1. SEGURANÇA DE REDES SEM FIO – PROTEGENDO OS QUADROS CONTRA ATAQUES
DE NEGAÇÃO DE SERVIÇO
Marcos Antonio Costa Corrêa Júnior
Revista Eletrônica Eng Tech Science
ANO I, Vol. 01, N. 1 | Jaboatão dos Guararapes - PE | 2014
24
SEGURANÇA DE REDES SEM FIO – PROTEGENDO OS
QUADROS CONTRA ATAQUES DE NEGAÇÃO DE
SERVIÇO
Marcos Antonio Costa Corrêa Júnior1
RESUMO
Após anos de trabalho do Task Group W, o IEEE lançou, em 2009, o IEEE
802.11w, uma emenda ao padrão IEEE 802.11-2007, que incluía, mas não se
limitava à proteção dos action management frames, deauthentication e
disassociation frames. Esta emenda demonstra a intenção do IEEE em
proteger as redes Wi-Fi dos ataques de negação de serviço, mas não
contemplou mecanismos de proteção aos quadros de controle e, por isso, a
rede continua susceptível a ataques a estes quadros. Este trabalho enfatizará
os variados quadros de controle e suas respectivas utilidades, ilustrará quais os
principais ataques além de descrever a proteção trazida com o padrão IEEE
802.11w. Será feita uma análise crítica das contramedidas propostas pela
comunidade científica para proteção dos quadros não protegidos pelo padrão.
Por fim, apontaremos a direção para a concepção de uma forma segura e
eficiente de proteger mensagens de controle contra os ataques de negação de
serviço conhecidos.
Palavras-chave: IEEE 802.11. Negação de Serviço. Segurança. Quadros de
Gerenciamento. Quadros de Controle.
ABSTRACT
After years of work of the Task Group W, the IEEE launched, in 2009, the IEEE
802.11w, an amendment to the IEEE 802.11-2007 standard, that included, but
not limited to the protection of action management frames, deauthentication and
disassociation frames. This amendment demonstrates the intention of IEEE in
protect the Wi-Fi networks from denial of service, but did not include protection
mechanisms for control frames and, therefore, the network remains susceptible
to attacks in these frames. This work will emphasize the various control frames
and their respective utilities, will illustrate the main attacks, besides it will
describe the protection brought to the IEEE 802.11w standard. This will bring a
critical analysis of the countermeasures proposed by the scientific community to
protect the control frames not protected by the standard. Finally, we will point
the direction for designing in a safe and efficient way of protecting control
messages against known denial of service attacks.
1
Engenheiro Eletrônico pela Universidade de Pernambuco, Mestre em Ciências da Computação pela
Universidade Federal de Pernambuco, Especialista em Criptografia e Segurança de Redes pela
Universidade Federal Fluminense, Especialista em Perícia Forense Computacional pela Faculdade AVM.
Professor adjunto da Faculdade dos Guararapes. (Autor Correspondente) E-mail:
prof.marcos.correa@gmail.com
2. SEGURANÇA DE REDES SEM FIO – PROTEGENDO OS QUADROS CONTRA ATAQUES
DE NEGAÇÃO DE SERVIÇO
Marcos Antonio Costa Corrêa Júnior
Revista Eletrônica Eng Tech Science
ANO I, Vol. 01, N. 1 | Jaboatão dos Guararapes - PE | 2014
25
Keywords: IEEE 802.11. Denial of Service. Security. Management Frames.
Control Frames.
1 INTRODUÇÃO
1.1 HISTÓRICO DA SEGURANÇA DE REDES SEM FIO
O padrão IEEE 802.11 propôs inicialmente o WEP, que usa o algoritmo
RC4 com uma chave previamente compartilhada para proteger os quadros de
dados. O WEP demonstrou-se frágil e cheio de vulnerabilidades (TEWS, 2007).
Diante da ineficácia do WEP, os seguintes protocolos foram surgindo ao
longo dos anos: WPA (WI-FI ALLIANCE, 2003) e o WPA2 (IEEE 802.11i,
2004). Esses mecanismos passaram a assegurar confidencialidade,
integridade e autenticidade aos quadros de dados. Nenhum dos mecanismos
criados até 2004 (WEP, WPA e WPA2) foi concebido com a ideia de fornecer
segurança a quadros de gerenciamento e a quadros de controle. Dentro do que
se esperava dos protocolos WPA e WPA2, eles foram muito bem sucedidos,
mas os quadros de gerenciamento e controle continuavam trafegando de forma
insegura, permitindo que ataques de negação de serviço (Denial-of-Service –
DoS) lograssem facilmente êxito.
O IEEE 802.11w (2009) veio para proteger os quadros de
gerenciamento, a fim de assegurar que os dispositivos passem a trocar
quadros de gerenciamento protegidos, de forma que ataques de negação de
serviço que exploram as vulnerabilidades destes quadros, como, por exemplo,
ataque por desconexão falsa, não sejam mais possíveis.
Para evitar ataques de DoS, é necessário um mecanismo que
complemente o IEEE 802.11w, pois os quadros de controle continuam sem a
padronização de mecanismos de segurança e muitos ataques são eficazes na
geração da negação de serviço.
3. SEGURANÇA DE REDES SEM FIO – PROTEGENDO OS QUADROS CONTRA ATAQUES
DE NEGAÇÃO DE SERVIÇO
Marcos Antonio Costa Corrêa Júnior
Revista Eletrônica Eng Tech Science
ANO I, Vol. 01, N. 1 | Jaboatão dos Guararapes - PE | 2014
26
1.2 ATAQUES DE NEGAÇÃO DE SERVIÇO (DoS)
Com a publicação do IEEE 802.11w, os ataques de negação de serviço
que exploravam as vulnerabilidades dos quadros de gerenciamento já
receberam o devido tratamento.
