A Evolução dos Mecanismos de Segurança para Redes sem fio 802.11

(1)

A Evolução dos

Mecanismos de Segurança para

Redes sem fio 802.11

(2)

Agenda

• Introdução a redes wireless

– Requisitos de Segurança

• Recursos de (in)segurança em redes 802.11b

– Mecanismos de segurança nativos, controle de acesso – Vulnerabilidades nos protocolos

– Problemas comuns de configuração – Problemas nos equipamentos

• Ataques

– Ataques de autenticação, Hijacking

– Problemas de chave, Wardriving e Warbiking

(3)

Agenda

• Defesas

– Resposta dos fabricantes – Evolução dos protocolos – WPA

– 802.11i

– VPNs, criptografia e Controle de acesso – Configurações rígidas

– Isolamento e Monitoração

• Conclusões

(4)

Objetivos

• Dar uma visão geral da tecnologia sem fio 802.11 e alguns cenários de uso

• Compreender os recursos de segurança providos pelo padrão 802.11b

• Atentar para as fraquezas do padrão, ataques comuns, particularmente fáceis ou especialmente não-intuitivos

• Estabelecer uma ligação com os ataques clássicos

• Discorrer sobre as comunidades de exploradores de redes wireless

• Propor e discutir formas práticas de mitigar as

vulnerabilidades

(5)

Introdução a Redes Wireless

Redes 802.11b

• Camada Física:

– Direct Sequence Spread Spectrum (DSSS) – Frequency Hopping Spread Spectrum (FHSS) – Banda ISM de 2.4 a 2.5GHz

• Velocidades (bitrates):

– 1, 2, 5.5, 11Mbps (802.11b), 54Mbps (11a, 11g)

• Alcance típico:

– 50 metros em ambientes fechados, 500 metros ao ar livre

– Pode variar fortemente dependendo da potência, tipo e disposição das antenas, cobertura por APs, amplificadores

– Antes externas direcionais podem chegar a 400 m

– Configurações especiais podem chegar a mais de 20 Km

DSSS

FHSS

(6)

Introdução a Redes Wireless

Topologias

• Modo Infra-Estrutura: estende a cobertura geográfica da rede LAN convencional (“de infra-estrutura”) através da cobertura da rede sem fio

– Access Point (AP): bridge [WLAN]  [LAN]

– Célula: área coberta por um AP

– Basic Service Set (BSS): “conjunto de serviços básicos” de uma célula

– Extended Service Set (ESS): “conjunto de serviços estendido”

oferecido por todas as células de uma rede de infraestrutura

• Modo Ad-Hoc:

– Interconexão direta “peer-to-peer” sem APs de dispositivos em uma mesma área (em uma sala, digamos)

– Dispensa a “rede infra-estrutura” (LAN convencional cabeada)

(7)

Introdução a Redes Wireless

Resumindo

• Filosofia de projeto:

Fácil instalação + Fácil acesso

=

Problema de Segurança

(é claro que os engenheiros pensaram em tudo ...)

(8)

Introdução a Redes Wireless

Requisitos de Segurança

• Criptografia e Privacidade

– “dados cifrados não devem decifrados por pessoas não autorizadas”

• Autenticação e Controle de Acesso

– Identificar, Autenticar, Autorizar usuários, servidores, Aps

– Framework

(9)

Recursos de (in)segurança

Escopo da Segurança em redes sem fio

(10)

Recursos de (in)segurança

WEP – Wired Equivalency Privacy

• Criptografia e autenticação no nível do link wireless

– Ou seja, não provê segurança fim-a-fim – Em outras palavras, só no trecho wireless – Furadíssimo, como veremos adiante

• Não prescinde outros mecanismos “tradicionais”

de segurança

– Muito pelo contrário, torna-os muito mais necessários,

dado que introduz vários novos riscos

(11)

Recursos de (in)segurança

WEP – Serviços

• Autenticação: garantir que apenas estações autorizadas possam ter acesso à rede

– Somente pessoas autorizadas podem se conectar na minha rede?

– Confidencialidade: dificultar que um interceptador casual compreenda o tráfego capturado

– Somente as pessoas autorizadas podem ver meus dados?

• Integridade:

– Temos certeza que os dados transitando na rede não

foramadulterados?

