Escolar Documentos
Profissional Documentos
Cultura Documentos
Wireless Webcasts Web
Wireless Webcasts Web
Marcos Santos
marcoss@microsoft.com
Microsoft Portugal
Agenda
Assessment de Segurança:
http://www.securityguidance.com
Boletins de Segurança:
http://www.microsoft.com/technet/security/bulletin/notify.mspx
Instalação, Segurança e
Manutenção de Redes
Wireless
Nuno Carvalho
Nuno.carvalho@knowledgeinside.pt
Agenda
Soluções Wireless
Segurança em Redes Wireless
Implementação de uma Rede Wireless
utilizando 801.X Password Authentication
Resolução de problemas típicos
Soluções Wireless
Wireless Standards
Standard Description
Especificação que define os conceitos base para as redes sem
802.11
fios
Velocidade de transmissão até 54 megabits (Mbps) por
802.11a
segundo
11 Mbps
802.11b
Bom alcance mas susceptível a interferências
54 Mbps
802.11g
Menos alcance que o 802.11b
802.1X - Standard que define um mecanismo de autenticação baseado em acesso por porta e como
opção a gestão das chaves usadas para encriptar a informação
O Desafio
Internet NO
Certificate-based Medium to Authentication Certificates used
Service (IAS) WPA or
wireless network large YES but may be Dynamic WEP
security organization Certificate modified to require
Services passwords
As configurações típicas
Sem qualquer tipo de segurança: 58,67%
Default SSID: 3,75%
Com algum tipo de encriptação: 41,33%
LAN
Knowledge Inside
Atenção !
Utilizar um protocolo de
segurança inseguro como o
WEP, é de longe muito
melhor que NÃO utilizar
segurança nenhuma !!
Implementação de uma rede wireless utilizando
Password Authentication
802.1X Definição
IEEE standard para controlo de acessos e
autenticação “port-based”
Baseado em EAP (extensible authentication
protocol)
Suporta EAP-TLS e PEAP entre outros
Acesso só é concedido a utilizadores
autorizados
802.1X O que resolve ?
Perigo de “rogue AP’s” – Mutual
authentication
Identificação e autorização por utilizador
Gestão centralizada
Elimina o problema de chaves WEP e WPA
fracas
Gestão de chaves de encriptação
802.1X Componentes
Componentes Explicação
Requere uma placa WLAN que suporte 802.1X e dynamic
Wireless Client WEP ou WPA
Contas de utilizador e computador criadas no dominio
Suporte para 802.1X e dynamic WEP or WPA
Wireless O wireless access point e o servidor RADIUS partilham uma
Access Point “shared secret” para verificar e proteger as mensagens
RADIUS
Utiliza a Active Directory para verificar as credenciais dos
RADIUS/IAS clientes
Server Autoriza o acesso conforme o definido nas “access policy”
Pode recolher informação de “accounting e audit”
Certificado para autenticação do servidor
802.1X Como funciona?
Wireless Client Wireless RADIUS (IAS)
Access Point
1
Client
Connect
2 Client Server
Authentication Authentication
3 Distribution
Key
4 Encryption
WLAN Authorization
Internal Network
802.1X Serviços num ambiente PEAP
Domain Controller (DC)
RADIUS (IAS) Branch Office
Certification Authority (CA) IAS/DNS/DC
DHCP Services (DHCP)
DNS Services (DNS) LAN
Headquarters
Primary
Secondary
Access
Points
IAS/CA/DC
Secondary
LAN
Primary WLAN Clients
IAS/DNS/DC Access
Points
DHCP
WLAN Clients
802.1X Requisitos
Access point com suporte para 802.1x
Placa wireless com suporte para 802.1x
Sistema operativo cliente com suporte para
802.1x (Windows 2000 SP3, Windows XP,…)
Servidor RADIUS (pode ser servidor
existente)
IAS – Internet authentication service vem
incluído no Windows server 2000 / 2003
Certificado digital no servidor RADIUS
Configuração de uma rede
Wireless com PEAP
Nuno Carvalho
Knowledge Inside
Resolução de problemas típicos
Tipo de problema
Problemas de ligação
Problemas de performance
Problemas de autenticação utilizador
Problemas de autenticação da máquina
Problemas de ligação
Verificar conta de utilizador/máquina
Verificar máquina cliente
Verificar configuração da AP
Verificar Active Directory e Network Services
Verificar servidores IAS
Verificar Certificate Authority
Problemas de performance
Performance monitor (IAS)
Verificar se os AP’s estão configurados para
utilizar o IAS mais próximo
Reavaliar o posicionamento dos AP’s
A re-autenticação pode demorar até 60s
Problemas de autenticação
Problemas no IAS
Conta incorrecta, desactivada ou trancada
Conta não pertence ao grupo dos utilizadores
com acesso
Remote access está configurado com “deny”
Conclusão
Não é complexo criar uma rede wireless segura
WEP é melhor que nada (mas é muito pouco)
Redes empresariais :
802.1x com WPA e EAP-TLS ou PEAP
802.1x com WPA2 e EAP-TLS ou PEAP
802.1x com WEP e EAP-TLS ou PEAP
Só se não houver suporte para WPA
Configurar “key lifetime” para período muito curto
Redes Domésticas:
WPA-PSK com uma chave complexa
Utilizar os scripts disponibilizados pela solução
PEAP and Passwords
Perguntas e Respostas?
Recursos
Microsoft Wireless Networking Web site
http://www.microsoft.com/wifi
Windows XP Wireless Deployment Technology and Component
Overview
http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/wific
omp.mspx
http://www.microsoft.com/portugal/webcasts/
Recursos Úteis
Recursos para Comunidades Microsoft
http://www.microsoft.com/portugal/technet/comunidades
Subscrições TechNet
http://www.microsoft.com/portugal/technet/subscricoes
Certificações
http://www.microsoft.com/portugal/technet/certificacoes