Os quadros de controle, que são usados principalmente para a reserva
do canal de comunicação e para confirmação do recebimento de alguns tipos
de quadros, permanecem desguarnecidos, e podem ser usados para causar
indisponibilidade da rede. O combate aos ataques de negação de serviço pela
exploração das vulnerabilidades destes quadros é sem dúvida o novo desafio
das redes sem fio.
Bellardo e Savage (2003) há muito tempo publicaram um trabalho que já
alertava para os riscos de ataques de negação de serviço. O tema permanece
atual, com diversas publicações recentes (RACHEDI; BENSLIMANE, 2009;
MYNENI; HUANG, 2010; MALEKZADEH; GHANI; SUBRAMANIAM, 2011).
2 QUADROS DE GERENCIAMENTO E DE CONTROLE
Antes da definição de um padrão, a falta de proteção dos quadros de
gerenciamento era uma vulnerabilidade que atingia tanto as redes sem fio que
possuíam segurança habilitada através do WPA, quanto as que possuíam
segurança habilitada através do WPA2, pois nenhum deles foi concebido para
proteger os quadros de gerenciamento. O problema da ausência de proteção
para os quadros de gerenciamento agravou-se à medida que surgiam
aperfeiçoamentos e acrescentavam-se funcionalidades ao padrão original.
Negligenciada durante um bom período de tempo a segurança dos
quadros de gerenciamento encontra no padrão IEEE 802.11w um esforço para
sanar suas vulnerabilidades. Os quadros de gerenciamento e,
consequentemente, todas as redes sem fio estavam sujeitas a inúmeros
potenciais ataques de negação de serviço, e o 802.11w deveria potencializar a
credibilidade na segurança de redes sem fio. O grupo responsável pelo
4. SEGURANÇA DE REDES SEM FIO – PROTEGENDO OS QUADROS CONTRA ATAQUES
DE NEGAÇÃO DE SERVIÇO
Marcos Antonio Costa Corrêa Júnior
Revista Eletrônica Eng Tech Science
ANO I, Vol. 01, N. 1 | Jaboatão dos Guararapes - PE | 2014
27
desenvolvimento do padrão IEEE 802.11w já surgiu com a incumbência de
proteger os quadros de gerenciamento, criar uma solução fácil de implantar e
que viesse a ser uma especificação compatível com os padrões de segurança
preexistentes.
Tradicionalmente, os quadros de gerenciamento não contêm
informações sigilosas e, por isso, talvez gerassem a falsa impressão de que
não precisavam de proteção. Com o advento do fast handoff, a medição dos
recursos de rádio, esquemas de descoberta e gerenciamento de redes sem fio
(fornecidos por novas emendas), informações novas e altamente sensíveis
começaram a ser trocadas por meio destes quadros sem que houvesse
segurança.
Com a chegada do 802.11w, o IEEE corrige um pensamento, até então
predominante, de que só os quadros de dados é que precisavam de
segurança; e ratifica a importância de estender a segurança além destes
quadros. O documento que reúne as especificações do 802.11w é o IEEE Std
802.11w-2009, como foi proposto, ele é uma emenda do documento IEEE Std
802.11-2007 e foi publicado pelo IEEE em 30 de setembro de 2009.
Os objetivos do trabalho do TGw do IEEE podem ser resumidos em:
1 - Aumentar a segurança, fornecendo confidencialidade, integridade
dos quadros de gerenciamento, autenticidade de origem e a proteção contra
replay.
2 - Proteger a rede sem fio contra perturbações causadas por
dispositivos maliciosos que forjam solicitações de desassociação que parecem
ter sido enviados por um equipamento válido.
Encerrada, aprovada e publicada, a especificação 802.11w traz em seu
bojo a possibilidade de as estações negociarem uma proteção para os quadros
de gerenciamento, de forma que, uma vez negociada esta proteção, alguns
ataques de negação de serviço por desconexão forjada (realizados através da
notificação de desassociação, desconexão, da requisição de associação ou
autenticação para conexões já existentes) deixam de ser realizáveis.
5. SEGURANÇA DE REDES SEM FIO – PROTEGENDO OS QUADROS CONTRA ATAQUES
DE NEGAÇÃO DE SERVIÇO
Marcos Antonio Costa Corrêa Júnior
Revista Eletrônica Eng Tech Science
ANO I, Vol. 01, N. 1 | Jaboatão dos Guararapes - PE | 2014
28
Para os casos das notificações falsas de desassociação (ou de
desautenticação), temos que, por se tratar de uma notificação e não de uma
requisição, em princípio, qualquer das partes em uma associação (estação ou
ponto de acesso) poderia invocá-la, porém, para os casos em que a proteção
de quadros de gerenciamento foi negociada antes de a desassociação ser
efetivada, uma checagem da integridade da mensagem é realizada. Se essa
checagem falhar, a notificação não é considerada válida. Para os casos de
requisição de associação, ou de requisição de autenticação para estações que
já têm uma conexão estabelecida, foram adicionados mecanismos de proteção
conhecidos como Security Association (SA) que são adicionados para evitar
que esses falsos pedidos de (re)associação ou (re)autenticação desconectem
um cliente que já está com uma conexão válida estabelecida (IEEE 802.11w,
2009).
