automaticamente. monitorar atividades de forma transparente ao cliente.

36

Alguns SDIs que so utilizados para identificar intruso da camada de enlace de dados precisam ser modificados para poderem atuar em uma rede Wi-Fi devido mudana no meio de transmisso. J existem Sistemas de Deteco de Intruso prprios para as redes Wi-Fi. Estes SDI so mais eficientes neste tipo de rede [CYCADES BRASIL, 99].

3.1.6- Servidor Proxy

O Servidor Proxy tem o objetivo de fazer a comunicao entre a rede interna e servidores remotos (FTP, HTTP, E-mail, etc). Ele pode ser implementado em conjunto com um Firewall ou em um dispositivo prprio. Recebe tambm o nome de Firewall de aplicao.

Servidor Remoto Host Interno Servidor remoto Proxy

Figura 8 - Servidor Proxi

Normalmente o mesmo Proxy usado por todos os clientes da rede interna. Desta forma ele pode fazer log de tudo que requisitado, constituindo se em mais uma ferramenta de segurana. O Proxy tambm reduz o trfego entre a rede interna e a pblica uma vez que arquivos requisitados se mantm em na cache do Proxy para futuras requisies.

37

3.1.7- Firewalls

Os Firewalls so componentes essenciais para garantir a segurana de uma rede e computadores. Atravs de um Firewall, pode-se controlar todo o trfego de dados que entra e sai da rede, de forma seletiva, de acordo com um conjunto de regras previamente estabelecidas em sua configurao. O Firewall protege dados, programas e dispositivos numa rede privada de acessos no autorizados. Ele intercepta o trfego que entra e sai da rede privada, analisa os, comparando os mesmos com as regras de acesso definidas, barrando, permitindo ou redirecionando o trfego. Um Firewall pode ser implementado em um pc, um roteador ou em hardware especfico para este fim. O uso de Firewalls dificulta o acesso indevido de recursos da rede, no importando se o ataque interno (parte de um host da rede privada) ou externo (parte de um host da rede pblica) rede privada. As regras de acesso implementadas em um Firewall so definidas de acordo com protocolos, endereos IP dos hosts e portas dos servios. Pode se utilizar as portas e endereos como sendo de origem e destino, permitindo o controle de trfego nos dois sentidos. Como o Firewall ser o intermedirio entre a comunicao da rede interna consigo mesma e da rede interna com a rede externa, esse dispositivo pode ser alvo de ataques com o objetivo de alterar sua configurao de modo a permitir que outros ataques possam ser executados. Para dificultar este tipo de ataque ao Firewall, recomenda se a utilizao de mtodos de autenticao avanados no Firewall. Dessa forma o acesso no autorizado ao Firewall e suas configuraes seria dificultado [COUTINHO, 00]. Atravs dos Firewalls, feita a filtragem de pacotes IP. Quando um pacote IP passa pela interface do firewall, este analisa os campos endereo IP de origem do pacote, endereo IP de destino do pacote, porta de servio TCP/IP de origem e destino do pacote. Atravs desta anlise o Firewall permite, bloqueia ou

38

redireciona o trfego. A filtragem de pacotes IP pode ser utilizada para bloquear conexes entre hosts ou redes especficas e conexes para portas especficas. O Quadro 2 fornece um exemplo de como as regras de filtragem de trfego so implementadas em um Firewall.

Quadro 2 Exemplo de Regras de Firewall. Regra Tipo Endereo de Origem Endereo Porta de Porta de Ao de Destino 1 2 3 4 5 6 TCP TCP TCP TCP UDP * * * * 123.4.5.6 123.4.5.7 123.4.5.8 >1023 >1023 >1023 >1023 >1023 * 23(telnet) Permitir origem Destino

25(SMTP) Permitir 25(SMTP) Permitir 119 123 * Permitir Permitir Negar

129.6.48.254 123.4.5.9 * * 123.4.*.* *

Ao implementar um Firewall, d preferncia de negar todos os servios a menos que sejam expressamente permitidos. Este o caso do exemplo acima. Esta poltica proporciona maior segurana uma vez que permite o trafego medida que este necessrio. J a poltica de permitir todo trfego a menos que seja expressamente negado menos segura uma vez que acessos no previstos e negados previamente podem ocorrer. Com um Firewall, a segurana dos hosts e servios de uma rede ficam concentrados em um ponto central. Dessa forma no necessrio configurar todos os hosts e servios oferecidos para implementar o nvel de segurana requerido. O Firewall permite tambm o bloqueio do acesso externo s informaes do servidor DNS da rede privada. Desse modo, os nomes e endereos IPs dos Hosts

39

da rede interna no estariam disponveis para usurios externos. Outra vantagem do uso de Firewalls ter acesso a informaes da utilizao da rede. Como todo o trfego da rede passa atravs do Firewall, estes acessos podem ser registrados e o log dos acessos pode ser utilizado pelo administrador para anlises da utilizao dos recursos da rede pelos usurios. Pode ser verificado ento se os usurios esto utilizando a rede de forma correta. O Firewall pode tambm ser configurado para soar alarmes ou realizar outra tarefa quando for detectado trfego suspeito na rede [COUTINHO, 00]. Um dispositivo de Firewall possui trs tipos de interfaces: interface interna, interface externa e DMZ (Zona Desmilitarizada). atravs destas interfaces que o Firewall controla o trfego da rede. A rede privada ligada interface interna do Firewall. Esta interface protege a rede de acessos provenientes das outras interfaces. A rede pblica ligada interface externa do Firewall. Atravs desta interface o Firewall controla os acessos externos rede interna e a DMZ. J na interface da DMZ, devem ser conectados dispositivos que sero acessados pela rede externa. Como a DMZ e a rede interna so separadas em interfaces diferentes, o acesso externo rede fica restrito DMZ. Sendo assim o acesso DMZ permitido sem que o usurio da rede pblica tenha acesso rede interna. Na DMZ podem ser conectados servidores WEB, DNS, E-mail entre outros. Em se tratando das redes Wi-Fi, recomenda-se que estas redes fiquem na DMZ do Firewall [MARTINS, 03]. Desta forma, qualquer ataque que permita acesso no autorizado rede Wi-Fi no se propagar para a rede interna corporativa, pois ser barrado no Firewall. Caso algum tipo de acesso da rede WiFi na rede interna deva ser permitido, pode se implementar autenticao para este acesso no Firewall, provendo maior nvel de segurana. recomendado tambm a instalao de softwares Firewall nos clientes para barrar a comunicao direta entre eles (modo Ad-Hoc). Sem esta barreira, um intruso pode se conectar rede e, dessa forma, acessar os arquivos e recursos de um cliente facilmente [MARTINS, 03]. O modo Ad-Hoc deve ser evitado, pois nele a segurana fica descentralizada, devendo ser implementada em cada host, j que no se utiliza

40

APs para intermediar as comunicaes. Um esquema de Firewall mostrado na Figura 9.

Figura 9 Rede protegida por Firewall

41

3.1.8- VPN
No cenrio atual, comunicaes a longa distncia esto sendo cada vez mais necessrias entre empresas, parceiros, filiais etc. Agora, com as redes sem fio, essa comunicao a distncia ocorre tambm entre usurios mveis e suas redes. A rede pblica (Internet) est sendo ento utilizada para este fim, sendo uma alternativa de baixo custo para as empresas conectarem suas redes privadas. Porm sabemos que segurana no uma caracterstica da Internet. Sendo assim, as informaes coorporativas ficam desprotegidas. Para resolver este problema foi criado o conceito de VPN Virtual Private Network. Este conceito consiste em utilizar a rede pblica para transmitir dados corporativos de forma segura. Uma VPN significativamente mais barata e mais flexvel que uma rede privada. Para se conectar, cada rede privada ou host s precisa estar conectada a um provedor de Internet e a adio de novas conexes simples e barata. As VPNs protegem os dados atravs de criptografia forte para que os dados no possam ser decifrados se capturados. Os dados trafegam pela Internet atravs de tneis virtuais (circuitos virtuais). Em cada rede privada deve haver um gateway VPN para criptografar e descriptografar os dados transmitidos atravs da rede pblica. Os Hosts mveis que utilizaro a VPN devem ter softwares VPN instalados. Um esquema de VPN pode ser visto na figura 10 [CHIN, 98].

