Congresso Wi-Fi IIR

Desenvolvimentos Tecnológicos e
Implementações de QOS e Protocolos de
Segurança em Redes Wi-Fi




  ...
Agenda
802.11 – Padrões / Grupos de Trabalho
802.11e - QOS
WEP / WEP 2
802.1x
Riscos associadoas a utilização de
redes Wi-...
802.11 – Padrões e
  Grupos de Trabalho
802.11a - 5GHz UNII
  OFDM (Ortogonal Frequency Division
  Multiplexing)
  6 to 54...
802.11 – Padrões e
  Grupos de Trabalho
802.11g
 Higher Rate Extensions na banda de
 2.4GHz
 Aumento da velocidade em rela...
802.11 – Padrões e
  Grupos de Trabalho
802.11c - Bridge Operation Procedures
802.11d - Global Harmonization
  Regulamenta...
802.11 – Padrões e
  Grupos de Trabalho
802.11f - Inter Access Point Protocol (IAPP)
  Roaming entre Access Points
  APs d...
802.11e
QOS (Quality of Service) em 802.11
Trabalha na camada MAC
Desejável para aplicações multimídia
Cooperação com IEEE...
802.11e
Soluções que funcionam em redes
cabeadas podem não funcionar em
redes wireless pelos seguintes motivos:
  Taxa de ...
802.11e
Ë comum definir como constante o
tráfego multimídia, mas ele se torna
“bursty” em situações onde existe
elevada ta...
802.11e
Reserva de banda
  Redes IP geralmente utilizam RSVP
  Muitas aplicações não utilizam esse protocol
  RSVP está se...
802.11e - Draft
Focado em duas aplicações
  Audio/vídeo – deve suportar: até 3 canais
  simultâneos MPEG-2 em DVD rate; ou...
802.11e
Tentativas anteriores para WLAN QOS
 Hiperlan 1 (1996): frágil na presença de
 erros e clientes “hidden”
 Hiperlan...
802.11e - HCF
Tráfegos diferentes necessitam de
soluções diferentes para QOS
802.11e apresenta o conceito: “Hybrid
Coordin...
802.11e - HCF
CSMA/CA (DCF) (Scheduling)
  Eficiência e baixa latência para tráfego com burst
  Controle de acesso ao cana...
802.11e
802.11e está baseado em mais de uma
década de experiência em protocolos WLAN
802.11e foi desenvolvido com foco nas...
WEP
WEP (Wired Equivalent Privacy):
Opcional para 802.11 - MAC Layer
Busca resolver os seguintes problemas:
  Impedir que ...
WEP
Como funciona o WEP
  Shared Secret (WEP Key) – 40/104 bits
  Criptografia RC4 stream cipher (simétrica) do
  payload ...
WEP
O que está errado com o WEP
 Shared Key estática
 Não possui necamismo de distribuição ou
 renovação de chaves de crip...
WEP
WEP2
Definições
  compatível com WEP
  Força chaves de 128 bits
  Suporte a Kerberos V
Problemas
  Permite a reutilização ...
802.1x
Controle de acesso
Autenticação mútua
Utilização de Servidor de Autenticação
centralizada (RADIUS)
Distribuição din...
802.1x
Componentes:
  Supplicant (Cliente)
  Autenticador (AP)
  Servidor de Autenticação (RADIUS)
Possíveis ataques demon...
802.1x
     Cliente envia pedido de autenticação ao AP
1.
     AP responde pedindo a identificação do Cliente
2.
     Clie...
802.1x - EAP
EAP – TLS
  Autenticação mútua baseada em
  certificados
  Chaves de criptografia são geradas
EAP – TTLS
  Cl...
802.1x - EAP
EAP – SRP
  Cliente e servidor de autenticação são
  autenticados utilizando senhas
  Chaves de criptografia ...
Riscos associados
Perda de confiança dos clientes
Perda de confiança dos acionistas e
investidores
Danos a marca
Diminuiçã...
Medidas de Segurança
Habilite WEP como nível mínimo de
segurança
  Utilize chaves de 128 bits
  Altere a chave WEP frequên...
Medidas de Segurança
Altere os nomes e senhas das comunities
SNMP dos APs
Trate sua rede wireless como uma rede
pública
Ut...
Medidas de Segurança
Se usuários wireless tiverem de utilizar
serviços em sua rede local, utilize
outros algorítimos de au...
Q&A
Referências
IEEE 802.11 Work Groups
SAMS Reading Room
Cisco
802.11 Planet
Intel
ISS
CWNP
IBM
Upcoming SlideShare
Loading in …5
×