.Para quadros de dados que seguem os padrões WPA e WPA2, e para
quadros de gerenciamento robustos (compatíveis com a emenda IEEE
802.11w), existe um mecanismo de proteção contra replay. O mecanismo de
detecção de replay define uma maneira pela qual uma estação que recebe
dados ou quadros de gerenciamento robustos (Robust Management) de outra
estação, possa detectar se o quadro recebido é uma retransmissão não
autorizada. Esse mecanismo, conhecido como BIP replay protection
(Broadcast/Multicast Integrity Protocol replay protection), consiste na
manutenção por parte do receptor, de um contador de replay de 48 bits para
cada IGTK (chave de integridade temporal para o grupo). O receptor deve setar
o valor do contador de replay para o número de pacote da chave IGTK (IGTK
Packet Number - IPN). Se o receptor estiver com proteção aos quadros de
gerenciamento ativada e não for possível identificar uma chave IGTK, ou ela
não existir, o quadro é descartado. Se houver um valor, o receptor deverá
interpretar o IPN recebido e compará-lo ao contador de replay recebido para
aquela IGTK; se o valor do IPN recebido for menor ou igual ao valor do
contador de replay desta IGTK, o receptor deve descartar o quadro e
incrementar em uma unidade os números de quadros que foram recebidos e
6. SEGURANÇA DE REDES SEM FIO – PROTEGENDO OS QUADROS CONTRA ATAQUES
DE NEGAÇÃO DE SERVIÇO
Marcos Antonio Costa Corrêa Júnior
Revista Eletrônica Eng Tech Science
ANO I, Vol. 01, N. 1 | Jaboatão dos Guararapes - PE | 2014
29
descartados por erros de replay que são armazenados no contador
dot11RSNAStatsCMACReplays. Se o teste da proteção de replay for bem
sucedido, o receptor segue o seu processamento do quadro de gerenciamento.
Os quadros de controle formam, juntamente com os quadros de dados e
com os quadros de gerenciamento, os tipos previstos no padrão IEEE 802.11.
Inicialmente, havia seis quadros de controle conforme a tabela 1 apresentada a
seguir.
Tabela 1 – Combinação válida de tipos e subtipos.
Fonte: IEEE 802.11, 1999
Com o surgimento de novos aperfeiçoamentos e acréscimos de novas
funcionalidades por diferentes grupos de trabalho do IEEE, houve o acréscimo
de novos quadros de controle. O Block Ack e o Block Ack Request
acrescentados pela emenda IEEE 802.11e (2005), foram, posteriormente,
aperfeiçoados na emenda IEEE 802.11n (2009).
Há diferentes usos para cada um dos subtipos de quadros de controle
existentes. De forma geral, os quadros de controle são comumente usados
para reserva de largura de banda, auxílio à interoperabilidade
802.11b/802.11g, virtual carrier sensing, confirmação de recebimento,
recuperação de quadros armazenados durante o modo power save,
delimitação do término de períodos contention-free, dentre outros. Eles não
estão protegidos nem pelo IEEE 802.11i, que trata da proteção dos quadros de
dados; nem pelo IEEE 802.11w, que trata da proteção dos quadros de
7. SEGURANÇA DE REDES SEM FIO – PROTEGENDO OS QUADROS CONTRA ATAQUES
DE NEGAÇÃO DE SERVIÇO
Marcos Antonio Costa Corrêa Júnior
Revista Eletrônica Eng Tech Science
ANO I, Vol. 01, N. 1 | Jaboatão dos Guararapes - PE | 2014
30
gerenciamento. Em suma, os quadros de controle estão sendo negligenciados
assim como o foram, durante bastante tempo, os quadros de gerenciamento.
Como será visto na seção seguinte, alguns ataques podem causar a
indisponibilidade da rede, aproveitando-se dessa falta de proteção, já há
trabalhos que surgem com o intuito de propor soluções para mitigar ou para
eliminar as vulnerabilidades dos quadros de controle, muitos dos quais se
propõem a guarnecer apenas um tipo específico de quadro de controle.
3 SEGURANÇA DOS QUADROS DE CONTROLE
3.1 Ataques a Quadros de Controle
3.1.1 RTS
Quadros RTS são usados para obter controle do meio para a
transmissão de quadros maiores. Estes quadros são utilizados para realizar a
reserva da banda necessária para a transmissão de quadros maiores. Os
quadros RTS são pequenos, têm 20 bytes de comprimento. Estes quadros têm
seu uso principal na reserva de tempo para acesso ao canal e, com isso,
evitam o problema do nó escondido. Se, quando for enviado o quadro RTS,
houver uma colisão, essa estação pode repetir o processo (depois de observar
as outras regras de uso do meio) mais rapidamente do que, se o longo quadro
de dados houvesse sido transmitido e um quadro de confirmação não
houvesse sido detectado. Ainda que a estação seja configurada para não
iniciar o mecanismo para a reserva do canal, através do RTS, esta deve ainda
atualizar seu mecanismo de carrier sense virtual com a informação de duração
contida em um quadro RTS recebido (IEEE 802.11, 2007).
3.1.2 Ataque de alocação de canal através de um RTS forjado ou
manipulado
Um atacante pode fazer uso dos quadros de controle RTS para tornar o
meio indisponível e, com isso, realizar um ataque de negação de serviço (DoS).
8. SEGURANÇA DE REDES SEM FIO – PROTEGENDO OS QUADROS CONTRA ATAQUES
DE NEGAÇÃO DE SERVIÇO
Marcos Antonio Costa Corrêa Júnior
Revista Eletrônica Eng Tech Science
ANO I, Vol. 01, N. 1 | Jaboatão dos Guararapes - PE | 2014
31
O procedimento de ataque que faz uso desses quadros é feito através da forja
de um quadro RTS ou através de um quadro RTS que foi capturado e teve o
campo Duração manipulado para ser posteriormente reinjetado. Através da
manipulação de informações desses quadros capturados e reinjetados ou nos
próprios quadros forjados e injetados, o atacante pode, inclusive, determinar
quanto tempo a rede ficará indisponível. O tempo que o ataque de negação de
serviço se estende está limitado a 32767 microssegundos (IEEE 802.11, 2007;
KOENINGS et al., 2009).
3.1.3 Ataque de Replay RTS
O ataque de replay de quadros RTS ocorre quando uma falsa estação
pode ouvir o canal e capturar o quadro RTS enviado por uma estação para o
ponto de acesso (Access Point - AP) e retransmite este quadro para o AP em
um momento posterior (MYNENI; HUANG, 2010). O caso em que o atacante é
mais elaborado e altera o valor do campo Duração, foi previamente
mencionado.
