Fernando Verissimo
Segurança em redes sem fio
Parte IV
Tópicos Especiais em Redes Integradas Faixa Larga Orientador: Prof. Luís Felipe M. de Moraes
Aluno: Fernando Verissimo
verissimo@ravel.ufrj.br http://www.ravel.ufrj.br/~verissimo
Segurança em redes sem fio
Fernando Verissimo 2
Referências Bibliográficas
1. Stallings, W. 1998. Cryptography and Network Security. 2nded. New Jersey:
Prantice-Hall. pp. 190-193;399-440;
2. Stubblefield, A., Ioannidis, J. and Rubin, A.D. 2001. Using the Fluhrer, Mantin, and Shamir Attack to Break WEP. ATT&T Labs Technical Report TD-4ZCPZZ. Rev. 2. Aug. 21, 2001;
3. Mariano, I. Da S. 2000. IPSec e DDos, Aspectos de Segurança em Redes TCP/IP. Seminário de Tópicos Especiais em Redes Integradas Faixa Larga. COPPE/Sistemas.
4. Meredith, G. 2001. Securing the Wireless LAN. Packet magazine. vol 13. no 3. Pp 74-77.
5. Orman, H. K. The OAKLEY Key Determination Protocol.
http://www.imib.med.tu-dresden.de/imib/Internet/Literatur/ISAKMP/draft-ietf-ipsec-oakley-02.txt. Last Access: 06-Dec-01.
Segurança em redes sem fio
Fernando Verissimo 3
Sumário
1.
Revisão;
2.
Soluções CISCO para
segurança em Wireless;
3.
Troca de chaves;
4.
IPSec;
5.
VPN.
Segurança em redes sem fio
Fernando Verissimo 4
Revisão
RC4 foi quebrado;
WEP é frágil e mesmo assim é pouco utilizado;
Existem dois softwares Netstumbler e WEPCracker,
capazes de quebrar o WEP;
Rivest diz que o RC4 não é tão frágil, mas o WEP
implementou o algoritmo de modo frágil.
Revisão
Sugestões para criar segurança
Habilitar o WEP;
Alterar o SSID e senhas defaults;
Evitar colocar o ponto de acesso perto da janelas. Instale-o próximo ao centro do prédio;
Criar uma tabela de endereços MAC nos APs; Instalar sistema de autenticação extra (Ex. RADIUS);
Criar sub-redes independentes para a rede sem fio. Desabilitar DHCP;
Vários fabricantes comercializam soluções proprietárias com camada adicional de segurança sobre o 802.11b.
Soluções CISCO
Autenticação Mutua
Evita que alguém se posicione no meio de uma comunicação depois que um cliente verdadeiro já tenha se autenticado;
Utiliza o protocolo criado pela CISCO, baseado no EAP (Extensible Authentication Protocol);
Segurança em redes sem fio
Fernando Verissimo 7
Soluções CISCO
Chave dinâmica no WEP
Diminui a probabilidade de se encontrar duas cadeias RC4(k,v) iguais;
Uma chave é disponibilizada no ato da autenticação e sua vida dura enquanto durar a sessão.
Segurança em redes sem fio
Fernando Verissimo 8
Solução CISCO
Política de Reautenticação
Obriga uma autenticação a cada período de tempo (30 minutos);
Força que uma outra chave seja atribuída a essa sessão.
Segurança em redes sem fio
Fernando Verissimo 9
Solução CISCO
Troca de Vetor de Inicialização
Alterar o IV a cada emissão de pacote, como a maioria das implementações;
A cada sessão começa com um valor para o IV, aleatoriamente escolhido, e não com 0, como na maioria das implementações.
Fernando Verissimo
Algoritmo Diffie-Hellman
para troca de chave
Utilizados em algoritmos de criptografia
simétricos para intercâmbio de chaves.
10
Segurança em redes sem fio
Fernando Verissimo 11
Diffie-Hellman Key Exchange
q
Y
A
Usuário
A X A=
α
mod
Y
q
B
Usuário
B X B=
α
mod
b
cada
para
único
é
i
q
b
i
b
q
primo
é
q
i→
=
Ι
∈
<
,
,
α
mod
α
Dé chamada de raiz primitiva
Segurança em redes sem fio
Fernando Verissimo 12
Diffie-Hellman Key Exchange
( )
Y
q
K
A
Usuário
A X Bmod
=
K
( )
Y
q
B
Usuário
B X Amod
=
( )
(
)
( )
( )
(
q
)
q
( )
Y
q
q
q
q
q
q
Y
K
B B A B A A B A B A X A X X X X X X X X X Bmod
mod
mod
mod
mod
mod
mod
mod
=
=
=
=
=
=
α
α
α
α
Segurança em redes sem fio
Fernando Verissimo 13
Diffie-Hellman Key Exchange
(
A)
A
q
Y
X
=
log
α.
δ
+
– Uma vez que X é um número primo e é grande, fica computacionalmente inviável calcular o logaritmo discreto
Fernando Verissimo
IPSec
Desenvolvido pelo IETF (Internet Engineering Task Force)14
Segurança em redes sem fio
Fernando Verissimo 15
Aplicações de IPSec
Tornam VPN (Virtual private network) seguras;
Conexões seguras com Provedor de Acesso à
Internet;
Extranet;
Segurança em e-commerce.
Segurança em redes sem fio
Fernando Verissimo 16
Benefícios do IPSec
O IPSec pode ser instalado no Firewall ou no
roteador e ser aplicado em todo tráfego que cruza o
perímetro da rede, fortalecendo o firewall, caso todo
tráfego que venha de fora seja IP;
IPSec está abaixo da camada de transporte (TCP,
UDP) e também é transparente para a camada de
aplicação.