WiFi Security and QOS

1,679 views
1,598 views

Published on

2003-06

Published in: Technology
0 Comments
3 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,679
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
0
Comments
0
Likes
3
Embeds 0
No embeds

No notes for slide

WiFi Security and QOS

  1. 1. Congresso Wi-Fi IIR Desenvolvimentos Tecnológicos e Implementações de QOS e Protocolos de Segurança em Redes Wi-Fi André Corrêa andre.correa@pobox.com 29/06/2003
  2. 2. Agenda 802.11 – Padrões / Grupos de Trabalho 802.11e - QOS WEP / WEP 2 802.1x Riscos associadoas a utilização de redes Wi-Fi e medidas de Segurança Q&A
  3. 3. 802.11 – Padrões e Grupos de Trabalho 802.11a - 5GHz UNII OFDM (Ortogonal Frequency Division Multiplexing) 6 to 54Mbps 802.11b - 2.4GHz CCK (Complementary Code Keying) 1 to 11Mbps
  4. 4. 802.11 – Padrões e Grupos de Trabalho 802.11g Higher Rate Extensions na banda de 2.4GHz Aumento da velocidade em relação a 802.11b - até 54Mbps OFDM (Frequency Division Multiplexing) RTS / CTS Compatível com 802.11b
  5. 5. 802.11 – Padrões e Grupos de Trabalho 802.11c - Bridge Operation Procedures 802.11d - Global Harmonization Regulamentação: U.S., Europa e Japão 802.11e - MAC Enhancements for QoS QOS focado em aplicações multimídia Compatível com qualquer 802.11 PHYs
  6. 6. 802.11 – Padrões e Grupos de Trabalho 802.11f - Inter Access Point Protocol (IAPP) Roaming entre Access Points APs de fabricantes diferentes podem não operar em conjunto 802.11h - Spectrum Managed 802.11a Seleção dinâmica de canais (Europa) 802.11i - MAC Enhancements for Enhanced Security Resolução de problemas relativos ao WEP Incorpora o 802.1x e técnicas avançadas de criptografia
  7. 7. 802.11e QOS (Quality of Service) em 802.11 Trabalha na camada MAC Desejável para aplicações multimídia Cooperação com IEEE 1394 Aplicável e compatível com 802.11a, 802.11b e 802.11g (PHY)
  8. 8. 802.11e Soluções que funcionam em redes cabeadas podem não funcionar em redes wireless pelos seguintes motivos: Taxa de erro pode chegar de 10 a 20% Taxa de transmissão varia de acordo com as condições do canal utilizado Impossível determinar a banda exata que pode ser utilizada devido a sua variação
  9. 9. 802.11e Ë comum definir como constante o tráfego multimídia, mas ele se torna “bursty” em situações onde existe elevada taxa de erro. Protocolos da camada MAC somente podem cuidar da priorização do tráfego, não da reserva de banda
  10. 10. 802.11e Reserva de banda Redes IP geralmente utilizam RSVP Muitas aplicações não utilizam esse protocol RSVP está sendo descontinuado por alguns fabricantes (Exemplo: MS Windows XP) 802.11e deve suportar 802.1p (priority marking) 802.11e não deve assumir a utilização de RSVP mas deve se beneficiar caso este esteja disponível
  11. 11. 802.11e - Draft Focado em duas aplicações Audio/vídeo – deve suportar: até 3 canais simultâneos MPEG-2 em DVD rate; ou um canal MPEG-2 em HDTV rate, em redes 802.11a QOS para redes corporativas, provendo priorização de tráfego e integração com a infra- estrutura de gerenciamento existente Backwards compatible com Clientes/APs que não utilizem 802.11e Atua também sobre o tráfego entre Clientes
  12. 12. 802.11e Tentativas anteriores para WLAN QOS Hiperlan 1 (1996): frágil na presença de erros e clientes “hidden” Hiperlan 2: frágil em situações com bursts de tráfego. Implementação complexa HomeRF: ineficiente para tráfego de vídeo; problemas com a camada PHY
  13. 13. 802.11e - HCF Tráfegos diferentes necessitam de soluções diferentes para QOS 802.11e apresenta o conceito: “Hybrid Coordination Function” 802.11e – HCF utiliza funcionalidades das tecnologias CSMA/CA e PCF (Point Coordination Function)
  14. 14. 802.11e - HCF CSMA/CA (DCF) (Scheduling) Eficiência e baixa latência para tráfego com burst Controle de acesso ao canal por pacote, não utilizando otimização por previsão de tráfego PCF (Reservation) Controle de acesso ao canal por “stream” Eficiência na previsão de tráfego 802.11e Utiliza uma combinação das duas tecnologias Eficiente acesso ao canal para tráfego previsível Eficiente para tráfego com bursts e retransmissões