3.1.4 CTS
Os quadros CTS têm duas funcionalidades: a primeira é fornecer
respostas aos quadros RTS, dessa forma, eles jamais seriam gerados sem um
RTS que o antecedesse. A segunda funcionalidade é funcionar como
mecanismo de proteção no padrão 802.11g, para evitar interferência com
estações legadas. Os quadros CTS tem 14 bytes de comprimento.
3.1.5 Ataque de alocação de canal através de um CTS forjado
No ataque de injetar falsos quadros CTS, uma falsa estação pode formar
quadros CTS e transmiti-los. Todas as estações e APs presentes no canal que
consigam ouvir a transmissão irão retardar o envio de seus dados pelo valor
estabelecido no campo Duração, assim como no caso do quadro RTS, também
é possível a captura de quadros CTS válidos e manipulação do campo
Duração com o posterior reenvio.
9. SEGURANÇA DE REDES SEM FIO – PROTEGENDO OS QUADROS CONTRA ATAQUES
DE NEGAÇÃO DE SERVIÇO
Marcos Antonio Costa Corrêa Júnior
Revista Eletrônica Eng Tech Science
ANO I, Vol. 01, N. 1 | Jaboatão dos Guararapes - PE | 2014
32
3.1.6 Ataque de Replay CTS
No ataque de replay CTS, as estações que ouvirem o quadro, retardarão
a transmissão até o valor estabelecido no campo Duração, sem perceberem
que aquele quadro se trata de um quadro reinjetado na rede.
3.1.7 PS-Poll
Quando uma estação passa para o modo de economia de energia
(Power Save - PS), esta deve informar o AP. O AP, por sua vez, sabendo que
uma determinada estação está no modo de economia de energia, não irá
transmitir quadros para a referida estação, o AP passa, então, a armazenar os
quadros destinados àquela estação e só transmiti-los em momentos
específicos. Uma estação operando em PS transmite um pequeno quadro
PSPoll para o ponto de acesso a fim de recuperar quaisquer quadros
armazenados enquanto ela estava inativa (modo PS). O AP deverá responder
com os quadros armazenados correspondentes imediatamente, ou reconhecer
a PS-Poll e responder com os quadros correspondentes, posteriormente. O
quadro PS-Poll apresenta 20 bytes.
A função PS do 802.11 apresenta diversas vulnerabilidades baseadas
em identidade. Ao explorá-las, um atacante poderá forjar as mensagens de
polling, passando-se por uma estação legítima e fazendo com que o AP
descarte os quadros armazenados do cliente, enquanto ele estava inativo,
acreditando que está transmitindo para a estação legítima. Como resultado, o
atacante pode bloquear a estação vítima de receber quadros do AP, lançando,
portanto, um ataque DoS bem sucedido. Há uma alta taxa de sucesso de
ataques à disponibilidade no modo PS, devido, principalmente, a dois motivos:
- muitos dispositivos móveis portáteis operam em modo PS para
conservar seus recursos escassos (bateria);
- quando os ataques estão sendo executados, os usuários legítimos
estão inativos e não estão cientes da atividade maliciosa na rede.
Um atacante pode facilmente forjar uma mensagem de polling, fazendo-
se passar pelo cliente, já que não há autenticação, e fazer com que o AP
10. SEGURANÇA DE REDES SEM FIO – PROTEGENDO OS QUADROS CONTRA ATAQUES
DE NEGAÇÃO DE SERVIÇO
Marcos Antonio Costa Corrêa Júnior
Revista Eletrônica Eng Tech Science
ANO I, Vol. 01, N. 1 | Jaboatão dos Guararapes - PE | 2014
33
descarte os pacotes do cliente enquanto ele dorme, bloqueando a estação
vítima de receber quadros do AP (QURESHI et al., 2007).
3.1.8 ACK
Quadros ACK são usados para enviar confirmação de recebimento de
alguns quadros e têm 14 bytes.
3.1.9 Usado para alterar o valor do tempo de alocação de canal
Assim como os quadros RTS e CTS, os quadros ACK também podem
ser usados para alterar o valor do tempo de reserva de canal. Segundo (CHEN;
MUTHUKKUMARASAMY, 2006), ao se fazer uso do ACK e endereçá-lo para
uma estação inexistente foram obtidos resultados similares aos demais
quadros de controle (RTS e CTS).
3.1.10 Ataque de reconhecimento positivo para quadro que sofreu
colisão
Rachedi e Benslimane (2009) chamaram de False packet validation mais
um ataque que poderá causar impacto significativo na rede, este ataque
consiste na criação de uma colisão no receptor e no posterior envio de um ACK
falso para gerar a confirmação do recebimento do quadro que foi perdido
devido à colisão, para evitar a retransmissão deste quadro que colidiu.
3.1.11 BlockAckReq (BAR) e BlockAck (BA)
Usados para aperfeiçoar a eficiência da comunicação, diminuindo o
overhead gerado pelo envio frequente de quadros de confirmação e pelos
períodos de tempo que devem ser esperados entre um envio e outro. Juntos,
BAR e BA, fornecem ganhos significativos e permitem que o emissor envie
vários pacotes de dados em sequência, até o tamanho do buffer que for
previamente combinado. Os quadros BlockAckReq são enviados pelo emissor
depois da transmissão de um stream de dados. Os quadros BlockAck, por sua
vez, contêm um bitmap que indica os pacotes recebidos. Os quadros
11. SEGURANÇA DE REDES SEM FIO – PROTEGENDO OS QUADROS CONTRA ATAQUES
DE NEGAÇÃO DE SERVIÇO
Marcos Antonio Costa Corrêa Júnior
Revista Eletrônica Eng Tech Science
ANO I, Vol. 01, N. 1 | Jaboatão dos Guararapes - PE | 2014
34
BlockAckReq têm 24 bytes de comprimento e os quadros BlockAck têm 152
bytes.
