Sei sulla pagina 1di 6

1 Introduo

A comunicao de dados por redes sem fio (Wireless Local Area Network - WLAN - Padro IEEE 802.11b) experimenta uma rpida expanso tecnolgica, proporcionando novas solues para serem implementadas em ambientes empresariais, governamentais e residenciais. Vrios fatores contriburam para que as WLAN se tornassem uma promessa de evoluo das redes fixas cabeadas (LAN Local Area Network), no substituindo-as, mas agregando funcionalidades antes no alcanadas. Estas novas funcionalidades esto, principalmente, relacionadas
PUC-Rio - Certificao Digital N 0210420/CA

mobilidade do terminal. Trazem tambm vantagens como, por exemplo: menor tempo de instalao; significativa reduo nos custos com infra-estrutura; implantao de redes temporrias; maior robustez (reas sujeitas intempries e a desastres); implantao em locais de difcil cabeamento (prdios histricos); e implantao de redes de computadores em locais onde no h viabilidade tcnicofinanceira para construo de redes cabeadas. No entanto, possui as desvantagens e dificuldades inerentes a uma comunicao rdio: interferncias por equipamentos de terceiros e por equipamentos operando na mesma faixa de freqncia; efeitos de multipercursos causados pelos fenmenos de reflexo, difrao e espalhamento; perdas decorrentes da distncia da estao mvel ao access point; largura de banda varivel e difcil de se prever a priori; alta taxa de erro; elevado atraso e variao no atraso; baixa qualidade de servio (QoS); restries no uso de freqncias (regulamentao governamental); e processamento limitado devido ao consumo de energia e interoperabilidade de sistemas (solues proprietrias).

16

1.1 Motivao

Enquanto o uso das WLAN cresce em ritmo acelerado, inmeros problemas relacionados tecnologia de segurana, definida no IEEE 802.11b, tm sido abordados em publicaes tcnicas, apontando as deficincias e as vulnerabilidades, atravs dos quais indivduos no autorizados podem ter acesso s informaes disponibilizadas pela rede de maneira relativamente fcil e rpida. O Padro IEEE 802.11b possui mecanismos bsicos para aumentar a segurana da rede, includos na prpria especificao, que devem ser implementados pelo Administrador de Rede assim que o equipamento ativado. Estes mecanismos, apesar de fracos, possibilitam o primeiro nvel de segurana e no devem ser desconsiderados. O Padro IEEE 802.11b possui um procedimento de segurana
PUC-Rio - Certificao Digital N 0210420/CA

denominado WEP (Wired Equivalent Privacy) que, utilizando uma chave secreta compartilhada com as partes envolvidas na comunicao, tem a inteno de cumprir as seguintes metas de segurana: a) Autenticao (Controle de Acesso): deve garantir que apenas pessoas autorizadas tenham acesso rede; b) Criptografia (Confidencialidade): deve evitar que elementos estranhos tomem conhecimento do contedo das mensagens transmitidas atravs da rede; c) Integridade dos Dados: deve garantir que o contedo da mensagem no seja modificado. Ou seja, deve garantir que os dados indevidos no sejam inseridos e removidos durante a transmisso. Em todas as trs metas, a segurana da rede se sustenta na dificuldade em se obter a chave secreta. O Padro IEEE 802.11b no especifica como deve ser realizada a distribuio das chaves secretas. A distribuio feita manualmente pelo Administrador da Rede. Dependendo da dimenso da rede e do nmero de usurios, fica bastante complexa a atualizao da chave periodicamente, sendo possvel, para usurios malintencionados, utilizar as falhas de criptografia do WEP para realizar ataques de fora bruta, descobrir a chave de criptografia e acessar dados potencialmente confidenciais.

17

A soluo objetiva conjugar a operao dos mecanismos internos do Padro IEEE 802.11b com uma autenticao externa, utilizando o Padro IEEE 802.1x. Nesta situao, o access point (AP) passa a ser um repassador de pacotes de autenticao, j que toda a base de dados controlada por um elemento autenticador externo rede sem fio, normalmente um servidor RADIUS (Romote Authentication Dial-In User Service), possibilitando: a) Autenticao mtua do cliente e do servidor RADIUS; b) O controle de acesso para permitir o acesso rede para clientes autorizados e neglo a clientes no autorizados; c) A criptografia de alta segurana do trfego da rede sem fio; d) Gerenciamento das chaves de criptografia, com a gerao e distribuio de forma confivel e segura. A criptografia segura dos dados no canal sem fio passa a ser realizada pelo WEP a partir da chave de sesso gerada na autenticao. Portanto, a
PUC-Rio - Certificao Digital N 0210420/CA

estratgia bsica para reduzir as ameaas chave de criptografia garantir que as chaves de sesso sejam atualizadas periodicamente, e o tempo para uma nova autenticao seja inferior ao tempo necessrio para capturar o trfego e executar as operaes de fora bruta. O Padro IEEE 802.1x define diferentes mecanismos de transporte seguro das credenciais dos usurios at o servidor de autenticao. O 802.1x utiliza o protocolo EAP (Extensible Authentication Protocol) para efetuar a autenticao atravs de mtodos com base em senhas, certificados de chaves pblicas (PKI Public Key Infrastructure), Smart Card, Token Cards, etc. Os mecanismos de autenticao mais comuns oferecidos pelas camadas superiores so o EAP-TLS, EAP-TTLS, PEAP e LEAP. O mecanismo EAPTLS usa o protocolo TLS (Transport Layer Security) para autenticar mutuamente a estao e o servidor RADIUS, usando mtodos de criptografia de alta segurana e gerando uma chave secreta a cada vez que a estao se associar ao AP. O EAP-TLS um dos mtodos mais seguros, porm sua potencialidade tem um alto custo no que se refere necessidade da empresa/instituio que implement-lo possuir certificado emitido por Autoridade Certificadora para o cliente e para o servidor. O mecanismo PEAP (Protected Extensible Authentication Protocol), desenvolvido pela Microsoft, Cisco Systems e RSA Security, oferece autenticao