42

Figura 10 VPN

Os dispositivos VPN devem garantir os seguintes itens a fim de propiciar segurana na comunicao:

Privacidade dos dados: garantia de que os dados, se interceptados, no possam ser decifrados.

Integridade dos dados: os dados no devem ser modificados durante a transmisso.

Autenticao de dispositivos remotos: os dispositivos remotos devem ser autenticados para acessar a rede privada atravs da VPN [CHIN, 98].

A maioria das VPNs atuais utiliza o protocolo IPSec (IP Security), que independente do mtodo de criptografia (WEP, WPA, WPA2), pois atua na camada de rede, possibilitando o uso de ambos sem causar conflito.

43

Com o IPSec, cada pacote de dados encapsulado em um novo pacote que contm as informaes necessrias para configurar, manter e finalizar o tnel quando ele no for mais necessrio. A criptografia usada para garantir o sigilo, a integridade e a autenticidade das duas extremidades da rede privada. O Internet Key Exchange (IKE), um protocolo de camada de aplicao, autentica cada ponto em uma transao IPsec. O IKE negocia a poltica de segurana, determinando qual algoritmo pode ser usado para configurar o tnel. Tambm lida com a troca de chaves de sesso para esta transao. Redes que usam IPsec para dar segurana ao trfego de dados podem autenticar dispositivos automaticamente usando certificados digitais, que verificam as identidades dos dois usurios envolvidos na troca de informao.

Porm, a utilizao de VPN tem algumas desvantagens:

no garantem Throughput devido ao fato de se utilizar a Internet. grande capacidade de processamento dos dispositivos que compem a VPN. A criptografia exige muito processamento [CYCLADES BRASIL, 99].

As VPNs so a melhor opo para se conectar rede privada atravs das redes sem fio pblicas (HotSpots), pois estas redes no possuem segurana, tornando invivel o uso das mesmas para acessar remotamente dados e recursos da rede privada corporativa [REVISTA INFO EXAME, 05]. Os HotSpots sero melhor explicados posteriormente, no Captulo 3.

44

3.1.9- Segurana Fsica

Numa rede, alm de seus dados, seus equipamentos, acessos rede e permetro tambm devem ser protegidos. No adianta, por exemplo, impedir certo usurio de acessar informaes confidenciais da empresa atravs da rede quando nenhuma medida tomada para impedir que este usurio no tenha acesso sala onde se encontra o banco de dados e conseqentemente possa roubar informaes. A situao piora quando algum de fora da empresa o atacante. Este apenas um dos pontos com que o profissional de segurana deve atentar em relao questo da segurana fsica. Quando se implementa uma rede Wi-Fi necessrio cuidado extra neste quesito. A segurana fsica dos dispositivos da rede abrange diversos pontos a serem considerados: localizao, instalaes, fenmenos naturais, terrorismo e vandalismo.

3.1.9.1- Localizao.

Deve-se ter cuidado com a localizao de instalao dos dispositivos da rede. Dispositivos wireless como os APs devem ser localizados o mais alto possvel dentro de um ambiente para reduzir a interferncia e perda de sinal devido a barreiras mortais para o sinal de rdio como plantas, arvores, paredes de concreto e reservatrios de gua. Alguns dispositivos Wireless j vm com antenas ligadas a cabos longos para permitir melhor posicionamento das mesmas. Da mesma forma deve-se atentar para a localizao de dispositivos crticos para a rede no que diz respeito ao controle de acesso fsico a estes dispositivos. Dependendo do uso da rede, dispositivos podem ter que ser trancados a 7 chaves em salas isoladas que so protegidas por seguranas, cmeras etc. Nestes casos pode se utilizar meios como a biometria para permitir somente acesso autorizado ao dispositivo. Este nvel de proteo pode ser utilizado, por exemplo, em uma 45

sala do Pentgono onde informaes confidenciais da inteligncia norteamericana so guardadas. A localizao dos dispositivos (placas wireless e APs) deve ser verificada tambm em relao ao ambiente em que esto. Vrios objetos e tipos de materiais podem barrar o sinal de rdio. A tabela abaixo fornece uma lista de possveis barreiras propagao do sinal de rdio.

Quadro 3 Relao entre materiais e Atenuao sofrida pelo sinal de rdio Material Ar Madeira Gesso Material Sinttico Asbestos Vidros gua Tijolos Mrmores Rolo de Papel Concreto Vidro prova de balas Metal Atenuao Mnima Baixa Baixa Baixa Baixa Baixa Mdia Mdia Mdia Alta Alta Alta Muito Alta Exemplos Divisrias Paredes Internas Divisrias Tetos Janelas Madeiras midas, Aqurios Paredes Internas e Externas Paredes Internas Rolos de Papel Pisos, Paredes Externas Salas de Segurana Mesas, Divisrias de metal

3.1.9.2- Instalaes

Deve-se atentar a questes como aterramento, variaes ou falta de energia. Para controlar as variaes de energia e proteger os dispositivos ligados rede eltrica devem ser usados estabilizadores. Contra a falta de energia eltrica pode se usar No-Breaks, garantindo um tempo extra de funcionamento para que as transaes sejam salvas. Podem ser utilizados tambm geradores de energia para manter funcionando dispositivos que no podem ser desligados. 46

Ao definir as instalaes, devemos nos preocupar com as condies ambientais do local onde a rede estar sendo instalada. Dispositivos crticos como servidores de banco de dados devem ficar em salas climatizadas com temperatura controlada para no haver superaquecimento e, conseqentemente, mau funcionamento. A umidade tambm deve ser controlada para no causar corroso dos equipamentos. O nvel de poeira deve ser controlado para manter a integridade de dados armazenados em mdias magnticas e para no causar curto circuito nos equipamentos. Alm destas preocupaes com as instalaes, existem outras prprias das redes WLAN. O local das instalaes da rede deve ser verificado quanto geografia. Se o local for entre montanhas, as montanhas sero barreiras para a propagao do sinal. Neste caso deve-se tentar instalar antenas para transpor as montanhas. Outro item a ser verificado a potncia do sinal emitido pelos APs. Deve ser verificada a abrangncia deste sinal, uma vez que este propagado em todas as direes. Deve-se observar se o sinal alcana toda a rea pretendida e se este sinal no ultrapassa esta rea. O sinal emitido deve ser controlado nos APs para que este sinal no possa ser captado fora da rea de abrangncia da rede Wi-Fi. Isto pode ser feito no prprio software de configurao do AP em dipositivos mais novos. Os softwares de configurao dos Access Points possibilitam a

configurao do sinal de forma fcil. Apesar de ser uma medida simples de ser tomada, muitos administradores de redes no se preocupam com isto, abrindo espao para os ataques conhecidos como Warchalking e Wardriving. O ataque de Wardriving consiste em, com o auxilio de um computador mvel ou PDA, uma antena Wi-Fi e software monitorador de sinais Wi-Fi, procurar por sinais wireless com um carro. As redes captadas podem ser utilizadas para navegao na Internet de graa ou podem ter informaes roubadas e/ou destrudas informaes. O ataque Warchalking consiste em sinalizar os locais onde sinais de redes Wi-Fi podem ser captados com smbolos escritos nas caladas ou pichados nos muros. Estes smbolos contm informaes a respeito das redes captadas,

47

como o SSID (nome que identifica a rede), para que qualquer pessoa possa utiliz-la.