3.1.12 Falsificação das mensagens BlockAck e BlockAckReq
O mecanismo block acknowledgement, ou simplesmente Block Ack,
pode ser explorado em um ataque através da falsificação das mensagens de
BlockAck e BlockAckReq. Estes ataques podem levar a um ataque de negação
de serviço de 10 segundos com uma única mensagem (CAM-WINGET; SMITH;
WALKER, 2007; KOENINGS et al., 2009).
3.2 MECANISMOS DE SEGURANÇA PROPOSTOS
3.2.1 Proteção para quadros específicos (RTS)
Bellardo e Savage (2003) propuseram um mecanismo para proteger a
rede contra ataques de DoS causados pelo uso de mecanismos RTS-CTS,
nesta proposta os autores sugeriram usar quadros de RTS previamente
transmitidos para validar o CTS recebido, esse mecanismo falhava e se
tornava insuficiente perante ataques mais elaborados em que fossem enviados
quadros RTS falsos antes do envio de um CTS, e dados falsos após a
transmissão do quadro CTS.
No estudo de Ray e Starobinski (2007), são propostas três técnicas para
evitar a reserva maliciosa do canal que leva à negação de serviço. A primeira
técnica consiste na criação de quadros de controle auxiliares, o que quebraria
a compatibilidade com os sistemas legados; a segunda estratégia seria o
aumento dos intervalos de backoff, que tem eficácia limitada, como mostrado
nas simulações executadas pelos próprios autores. Na terceira técnica -
validação RTS - um nó só suspende a sua transmissão por um longo período
se a transferência de dados entre os nós estiver ocorrendo após um RTS. Caso
contrário, se nenhuma transmissão de dados iniciar, o nó não aguardará mais,
com isso, terá atrasado sua transmissão só por um curto espaço de tempo. O
mesmo estudo (RAY; STAROBINSKI, 2007), em simulações, demonstrou-se
12. SEGURANÇA DE REDES SEM FIO – PROTEGENDO OS QUADROS CONTRA ATAQUES
DE NEGAÇÃO DE SERVIÇO
Marcos Antonio Costa Corrêa Júnior
Revista Eletrônica Eng Tech Science
ANO I, Vol. 01, N. 1 | Jaboatão dos Guararapes - PE | 2014
35
promissor, reduzindo o atraso médio, mas a técnica padece do mesmo mal que
a solução proposta por Bellardo e Savage (2003), diante de um ataque
malicioso mais inteligente em que após o envio de um RTS falso fossem
enviados dados quaisquer, o nó ficaria bloqueado (DoS).
3.2.2 Proteção para quadros específicos (CTS/ACK)
Rashedi e Benslimane (2009) propuseram um novo mecanismo de
segurança baseado em autenticação de pacotes de controle com e sem
conceitos criptográficos. A solução mais simples identificada pelos autores que
serve para evitar qualquer CTS falso e qualquer ACK falso é uma solução sem
conceitos criptográficos, sua principal vantagem é a facilidade de
implementação, pois a modificação no mecanismo RTS/CTS não é significativa
e o overhead adicional não excede 6 bytes para pacotes CTS/ACK. É bem
verdade que essa solução nada tem de definitiva, apenas complica os
procedimentos necessários para o atacante proceder, pois ele precisará forjar o
endereço do transmissor de pacotes CTS e ACK para realizar o ataque e
escapar dos procedimentos de detecção. A solução com conceitos
criptográficos proposta introduz o uso de uma versão alterada do HMAC
(hashed MAC) (FIPS PUB, 2001) chamada de EHMAC (Enhanced HMAC) que
garantiria autenticação e integridade dos quadros com um overhead de 10 ou
20 bytes, dependendo do nível de segurança necessário.
3.2.3 Proteção para quadros específicos (PS-Poll)
No estudo de Qureshi e colaboradores (2007), é apresentada uma
solução que utiliza um quadro de Association ID (AID) que é cifrado usando
chaves pré-estabelecidas. Dessa forma, estas chaves não poderiam ser
falsificadas ou previstas por um atacante. No entanto, apesar de este estudo
oferecer uma alternativa simples e sem necessidade de hardware adicional, e
ter sua força apoiada no uso de uma nova chave de cifragem a cada nova
mensagem, ela não pode ser estendida a todos os outros quadros de controle,
13. SEGURANÇA DE REDES SEM FIO – PROTEGENDO OS QUADROS CONTRA ATAQUES
DE NEGAÇÃO DE SERVIÇO
Marcos Antonio Costa Corrêa Júnior
Revista Eletrônica Eng Tech Science
ANO I, Vol. 01, N. 1 | Jaboatão dos Guararapes - PE | 2014
36
os quadros de controle RTS e CTS, por exemplo, não possuem o campo AID,
tornando-a, assim, uma solução para um problema pontual.
3.2.4 Proteção para quadros específicos (ACK)
No estudo de Zhang e colaboradores (2008), verificou-se que um ataque
de envio em massa de mensagens, poderia impedir o tráfego em uma rede
sem fio se o envio fosse feito em momentos certos. Como forma de mitigar o
problema, os autores propuseram o Extended NAV (ENAV). Segundo análise
dos autores o mecanismo recupera parte significativa do throughput da rede e
reduz a perda de energia. O envio massivo a que os autores se referem, teria o
objetivo de causar colisão com os quadros ACK para o transmissor ter que
reenviar os quadros, a ideia do ENAV é estender a janela de transmissão do
quadro ACK para que seja mais difícil prever o momento em que os quadros de
confirmação sejam enviados dificultando com isso a colisão intencional.
