capítulo 5 – métodos de defesa.pdf
Post on 17-Dec-2015
26 Views
Preview:
TRANSCRIPT
-
Captulo 5 Mtodos de Defesa
Ricardo Antunes Vieira
29/05/2012
-
Neste trabalho sero apresentadas tcnicas
que podem proporcionar uma maior
segurana em redes Wi-Fi.
-
O concentrador se trata de um ponto muito
importante na rede, pois, atravs dele que
os clientes conseguem acesso a rede, em
casos de invaso, o meliante tem acesso casos de invaso, o meliante tem acesso
pleno a rede podendo alterar trafego dos
usurios para locais inseguros ou at mesmo
impossibilitar o acesso a rede.
-
No caso do concentrador, a defesa deve ser
bem pensada, pois, existem duas interfaces
para a conexo, sendo, sem fio e com fio.
-
Este recurso esta em todos os manuais de
boas praticas, sua utilizao muito
importante pelo fato de esconder o nome da
rede, dessa forma a rede s esta acessvel rede, dessa forma a rede s esta acessvel
para quem souber o nome da rede.
Este recurso tambm conhecido pela
denominao de Segurana por
obscuridade
-
A respeito desse mtodo de defesa, ele tem
alguma eficincia quando combinado a
outros mtodos, pois, apenas ele, deixa
algumas brecha de segurana, ex.algumas brecha de segurana, ex.
BEACONs;
Busca por concentrador ativos;
Requisio de associao;
Requisio de reassociao;
-
Portanto mesmo que no existam BEACONs
enviando o nome do ponto de rede, alguns
pacotes vo porta-lo, dessa forma podendo
ser capturados por algum atacante que ter ser capturados por algum atacante que ter
acesso a este nome.
Esta ao no costuma ser a melhor soluo
para garantir segurana na rede sem fio.
-
Este mtodo tambm baseado em
segurana por obscuridade, seu problema
quando toda segurana baseada na
obscuridade. Esse mtodo atrasa o atacante obscuridade. Esse mtodo atrasa o atacante
porem quando ele tem acesso a essas
informaes tem o caminho aberto para a
rede.
-
Ao substituir as informaes, o administrador
escolher dados que apresentem alguma
ligao com aparelho ou a empresa. Estes
parmetros devem receber ateno pois parmetros devem receber ateno pois
existem fermentas que conseguem capturar
todas as informaes disponveis.
-
Esta medida tambm leva como base a
obscuridade, dessa forma o administrador ao
instalar o condensador, define quais
endereos vo ter acesso a rede, dessa forma endereos vo ter acesso a rede, dessa forma
o atacante encontra mais dificuldades para
descobrir as caractersticas da rede.
-
Este mtodo utilizado quando o
administrador no tem como bloquear o
acesso a rede, ele funciona de forma que o
aparelho trabalha em conjunto com outro aparelho trabalha em conjunto com outro
equipamento, no existindo um endereo IP,
dessa forma impossibilitando o acesso
remoto.
-
Este mtodo apresenta alguns parmetros
que devem ser configurados, a falta de acesso
remoto pode ser resolvida com a adoo de
ponte com endereo IP de servio.ponte com endereo IP de servio.
Outro problema que alguns aparelhos no
suportam protocolos TKIP, AES e RADIUS.
-
Este mtodo apresenta algumas
caractersticas contrarias, no caso de invaso
ao cliente o atacante consegue informaes
de segurana de toda rede.de segurana de toda rede.
-
Conhecido como PSPF, este mtodo impossibilita ataques de usurios contra usurios na mesma rede, um exemplo que o atacante no consegue nem PINGAR para o atacante no consegue nem PINGAR para o outro usurio.
Uma falha que o trafego pode ser capturado pois a bareira esta apenas no rote amento. Quanto a informaes que trafegam no ar nica coisa que pode ser feita criptografar os dados.
-
Uma possibilidade feita com um
concentrador (AP), de forma que ele associe
um endereo IP a um endereo MAC. Dessa
maneira no ser possvel um atacante usar maneira no ser possvel um atacante usar
um clone de MAC. Pode sem implementado
em Windows e Linux.
-
A utilizao de um servidor RADIUS
possibilita a utilizao de vrios protocolos de
segurana em conjunto. Aps configurado os
parmetros de segurana devem ser parmetros de segurana devem ser
configurados os padres para clientes.
-
Mesmo sendo frgil a utilizao de WEP
ainda a nica possibilidade de aumentar a
segurana em algumas redes. Sua fragilidade
se da por possuir chaves de no Maximo se da por possuir chaves de no Maximo
64bits. Sua utilizao nos casos em que no
existem outras alternativas deve ser
combinada com outros mtodos, como por
exemplo o servidor RADIUS.