Figura 11 - Warchalking

Pode ocorrer tambm o fato de uma rede Wi-Fi causar interferncia em outra rede Wi-Fi que esteja prxima, por exemplo, em um prdio vizinho. Ao ser identificado este problema, o mesmo pode ser resolvido com a mudana do canal de transmisso de dados da rede. O numero de canais disponveis geralmente 11 no padro b e g e 13 no padro a, podendo ocorrer variaes de fabricante para fabricante. Cada canal utiliza uma faixa de freqncia diferente. A Cisco divide a faixa de freqncia em 11 canais distintos. Transmitindo em canais de freqncia diferentes, no haver interferncia entre as redes. Outro problema a ser verificado a existncia de telefones sem fio, fornos de microondas e aparelhos de bab eletrnica, pois alguns destes aparelhos atuam nas mesmas freqncias das redes b e g, podendo causar interferncias, reduzindo e at destruindo o sinal. Devido a esta caracterstica, estes aparelhos

48

podem ser usados para ataques de DoS (Denial of Service) que deixam a rede fora do ar.

3.1.9.3- Fenmenos Naturais

A propenso de ocorrncia de fenmenos naturais da rea deve ser verificada. As instalaes devem ser adequadas aos tipos de fenmenos que ocorrem no local como terremotos e enchentes. Alm disso, outras medidas podem ser tomadas como, por exemplo, realizao de backups remotos e elaborao de planos de contingncia caso algum fenmeno ocorra.

3.1.9.4- Vandalismo/Terrorismo

As informaes devem ser protegidas de atos de vandalismo e terrorismo. Esta proteo pode ser conseguida atravs de backups, vigilncia, controle de acesso e planos de contingncia. Alm destes pontos citados, as redes Wi-Fi devem ser monitoradas de modo a impedir que pessoas no autorizadas conectem dispositivos na rede para roubar informaes. Como numa rede Wi-Fi no preciso de cabos para conectar dispositivos na rede, algum pode conectar um AP na rede, se passando por outro dispositivo e desta forma capturando todo o trfego. Softwares de monitoramento de sinal como o AirMagnet permitem o reconhecimento de dispositivos estranhos conectados rede, podendo inclusive soar alarmes quando for detectada uma irregularidade, e devem ser utilizados como ferramenta de segurana. Notamos ento que as redes Wi-Fi implicam maiores preocupaes para garantir a segurana fsica da rede.

49

3.1.10- Outras Questes

Alm destas medidas de segurana citadas, outras medidas devem ser implementadas em qualquer rede para aumentar a segurana. necessria a atualizao dos softwares e sistemas que rodam nos dispositivos da rede. Estas atualizaes eliminam Bugs que possam prejudicar o funcionamento destes softwares e sistemas, alm de poderem ser usados por pessoas mal intencionadas para atacar o sistema. No adianta, por exemplo, ter um sistema de segurana forte numa rede quando o sistema operacional das estaes est desatualizado. Estas atualizaes devem ser feitas tambm nos firmwares dos dispositivos. Alm disso, deve-se ter cuidado com a instalao de novos dispositivos e softwares, pois estes geralmente vm com configuraes default que priorizam a funcionalidade em detrimento da segurana. Servios no desejados podem estar sendo instalados, constituindo mais um provvel ponto de ataque. Configuraes default dos dispositivos geralmente possuem senhas fracas, como nome do fabricante, que podem ser usadas por atacantes para ganhar acesso rede e at mesmo mudar as configuraes destes dispositivos. Deve se ento mudar as senhas que vem de fbrica nos dispositivos por senhas mais eficientes. Por fim deve se atentar para o treinamento dos usurios da rede, dos sistemas e softwares. Este talvez seja o ponto mais crtico da segurana em um sistema. Usurios, sem treinamento das polticas de segurana implementadas, acabam por abrir brechas que no foram previstas ou mesmo que foram previstas e fechadas. Na prxima sesso ser feito um estudo das medidas, mtodos e tecnologias de segurana, bem como suas falhas e respectivas solues, inerentes s redes Wi-Fi.

50

3.2- Questes de segurana inerentes s redes

Nesta seo sero discutidas medidas de segurana que devem ser aplicadas especialmente nas redes Wi-Fi. Sero discutidas as medidas que devem ser tomadas nas redes Wi-Fi para suprir alguma necessidade especial de segurana tpica deste tipo de rede. Alem disso sero discutidas as tecnologias de segurana existentes no mbito das redes Wi-Fi.

3.2.1- DHCP
O uso de servidores DHCP (Dinamic Hosts ) em WLANS deve ser evitado quando possvel devido facilidade de conexo de um dispositivo mvel a um AP. Aps um usurio se conectar a um AP, ele precisa de um IP vlido para se comunicar. funo do DHCP fornecer endereos IP dinamicamente para novos hosts que se conectarem. O problema que quando um intruso tentar se conectar rede, ele receber um IP e poder utiliz-la livremente. Desabilitando este servio, o intruso ter mais trabalho para conseguir um endereo vlido. Ele poder conseguir um atravs de ataques de BruteForce (tentar todas as possibilidades) baseado em faixas de endereos reservados (NAT) ou atravs da captura e decifragem de pacotes da rede em busca de um IP vlido. Dessa forma, endereos estticos devem ser usados sempre que possvel [MARTINS, 03].

3.2.2- Mapeamento por MAC Address.

Como o WEP no oferece mecanismos eficientes para autenticao de dispositivos, uma alternativa para aumentar a segurana a filtragem de endereos MAC nos APs. Muitos fabricantes fornecem em seus equipamentos a

51

capacidade de criar listas de acesso (ACLs Access Control List) atravs dos endereos MAC das placas wireless dos dispositivos mveis. Uma lista de endereos MAC inserida numa base de dados no AP, fazendo com que s os dispositivos com aqueles endereos possam se conectar ao AP. O problema que as placas Wi-Fi de alguns fabricantes possuem a capacidade de configurao de seus endereos MAC para facilitar a incluso do dispositivo uma rede Wi-Fi. Dessa forma, se uma transmisso for interceptada e por um intruso, este pode descobrir um endereo MAC vlido, j que este endereo trafega sem criptografia, e mudar o endereo de sua placa pelo endereo vlido. Se valendo disto, o intruso pode ganhar acesso rede ao mudar o endereo MAC de sua placa wireless por um endereo pertencente ACL do AP [MARTINS, 03].

3.2.3- Broadcast do SSID (Service Set ID)

O SSID (Service Set ID) um nome que identifica a rede sem fio e deve ser configurado nos APs e dispositivos pertencentes rede. atravs deste nome que os dispositivos sem fio identificam a rede. Todos os APs propagam o SSID da rede em broadcast atravs de pacotes chamados Beacons que funcionam como convites para que os clientes possam se conectar rede sem fio. O SSID transmitido sem criptografia, facilitando seu uso pra ganhar acesso rede [DUARTE, 03]. Isto abre brechas na segurana j que atacantes podem usar antenas em conjunto com softwares, como o NetStumbler, para monitorar sinais Wi-Fi em busca de SSIDs nos diversos canais de transmisso para se conectarem a estas redes. Estes usurios podem roubar e destruir informaes ou utilizar a rede para acessar a Internet de graa. Os administradores de rede costumam cometer o erro de no modificar o SSID que vem de fabrica nos dispositivos, tornando muito mais fcil a descoberta dos SSIDs. Os SSIDs de fabrica devem ser trocados e sua transmisso em

52

broadcast desabilitada nos APs. O problema que isto reduz a funcionalidade da rede. Somente os clientes autorizados devem ter acesso rede Wi-Fi e isto conseguido atravs de mtodos eficientes de criptografia. Mesmo que um intruso descubra o SSID da rede, ele s poder invadi-la se possuir a chave de criptografia usada na transmisso dos dados.

