Serviços e treinamentos em tecnologias de redes www.instonline.com.br
Apresentação Arthur R. Santos Jr. [email_address]
<ul><li>IOL Professional Services : </li></ul><ul><ul><li>Serviços de redes LAN/WAN </li></ul></ul><ul><ul><li>Implantação...
Nossos cursos <ul><li>Wireless LAN </li></ul><ul><ul><li>Belo Horizonte – 26 a 28/08 </li></ul></ul><ul><li>Telefonia IP c...
Segurança de redes wireless LAN <ul><li>Agenda: </li></ul><ul><li>Redes Cabeadas x Redes wireless </li></ul><ul><li>Padrõe...
Estrutura de uma rede cabeada <ul><li>Placa de Rede </li></ul><ul><li>Hub/Switch </li></ul><ul><li>Cabos de rede </li></ul...
Estrutura wireless LAN <ul><li>Placa de Rede Wireless </li></ul><ul><li>Access Point </li></ul><ul><li>Print Server Wirele...
Padrões Wireless LAN   802.11b 802.11g 802.11a 802.11n Velocidade Até 11 Mbps Até 54 Mbps Até 54 Mbps Até 600 Mbps Frequên...
Topologia ad-hoc
Modo AP (Infraestrutura) <ul><li>Conecta estações. </li></ul>Switch Servidor Internet Roteador
Modo  WDS  Ponto-a-ponto ou ptp-Bridge <ul><li>Conecta duas LANs  </li></ul>
WDS ponto-multiponto <ul><li>Conecta duas ou mais LANs a um ponto central </li></ul>
Modo AP +  WDS <ul><li>AP em modo WDS+AP comunica com AP em modo    WDS e com estações </li></ul><ul><li>AP em modo WDS só...
Modo Repetidor <ul><li>AP em modo repetidor comunica com AP em modo    AP e com estações </li></ul>
Modo  client <ul><li>O dispositivo age como um adaptador  Ethernet    podendo se conectar a outro AP (infraestrutura) ou  ...
Topologia barramento
Topologia Anel Requer Spanning Tree
Topologia Mesh Requer Spanning Tree
S egurança  em wireless LAN segundo  IEEE   802.11 Segurança provida por outros meios Segurança provida pelo padrão 802.11
Serviços básicos de segurança <ul><li>Autenticação (uso do SSID – Service Set Identifier ): </li></ul><ul><ul><li>Verifica...
Autenticação <ul><li>Verificação se a pessoa ou objeto é quem diz ser. </li></ul><ul><ul><li>A força da autenticação depen...
Uso do SSID <ul><li>Age como uma senha de acesso para autenticação da estação; </li></ul><ul><li>Método fraco: </li></ul><...
Criptografia (Cifragem) <ul><li>Método usado para codificar a informação de maneira    que seja decodificada somente por q...
Uso do WEP (Wired Equivalent Privacy) <ul><li>Criado pelo 802.11 propõe prevenções contra: </li></ul><ul><ul><li>Escutas -...
Cifragem com WEP (Operação XOR) 1  0  0  1  1  1  1  0 0  1  1  1 Seqüência de dados na entrada Máscara Operação XOR Seqüê...
Autenticação por Sistema Aberto (Open System) <ul><ul><li>Estação se autentica a qualquer AP ou estação com o mesmo SSID. ...
Autenticação por Compartilhamento de Chave (Shared Key) Uma requisição de autenticação é enviada ao Access Point O Access ...
Diagrama da cifragem WEP Vetor de Inicialização (IV) Mensagem Transmitida  WEP  PRNG + Algoritmo de  Integridade Chave sec...
Diagrama de decifragem WEP WEP  PRNG + Algoritmo de  Integridade Seqüência chave  Chave Criptográfica 64 ou 128 bits XOR X...
Vulnerabilidades do algoritmo WEP <ul><li>Gerenciamento manual de chaves; </li></ul><ul><li>Número de bits para criptograf...
Métodos Avançados de segurança WPA Para redes infraestrutura TKIP (Criptografia) WEP MIC (Validação de Dados) PSK (Autenti...
