Tópico 10
Segurança wireless. Terminologia. Arquitetura do protocolo.
Serviços. Protocolos de segurança sobre redes wireless
Investigadores tem publicado numerosos relatórios de aves
“falando” alternadamente; o pássaro que falou passou a dar
toda a atenção para o que está falando, como se os dois
mantivessem uma conversa.
Pesquisadores e estudiosos que têm estudado os dados sobre a
comunicação entre aves tiveram o cuidado de escrever: (a) o
código de comunicação dessas aves, dessa maneira, não foi
quebrado por qualquer meio, (b) provavelmente todas as aves
têm vocabulário mais amplo do que se percebeu, e (c) quanto
mais a investigação progride, maiores complexidade e
Padrão IEEE 802.11
Padrão IEEE 802.11
Comitê da IEEE 802 para padrões LAN
IEEE 802.11 formado em 1990
–
Capítulo para desenvolver um protocolo e especificações de
transmissão para LANs sem fio (WLANs)
Desde então, as demandas para WLANs, em diferentes
frequências e taxa de dados, explodiu.
Portanto, sempre visite a lista de padrões emitidos, que está
Aliança Wi-Fi
Aliança Wi-Fi
802.11b foi o primeiro padrão amplamente aceito
Wireless Ethernet Compatibility Alliance (WECA) consórcio
da indústria formado em 1999
Para apoiar a interoperabilidade entre produtos.
Foi renomeado para Wi-Fi (Wireless Fidelity) Alliance
Criou uma suite de testes para certificar a interoperabilidade.
Inicialmente para 802.11b, depois expandido para 802.11g
Pertinente a uma gama de pontos de WLAN, tais como
A Arquitetura dos Protocolos IEEE 802
A Arquitetura dos Protocolos IEEE 802
Controle de Fluxo Controle de erros Funções Gerais IEEE 802 Funções Específicas IEEE 802.11 Definição da frequência de banda Codificação do sinal wireless Dados montados em quadros Endereçamento Deteção de Erro Acesso ao meio
Entrega de dados confiavel Protocolo de controle de acesso wireless Codificação/decodific ação de sinais transmissão/recepção de bits Meios de transmissão
Controle do
Link Lógico
(LLC)
Controle de
Acesso ao Meio
Físico
Network Components & Architecture
Network Components & Architecture
Serviços IEEE 802.11
Serviços IEEE 802.11
802.11a
Chega a alcançar velocidades de 54 Mbps dentro dos padrões da IEEE e de 72 a 108 Mbps por fabricantes não padronizados. Esta rede opera na freqüência de 5 GHz e inicialmente suporta 64 utilizadores por Ponto de Acesso (PA). As suas principais vantagens são a velocidade, a gratuidade da freqüência que é usada e a ausência de interferências. A maior desvantagem é a incompatibidade com os padrões no que diz respeito a Access Points 802.11 b e g, quanto a clientes, o padrão 802.11a é compatível tanto com 802.11b e 802.11g na maioria dos casos, já se tornando padrão na fabricação dos equipamentos.
802.11b
Alcança uma velocidade de 11 Mbps padronizada pelo IEEE e uma velocidade de 22 Mbps, oferecida por alguns fabricantes não padronizados. Opera na freqüência de 2.4 GHz.
Inicialmente suporta 32 utilizadores por ponto de acesso. Um ponto negativo neste padrão é a alta interferência tanto na transmissão como na recepção de sinais, porque funcionam a 2,4 GHz equivalentes aos telefones móveis, fornos microondas e dispositivos Bluetooth. O aspecto positivo é o baixo preço dos seus dispositivos, a largura de banda gratuita bem como a disponibilidade gratuita em todo mundo. O 802.11b é amplamente utilizado por provedores de internet sem fio.
802.11d
Habilita o hardware de 802.11 operar em vários países aonde ele não pode operar hoje por problemas de compatibilidade, por exemplo, o IEEE 802.11a não opera na Europa...
