Em reuniões que participo com alguns clientes estratégicos, a sua principal narrativa é: "Eu quero uma rede IP/MPLS onde eu conecto minhas Filias à Matriz em circuitos privados, e assim não preciso me preocupar com a segurança do tráfego oriundo das filiais. Uma vez que todo tráfego é redirecionado para o ponto concentrador, meu FIREWALL fica responsável por controlar todo o acesso à Internet, assim eu administro quem entra e que saia da rede."
Parece uma boa solução, entretanto, eu faço algumas perguntas: "Você controla o acesso físico de todos os elementos de rede da sua empresa?", "Possui pelo menos alguma política de 'port-security' (ou similar) aplicada no Switches?" Ou ainda "Já possui 802.1x na sua LAN ?".
A resposta para quase todas é "SIM".
Parece clichê, mas o que fazer quando o 802.1x (sozinho) não consegue me proteger?
Por isso meu tema é: Como o 802.1x e 802.1ae reforçam a segurança das redes corporativas.
Manual do Usuário do CPE-Wireless Station 2.4 GHz com Antena Acoplada de 17 d...LojaTotalseg
Acesse o Link do Produto:
http://www.lojatotalseg.com.br/produto/413/cpe-wirelles-station-estacao-cliente-ap-poe-antena-17dbi-pqws-2417-proeletronic
Manual do Usuário do CPE-Wireless Station 2.4 GHz com Antena Acoplada de 17 dBi PQWS-2417 Proeletronic - LojaTotalseg.com.br
Acesse nossa loja:
http://www.lojatotalseg.com.br
Manual Técnico do CPE-Wireless Station 5.8 GHz com Antena Acoplada de 20 dBi ...LojaTotalseg
Acesse o Link do Produto:
http://www.lojatotalseg.com.br/produto/414/cpe-wirelles-station-estacao-cliente-ap-5-8ghz-poe-antena-20dbi-pqws-5820-proeletronic
Manual Técnico do CPE-Wireless Station 5.8 GHz com Antena Acoplada de 20 dBi PQWS-5820 Proeletronic
Acesse nossa loja:
http://www.lojatotalseg.com.br
Manual do Usuário do CPE-Wireless Station 2.4 GHz com Antena Acoplada de 17 d...LojaTotalseg
Acesse o Link do Produto:
http://www.lojatotalseg.com.br/produto/413/cpe-wirelles-station-estacao-cliente-ap-poe-antena-17dbi-pqws-2417-proeletronic
Manual do Usuário do CPE-Wireless Station 2.4 GHz com Antena Acoplada de 17 dBi PQWS-2417 Proeletronic - LojaTotalseg.com.br
Acesse nossa loja:
http://www.lojatotalseg.com.br
Manual Técnico do CPE-Wireless Station 5.8 GHz com Antena Acoplada de 20 dBi ...LojaTotalseg
Acesse o Link do Produto:
http://www.lojatotalseg.com.br/produto/414/cpe-wirelles-station-estacao-cliente-ap-5-8ghz-poe-antena-20dbi-pqws-5820-proeletronic
Manual Técnico do CPE-Wireless Station 5.8 GHz com Antena Acoplada de 20 dBi PQWS-5820 Proeletronic
Acesse nossa loja:
http://www.lojatotalseg.com.br
IMS – IP Multimedia Subsystem como solução de convergência para redes heterog...Rivaldo Guedes Corrêa. Jr
This paper discusses the feasibility of the utilization of an IMS framework as core for integration of heterogeneous networks to allow a convergent infrastructure to offer IPTV and Digital TV interactive multimedia services. During this work were analyzed access technologies available in Brazil and approved by ANATEL, your technical and economic feasibility. Were studied the IMS fundamentals, your components to session and QoS management. This research was based on papers and thesis about, published in devoted magazines by the academy and industry as well as institutes like IEEE and ACM.
Projeto de Redes residencial - IFMS - Campo Grande/MS.
Sistemas para Internet 2015.
Acadêmicos: Jaqueline Nardes França e Valdir Pereira da Silva Junior.
Controle de protótipo movimentado por liga de memória de forma (sma) pelo pc,...fesaab
Meu projeto de iniciação científica.
