A Evolução dos
Mecanismos de Segurança para
Redes sem fio 802.11
Agenda
• Introdução a redes wireless
– Requisitos de Segurança
• Recursos de (in)segurança em redes 802.11b
–
–
–
–
Mecanismos de segurança nativos, controle de acesso
Vulnerabilidades nos protocolos
Problemas comuns de configuração
Problemas nos equipamentos
• Ataques
– Ataques de autenticação, Hijacking
– Problemas de chave, Wardriving e Warbiking
Agenda
• Defesas
–
–
–
–
–
–
–
Resposta dos fabricantes
Evolução dos protocolos
WPA
802.11i
VPNs, criptografia e Controle de acesso
Configurações rígidas
Isolamento e Monitoração
• Conclusões
Objetivos
• Dar uma visão geral da tecnologia sem fio 802.11 e alguns
cenários de uso
• Compreender os recursos de segurança providos pelo
padrão 802.11b
• Atentar para as fraquezas do padrão, ataques comuns,
particularmente fáceis ou especialmente não-intuitivos
• Estabelecer uma ligação com os ataques clássicos
• Discorrer sobre as comunidades de exploradores de redes
wireless
• Propor e discutir formas práticas de mitigar as
vulnerabilidades
Introdução a Redes Wireless
Redes 802.11b
• Camada Física:
– Direct Sequence Spread Spectrum (DSSS)
– Frequency Hopping Spread Spectrum (FHSS)
– Banda ISM de 2.4 a 2.5GHz
DSSS
• Velocidades (bitrates):
– 1, 2, 5.5, 11Mbps (802.11b), 54Mbps (11a, 11g)
• Alcance típico:
FHSS
– 50 metros em ambientes fechados, 500 metros ao ar livre
– Pode variar fortemente dependendo da potência, tipo e disposição
das antenas, cobertura por APs, amplificadores
– Antes externas direcionais podem chegar a 400 m
– Configurações especiais podem chegar a mais de 20 Km
Introdução a Redes Wireless
Topologias
• Modo Infra-Estrutura: estende a cobertura geográfica da
rede LAN convencional (“de infra-estrutura”) através da
cobertura da rede sem fio
– Access Point (AP): bridge [WLAN]  [LAN]
– Célula: área coberta por um AP
– Basic Service Set (BSS): “conjunto de serviços básicos” de uma
célula
– Extended Service Set (ESS): “conjunto de serviços estendido”
oferecido por todas as células de uma rede de infraestrutura
• Modo Ad-Hoc:
– Interconexão direta “peer-to-peer” sem APs de dispositivos em uma
mesma área (em uma sala, digamos)
– Dispensa a “rede infra-estrutura” (LAN convencional cabeada)
Introdução a Redes Wireless
Resumindo
• Filosofia de projeto:
Fácil instalação + Fácil acesso
=
Problema de Segurança
(é claro que os engenheiros pensaram em tudo ...)
Introdução a Redes Wireless
Requisitos de Segurança
• Criptografia e Privacidade
– “dados cifrados não devem decifrados por pessoas não
autorizadas”
• Autenticação e Controle de Acesso
– Identificar, Autenticar, Autorizar usuários, servidores,
Aps
– Framework
Recursos de (in)segurança
Escopo da Segurança em redes sem fio
Recursos de (in)segurança
WEP – Wired Equivalency Privacy
• Criptografia e autenticação no nível do link
wireless
– Ou seja, não provê segurança fim-a-fim
– Em outras palavras, só no trecho wireless
– Furadíssimo, como veremos adiante
• Não prescinde outros mecanismos “tradicionais”
de segurança
– Muito pelo contrário, torna-os muito mais necessários,
dado que introduz vários novos riscos
Recursos de (in)segurança
WEP – Serviços
• Autenticação: garantir que apenas estações
autorizadas possam ter acesso à rede
– Somente pessoas autorizadas podem se conectar na
minha rede?
– Confidencialidade: dificultar que um interceptador
casual compreenda o tráfego capturado
– Somente as pessoas autorizadas podem ver meus
dados?
• Integridade:
– Temos certeza que os dados transitando na rede não
foramadulterados?