Geração de chaves com WPA Pairwise Master Key (PMK) Pairwise Transient Key (PTK) (X bits) EAPOL-Key MIC KEY L(PTK,0,128) (...
WPA – PSK (Pre-shared Key)  <ul><li>Método de autenticação para pequenos negócios    (NÃO requer servidor RADIUS): </li></...
Wi-Fi Protected Access - WPA e WPA2 <ul><li>Wi-Fi Protected Access (WPA-EAP) - outubro de 2002 </li></ul><ul><ul><ul><li>A...
Autenticação com 802.1X <ul><li>Fornece um framework (modelo) genérico que permite autenticação    com Extensible Authenti...
Como funciona o 802.1X/EAP <ul><li>802.1X requer três componentes: </li></ul>Porta não controlada Porta controlada LAN Req...
Uso do RADIUS <ul><li>RADIUS (Remote Access Dial-In User Service): Serviços AAA </li></ul><ul><ul><li>Autenticação : Permi...
Uso do filtro  de  endereços MAC Lista de MACs permitidos: 00.0E.AB.EF.O3.D2 1F.2B.03.05.AC.F3 03.3F.5B.DE.00.5F ... MAC: ...
Outras Medidas de Segurança <ul><li>Segurança física; </li></ul><ul><li>Mantenha sigilo de informações privadas de acesso;...
Ameaças e ataques externos: Ataques Passivos <ul><li>Endereços MAC </li></ul><ul><li>Endereços IP </li></ul><ul><li>SSID <...
Ameaças e ataques externos: Ataques Ativos <ul><li>Mascaramento; </li></ul><ul><li>Modificação de mensagem; </li></ul><ul>...
Obrigado Arthur R. Santos Jr.  [email_address] www.instonline.com.br (31) - 3224-7920 <ul><li>Curso Wireless LAN </li></ul...
Próximos SlideShares
Carregando em…5
×

Seguranca Wireless Instituto Online

2.187 visualizações

Publicada em

Publicada em: Negócios
  • Seja o primeiro a comentar

Seguranca Wireless Instituto Online

  1. 1. Serviços e treinamentos em tecnologias de redes www.instonline.com.br
  2. 2. Apresentação Arthur R. Santos Jr. [email_address]
  3. 3. <ul><li>IOL Professional Services : </li></ul><ul><ul><li>Serviços de redes LAN/WAN </li></ul></ul><ul><ul><li>Implantação de infra-estrutura cabeada e wireless </li></ul></ul><ul><ul><li>Análise de redes LAN/WAN/Wireless </li></ul></ul><ul><li>IOL Educacional : </li></ul><ul><ul><li>Laboratórios completos </li></ul></ul><ul><ul><li>Profissionais capacitados </li></ul></ul><ul><ul><li>Métodos de ensino dinâmico e interativo </li></ul></ul><ul><ul><li>Material didático exclusivo </li></ul></ul>Apresentação
  4. 4. Nossos cursos <ul><li>Wireless LAN </li></ul><ul><ul><li>Belo Horizonte – 26 a 28/08 </li></ul></ul><ul><li>Telefonia IP com Asterisk (VoIP) </li></ul><ul><ul><li>19 a 17/10 (sábados) </li></ul></ul><ul><ul><li>21/09 a 02/10 (noite) </li></ul></ul><ul><ul><li>05 a 09/10 (diurno </li></ul></ul><ul><li>Preparação para exame Cisco CCNA </li></ul><ul><ul><li>05/09 a 14/12 (sábados) </li></ul></ul><ul><ul><li>08/09 a 29/12 (segundas 3 terças) </li></ul></ul><ul><li>Administração e suporte de redes: </li></ul><ul><ul><li>Administração e suporte de redes Windows </li></ul></ul><ul><ul><ul><li>22/08 a 03/10 (sábados) </li></ul></ul></ul><ul><ul><ul><li>31/08 a 21/09 (noite) </li></ul></ul></ul><ul><ul><li>Administração de redes Linux </li></ul></ul><ul><ul><ul><li>22/08 a 14/11 (sábado) </li></ul></ul></ul><ul><ul><ul><li>08/09 13/10 (manhã) </li></ul></ul></ul><ul><ul><ul><li>21/09 a 30/10 (noite) </li></ul></ul></ul><ul><li>Análise e projeto de redes </li></ul><ul><ul><li>Ativos de rede </li></ul></ul><ul><ul><li>TCP/IP </li></ul></ul><ul><ul><li>Análise de Rede </li></ul></ul><ul><li>Gestão de redes: </li></ul><ul><ul><li>ITIL Foundation – Gestão de serviços de TI/TCOM </li></ul></ul><ul><ul><li>Governança de Tecnologia da Informação – COBIT 4.1 </li></ul></ul><ul><li>Segurança de redes: </li></ul><ul><ul><li>Segurança de redes locais e Internet </li></ul></ul><ul><ul><li>Segurança de redes com SNORT </li></ul></ul><ul><ul><li>Firewall </li></ul></ul><ul><ul><li>Implantação de norma de segurança ISO 17799 </li></ul></ul><ul><li>Desenvolvimento de websites </li></ul><ul><li>com PHP e banco de dados </li></ul>
  5. 5. Segurança de redes wireless LAN <ul><li>Agenda: </li></ul><ul><li>Redes Cabeadas x Redes wireless </li></ul><ul><li>Padrões wireless LAN </li></ul><ul><li>Modos de operação dos APs </li></ul><ul><li>Topologias de redes wireless </li></ul><ul><li>Serviços básicos de segurança </li></ul><ul><ul><li>SSID </li></ul></ul><ul><ul><li>WEP </li></ul></ul><ul><li>Serviços avançados de segurança </li></ul><ul><ul><li>Filtro de MAC </li></ul></ul><ul><ul><li>WPA-PSK </li></ul></ul><ul><ul><li>WPA e WPA2 </li></ul></ul><ul><li>Tipos de ataques </li></ul><ul><ul><li>Ataques passivos </li></ul></ul><ul><ul><li>Ataques ativos </li></ul></ul>
  6. 6. Estrutura de uma rede cabeada <ul><li>Placa de Rede </li></ul><ul><li>Hub/Switch </li></ul><ul><li>Cabos de rede </li></ul><ul><li>Print Server </li></ul><ul><li>Modem </li></ul><ul><li>Roteador </li></ul>
  7. 7. Estrutura wireless LAN <ul><li>Placa de Rede Wireless </li></ul><ul><li>Access Point </li></ul><ul><li>Print Server Wireless </li></ul><ul><li>Modem </li></ul><ul><li>Roteador </li></ul>
  8. 8. Padrões Wireless LAN   802.11b 802.11g 802.11a 802.11n Velocidade Até 11 Mbps Até 54 Mbps Até 54 Mbps Até 600 Mbps Frequência 2,4 GHz 5 GHz 2,4 GHZ e 5 GHz Tecnologia DSSS DSSS/OFDM OFDM MIMO/OFDM Compatibilidade 802.11.g 802.11b 802.11a 802.11a/b/g
  9. 9. Topologia ad-hoc
  10. 10. Modo AP (Infraestrutura) <ul><li>Conecta estações. </li></ul>Switch Servidor Internet Roteador
  11. 11. Modo WDS Ponto-a-ponto ou ptp-Bridge <ul><li>Conecta duas LANs </li></ul>
  12. 12. WDS ponto-multiponto <ul><li>Conecta duas ou mais LANs a um ponto central </li></ul>
  13. 13. Modo AP + WDS <ul><li>AP em modo WDS+AP comunica com AP em modo WDS e com estações </li></ul><ul><li>AP em modo WDS só se comunica com outro AP </li></ul><ul><li>que também esteja em modo WDS </li></ul>WDS WDS + AP
  14. 14. Modo Repetidor <ul><li>AP em modo repetidor comunica com AP em modo AP e com estações </li></ul>
  15. 15. Modo client <ul><li>O dispositivo age como um adaptador Ethernet podendo se conectar a outro AP (infraestrutura) ou outro dispositivo wireless (modo ad-hoc) </li></ul>
  16. 16. Topologia barramento
  17. 17. Topologia Anel Requer Spanning Tree
  18. 18. Topologia Mesh Requer Spanning Tree
  19. 19. S egurança em wireless LAN segundo IEEE 802.11 Segurança provida por outros meios Segurança provida pelo padrão 802.11
