Redes Wireless – Parte XXXIII

 

10.1.2.3 – Uso do WEP

 

Ao se usar WEP é um erro acreditar que todo o pacote estará criptografado. Na verdade, quando WEP é inicializado, somente a  informação de camada 3 presente no pacote será criptografada. Logo, haverá informações do pacote que não serão criptografadas, isso inclui o endereço MAC e os beacons enviados pelos pontos de acesso em uma WLAN.

 

Quando pacotes WEP são enviados pela rede, eles devem ser descriptografados. Esse processo de descriptografia consome muitos ciclos de CPU e reduz o throughput de uma WLAN de forma significativa. O quão significativo será essa redução, dependerá da implementação do WEP. WEP implementado via hardware afeta menos o throughput de uma WLAN do que aquele implementado via software. Na implementação via hardware o ponto de acesso possuirá uma poder de processamento maior que permita lidar com o processo de criptografia/descriptografia do WEP. Porém se por um lado isso aumentará o custo desse ponto de acesso, por outro é muito mais provável que ele consiga manter o throughput da WLAN em um patamar melhor, próximo dos 5 Mbps com WEP habilitado.

 

Como já dito anteriormente, WEP pode ser usado apenas como um mecanismo de segurança básico e é necessário estar ciente das suas deficiências e como compensá-las.

 

10.1.3 – EAS (Padrão de criptografia avançado)

 

EAS usa um algoritmo de criptografia chamado Rijndale em substituição ao RC4 usado no WEP, com os seguintes comprimentos de chave:

 

» 128-bit

 

» 192-bit

 

» 256-bit

 

Para muitos é impossível crackear um EAS.

 

EAS é implementado em firmware e software pelos fabricantes. Para fazer uso do EAS o ponto de acesso e os cartões wireless, devem sofrer um upgrade.

 

10.2 - Filtragem

 

Filtragem é outro mecanismo de segurança básico que pode ser usado juntamente com WEP e/ou EAS. Como o próprio nome diz, filtragem nada mais é que permitir ou não o acesso, baseado em uma série de parâmetros pré-definidos. No caso de uma WLAN, permite saber quem são os clientes e como eles estão configurados. Existem 3 tipos de filtragem que podem ser usados em uma WLAN:

 

» Filtragem de SSID

 

» Filtragem de endereços MAC

 

» Filtragem de protocolo

 

10.2.1 – Filtragem de SSID

 

A filtragem de SSID é um método rudimentar e deveria ser usado somente para um controle de acesso mais básico. O SSID nada mais é que o nome da rede. Para que um cliente possa se autenticar e se associar a uma rede ele deve ter o mesmo SSID do ponto de acesso ou de outros clientes (em casos de ad-hoc). O SSID (service set identifier) é divulgado em texto puro em cada beacon que o ponto de acesso envia pela rede. Logo, não é difícil saber o SSID de uma rede usando um sniffer. Esse é o caso em que nenhum SSID está configurado no ponto de acesso e no software cliente está configurado para usar qualquer SSID. Existem casos em que o SSID é configurado no ponto de acesso e logicamente o mesmo SSID deve ser configurado manualmente no cliente. Esse sistema é conhecido como sistema fechado, nele o SSID não é divulgado em cada beacon. Filtragem de SSID não é considerado um método confiável de evitar acesso não autorizado em uma WLAN.

 

Existem alguns erros comuns que usuários fazem quando da administração de SSIDs.

 

10.2.1.1 - Usar SSID padrão

 

É muito simples usar um sniffer para saber o endereço MAC do ponto de acesso e então procurar por esse endereço na tabela OUI do IEEE. Essa tabela lista os diferentes prefixos de MAC que são designados para cada fabricante. Até o surgimento do netstumbler, que é um sniffer wireless, esse processo era manual. O netstumbler faz isso automaticamente. Cada fabricante usa seu próprio SSID padrão. De posse dessa informação, basta ir no site do fabricante e procurar pelo SSID padrão que ele usa e pela subnet IP para ter acesso a rede. Logo, SSID padrão nunca deveria ser usado.