-
A autenticao no modelo TLS, realizada co
a troca de chaves ao iniciar a conexo,
tambm utilizado em conjunto com
RADIUS.RADIUS.
-
Um mtodo um pouco mais robusto de
segurana a utilizao de WAP ele
apresenta maior suporte na conexo 802.11x
em redes Ad-Hoc ele no consegue dar total em redes Ad-Hoc ele no consegue dar total
suporte. Ele funciona com chaves
compartilhadas, as chaves predefinidas so
alteradas periodicamente de forma
configurvel.
-
Tambm conhecida como WPA pessoal, tem
um grau de dificuldade na utilizao menor
que a WPA, sua configurao consiste de
selecionar (WPA-PSK) em ambos cliente e selecionar (WPA-PSK) em ambos cliente e
concentrador e definir uma chave mestra um
pouco complexa para que no seja fcil de
descobrir em um ataque de fora bruta por
exemplo.
-
No mtodo WPA-PSK qualquer usurio que
tenha acesso a estao ter
automaticamente acesso rede. No WPA-
Interprise um dos mtodos mais simples para Interprise um dos mtodos mais simples para
serem utilizados e o EAP_TTLS, ou seja cria
um tnel cifrado para a autenticao, pode
ser do tipo MD5, MSCHAP,OTP etc.
-
Uma VPN funciona no intuito de criar um
tnel seguro entre redes remotas, ou seja, ela
funciona de forma a garantir que a troca de
informaes entre maquinas que no esto informaes entre maquinas que no esto
na mesma rede seja possvel, direta e segura.
Um exemplo o SSH, atravs dele possvel
estabelecer uma conexo segura e rpida
entre maquinas remotas.
-
Independente da infra estrutura ou
protocolo, a utilizao de criptografia muito
importante, pois, dessa forma mesmo que os
dados sejam capturados o atacante no ter dados sejam capturados o atacante no ter
acesso as informaes. Para uma maior
eficcia preciso saber qual o problema para
escolher o mtodo que mais se encaixa a
situao para resolver o real problema.
-
Uma das solues mais simples e eficientes
a utilizao de senhas descartveis, funciona
de forma que a cada conexo do usurio ele
informa uma nova senha. Este servio pode informa uma nova senha. Este servio pode
ser implementado em varios metodos de
conexo como FTP, TELNET, POP3, ETC.
-
Este meto se trata de um dos meios mais
seguros, pois alem de poder ser combinado
com diversos outros mtodos que aumente a
segurana, cada certificados s valido segurana, cada certificados s valido
quando autenticado por algum rgo
conhecido e confivel.
-
Tambm existe a possibilidade de criar um
servidor de certificados, tendo ento a auto
certificao, no completamente seguro,
porem, uma opo.porem, uma opo.
-
Este fermenta possibilita a deteco de
varreduras e ataques, possui um recurso de
alert, este pode ter sadas SNMP e SMS.
Podem ainda existir vrios nveis de alertas. Podem ainda existir vrios nveis de alertas.
Ele detecta mau funcionamento ou pacotes
estranhos que estejam trafegando na rede.
-
Trata se de uma fermenta bastante robusta,
que facilita a criao e mudana das
assinaturas de pacotes suspeitos. Sua
limitao que s tem suporte em placas limitao que s tem suporte em placas
aironet. Outra funcionalidade interessante
desse programa a integrao com o
MySQL.
-
Snort uma ferramenta tradicional para a
deteco de ataques baseada em assinaturas,
pacotes mau-formados ou trafego estranho.
Porem ele no consegue dar suporte a todas Porem ele no consegue dar suporte a todas
as caractersticas da rede. Hoje ele apresenta
funes de at identificar a conexo de
concentradores no autorizados.
-
Sem duvidas essencial identificar
concentradores falsos, j que estes no se
movimentam dentro de um ambiente, ou
seja devem ser salvos logs de acessos de cada seja devem ser salvos logs de acessos de cada
concentrador no intuito de saber a
intensidade do sinal com isso tendo uma base
de sua distancia, assim possvel saber se um
clone de algum concentrador foi ligado em
algum lugar pela diferena de sinal.
-
Nos tempos hoje devem ser explorados
todos os recursos disponveis para garantir
uma conexo o to quanto segura for
possvel, para garantir a integridade e possvel, para garantir a integridade e
segurana da conexo de todos os usurios
ligados a uma determinada rede.
top related