Redes sem fio CCNA Exploration 3

Ameaas para a segurana sem fio Acesso no autorizado Segurana deve ser uma prioridade para qualquer um que usa ou administra redes. Se j difcil manter a segurana de uma rede cabeada, ainda mais difcil no caso de uma rede sem fio. Uma WLAN est aberta a qualquer um no intervalo de um ponto de acesso e das credenciais apropriadas para associao a ele. Com uma placa de rede sem fio e o conhecimento de tcnicas de cracking, um invasor pode no precisar entrar no local de trabalho fisicamente para obter acesso a uma WLAN. No primeiro tpico desta seo, mostramos como as ameaas para a segurana sem fio tm aumentado. As preocupaes com a segurana ainda mais sria quando se trata de redes de negcios porque a subsistncia dos negcios depende da proteo de suas informaes. Para os negcios, falhas na segurana podem trazer consequncias desastrosas, principalmente se estiverem envolvidas informaes financeiras relacionadas a clientes. H trs categorias principais de ameaas que levam ao acesso no autorizado: War drivers Hackers (crackers) Funcionrios

War driving" originalmente se referia ao uso de um dispositivo de varredura para localizar nmeros de telefones celulares e explor-los. Atualmente, war driving tambm se refere ao ato de dirigir por um bairro com um laptop e uma placa de cliente 802.11b/g procurando um sistema 802.11b/g desprotegido e explor-lo. No incio, hacker era todo aquele que se aprofundava em sistemas de computadores para entender, e talvez explorar, por questes criativas, a estrutura e a complexidade de um sistema. Hoje, ambos hacker e cracker so intrusos mal-intencionados que entram em sistemas como criminosos e roubam dados ou danificam esses sistemas deliberadamente. Hackers tm a inteno de prejudicar e explorar medidas de segurana frgeis. A maioria dos dispositivos sem fio vendidos atualmente j vm prontos para WLANs. Em outras palavras, os dispositivos tm configuraes padro e podem ser instalados e utilizados com pouca ou nenhuma configurao feita pelos usurios. Na maioria das vezes, usurios finais no alteram configuraes padro, deixando a autenticao de cliente aberta, ou implementam apenas a segurana WEP padro.

Infelizmente, como j foi dito, chaves WEP compartilhadas tm falhas e consequentemente so fceis de atacar.

Ferramentas com um propsito legtimo, como detectores sem fio, permitem que engenheiros de rede capturem pacotes de dados para depurao de sistema. Essas mesmas ferramentas podem ser usadas por intrusos para explorar falhas na segurana. Pontos de acesso invasores Um ponto de acesso invasor um ponto de acesso colocado em uma WLAN para interferir na operao normal da rede. Se um ponto de acesso invasor configurado com as configuraes de segurana corretas, dados de clientes podem ser capturados. Um ponto de acesso invasor tambm pode ser configurado para passar informaes como os endereos MAC de clientes (tanto sem-fio quanto cabeados) para usurios no autorizados, capturar e mascarar pacotes de dados ou, na pior das hipteses, obter acesso a servidores e arquivos. Exemplos simples e comuns de pontos de acesso invasores so os instalados por funcionrios sem autorizao. Funcionrios instalam pontos de acesso na rede corporativa para uso domstico. Esses pontos de acesso geralmente no tm a configurao de segurana necessria, assim a rede acaba ficando com uma brecha de segurana.