O artigo ilustra o desenvolvimento de uma solução simples, barata e segura em hardware que permite a transmissão de dados extraídos da porta paralela de um computador tipo PC com a finalidade de controlar dispositivos à distância.
Webinar: Redes Mesh para Monitoramento e Controle de SensoresEmbarcados
Para alcançar o mercado de forma mais rápida e robusta é preciso contar com ferramentas e protocolos que facilitem o desenvolvimento de suas soluções. Neste webinar você será apresentado aos mais modernos kits de desenvolvimento e protocolos de rede mesh já desenvolvidos pela Microchip.
Objetivo do Webinar
Entender os principais padrões de redes sem fio, aplicação de redes sem fio em mesh, topologias de rede, questões de segurança da informação e kits de desenvolvimento disponíveis para tal finalidade.
Assista em: https://www.embarcados.com.br/webinars/redes-mesh-para-monitoramento-e-controle-de-sensores/
Um Mecanismo de Autenticação Baseado em ECDH para Redes Eduardo Souza
Apresentação do Artigo "Um Mecanismo de Autenticação Baseado em ECDH para Redes IEEE 802.11" na SBSeg 2010. O artigo trata o problema de derivação indevida das chaves PTK durante o processo de 4-way handshake nas redes IEEE 802.11
IMS – IP Multimedia Subsystem como solução de convergência para redes heterog...Rivaldo Guedes Corrêa. Jr
This paper discusses the feasibility of the utilization of an IMS framework as core for integration of heterogeneous networks to allow a convergent infrastructure to offer IPTV and Digital TV interactive multimedia services. During this work were analyzed access technologies available in Brazil and approved by ANATEL, your technical and economic feasibility. Were studied the IMS fundamentals, your components to session and QoS management. This research was based on papers and thesis about, published in devoted magazines by the academy and industry as well as institutes like IEEE and ACM.
Projeto de Redes residencial - IFMS - Campo Grande/MS.
Sistemas para Internet 2015.
Acadêmicos: Jaqueline Nardes França e Valdir Pereira da Silva Junior.
Controle de protótipo movimentado por liga de memória de forma (sma) pelo pc,...fesaab
Meu projeto de iniciação científica.
O artigo ilustra o desenvolvimento de uma solução simples, barata e segura em hardware que permite a transmissão de dados extraídos da porta paralela de um computador tipo PC com a finalidade de controlar dispositivos à distância.
Webinar: Redes Mesh para Monitoramento e Controle de SensoresEmbarcados
Para alcançar o mercado de forma mais rápida e robusta é preciso contar com ferramentas e protocolos que facilitem o desenvolvimento de suas soluções. Neste webinar você será apresentado aos mais modernos kits de desenvolvimento e protocolos de rede mesh já desenvolvidos pela Microchip.
Objetivo do Webinar
Entender os principais padrões de redes sem fio, aplicação de redes sem fio em mesh, topologias de rede, questões de segurança da informação e kits de desenvolvimento disponíveis para tal finalidade.
Assista em: https://www.embarcados.com.br/webinars/redes-mesh-para-monitoramento-e-controle-de-sensores/
Um Mecanismo de Autenticação Baseado em ECDH para Redes Eduardo Souza
Apresentação do Artigo "Um Mecanismo de Autenticação Baseado em ECDH para Redes IEEE 802.11" na SBSeg 2010. O artigo trata o problema de derivação indevida das chaves PTK durante o processo de 4-way handshake nas redes IEEE 802.11
Palestra Rafael Correia - O que eu deveria ter aprendido sobre segurança na g...BHack Conference
Infelizmente, talvez pela alta carga de disciplinas necessárias, talvez pelo foco total no "resolver", segurança ainda é um assunto pouco tratado em graduações. Nisso formamos programadores prontos para fazer, mas pouco prontos em fazer de forma segura. Essa apresentação visa tratar sobre algumas coisas básicas que eu gostaria de saber lá atrás e que me fariam quebrar menos a cabeça ao longo da minha carreira em segurança da informação.
Palestra Rafael Correia - O que eu deveria ter aprendido sobre segurança na g...
Palestra Lucas França - 802.1x e 802.1ae
1. Como o 802.1X & 802.1AE reforçam a
segurança das redes corporativas
2. • Graduado em Redes de computadores.
Profissional certificado FreeBSD
S.S.A, e Linux LPI-C, Instrutor
Cisco Network Academy (CCNA-ITQ).