  15. 15. 802.11e 802.11e está baseado em mais de uma década de experiência em protocolos WLAN 802.11e foi desenvolvido com foco nas condições reais de utilização de redes wireless. Robusto em condições adversas Backwards compatible com Clientes e APs 802.11
  16. 16. WEP WEP (Wired Equivalent Privacy): Opcional para 802.11 - MAC Layer Busca resolver os seguintes problemas: Impedir que intrusos consigam ler os dados transmitidos Impedir que intrusos consigam modificar dados transmitidos Impedir que intrusos tenham acesso a rede wireless
  17. 17. WEP Como funciona o WEP Shared Secret (WEP Key) – 40/104 bits Criptografia RC4 stream cipher (simétrica) do payload dos pacotes 802.11 (corpo + CRC) Seed = Shared Secret + Randon 24 bit (IV) IV muda para cada pacote (sequêncial ou randômico dependendo da implementação) IV é enviado em clear text no cabeçalho do pacote 802.11
  18. 18. WEP O que está errado com o WEP Shared Key estática Não possui necamismo de distribuição ou renovação de chaves de criptografia IV relativamente pequeno (24 bits) IV sequêncial em diversas implementações
  19. 19. WEP
  20. 20. WEP2 Definições compatível com WEP Força chaves de 128 bits Suporte a Kerberos V Problemas Permite a reutilização do IV Não possui autenticação mútua Suporte a Kerberos V permite dictionary attacks Possível DOS pois autenticação/desautenticação não são seguras
  21. 21. 802.1x Controle de acesso Autenticação mútua Utilização de Servidor de Autenticação centralizada (RADIUS) Distribuição dinâmica de chaves de criptografia EAP (Extensible Authentication Protocol – RFC2284) permitindo a utilização de diversos métodos de autenticação: Token Cards, Kerberos, one-time passwords, certificados digitais e PKI
  22. 22. 802.1x Componentes: Supplicant (Cliente) Autenticador (AP) Servidor de Autenticação (RADIUS) Possíveis ataques demonstrados: Session Hijacking Man-in-the-middle
  23. 23. 802.1x Cliente envia pedido de autenticação ao AP 1. AP responde pedindo a identificação do Cliente 2. Cliente envia sua identificação que é redirecionada pelo AP 3. ao servidor de autenticação Servidor de autenticação verifica a identidade do Cliente e 4. envia uma mensagem de aceitação/negação ao AP Se a identificação for aceita o AP libera o tráfego do Cliente 5.
  24. 24. 802.1x - EAP EAP – TLS Autenticação mútua baseada em certificados Chaves de criptografia são geradas EAP – TTLS Cliente não necessita de certificado digital, mas pode ser autenticado utilizando senhas Servidor de autenticação utiliza certificado digital Chaves de criptografia são geradas
  25. 25. 802.1x - EAP EAP – SRP Cliente e servidor de autenticação são autenticados utilizando senhas Chaves de criptografia são geradas EAP – MD5 Cliente é autenticado através de senha Servidor de autenticação não é autenticado Não são geradas chaves de criptografia
  26. 26. Riscos associados Perda de confiança dos clientes Perda de confiança dos acionistas e investidores Danos a marca Diminuição dos lucros Implicações legais
  27. 27. Medidas de Segurança Habilite WEP como nível mínimo de segurança Utilize chaves de 128 bits Altere a chave WEP frequêntemente Não assuma que o WEP é seguro Se possível utilize 802.1x Se possível desabilite broadcast de SSID Altere o SSID e a senha default dos APs
  28. 28. Medidas de Segurança Altere os nomes e senhas das comunities SNMP dos APs Trate sua rede wireless como uma rede pública Utilize filtros por MAC address Coloque sua rede wireless em uma DMZ e de forma isolada Desabilite compartilhamento de arquivos em clientes wireless
  29. 29. Medidas de Segurança Se usuários wireless tiverem de utilizar serviços em sua rede local, utilize outros algorítimos de autenticação e criptografia, como por exemplo: VPN, IPSec, SSH Promova regularmente quot;Access Point Discovery“ Utilize IDS na rede wireless
  30. 30. Q&A
  31. 31. Referências IEEE 802.11 Work Groups SAMS Reading Room Cisco 802.11 Planet Intel ISS CWNP IBM

×