Congresso Wi-Fi
Desenvolvimentos Tecnológicos e
Implementações de QOS e Protocolos de
Segurança em Redes Wi-Fi
André Docena Corrêa
Lucinski
[email protected]
[email protected]
Agenda
802.11 – Padrões / Grupos de Trabalho
802.11e - QOS
WEP / WEP 2
802.1x
Riscos associadoas a utilização de
redes Wi-Fi e medidas de Segurança
Q&A
802.11 – Padrões e
Grupos de Trabalho
802.11a - 5GHz UNII
OFDM (Ortogonal Frequency Division
Multiplexing)
 6 to 54Mbps

802.11b - 2.4GHz
CCK (Complementary Code Keying)
 1 to 11Mbps

802.11 – Padrões e
Grupos de Trabalho
802.11g
Higher Rate Extensions na banda de
2.4GHz
 Aumento da velocidade em relação a
802.11b - até 54Mbps
 OFDM (Frequency Division Multiplexing)
 RTS / CTS
 Compatível com 802.11b

802.11 – Padrões e
Grupos de Trabalho
802.11c - Bridge Operation Procedures
802.11d - Global Harmonization

Regulamentação: U.S., Europa e Japão
802.11e - MAC Enhancements for QoS
QOS focado em aplicações multimídia
 Compatível com qualquer 802.11 PHYs

802.11 – Padrões e
Grupos de Trabalho
802.11f - Inter Access Point Protocol (IAPP)


Roaming entre Access Points
APs de fabricantes diferentes podem não operar
em conjunto
802.11h - Spectrum Managed 802.11a

Seleção dinâmica de canais (Europa)
802.11i - MAC Enhancements for Enhanced
Security


Resolução de problemas relativos ao WEP
Incorpora o 802.1x e técnicas avançadas de
criptografia
802.11e
QOS (Quality of Service) em 802.11
Trabalha na camada MAC
Desejável para aplicações multimídia
Cooperação com IEEE 1394
Aplicável e compatível com 802.11a,
802.11b e 802.11g (PHY)
802.11e
Soluções que funcionam em redes
cabeadas podem não funcionar em
redes wireless pelos seguintes motivos:
Taxa de erro pode chegar de 10 a 20%
 Taxa de transmissão varia de acordo com
as condições do canal utilizado
 Impossível determinar a banda exata que
pode ser utilizada devido a sua variação

802.11e
Ë comum definir como constante o
tráfego multimídia, mas ele se torna
“bursty” em situações onde existe
elevada taxa de erro.
Protocolos da camada MAC somente
podem cuidar da priorização do tráfego,
não da reserva de banda
802.11e
Reserva de banda
 Redes IP geralmente utilizam RSVP
 Muitas aplicações não utilizam esse protocol
 RSVP está sendo descontinuado por alguns
fabricantes (Exemplo: MS Windows XP)
802.11e deve suportar 802.1p (priority marking)
802.11e não deve assumir a utilização de
RSVP mas deve se beneficiar caso este esteja
disponível
802.11e - Draft
Focado em duas aplicações


Audio/vídeo – deve suportar: até 3 canais
simultâneos MPEG-2 em DVD rate; ou um canal
MPEG-2 em HDTV rate, em redes 802.11a
QOS para redes corporativas, provendo
priorização de tráfego e integração com a infraestrutura de gerenciamento existente
Backwards compatible com Clientes/APs que
não utilizem 802.11e
Atua também sobre o tráfego entre Clientes
802.11e
Tentativas anteriores para WLAN QOS
Hiperlan 1 (1996): frágil na presença de
erros e clientes “hidden”
 Hiperlan 2: frágil em situações com bursts
de tráfego. Implementação complexa
 HomeRF: ineficiente para tráfego de vídeo;
problemas com a camada PHY

802.11e - HCF
Tráfegos diferentes necessitam de
soluções diferentes para QOS
802.11e apresenta o conceito: “Hybrid
Coordination Function”
802.11e – HCF utiliza funcionalidades
das tecnologias CSMA/CA e PCF (Point
Coordination Function)
802.11e - HCF
CSMA/CA (DCF) (Scheduling)


Eficiência e baixa latência para tráfego com burst
Controle de acesso ao canal por pacote, não utilizando
otimização por previsão de tráfego
PCF (Reservation)


Controle de acesso ao canal por “stream”
Eficiência na previsão de tráfego
802.11e



