a evolução dos mecanismos de segurança para redes sem fio 802.11
TRANSCRIPT
Agenda
• Introdução a redes wireless– Requisitos de Segurança
• Recursos de (in)segurança em redes 802.11b– Mecanismos de segurança nativos, controle de acesso– Vulnerabilidades nos protocolos– Problemas comuns de configuração– Problemas nos equipamentos
• Ataques– Ataques de autenticação, Hijacking– Problemas de chave, Wardriving e Warbiking
Agenda
• Defesas– Resposta dos fabricantes– Evolução dos protocolos– WPA– 802.11i– VPNs, criptografia e Controle de acesso– Configurações rígidas– Isolamento e Monitoração
• Conclusões
Objetivos
• Dar uma visão geral da tecnologia sem fio 802.11 e alguns cenários de uso
• Compreender os recursos de segurança providos pelo padrão 802.11b
• Atentar para as fraquezas do padrão, ataques comuns, particularmente fáceis ou especialmente não-intuitivos
• Estabelecer uma ligação com os ataques clássicos• Discorrer sobre as comunidades de exploradores de redes
wireless• Propor e discutir formas práticas de mitigar as
vulnerabilidades
Introdução a Redes Wireless
Redes 802.11b• Camada Física:
– Direct Sequence Spread Spectrum (DSSS)– Frequency Hopping Spread Spectrum (FHSS)– Banda ISM de 2.4 a 2.5GHz
• Velocidades (bitrates):– 1, 2, 5.5, 11Mbps (802.11b), 54Mbps (11a, 11g)
• Alcance típico:– 50 metros em ambientes fechados, 500 metros ao ar livre– Pode variar fortemente dependendo da potência, tipo e disposição
das antenas, cobertura por APs, amplificadores– Antes externas direcionais podem chegar a 400 m– Configurações especiais podem chegar a mais de 20 Km
DSSS
FHSS
Introdução a Redes Wireless
Topologias• Modo Infra-Estrutura: estende a cobertura geográfica da
rede LAN convencional (“de infra-estrutura”) através da cobertura da rede sem fio– Access Point (AP): bridge [WLAN] [LAN]– Célula: área coberta por um AP– Basic Service Set (BSS): “conjunto de serviços básicos” de uma
célula– Extended Service Set (ESS): “conjunto de serviços estendido”
oferecido por todas as células de uma rede de infraestrutura• Modo Ad-Hoc:
– Interconexão direta “peer-to-peer” sem APs de dispositivos em uma mesma área (em uma sala, digamos)
– Dispensa a “rede infra-estrutura” (LAN convencional cabeada)
Introdução a Redes Wireless
Resumindo
• Filosofia de projeto:
Fácil instalação + Fácil acesso=
Problema de Segurança
(é claro que os engenheiros pensaram em tudo ...)
Introdução a Redes Wireless
Requisitos de Segurança• Criptografia e Privacidade
– “dados cifrados não devem decifrados por pessoas não autorizadas”
• Autenticação e Controle de Acesso– Identificar, Autenticar, Autorizar usuários, servidores,
Aps– Framework
Recursos de (in)segurança
WEP – Wired Equivalency Privacy• Criptografia e autenticação no nível do link
wireless– Ou seja, não provê segurança fim-a-fim– Em outras palavras, só no trecho wireless– Furadíssimo, como veremos adiante
• Não prescinde outros mecanismos “tradicionais” de segurança– Muito pelo contrário, torna-os muito mais necessários,
dado que introduz vários novos riscos
Recursos de (in)segurança
WEP – Serviços• Autenticação: garantir que apenas estações
autorizadas possam ter acesso à rede– Somente pessoas autorizadas podem se conectar na
minha rede?– Confidencialidade: dificultar que um interceptador
casual compreenda o tráfego capturado– Somente as pessoas autorizadas podem ver meus
dados?• Integridade:
– Temos certeza que os dados transitando na rede não foramadulterados?