Ataques de interceptao Um dos ataques mais sofisticados que pode ser realizado por um usurio no autorizado chamado ataque de interceptao ou ataque man-in-the-middle (MITM). Invasores selecionam um host como destino e se posicionam de forma lgica entre o destino e o roteador ou gateway do destino. Em um ambiente de rede local cabeada, o invasor precisa conseguir acessar a rede local fisicamente para inserir de forma lgica um dispositivo na topologia. Com uma WLAN, as ondas de rdio emitidas por pontos de acesso podem fornecer a conexo. Sinais de radiofrequncia de estaes e pontos de acesso podem ser "ouvidos" por qualquer um em um BSS com o equipamento apropriado, como um laptop com uma placa de rede. Pontos de acesso agem como hubs Ethernet, e por isso cada placa de rede em um BSS ouve todo o trfego. O dispositivo descarta qualquer trfego no endereado a ele. Invasores podem modificar a placa de rede de seus laptops com um software especial de forma a aceitar todo o trfego. Com essa modificao, o invasor pode consumar

ataques de interceptao sem fio usando a placa de rede do laptop como um ponto de acesso. Para realizar esse ataque, um hacker seleciona uma estao como destino e usa um software detector de pacotes, como o Wireshark, para observar a estao cliente conectando-se a um ponto de acesso. O hacker pode conseguir ler e copiar o nome do usurio-alvo, o nome do servidor, o endereo IP do cliente e do servidor, a ID usada para computar a resposta, e a resposta de desafio e associao, que transmitida em texto no criptografado entre a estao e o ponto de acesso.

Se um invasor conseguir comprometer um ponto de acesso, o invasor poder prejudicar gravemente todos os usurios no BSS. O invasor pode monitorar um segmento inteiro de redes sem fio e causar danos a quaisquer usurios conectados s redes. Impedir um ataque como o de interceptao depende da sofisticao da infraestrutura da WLAN e do monitoramento das atividade na rede. O processo comea com a identificao de dispositivos legtimos em sua WLAN. Para isso, voc deve autenticar os usurios em sua WLAN. Quando todos os usurios legtimos se tornam conhecidos, voc monitora a rede para detectar dispositivos e trfego que no devem estar nela. WLANs empresariais que utilizam dispositivos de WLAN de ltima gerao fornecem aos administradores ferramentas que funcionam juntas como um sistema de preveno contra invases sem fio (IPS). Essas ferramentas incluem scanners que identificam pontos de acesso invasores e redes ad hoc e gerenciamento de recursos de rdio (RRM) que monitora a faixa de RF para atividade e carga de ponto de acesso. Um ponto de acesso mais ocupado que o normal alerta o administrador de possvel trfego sem autorizao.

Negao de servio WLANs 802.11b e g usam a faixa de ISM de 2,4 GHz no licenciada. Essa a mesma faixa usada pela maioria dos produtos sem fio de consumidor, inclusive babs eletrnicas, telefones sem fio e fornos micro-ondas. Com esses dispositivos lotando a faixa de RF, invasores podem criar rudo em todos os canais na faixa com dispositivos geralmente disponveis.

Anteriormente, mostramos como um invasor pode transformar uma placa de rede em um ponto de acesso. Esse truque tambm pode ser usado para criar um ataque DoS. O invasor, usando um PC como um ponto de acesso, pode inundar o BSS com mensagens clear-to-send (CTS), que atrapalha a funo CSMA/CA usada pelas estaes. Os pontos de acesso, por sua vez, inundam o BSS com trfego simultneo, causando um fluxo constante de colises.

Outro ataque DoS que pode ser iniciado em um BSS o envio, pelo invasor, de uma srie de comandos de desassociao que fazem todas as estaes no BSS se desconectarem. Quando as estaes so desconectadas, elas imediatamente tentam se reassociar, e isso cria um estouro no trfego. O invasor envia outro comando de desassociao, e o ciclo se repete.

