WPA Enterprise na prática: Eduroam

q

1 Serviço gratuito de roaming internacional para usuários de instituições de ensino e pesquisa.

2 Professores, alunos, pesquisadores...

1 Usuário em visita a outra instituição se autentica usando suas credenciais da insti- tuição de origem.

1 Cada instituição possui seu servidor RADIUS local e seus APs utilizam WPA Enterprise. 1 Servidores RADIUS se conectam utilizando uma hierarquia de três níveis.

2 Servidores locais.

2 Servidores de federação (nacionais). 2 Servidores de confederação (internacionais). 1 Servidor RADIUS local identifi ca usuário em roaming.

2 Delega autenticação ao servidor da instituição de origem.

Talvez o mais interessante exemplo de utilização real da vertente Enterprise do WPA seja o Eduroam: um serviço gratuito de roaming internacional para usuários de instituições de ensino e pesquisa. Através do Eduroam, alunos, professores e pesquisadores têm acesso seguro à rede quando visitam outras instituições pelo mundo. Para se autenticar em uma rede, o usuário utiliza suas credenciais na instituição de origem.

Os pontos de acesso das redes das instituições que participam do Eduroam utilizam o IEEE 802.1X para realizar a autenticação junto a um servidor RADIUS local. Note, no entanto, que o objetivo do Eduroam é mais ambicioso: usuários de outras instituições, que não necessariamente possuem credenciais no servidor RADIUS local, devem também ser capazes de se autenticar. Para isso, o Eduroam utiliza um esquema hierárquico, ilustrado na fi gura 6.3, no qual os servidores RADIUS locais das instituições se conectam a servidores nacionais (nível de fede- ração), que, por sua vez, se conectam a servidores regionais (nível de confederação), interco- nectados entre si. Essa topologia de interconexão hierárquica entre os vários servidores de autenticação permite que um dado servidor local saiba acessar um servidor local de outra instituição e, assim, delegue a tarefa de autenticação de um usuário em roaming.

Mais especifi camente, considere o exemplo ilustrado na fi gura 6.4. Um usuário de uma instituição inst2, representado na fi gura por um laptop, em visita a outra instituição inst1, tenta se associar a um ponto de acesso. Para isso, o usuário fornece suas credenciais da instituição de origem, já que não possui cadastro na base de usuários de inst2. No Eduroam, as credenciais dos usuários carregam a informação de sua instituição de origem. Por exemplo, o login fornecido pelo usuário na fi gura 6.4 poderia ser algumnome@inst2.edu.br.

Te cn ol og ia s d e R ed es s em F io EDUROAM 3UR[\/$7/5 &/$5$ 3UR[\V(7/5 *($17

X΍EU XIUMEU XIPVEU XIVFEU XQLFDPSEU XIUJVEU

XQLHGXSH LQLFWHOXQLHGXSH SH SH EU QO GN

Ao tentar efetuar a autenticação, o ponto de acesso, confi gurado para utilizar WPA Enterprise, redireciona o processo de autenticação para o servidor RADIUS local. No entanto, como as credenciais fornecidas pelo usuário indicam que ele pertence a outra instituição, o servidor RADIUS local delega a tarefa de autenticação para o servidor RADIUS local da instituição de origem do usuário (nesse caso, inst2). Isso é possível justamente por conta da organização hierárquica dos servidores. Nesse exemplo específi co, ambas as instituições pertencem ao mesmo país (Brasil), fazendo com que a comunicação entre servidores chegue apenas até o nível da federação (em caso de roaming internacional, servidores de confederação também seriam envolvidos).

O servidor local da instituição de origem realiza a autenticação e, se esta for bem-sucedida, o ponto de acesso da instituição visitada libera o acesso ao usuário. Note que, nesse processo, em nenhum momento é criada uma “conta”, permanente ou provisória, para o usuário na instituição visitada. Toda a autenticação é feita apenas com base nas informações da base de usuários da instituição de origem. A fi gura 6.4 mostra ainda outro detalhe da arquitetura Eduroam: as bases de usuários mantidas em cada instituição são armazenadas em servidores LDAP (Lightweight Directory Access Protocol). De fato, embora servidores RADIUS possam utilizar uma base de usuários armazenada em um arquivo simples, é possível também utilizar fontes externas para confi rmar as credenciais dos usuários, como bases de dados SQL, Kerberos, LDAP ou Active Directory, por exemplo. Isso permite que a autenticação via RADIUS utilize uma base de usuários pré-existente ou compartilhada com outros serviços de autenticação.

Figura 6.3 Esquema hierárquico de servidores RADIUS utilizado pelo Eduroam. É utilizada uma hierarquia de três níveis. No nível mais baixo, encontram-se os servidores locais das instituições (como as universidades brasileiras). Um nível acima, chamado de Federação, estão servidores nacionais (servem, por exemplo, países inteiros). Esses servidores, por sua vez, estão subordinados a servidores do nível de confederação, que servem regiões formadas por vários países. Graças a esta hierarquia, todo servidor local pode consultar servidores de outras instituições espalhadas pelo mundo.