Recursos de (in)segurança
WEP – Autenticação• Não-criptográfica:
– Modo aberto: SSID nulo– Modo fechado: requer SSID
específico– Trivialmente suscetível a ataque
de replay
Recursos de (in)segurança
WEP – Autenticação• Criptográfico:
– Desafio-resposta rudimentar para provar que o cliente conhece a chave WEP
– O AP autentica o cliente– O cliente não autentica o AP– Suscetível a vários ataques, inclusive o famoso “man-in-themiddle”
Recursos de (in)segurança
Criptografia do WEP – RC4• Algoritmo de cifragem proprietário da RSADSI
– Otimizado para implementação rápida em software– Era segredo industrial da RSADSI até ser analisado por
engenharia reversa e postado na rede em 1994.– Implementável de cabeça em pouco mais de um
minuto.– Chave de até 2048 bits– Stream cipher: entrada e saída de 8 bits (1 byte) de
cada vez– Desconfortavelmente simples, mas seguro se usado
com algumas precauções
Recursos de (in)segurança
Críticas a Criptografia do WEP• Gerenciamento de chaves
– Totalmente manual• Chaves raramente são mudadas (quando em absoluto)• Mudar chaves de centenas ou milhares de placas em uma
instalação típica é insano• Tamanho de chaves pequeno
– A maior parte das placas/instalações só suporta 40 bits• Feito, à época, para evitar problemas de exportação• Placas com cripto de 104 bits custam bem mais caro e são
mais raras• Padece de várias fraquezas criptográficas fundamentais
Recursos de (in)segurança
Críticas a Criptografia do WEP• IV de 24 bits é muito pouco
– O padrão WEP não especifica como gerar o IV– Algumas placas o fazem sequencialmente
• Fácil de prever e detectar• E ainda resetam para zero quando o cartão é
reinserido• O IV é repetido a cada 4823 pacotes• O CRC torna trivial descobrir se você acertou o
par (IV, K)
Recursos de (in)segurança
Criptografia: Propriedades• Propriedades do (XOR):⊕
– a a = 0⊕– a 0 = a⊕
• Isso torna perigoso jamais reusar a mesma chave:– c1 = p1 RC4(k,IV) e c2 = p2 RC4(k,IV)⊕ ⊕– c1 c2 = ( p1 RC4(k,IV) ) ( p2 RC4(k,IV) )⊕ ⊕ ⊕ ⊕– = p1 p2 RC4 (k,IV) RC4 (k,IV)⊕ ⊕ ⊕– = p1 p2⊕
• Pacotes IP tem cabeçalhos previsíveis ou fixos que tornam fácil prever ou deduzir p1 p2⊕
Recursos de (in)segurança
Integridade WEP• CRC (Cyclic Redundancy Check) de 32 bits é computado
para cada pacote e anexado ao pacote– CRCs são otimizados para detectar erros de transmissão– São notoriamente inadequados para prover garantias
criptograficamente aceitáveis contra adulteração intencional
• Também burlável:– É viável fazer alterações no texto cifrado e “compensar” o CRC
• Já aconteceu outras vezes, no SSH1 e no PPTP da MS– Deveria ter sido usado um MAC (Message Authentication Code)
com resistencia criptográfica, à base de MD5 ou SHA1
Recursos de (in)segurança
Aps Impostores• Em redes em modo abertas, quem impede um
atacante de instalar seu próprio AP?• Mesmo em redes fechadas, descobrindo-se os
parâmetros e a chave WEP, fica fácil montar ataques man-in-the-middle
• É visível, porém, para alguns softwares de monitoração
Recursos de (in)segurança
Backdoors nos firmwares• Envia-se a string “gstsearch” em um broadcast (!) para a
porta UDP 27155 e o AP responde com:– Senha do administrador– Chave mestra WEP– Filtro de MAC
• Testado como vulnerável: WISECOM GL2422AP-0T• Suspeita-se vulnerável (baseado no mesmo firmware):
– D-Link DWL-900AP+ B1 version 2.1 and 2.2– ALLOY GL-2422AP-S– EUSSO GL2422-AP– LINKSYS WAP11-V2.2
Ataques
Ataques clássicos• Todos os ataques clássicos de TCP/IP se aplicam
normalmente – amplo playground:– ARP spoofing: redirecionar tráfego para o impostor via
falsificação/personificação do endereço MAC– DNS spoofing: redirecionar tráfego para o impostor via adulteração
dos pacotes DNS– Smurf: sobrecarga de broadcasts para negação de
serviço/saturação do canal– DHCP spoofing: servidor DHCP impostor força configuração
imprópria dos clientes• Chaves má escolhidas