Protocolos de Segurana sem Fio. Viso geral do protocolo de rede sem fio Dois tipos de autenticao foram introduzidos com o padro 802.11 original: autenticao de chave WEP aberta e compartilhada. Enquanto a autenticao aberta realmente no " nenhuma autenticao", (um cliente solicita autenticao e o ponto de acesso o concede) a autenticao WEP foi criada para proporcionar privacidade a um link, fazendo-o ser como um cabo que conecta um PC a uma tomada Ethernet. Como foi mencionado anteriormente, as chaves WEP compartilhadas apresentaram falhas, e algo melhor era necessrio. A primeira coisa feita pelas empresas para combater a fragilidade das chaves WEP compartilhadas foi tentar tcnicas como disfarar SSIDs e filtrar endereos MAC. Essas tcnicas tambm eram muito frgeis. Mais adiante, voc saber mais sobre isso. As falhas com a criptografia das chaves WEP compartilhadas foram duas. Primeiro, o algoritmo usado para criptografar os dados era descoberto facilmente. Segundo, a escalabilidade era um problema. As chaves As chaves WEP de 32 bits foram gerenciadas manualmente, sendo acessadas manualmente pelos usurios, de maneira frequentemente incorreta, criando chamadas aos servios de suporte tcnico. Aps as falhas na segurana baseada em WEP, houve um perodo intermedirio de medidas de segurana. Fornecedores como a Cisco, desejando atender a demanda por maior segurana, desenvolveu seus prprios sistemas ao mesmo tempo em que ajudava a aprimorar o padro 802.11i. Enquanto isso, o algoritmo de criptografia TKIP foi criado e vinculado ao mtodo de segurana Wi-Fi Alliance WiFi Protected Access (WPA). Atualmente, o padro que deve ser seguido na maioria das redes empresariais o 802.11i. Ele como o padro Wi-Fi Alliance WPA2. Para empresas, o WPA2 inclui uma conexo com um banco de dados Remote Authentication Dial In User Service (RADIUS).

Autenticao rede local sem fio Em uma rede aberta, como uma rede domstica, a associao pode ser o necessrio para conceder a um cliente acesso a dispositivos e servios na WLAN. Em redes com requisitos de segurana mais rgidos, uma autenticao adicional ou um login exigido para conceder tal acesso a clientes. O processo de login gerenciado pelo Extensible Authentication Protocol (EAP). O EAP uma estrutura para autenticar o acesso de rede. O IEEE desenvolveu o padro 802.11i para autenticao de WLAN e autorizao para usar o IEEE 802.1x.

O processo de autenticao de WLAN empresarial resumido a seguir: O processo de associao 802.11 cria uma porta virtual para cada cliente de WLAN no ponto de acesso. O ponto de acesso bloqueia todas as estruturas de dados, com exceo do trfego baseado em 802.1x. Os quadros 802.1x levam os pacotes de autenticao EAP pelo ponto de acesso para um servidor que mantm credenciais de autenticao. Trata-se de um servidor de autenticao, autorizao e contabilidade (AAA) que executa um protocolo RADIUS. Se a autenticao EAP obtm xito, o servidor de AAA envia uma mensagem EAP de xito ao ponto de acesso, que ento permite que o trfego de dados do cliente de WLAN passe pela porta virtual. Antes de abrir a porta virtual, estabelecida uma criptografia de enlace entre o cliente de WLAN e o ponto de acesso para assegurar que nenhum outro cliente de WLAN possa acessar a porta estabelecida para um determinado cliente autenticado.

Antes de o 802.11i (WPA2) ou mesmo o WPA serem utilizados, algumas empresas tentavam proteger suas WLANs atravs da filtragem de endereos MAC e da no transmisso de SSIDs. Nos dias atuais, fcil usar um software para modificar endereos MAC anexados a adaptadores para enganar facilmente a filtragem de endereos MAC. No quer dizer que voc no deva fazer isto, mas se voc estiver usando este mtodo, ser melhor utilizar segurana adicional, como o WPA2. Mesmo que um SSID no seja transmitido por um ponto de acesso, o trfego que passa de um lado para outro entre o cliente e o ponto de acesso acaba revelando o SSID. Se um invasor est monitorando a faixa de RF passivamente, o SSID pode ser detectado em uma dessas transaes porque enviado em texto no criptografado. A facilidade para descobrir SSIDs levou algumas pessoas a deixar a transmisso de SSIDs ativada. Nesse caso, isso provavelmente deve ser uma deciso organizacional registrada na poltica de segurana. A idia que voc pode proteger sua WLAN apenas com a filtragem de MAC e desativao das transmisses de SSIDs pode tornar uma WLAN completamente desprotegida. A melhor maneira de certificar-se de que os usurios finais supostamente estejam na WLAN usar um mtodo de segurana que incorpore controle de acesso rede baseado em porta, como o WPA2.