3.2.5- WEP Wired Equivalent Privacy

O WEP foi o protocolo criado inicialmente para prover segurana nas redes do padro 802.11, que at ento estavam desprotegidas. O WEP foi desenvolvido por um grupo de voluntrios, todos membros do IEEE, que queriam implementar segurana no novo padro de rede que estava surgindo. O WEP se propos a atender as seguintes necessidades:

confiabilidade: o WEP tinha a segurana e confidencialidade da informao transmitida.

Autenticao: era preciso ter um mtodo para garantir a autenticao de um novo dispositivo vlido.

Integridade: o WEP tinha que garantir que os dados transmitidos chegariam ao outro lado da rede sem ser alterado, e sem que dados no desejados fossem includos na transmisso ou removidos no meio do caminho [VERSSIMO, 03].

O WEP atua na camada dois (enlace) do modelo ISO/OSI. Ele foi criado com o objetivo de possibilitar o uso de criptografia para transmisso dos dados, autenticao na rede sem fio e controle de integridade dos dados [MARTINS, 03]. O WEP utiliza o algoritmo RC4, que um algoritmo de chave simtrica desenvolvido por Ron Rivest, para criptografar os dados. O RC4 criptografa os

53

dados a partir de uma chave fixa de 40 bits ou 104 bits pr-definida nos dispositivos da rede WLAN. Esta chave combinada com uma seqncia de 24 bits conhecida por Vetor de Inicializao (IV Initialization Vector), formando uma chave de 64 ou 128 bits [MARTINS, 03]. Dessa forma cria-se uma seqncia de bits pseudo-aleatria que, atravs de operaes XOR (Ou Exclusivo) com os dados, geram os dados criptografados. O IV modificado para cada pacote enviado para dificultar ataques. Quando o pacote chega ao receptor, este utiliza a chave criada e aplica o processo inverso ao da criptografia, descriptografando-os. Outro recurso o WEP o CRC-32, que uma funo detectora de erros que realiza um clculo sobre os dados transmitidos e gera um resultado (Integrity Check Value), que enviado junto com a mensagem para o receptor. Ao receber a mensagem o receptor realiza o mesmo clculo sobre os dados e compara os resultados. Se os resultados forem iguais, ento a mensagem no foi corrompida e/ou alterada no meio do caminho [VERSSIMO, 03]. A autenticao nas redes Wi-Fi, at este ponto, pode ocorrer de dois modos sendo que um deles usa criptografia e o outro no. Sem o uso de criptografia, o acesso pode ser aberto ou fechado. O acesso aberto quando os APs da rede enviam pacotes em broadcast para que os clientes Wi-Fi tomem conhecimento da existncia da rede. Estes pacotes contm informaes como SSID da rede, canal de comunicao utilizado (geralmente existem 11 para os padres b e g e 13 para o padro a) etc. Este o mtodo utilizado nos HotSpots. Este mtodo ocorre com o WEP desabilitado e o envio do SSID em broadcast habilitado. O acesso fechado quando o SSID no enviado em broadcast para os clientes. Dessa forma o cliente deve ter conhecimento prvio do SSID da rede para poder se conectar. Neste mtodo, o envio do SSID em broadcast desabilitado. Os dois mtodos so extremamente vulnerveis. O mtodo aberto por si s permite a conexo rede. J no mtodo fechado podem ser usados softwares que monitoram os canais de transmisso em busca de informaes sobre a rede como o SSID. Um exemplo deste tipo de software o NetStumbler. O mtodo que utiliza criptografia consiste em configurar chaves prestabelecidas nos clientes sem fio e APs. Atravs desta chave compartilhada e

54

com o IV, a criptografia processada com o algoritmo RC4. Este mtodo autentica os clientes no AP, mas no autentica o AP no cliente, no garantindo se o AP ou no um AP autorizado [MARTINS, 03]. O mtodo criptogrfico de autenticao funciona atravs do mtodo Desafio/Resposta conforme podemos ver na figura abaixo.

Figura 12 Autenticao no WEP

No entanto, o protocolo WEP foi muito criticado por possuir falhas em seus mecanismos de segurana, perdendo credibilidade. Como no WEP a chave de criptografia K a mesma utilizada por todos os hosts da rede, atravs do IV que o algoritmo RC4 varia esta chave. O problema que o IV de 24 bits muito pequeno. A quantidade de combinaes diferentes possveis de 2**24. Como o IV varia para cada pacote, a partir de certo ponto, o IV comear a repetir seus

55

valores. Alm disto o WEP no define como deve ocorrer a variao do IV, ficando como deciso de cada fabricante. A repetio ainda mais perigosa quando um fabricante utiliza um mtodo de incrementar seqencialmente o IV, pois fica mais fcil prever os valores assumidos. Esta repetio de seqncias cria a possibilidade de ataques bem sucedidos e leitura dos dados criptografados, pois intrusos podem calcular quando o IV comear a repetir seu valor e ento utilizar este IV, em conjunto com a chave da rede (que no varia) para ganhar acesso rede [VERSSIMO, 03]. Especialistas em segurana recomendam a troca das chaves secretas da rede Wi-Fi periodicamente para aumentar a segurana. O problema que a nova chave deve ser configurada em cada host da rede individualmente. Isto se torna pouco prtico e at mesmo impossvel em redes com muitos hosts. Outra falha do WEP se refere a seu mecanismo de garantia de integridade, o CRC32. Por ser uma funo linear, e no possuir chave, este mtodo suscetvel a ataques. possvel modificar controladamente mensagens de forma a gerar um mesmo Integrity Check Value (resultado do checksum realizado pelo CRC32), enganando o receptor. Outra falha do CRC32, pelo fato deste no usar chaves, a possibilidade de se descobrir seqncias RC4 e, atravs destas, introduzir mensagens na rede, furando a autenticao. [VERSSIMO, 03] Devido s fortes crticas quanto s suas falhas, era necessrio criar mecanismos mais eficientes de segurana para as redes Wi-Fi. Surgiu ento o WPA - Wi-Fi Protected Access.

3.2.6- WPA - Wi-Fi Protected Access

Para corrigir as falhas encontradas no WEP, o IEEE criou um grupo para desenvolver um novo padro. O grupo foi chamado de Task Group I e o padro 802.11i ou WPA2. 56

O WPA2 est sendo desenvolvido com mais prudncia que o WEP. Todo o processo abertamente discutido. Enquanto o padro 802.11i no ficava pronto, foi desenvolvido pela Wi-Fi Alliance em conjunto com o IEEE um padro intermedirio entre WEP e 802.11i. Este padro foi chamado de WPA (Wi-Fi Protected Access) e fornece melhor tratamento de segurana que o WEP, ao passo que compatvel com o hardware que roda o WEP. Dessa forma a atualizao do WEP para WPA feita atravs da atualizao do firmware dos dispositivos Wi-Fi, no necessitando mudanas na infra-estrutura de hardware. O WPA possui melhores mecanismos de autenticao, privacidade e controle de integridade que o WEP.

3.2.6.1- Autenticao no WPA.

No quesito autenticao, o WPA utiliza o padro 802.1x. O 802.1x foi desenvolvido para redes cabeadas, mas pode ser aplicado em redes Wi-Fi. Ele prov controle de acesso baseado em porta e autenticao mtua entre os clientes e os APs atravs de um servidor de autenticao.

Numa participantes:

transao

de

autenticao

802.1x

existem

trs

entidades

o suplicante: usurio a ser autenticado. servidor de autenticao: sistema de autenticao Radius

(protocolo de servidor de autenticao) que faz autenticao de clientes autorizados. autenticador: intermedirio na transao entre o suplicante e o servidor de autenticao. Geralmente o AP.

