Recomendação
relativa a
vulnerabilidade no
modo WPA na rede
e-U/eduroam
Serviço Utilizador RCTS
Fevereiro de 2010
5 de Fevereiro de 2010
Recomendação
relativa a
vulnerabilidade no
modo WPA na rede
e-U/eduroam
Serviço Utilizador RCTS
Fevereiro de 2010
EXT/2010/Serviço Utilizador RCTS
Nuno Gonçalves, Pedro Simões e Lino Santos
5 de Fevereiro de 2010
ÍNDICE
1 INTRODUÇÃO ................................................................................................... 1 1.1 Enquadramento ............................................................................................................... 1 1.2 Audiência .......................................................................................................................... 1 2 REDE DE MOBILIDADE E-U/EDUROAM ...................................................2 3 VULNERABILIDADE CONHECIDA NO MODO DE ACESSO WPA .........4 4 ANÁLISE DE RISCO ..........................................................................................5 5 RECOMENDAÇÕES .......................................................................................... 7 i
LISTA DE FIGURAS
Ilustração 2 – Ataque do tipo Man-In-The-Middle ...................................................................... 4 Ilustração 3 – suporte WPA2 ........................................................................................................... 5 ii
ANÁLISE E OBSERVAÇÕES À VULNERABILIDADE DO WPA
1
INTRODUÇÃO
A rede Eduroam em Portugal teve a sua origem na iniciativa e-U - Campus Virtual que
nasceu em 2002 por iniciativa da UMIC - Unidade de Missão, Inovação e Conhecimento.
Um dos eixos desta iniciativa concretizou a implementação de redes de acesso “WiFi” em
todas as instituições de ensino superior permitindo a mobilidade (acesso independente da
localização) de docentes e alunos.
Actualmente a rede e-U/eduroam utiliza como mecanismos de segurança no meio rádio o
protocolo de comunicação WPA e o método de cifra TKIP. Esta configuração resulta da
última recomendação efectuada em 2008 na sequência de falhas graves no protocolo WEP.
Recentemente foi tornado púbico um artigo intitulado “A Practical Message Falsification
Attack on WPA” que demonstra a possibilidade de realização de um ataque do tipo MITM
(men in the middle attack) em redes sem fios que utilizem o modo de acesso WPA
independentemente da cifra utilizada.
1.1
ENQUADRAMENTO
Este documento realiza uma análise do potencial impacto das vulnerabilidades conhecidas
no WPA na rede de mobilidade e-U/eduroam e formula um conjunto de recomendações
para sua mitigação.
1.2
AUDIÊNCIA
Este documento é destinado aos administradores de hotspots e-U/eduroam na RCTS.
Fundação para a Computação Científica Nacional|1
ANÁLISE E OBSERVAÇÕES À VULNERABILIDADE DO WPA
2
REDE DE MOBILIDADE E-U/EDUROAM
Actualmente a rede de mobilidade e-U/eduroam é constituída por 225 pólos pertencentes a
54 instituições que participaram no projecto e-U. No final de 2007 as instituições
efectuaram o primeiro upgrade das características da rede wireless, para a utilização de
modos de acesso mais seguros. Essa medida surgiu no seguimento da quebra de segurança
detectada no modo de acesso WEP que era utilizado até à data da migração. Na realização
da migração referida foram levantadas algumas questões relacionadas com limitações de
equipamento para suportar o modo de acesso WPA. A resolução dessas questões pelas
instituições com o objectivo de efectuar os melhoramentos necessários à conformidade e
utilização segura da rede foi efectuada com sucesso.
Assim sendo, actualmente, os mecanismos de segurança presentes em cada um dos hotspots
e-U/eduroam são WPA-Enterprise com cifra TKIP.
A utilização em roaming pelos utilizadores das várias instituições descrita na figura 1,
demonstra o sucesso desta operação levada a cabo no seio de cada um dos hotspots.
Ilustração 1 – Utilizadores distintos em roaming
A elevada mobilidade observada, reflecte a necessidade e a importância de manter
homogeneidade da configuração do acesso, nomeadamente o mecanismos de segurança e a
Fundação para a Computação Científica Nacional|2
ANÁLISE E OBSERVAÇÕES À VULNERABILIDADE DO WPA
cifra. Para promover este objectivo, a FCCN tem vindo a verificar as funcionalidades de
roaming nacional com o apoio das diversas instituições, realizando testes conjuntos em cada
um dos hotspots.
Fundação para a Computação Científica Nacional|3
ANÁLISE E OBSERVAÇÕES À VULNERABILIDADE DO WPA
3
VULNERABILIDADE CONHECIDA NO MODO DE
ACESSO WPA
De acordo com o artigo publicado e intitulado “A Practical Message Falsification Attack on
WPA” por Toshihiro Ohigashi e Masakatu Morii, é descrita a vulnerabilidade existente no
modo de acesso WPA utilizado na rede sem fios e-U/eduroam. O ataque efectuado,
denominado como “Back-Tews attack” possibilita aceder e falsificar informação em claro
(“plain text”) existente em pacotes de pequena dimensão e cifrados em modo WPA. Este
ataque, segundo o artigo publicado, é realizável em cerca de um minuto nas melhores
condições. Realça-se que as credenciais no seio da rede sem fios não estão comprometidas