18

baseada em senha e exige que o servidor de autenticao possua um certificado digital, porm no exige certificado no cliente. O mtodo mais comum transportado pelo PEAP o MS-CHAPv2, dentro de um canal protegido pelo protocolo TLS. A autenticao por senha uma boa soluo para as pequenas/mdias empresas que atualmente no tm uma infraestrutura de certificado e no precisam de certificados para outras finalidades. O mecanismo EAP-TTLS (Tunnuled Transport Layer Security), similar ao PEAP, permite a utilizao de diversos tipos de mtodos de autenticao, tais como: EAP-MD5, PAP, CHAP, MS-CHAP e MS-CHAPv2. Pelo fato do EAPTTLS no ser suportado pelo Windows, h necessidade de instalao de um Cliente de Autenticao (por exemplo: SECURE W2 Client, Meetinghouse AEGIS Client ou Funk Odyssey). O LEAP (Lightweight Extensible Authentication Protocol), com autenticao baseada em senha, foi desenvolvido pela Cisco Systems e foi um dos
PUC-Rio - Certificao Digital N 0210420/CA

primeiros mecanismos de autenticao disponvel para redes sem fio.

1.2 Objetivo

A adoo de um mecanismo de segurana gera uma sobrecarga de pacotes, devido insero de trfego extra para autenticao dos usurios e criptografia das mensagens, podendo ocasionar comprometimento na performance da rede. Quanto mais forte o procedimento de segurana, maior o custo de desempenho. Ou seja, quanto maior o processamento computacional do mecanismo de segurana adotado, maior o impacto no trfego de dados. Esta preocupao discutida em algumas publicaes acadmicas. Os resultados apresentados mostram que esta sobrecarga considervel, dependente do mecanismo adotado e deve ser levada em conta na deciso de qual modelo a ser implementado, tendo em vista que a mesma pode degradar o desempenho da rede. Porm, os resultados os quais, em sua essncia, mostram que a implementao de um modelo mais eficiente de segurana para as redes IEEE 802.11b pode inviabilizar a sua operao, precisam ser complementados e atualizados.

19

O objetivo deste trabalho avaliar qual a efetiva degradao no desempenho (performance) das redes IEEE 802.11b, devido implementao de mecanismos de segurana, sejam eles intrnsecos ao Padro ou combinados com o Padro IEEE 802.1x, utilizando os protocolos de aplicao FTP (File Transfer Protocol) e HTTP (Hipertext Transfer Protocol). Para anlise do desempenho ser realizada a simulao de uma WLAN com um cliente e um access point e, com os resultados obtidos, avaliar: a) Como os diferentes mecanismos de segurana influenciam o desempenho da rede; b) Como varia o desempenho nos diferentes tipos de trfego; c) O impacto da autenticao de um usurio em cada mecanismo utilizando Padro IEEE 802.1x. Para complementar o trabalho, ser realizada tambm uma simulao com:
PUC-Rio - Certificao Digital N 0210420/CA

a) 02 usurios, em duas situaes distintas: ambos configurados para transmitir a 11Mbps, e com um configurado a 11Mbps e outro a 1Mbps. Esta segunda situao representa com mais fidelidade o uso prticos das WLAN, pois as redes IEEE 802.11b tm sua aplicao mais difundida em ambientes fechados (indoor). Por esse motivo, o comportamento do canal rdio pode ser fortemente influenciado por interferncias de equipamentos de terceiros, equipamentos operando na mesma faixa de freqncia, perdas de penetrao em paredes e pisos, e efeitos de multipercursos causados pelos fenmenos de reflexo, difrao e espalhamento; b) 03 usurios configurados para transmitir 11Mbps e sem mecanismo de segurana implementado; c) 04 usurios configurados para transmitir 11Mbps e sem mecanismo de segurana implementado.

20

1.3 Composio da Dissertao

O captulo 2 descreve o Padro IEEE 802.11b, em especial as caractersticas envolvidas nas camadas fsica e de enlace. O captulo 3 explora os aspectos referentes segurana do Padro IEEE 802.11b, e as fragilidades e vulnerabilidades do WEP. Neste mesmo captulo apresentado o Padro IEEE 802.1x e o princpio de funcionamento dos mecanismos de autenticao externa. O captulo 4 descreve a metodologia e o ambiente experimental utilizado na simulao. O captulo 5 contm a avaliao e anlise dos resultados obtidos. Por fim, o captulo 6 apresenta as concluses e sugestes para trabalhos futuros.
PUC-Rio - Certificao Digital N 0210420/CA

O Apndice A contm as planilhas com os valores obtidos nos experimentos.