Utiliza uma combinação das duas tecnologias
Eficiente acesso ao canal para tráfego previsível
Eficiente para tráfego com bursts e retransmissões
802.11e
802.11e está baseado em mais de uma
década de experiência em protocolos WLAN
802.11e foi desenvolvido com foco nas
condições reais de utilização de redes
wireless. Robusto em condições adversas
Backwards compatible com Clientes e APs
802.11
WEP
WEP (Wired Equivalent Privacy):
Opcional para 802.11 - MAC Layer
Busca resolver os seguintes problemas:
Impedir que intrusos consigam ler os
dados transmitidos
 Impedir que intrusos consigam modificar
dados transmitidos
 Impedir que intrusos tenham acesso a
rede wireless

WEP
Como funciona o WEP





Shared Secret (WEP Key) – 40/104 bits
Criptografia RC4 stream cipher (simétrica) do
payload dos pacotes 802.11 (corpo + CRC)
Seed = Shared Secret + Randon 24 bit (IV)
IV muda para cada pacote (sequêncial ou
randômico dependendo da implementação)
IV é enviado em clear text no cabeçalho do
pacote 802.11
WEP
O que está errado com o WEP
Shared Key estática
 Não possui necamismo de distribuição ou
renovação de chaves de criptografia
 IV relativamente pequeno (24 bits)
 IV sequêncial em diversas
implementações

WEP
WEP2
Definições



compatível com WEP
Força chaves de 128 bits
Suporte a Kerberos V
Problemas




Permite a reutilização do IV
Não possui autenticação mútua
Suporte a Kerberos V permite dictionary attacks
Possível DOS pois autenticação/desautenticação
não são seguras
802.1x
Controle de acesso
Autenticação mútua
Utilização de Servidor de Autenticação
centralizada (RADIUS)
Distribuição dinâmica de chaves de criptografia
EAP (Extensible Authentication Protocol –
RFC2284) permitindo a utilização de diversos
métodos de autenticação: Token Cards,
Kerberos, one-time passwords, certificados
digitais e PKI
802.1x
Componentes:
Supplicant (Cliente)
 Autenticador (AP)
 Servidor de Autenticação (RADIUS)

Possíveis ataques demonstrados:
Session Hijacking
 Man-in-the-middle

802.1x
1.
2.
3.
4.
5.
Cliente envia pedido de autenticação ao AP
AP responde pedindo a identificação do Cliente
Cliente envia sua identificação que é redirecionada pelo AP ao
servidor de autenticação
Servidor de autenticação verifica a identidade do Cliente e
envia uma mensagem de aceitação/negação ao AP
Se a identificação for aceita o AP libera o tráfego do Cliente
802.1x - EAP
EAP – TLS
 Autenticação mútua baseada em certificados
 Chaves de criptografia são geradas
EAP – TTLS
 Cliente não necessita de certificado digital,
mas pode ser autenticado utilizando senhas
 Servidor de autenticação utiliza certificado
digital
 Chaves de criptografia são geradas
802.1x - EAP
EAP – SRP
 Cliente e servidor de autenticação são
autenticados utilizando senhas
 Chaves de criptografia são geradas
EAP – MD5
 Cliente é autenticado através de senha
 Servidor de autenticação não é autenticado
 Não são geradas chaves de criptografia
Riscos associados
Perda de confiança dos clientes
Perda de confiança dos acionistas e
investidores
Danos a marca
Diminuição dos lucros
Implicações legais
Medidas de Segurança
Habilite WEP como nível mínimo de
segurança



Utilize chaves de 128 bits
Altere a chave WEP frequêntemente
Não assuma que o WEP é seguro
Se possível utilize 802.1x
Se possível desabilite broadcast de SSID
Altere o SSID e a senha default dos APs
Medidas de Segurança
Altere os nomes e senhas das comunities
SNMP dos APs
Trate sua rede wireless como uma rede
pública
Utilize filtros por MAC address
Coloque sua rede wireless em uma DMZ e
de forma isolada
Desabilite compartilhamento de arquivos em
clientes wireless
Medidas de Segurança
Se usuários wireless tiverem de utilizar
serviços em sua rede local, utilize
outros algorítimos de autenticação e
criptografia, como por exemplo: VPN,
IPSec, SSH
Promova regularmente "Access Point
Discovery“
Utilize IDS na rede wireless
Q&A
Referências
IEEE 802.11 Work Groups
SAMS Reading Room
Cisco
802.11 Planet
Intel
ISS
CWNP
IBM
Download

ppt - André D. Corrêa