3.2.5 Proteção para todos os quadros de controle (Criptográficos)
Uma solução bem completa, capaz de proteger todos os quadros de
controle, foi proposta por Myneni e Huang (2010). Apesar de o mecanismo de
segurança ser extensível a todos os quadros de controle, o trabalho requer
uma série de etapas que adicionam um overhead muito grande. Os autores
sugerem proteger os quadros de controle por meio de um código de
autenticação de mensagem (MAC) usando o framework IAPP para distribuição
e gerenciamento de chave, e usar o HMAC sobre o SHA-1 para gerar o MAC
que tem 160 bits, como isso ainda é insuficiente diante de ataques de replay,
eles optaram pelo uso de um número de sequência de 32 bits. No total, nesta
proposta, há um incremento de 192 bits, o que em um pacote CTS, que tem
112 bits representa mais de 170% do tamanho do quadro CTS definido no
padrão IEEE 802.11. Além do overhead, neste trabalho, os autores suprimem o
campo FCS dos quadros de controle, a fim de tornar estes quadros mais
compactos, isto é um erro, pois antes mesmo de haver a troca de chaves que
possibilita a geração do MAC, já há tráfego de quadros de controle e sem o
14. SEGURANÇA DE REDES SEM FIO – PROTEGENDO OS QUADROS CONTRA ATAQUES
DE NEGAÇÃO DE SERVIÇO
Marcos Antonio Costa Corrêa Júnior
Revista Eletrônica Eng Tech Science
ANO I, Vol. 01, N. 1 | Jaboatão dos Guararapes - PE | 2014
37
FCS, estes quadros ficariam sem qualquer mecanismo de verificação de
integridade. Não há menção de como ocorrerá todo esse processo antes da
autenticação, associação e posterior troca de chaves. É uma incógnita o que
ocorrerá se uma estação receber um ACK - muito comum mesmo antes da
troca de chaves - com código de autenticação de mensagem (MAC), antes de
ter obtido as chaves. Poderá ocorrer um bloqueio, ou seja, a estação continua
a reenviar os quadros enquanto não receber um quadro de reconhecimento.
Este artigo propõe um mecanismo baseado no uso do AES-128, padrão
criptográfico que até o momento não possui ataque mais rápido do que 2128
de
tempo. O AES-128 é usado com CCM (Contador com CBC-MAC) (WHITING et
al., 2003) que receberá como entradas, blocos e chave de tamanho fixo (128
bits), respeitadas estas condições, a geração de um código de autenticação da
mensagem (MAC) comprovadamente seguro (ROGAWAY, 2011). Nossa
proposta, permite fornecer segurança a todos os quadros de controle, através
do uso da chave de grupo, distribuída durante o 4-Way Handshake e da
geração do MAC que será adicionado ao fim do quadro de controle que estiver
sendo protegido juntamente com um número de sequência, permitindo que
sejam verificadas sua integridade e sua autenticidade. A solução aplica-se,
inclusive, aos novos quadros de controle BA e BAR que foram introduzidos
pelo padrão IEEE 802.11e. Nosso objetivo é fornecer uma opção de segurança
aos quadros de controle, capaz de, em relação às propostas anteriores, reduzir
os recursos computacionais empregados e o tamanho dos quadros de controle,
sem incorrer nos erros identificados. Para tanto, estabelece-se um novo
formato de quadros e aproveitam-se as chaves previamente geradas para
evitar o custo de geração e distribuição de novas chaves. Além disso, espera-
se que a solução seja totalmente compatível com o hardware existente e que
possa ser utilizada em conjunto com os protocolos WPA, WPA2 e as melhorias
de segurança trazidas com a emenda IEEE 802.11w quando esta for
negociada.
15. SEGURANÇA DE REDES SEM FIO – PROTEGENDO OS QUADROS CONTRA ATAQUES
DE NEGAÇÃO DE SERVIÇO
Marcos Antonio Costa Corrêa Júnior
Revista Eletrônica Eng Tech Science
ANO I, Vol. 01, N. 1 | Jaboatão dos Guararapes - PE | 2014
38
3.2.6 Proteção para todos os quadros de controle (Não-
criptográficos)
Malekzadeh, Ghani e Subramaniam (2011) propuseram um mecanismo
compatível com os sistemas legados que podem ser implementados apenas
com atualização do firmware, eliminando assim as vulnerabilidades sem ter que
trocar a base instalada. A ideia básica do mecanismo é o uso de um campo TS
de 4 bytes que é anexado ao fim do quadro de controle, antes do campo FCS.
Este mecanismo foi concebido também para prevenir ataques de replay e usa
o tempo como meio de prevenção deste reenvio não autorizado de quadros.
Na solução, há a necessidade de cálculos muito bem feitos para que não
sejam possíveis ataques de replay; janelas de tempo determinam se o quadro
é obsoleto ou recente, e o campo gerado carrega essa informação de tempo
para ser verificada. Outro ponto controverso da solução diz respeito a
assegurar a verificação dos quadros de controle Block Ack e Block Ack Req
que, por serem maiores, necessitam de janelas de transmissão diferentes dos
demais quadros. A proposta não menciona como estes quadros seriam
incluídos no mecanismo e como essa janela iria variar em decorrência do tipo
de quadro para que falsos positivos e falsos negativos fossem minimizados.
3.3 CRÍTICAS AOS MECANISMOS DESENVOLVIDOS ATRAVÉS
DE TABELAS
A tabela 2 resume contramedidas mencionadas anteriormente e
trazendo novos trabalhos que foram julgados de menor interesse para esta
pesquisa e, por isso, não receberam uma descrição mais aprofundada.
16. SEGURANÇA DE REDES SEM FIO – PROTEGENDO OS QUADROS CONTRA ATAQUES
DE NEGAÇÃO DE SERVIÇO
Marcos Antonio Costa Corrêa Júnior
Revista Eletrônica Eng Tech Science
ANO I, Vol. 01, N. 1 | Jaboatão dos Guararapes - PE | 2014
39
Tabela 2 – Trabalhos que apresentam contramedidas aos ataques nos
quadros de controle.