Ca pí tu lo 6 - S eg ur an ça Servidor da Federação HGXURDPEU SUR[\5$'Ζ86 LQVWHGXEU 6HUYLGRU5$'Ζ86 LQVWHGXEU 6HUYLGRU5$'Ζ86 LQVWHGXEU 6HUYLGRU/'$3 LQVWHGXEU 6HUYLGRU/'$3 LQVWHGXEU 8VX£ULRHProaming Instituição de Origem Instituição Visitada $3

WPA2

q

1 Resultado da versão fi nal da emenda IEEE 802.11i. 1 Sem preocupação com retrocompatibilidade.

2 Apenas dispositivos fabricados após 2004 o suportam. 1 CCMP.

2 Adota o algoritmo AES, em vez do RC4. 2 Chaves de 256 bits.

1 Confi guração da chave pré-compartilhada mudou.

2 Valor hexadecimal ou cadeia de caracteres, como no WEP. 2 Mas pode ser usada qualquer cadeia de 8 a 63 caracteres.

3 Cadeia é transformada em chave através de resumos criptográfi cos.

Lançado em 2004, o WPA2 é resultado da conclusão do trabalho do TGi. O WPA2 reconstrói o sistema de segurança do Wi-Fi sem nenhuma preocupação com a retrocompatibilidade. Por isso, só é suportado por dispositivos fabricados após 2004.

O coração da nova proposta é o sistema de criptografi a CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code), que substituiu o algoritmo de criptografi a RC4 por outro chamado de AES (Advanced Encryption Standard). Apesar de o AES poder utilizar chaves de qualquer tamanho, o padrão escolheu chaves de 256 bits. Chaves maiores, apesar de mais seguras, inibiriam a exportação de produtos produzidos nos Estados Unidos, já que esse país limita a exportação de equipamentos que utilizem criptografi a considerada demasiadamente forte. Apesar disso, o algoritmo AES, mesmo utilizando chaves de 256 bits, é considerado pelos especialistas como signifi cativamente mais seguro do que o RC4. Assim como o WPA, o WPA2 pode ser usado nas vertentes Personal (com chaves pré-compartilhadas) e Enterprise (utilizando servidor de autenticação RADIUS).

Além das diferenças tecnológicas já explicadas entre o WEP e o WPA (e o WPA2) na sua vertente Personal, uma diferença de ordem prática está na confi guração da chave pré-compartilhada. Como explicado anteriormente, o WEP permitia que a chave fosse especifi cada na forma

Figura 6.4 Exemplo de autenticação de um usuário em uma rede de uma instituição visitada. O ponto de acesso consulta inicialmente o servidor RADIUS local, que identifi ca que as credenciais fornecidas correspondem a outra instituição. Através das informações das credenciais, o servidor encaminha o processo de autenticação para o servidor da instituição de origem utilizando a hierarquia de três níveis. Caso a autenticação seja bem-sucedida, o ponto de acesso libera o acesso da estação.

Te cn ol og ia s d e R ed es s em F io

de um número hexadecimal ou como uma cadeia de caracteres. Embora a especifi cação na forma de uma cadeia de caracteres fosse mais intuitiva, ela ainda era restrita a um tamanho fi xo (5 ou 13 caracteres, dependendo do tamanho escolhido para a chave criptográfi ca). Além disso, esse modo de especifi cação reduzia o número de combinações de chaves disponíveis, o que diminui a segurança. No WPA (e WPA2), a especifi cação da chave continua podendo ser feita tanto na sua forma numérica (valor hexadecimal com 64 algarismos) ou na forma de uma cadeia de caracteres. Nessa segunda forma, no entanto, o WPA adotou um esquema que resulta em maior fl exibilidade e segurança. As chaves agora podem ser especi- fi cadas como cadeias de 8 a 63 caracteres. Em vez de fazer um mapeamento direto do valor ASCII dos caracteres para os bytes da chave, são aplicados métodos de resumo criptográ- fi co, mitigando o problema da redução do número de combinações de chaves disponíveis. Note, no entanto, que a especifi cação da chave como uma cadeia de caracteres ainda está sujeita a ataques de dicionário, como ocorria no WEP.

WPS

q

Método de confi guração de segurança introduzido pela Wi-Fi Alliance em 2006. 1 Pouca intervenção manual.

1 Usuário precisa apenas “avalizar” confi guração automática. 2 Através de botão ou PIN.

Promete ser uma maneira fácil de estabelecer confi gurações seguras. 1 Na prática, possui várias vulnerabilidades.

1 Especialmente se o atacante possui acesso físico ao AP. 1 Mas mesmo sem acesso físico, método de PIN é vulnerável.

Em 2006, a Wi-Fi Alliance introduziu um novo método de segurança chamado de WPS (do inglês Wi-Fi Protected Setup). O WPS não é um novo método de criptografi a. Na verdade, o propósito do WPS é auxiliar usuários leigos a confi gurar seus dispositivos Wi-Fi utilizando soluções fortes de segurança, baseadas em WPA/WPA2, de forma simplifi cada.

