Seminários Webcasts

Instalação, Segurança e Manutenção

de Redes Wireless

Marcos Santos
marcoss@microsoft.com
Microsoft Portugal
Agenda

Introdução Seminários Webcasts

Tema 6ª Sessão
Implementar o acesso seguro ao correio
electrónico e à rede da organização
Perguntas e Respostas
Conclusão
Ciclo de Seminários
Objectivo: proporcionar aos responsáveis que
trabalham com sistemas de informação
sessões técnicas com bons oradores e com
bom conteúdo
Vantagens deste formato:
Interactividade com o orador
Poupança de custos (deslocação, tempo)
Possibilidade de assistir ao evento à posteriori
Temas
Segurança Servidores Windows – já disponível
Implementar Segurança num servidor de correio electrónico –
já disponível
Combater o Spam e os Vírus num sistema de correio
electrónico – já disponível
Implementar o acesso seguro ao correio electrónico e à rede
da organização – já disponível
Instalação, Segurança e Manutenção de Redes Wireless
Como proteger os dados e a informação da sua organização

As vossas sugestões são importantes…

Logística
Utilização do Live Meeting
Problemas com Live Meeting enviar mail para
wcport@microsoft.com
Como fazer perguntas aos oradores?
Janela do lado direito no fundo

As perguntas serão respondidas no final de cada

apresentação por ordem
Recursos
Site de Segurança:
http://www.microsoft.com/portugal/seguranca

Assessment de Segurança:
http://www.securityguidance.com

Boletins de Segurança:
http://www.microsoft.com/technet/security/bulletin/notify.mspx
Instalação, Segurança e
Manutenção de Redes
Wireless

Nuno Carvalho
Nuno.carvalho@knowledgeinside.pt
Agenda

Soluções Wireless
Segurança em Redes Wireless
Implementação de uma Rede Wireless
utilizando 801.X Password Authentication
Resolução de problemas típicos
Soluções Wireless
Wireless Standards
Standard Description
Especificação que define os conceitos base para as redes sem
802.11
fios
Velocidade de transmissão até 54 megabits (Mbps) por
802.11a
segundo
11 Mbps
802.11b
Bom alcance mas susceptível a interferências
54 Mbps
802.11g
Menos alcance que o 802.11b

802.11i Standard para autenticação e encriptação em redes wireless

802.1X - Standard que define um mecanismo de autenticação baseado em acesso por porta e como
opção a gestão das chaves usadas para encriptar a informação
O Desafio

Numa rede “sem fios” não existe o conceito

de rede privada, qualquer individuo com
equipamento wireless pode ligar-se desde que
tenha “sinal”
Considerações

Controlar quem pode aceder

Controlar Access Points inválidos
Garantir que todo o tráfego está protegido
Que a informação não é alterada
Gestão dos Acess Points
Ameaças
Divulgação de informação confidencial
Acesso desautorizado a dados
Personificação de um cliente autorizado
Interrupção de serviço
Acesso desautorizado à Internet
Acessos wireless domésticos inseguros
Implementações de Access Points não
autorizados
Ataques mais comuns
Passive attacks
Discovering
Active Attacks
Man-in-the-Middle Attacks
Jamming Attacks
Segurança em redes Wireless
Opções de Implementação
IEEE 802.11 (Wi-Fi)
Wired Equivalent Privacy (WEP)
Wi-Fi Protected Access (WPA)
WPA Enterprise
IEEE 802.11i
WPA 2
WPA 2 Enterprise
802.1X com
WEP
WPA Enterprise
WPA 2 Enterprise
Outras Medidas (dissuasão)
Mac filtering
Disable SSID Broadcast
 Recomendações
Additional
Wireless Network Certificates Used Passwords Used Typical Data
Typical Infrastructure
for Client for Client Encryption
Environment Components
Solution Authentication Authentication Method
Required
YES
Wi-Fi Protected
Small Uses WPA
Access with Pre-
Office/Home None NO preshared key to WPA
Shared Keys
Office (SOHO) authenticate to
(WPA-PSK)
network
Internet
NO
Authentication
Password-based Small to Service (IAS) However, a WPA or
wireless network medium certificate is YES
Certificate Dynamic WEP
security organization issued to validate
required for the
the IAS server
IAS server

Internet NO
Certificate-based Medium to Authentication Certificates used
Service (IAS) WPA or
wireless network large YES but may be Dynamic WEP
security organization Certificate modified to require
Services passwords
As configurações típicas
Sem qualquer tipo de segurança: 58,67%
Default SSID: 3,75%
Com algum tipo de encriptação: 41,33%

In Security in Wireless Networks by Panda Software

As configurações típicas
Quando existe segurança predomina:
MAC filtering
WEP ou WPA-PSK
SSID broadcast disabled
Hacking o “típico”
Internet