Recursos de (in)segurança
WEP – Autenticação
• Não-criptográfica:
– Modo aberto: SSID nulo
– Modo fechado: requer SSID
específico
– Trivialmente suscetível a ataque
de replay
Recursos de (in)segurança
Sniffing e SSID
Recursos de (in)segurança
WEP – Autenticação
• Criptográfico:
– Desafio-resposta rudimentar para provar que o cliente conhece a
chave WEP
– O AP autentica o cliente
– O cliente não autentica o AP
– Suscetível a vários ataques, inclusive o famoso “man-in-themiddle”
Recursos de (in)segurança
Criptografia do WEP
Recursos de (in)segurança
Criptografia do WEP – RC4
• Algoritmo de cifragem proprietário da RSADSI
– Otimizado para implementação rápida em software
– Era segredo industrial da RSADSI até ser analisado por
engenharia reversa e postado na rede em 1994.
– Implementável de cabeça em pouco mais de um
minuto.
– Chave de até 2048 bits
– Stream cipher: entrada e saída de 8 bits (1 byte) de
cada vez
– Desconfortavelmente simples, mas seguro se usado
com algumas precauções
Recursos de (in)segurança
Críticas a Criptografia do WEP
• Gerenciamento de chaves
– Totalmente manual
• Chaves raramente são mudadas (quando em absoluto)
• Mudar chaves de centenas ou milhares de placas em uma
instalação típica é insano
• Tamanho de chaves pequeno
– A maior parte das placas/instalações só suporta 40 bits
• Feito, à época, para evitar problemas de exportação
• Placas com cripto de 104 bits custam bem mais caro e são
mais raras
• Padece de várias fraquezas criptográficas fundamentais
Recursos de (in)segurança
Críticas a Criptografia do WEP
• IV de 24 bits é muito pouco
– O padrão WEP não especifica como gerar o IV
– Algumas placas o fazem sequencialmente
• Fácil de prever e detectar
• E ainda resetam para zero quando o cartão é
reinserido
• O IV é repetido a cada 4823 pacotes
• O CRC torna trivial descobrir se você acertou o
par (IV, K)
Recursos de (in)segurança
Criptografia: Propriedades
• Propriedades do ⊕ (XOR):
– a⊕a=0
– a⊕0=a
• Isso torna perigoso jamais reusar a mesma chave:
–
–
–
–
c1 = p1 ⊕ RC4(k,IV) e c2 = p2 ⊕ RC4(k,IV)
c1 ⊕ c2 = ( p1 ⊕ RC4(k,IV) ) ⊕ ( p2 ⊕ RC4(k,IV) )
= p1 ⊕ p2 ⊕ RC4 (k,IV) ⊕ RC4 (k,IV)
= p1 ⊕ p2
• Pacotes IP tem cabeçalhos previsíveis ou fixos que tornam
fácil prever ou deduzir p1 ⊕ p2
Recursos de (in)segurança
Integridade WEP
• CRC (Cyclic Redundancy Check) de 32 bits é computado
para cada pacote e anexado ao pacote
– CRCs são otimizados para detectar erros de transmissão
– São notoriamente inadequados para prover garantias
criptograficamente aceitáveis contra adulteração intencional
• Também burlável:
– É viável fazer alterações no texto cifrado e “compensar” o CRC
• Já aconteceu outras vezes, no SSH1 e no PPTP da MS
– Deveria ter sido usado um MAC (Message Authentication Code)
com resistencia criptográfica, à base de MD5 ou SHA1
Recursos de (in)segurança
Aps Impostores
• Em redes em modo abertas, quem impede um
atacante de instalar seu próprio AP?
