Implementando
segurança em redes
wireless
Alberto Oliveira – Lanlink
MCSE:Security, Security+
João Carlos Manzano – Microsoft
Security Specialisty
Agenda






Introdução
Tendências Necessidades e Desafios
Padrões e Tecnologias
Solução: Windows Server 2003
Implementando a Solução
Novidades do Longhorn/Vista
Redes Wireless
Global & Universal Area
Satellite Data Networks
Wide Area & Metro Area
Cellular-based mobile data
Local Area
Wireless LAN (WLAN)
HiperLAN/2
Personal Area
Bluetooth
HomeRF
Visão sobre Wireless

Extende o poder das aplicações e serviços,
através da ativação de conectividade sem fio
confiável, segura, presente e transparente.

WWAN


WLAN


Rede Local, baseado em WiFi (802.11a/b/g) e hotspots
PAN


Conectividade de Dados através do Celular
Rede local usando Bluetooth (UWB)
Plataforma de serviços de localização

Permitir localizaça de dados de todas as origens
wireless (incluindo GPS) para permitir uma rica
experiência em Windows
Tendência em Redes Wireless

Explosão no crescimento de dispotivos
wireless


Aumento da banda em WLAN


Crescente aumento nas vendas de
handhelds
Até 54Mbps
Suporte wireless de fábrica

A maioria dos Laptops e PDA’s possuem
esse recurso.
Necessidade de Redes Wireless

Produtividade dos Funcionários

Acesso habilitado de qualquer lugar da
empresa para os recursos e aplicações
críticas, de forma rápida e segura
“ Acesso Wireless aos funcionários em uma
rede corporativa aumenta a produtividade em 30%”
(Gartner)
“Os usuários móveis dos EUA devem
dobrar entre 2001-2006 “
(IDC)
Requisitos da solução

Conectividade Segura

Qualquer Lugar


Qualquer Dispositivo


Internet hotspots, redes de parceiros, filiais
Computadores, PDA’s
Qualquer Conexão

Wired, Wireless, Dial-up, VPN
Desafios
Atacante
Segurança Fraca
Rogue AP
Legado
Wireless
Dictionary Attack
Serv. Aqruivos
email

Apps Web

Active
Directory

Muitos WAP’s inseguros
Chave WEP facilmente quebrada
Ataques aos WAP’s são difíceis de
detectar
Linha do Tempo
1999
2001
2003
2004
802.11i (WPA2)
Original 802.11
802.1X with WEP WPA
Security:
• Autenticação • Autenticação
• Autenticação
802.1X
• Autenticação
802.1X
802.1X
nativa 802.11
• Gerenciamento • Gerenciamento• Gerenciamento de
chaves 802.1X
• Criptografia WEP de chaves 802.1X de chaves
aumentada
estática
802.1X
• Proteção de
• Proteção de dados
aumentada
dados WEP
baseado em AES
• Proteçao
dinâmica
baseado em • Pré-Autenticação
TKIP
Alternativas de Segurança Fracas:
•Filtro de Endereços MAC – Não pode Escalar.
•VPN – Permite acesso total a Rede.
•Tunelamento IPSec – Solução Proprietária.
Padrão IEEE
Padrão
802.11
802.11a
802.11b
802.11g
Descrição
Especificação base que define os conceitos de
transmissão em redes Wireless
Velocidade de trasmissão de até 5.4 megabits
(Mbps) por segundo
Velocidade de transmissão de até 11 Mbps
Boa faixa de abrangência, mas suscetível a
interferência de sinais de rádio
Velocidade de transmissão de até 54 Mbps
Faixas de abrangência mais curtas que 802.11b
802.1X - Um padrão que define os mecanismos de controle de acesso baseado
em portas para a autenticação na rede, e opcionalmente, para gerenciar chaves
usadas para proteger o tráfego
Autenticação WEP
Wired Equivalent Privacy



Mecanismo de segurança com 2 níveis
de Criptografia: 64-bit and 128-bit
Melhor do que não ter segurança mas é
um protocolo relativamente fácil de
quebrar (muitas ferramentas na
Internet)
Segurança pode ser aumentada
rotacionando chaves randomicamente
ou separando a rede com fio da rede
Wireless “menos segura”.
Autenticação IEEE 802.1X


Padrão para segurança de rede
baseado em portas, mas não define
o atual mecanismo de autenticação
Encapsula o protocolo EAP para
redes com ou sem fio (wireless)
Usando o EAP
Extensible Authentication Protocol

EAP-TLS (Transport Layer Security )




Utiliza certificados tanto em clientes
quanto em servidores para autenticação
Utiliza mecanismo de autenticação similar
ao do HTTPS
Requer infra-estrutura de gerenciamento
de chaves extensa
PEAP (Protected EAP)

Utiliza o PKI para negociar a conexão
inicial com o access point


Feito sobre a implementação de EAP-TLS
A conexão com a rede é liberada apenas
após autenticação do usuário e senha
WPA
Wi-FI Protected Access


Aumenta a segurança mantendo o
hardware existente
Absorve alguns recursos do 802.11i:




Message Integrity Check (MIC)
Temporal Key Integrity Protocol (TKIP)
Aperfeicoamento do WEP com a
introdução de novos algoritmos
Consiste em dois Certificados:


WPA-Personal
WPA-Enterprise
IEEE 802.11i




Alteração na especificação existente para o
padrão 802.11 que aumenta a segurança na
camada MAC (Media Access Control)
Chamado de WPA2 pela Wi-Fi Alliance
Introduz o protocolo de nome Robust
Security Network (RSN)
Pode usar dois tipos possiveis de
protocolos de criptografia baseados no AES
(Advanced Encryption Standard ):