• Atualmente trabalha como Analista
de Redes e Analista comercial na
CEMIGTelecom, uma operadora de
telecomunicações que pertence ao
Grupo CEMIG (um dos mais sólidos e
importantes grupos do segmento de
energia elétrica do Brasil)
• Instrutor do Curso Técnico em
Redes de computadores no SENAC-MG.
2
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
root@localhost:~ % pw user show -n lucas.franca -P
Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
3. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
3
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
• Funcionamento do 802.1X
• Escopo, responsabilidades e limitações do 802.1X
• Vuln – Man in the Middle Attack
• 802.1AE MACsec
• 802.1X + 802.1AE
• Resolvendo problemas de MITM com 802.1X-2010
• MACsec, uma breve comparação com IPsec
4. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
4
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
5. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
5
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
6. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
6
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
7. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
7
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
8. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
8
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
9. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
9
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
10. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
10
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
11. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
11
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
802.1X
Port-based Network Access Control (PNAC)
• Criado em 2001
• Extensible Authentication Protocol (EAP) – (framework)
• Remote Authentication Dial-IN User Service(RADIUS)
EAPoL (EAP over LAN) – Encapsulado em frame Ethernet
Fonte: Imagens ¹ ² retiradas da Internet - https://www.cisco.com/
12. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
12
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
Inicialização
(sem tráfego)
13. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
13
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
Alguém
novo por aí ?
EAP- Request
14. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
14
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
Olá, eu sou o
Coruja
EAP-Response
15. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
15
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
Olá Server, o Coruja
está aqui
RADIUS
16. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
16
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
RADIUS
Pergunta se nós
podemos
conversar no
Privado
17. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
17
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
E aí Coruja,
você pode?
18. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
18
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
Claro, aqui estão
minhas
credenciais
19. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
19
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
RADIUS
Aqui estão as
credenciais do
Coruja
20. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
20
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
RADIUS
Eu verifiquei aqui
e está tudo certo!
Deixe ele entrar
21. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
21
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
Porta UP
(Todo tráfego liberado)
22. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
22
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
Fora do escopo do 802.1X
• Endpoint Autenticado = Porta Autenticada = MAC autorizado
• Tráfego permitido
• Man in the Middle
Fonte: Imagem retirada da Internet - https://www.ssldragon.com/
30. • Publicado em 2006
• Criptografia ponto-a-ponto do Payload do frame
• Criptografar links Lan-to-Lan entre Datacenters
• Cifra padrão GCM-AES-128 (recomendável AES-256)
• CAK – Connectivity Association Key – (Pre-shared)
• SAK – Secure Association Keys – (derivada da CAK, trocada periodicamente – x segundos)
• KEK – Key Encription Key – (criptografa a SAK)
• ICK – Integrity Check Key (usado para autorizar estabelecimento de um peer)
• KS – Key Server – (Servidor de chaves é eleito para a geração da SAK – Normalmente o Switch-to-Switch)
Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
30
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
802.1AE - MACsec
CAK
SAK ICK KEK
31. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
31
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
802.1AE
DMAC SMAC 802.1Q Ethertype PAYLOAD CRC
32. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
32
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
802.1AE
DMAC SMAC 802.1Q Ethertype PAYLOAD CRC
DMAC SMAC 802.1AE Header 802.1Q Ethertype PAYLOAD ICV CRC
16 Bytes 16 Bytes
33. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
33