Fonte: Autoria própria.
A tabela 3 resume alguns trabalhos que apresentaram informações
relevantes relativas à segurança dos quadros de controle e que não
apresentam contramedidas, são surveys, trabalhos voltados a mecanismos de
detecção de ataques ou que mostram novos ataques.
17. SEGURANÇA DE REDES SEM FIO – PROTEGENDO OS QUADROS CONTRA ATAQUES
DE NEGAÇÃO DE SERVIÇO
Marcos Antonio Costa Corrêa Júnior
Revista Eletrônica Eng Tech Science
ANO I, Vol. 01, N. 1 | Jaboatão dos Guararapes - PE | 2014
40
Tabela 3 – Trabalhos que apresentam mecanismos de detecção e outros
trabalhos relacionados.
Fonte: Autoria própria.
4 DESAFIOS PARA UM MECANISMO DE SEGURANÇA E
DESEMPENHO DO MECANISMO PROPOSTO
Percebe-se, através das tabelas 2 e 3, o empenho da comunidade
científica na busca por propostas para proteção de quadros de controle e
detecção de seus ataques.
Verifica-se, também, que algumas propostas apresentam custos muito
altos de implantação, o que inviabiliza sua adoção. Pela pesquisa realizada,
podem-se citar abaixo alguns pontos que devem ser buscados para que a
proteção aos quadros de controle não se tornem um problema maior que sua
utilização totalmente desprotegida:
1 – Adicionar pouco overhead no processamento dos quadros e na
transmissão;
2 - Não criar novas vulnerabilidades;
18. SEGURANÇA DE REDES SEM FIO – PROTEGENDO OS QUADROS CONTRA ATAQUES
DE NEGAÇÃO DE SERVIÇO
Marcos Antonio Costa Corrêa Júnior
Revista Eletrônica Eng Tech Science
ANO I, Vol. 01, N. 1 | Jaboatão dos Guararapes - PE | 2014
41
3 - Não aumentar muito o tamanho do quadro, pois isto implicará
aumento no número de colisões na rede;
4 - Ter compatibilidade com sistemas legados;
5 - Não construir a solução com base em mecanismos que já são
considerados frágeis ou obsoletos.
O mecanismo proposto neste survey buscou atingir esses preceitos e
demonstra-se, frente aos outros trabalhos, mais seguro, além de demonstrar-
se, em relação ao trabalho que se propõe a dar uma solução criptográfica a
todos os quadros de controle, muito superior, como demonstra o gráfico
comparativo das figuras 1 e 2.
Figura 1 – Gráficos Comparativos.
Fonte: Myneni and Huang (2010)
A Figura 1(a) mostra a quantidade de quadros capturados e o volume
estimado em bytes do que seria transmitido usando o formato de quadros
proposto neste artigo (Proposta), usando o formato de quadros proposto por
Myneni e Huang (2010) e sem o uso de qualquer mecanismo (Padrão) para
transmitir a mesma quantidade de informação útil. A Figura 1(b) serve para
deixar mais claro o overhead gerado pelas duas propostas, pois demonstra o
aumento normalizado em relação ao envio de quadros sem qualquer
mecanismo, tanto do mecanismo proposto neste artigo, quanto do mecanismo
proposto pelo mesmo estudo.
19. SEGURANÇA DE REDES SEM FIO – PROTEGENDO OS QUADROS CONTRA ATAQUES
DE NEGAÇÃO DE SERVIÇO
Marcos Antonio Costa Corrêa Júnior
Revista Eletrônica Eng Tech Science
ANO I, Vol. 01, N. 1 | Jaboatão dos Guararapes - PE | 2014
42
5 CONCLUSÃO
Os quadros de gerenciamento, como se observa, já dispõem de uma
emenda ao padrão IEEE 802.11 elaborada para protegê-los, e que impede,
quando o mecanismo está em uso, que as vulnerabilidades existentes sejam
exploradas através dos ataques conhecidos.
Com relação aos quadros de controle, mecanismos criptográficos
parecem ser a linha mais promissora para conceber uma maneira robusta de
segurança. No que diz respeito à segurança, a utilização tanto de hash
criptográfico quanto de códigos de autenticação de mensagem para gerar
mecanismos de autenticação, podem ser realizadas. Deve-se, contudo,
observar se há ataques conhecidos àquele mecanismo e procurar usar
mecanismos tão seguros quanto possíveis. Além da segurança, outro ponto
importante a ser levado em conta, é o overhead causado pelo acréscimo da
segurança. Os quadros de controle são, em geral, pequenos e o seu aumento
implica em maior número de colisões e maior tempo de transmissão. Situações
em que o acréscimo (overhead) no tamanho dos quadros é maior que o próprio
quadro ou há um excessivo aumento do tempo de processamento, podem
tornar a solução impraticável.
Este trabalho demonstrou inúmeros ataques a quadros de controle, citou
algumas soluções propostas pela comunidade científica, além disso, realizou
comparações entre estes mecanismos criados e propôs um novo mecanismo.
REFERÊNCIAS
BELLARDO, J.; SAVAGE, S. 802.11 Denial-of-Service Attacks: Real
Vulnerabilities and Practical Solutions. In: PROCEEDINGS OF THE 12TH
CONFERENCE ON USENIX SECURITY SYMPOSIUM, 12., 2003, Berkeley.
Anais… Berkeley: USENIX Association, 2003, p. 2.
CAM-WINGET, N.; SMITH, D.; WALKER, J. IEEE 802.11-07/2163r0 – A-MPDU
security issues. Technical report. 2007.
20. SEGURANÇA DE REDES SEM FIO – PROTEGENDO OS QUADROS CONTRA ATAQUES
DE NEGAÇÃO DE SERVIÇO
Marcos Antonio Costa Corrêa Júnior
Revista Eletrônica Eng Tech Science
ANO I, Vol. 01, N. 1 | Jaboatão dos Guararapes - PE | 2014
43
CHEN, B.; MUTHUKKUMARASAMY, V. Denial of Service Attacks Against
802.11 DCF. 2006. Disponível em:
http://citeseerx.ist.psu.edu/viewdoc/summary?doi=10.1.1.86.2646 Acesso em:
13 jun 2013.