57

Figura 13 Autenticao 802.1x

Os passos de uma transao de autenticao esto mostrados na Figura 13 e ocorrem da seguinte forma:

1- o suplicante inicia conexo com o autenticador, que detecta a inicializao e abre a porta para o suplicante. Somente o trfego relativo transao 802.1x permitido. 2- o autenticador pede a identidade ao suplicante. 3- o suplicante envia sua identidade. 4- o autenticador repassa a identidade ao servidor de autenticao. 5- o servidor autentica a identidade do usurio e envia uma mensagem

58

ACCEPT ao autenticador. 6- o autenticador libera o trfego ao suplicante. 7- o suplicante pede a identidade do servidor. 8- o servidor responde com sua identidade. 9- o suplicante autentica o servidor e s ento os dados comeam a trafegar. O 802.1x utiliza o protocolo EAP (Extensible Authentication Protocol) para gerenciar a forma como a autenticao mtua ser feita na rede. Ele funciona atravs de um framework generalizado, possibilitando a escolha de um mtodo especfico de autenticao a ser utilizado como senhas, certificado PKI ou tokens de autenticao. O autenticador no precisa entender o mtodo de autenticao, ele simplesmente repassa os pacotes EAP do suplicante para o servidor de autenticao e vice-versa [SANTOS, 03]. Existem vrios tipos de EAP que do suporte a diversos mtodos de autenticao:

EAP-LEAP (LightWeight EAP): Desenvolvido pelo CISCO, usa o mtodo de login e senha para transmitir a identidade do suplicante ao servidor de autenticao.

EAP-TLS (Transport Layer Security): Especificado na RFC 2716. Usa um certificado X.509 para autenticao (Transport Layer Security).

PEAP (Protected EAP): Oferece autenticao baseada em senha e exige que o servidor de autenticao possua um certificado digital, porem no exige certificados nos clientes. Foi adotado pela

Microsoft no Windows XP e Windows Server 2003. EAP-TTLS (Tunneled Transport Layer Security): uma extenso do EAP-TLS, pois utiliza a conexo segura TLS para trocar informaes adicionais entre o cliente e o servidor. Oferece autenticao mtua e unidirecional, na qual apenas o servidor autenticado. Em Ambientes pequenos (domstico, pequenas empresas), onde um

59

servidor de autenticao pode no estar disponvel, usada uma chave prestabelecida. Ela conhecida pelo autenticador e suplicante e a autenticao ocorre de forma parecida com o WEP, constituindo-se em problema de segurana [SANTOS, 03].

3.2.6.2- Criptografia de dados.

Ao analisar solues para os problemas de criptografia do WEP, o TGI encontrou problemas na criao de um protocolo mais robusto para substituir o WEP. Os problemas encontrados foram:

baixo poder de processamento dos chips existentes: Os algoritmos deveriam ser leves para poderem ser executados nos dispositivos que rodavam o WEP.

necessidade de manter compatibilidade com o padro Wi-Fi, definido pela Wi-Fi Alliance.

A soluo imediata encontrada foi a utilizao do TKIP (Temporal Key Integrity Protocol) que um protocolo de gerao de chaves temporais. Esta soluo poderia ser implementada nos equipamentos j existentes desde que eles tivessem suporte atualizao de firmware. O algoritmo de escalonamento de chaves TKIP surgiu de uma idia proposta por Russ Housley (RSA Security) e Doug Whiting (HIFN) ao IEEE. Foi sugerida por Ron Rivest uma funo geradora de chaves para derivar chaves de uma chave base. Rivest props a utilizao de algoritmos conhecidos como o MD5, porm, os autores da soluo preferiram no utilizar o MD5 por este ser muito custoso. Ao invs disso eles optaram pelo TKIP por ser mais simples e exigir menos processamento. No TKIP, utilizada uma chave base de 128 bits chamada de TK (Temporal Key). Esta chave combinada ao endereo MAC do transmissor (TA), criando 60

uma outra chave chamada de TTAK (Temporal and Transmitter Address Key), conhecida como "Chave da 1 Fase". A TTAK combinada com o IV do RC4 para criar chaves diferentes para cada pacote. O TKIP faz com que cada estao da rede tenha uma chave diferente para se comunicar com o AP, uma vez que a chave gerada com o endereo MAC das estaes. O problema da repetio de chaves devido repetio do IV resolvido ao passo que a TK alterada sempre que o IV assumir seu valor inicial [SANTOS, 03].

3.2.6.3- Integridade dos dados.

No WPA, o mecanismo utilizado para garantir a integridade das informaes o algoritmo conhecido como Michael. Este mtodo realiza um clculo sobre os dados gerando um valor de 64 bits (MIC - Michael Integrity Code). O MIC inserido entre a poro de dados e o ICV de 32 bits (CRC32) no frame 802.11. A diferena principal entre o Michael e o CRC32 que o Michael calcula o valor de integridade sobre o cabealho do frame tambm enquanto que o CRC32 s calcula o valor de integridade sobre a carga de dados e o Michael utiliza chaves para calcular o MIC. Ele previne ataques de repetio que so ataques em que frames repetidos, capturados pelo atacante, so enviados com o intuito de ganhar acesso ou alterar dados da rede. O Michael introduz um contador de frames em cada frame. atravs deste contador que o ataque de repetio prevenido. O Michael requer pouco processamento e, portanto no precisa de atualizao de hardware s de firmwares [SANTOS, 03]. O processo de criptografia, descriptografia e controle de integridade do WPA ocorre em conjunto. O WPA precisa dos seguintes valores para criptografar, descriptografar e proteger a integridade dos dados da rede sem fio:

61

o IV, que iniciado em 0 e incrementado para cada quadro subseqente. a chave de criptografia de dados (para trfego em unicast) ou a chave de criptografia de grupo (trfego em multicast ou de difuso).

o endereo de destino (DA) e o endereo de origem (SA) do quadro sem fio.

o valor do campo Priority (Prioridade), que definido como 0 e reservado para objetivos futuros de QoS.

a chave de integridade de dados (para trfego em unicast) ou a chave de integridade de grupo (trfego em multicast ou de difuso).

A Figura 14 mostra o processo de criptografia do WPA para um quadro de dados em unicast.

Figura 14 Criptografia de dados e controle de Integridade no WPA

62

O processo ocorre da seguinte forma:

1. o IV, o DA e a chave de criptografia de dados so inseridos em uma funo de combinao de chave WPA, que calcula a chave de criptografia por pacote. 2. o DA, SA, Priority (Prioridade), os dados (a carga 802.11 no criptografada), e a chave de integridade de dados so inseridos no algoritmo de integridade de dados Michael para produzir o MIC. 3. o ICV calculado da soma de verificao do CRC-32. 4. o IV e a chave de criptografia por pacote so inseridos na funo RC4 PRNG para produzir um keystream do mesmo tamanho que os dados, o MIC e o ICV. 5. o keystream passa por uma operao de XOR (Ou exclusivo) com a combinao de dados, do MIC e do ICV para produzir a parte criptografada da carga 802.11. 6. o IV adicionado parte criptografada da carga 802.11 no campo IV e o resultado encapsulado com o cabealho e informaes finais sobre o 802.11 [THE CABLE GUY, 04].

63

A Figura 15 mostra o processo de descriptografia do WPA para um quadro de dados em unicast.