  20. 20. Serviços básicos de segurança <ul><li>Autenticação (uso do SSID – Service Set Identifier ): </li></ul><ul><ul><li>Verifica a identidade da estação. </li></ul></ul><ul><li>Privacidade (WEP – Wired Equivalent Privancy) : </li></ul><ul><ul><li>Busca a mesma privacidade obtida na rede cabeada. </li></ul></ul>
  21. 21. Autenticação <ul><li>Verificação se a pessoa ou objeto é quem diz ser. </li></ul><ul><ul><li>A força da autenticação depende de como a informação de autenticação é enviada: </li></ul></ul><ul><ul><ul><li>Ex.: não adianta implementar identificação biométrica fazendo o envio das credenciais em texto claro. </li></ul></ul></ul>Enviado em texto claro Servidor de autenticação Fraca autenticação Enviado cifrado Forte autenticação
  22. 22. Uso do SSID <ul><li>Age como uma senha de acesso para autenticação da estação; </li></ul><ul><li>Método fraco: </li></ul><ul><ul><li>Por padrão o AP faz broadcast do SSID de forma clara no frame beacon (pode ser ocultado); </li></ul></ul><ul><li>Dois métodos de autenticação: </li></ul><ul><ul><li>Por sistema aberto (Open System Authentication); </li></ul></ul><ul><ul><li>Por chave compartilhada (Shared Key Authentication). </li></ul></ul><ul><li>Erros na administração do SSID: </li></ul><ul><ul><li>Usar SSID default; </li></ul></ul><ul><ul><li>Usar nomes óbvios para o SSID (ex.: nome da empresa); </li></ul></ul><ul><ul><li>Usar SSID como único método de segurança; </li></ul></ul><ul><ul><li>Permitir desnecessário broadcast do SSID. </li></ul></ul>
  23. 23. Criptografia (Cifragem) <ul><li>Método usado para codificar a informação de maneira que seja decodificada somente por quem possuir a chave correta: </li></ul><ul><ul><li>Ex.: Algorítimo de César -> desloque “x” caracteres no alfabeto. </li></ul></ul><ul><ul><li>Informação a transmitir -> “ cada ” </li></ul></ul><ul><ul><li>Chave -> desloque 3 caracteres à direita no alfabeto </li></ul></ul><ul><ul><li>Informação transmitida -> “ fdgd ” </li></ul></ul>
  24. 24. Uso do WEP (Wired Equivalent Privacy) <ul><li>Criado pelo 802.11 propõe prevenções contra: </li></ul><ul><ul><li>Escutas - eavesdroping (confidencialidade); </li></ul></ul><ul><ul><li>Acesso não autorizado (controle de acesso); </li></ul></ul><ul><ul><li>Alteração de mensagens (integridade dos dados). </li></ul></ul><ul><li>Algoritmo RC4 de crifragem e decifragem </li></ul><ul><li>de 40 bits ou 104 bits. </li></ul>
  25. 25. Cifragem com WEP (Operação XOR) 1 0 0 1 1 1 1 0 0 1 1 1 Seqüência de dados na entrada Máscara Operação XOR Seqüência de dados na saída <ul><li>Operação XOR (ou exclusivo): </li></ul><ul><ul><li>A saída será “1”, se uma das entradas, mas não ambas, for “1”. </li></ul></ul><ul><li>1 + 0 = 1 </li></ul><ul><li>1 + 1 = 0 </li></ul><ul><li>0 + 0 = 0 </li></ul><ul><li>0 + 1 = 1 </li></ul>
  26. 26. Autenticação por Sistema Aberto (Open System) <ul><ul><li>Estação se autentica a qualquer AP ou estação com o mesmo SSID. </li></ul></ul>Uma requisição de autenticação é enviada ao Access Point com endereço origem (MAC) O Access Point processa a requisição e envia resposta O cliente se conecta à rede Usa WEP após a autenticação