• Mesmo em redes fechadas, descobrindo-se os
parâmetros e a chave WEP, fica fácil montar
ataques man-in-the-middle
• É visível, porém, para alguns softwares de
monitoração
Recursos de (in)segurança
Backdoors nos firmwares
• Envia-se a string “gstsearch” em um broadcast (!) para a
porta UDP 27155 e o AP responde com:
– Senha do administrador
– Chave mestra WEP
– Filtro de MAC
• Testado como vulnerável: WISECOM GL2422AP-0T
• Suspeita-se vulnerável (baseado no mesmo firmware):
–
–
–
–
D-Link DWL-900AP+ B1 version 2.1 and 2.2
ALLOY GL-2422AP-S
EUSSO GL2422-AP
LINKSYS WAP11-V2.2
Ataques
Ataques clássicos
• Todos os ataques clássicos de TCP/IP se aplicam
normalmente – amplo playground:
– ARP spoofing: redirecionar tráfego para o impostor via
falsificação/personificação do endereço MAC
– DNS spoofing: redirecionar tráfego para o impostor via
adulteração dos pacotes DNS
– Smurf: sobrecarga de broadcasts para negação de
serviço/saturação do canal
– DHCP spoofing: servidor DHCP impostor força configuração
imprópria dos clientes
• Chaves má escolhidas
– Suscetíveis a ataques clássicos de dicionário
– Muitos drivers e/ou admins colocam senhas em ASCII = 7o bit é
sempre zero
Ataques
Man-in-the-middle
Ataques
Chosen-Plaintext Attack
Ataques
Bit Flipping
Ataques
Warchalking
• Marcas com giz identificando
locais onde há conectividade
wireless e os parâmetros da rede
http://www.blackbeltjones.com/warchalking/index2.html
Ataques
NodeDB.com - Warchalking
• Warchalking via web: DB de APs
http://www.nodedb.com/
Ataques
Warchalking.com.br
• Agora também em português
https://www.warchalking.com.br/com/index2.htm
Ataques
WorldWideWarDriving.org
• Esforço para mapear Aps
http://www.worldwidewardrive.org/
Defesas
Resposta dos Fabricantes (Wi-Fi)
• Aumentar o tamanho da chave WEP Compartilhada
(Agere 152 bits, US Robotics 256 bits)  apenas adia a
descoberta
• Problemas com performance
• Troca dinâmica de chaves (Cisco e Microsoft)
• Overhead na transmissão (802.11b)
• Falta de Interoperabilidade
• Wi-Fi propõe o WPA
• IEEE Task Group “I”  standard 802.11i
Defesas
WPA – Wi-Fi Protected Access
• Novo padrão de autenticação mútua - EAP
• TKIP – Temporal Key Integrity Protocol
• Michael Message Integrity Check
Defesas
WPA – EAP
• Novo padrão de autenticação mútua
– Suplicante, Autenticador, Servidor de Autenticação RADIUS
– Atualização de Firmware
– Compatibilidade com Hardwares legados
Defesas
WPA – EAP
• Procedimentos de Autenticação:
– Um suplicante inicia uma conexão com um autenticador. O
autenticador detecta a ocorrência e habilita uma porta para o
suplicante. Entretanto, excluindo o trafego definido pelo 802.1X,
todos os outros estão bloqueados.
– O autenticador requer a identificação do suplicante.
– O suplicante responde com a identificação que é imediatamente
repassada para o servidor de autenticação.
– O servidor autentica a identidade do suplicante e envia uma
mensagem do tipo ACCEPT para o autenticador. O autenticador
muda o estado da porta para autorizado.
– O suplicante requisita a identificação do servidor. O servidor
atende.
– O suplicante valida a identificação do servidor e todo trafego é
liberado.
Defesas
WPA – EAP
Defesas
WPA – EAP
• EAP – LEAP  usuário e senha / Cisco Systems
• EAP – TLS (RFC2716)  utiliza certificados digitais X.509
• EAP – TTLS  like EAP – TLS; suplicate utiliza senha
para se autenticar / Funk Software
• EAP – PEAP  evolução do EAP
• Pre – Shared Key  like WEP; manter compatibilidade
Defesas
WPA – TKIP Temporal Key Integrity Protocol
• Chave Compartilhada de 128 bits
• Um IV de 48 bits
• MAC Address
• Mantém o RC4  Compatibilidade
• Trocas de chave a cada 10.000 pacotes
Defesas
WPA – Michael Message Integrity Check
• Substitui o CRC
• MIC (Message) - Redundância de 64 bits calculada com o
algoritmo “Michel”
• Verifica erros na transmissão
• Detecta manipulação deliberada
Defesas
WPA – Conclusão
• Resolve diversos problemas conhecidos do WEP:
– Autenticação Mútua
– TKIP
– Michael Message Integrity Check
• Entretando, WPA ainda não é a solução definitiva:
– Criptografia Fraca
– WPA2  substituição do RC4 pelo AES.
– Queda de Performance
Defesas
802.11i
• Resolve problemas conhecidos do WPA:
–
–
–
–
Novo Padrão IEEE – Draft 3
Poucos hardwares compatíveis
Autenticação Mútua – EAP
Mantém TKIP  Compatibilidade
– Introduz o CCMP (Counter Mode with Cipher Block Chaning
Message Authentication Code Protocol)  AES
– Necessidade de uso de co-processadores criptográficos devido a
utilização do algoritmo AES.