802.11e
O 802.11e agrega qualidade de serviço (QoS) às redes IEEE 802.11. Neste mesmo ano foram lançados comercialmente as primeiros pontos de acesso trazendo pré-implementações da especificação IEEE 802.11e. Em suma, 802.11 permite a transmissão de diferentes classes de tráfego, além de trazer o recurso de Transmission Oportunity (TXOP), que permite a transmissão em rajadas, otimizando a utilização da rede.
802.11f
Recomenda prática de equipamentos de WLAN para os fabricantes de tal forma que os Access Points (APs) possam interoperar. Define o protocolo IAPP (Inter-Access-Point Protocol).
Serviços IEEE 802.11
Serviços IEEE 802.11
Serviços IEEE 802.11
802.11g
Baseia-se na compatibilidade com os dispositivos 802.11b e oferece uma velocidade de 54 Mbps. Funciona dentro da frequência de 2,4 GHz. Tem os mesmos
inconvenientes do padrão 802.11b (incompatibilidades com dispositivos de diferentes fabricantes). As vantagens também são as velocidades). Usa autenticação WEP
estática já aceitando outros tipos de autenticação como WPA (Wireless Protect
Access) com criptografia dinâmica (método de criptografia TKIP e AES). Torna-se por vezes difícil de configurar, como Home Gateway devido à sua frequência de rádio e outros sinais que podem interferir na transmissão da rede sem fio.
802.11h
Versão do protocolo 802.11a (Wi-Fi) que vai ao encontro com algumas
regulamentações para a utilização de banda de 5 GHz na Europa. O padrão 11h conta com dois mecanismos que optimizam a transmissão via rádio: a tecnologia TPC
permite que o rádio ajuste a potência do sinal de acordo com a distância do receptor; e a tecnologia DFS, que permite a escolha automática de canal, minimizando a
802.11i
Criado para aperfeiçoar as funções de segurança do protocolo 802.11 seus estudos visam avaliar, principalmente, os seguintes protocolos de segurança:
• Wired Equivalent Protocol (WEP)
• Temporal Key Integrity Protocol (TKIP) • Advanced Encryption Standard (AES)
• IEEE 802.1x para autenticação e segurança
O grupo de trabalho 802.11i vem trabalhando na integração do AES com a subcamada MAC, uma vez que o padrão até então utilizado pelo WEP e WPA, o RC4, não é robusto o suficiente para garantir a segurança das informações que circulam pelas redes de comunicação sem fio.
O principal benefício do projeto do padrão 802.11i é sua extensibilidade permitida, porque se uma falha é descoberta numa técnica de criptografia usada, o padrão permite facilmente a adição de uma nova técnica sem a substituição do hardware.
Serviços IEEE 802.11
Serviços IEEE 802.11
Serviços IEEE 802.11
802.11j
Diz respeito as bandas que operam as faixas 4.9GHz e 5GHz, disponíveis no Japão.
802.11k
Possibilita um meio de acesso para Access Points (APs) transmitir dados de gerenciamento. O IEEE 802.11k é o principal padrão da indústria que estão agora em desenvolvimento e permitirá transições transparentes do Conjunto Básico de Serviços (BSS) no ambiente WLAN Esta norma fornece informações para a escolha do melhor ponto de acesso disponível que garanta o QoS necessário.
802.11n
Em fase final de homologação. Opera nas faixas de 2,4Ghz e 5Ghz. Promete ser o padrão wireless para distribuição de mídia, pois oferecerá, através do MIMO (Multiple Input,
Multiple Output - que significa entradas e saídas múltiplas ), taxas mais altas de transmissão (até 300 Mbps), maior eficiência na propagação do sinal (com uma área de cobertura de até 400 metros outdoor) e ampla compatibilidade reversa com demais protocolos. O 802.11n atende tanto as necessidades de transmissão sem fio para o padrão HDTV, como de um ambiente altamente compartilhado, empresarial ou não.
Serviços IEEE 802.11
Serviços IEEE 802.11
802.11p
Utilizado para implementação veicular.
802.11r
Padroniza o hand-off rápido quando um cliente wireless se reassocia quando estiver se locomovendo de um ponto de acesso para outro na mesma rede.