  27. 27. Autenticação por Compartilhamento de Chave (Shared Key) Uma requisição de autenticação é enviada ao Access Point O Access Point envia uma frase desafio O cliente criptografa a frase e a envia de volta so access point O Access Point verifica se a frase é autentica O cliente se conecta a rede Usa WEP para autenticação
  28. 28. Diagrama da cifragem WEP Vetor de Inicialização (IV) Mensagem Transmitida WEP PRNG + Algoritmo de Integridade Chave secreta 40 ou 104 bits Texto Pleno Seqüência chave Chave Criptográfica 64 ou 128 bits XOR Texto Cifrado ICV – Valor de verificação de Integridade + X Gerador de 24 bits IV enviado em texto pleno MAC Address em texto pleno
  29. 29. Diagrama de decifragem WEP WEP PRNG + Algoritmo de Integridade Seqüência chave Chave Criptográfica 64 ou 128 bits XOR X Chave secreta 40 ou 104 bits Texto pleno ICV’ Se ICV’ = ICV ICV Texto pleno validado Mensagem Texto Cifrado IV(24 bits) MAC
  30. 30. Vulnerabilidades do algoritmo WEP <ul><li>Gerenciamento manual de chaves; </li></ul><ul><li>Número de bits para criptografia insuficiente; </li></ul><ul><li>Reutilização da chave WEP. </li></ul>DA SA IV Corpo do frame ICV Criptografia WEP <ul><li>DA – Endereço destino </li></ul><ul><li>SA – Endereço origem </li></ul><ul><li>IV – Vetor inicialização </li></ul><ul><li>ICV – Integrity Check Value </li></ul>
  31. 31. Métodos Avançados de segurança WPA Para redes infraestrutura TKIP (Criptografia) WEP MIC (Validação de Dados) PSK (Autenticação) 802.1x (Autenticação) EAP TLS PEAP LEAP CCMP (AES) Pré-autenticação Características 802.11i TTLS EAP-MD5 Para redes AD-hoc
  32. 32. Geração de chaves com WPA Pairwise Master Key (PMK) Pairwise Transient Key (PTK) (X bits) EAPOL-Key MIC KEY L(PTK,0,128) (MK) EAPOL-Key Encryption Key L(PTK,128,128) (EK) Temporal Key1 L(PTK,256,128) (TK1) ... <ul><li>Chaves transientes geradas automaticamente </li></ul>
  33. 33. WPA – PSK (Pre-shared Key) <ul><li>Método de autenticação para pequenos negócios (NÃO requer servidor RADIUS): </li></ul><ul><li>Requer: </li></ul><ul><ul><li>Um requisitante: </li></ul></ul><ul><ul><li>Um autenticador: </li></ul></ul><ul><li>Configura-se uma mesma chave (PSK) em cada dispositivo; </li></ul><ul><li>O dispositivo gera automaticamente uma chave de 256 bits que muda freqüentemente a partir do PSK (atualização de chaves usando TKIP ou AES). </li></ul>
  34. 34. Wi-Fi Protected Access - WPA e WPA2 <ul><li>Wi-Fi Protected Access (WPA-EAP) - outubro de 2002 </li></ul><ul><ul><ul><li>Autenticação - Inclui o RADIUS para validação da identidade de usuário através do Enhanced Authentication Protocol (EAP); </li></ul></ul></ul><ul><ul><ul><li>Confidecialidade - Melhoria na criptografia de dados usando Temporal Key Integrity Protocol (TKIP); </li></ul></ul></ul><ul><ul><ul><li>Integridade - Validação de dados usando Message Integrity Check (MIC). </li></ul></ul></ul><ul><li>Wi-Fi Protected Access 2 (WPA2) – Setembro de 2004 </li></ul><ul><ul><ul><li>Atualiza a criptografia de dados com o </li></ul></ul></ul><ul><ul><ul><li>Advanced Encryption Standard (AES). </li></ul></ul></ul>