IPSec é transparente para os usuários finais. Não há
necessidade de treinamento.
Pode dar segurança para um único cliente. Próprio
para funcionários que atuam fora do escritório.
Vantagens do IPSec
Controle de acesso;
Integridade de pacotes;
Autenticação da origem;
Privacidade dos pacotes;
Privacidade em fluxo de pacotes;
Proteção contra replays.
Componentes
O IPSec é dividido em 3 protocolos:
AH (Authentication Header)
Provê serviços de autenticação, integridade e anti-replay;
ESP (Encapsulating Security Payload)
Provê os serviços de criptografia dos dados e, opcionalmente autenticação e anti-replay;
IKE (Internet Key Exchange)
É um protocolo híbrido, formado pelo ISAKMP (Internet Key Management Protocol) e pelo Oakley. É responsável por gerar um meio seguro para troca de chaves pela rede.
Segurança em redes sem fio
Fernando Verissimo 19
Security Associations
Relação unidirecional entre a origem e o destino que
presta serviços de segurança para o tráfego entre os
dois pontos;
Se o tráfego é dual, então duas SAs devem ser
estabelecidas; Várias SAs podem ser estabelecidas
entre dois nós;
É uma estrutura dinâmica. Só existe enquanto
houver a sessão.
Segurança em redes sem fio
Fernando Verissimo 20
Security Associations
Uma SA é identificada por 3 parâmetros:
SPI (Security Parameters Index)
Uma cadeia de bits associada à SA, que só tem significado local. É transportada no cabeçalho do AH ou ESP para habilitar o sistema destinatário a selecionar a SA sob o qual o pacote recebido será processado.
Endereço IP destino
Endereço destino do pacote.
Identificador de Protocolo de Segurança
AH ou ESP
Segurança em redes sem fio
Fernando Verissimo 21
Parâmetros do SA
Contador Sequencial Numérico
Um valor de 32 bits usado para gerar o campo de Número Seqüencial do cabeçalho AH ou ESP;
Estouro do Contador de Seqüencial
Flag que indicando se o overflow no SNC deve gerar um log para auditoria e prevenir contra futuras transmissões nessa SA;
Janela Anti-Replay
Usado para identificar pacotes de replay;
Informação de AH
Algoritmo de autenticação, chaves, tempo de vida das chaves, e outros parâmetros relativos ao AH.
Segurança em redes sem fio
Fernando Verissimo 22
Parâmetros do SA
Informação de ESP
Algoritmo de criptografia e autenticação, chaves, vetor de inicialização, tempo de vida das chaves, e outros parâmetros ligados ao ESP;
Tempo de vida dessa SA
Tempo ou Número de bytes;
Modo do Protocolo IPSec
“Tunelamento” ou transporte
Segurança em redes sem fio
Fernando Verissimo 23
Modos Túnel e Transporte
O modo de transporte é utilizado para prover
segurança nas camadas mais altas do protocolo,
para comunicações do tipo fim-a-fim (cliente-servidor
ou entre duas estações).
ESP em modo de transporte cifra e opcionalmente autentica o payload do IP mas não o cabeçalho do IP. O AH em modo de transporte autentica o payload do IP e partes do cabeçalho do IP.
Segurança em redes sem fio
Fernando Verissimo 24
Modos Túnel e Transporte
O modo de túnel provê proteção para pacote IP
inteiro.
O pacote inteiro é cifrado e um novo cabeçalho é inserido, aumentando o tamanho do pacote. O modo túnel é utilizado quando tanto o nó origem, quanto o destino são gateways; O endereço real da origem e do destino ficou cifrada.
Segurança em redes sem fio
Fernando Verissimo 25
ESP – Encapsulation Security Payload
Funciona com vários algoritmos de criptografia:
DES RC5 IDEA CAST Blowfish
Criptografia campos payload, padding, tamanho do
padding e o próximo cabeçalho.
Fernando Verissimo
VPN
26
Segurança em redes sem fio
Fernando Verissimo 27
VPN
Virtual Private Networks;
VPN é um tempo genérico utilizado para qualquer tecnologia que garanta comunicação segura sobre a internet pública; Ela cria um túnel entre osgateways para proteger os dados privados enquanto navegando na internet;
O tunelamento, em VPN, é o processo de cifrar todo o pacote IP em pacotes IPSec.
Intenet
Túnel
Segurança em redes sem fio
Fernando Verissimo 28
VPN
VPN pode ser utilizado para os seguinte tipos de
conexões:
Cliente-Rede – Utilizado por trabalhadores que não
trabalham em um lugar fixo e necessitam de mobilidade. Um túnel VPN para cada cliente;
Rede-Rede – As VPNs ligam duas redes usando um único
túnel que cuida de todo tráfego entre as duas redes;
Intranet – VPNs permitem que escritórios acessem, com
segurança, aplicações TCP/IP na intranet corporativa;
Extranet – VPNs viabilizam o acesso à extranet corporativa
por vendedores, parceiros comerciais e clientes.
Resumo do seminário
Próxima apresentação
Pouco foi estudado sobre o tema de Segurança,
porém bastantes coisas novas para mim foram
vistas;
Introdução ao tema de segurança; Tecnologias de rede sem fio; WEP;
Algoritmos de Criptografia, Hash, Autenticação; Quebra do algoritmo RC4;
Quebra do WEP; IPSec; E outros…