(12)

Recursos de (in)segurança

WEP – Autenticação

• Não-criptográfica:

– Modo aberto: SSID nulo

– Modo fechado: requer SSID específico

– Trivialmente suscetível a ataque

de replay

(13)

Recursos de (in)segurança

Sniffing e SSID

(14)

Recursos de (in)segurança

WEP – Autenticação

• Criptográfico:

– Desafio-resposta rudimentar para provar que o cliente conhece a chave WEP

– O AP autentica o cliente

– O cliente não autentica o AP

– Suscetível a vários ataques, inclusive o famoso “man-in-themiddle ”

(15)

Recursos de (in)segurança

Criptografia do WEP

(16)

Recursos de (in)segurança

Criptografia do WEP – RC4

• Algoritmo de cifragem proprietário da RSADSI

– Otimizado para implementação rápida em software

– Era segredo industrial da RSADSI até ser analisado por engenharia reversa e postado na rede em 1994.

– Implementável de cabeça em pouco mais de um minuto.

– Chave de até 2048 bits

– Stream cipher: entrada e saída de 8 bits (1 byte) de cada vez

– Desconfortavelmente simples, mas seguro se usado

com algumas precauções

(17)

Recursos de (in)segurança

Críticas a Criptografia do WEP

• Gerenciamento de chaves

– Totalmente manual

• Chaves raramente são mudadas (quando em absoluto)

• Mudar chaves de centenas ou milhares de placas em uma instalação típica é insano

• Tamanho de chaves pequeno

– A maior parte das placas/instalações só suporta 40 bits

• Feito, à época, para evitar problemas de exportação

• Placas com cripto de 104 bits custam bem mais caro e são mais raras

• Padece de várias fraquezas criptográficas fundamentais

(18)

Recursos de (in)segurança

Críticas a Criptografia do WEP

• IV de 24 bits é muito pouco

– O padrão WEP não especifica como gerar o IV – Algumas placas o fazem sequencialmente

• Fácil de prever e detectar

• E ainda resetam para zero quando o cartão é reinserido

• O IV é repetido a cada 4823 pacotes

• O CRC torna trivial descobrir se você acertou o

par (IV, K)

(19)

Recursos de (in)segurança

Criptografia: Propriedades

• Propriedades do (XOR): ⊕

– a a = 0 ⊕ – a 0 = a ⊕

• Isso torna perigoso jamais reusar a mesma chave:

– c1 = p1 RC4(k,IV) e c2 = p2 RC4(k,IV) ⊕ ⊕

– c1 c2 = ( p1 RC4(k,IV) ) ( p2 RC4(k,IV) ) ⊕ ⊕ ⊕ ⊕ – = p1 p2 RC4 (k,IV) RC4 (k,IV) ⊕ ⊕ ⊕

– = p1 p2 ⊕

• Pacotes IP tem cabeçalhos previsíveis ou fixos que tornam

fácil prever ou deduzir p1 p2 ⊕

(20)

Recursos de (in)segurança

Integridade WEP

• CRC (Cyclic Redundancy Check) de 32 bits é computado para cada pacote e anexado ao pacote

– CRCs são otimizados para detectar erros de transmissão – São notoriamente inadequados para prover garantias

criptograficamente aceitáveis contra adulteração intencional

• Também burlável:

– É viável fazer alterações no texto cifrado e “compensar” o CRC

• Já aconteceu outras vezes, no SSH1 e no PPTP da MS

– Deveria ter sido usado um MAC (Message Authentication Code)

com resistencia criptográfica, à base de MD5 ou SHA1

(21)

Recursos de (in)segurança Aps Impostores

• Em redes em modo abertas, quem impede um atacante de instalar seu próprio AP?

• Mesmo em redes fechadas, descobrindo-se os parâmetros e a chave WEP, fica fácil montar ataques man-in-the-middle

• É visível, porém, para alguns softwares de

monitoração

(22)

Recursos de (in)segurança

Backdoors nos firmwares

• Envia-se a string “gstsearch” em um broadcast (!) para a porta UDP 27155 e o AP responde com:

– Senha do administrador – Chave mestra WEP

– Filtro de MAC

• Testado como vulnerável: WISECOM GL2422AP-0T

• Suspeita-se vulnerável (baseado no mesmo firmware):

– D-Link DWL-900AP+ B1 version 2.1 and 2.2 – ALLOY GL-2422AP-S

– EUSSO GL2422-AP

– LINKSYS WAP11-V2.2

(23)

Ataques

Ataques clássicos

• Todos os ataques clássicos de TCP/IP se aplicam normalmente – amplo playground:

–

ARP spoofing: redirecionar tráfego para o impostor via

falsificação/personificação do endereço MAC

–

DNS spoofing: redirecionar tráfego para o impostor via adulteração

dos pacotes DNS

–

Smurf: sobrecarga de broadcasts para negação de serviço/saturação

do canal

–

DHCP spoofing: servidor DHCP impostor força configuração

imprópria dos clientes

• Chaves má escolhidas

– Suscetíveis a ataques clássicos de dicionário

– Muitos drivers e/ou admins colocam senhas em ASCII = 7o bit é

(24)

Ataques

Man-in-the-middle

(25)

Ataques

Chosen-Plaintext Attack

(26)

Ataques

Bit Flipping

(27)

Ataques

Warchalking

• Marcas com giz identificando locais onde há conectividade

wireless e os parâmetros da rede

(28)

Ataques

NodeDB.com - Warchalking

• Warchalking via web: DB de APs

(29)

Ataques

Warchalking.com.br

• Agora também em português

(30)

Ataques

WorldWideWarDriving.org

• Esforço para mapear Aps

(31)

Defesas

Resposta dos Fabricantes (Wi-Fi)

• Aumentar o tamanho da chave WEP Compartilhada

(Agere 152 bits, US Robotics 256 bits)  apenas adia a descoberta

• Problemas com performance

• Troca dinâmica de chaves (Cisco e Microsoft)

• Overhead na transmissão (802.11b)

• Falta de Interoperabilidade

• Wi-Fi propõe o WPA

• IEEE Task Group “I”  standard 802.11i

(32)

Defesas

WPA – Wi-Fi Protected Access

• Novo padrão de autenticação mútua - EAP

• TKIP – Temporal Key Integrity Protocol

• Michael Message Integrity Check

(33)

Defesas

WPA – EAP

• Novo padrão de autenticação mútua

– Suplicante, Autenticador, Servidor de Autenticação RADIUS – Atualização de Firmware

– Compatibilidade com Hardwares legados

(34)

Defesas

WPA – EAP

• Procedimentos de Autenticação:

– Um suplicante inicia uma conexão com um autenticador. O autenticador detecta a ocorrência e habilita uma porta para o suplicante. Entretanto, excluindo o trafego definido pelo 802.1X, todos os outros estão bloqueados.

– O autenticador requer a identificação do suplicante.

– O suplicante responde com a identificação que é imediatamente repassada para o servidor de autenticação.

– O servidor autentica a identidade do suplicante e envia uma

mensagem do tipo ACCEPT para o autenticador. O autenticador muda o estado da porta para autorizado.

– O suplicante requisita a identificação do servidor. O servidor atende.

– O suplicante valida a identificação do servidor e todo trafego é

liberado.

(35)

Defesas

WPA – EAP

(36)

Defesas

WPA – EAP

• EAP – LEAP  usuário e senha / Cisco Systems

• EAP – TLS (RFC2716)  utiliza certificados digitais X.509

• EAP – TTLS  like EAP – TLS; suplicate utiliza senha para se autenticar / Funk Software

• EAP – PEAP  evolução do EAP

• Pre – Shared Key  like WEP; manter compatibilidade

(37)

Defesas

WPA – TKIP Temporal Key Integrity Protocol

• Chave Compartilhada de 128 bits

• Um IV de 48 bits

• MAC Address

• Mantém o RC4  Compatibilidade

(38)

Defesas

WPA – Michael Message Integrity Check

• Substitui o CRC

• MIC (Message) - Redundância de 64 bits calculada com o algoritmo “Michel”

• Verifica erros na transmissão

• Detecta manipulação deliberada

(39)

Defesas

WPA – Conclusão

• Resolve diversos problemas conhecidos do WEP:

– Autenticação Mútua – TKIP

– Michael Message Integrity Check

• Entretando, WPA ainda não é a solução definitiva:

– Criptografia Fraca

– WPA2  substituição do RC4 pelo AES.

– Queda de Performance

(40)

Defesas

802.11i

• Resolve problemas conhecidos do WPA:

– Novo Padrão IEEE – Draft 3 – Poucos hardwares compatíveis – Autenticação Mútua – EAP

– Mantém TKIP  Compatibilidade

– Introduz o CCMP (Counter Mode with Cipher Block Chaning Message Authentication Code Protocol)  AES

– Necessidade de uso de co-processadores criptográficos devido a utilização do algoritmo AES.