Figura 15 - Descriptografia e Controle de Integridade no WPA

O processo ocorre da seguinte forma:

1. o valor IV extrado do campo IV na carga do quadro 802.11 e inserido junto com o DA e a chave de criptografia de dados na funo de combinao de chave, produzindo a chave de criptografia por pacote. 2. o IV e a chave de criptografia por pacote so inseridos na funo RC4 PRNG para produzir um keystream do mesmo tamanho que os dados criptografados, o MIC e o ICV. 3. o keystream XORed com dados criptografados, MIC e ICV para produzir dados no criptografados, MIC e ICV. 64

4. o ICV calculado e comparado ao valor do ICV no criptografado. Se os valores do ICV no coincidirem, os dados sero descartados

silenciosamente. 5. o DA, o SA, os dados e a chave de integridade de dados so inseridos no algoritmo de integridade Michael para produzir o MIC. 6. o valor calculado do MIC comparado ao valor do MIC no criptografado. Se os valores do MIC no coincidirem, os dados sero descartados silenciosamente. Se os valores do MIC coincidirem, os dados sero passados para as camadas de rede superiores para processamento [THE CABLE GUY, 04].

O WPA veio para ser uma soluo intermediria para corrigir as falhas do WEP. Ele fornece um maior grau de segurana que o WEP com melhores mecanismos de criptografia, autenticao e controle de integridade. O WPA implementa parte dos recursos do 802.11i na medida que no necessita de novos hardwares. A soluo de segurana completa ser implementada no WPA2 (802.11i) que trar criptografia mais forte e necessitar de co-processadores criptogrfico.

65

3.2.7- WPA2 ou 802.11i

Conhecido tambm como 802.11i, o WPA2 foi ratificado pelo IEEE em junho de 2004. O WPA, que implementa um subconjunto das funes do WPA2, solucionou muitos problemas encontrados no WEP, mas no teve grande aceitao como soluo intermediria de segurana Wi-Fi devido ao fato de reduzir o desempenho (que j considerado baixo) das redes onde era implantado. O WPA2 referenciado como soluo definitiva de segurana para o padro Wi-Fi. A principal mudana entre o WPA2 e o WPA o mtodo criptogrfico utilizado. Enquanto o WPA utiliza o TKIP com o RC4, o WPA2 utiliza o AES em conjunto com o TKIP (Advanced Encryption Standard) com chave de 256 bits, que um mtodo de criptografia muito mais poderoso. A AES permite a utilizao de chaves de 128, 192 e 256 bits, constituindo se assim em uma ferramenta poderosa de criptografia. A utilizao de chave de 256 bits no WPA2 padro. Com a utilizao do AES, introduziu-se tambm a necessidade de novo hardware, capaz de realizar o processamento criptogrfico. Os novos dispositivos WPA2 possuem um co-processador para realizar os clculos da criptografia AES. O AES um cifrador em blocos que criptografa blocos de 16 bits de cada vez. Em maio de 2002, o NIST (National Institute of Science and Technology) escolheu um cifrador em blocos chamado RIJNDAEL (Nome de seus criadores, Vincent Rijnien e Joan Daemen), que era um algoritmo criptogrfico simtrico, para criptografar informaes do governo americano. RIJNDAEL tinha, originalmente, bloco varivel de 16, 24 ou 32 bytes e chave varivel de 16, 24 ou 32 bytes. Contudo o NIST decidiu definir e utilizar o AES com bloco fixo de 16 bytes [BERENT, 05]. Resumindo, o AES trabalha repetindo vrias vezes um conjunto definido de passos que trabalha com chave secreta que opera com um numero fixo de bytes. O AES reversvel, ou seja, o procedimento utilizado para criptografar os dados, utilizado para decriptograf-los, mudando se apenas a ordem dos passos. 66

O AES trabalha com operaes de XOR entre os blocos e a chave, organiza o bloco em uma matriz e realiza trocas circulares em cada linha e promove uma mistura entre as colunas da matriz [BERENT, 05]. Para controle de integridade e autenticao, o WPA2 trabalha como o WPA.

3.2.8- HotSpots
Os HotSpots so redes Wi-Fi pblicas de acesso Internet que crescem em nmero a cada dia. Os HotSpots esto se espalhando pelos diversos pontos do globo, inclusive no Brasil. Redes Wi-Fi pblicas esto sendo instaladas em hotis, aeroportos, lanchonetes, restaurantes, universidades entre outros. Hoje o nmero de HotSpots chega a 90000 no mundo, devendo chegar a 137000 at o fim de 2005 com uma taxa de crescimento anual que ultrapassa 50%. Estes dados so do instituto de pesquisas IDC [REVISTA INFO EXAME, 05]. No Brasil h cerca de 1000 pontos de acesso pblicos que vo desde universidades a shopping centers. O nmero de usurios que utilizam os HotSpots no so divulgados pelas empresas, mas nota-se, ao circular pelos HotSpots, que o nmero de usurios do servio ainda pequeno. Um dos principais motivos disto o modesto nmero de notebooks no pas (cerca de 500000) que contabilizam apenas 5% dos computadores do Brasil, nmero que nos Estados Unidos chega a ser de 1/3 dos computadores, segundo Denis Gaia, consultor do IDC [REVISTA INFO EXAME, 05]. Outro ponto contra a popularizao do servio que, na maioria deles, necessrio assinatura de provedor especfico para o Wi-Fi, o que encarece o uso do servio para o usurio. O padro 802.11b predomina atualmente, mas, com a baixa nos preos dos equipamentos padro 802.11g, logo haver substituio do padro b pelo g. Uma questo a ser considerada ao passar do padro b para o g a convivncia simultnea de dispositivos dos dois padres na mesma rede. Ao se conectar a um hotspots do padro g, um usurio do padro b acaba por diminuir a velocidade da 67

rede para algo mais prximo das redes 802.11b (11 Mbps). J existem HotSpots do padro g que simplesmente barram a conexo de usurios do padro b. Na questo de segurana, os HotSpots devem ser totalmente abertos para possibilitar que os usurios se conectem sem problemas. Alguns HotSpots fornecem senhas para que os usurios possam se conectar. Este o caso do restaurante japons Nakombi em So Paulo [REVISTA INFO EXAME, 05]. Para facilitar a conexo dos usurios, o SSID da rede deve ser divulgado para que os dispositivos mveis reconheam a rede ao passar pelo local do hotSpots. Para usurios que necessitem de enviar e receber dados corporativos com segurana, uma boa sada a implementao de VPN na rede corporativa do usurio. Dessa forma os dados sairo criptografados do dispositivo mvel do usurio ou da rede privada da empresa do usurio. Sem a implementao de VPN, os dados ficam vulnerveis entre o dispositivo do usurio e o AP pblico, podendo ser interceptados e lidos facilmente j que mecanismos como WEP, WPA e configurao do MAC Address no podem ser usados, pois barrariam as conexes dos usurios [REVISTA INFO EXAME, 05].

68

4- Concluso

As redes Wi-Fi tm apresentado um crescimento espantoso nos ltimos anos e este crescimento se d principalmente pela facilidade de implementao destas redes e pela queda de preo dos seus dispositivos. Ento presencia-se uma popularizao muito grande das redes Wi-Fi tanto em sua implementao coorporativa quanto pessoal. Com a popularizao das redes Wi-Fi, as redes pessoais se propagaram de forma surpreendente. Cada vez mais pessoas comuns esto criando redes em suas casas para interligar dispositivos e compartilhar banda, dados e recursos. Tem-se tambm o surgimento das redes pblicas, os famosos HotSpots, em aeroportos, hotis, universidades e restaurantes, possibilitando conexo em tempo integral aos usurios. E deve-se lembrar que as redes wireless esto apenas em incio de desenvolvimento. Para um futuro prximo estaro disponveis redes sem fio com maiores taxas de transmisso (Wi-Max), introduzindo a banda larga ao paradigma wireless. Teremos tambm especificaes de qualidade de servio para as redes sem fio, entre outros avanos. A questo da segurana tende a continuar evoluindo. No comeo, com a utilizao do WEP, vrias incertezas rondavam as redes Wi-Fi devido s falhas grosseiras de segurana encontradas neste protocolo. Havia um medo no meio coorporativo quanto segurana na implantao das WLANs. Este medo acabou barrando a disseminao macia destas redes nas empresas, entidades educacionais etc. Com as redes pessoais no ocorreu o mesmo, devido menor preocupao e necessidade dos usurios deste tipo de rede quanto segurana. Para as redes pessoais atuais, o WEP suficiente, pois estas redes no so to alvejadas quanto as redes coorporativas. Com as falhas do WEP em evidncia, ficou claro a necessidade de criao