Counter Mode with Cipher Block Chaining
Message Authentication Code Protocol (CCMP)
Wireless Robust Authenticated Protocol
Windows Server 2003
Segurança aumentada
Windows
NT 4.0
Windows
2000 Server
Windows
Server 2003
*


+
+


802.1X para autenticação segura de redes com
e sem fio (wireless)


PEAP para autenticação da rede usando senha

NAT Traversal para VPNS usando IPSEC



Pilha de rede IPv6 integrada

Capacidade
Integrado com o Active Directory
PKI integrada para autenticação de smartcard
Log XML rico
RADIUS Load Balancing
Quarantena de Rede
P – Inluido no produto Windows Server
P+ - Inlui melhorias da versão anterior
* Integrado com o Windows NT 4.0 User Domains
Solução Windows Server 2003
Hacker
X
Legado
Wireless
Windows Server 2003
•
•
•
•
Seguro
Gerenciável
Interoperável
Melhor Custo
Serv. Arquivos
email
Verifica um Certificado x509 válido
Apps Web
Salvaguarda contra AP falsos
Criptografia forte para proteçao contra DoS
Mudança de chaves dinâmicas
Windows Server 2003
Seguro
Gerenciável
Interoperável
Melhor Custo

Serviços de segurança inclusos, como Certification Authority

Acesso ao wireless baseado em senhas e seguras

Suporta métodos de autenticação de terceiros

Seguro contra ataques de senha (dicionário)
Windows Server 2003
Seguro
Gerenciável
Interoperável
Melhor Custo

Implementação fácil usando guias

Gerenciamento de clientes centralizado

Relatórios e monitoração detalhadas da rede

Fácil deployment com o recurso zero client configuration
Windows Server 2003
Seguro
Gerenciável
Interoperável
Melhor Custo

DHCP, DNS e pilha TCP/IP usando padrões

Suporte aos principais protocolos de rede

Interoperabilidade com dispositivos WiFi certificados
Windows Server 2003
Seguro

Gerenciável
Interoperável
Melhor Custo
Mesma infra-estrutura para conexões Dial-Up, VPN,
com fio (wired) e sem fio (Wireless)

Single Sign on para os recursos de rede

Mesmo cliente para todos os métodos de acesso
Elementos da rede Wireless
Domain Controller (DC)
RADIUS (IAS)
Certification Authority (CA)
DHCP Services (DHCP)
DNS Services (DNS)
Filial
IAS/DNS/DC
LAN
Escritório Central
Primário
Secundário
Access Points
Secundário
IAS/CA/DC
Access Points
LAN
IAS/DNS/DC
Pirmário
DHCP
Clientes WLAN
Clientes WLAN
IAS Server
Melhorias no servidor IAS do Windows 2000 para wireless

Autenticação usando Certificados (EAP-TLS) e Senhas Seguras
(PEAP)

Suporte a autenticação da estação

Para ambas as soluções EAP-TLS e PEAP
Windows 2003 IAS Server

Melhorias de performance quando usando distribuiçao de
certificados

Registro dos AP’s com servidores RADIUS

Melhoria na captura de eventos (logging) usando tanto com SQL
quanto o formato XML

Scaling up – RADIUS Proxy fail over e fail back

Scale out através da exportação e restauração da configuração
Active Directory

Windows 2000 AD


Apenas auto enrollment e renovação dos
certificados
Windows 2003 AD



Auto enrollment e renovação para
estações
Auto enrollment e renovação para
usuários
Suporte de Group Policy para
configurações Wireless
Novidades no Longhorn





Suporte nativo a WPA2
Perfis de wireless melhorados
Suporte as opções de autenticação
WPA2 via GPO
Lista de redes wireless permitidas e
negadas
Integração com o NAP (Network Access
Protection)
O que aprendemos





Visão geral sobre wireless
Protocolos de segurança
Padrões de mercado
Modelos de ambiente
Novidades para o Longhorn/Vista
Próximos passos:

Acesse:

Documentação sobre Wireless:

Documentação sobre IAS: http://www.microsoft.com/ias
WLAN Device Driver development:
http://www.microsoft.com/hwdev/tech/network/wireless
802.1X Authentication:
http://msdn.microsoft.com/library/enus/wceddk40/htm/cmcon8021Xauthentication.asp
Wireless Network Security within 802.1X:
http://www.microsoft.com/WINDOWSXP/pro/evaluation/over
views/8021X.asp
Set up 802.1X Authentication on Windows XP Client:
http://www.microsoft.com/windowsxp/home/using/productd
oc/en/8021X_client_configure.asp





http://www.microsoft.com/technet/itsolutions/network/wifi/default.
mspx
Associações:



Wireless LAN: http://www.ieee.org
IEEE 802.11 & 802.1X: http://www.ieee.org
Wi-Fi Alliance: http://www.wi-fi.org
Próximos passos
1.
Treinamentos de segurança:
http://www.microsoft.com/seminar/events/security.ms
px
2.
Sign up for security communications:
http://www.microsoft.com/technet/security/signup/
default.mspx
3.
Find additional e-learning clinics
https://www.microsoftelearning.com/security
4.
Get additional security information on
Exchange Server 2003:
http://www.microsoft.com/technet/prodtechnol/exchan
ge/ default.mspx
Para mais informações.







Visite-nos em
www.technetbrasil.com.br
Nossa página de segurança
www.microsoft.com/brasil/seguranca
www.microsoft.com/security
Aprenda e ensine mais sobre segurança
na internet para crianças, jovens e
adultos em:
www.navegueprotegido.org
© 2003 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only.
MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.