devido ao facto de se encontrarem cifradas dento do túnel estabelecido entre o portátil do
utilizador e o Radius de destino.
Ilustração 2 – Ataque do tipo Man-In-The-Middle
A recomendação consiste na alteração do modo de acesso utilizado nos pontos de acesso
de WPA com cifra TKIP para o modo WPA2 com cifra AES com o objectivo de eliminar
a ameaça de ser possível aceder a informação em claro e o falsificar da mesma por
terceiros. A nível europeu esta recomendação encontra-se publicada em
http://www.eduroam.org/downloads/docs/advisory/eduroamOT-admin-advisory003.pdf .
Fundação para a Computação Científica Nacional|4
ANÁLISE E OBSERVAÇÕES À VULNERABILIDADE DO WPA
4
ANÁLISE DE RISCO
Por um lado é necessário verificar o grau de perigosidade da vulnerabilidade tornada
pública.
Da análise do artigo pode aferir-se que um ataque bem sucedido permite o acesso a dados
circulantes entre terminal do utilizador e o access point e não às credenciais de utilizador
trocadas entre o mesmo terminal e servidor de autenticação. Ou seja, salvaguardada a
questão das credenciais, a segurança da informação circulante é indexada à segurança
aplicacional: acessos SSL, por exemplo, continuam salvaguardados por esta camada de
cifra. Note-se que a maior parte da informação com valor circula cifrada em canal SSL por
imposição do prestador de serviço e que a quase totalidade das instituições e-U possuem
acesso seguro por VPN aos seus serviços.
Ademais, é importante a ter em consideração de ainda não existirem aplicações práticas
deste exploit. Existe a descrição do conceito que foi provado apenas em ambiente
controlado, e não é conhecida exploração activa desta vulnerabilidade, pelo que a podemos
classificar como reduzida.
Por outro lado importa verificar o esforço necessário para a completa migração de todos os
hotspots da rede e-U/eduroam para um modelo WPA2+AES.
Com base num inquérito realizado às instituições em Abril de 2006 cerca 90 % dos pontos
de acesso sem fios utilizados, possuem capacidade de utilização de modo de acesso WPA2.
Este inquérito foi respondido por 38 das 54 instituições que integram a rede nacional sem
fios.
Ilustração 3 – suporte WPA2
9,1
90,9
Instituições com equipamento que Suporta WPA2
Fundação para a Computação Científica Nacional|5
ANÁLISE E OBSERVAÇÕES À VULNERABILIDADE DO WPA
Da análise efectuada conclui-se que grande parte do equipamento actualmente em
funcionamento na rede e-U/eduroam suporta o modo de acesso WPA2 com cifra AES
pelo que é previsto que o impacto da alteração se centre no suporte aos utilizadores na
alteração de configurações. Pelo facto do inquérito ter sido realizado em 2006 será
colocado online em http://www.eduroam.pt/inquerito.htm um novo inquérito para
preenchimento pelas instituições e-U.
Neste cenário, um conjunto ainda significativo de equipamentos de acesso (access points) não
está preparado para suportar WPA2+AES, implicando investimentos avultados da parte
destas instituições.
Fundação para a Computação Científica Nacional|6
ANÁLISE E OBSERVAÇÕES À VULNERABILIDADE DO WPA
5
RECOMENDAÇÕES
Com base no descrito pelo documento apresentado, a falha descrita é sem dúvida
preocupante. Ela afecta as comunicações entre os AP’s e os equipamentos terminais, sendo
possível a captura da informação que entre eles circula.
No entanto, e pelo que nos foi dado a interpretar, não estão em risco as credenciais dos
utilizadores aquando do processo de autenticação.
Apesar de a maioria dos equipamentos actualmente em utilização suportarem WPA2 e
AES, não está assegurada uma completa compatibilidade entre estes (precisam ser
realizados testes), nem está garantido o suporte destes protocolos pelos restantes
equipamentos, implicando concerteza a aquisição de novos equipamentos.
Face aos pontos expostos acima, a recomendação da FCCN vai no sentido de, nas actuais
condições de risco, não se efectuar a migração para um novo método de cifra mais
seguro (WPA2 + AES).
No entanto iremos continuar a acompanhar os desenvolvimentos que forem surgindo
referentes a este problema e a outros que eventualmente surjam.
Recomenda-se, no entanto, às instituições e-U/eduroam que:
•
•
Em eventuais aquisições de novos access points ou equipamento similar,
requeiram o suporte para, pelo menos, WPA2 e AES;
Reduzam, se permitido pelo equipamento, o tempo de rotação de chaves de
cifra para um valor até 5min.
Fundação para a Computação Científica Nacional|7
Download
  1. No category

Versão PDF

1. Clique no icone de rede wireless (na barra de menus no canto

1. Clique no icone de rede wireless (na barra de menus no canto

ANÁLISE COMPARATIVA

ANÁLISE COMPARATIVA

CONFIGURAÇÃO DA REDE “EDUROAM” PARA iPHONE Passo 1

CONFIGURAÇÃO DA REDE “EDUROAM” PARA iPHONE Passo 1

Migração eduroam para WPA2 - Enterasys_RBT4102

Migração eduroam para WPA2 - Enterasys_RBT4102

Grupo 4 - Univasf

Grupo 4 - Univasf

Luis Filipe de A. Pessoa

Luis Filipe de A. Pessoa

Instituto de Ciências Biomédicas de Abel Salazar

Instituto de Ciências Biomédicas de Abel Salazar

Configuração Rede eduroam - Rede sem fios

Configuração Rede eduroam - Rede sem fios

Eduroam em MAC

Eduroam em MAC