Redes Wireless – Parte XXII

 

7.2.5.2 – Soluções VPN

 

A tecnologia VPN proporciona os meios para dois dispositivos de rede transmitirem dados de forma segura em um meio não seguro. O uso mais comum da VPN é na comunicação entre redes de duas empresas distintas ou na comunicação de um cliente com um servidor corporativo via internet. Porém existem outras aplicações para a VPN e uma delas e a proteção de dados em uma rede wireless. VPN trabalha criando um túnel no topo de um protocolo como o IP. O tráfego dentro do túnel é codificado e totalmente isolado do restante da rede. A tecnologia VPN proporciona três níveis de segurança: autenticação do usuário, criptografia e autenticação dos dados.

 

Autenticação do Usuário – Garante que somente usuários autorizados (por um dispositivo específico) são capazes de conectar, enviar e receber dados em uma rede WLAN.

 

Criptografia – Oferece proteção adicional e garante que mesmo que transmissões sejam interceptadas, eles não podem ser decodificadas, sem esforço e uma grande demanda de tempo.

 

Autenticação dos dados – Garante a integridade dos dados em uma WLAN, dessa forma há a certeza que todo o tráfego provem somente de dispositivos autenticados.

 

Figura 101 – Ponto de acesso com servidor VPN integrado

 

Figura 102 – Ponto de acesso com servidor VPN externo

 

A aplicação da tecnologia VPN requer algumas adaptações em relação a LANs quando usada em redes wireless pelas seguintes razões:

 

» A função de repetidor inerente aos pontos de acesso automaticamente encaminha o tráfego entre estações WLAN que se comunicam juntas e parecem estar na mesma WLAN.

 

» O alcance das redes WLAN geralmente ultrapassa os limites do escritório ou do prédio em que estão, dando aos invasores meios de comprometer a segurança da rede.

 

A implementação de uma solução VPN irá variar dependendo das necessidades de cada tipo de ambiente. Por exemplo, um hacker que conseguisse a chave WEP usando um sniffer em uma WLAN, teria condições de decodificar os pacotes em tempo real. Porém se a rede usasse também uma solução VPN, os pacotes estariam não somente codificados, mas também encapsulados. Essa camada extra de segurança fornece muitos benefícios a nível de acesso.

 

7.2.5.3 – WPA

 

WEP não proporciona uma segurança robusta para WLANs corporativas. Devido ao fato da chave ser estática, não é difícil para um hacker obter a chave sniffando a rede. Isso motivou o surgimento de uma implementação de WEP em que as chaves são fortes e geradas dinamicamente, mas por esse novo mecanismo ser um padrão proprietário, dificulta ou mesmo inviabiliza seu uso em redes que tem dispositivos de vários fabricantes. O WPA especificado no padrão 802.1i veio para solucionar esses problemas.

 

WPA inclui TKIP (Protocolo de integridade de chave temporal) além dos mecanismos 802.1x. Essa combinação fornece codificação de chave dinâmica e autenticação mutua algo muito necessário em WLANs.

 

As seguintes características foram adicionadas ao WEP:

 

Vetores de inicialização de 48 bits – WEP produz o que é chamado de “agendamento de chave”, concatenando a chave compartilhada com um vetor de inicialização de 24 bits gerado aleatoriamente (IV).  Com um vetor de 24 bits (IV), WEP evetualmente usa o mesmo IV para diferentes pacotes de dados. Isso resulta na transmissão de frames tendo frames codificados similares o suficiente para um hacker coletar esses frames baseados no mesmo IV e determinar seus valores compartilhados decodificando esses frames. WPA com TKIP dificulta e muito o trabalho do hacker devido ao uso de um vetor de 48 bits, o que reduz de forma significativa a reutilização dos IVs e aumenta drasticamente a dificuldade para a quebra da codificação através da captura de frames.

 

Construção e distribuição de chave por pacote – WPA gera automaticamente e periodicamente uma chave de codificação para cada cliente. Uma única chave para cada frame 802.11 é utilizada. Isso evita que a mesma chave permaneça em uso  por semanas ou meses. Portanto é muito difícil que alguém mesmo tendo uma cópia da chave pudesse comprometer a maioria dos frames, uma vez que aquela chave não serviria para todos os frames. Mal comparando, seria o mesmo que alguém trocar a fechadura de uma porta toda vez que a fechasse.

 

Código de integridade de mensagem (MIC) -  WPA implementa um código de integridade de mensagem para se resguardar de ataques. WEP anexa um código verificador de integridade de 4 bytes (ICV) ao frame 802.11. O receptor irá calcular o ICV na recepção do frame para determinar se ele é igual aquele que está no frame. Se for igual há uma grande chance do frame não ter sido interceptado.