– Novos Protocolos

• RSN (Substituo padronizado do WEP) – Robust Security Network (EAP, CCMP, Michael)

• WRAP – Wireless Robust Authentication Protocol – Suporta Roaming

(41)

Defesas

Procedimentos

(42)

Defesas

Procedimentos

• Segmentação e contenção usando firewalls

• Configuração minuciosa dos Aps

• Blindagem e firewalling dos clientes

• Monitoração

• VPNs (Redes Virtuais Privadas)

• Blindagem do Aps

• Controle o serviço IP

(43)

Defesas Firewalls

• Elimina o bridging

– Contém os broadcasts – Só permite tráfego IP

• Objetivo primário

– Defender a rede cabeada “Infrastructure Network”

• Firewalling avançado

– Controle de banda/QoS

– Autenticação dinâmica

– Bridge firewalling

(44)

Defesas

Configuração minuciosa dos APs

• Permite gerenciamento e oferecimento de serviços mais granular

– Firewalling, DHCP, VPN, etc.

• OpenBSD e Linuxes fazem bons APs

• Possivelmente não provê alguns recursos avançados de alguns APs

– Roaming, etc.

(45)

Defesas

“Blindagem” das estações

• Firewalls em cada nó móvel

• Objetivo primário

– Defender os nós móveis uns dos outros

• Trabalhoso de manter

– Requer procedimentos operacionais rígidos e sempre

atualizados.

(46)

Defesas

Monitoração: ARP Watch

• Sniffer especializado em pacotes ARP

– Reporta mudanças nos MACs <-> IPs via e-mail adm.

(47)

Defesas

VPN – Vitual Private Network

• Encapsulamento IP-IP com criptografia

– IPSec em modo túnel:

• IPSec nativo no OpenBSD, Free S/WAN no Linux

– Outras soluções de VPN: PPTP, vtun em vários Unixes, L2TP – Integração com o firewall no cliente e/ou desktop policies

– Requerem infra-estruturas de gerenciamento de chaves

• Requer Certificados digitais, shared secrets, etc.

– Potencialmente introduz criptografia forte nas camadas IP e acima

• Não protege ARP e outros protocolos layer 2

– Alguns probleminhas sempre aparecem

• Timeout na primeira conexão por causa de negociação de

(48)

Defesas

Blindagens de APs

• Troque todas as configurações de fábrica e mantenhanas

• assim

– Troque as senhas padrão e os nomes das comunidades SNMP

• De preferência, troque-as frequentemente

• Se você não usa SNMP, desabilite-o

– Mude os SSIDs

– Mude o canal padrão

• Controle a função de reset do AP

– Evitar volta às configurações padrão de fábrica

(49)

Defesas

Blindagens de APs

• Procure usar as versões do firmware mais recentes

– Mas no modelo de código fechado, não há garantias de que não haja backdoors

• Use criptografia WEP

– Ela não resolve, mas dificulta, ainda que por poucas horas

• Use MAC-filtering/ACLs onde apropriado

– Também não resolve, mas ajuda

– Pode se tornar um fardo maior que um benefício se as ACLs ficarem grande

• Gerencie

– Reinventarie e audite a base instalada regularmente

(50)

Defesas

Controle o serviço IP

• DHCP

– Restrito por MAC: mesmo overhead de gerenciamento por não escalar para um grande número de estações

– DHCP Honeypots/Visitor service: serviço diferenciado para

“visitantes” e “internos”

• “Se não pode vencê-los, junte-se a eles”... ou melhor, deixe que se juntem a você, mas de forma limitada e controlada

• Monitoraçao/QoS diferenciado imposto para os visitantes

• Arpwatches em todo lugar

• Links redundantes e roteamento dinâmico

– Resistência a ataques a quedas naturais e ataques de negação de

serviço

(51)

Conclusão

Redes 802.11

• A tecnologia 802.11 é prática, cômoda, “cool”, mas seus recursos de segurançã são mal projetados em vários

aspectos, expondo inaceitavelmente o trafego.

• Como sempre, sobra para o administrador de rede

combinar múltiplas tecnologias para prover segurança em profundidade

– Segurança não é plug-and-play – Intelectualmente oneroso

– Fatores culturais e a atitude de segurança

• • Há várias tecnologias e estratégias bem estabelecidas

que podem ser aplicadas para mitigar as vulnerabilidades

introduzidas pelas redes wireless

(52)

Conclusão

Redes 802.11

• O WPA é melhor que WEP mas ainda usa o RC4

• O 802.11i é um padrão que surge como solução, mas demanda desenvolvimento de novos

hardwares

• Enquanto aguardamos, devemos desenvolver soluções compostas:

– WEP com trocas de chaves, se possível – VPN

– Monitoração (ARP Watch)

(53)

Fim

Roberto Miyano Neto rneto@dba.com.br

Obrigado!