– Suscetíveis a ataques clássicos de dicionário– Muitos drivers e/ou admins colocam senhas em ASCII = 7o bit é
sempre zero
Ataques
Warchalking• Marcas com giz identificando
locais onde há conectividade wireless e os parâmetros da rede
http://www.blackbeltjones.com/warchalking/index2.html
Ataques
WorldWideWarDriving.org• Esforço para mapear Aps
http://www.worldwidewardrive.org/
Defesas
Resposta dos Fabricantes (Wi-Fi)• Aumentar o tamanho da chave WEP Compartilhada
(Agere 152 bits, US Robotics 256 bits) apenas adia a descoberta
• Problemas com performance• Troca dinâmica de chaves (Cisco e Microsoft)• Overhead na transmissão (802.11b)• Falta de Interoperabilidade• Wi-Fi propõe o WPA• IEEE Task Group “I” standard 802.11i
Defesas
WPA – Wi-Fi Protected Access• Novo padrão de autenticação mútua - EAP• TKIP – Temporal Key Integrity Protocol• Michael Message Integrity Check
Defesas
WPA – EAP• Novo padrão de autenticação mútua
– Suplicante, Autenticador, Servidor de Autenticação RADIUS– Atualização de Firmware– Compatibilidade com Hardwares legados
Defesas
WPA – EAP• Procedimentos de Autenticação:
– Um suplicante inicia uma conexão com um autenticador. O autenticador detecta a ocorrência e habilita uma porta para o suplicante. Entretanto, excluindo o trafego definido pelo 802.1X, todos os outros estão bloqueados.
– O autenticador requer a identificação do suplicante.– O suplicante responde com a identificação que é imediatamente
repassada para o servidor de autenticação.– O servidor autentica a identidade do suplicante e envia uma
mensagem do tipo ACCEPT para o autenticador. O autenticador muda o estado da porta para autorizado.
– O suplicante requisita a identificação do servidor. O servidor atende.– O suplicante valida a identificação do servidor e todo trafego é
liberado.
Defesas
WPA – EAP• EAP – LEAP usuário e senha / Cisco Systems• EAP – TLS (RFC2716) utiliza certificados digitais X.509• EAP – TTLS like EAP – TLS; suplicate utiliza senha
para se autenticar / Funk Software• EAP – PEAP evolução do EAP• Pre – Shared Key like WEP; manter compatibilidade
Defesas
WPA – TKIP Temporal Key Integrity Protocol• Chave Compartilhada de 128 bits• Um IV de 48 bits• MAC Address
• Mantém o RC4 Compatibilidade• Trocas de chave a cada 10.000 pacotes
Defesas
WPA – Michael Message Integrity Check• Substitui o CRC• MIC (Message) - Redundância de 64 bits calculada com o
algoritmo “Michel”• Verifica erros na transmissão• Detecta manipulação deliberada
Defesas
WPA – Conclusão• Resolve diversos problemas conhecidos do WEP:
– Autenticação Mútua– TKIP– Michael Message Integrity Check
• Entretando, WPA ainda não é a solução definitiva:– Criptografia Fraca– WPA2 substituição do RC4 pelo AES.– Queda de Performance
Defesas
802.11i• Resolve problemas conhecidos do WPA:
– Novo Padrão IEEE – Draft 3– Poucos hardwares compatíveis– Autenticação Mútua – EAP – Mantém TKIP Compatibilidade– Introduz o CCMP (Counter Mode with Cipher Block Chaning
Message Authentication Code Protocol) AES – Necessidade de uso de co-processadores criptográficos devido a
utilização do algoritmo AES.– Novos Protocolos
• RSN (Substituo padronizado do WEP) – Robust Security Network (EAP, CCMP, Michael)
• WRAP – Wireless Robust Authentication Protocol– Suporta Roaming
Defesas
Procedimentos• Segmentação e contenção usando firewalls• Configuração minuciosa dos Aps• Blindagem e firewalling dos clientes• Monitoração• VPNs (Redes Virtuais Privadas)• Blindagem do Aps• Controle o serviço IP
Defesas
Firewalls• Elimina o bridging
– Contém os broadcasts– Só permite tráfego IP
• Objetivo primário– Defender a rede cabeada “Infrastructure Network”
• Firewalling avançado– Controle de banda/QoS– Autenticação dinâmica– Bridge firewalling
Defesas
Configuração minuciosa dos APs• Permite gerenciamento e oferecimento de
serviços mais granular– Firewalling, DHCP, VPN, etc.