69

de um novo padro de segurana nas redes Wi-Fi. Este padro ficou conhecido como IEEE 802.11i ou WPA2 e, quando pronto, prometia resolver todos os problemas de segurana existentes. Antes do WPA2, foi introduzido no mercado um padro intermedirio chamado WPA que utilizava um grupo de funcionalidades do 802.11i. O WPA foi criado para servir de soluo temporria enquanto que o 802.11i no ficava pronto. Com dispositivos de segurana melhores, o WPA solucionou uma grande quantidade das falhas do WEP, se mostrando uma boa soluo de segurana de baixo custo, j que rodava no mesmo hardware do WEP e dessa forma no seria necessria a atualizao de hardware. Mesmo com as melhorias do WPA, ele no foi largamente adotado uma vez que reduzia o desempenho das redes Wi-Fi. Apesar de ser leve, ele ainda era mais pesado que o WEP. Com a ratificao do 802.11i em 2004, as empresas fabricantes de dispositivos wireless como, por exemplo, a Intel e a Cisco obtiveram o sinal verde para comercializar seus dispositivos que operam com a nova especificao. O 802.11i chegou operando com um sistema de criptografia mais forte que a criptografia do WPA. Foi adotado como sistema criptogrfico um algoritmo chamado AES que possibilita cifragem em blocos com chave de 256 bits. Devido ao sistema forte de criptografia, os dispositivos 802.11i vem com um coprocessador embutido utilizado para realizar os clculos criptogrficos. O 802.11i se mostra ento uma enorme evoluo de segurana para as redes Wi-Fi atuais. Com esta evoluo nos mtodos e protocolos de segurana das redes WiFi, estas redes passam ento, no atual estado de desenvolvimento, a ter um nvel de segurana comparvel s redes cabeadas como a Ethernet. Tecnologias de segurana o que no falta. A carncia de dispositivos eficientes de segurana nas redes Wi-Fi j no mais problema. Com sistemas fortes de segurana as redes Wi-Fi podem agora ser consideradas, pelo menos em teoria, seguras. O Instituto Gartner prev para os prximos anos que 70% dos ataques bem sucedidos s redes wireless acontecero devido m configurao dos APs e softwares cliente [SYMANTEC, 04].

70

A preocupao agora fica por conta dos administradores de rede e da forma como sero implantadas as redes Wi-Fi a partir deste ponto. Quando bem projetada, uma rede Wi-Fi pode ser to segura quanto a necessidade. O que falta a elaborao de polticas eficientes de segurana nas redes wireless que considerem todas as suas particularidades e pontos fracos e que levem em considerao as caractersticas do ambiente onde a rede ser implantada. Dessa forma, com uma boa poltica de segurana, estes pontos crticos podero ser cobertos. Os profissionais de segurana j no podem mais esconder suas deficincias tcnicas sobre o pretexto de falta de segurana nas redes Wi-Fi. Cabe ento aos administradores de rede e profissionais de segurana se atualizarem e ficarem a par das evolues das redes Wi-Fi para que polticas eficientes de segurana possam ser elaboradas.

71

Referncia Bibliogrfica:
AIRMAGNET THE TOP SEVEN SECURITY PROBLEMS OF 802.11 WIRELESS. 2004. Disponvel em:

<http://wp.bitpipe.com/resource/org_1067352081_810/AirMagnet_Security_WhiteP aper.pdf>. Acessado em abril de 2004.

ALCATEL WLAN Security: Top 10 Checklist. Maro de 2004. Disponvel em: <http://www.ind.alcatel.com/library/whitepapers/wp_wlan_security_checklist.pdf>. Acessado em abril de 2005.

AMARAL, Bruno M. 2003.

SEGURANA EM REDES WIRELESS. Outubro de Disponvel em:

<http://www.cbpf.br/cat/download/seminarios/XSIC/Bruno.pdf>. Acessado em abril de 2005.

BARELLA, Irene Liberdade de movimento. Janeiro de 2004. Disponvel em: <http://www.resellerweb.com.br/shared/print_story.asp?id=46607>. Acessado em maro de 2005.

BERENT, Adam AES (Advanced Encryption Standard) Simplified. Verso 1.1. Disponvel em: <http://www.abisoft.net >. Acessado em abril de 2005.

BORISOV, Nikita; GOLDBERG Ian; WAGNER, David. Security of the WEP algorithm. Disponvel em: <http://www.isaac.cs.berkeley.edu/isaac/wep-

faq.html>. Acessado em maro de 2005.

72

BUIATI, Fbio Wireless LANs: Aplicaes para o profissional de TI. Revista TI. 16 de maio de 2003. Disponvel em:

<http://www.timaster.com.br/revista/materias/main_materia.asp?codigo=951&pag= 2>. Acessado em outubro de 2004.

CARVALHO, Teresa Cristina - Segurana em redes sem fio. IT WEB, 28 de agosto de 2001. Disponvel em:

<http://www.itweb.com.br/colunistas/artigo.asp?id=15698>. Acessado em outubro de 2004.

CHIN, Liou K. Rede Privada Virtual VPN. Novembro de 1998. Disponvel em: <http://gul.ime.usp.br/Docs/docs/comofazer/html/VPN/VPN.pt_BR.html>. Acessado em maro de 2005.

COUTINHO, Pedro Paulo Implantao do sistema de Firewall. Estudo de Caso - PRODABEL. 2000.

CYCLADES BRASIL - Guia Internet de Conectividade, 5 edio, Editora Cyclades Brasil, 1999.

DUARTE, Luiz O. Anlise de Vulnerabilidades e Ataques Inerentes a Redes Sem Fio 802.11x. 2003. Disponvel em: <http://www.acmesecurity.org/hp_ng/files/testes_monografias/acme-monografiaWireless-2003-LOD.pdf>. Acessado em abril de 2005.

ELETRICAZINE - Conceitos e Termos Utilizados em Segurana de Rede. Disponvel em: 2004. <www.eletricazine.hpg.ig.com.br>. Acessado em novembro de

73

EQUIPE INFORMATIKA Segurana Bsica em WLANs. Disponvel em: <http://www.informatika.inf.br/downloads/dicas/Seguran%C3%A7a_B%C3%A1sica _em_WLANs.pdf>. Acessado em abril de 2005.

FCCN Fundao para a Computao Cientfica Nacional. WLAN-eU Descrio da Soluo WLAN. Edio 1.3. Novembro de 2004. Disponvel em: <http://www.fccn.pt/files/documents/Descricao_da_solucao_Alcatel_WLAN_1_3.pd f> Acessado em fevereiro de 2005.

FERREIRA, Pollyana A. Rede sem fio. Disponvel em: <http://www.popmg.rnp.br/eventos/wksp2004/trabalhos/redesemfio.pdf>. Acessado em maro de 2005.

FLYTEC Uma atualizao sobre a segurana wireless. Maro de 2005. Disponvel em: <http://www.flytec.com.br/noticias.asp?codigo=33>. Acessado em maro de 2005.

FRANCISCO,

Alexandre

J.

IEEE

802.1x.

Disponvel

em:

<http://www.networkdesigners.com.br/Artigos/8021x/8021x.html>. Acessado em fevereiro de 2005.