802.11s
Padroniza "self-healing/self-configuring" nas Redes Mesh (malha) fdf.
802.11t
Normas que provém métodos de testes e métricas.
802.11u
Interoperabilidade com outras redes móveis/celular.
802.11v
É o padrão de gerenciamento de redes sem fio para a família IEEE 802.11, mas ainda está em fase inicial de propostas. O Task Group v do IEEE 802.11 (TGv), grupo encarregado de definir o padrão 802.11v, está
trabalhando em um aditivo ao padrão 802.11 para permitir a configuração de dispositivos clientes
conectados a redes 802.11. O padrão pode incluir paradigmas de gerência similares aos utilizados em redes celulares.
Segurança Wireless LAN 802.11
Segurança Wireless LAN 802.11
Tráfego wireless pode ser monitorado por qualquer rádio na
escuta na faixa, não fisicamente conectado
A spec 802.11 original tem características de segurança:
Algorítmo Wired Equivalent Privacy (WEP)
Mas foram encontradas deficiências importantes
O grupo tarefa 802.11i desenvolveu capacidades para resolver
problemas de segurança WLAN
Wi-Fi Alliance, Wi-Fi Protected Access (WPA)
802.11i final, Robust Security Network (RSN)
Serviços e Protocolos 802.11i RSN
Serviços e Protocolos 802.11i RSN
Confidencialidade, Autenticação de Origem de
Dados, Integridade, e Proteção contra Replay Autenticação e Geração de Chaves Controle de Acesso Controle de Acesso baseado em Porta IEEE 802.1 Extensible Autentication
Algorítmos de Criptografia 802.11i RSN
Fases da Operação 802.11i
Fases da Operação 802.11i
Fase 1 - Descoberta
Fase 3 – Gerenciamento de Chaves Fase 2 - Autenticação
Fase 4 – Transferência de Dados Protegidos
Fase 5 – Termino da Conexão
Obs.: AS – Sistema de Autenticação
Estação envia uma requisição para associar a AP com parâmetros de segurança Requisição de sondagem Resposta da sondagem Requisição autenticação em sistema aberto Resposta autenticação em sistema aberto Requisição associação Resposta associação AP emvia possíveis parâmetros de segurança (configurações de
segurança por política de segurança) AP realiza null authentication AP envia os parâmetros de segurança associados Requisição de acesso (EAP request) Aceito/EAP sucesso material chave Requisição EAP 802.1x Resposta EAP 802.1x EAP 802.1x sucesso
Porta 802.1x controlada bloqueada
Porta 802.1x controlada bloqueada
Extenção do Protocolo de Troca de Autenticação Estação envia uma requisição
para entrar na rede
Estação envia uma requisição para realizar null authentication
Estação configura parâmetros de segurança selecionados.
802.11i Fases
802.11i Fases
da Descoberta e
da Descoberta e
Autenticação
Autenticação
OBS: Null Authentication – o cliente não precisa conhecer a identificação (SSID) da rede
Controle de Acesso IEEE 802.1X
Controle de Acesso IEEE 802.1X
Servidor de autenticação porta não controlada porta controlada porta controlada Para outras estações Wireless neste BSS Para sistemas distribuídos (DS) Estação
Fase de
Fase de
Gerenciamento de
Gerenciamento de
Chaves 802.11i
Chaves 802.11i
Gerenciamento de
Gerenciamento de
Chaves 802.11i
Chaves 802.11i
Porta 802.1x do AP controlada bloqueada
Porta 802.1x do AP controlada Desbloqueada para tráfego unicast
Há dois esquemas de proteção de dados
Temporal Key Integrity Protocol (TKIP)
s/w altera somente em WEP mais antigos
Adiciona código 64-bit Michael message integrity (MIC)
cifra MPDU acrescido do valor MIC utilizando RC4
Counter Mode-CBC MAC Protocol (CCMP)
Usa a código de autenticação de mensagem com cifra de bloco
encadeada (CBC-MAC) para integridade
Função Pseudorandômica IEEE 802.11i
Wireless Application Protocol (WAP)
Wireless Application Protocol (WAP)
Um padrão aberto e universal, desenvolvido para prover wireless
movel para usuários acessarem telefonia e serviços de
informações.