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
802.1AE
DMAC SMAC 802.1Q Ethertype PAYLOAD CRC
DMAC SMAC 802.1AE Header 802.1Q Ethertype ICV CRC
MACsec EtherType TCI / AN SL Packet Number SCI
Criptografado
16 Bytes 16 Bytes
PAYLOAD
0x88e5
34. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
34
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
802.1AE
DMAC SMAC 802.1Q Ethertype PAYLOAD CRC
DMAC SMAC 802.1AE Header 802.1Q Ethertype ICV CRC
MACsec EtherType TCI / AN SL Packet Number SCI
Criptografado
16 Bytes 16 Bytes
DMAC
802.1AE
Header
i%h3£=-12fAD’$%*7(‘#@!¬¢£2}º25+sfT%²³K,Csd/,;q1*//*@5r&¨¬
PAYLOAD
0x88e5
SMAC ICV CRC
35. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
35
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
802.1x + 802.1ae 802.1x-2010 - EAPoL packet type 5 (EAPoL-MKA)
Fonte: Imagem retirada da Internet - https://www.cisco.com/
• MKA – MacSec Key Agreement
• Depois do 802.1X, inicia-se o processo MKA
• MSK - Master Session Key
Gerada na autenticação EAP pelo Radius – O
Switch recebe a MSK usando parte do
Handshake (através do EAP-TLS) AAA com o
servidor Radius
• Suplicante recebe a MSK no processo EAP
• Instalação da SAK no Supplicant
• Tráfego criptografado
37. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
37
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
MACsec x IPsec - Encryption Speed
Fonte- https://www.cisco.com/c/en/us/products/collateral/ios-nx-os-software/identity-based-networking-services/white-paper-c11-737544.html
• Teste com IPsec feito em um Cisco ESP-200
• A velocidade para criptografar NÃO é associado à
interface
• Em uma interface 100 Gbps, os IPsec engines de
Maior desempenho conseguem um Throughput de 75
Gbps em pacotes de 1400 bytes Unidirecional, se
considerar Full-Duplex: ~37Gbps
• MACSec oferece Line-rate por porta (1/10/40/100Gbps)
Bidirecional (Full-Duplex) independente do tamanho do
pacote.
• Ao contrário do IPsec que utiliza Circuitos integrados de
aplicação específica (ASICs), o MACsec pode ser
habilitado na própria interface, através do Tomahawk
Network Processors.
• MACsec não substitui o IPsec, principalmente quando
tráfego precisa ser roteado pelo tráfego público
(Internet).
• MACsec poderá ser útil com a “Internet das Coisas”
38. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
38
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
Fonte: Imagens retiradas da Internet - https://www.cisco.com/c/en/us/products/collateral/ios-nx-os-software/identity-based-networking-services/white-paper-c11-737544.html
MACsec x IPsec - Encryption Speed
39. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
39
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
supplicant
40. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
40
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
Supplicant – ajustes no Linux
- Subir o módulo API for Authenticated Encryption with Additional DATA (AEAD)
- Ideal usar o HW Acceleration (aesni) se disponível
- Criar um Netdevice para cada canal (SCI)
Fonte: - https://developers.redhat.com/blog/2016/10/14/macsec-a-different-solution-to-encrypt-network-traffic/
41. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
41
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
Authenticator
42. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
42
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
Authentication Server
Cisco Identity Services Engine (ISE)
Juniper SRX345 Services Gateway (SRX)
Cisco (ISE)
43. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
43
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
Referências
• 802.1X-2010 -IEEE Standard : https://standards.ieee.org/findstds/standard/802.1X-2010.html
• 802.1AE -IEEE Standard : https://standards.ieee.org/findstds/standard/802.1AE-2006.html
• Innovations in Ethernet Encryption (802.1AE - MACsec) for Securing High Speed (1-100GE) WAN Deployments White Paper
https://www.cisco.com/c/en/us/products/collateral/ios-nx-os-software/identity-based-networking-services/white-paper-c11-737544.html
• Configuring MACsec Encryption
https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3750x_3560x/software/release/15-0_1_se/configuration/guide/3750xcg/swmacsec.pdf
• Understanding Media Access Control Security (MACsec)
https://www.juniper.net/documentation/en_US/junos/topics/concept/macsec.html
• Innovations in Ethernet Encryption (802.1AE - MACsec) for Securing High Speed (1-100GE) WAN Deployments
https://www.cisco.com/c/dam/en/us/td/docs/solutions/Enterprise/Security/MACsec/WP-High-Speed-WAN-Encrypt-MACsec.pdf
• Configurando FreeRadius+CA no FreeBSD
https://forums.freebsd.org/threads/28467/
• Configurando MacSec no Linux
https://developers.redhat.com/blog/2016/10/14/macsec-a-different-solution-to-encrypt-network-traffic/
44. Como o 802.1X & 802.1AE reforçam a segurança das redes corporativas
44
Apresentação
Cronograma
Estudo de Caso
802.1X
Estudo de Caso
MITM
IEEE 802.1AE
MACsec x IPsec
Extras
Encerramento
Contato
lucas.franca@bsd.com.br
Obrigado!