 

Embora WEP codifique o ICV, um hacker poderia mudar os bits e atualizar o ICV codificado sem ser detectado pelo receptor. WPA soluciona esse problema calculando um MIC de 8 bytes que se localiza antes do ICV.

 

Para autenticação o WPA usa uma combinação da autenticação de sistema aberto com o 802.1x. Eis como o processo ocorre:

 

» O cliente wireless autentica com o AP, o qual por sua vez, autoriza o cliente a enviar frames.

 

» É feito uma autenticação a nível de usuário com o 802.1x. WPA intermédia a comunicação com um servidor de autenticação corporativo (RADIUS ou LDAP) para validar o usuário.

 

WPA também é capaz de operar em um modo conhecido como chave pré-compartilhada, caso nenhum servidor de autenticação externo esteja disponível, como nos casos de ambientes domésticos.

 

Um problema que o WPA ainda não solucionou é o caso de ataques de negação de serviço (DoS). Se alguém mandar pacotes a cada dois segundos com uma chave de codificação errada,  o AP encerrará todas as conexões por um minuto. Isso é mecanismo de defesa, alertando que alguém não autorizado está tentando acessar a parte protegida da rede.

 

Se você tem um dispositivo WEP e quer usufruir dos benefícios do WPA, basta fazer uma atualização de firmware do seu dispositivo wireless.

 

7.3 – Service Sets

 

Um service set é um termo usado para descrever os componentes básicos de uma WLAN operacional, pode ser também referenciado como topologia de uma WLAN.

 

As WLANs podem ser classificadas em 3 categorias: IBSS, BSS e ESS. WLANs fazem o broadcast de um sinal através de uma portadora de RF. A estação pode estar na faixa de vários transmissores, mas como o sinal carrega o SSID do transmissor, a estação receptora usa esse SSID (que deve ser o mesmo do seu) para filtrar os sinais recebidos de um determinado transmissor e localizar a célula de onde ela faz parte. Veremos cada tipo em detalhes.

 

7.3.1- IBSS (Independent Basic Service Sets)

 

Um IBSS consiste de um grupo de estações 802.11 se comunicando diretamente umas com as outras. IBSS é também chamado de AD-HOC, porque ele é essencialmente uma rede peer to peer. Não há um ponto central que controle a rede.

 

Redes IBSS são geralmente pequenas e não tem interfaces com redes cabeadas.Não há um limite pré estabelecido para o número máximo de estações. Porém a medida que a rede cresce, problemas de comunicação podem ocorrer devido ao problema do nó escondido. Como não há um elemento central que faça o controle na rede, ou seja, para determinar qual estação tem autorização para transmitir naquele momento, essa autorização é controlada de uma maneira distribuída.

 

Se a transmissão de dados para fora do IBSS é necessária, um dos clientes deve atuar como gateway ou roteador usando uma solução de software para esse propósito.

 

Figura 103 – WLAN IBSS ou AD-HOC

 

7.3.2 – BSS (Basic Service Sets)

 

Um BSS consiste de um grupo de estações 802.11 se comunicando umas com as outras através de um dispositivo central conhecido como ponto de acesso ou AP. Diferentemente do IBSS, em um BSS, as estações não se comunicam diretamente umas com as outras. Elas podem se comunicar somente com o AP e este encaminha os frames para a estação destino. Um ponto de acesso possui uma porta para conexão a uma estrutura cabeada(um backbone Ethernet por exemplo) e por isso é também chamado de infraestrutura BSS.

 

Uma rede BSS possui um thgrouput melhor que uma IBSS, devido a presença de um dispositivo que gerencia todo o tráfego.

 

Figura 104 – Uma WLAN BSS

 

O BSS cobre uma simples célula ou área RF em torno do ponto de acesso com várias zonas de taxas de dados (círculos concêntricos) de diferentes velocidades. As velocidades nesses círculos dependerá da tecnologia sendo utilizada. Se o BSS é feito de equipamentos 802.11b, então os círculos poderiam ter velocidades de 11, 5.5, 2 e 1 Mbps. As velocidades se tornam menores a medida que os círculos se afastam do ponto de acesso. Um BSS tem um único SSID.

 

7.3.3 – ESS (Extended Service Sets)

 

Dois ou mais BSS podem ser conectados via suas interfaces de uplink formando uma estrutura ESS. A interface de uplink conecta o BSS a um sistema de distribuição (DS). O uplink para o sistema de distribuição pode ser uma conexão cabeada ou wireless, mas na maioria das vezes é uma conexão cabeada, geralmente ethernet.

 

Figura 105 – Uma estrutura ESS

 

De acordo com o padrão 802.11, um ESS cobre múltiplas células e  permite (mas não requer) capacidades de roaming e não necessita que as células tenham o mesmo SSID.