O documento discute mecanismos de segurança em redes sem fio, incluindo: 1) Limitações de soluções proprietárias; 2) Necessidade de endereços MAC únicos; 3) Fraquezas do protocolo WEP para criptografia; 4) Melhorias do WPA ao introduzir chaves dinâmicas e do WPA2 ao usar o algoritmo AES.
Segurança em redes sem fio: evolução dos protocolos WEP, WPA e WPA2
1. Mecanismos de Segurança
● Soluções proprietárias
– Podem prover maior grau de segurança
– Não são aplicadas em ambientes heterogênicos
● Limita a evolução do parque instalado, por depender de
fabricantes.
2. Endereço MAC
● Para o bom funcionamento de uma rede Ethernet e Wi-Fi
– Cada dispositivo deve ter um número único, definido pelo o fabricante e
controlado pelo IEEE.
● Há técnicas e ferramentas para se apropriar de um endereço MAC
de outra placa ou fazer uso de um que não seja original de fábrica.
● Uma das formas de restringir o acesso é com o cadastramento dos
dispositivos.
● Manutenção: depende do fluxo de usuários e interfaces que entra
e sai do cadastro. Ótimo para pequenas empresas e ambientes
com pouca mudanças.
3. WEP
● Acesso a informação
– Redes cabeadas → comunicação física ou remota.
– Redes sem fio →basta ter um meio de receber o sinal,
captura de forma passiva.
● Necessidade de cifração de dados.
● Protocolo sugerido inicialmente:
– WEP → utiliza algoritmos simétricos, ou seja, existe uma
chave secreta que deve ser compartilhada entre as
estações e o concentrador, para cifrar e decifrar as
mensagens.
4. WEP
● Critérios considerados para o desenho do protocolo:
– Suficientemente forte: algoritmo deve ser adequado às
necessidades do usuário.
– Autossincronismo: deve permitir a um equipamento entrar na área
de cobertura e funcionar com a mínima ou nenhuma intervenção
manual.
– Requerer poucos recursos computacionais: pode ser implementado
por software ou em hardware e por equipamentos com pouco poder
de processamento.
– Exportável: exportado dos Estados Unidos, importação para outros
países.
– De uso opcional
5. WEP
● A segurança é composta por dois elementos
básios que formam a chave para cifrar o
tráfego:
● Chave estática, mesma pra todos equipamentos.
● Componente dinâmico
● O protocolo não define como a chave deve ser
distribuída. Solução convencional, cadastrar a
chave manualmente.
6. WEP
● Funcionamento:
– Depois de estabelecida a conexão, essa chave sofre uma operação
matemática para gera 4 novas chaves.
– Uma delas será para cifrar as informações em trânsito.
– Essa chave é fixa, só troca se a original mudar.
– Portanto, ela é suscetível a ataque de dicionário e força bruta.
– Seu tamanho é de 40 a 104 bits.
– Pra evitar esse topo de ataque, adiciona-se o segundo elemento.
Consiste em um conjunto de 24 bits gerados por uma função
pseudoaleatória que será concatenada às chaves fixas.
– Os 24 bits passam em claro pela rede, pra dar conhecimento,
possibilitando a comunicação cifrada.
7. WEP
● Noção de equivalência
– Como não existe proteção ao conteúdo em redes
cabeadas, pensou-se em um mecanismo que
tivesse dificuldade de quebra compatível a um
acesso físico.
● O conceito de equivalência não se sustenta.
● O protocolo é obsoleto e terrivelmente frágil.
8. WPA
● Devido aos problemas do WEP, a Wi-Fi Alliance
adiantou a parte de autenticação e cifração do
padrão 802.11i e liberou o protocolo WPA.
● Trabalha com os protocolos 802.1x.
● Não há suporte para conexões Ad-Hoc.
● Atua em duas áreas distintas:
– Cifração dos dados para garantir a privacidade das
informações trafegadas (substitui o WEP).
– Autenticação do usuário (802.1x e EAP).
9. WPA
● Tipos de protocolos:
– Voltados para pequenas redes: chave
compartilhada previamente (WPA-PSK), conhecida
como Master, resposável pelo reconhecimento do
aparelho pelo concentrador.
– Infraestrutura: presença de no mínimo um servidor
de autenticação (RADIUS). Poderá necessitar de
uma infraestrutura de chaves públicas (ICP), caso
utilize certificados digitais para autenticação do
usuário.
10. WPA
● Chave compartilhada:
– Não necessita de equipamentos extras.
– Como o WEP a troca de chaves não é prevista e em
geral é feita manualmente, sem mencionar o
problema da guarda da chave.
– Diferente do WEP, existe a troca dinâmica das
chaves usadas em determinada comunicação
estabelecida. O protocolo responsável por isso é o
TKIP, uma evolução (do WEP) de baixo custo
computacional.
11. WPA
● Troca dinâmica de chaves:
– Protocolo Temporal Key Integrity Protocol (TKIP), responsável pela
gerência de chaves temporárias usadas pelos equipamentos em
comunicação, possiblitando a preservação do segredo mediante
troca constante da chave.
– Aumento do vetor de iniciação de 24 para 48.
– Pode ser configurado para substituir o vetor de iniciação a cada
pacote, por sessão ou por período (compatível com o WEP).
● Várias vulnerabilidades tem aparecido, mas nada
comparável ao WEP.
12. WPA2
● Com a homologação do 802.11i, o protocolo
CCMP juntou-se aos WEP e TKIP,
diferentemente deles, usa o akgoritmo AES
para cifrar os dados na forma de blocos (de
128).
● É o padrão mais seguro, a despeito de uma
teórica perda (baixa) de performance em
equipamentos mais simples.
13. WPA2
● EAP (Extensible Authentication Protocol) → é um modelo de autenticação
que permite integrar soluções de autenticação já conhecidas e testas.
● O EAP utiliza o padrão 802.11x e permite vários métodos de autenticação,
incluindo a possibilidade de certificação digital.
● O fato de ter uma base de dados centralizada e poder autenticar o usuário
qualquer que seja o acesso parece ser uma grande vantagem tanto no
aspecto gerencial quanto no de segurança, já que não é necessário
manter bases diferentes para cada modo de acesso e, em alguns casos,
ter de manter sincronizados as bases.