Servidor Wireless Notebooks ADSL Router

Wireless Access Point

LAN

Nuno Carvalho WLAN

Knowledge Inside
Atenção !
Utilizar um protocolo de
segurança inseguro como o
WEP, é de longe muito
melhor que NÃO utilizar
segurança nenhuma !! 
Implementação de uma rede wireless utilizando
Password Authentication
802.1X Definição
IEEE standard para controlo de acessos e
autenticação “port-based”
Baseado em EAP (extensible authentication
protocol)
Suporta EAP-TLS e PEAP entre outros
Acesso só é concedido a utilizadores
autorizados
802.1X O que resolve ?
Perigo de “rogue AP’s” – Mutual
authentication
Identificação e autorização por utilizador
Gestão centralizada
Elimina o problema de chaves WEP e WPA
fracas
Gestão de chaves de encriptação
802.1X Componentes
Componentes Explicação
Requere uma placa WLAN que suporte 802.1X e dynamic
Wireless Client WEP ou WPA
Contas de utilizador e computador criadas no dominio
Suporte para 802.1X e dynamic WEP or WPA
Wireless O wireless access point e o servidor RADIUS partilham uma
Access Point “shared secret” para verificar e proteger as mensagens
RADIUS
Utiliza a Active Directory para verificar as credenciais dos
RADIUS/IAS clientes
Server Autoriza o acesso conforme o definido nas “access policy”
Pode recolher informação de “accounting e audit”
Certificado para autenticação do servidor
802.1X Como funciona?
Wireless Client Wireless RADIUS (IAS)
Access Point
1
Client
Connect

2 Client Server
Authentication Authentication

Mutual Key Determination

3 Distribution
Key

4 Encryption
WLAN Authorization

Internal Network
802.1X Serviços num ambiente PEAP
Domain Controller (DC)
RADIUS (IAS) Branch Office
Certification Authority (CA) IAS/DNS/DC
DHCP Services (DHCP)
DNS Services (DNS) LAN

Headquarters
Primary

Secondary
Access
Points
IAS/CA/DC
Secondary

LAN
Primary WLAN Clients
IAS/DNS/DC Access
Points

DHCP

WLAN Clients
802.1X Requisitos
Access point com suporte para 802.1x
Placa wireless com suporte para 802.1x
Sistema operativo cliente com suporte para
802.1x (Windows 2000 SP3, Windows XP,…)
Servidor RADIUS (pode ser servidor
existente)
IAS – Internet authentication service vem
incluído no Windows server 2000 / 2003 
Certificado digital no servidor RADIUS
Configuração de uma rede
Wireless com PEAP

Nuno Carvalho
Knowledge Inside
Resolução de problemas típicos
Tipo de problema
Problemas de ligação
Problemas de performance
Problemas de autenticação utilizador
Problemas de autenticação da máquina
Problemas de ligação
 Verificar conta de utilizador/máquina
 Verificar máquina cliente
 Verificar configuração da AP
 Verificar Active Directory e Network Services
 Verificar servidores IAS
 Verificar Certificate Authority
Problemas de performance
 Performance monitor (IAS)
 Verificar se os AP’s estão configurados para
utilizar o IAS mais próximo
 Reavaliar o posicionamento dos AP’s
 A re-autenticação pode demorar até 60s
Problemas de autenticação
 Problemas no IAS
 Conta incorrecta, desactivada ou trancada
 Conta não pertence ao grupo dos utilizadores
com acesso
 Remote access está configurado com “deny”
Conclusão
Não é complexo criar uma rede wireless segura
WEP é melhor que nada (mas é muito pouco)
Redes empresariais :
802.1x com WPA e EAP-TLS ou PEAP
802.1x com WPA2 e EAP-TLS ou PEAP
802.1x com WEP e EAP-TLS ou PEAP
Só se não houver suporte para WPA
Configurar “key lifetime” para período muito curto
Redes Domésticas:
WPA-PSK com uma chave complexa
Utilizar os scripts disponibilizados pela solução
PEAP and Passwords
Perguntas e Respostas?
Recursos
Microsoft Wireless Networking Web site
http://www.microsoft.com/wifi
Windows XP Wireless Deployment Technology and Component
Overview
http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/wific
omp.mspx

Enterprise Deployment of Secure 802.11 Networks Using Microsoft

Windows
http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/ed8021
1.mspx
Configuring Windows XP IEEE 802.11 Wireless Networks for the Home
and Small Business
http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/wifis
oho.mspx
WEP: Dead Again, Part 1
http://www.securityfocus.com/infocus/1814
Próximas Sessões
12 Julho - Instalação, Segurança e Manutenção de
Redes Wireless

http://www.microsoft.com/portugal/webcasts/
Recursos Úteis
Recursos para Comunidades Microsoft
http://www.microsoft.com/portugal/technet/comunidades

Subscrições TechNet
http://www.microsoft.com/portugal/technet/subscricoes

Certificações
http://www.microsoft.com/portugal/technet/certificacoes

IT’s Showtime Webcasts

http://www.microsoft.com/portugal/technet/itshowtime
© 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only.
MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.