• OpenBSD e Linuxes fazem bons APs• Possivelmente não provê alguns recursos
avançados de alguns APs– Roaming, etc.
Defesas
“Blindagem” das estações• Firewalls em cada nó móvel• Objetivo primário
– Defender os nós móveis uns dos outros• Trabalhoso de manter
– Requer procedimentos operacionais rígidos e sempre atualizados.
Defesas
Monitoração: ARP Watch• Sniffer especializado em pacotes ARP
– Reporta mudanças nos MACs <-> IPs via e-mail adm.
Defesas
VPN – Vitual Private Network• Encapsulamento IP-IP com criptografia
– IPSec em modo túnel:• IPSec nativo no OpenBSD, Free S/WAN no Linux
– Outras soluções de VPN: PPTP, vtun em vários Unixes, L2TP– Integração com o firewall no cliente e/ou desktop policies– Requerem infra-estruturas de gerenciamento de chaves
• Requer Certificados digitais, shared secrets, etc.– Potencialmente introduz criptografia forte nas camadas IP e acima
• Não protege ARP e outros protocolos layer 2– Alguns probleminhas sempre aparecem
• Timeout na primeira conexão por causa de negociação de chaves
Defesas
Blindagens de APs• Troque todas as configurações de fábrica e mantenhanas• assim
– Troque as senhas padrão e os nomes das comunidades SNMP
• De preferência, troque-as frequentemente• Se você não usa SNMP, desabilite-o
– Mude os SSIDs– Mude o canal padrão
• Controle a função de reset do AP– Evitar volta às configurações padrão de fábrica
Defesas
Blindagens de APs• Procure usar as versões do firmware mais recentes
– Mas no modelo de código fechado, não há garantias de que não haja backdoors
• Use criptografia WEP– Ela não resolve, mas dificulta, ainda que por poucas horas
• Use MAC-filtering/ACLs onde apropriado– Também não resolve, mas ajuda– Pode se tornar um fardo maior que um benefício se as ACLs
ficarem grande
• Gerencie– Reinventarie e audite a base instalada regularmente
Defesas
Controle o serviço IP• DHCP
– Restrito por MAC: mesmo overhead de gerenciamento por não escalar para um grande número de estações
– DHCP Honeypots/Visitor service: serviço diferenciado para “visitantes” e “internos”
• “Se não pode vencê-los, junte-se a eles”... ou melhor, deixe que se juntem a você, mas de forma limitada e controlada
• Monitoraçao/QoS diferenciado imposto para os visitantes• Arpwatches em todo lugar• Links redundantes e roteamento dinâmico
– Resistência a ataques a quedas naturais e ataques de negação de serviço
Conclusão
Redes 802.11• A tecnologia 802.11 é prática, cômoda, “cool”, mas seus
recursos de segurançã são mal projetados em vários aspectos, expondo inaceitavelmente o trafego.
• Como sempre, sobra para o administrador de rede combinar múltiplas tecnologias para prover segurança em profundidade– Segurança não é plug-and-play– Intelectualmente oneroso– Fatores culturais e a atitude de segurança
• • Há várias tecnologias e estratégias bem estabelecidas que podem ser aplicadas para mitigar as vulnerabilidades introduzidas pelas redes wireless
Conclusão
Redes 802.11• O WPA é melhor que WEP mas ainda usa o RC4• O 802.11i é um padrão que surge como solução,
mas demanda desenvolvimento de novos hardwares
• Enquanto aguardamos, devemos desenvolver soluções compostas:– WEP com trocas de chaves, se possível– VPN– Monitoração (ARP Watch)