Criptografia Dois mecanismos de criptografia de nvel empresarial especificados pelo 802.11i so certificados como WPA e WPA2 pela Wi-Fi Alliance: o Temporal Key Integrity Protocol (TKIP) e a criptografia (AES). TKIP o mtodo de criptografia certificado como WPA. Ele d suporte para equipamentos de WLAN herdados direcionando-se s falhas originais associadas com o mtodo de criptografia 802.11 WEP. Usa o algoritmo de criptografia original usado pelo WEP. O TKIP tem duas funes principais: Criptografa o payload da Camada 2 Executa uma verificao de integridade da mensagem (MIC) no pacote criptografado. Isso ajuda a impedir a adulterao de uma mensagem.

Embora o TKIP lide com todas as falhas de WEP conhecidas, a criptografia AES de WPA2 o mtodo preferido, porque alinha os padres de criptografia de WLAN com prticas recomendadas e padres mais amplos da indstria de TI, notavelmente o IEEE 802.11i. O AES tem as mesmas funes do TKIP, mas usa dados adicionais do cabealho de MAC que permitem que hosts de destino verifiquem se os bits no criptografados foram adulterados. Alm disso, ele adiciona um nmero de sequncia ao cabealho dos dados criptografados. Quando voc configura pontos de acesso Linksys ou roteadores sem fio, como o WRT300N, talvez voc no veja WPA ou WPA2. Em vez disso, talvez voc veja referncias a algo chamado chave pr-compartilhada (PSK). Veja a seguir alguns tipos de PSK: PSK ou PSK2 com TKIP o mesmo que WPA PSK ou PSK2 com AES o mesmo que WPA2 PSK2, sem um mtodo de criptografia especificado, o mesmo que WPA2

Segurana sem Fio. Controle de acesso rede local sem fio O conceito de profundidade significa ter vrias solues disponveis. como ter um sistema de segurana em casa e ainda bloqueando todas as portas e janelas, e ainda pedir aos vizinhos para tomar conta dele para voc. Os mtodos de segurana apresentados, principalmente o WPA2, so como um sistema de segurana. Se voc deseja segurana adicional para o acesso sua WLAN, voc pode adicionar profundidade, como mostra a figura, implementando esta abordagem de trs passos: Disfarce de SSID - Desabilite transmisses de SSID de pontos de acesso. Filtragem de endereos MAC Tabelas so construdas manualmente no ponto de acesso para permitir ou no clientes baseados em seu endereo de hardware fsico. Implementao de segurana de WLAN - WPA ou WPA2.

Uma considerao adicional para um administrador de rede cuidadoso configurar pontos de acesso localizados prximos a paredes externas de edifcios para transmitir em uma opo de alimentao mais baixa que outros pontos de acesso mais prximos ao centro do edifcio. Isso simplesmente reduzir a assinatura de RF no lado de fora do prdio, onde qualquer pessoa executando uma aplicao como Netstumbler (http://www.netstumbler.com), Wireshark ou at mesmo o Windows XP pode mapear WLANs.

Nem o disfarce de SSID nem a filtragem de endereos MAC so considerados meios vlidos para proteger uma WLAN pelas seguintes razes:

Endereos MAC so facilmente driblados. SSIDs so facilmente descobertos mesmo que os pontos de acesso no os transmitam.

Material extrado do CCNA Exploration 3 Versao 4.0 captulo 7