q
Depende de uma ICP bem implantada.
1 Recomendável para distribuição e gerenciamento adequados de chaves. 1 Smart cards tornam autenticação mais fácil para usuários.
Divulgação de identidade nos certificados.
1 Certificados de Cliente e Servidor são transmitidos em texto claro.
1 Informações divulgadas sobre dispositivos, organização e sobre os próprios certificados. 1 Possibilidade de ataques de engenharia social.
Ter uma ICP bem implantada é condição básica para uma implantação bem-sucedida desse tipo de EAP. Armazenar os certificados na forma de smart cards pode ser uma opção inte- ressante para tornar o uso de certificados mais simples para o usuário final. Essa tecnologia também diminui o risco de acesso indevido à rede, no caso de o atacante ter acesso a um cliente com certificado instalado. A necessidade de uma ICP não é exatamente uma desvan-
tu lo 1 0 - I m pl an ta nd o u m a W LA N s eg ur a ( pa rt e 2 )
Esse esquema de segurança, entretanto, tem uma vulnerabilidade: divulgação de infor- mações. Tanto o certificado do cliente quanto do servidor são enviados em texto claro, divulgando informações sobre os certificados. A posse dessas informações não é útil para um ataque à integridade das conexões, mas pode ajudar na coleta de informações que precedem um ataque de engenharia social. A transmissão de certificados em claro pela rede, embora pareça uma falha de segurança, é prática comum em protocolos de segurança consagrados, como SSL ou o próprio TLS.
Na prática, não implantaremos uma ICP, uma vez que isso está fora do escopo do curso. Para demonstrar um cenário com WPA2 e EAP-TLS, serão gerados manualmente um par de certificados para o cliente e outro para o servidor, sem a presença de uma infraestrutura de distribuição de chaves conforme tipicamente encontrada em uma ICP.
Conclusão
q
WPA2 Enterprise com EAP-TLS.
1 Ainda é o mecanismo EAP mais seguro. 1 Pode ser associado a smart cards. 1 Controle do acesso à rede sem fio. 1 Tráfego cifrado entre cliente e AP.
2 Entre AP e rede de distribuição, depende da aplicação. Segurança tradicional nos clientes deve receber atenção.
1 Personal firewall, Antivírus, Anti-spyware e aplicação de correções de segurança. WPA2, por si só, ainda é um bom mecanismo de segurança, mesmo usado numa configu- ração com chave compartilhada (WPA2-PSK). Embora esse nível de segurança seja suficiente para empresas no que diz respeito à integridade e confidencialidade dos dados trafegados, a autenticação se torna mais consistente quando WPA2 Enterprise é implementada em sua totalidade, com o uso de 802.1x e de uma arquitetura de autenticação.
É bom lembrar que, uma vez conectado à rede, o cliente está sujeito aos mesmos problemas de segurança de estações da rede cabeada: worms, exploração de vulnerabilidades e spywares, entre outras ameaças existentes. É importante manter o sistema atualizado com as últimas versões e protegido com antivírus e anti-spyware atualizados, além de um firewall pessoal bem configurado.
Outra questão que deve ser considerada é que um AP com WPA2 e EAP-TLS implementados oferece tráfego cifrado apenas entre cliente e AP, ou seja, na rede cabeada (rede de distri- buição) o tráfego pode ser observado. Para garantir tráfego cifrado até o destino, é possível usar um proxy com HTTPS ou um proxy sobre uma VPN (Virtual Private Network).
Seu cliente pode estar seguro dentro do domínio da sua rede sem fio, mas não usando outras redes. Um exemplo de cenário possível seria aquele de um cliente conectado a um hotspot (Vex, T-Mobile etc.), que não implementa isolamento de tráfego entre os clientes, permitindo a propagação de worms e a exploração de vulnerabilidades por parte de outros clientes.
Saiba mais: “Best EAP for an enterprise wireless LAN” e “Guidelines for Securing Wireless Local Area Networks (WLANs)” do National Institute of Standards and technology (NIST).
nç a e m R ed es s em F io
Cenário atual
q
1 Segurança no AP hoje é possível. 1 Novo alvo está nos clientes.
1 Ferramentas que se passam pela rede à qual o cliente quer se conectar, seja ela qual for: 2 Ferramenta KARMA, de Dino Dai Zovi.
2 802.11 Protocol Fuzzing.
3 Exploração de vulnerabilidades nos drivers das interfaces 802.11 – Black Hat 2006/DEFCON 14.
3 Firewall pessoal é irrelevante.
3 A atualização dos drivers da interface Wi-Fi é fundamental.
Do ponto de vista do AP, é possível dizer que as redes sem fio estão muito seguras. O novo alvo de ataques está em dispositivos Bluetooth (802.15.1) e em clientes Wi-Fi.
Ferramentas como KARMA – disponível para Linux e compatível com interfaces de rede Atheros e driver MadWifi – permitem a simulação de qualquer rede com a qual um cliente queira se conectar. Dessa forma, se um cliente tenta se conectar a um AP com SSID “ESR”, KARMA simula uma rede com as mesmas características para levar o cliente a se conectar ao atacante. Uma vez conectado, o cliente pode fornecer dados interessantes para o atacante, como credenciais do servidor de e-mail IMAP/SMTP/POP, Instant Messaging (ICQ, Skype) ou serviços normalmente configurados para login automático por grande parte dos usuários. Outra oportunidade criada por um ataque desse tipo é a exploração de vulnerabilidades não corrigidas no cliente.
Outro tipo de ataque que tem sido motivo de muita preocupação é o ataque ao driver da interface Wi-Fi. Isso é possível com uma técnica chamada fuzzing de protocolo que consiste em testar a interface com parâmetros não previstos pelo padrão IEEE 802.11. Campos do quadro de gerenciamento com mais conteúdo do que a especificação determina, entre outros casos de teste, podem causar buffer overflow, entre outros efeitos na interface Wi-Fi. Os pesquisadores Jon “Johnny Cache” Ellch e Dave Maynor divulgaram, superficialmente, nas conferências hacker Black Hat 2006 e DEFCON 14, parte de vulnerabilidades que afetam drivers de interfaces Wi-Fi em notebooks Apple. A demonstração da vulnerabilidade mostrava o pesquisador obtendo shell root remoto no cliente atacado no nível do driver; a presença de um firewall pessoal, nesse caso, demonstrou ser irrelevante.
Os administradores de rede podem tirar algumas conclusões importantes: rede sem fio segura envolve também clientes com dispositivos tradicionais de segurança de rede e com drivers dos dispositivos atualizados.
tu lo 1 0 - R ot ei ro d e A tiv id ad es