– Novos Protocolos
• RSN (Substituo padronizado do WEP) – Robust Security Network
(EAP, CCMP, Michael)
• WRAP – Wireless Robust Authentication Protocol
– Suporta Roaming
Defesas
Procedimentos
Defesas
Procedimentos
•
•
•
•
•
•
•
Segmentação e contenção usando firewalls
Configuração minuciosa dos Aps
Blindagem e firewalling dos clientes
Monitoração
VPNs (Redes Virtuais Privadas)
Blindagem do Aps
Controle o serviço IP
Defesas
Firewalls
• Elimina o bridging
– Contém os broadcasts
– Só permite tráfego IP
• Objetivo primário
– Defender a rede cabeada “Infrastructure Network”
• Firewalling avançado
– Controle de banda/QoS
– Autenticação dinâmica
– Bridge firewalling
Defesas
Configuração minuciosa dos APs
• Permite gerenciamento e oferecimento de
serviços mais granular
– Firewalling, DHCP, VPN, etc.
• OpenBSD e Linuxes fazem bons APs
• Possivelmente não provê alguns recursos
avançados de alguns APs
– Roaming, etc.
Defesas
“Blindagem” das estações
• Firewalls em cada nó móvel
• Objetivo primário
– Defender os nós móveis uns dos outros
• Trabalhoso de manter
– Requer procedimentos operacionais rígidos e sempre
atualizados.
Defesas
Monitoração: ARP Watch
• Sniffer especializado em pacotes ARP
– Reporta mudanças nos MACs <-> IPs via e-mail adm.
Defesas
VPN – Vitual Private Network
• Encapsulamento IP-IP com criptografia
– IPSec em modo túnel:
• IPSec nativo no OpenBSD, Free S/WAN no Linux
– Outras soluções de VPN: PPTP, vtun em vários Unixes, L2TP
– Integração com o firewall no cliente e/ou desktop policies
– Requerem infra-estruturas de gerenciamento de chaves
• Requer Certificados digitais, shared secrets, etc.
– Potencialmente introduz criptografia forte nas camadas IP e acima
• Não protege ARP e outros protocolos layer 2
– Alguns probleminhas sempre aparecem
• Timeout na primeira conexão por causa de negociação de
chaves
Defesas
Blindagens de APs
• Troque todas as configurações de fábrica e mantenhanas
• assim
– Troque as senhas padrão e os nomes das comunidades SNMP
• De preferência, troque-as frequentemente
• Se você não usa SNMP, desabilite-o
– Mude os SSIDs
– Mude o canal padrão
• Controle a função de reset do AP
– Evitar volta às configurações padrão de fábrica
Defesas
Blindagens de APs
• Procure usar as versões do firmware mais recentes
– Mas no modelo de código fechado, não há garantias de que não
haja backdoors
• Use criptografia WEP
– Ela não resolve, mas dificulta, ainda que por poucas horas
• Use MAC-filtering/ACLs onde apropriado
– Também não resolve, mas ajuda
– Pode se tornar um fardo maior que um benefício se as ACLs
ficarem grande
• Gerencie
– Reinventarie e audite a base instalada regularmente
Defesas
Controle o serviço IP
• DHCP
– Restrito por MAC: mesmo overhead de gerenciamento por não
escalar para um grande número de estações
– DHCP Honeypots/Visitor service: serviço diferenciado para
“visitantes” e “internos”
• “Se não pode vencê-los, junte-se a eles”... ou melhor,
deixe que se juntem a você, mas de forma limitada e
controlada
• Monitoraçao/QoS diferenciado imposto para os visitantes
• Arpwatches em todo lugar
• Links redundantes e roteamento dinâmico
– Resistência a ataques a quedas naturais e ataques de negação de
serviço
Conclusão
Redes 802.11
• A tecnologia 802.11 é prática, cômoda, “cool”, mas seus
recursos de segurançã são mal projetados em vários
aspectos, expondo inaceitavelmente o trafego.
• Como sempre, sobra para o administrador de rede
combinar múltiplas tecnologias para prover segurança em
profundidade
– Segurança não é plug-and-play
– Intelectualmente oneroso
– Fatores culturais e a atitude de segurança
• • Há várias tecnologias e estratégias bem estabelecidas
que podem ser aplicadas para mitigar as vulnerabilidades
introduzidas pelas redes wireless
Conclusão
Redes 802.11
• O WPA é melhor que WEP mas ainda usa o RC4
• O 802.11i é um padrão que surge como solução,
mas demanda desenvolvimento de novos
hardwares
• Enquanto aguardamos, devemos desenvolver
soluções compostas:
– WEP com trocas de chaves, se possível
– VPN
– Monitoração (ARP Watch)
Fim
Roberto Miyano Neto
[email protected]
Obrigado!