FIPS PUB. The Keyed Hash Message Authentication Code. Washington
D.C: Federal Information Processing Standard (FIPS) Publication, National
Institute of Standards and Technology, US Departement of Commerce, 2001.
IEEE Standard 802.11. IEEE Standards for Information technology –
Telecommunications and information exchange between systems - Local and
metropolitan area networks - Specific requirements - Part 11: Wireless LAN
Medium Access Control (MAC) and Physical Layer (PHY) Specifications, 1999.
IEEE Standard 802.11. IEEE Standards for Information technology -
Telecommunications and information exchange between systems - Local and
metropolitan area networks - Specific requirements - Part 11: Wireless LAN
Medium Access Control (MAC) and Physical Layer (PHY) Specifications, 2007.
IEEE Standard 802.11e. IEEE Standards for Information technology -
Telecommunications and information exchange between systems - Local and
metropolitan area networks - Specific requirements - Part 11: Wireless LAN
Medium Access Control (MAC) and Physical Layer (PHY) Specifications -
Amendment 8: Medium Access Control (MAC) Quality of Service
Enhancements, 2005.
IEEE Standard 802.11i. IEEE Standards for Information technology -
Telecommunications and information exchange between systems - Local and
metropolitan area networks - Specific requirements - Part 11: Wireless LAN
Medium Access Control (MAC) and Physical Layer (PHY) Specifications -
Amendment 6: Medium Access Control (MAC) Security Enhancements
Interpretation, 2004.
IEEE Standard 802.11n. IEEE Standards for Information technology -
Telecommunications and information exchange between systems - Local and
metropolitan area networks - Specific requirements - Part 11: Wireless LAN
Medium Access Control (MAC) and Physical Layer (PHY) Specifications -
Amendment 5: Enhancements for Higher Throughput, 2009.
IEEE Standard 802.11w. IEEE Standards for Information technology -
Telecommunications and information exchange between systems - Local and
metropolitan area networks - Specific requirements - Part 11: Wireless LAN
Medium Access Control (MAC) and Physical Layer (PHY) Specifications -
Amendment 4: Protected Management Frames, 2009.
KOENINGS, B. et al. Channel Switch and Quiet attack: New DoS attacks
exploiting the 802.11 standard. In: THE 34TH IEEE CONFERENCE ON LOCAL
21. SEGURANÇA DE REDES SEM FIO – PROTEGENDO OS QUADROS CONTRA ATAQUES
DE NEGAÇÃO DE SERVIÇO
Marcos Antonio Costa Corrêa Júnior
Revista Eletrônica Eng Tech Science
ANO I, Vol. 01, N. 1 | Jaboatão dos Guararapes - PE | 2014
44
COMPUTER NETWORKS (LCN 2009), 34., 2009, Zurich. Anais… Zurich:
IEEE Press, 2009.
MALEKZADEH, M.; GHANI, A. A. A.; SUBRAMANIAM, S. Design and
Implementation of a Lightweight Security Model to Prevent IEEE
802.11Wireless DoS Attacks. EURASIP Journal on Wireless
Communications and Networking, v. 2011, p. 105675, 2011.
MYNENI, S.; HUANG, D. IEEE 802.11Wireless LAN Control Frame Protection.
In: PROCEEDINGS OF THE 7TH IEEE CONFERENCE ON CONSUMER
COMMUNICATIONS AND NETWORKING CONFERENCE, 7., 2010,
Piscataway. Anais… Piscataway: IEEE Press, 2010. p. 844-848.
QURESHI, Z. I. et al. A solution to spoofed PS-Poll based denial of service
attacks in IEEE 802.11 WLANs. In: PROCEEDINGS OF THE 11TH
CONFERENCE ON 11TH WSEAS INTERNATIONAL CONFERENCE ON
COMMUNICATIONS, 11., 2007, Wisconsin. Anais… Wisconsin: World
Scientific and Engineering Academy and Society, Wisconsin, 2007. p. 7-11.
RACHEDI, A.; BENSLIMANE, A. Impacts and solutions of control packets
vulnerabilities with IEEE 802.11 MAC. Wireless Communications and Mobile
Computing, v. 9, n. 4, p. 469–488, 2009.
RAY, S.; STAROBINSKI, D. On false blocking in RTS/CTS-based multihop
wireless networks. Vehicular Technology, v. 56, n. 2, p. 849–862, 2007.
ROGAWAY, P. Evaluation of some Blockcipher modes of operation. 2011.
Disponível em: http://www.cs.ucdavis.edu/~rogaway/papers/modes.pdf Acesso
em: 13 jun 2013.
TEWS, E. Attacks on the WEP protocol. Cryptology ePrint Archive, Report
2007/471. 2007. Disponível em: http://eprint.iacr.org/2007/471 Acesso em: 13
jun 2013.
WI-FI ALLIANCE. Wi-Fi Protected Access: Strong, Standards-based,
Interoperable Security for Today’s Wi-Fi Networks. 2003. Disponível em:
http://www.ans-vb.com/Docs/Whitepaper_Wi-Fi_Security4-29-03.pdf Acesso
em: 13 jun 2013.
WHITING, D. et al. Counter with CBC-MAC (CCM). 2003. Disponível em:
http://www.ietf.org/rfc/rfc3610.txt Acesso em: 13 jun 2013.
ZHANG, Z. et al. Jamming ack attack to wireless networks and a mitigation
approach. In: GLOBAL TELECOMMUNICATIONS CONFERENCE, 2008, New
Orleans. Anais… New Orleans: IEEE GLOBECOM, 2008. p. 1-5.