A ideia básica do WPS é que os próprios dispositivos Wi-Fi se comuniquem, trocando as informações sobre as confi gurações de segurança, incluindo uma chave pré-compartilhada forte. Nessa arquitetura, o usuário precisa apenas “avalizar” essa comunicação, sinalizando, de alguma forma, aos dispositivos, que eles devem iniciar o protocolo. Essa sinalização pode ser feita de várias formas, sendo as mais comuns através de um PIN (Personal Identifi cation Number) ou através de um botão.

Na ativação por PIN, o dispositivo que deseja se associar ao ponto de acesso pede ao usuário que informe o PIN do AP. Esse número de 8 dígitos decimais é normalmente fornecido de alguma forma pelo fabricante do ponto de acesso (e.g., através de um adesivo na embalagem ou disponibilizado na página de confi guração do ponto de acesso). Com a informação do PIN, o dispositivo inicia o protocolo de obtenção das confi gurações de segurança e se conecta automaticamente ao ponto de acesso. O processo também pode ser feito no sentido con- trário, i.e., o dispositivo cliente pode fornecer um PIN que é informado ao ponto de acesso (através, por exemplo, da sua interface de confi guração web), disparando o protocolo. Já a ativação por botão é ainda mais simples, do ponto de vista do usuário. Nesse cenário, estação e ponto de acesso possuem um botão, geralmente identifi cado com a sigla WPS, que, quando pressionado, faz com que ambos troquem mensagens de confi guração de segurança (note que o “botão” pode ser virtual, e.g., em uma interface gráfi ca do Sistema

Ataques de dicionário

Quando o atacante testa chaves comu- mente utilizadas, catalogadas em um “dicionário”.

Ca pí tu lo 6 - S eg ur an ça

Operacional). Se o botão WPS de um dispositivo é pressionado pelo cliente, mas o protocolo não é bem-sucedido em dois minutos, o processo é abortado.

Embora o WPS prometa uma confi guração de segurança forte de modo simplifi cado, ele apre- senta uma série de vulnerabilidades. Uma dessas vulnerabilidades se manifesta se o atacante possui acesso físico ao ponto de acesso. Nesse caso, a ativação por botão fi ca obviamente comprometida. A ativação por PIN também é geralmente comprometida, já que o número é normalmente informado em etiquetas no próprio ponto de acesso, como ilustra a fi gura 6.5.

Mesmo sem acesso físico ao ponto de acesso, o WPS com PIN apresenta uma grave vulnerabi- lidade que pode ser explorada por um atacante. Embora o PIN seja um número de oito dígitos decimais (o que resultaria em 100 milhões de combinações possíveis), o último dígito é apenas um checksum para verifi cação. Além disso, durante a interação entre o ponto de acesso e a estação, a validação do PIN é feita em duas etapas: primeiro são validados os quatro primeiros dígitos e, em seguida, os quatro últimos. Ou seja, no caso de um ataque de força bruta, o atacante precisa testar, no máximo, 10.000 combinações para encontrar os primeiros quatro dígitos do PIN, seguidas de, no máximo, 1.000 combinações para encontrar os quatro últimos. Embora esses valores pareçam altos, com a tecnologia atual, um atacante consegue testar aproximadamente 1 PIN por segundo. A essa taxa, são necessárias, no pior caso, menos de 4 horas para que esse ataque seja bem-sucedido. Uma possível defesa é o ponto de acesso introduzir um atraso artifi cial no protocolo, caso a estação erre muitas vezes o PIN. No entanto, isso não é previsto no padrão e, por isso, não se pode garantir que modelos específi cos implementem essa contramedida.

Dadas essas vulnerabilidades, uma recomendação comum de segurança é que o WPS seja completamente desabilitado. Nem todos os equipamentos permitem isso, no entanto. Nesse caso, a recomendação é que, ao menos a autenticação por PIN seja desativada e que haja cuidado com o acesso físico ao ponto de acesso.

RSN

q

1 Robust Security Network.

2 Rede que implementa completamente o IEEE 802.11i. 1 Necessariamente utiliza WPA.

2 TKIP ou CCMP.

Figura 6.5

Ponto de acesso comercial listando o PIN usado pelo WPS em sua etiqueta (logo a seguir de outras informações comuns, como endereços MAC e número de série). Os números foram omitidos da fi gura por questão de segurança. Um atacante com acesso físico ao ponto de acesso pode obter facilmente o PIN.

Te cn ol og ia s d e R ed es s em F io

q

1 Também engloba políticas específi cas de gerência de chaves. 2 Geração e distribuição.

Os mecanismos de segurança descritos até aqui culminaram na implementação considerada ideal de segurança, chamada RSN (Robust Security Network). Em outras palavras, RSN é o nome utilizado para designar uma rede que implementa completamente o padrão IEEE 802.11i e não provê suporte a WEP. Uma RSN obrigatoriamente utiliza WPA (seja TKIP ou CCMP) com autenticação baseada em um servidor RADIUS. Além disso, um RSN deve implementar uma série de mecanismos de gerência de chaves criptográfi cas (geração e distribuição).