Seminários Webcasts
Instalação, Segurança e
Manutenção de Redes Wireless
Marcos Santos
[email protected]
Microsoft Portugal
Agenda
Introdução Seminários Webcasts
Tema 6ª Sessão
Implementar o acesso seguro ao correio
electrónico e à rede da organização
Perguntas e Respostas
Conclusão
Ciclo de Seminários
Objectivo: proporcionar aos responsáveis
que trabalham com sistemas de
informação sessões técnicas com bons
oradores e com bom conteúdo
Vantagens deste formato:
Interactividade com o orador
Poupança de custos (deslocação, tempo)
Possibilidade de assistir ao evento à
posteriori
Temas
Segurança Servidores Windows – já disponível
Implementar Segurança num servidor de correio
electrónico – já disponível
Combater o Spam e os Vírus num sistema de correio
electrónico – já disponível
Implementar o acesso seguro ao correio electrónico e à
rede da organização – já disponível
Instalação, Segurança e Manutenção de Redes
Wireless
Como proteger os dados e a informação da sua
organização
As vossas sugestões são importantes…
Logística
Utilização do Live Meeting
Problemas com Live Meeting enviar mail
para [email protected]
Como fazer perguntas aos oradores?
Janela do lado direito no fundo
As perguntas serão respondidas no final de
cada apresentação por ordem
Recursos
Site de Segurança:
http://www.microsoft.com/portugal/seguranca
Assessment de Segurança:
http://www.securityguidance.com
Boletins de Segurança:
http://www.microsoft.com/technet/security/bulletin/notify.mspx
Instalação, Segurança e
Manutenção de Redes
Wireless
Nuno Carvalho
[email protected]
Agenda
Soluções Wireless
Segurança em Redes Wireless
Implementação de uma Rede Wireless
utilizando 801.X Password Authentication
Resolução de problemas típicos
Soluções Wireless
Wireless Standards
Standard
802.11
802.11a
802.11b
Description
Especificação que define os conceitos base para as
redes sem fios
Velocidade de transmissão até 54 megabits (Mbps)
por segundo
11 Mbps
Bom alcance mas susceptível a interferências
802.11g
54 Mbps
Menos alcance que o 802.11b
802.11i
Standard para autenticação e encriptação em redes
wireless
802.1X - Standard que define um mecanismo de autenticação baseado em acesso por porta e
como opção a gestão das chaves usadas para encriptar a informação
O Desafio
Numa rede “sem fios” não existe o
conceito de rede privada, qualquer
individuo com equipamento wireless pode
ligar-se desde que tenha “sinal”
Considerações
Controlar quem pode aceder
Controlar Access Points inválidos
Garantir que todo o tráfego está protegido
Que a informação não é alterada
Gestão dos Acess Points
Ameaças
Divulgação de informação confidencial
Acesso desautorizado a dados
Personificação de um cliente autorizado
Interrupção de serviço
Acesso desautorizado à Internet
Acessos wireless domésticos inseguros
Implementações de Access Points não
autorizados
Ataques mais comuns
Passive attacks
Discovering
Active Attacks
Man-in-the-Middle Attacks
Jamming Attacks
Segurança em redes Wireless
Opções de Implementação
IEEE 802.11 (Wi-Fi)
Wired Equivalent Privacy (WEP)
Wi-Fi Protected Access (WPA)
WPA Enterprise
IEEE 802.11i
WPA 2
WPA 2 Enterprise
802.1X com
WEP
WPA Enterprise
WPA 2 Enterprise
Outras Medidas (dissuasão)
Mac filtering
Disable SSID Broadcast
Recomendações
Wireless Network
Solution
Wi-Fi Protected
Access with PreShared Keys
(WPA-PSK)
Password-based
wireless network
security
Certificate-based
wireless network
security
Typical
Environment
Additional
Infrastructure
Components
Required
Certificates Used
for Client
Authentication
Passwords Used
for Client
Authentication
Typical Data
Encryption
Method
WPA
Small
Office/Home
Office (SOHO)
None
NO
YES
Uses WPA
preshared key to
authenticate to
network
Small to
medium
organization
Internet
Authentication
Service (IAS)
Certificate
required for
the IAS server
NO
However, a
certificate is
issued to
validate the IAS
server
YES
WPA or
Dynamic WEP
Medium to
large
organization
Internet
Authentication
Service (IAS)
Certificate
Services
YES
NO
Certificates used
but may be
modified to
require
passwords
WPA or
Dynamic WEP
As configurações típicas
Sem qualquer tipo de segurança: 58,67%
Default SSID: 3,75%
Com algum tipo de encriptação: 41,33%
In Security in Wireless Networks by Panda Software
As configurações típicas
Quando existe segurança predomina:
MAC filtering
WEP ou WPA-PSK
SSID broadcast disabled
Hacking o “típico”
Internet
Servidor
Wireless Notebooks
ADSL Router
Wireless Access Point
LAN
Nuno Carvalho
Knowledge Inside
WLAN
Atenção !
Utilizar um protocolo de
segurança inseguro como
o WEP, é de longe muito
melhor que NÃO utilizar
segurança nenhuma !! 
Implementação de uma rede wireless utilizando
Password Authentication
802.1X Definição
IEEE standard para controlo de acessos e
autenticação “port-based”
Baseado em EAP (extensible
authentication protocol)
Suporta EAP-TLS e PEAP entre outros
Acesso só é concedido a utilizadores
autorizados
802.1X O que resolve ?
Perigo de “rogue AP’s” – Mutual
authentication
Identificação e autorização por utilizador
Gestão centralizada
Elimina o problema de chaves WEP e
WPA fracas
Gestão de chaves de encriptação
802.1X Componentes
Componentes
Wireless Client
Wireless
Access Point
RADIUS/IAS
Server
Explicação
Requere uma placa WLAN que suporte 802.1X e
dynamic WEP ou WPA
Contas de utilizador e computador criadas no dominio
Suporte para 802.1X e dynamic WEP or WPA
O wireless access point e o servidor RADIUS partilham
uma “shared secret” para verificar e proteger as
mensagens RADIUS
Utiliza a Active Directory para verificar as credenciais
dos clientes
Autoriza o acesso conforme o definido nas “access
policy”
Pode recolher informação de “accounting e audit”
Certificado para autenticação do servidor
802.1X Como funciona?
Wireless
Access Point
Wireless Client
1
RADIUS (IAS)
Client
Connect
2
Client
Authentication
Server
Authentication
Mutual Key Determination
3
Key
Distribution
4
WLAN
Encryption
Authorization
5
Internal Network
802.1X Serviços num ambiente PEAP
Domain Controller (DC)
RADIUS (IAS)
Certification Authority (CA)
DHCP Services (DHCP)
DNS Services (DNS)
Branch Office
IAS/DNS/DC
LAN
Headquarters
Primary
Secondary
IAS/CA/DC
Access
Points
Secondary
LAN
IAS/DNS/DC
Primary
DHCP
WLAN Clients
Access
Points
WLAN Clients
802.1X Requisitos
Access point com suporte para 802.1x
Placa wireless com suporte para 802.1x
Sistema operativo cliente com suporte
para 802.1x (Windows 2000 SP3,
Windows XP,…)
Servidor RADIUS (pode ser servidor
existente)
IAS – Internet authentication service vem
incluído no Windows server 2000 / 2003 
Certificado digital no servidor RADIUS
Configuração de uma rede
Wireless com PEAP
Nuno Carvalho
Knowledge Inside
Resolução de problemas típicos
Tipo de problema
Problemas de ligação
Problemas de performance
Problemas de autenticação utilizador
Problemas de autenticação da máquina
Problemas de ligação