Tem significativas limitações de dispositivos, redes, exibe com
grandes variações
Especificações WAP incluem :
Modelo de programação, linguagem de marcação, mostrador
pequeno, pilha de protocolos de comunicações leves,
arcabouço de aplicações
Modelo de Programação WAP
Modelo de Programação WAP
Requisição Codificada
Resposta Codificada
Requisição
Resposta (conteúdo)
Cliente
Servidor Original
Codificadores e Decodificadores Agente de Usuário WAE Conteú do
Wireless Markup Language
Wireless Markup Language
descreve o conteúdo e formato para a exibição de dados em
dispositivos com limitações de, largura de banda, tamanho da
tela, e capacidade de entrada do usuário
Um cartão serve para um ou mais unidades de interação.
Uma plataforma similar a uma página HTML.
Gateway WTP
Protocolos WAP
Protocolos WAP
Wireless Session Protocol (WSP)
Provê serviços de sessão para duas aplicações
Conexão orientada e sem conexão
baseado em HTTP com otimizações
Wireless Transaction Protocol (WTP)
Gerencia transações de requisições e respostas entre agentes e ums
servidor de aplicação.
Provê provides um eficiente serviço de transporte confiável.
Wireless Datagram Protocol (WDP)
Adapta os protocolos WAP de camada mais alta para as
Wireless Transport Layer Security (WTLS)
Wireless Transport Layer Security (WTLS)
Provê serviços de segurança entre dispositivos móveis (clientes) e
gateway WAP
provê integridade de dados, confidencialidade, autenticação,
proteção contra DoS
baseado no TLS
mais eficiente com more efficient with menor número de troca de
mensagens
utiliza WTLS entre o cliente e o gateway
utiliza TLS entre gateway e o servidor alvo.
WAP gateway converte WTLS / TLS
Conexões e Sessões WTLS
Conexões e Sessões WTLS
Conexão Segura
Um transporte que fornece o tipo adequado de serviçoUm transporte que fornece o tipo adequado de serviço Conexões são transitóriasConexões são transitórias
Cada conexão é associada a uma sessãoCada conexão é associada a uma sessão
Sessão Segura
Uma associação entre o cliente e o servidorUma associação entre o cliente e o servidor Configura os parâmetros de criptografia seguraConfigura os parâmetros de criptografia segura Compartilhado entre múltiplas conexõesCompartilhado entre múltiplas conexões
Arquitetura do Protocolo WTLS
Protocolo de Registro WTLS
Protocolos de Camada Mais Alta WTLS
Protocolos de Camada Mais Alta WTLS
Change Cipher Spec Protocol
Mais simples, depende do estado corrente
Alert Protocol
utilizado para transmitir avisos WTLS relacionados à pares
Tem níveis de gravidade: advertência, crítico ou fatal
E tipos de alerta específicos
Handshake Protocol
Permite a servidores e clientes se autenticarem mutuamente.
Negocia cifra, algoritmos MAC e chaves.
Handshake
Handshake
Protocol
Algoritmos Criptográficos
Algoritmos Criptográficos
Autenticação WTLS
usa certificados X.509v3, X9.68 and WTLS (otimizado para tamanho)
Pode ocorrer entre cliente e servidor ou o cliente pode autenticar o
servidor.
Troca de Chaves WTLS
Gera uma chave compartilhada pre-master key
Opcionalmente utiliza mensagem server_key_exchange
Não é necessário para ECDH_ECDSA ou RSA
Algoritmos Criptográficos
Algoritmos Criptográficos
Pseudorandom Function (PRF)
Baseada em HMAC, utilizado para vários propósitos Apenas um algoritmo de hash acordado no handshake
Gerador de Chave Mestra
Do segredo mestre compartilhado.
master_secret = PRF( pre_master_secret, "master secret”, ClientHello.random ||
ServerHello.random )
then derive MAC and encryption keys
Segurança Fim a Fim WAP
Segurança Fim a Fim WAP