IDG NOW As tecnologias de acesso sem fio esto no ar. Dezembro de 2004. Disponvel em:

<http://idgnow.uol.com.br/AdPortalv5/ChatInterna.aspx?GUID=C9E53B86-2C334142-A9B7-81A1CAA08114&ChannelID=21080113>. Acessado em maro de 2005.

IDG NOW. Wi-Fi j tem segurana. Dezembro de 2004. Disponvel em: <http://www.added.com.br/v2004/noticia002.htm> Acessado em fevereiro de 2005.

74

KARNUT, Marco Segurana em Redes Wireless 802.11b: Ataques e Defesas. Novembro de 2002. Disponvel em:

<http://www.tempest.com.br/download/seg-wireless.pdf>. Acessado em maro de 2005.

MACIEL, Paulo D.; NUNES, Bruno A.; CAMPOS, Carlos A.; MORAES, Lus F. M Influncia dos Mecanismos de Segurana no Trfego das Redes sem Fio 802.11b. Agosto de 2003. Disponvel em:

<http://www.galegale.com.br/artigo_info.asp?cod=3>. Acessado em maro de 2005.

MAIA, Luiz P.;PAGLIUSI, Paulo S. Criptografia e Certificao Digital. Disponvel em: < http://www.training.com.br/lpmaia/pub_seg_cripto.htm>.

Acessado em abril de 2005.

MAIA, Roberto -Segurana em Redes Wireless-802.11i. Disponvel em: <http://www.gta.ufrj.br/seminarios/semin2003_1/rmaia/802_11i.html>. em fevereiro de 2005. Acessado

MARTINS, Marcelo Protegendo Redes Wireless 802.11b. Maro de 2003. Disponvel em <http:/ /www.modulo.com.br/>. Acessado em janeiro de 2004.

MICROSOFT - Arquitetura da Soluo LAN Sem Fio Protegida. Maio de 2004. Disponvel em: <http://www.microsoft.com/brasil/security/guidance/topics/wireless/secmod169.ms px>. Acessado em fevereiro de 2005.

MICROSOFT - Projetando Segurana de LAN sem Fio Usando o 802.1X. Maio de 2004. Disponvel em:

<http://www.microsoft.com/brasil/security/guidance/topics/wireless/secmod172.ms px>. Acessado em fevereiro de 2005.

75

MICROSOFT - Projetando sua Infraestrutura de Chave Pblica. Maio de 2004. Disponvel em: <http://www.microsoft.com/brasil/security/guidance/topics/wireless/secmod170.ms px>. Acessado em fevereiro de 2005.

MICROSOFT Usando WPA na soluo. Junho de 2004. Disponvel em: <http://www.microsoft.com/brasil/security/guidance/lans/peap_B.mspx> Acessado em fevereiro de 2005.

MURILO, Nelson. - Ataques Rede Sem-Fio. 05 de outubro de 2004. Disponvel em: <https://www.unesp.br/gts/slides/02.2004/gts0204-09slides-

initutwireless.pdf>. Acessado em fevereiro de 2005.

MURILO, Nelson. - Segurana em Redes Sem Fio. Janeiro de 2003. Disponvel em: <https://www.unesp.br/gts/slides/01.2003/nelson-murilo-wireless-

gts2003.pdf>. Acessado em Novembro de 2004.

NIC BR Security Office. - Cartilha de Segurana para Internet Parte V: Redes de Banda Larga e Redes Sem Fio (Wireless). 11 de maro de 2003. Disponvel em: <http://www.nbso.nic.br/docs/cartilha/cartilha-05-banda-larga-

wireless.html>. Acessado em outubro de 2004.

PCWORLD Conecte e proteja sua rede. Junho de 2004. Disponvel em: <http://pcworld.uol.com.br/AdPortalV3/adCmsDocumentoShow.aspx?Documento= 8205231>. Acessado em maro de 2005.

PRADO, Eduardo 2005.

E agora, Jos? O Wi-Fi j tem segurana. Fevereiro de Disponvel em:

<http://www.wirelessbrasil.org/wirelessbr/colaboradores/eduardo_prado/artigo_47. html>. Acessado em abril de 2005.

76

QUEIROZ,

Alexandre

Redes

Wireless.

Disponvel

em:

<http://www.rednetwork.com.br/tecnico/apresentacoes/2005%20Wireless.ppt> Acessado em abril de 2005.

REVISTA INFO EXAME. Wi-Fi. Editora Abril. So Paulo, 2005 - Mensal.

SANTO, Luiz C. - Como funciona a autenticao ? (Rede). Agosto de 2000. Disponvel em: <http://www.clubedasredes.eti.br/rede0008.htm>. Acessado em maro de 2005.

SANTOS, Isabela C. WPA: A evoluo do WEP. Fevereiro de 2003. Disponvel em: <http://www.lockabit.coppe.ufrj.br/rlab/rlab_textos.php?id=70> Acessado em maro de 2005.

SCHWARTZ, Ephraim Wi-Fi security standard to require new hardware 802.11i uses AES encryption. Maio de 2004. Disponvel Acessado em: em <http://www.infoworld.com/article/04/05/07/HNwifi_1.html> fevereiro de 2005.

SETTE, Adriana Aparecida. - Um Guia para Implantao de Segurana Bsica em Sistemas. Universidade Luterana do Brasil, novembro de 2001. Disponvel em: <http//www.projetoderedes.kit.net>. Acessado em novembro de 2004.

SILVA, Luiz A. F.; DUARTE, Otto C. M. B. RADIUS em Redes sem Fio. Disponvel em:

<http://www.gta.ufrj.br/seminarios/CPE825/tutoriais/lafs/RADIUS_em_Redes_sem _Fio.pdf>. Acessado em abril de 2005.

SOARES, L., - Redes de computadores: das LANs, MANs e WANs s redes ATM, 6 edio, Editora Campus, 1995.

77

SYMANTEC Qual a grande ameaa que ronda as redes sem fio?. Dezembro de 2004. Disponvel em:

<http://noticias.uol.com.br/mundodigital/proteja/symantec/corporativa/ult2595u31.jh tm>. Acessado em maro de 2005.

TANENBAUM Andrew S. - Redes de Computadores. Editora Campus. 3 Edio. Rio de Janeiro, 1997.

THE CABLE GUY. - Integridade e criptografia de dados do WPA. Novembro de 2004. Disponvel em:

<http://www.microsoft.com/brasil/technet/Colunas/CableGuy/CG1104.mspx> Acessado em fevereiro de 2005.

THE CABLE GUY Wi-Fi Protected Access (WPA) Overview. Maio de 2003. Disponvel em:

<http://www.microsoft.com/technet/community/columns/cableguy/cg0303.mspx> Acessado em fevereiro de 2005.

T-RODMAN. - Crescimento do Wireless no Brasil. Frum Pcs, 20 de junho de 2004. Disponvel em: <http://www.forumpcs.com.br/review.php?r=73534>.

Acessado em outubro de 2004.

UTL - Wireless LANs. Extenses ao 802.11. 2003. Disponvel em: <http://digitais.ist.utl.pt/ec-cm/acetatos_aulas/Extensoes_802.11%20Security.pdf> Acessado em fevereiro de 2005.

VERSSIMO, Fernando Em defesa de Rivest. Dezembro de 2001. Disponvel em: <http://www.lockabit.coppe.ufrj.br/rlab/rlab_textos?id=55>. Acessado em abril de 2005.

78

VERSSIMO, Fernando O Problema de Segurana em Redes Baseadas no Padro 802.11. Dezembro de 2003. Disponvel em:

<http://www.lockabit.coppe.ufrj.br/rlab/rlab_textos?id=82>. Acessado em maro de 2005.

WIKIPEDIA.

RC4.

Fevereiro

de

2005.

Disponvel

em:

<http://en.wikipedia.org/wiki/RC4_%28cipher%29>. Acessado em fevereiro de 2005.

79