Verificar conta de utilizador/máquina
Verificar máquina cliente
Verificar configuração da AP
Verificar Active Directory e Network
Services
Verificar servidores IAS
Verificar Certificate Authority
Problemas de performance




Performance monitor (IAS)
Verificar se os AP’s estão configurados
para utilizar o IAS mais próximo
Reavaliar o posicionamento dos AP’s
A re-autenticação pode demorar até 60s
Problemas de autenticação




Problemas no IAS
Conta incorrecta, desactivada ou trancada
Conta não pertence ao grupo dos
utilizadores com acesso
Remote access está configurado com
“deny”
Conclusão
Não é complexo criar uma rede wireless segura
WEP é melhor que nada (mas é muito pouco)
Redes empresariais :
802.1x com WPA e EAP-TLS ou PEAP
802.1x com WPA2 e EAP-TLS ou PEAP
802.1x com WEP e EAP-TLS ou PEAP
Só se não houver suporte para WPA
Configurar “key lifetime” para período muito curto
Redes Domésticas:
WPA-PSK com uma chave complexa
Utilizar os scripts disponibilizados pela solução
PEAP and Passwords
Perguntas e Respostas?
Recursos
Microsoft Wireless Networking Web site
http://www.microsoft.com/wifi
Windows XP Wireless Deployment Technology and Component
Overview
http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/wific
omp.mspx
Enterprise Deployment of Secure 802.11 Networks Using Microsoft
Windows
http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/ed8021
1.mspx
Configuring Windows XP IEEE 802.11 Wireless Networks for the Home
and Small Business
http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/wifis
oho.mspx
WEP: Dead Again, Part 1
http://www.securityfocus.com/infocus/1814
Próximas Sessões
12 Julho - Instalação, Segurança e
Manutenção de Redes Wireless
http://www.microsoft.com/portugal/webcasts/
Recursos Úteis
Recursos para Comunidades Microsoft
http://www.microsoft.com/portugal/technet/comunidades
Subscrições TechNet
http://www.microsoft.com/portugal/technet/subscricoes
Certificações
http://www.microsoft.com/portugal/technet/certificacoes
IT’s Showtime Webcasts
http://www.microsoft.com/portugal/technet/itshowtime
© 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only.
MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.