  35. 35. Autenticação com 802.1X <ul><li>Fornece um framework (modelo) genérico que permite autenticação com Extensible Authentication Protocol (EAP) em redes 802; </li></ul><ul><li>Vantagens: </li></ul><ul><ul><li>Implementação independente do autenticador (access point): autenticador apenas encaminha a mensagem EAP entre o requisitante e o servidor de autenticação; </li></ul></ul><ul><ul><li>Provê mutua autenticação : protege contra autenticador inválido – rogue AP; </li></ul></ul><ul><ul><li>Controle de acesso baseado em portas : permite apenas que </li></ul></ul><ul><ul><li>informações de autenticação passem pela rede até que o processo </li></ul></ul><ul><ul><li>de autenticação se complete. </li></ul></ul>
  36. 36. Como funciona o 802.1X/EAP <ul><li>802.1X requer três componentes: </li></ul>Porta não controlada Porta controlada LAN Requisitante Autenticador Servidor de autenticação RADIUS apenas tráfego de autenticação e autorização
  37. 37. Uso do RADIUS <ul><li>RADIUS (Remote Access Dial-In User Service): Serviços AAA </li></ul><ul><ul><li>Autenticação : Permite uma entidade fornecer credenciais e declarar sua identidade; </li></ul></ul><ul><ul><li>Autorização : Delineia que funções são permitidas para a entidade; </li></ul></ul><ul><ul><li>Contabilização (accounting): Provê uma maneira de registrar e contabilizar informações de uso dos recursos da rede. </li></ul></ul>Cliente Radius (NAS) Controlador de domínio Opcional Servidor RADIUS
  38. 38. Uso do filtro de endereços MAC Lista de MACs permitidos: 00.0E.AB.EF.O3.D2 1F.2B.03.05.AC.F3 03.3F.5B.DE.00.5F ... MAC: 00.0E.AB.EF.O3.D2 MAC: 1F.2B.03.05.AC.F3 MAC: 03.3F.5B.DE.00.5F MAC: 02.F4.D2.00.AC Eu sou: 00.0E.AB.EF.03.D2 Bem - vindo: 00.0E.AB.EF.03.D2 Eu sou: 1F.2B.03.05.AC.F3 Be m- vindo 1F.2B.03.05.AC.F3 Eu sou: 03.3F.5B.DE.00.5F Bem-vindo: 03.3F.5B.DE.00.5F Eu sou: 02.F4.D2.00.AC Desculpe: 02.F4.D2.00.AC Você não tem permissão
  39. 39. Outras Medidas de Segurança <ul><li>Segurança física; </li></ul><ul><li>Mantenha sigilo de informações privadas de acesso; </li></ul><ul><li>Atualize as informações dos access points e bridges; </li></ul><ul><li>Auditorias e inventários de equipamentos. </li></ul>
  40. 40. Ameaças e ataques externos: Ataques Passivos <ul><li>Endereços MAC </li></ul><ul><li>Endereços IP </li></ul><ul><li>SSID </li></ul><ul><li>Canal de operação </li></ul>1) Eavesdroping : Invasor “escuta” o tráfego não criptografado 2) Análise de tráfego : Monitoramento de padrões de comunicação <ul><li>Chaves criptográficas </li></ul><ul><li>Nome de usuários </li></ul><ul><li>Senhas </li></ul><ul><li>Mensagens </li></ul><ul><li>e-mail </li></ul><ul><li>Logins http </li></ul><ul><li>Logins de servidores ... </li></ul>
  41. 41. Ameaças e ataques externos: Ataques Ativos <ul><li>Mascaramento; </li></ul><ul><li>Modificação de mensagem; </li></ul><ul><li>Negação de serviço (DoS); </li></ul><ul><li>Obstrução de sinal de RF (Sinais Spread Spectrum pouco resistem a sinais 40 vezes maior). </li></ul>Invasor ataca através de:
  42. 42. Obrigado Arthur R. Santos Jr. [email_address] www.instonline.com.br (31) - 3224-7920 <ul><li>Curso Wireless LAN </li></ul><ul><ul><li>Belo Horizonte – 26 a 28/08 </li></ul></ul><ul><li>Curso Telefonia IP com Asterisk (VoIP) </li></ul><ul><ul><li>03 a 07/08 </li></ul></ul>

×