 

Figura 142 – Tela do Netstumbler

 

10.2.1.2 - Usar SSID com algo relacionado a empresa

 

Esse tipo de configuração é um risco porque permite a um invasor saber a localização física da empresa. Quando se tenta localizar uma WLAN em uma determinada região geográfica, saber a localização física já é metade do caminho andado. Mesmo com o netstumbler, saber de onde o sinal se origina leva tempo e esforço considerável em muitos casos. Colocar o SSID com algo relacionado a empresa é facilitar e muito a localização de uma WLAN.

 

10.2.1.3 - Usar SSID como meio de proteger a rede

 

Essa prática deve ser desencorajada já que o usuário deve somente mudar o SSID em sua estação para entrar na rede. SSIDs deveriam ser usados como meio de segmentar a rede e não protegê-la. Nunca é demais lembrar que o SSID é como se fosse o nome da rede, e é muito simples ter acesso a uma estação e mudar o nome da rede na configuração para ter acesso a ela.

 

10.2.1.4 - Divulgação desnecessária de SSIDs

 

Alguns pontos de acesso tem a capacidade de remover o SSID dos beacons. Se seu ponto de acesso tem essa característica, usá-la é altamente recomendado para evitar que pessoas de fora da sua rede, a use para outros propósitos.

 

10.2.2 – Filtragem de endereços MAC

 

WLANs podem filtrar endereços MAC dos clientes. Grande parte dos pontos de acesso (mesmo aqueles mais baratos) possuem essa funcionalidade. Pode-se compilar, distribuir e manter uma lista de endereços MAC permitidos e programá-la em cada ponto de acesso. Dessa forma, só terão acesso a rede, clientes cujo endereço MAC faça parte da lista.

 

Obviamente programar cada endereço MAC em cada ponto de acesso de uma grande rede seria impraticável. Filtros MAC podem ser implementados em servidores RADIUS ao invés dos pontos de acesso. Essa configuração torna a torna uma solução de segurança mais escalável e menos trabalhosa de ser feita para o caso de grandes redes. Basta entrar com cada endereço MAC no RADIUS juntamente com a identidade do usuário. Em alguns casos servidores RADIUS apontam para outra fonte de autenticação, logo essa outra fonte de autenticação deveria suportar filtragem MAC.

 

Filtros MAC também podem trabalhar de maneira reversa. Por exemplo, suponha que um empregado deixou sua empresa e levou com ele o PC Card que ele usava. O PC Card estava com seu endereço MAC incluído na lista dos pontos de acesso. Para se evitar o acesso desse funcionário, poderia se criar um filtro que desabilitaria o referido endereço MAC da lista de todos os pontos de acesso. Uma outra medida porém mais trabalhosa seria remover da lista o referido endereço MAC do PC Card.

 

Figura 143 – Filtragem MAC

 

Embora filtros MAC sejam uma boa medida de proteger a rede de acesso não autorizado, eles ainda são susceptíveis as seguintes invasões:

 

» Roubo do PC Card que está no filtro MAC do ponto de acesso.

 

» Utilizar um sniffer na WLAN e posteriormente clonar um endereço MAC, fazendo-se passar por aquele cliente.

 

Filtros MAC são ótimos para redes pequenas e domésticas onde há um pequeno número de clientes. Usar WEP e filtros MAC proporciona uma solução de segurança adequada para esses ambientes, porque é muito pouco provável que um invasor gaste tempo e esforço para clonar um endereço MAC ou mesmo tentar quebrar a chave WEP para acessar um computador ou notebook de um usuário doméstico.

 

10.2.2.1 – Clonando endereços MAC

 

Endereços MAC de clientes são divulgados através de uma rede WLAN mesmo quando WEP está habilitado. Um invasor que estivesse monitorando o tráfego poderia facilmente tomar conhecimento dos endereços MAC que trafegam na rede ; e que portanto fariam parte da lista de endereços MAC de um ponto de acesso; com um sniffer. Muitos PC Cards permitem  a alteração de seu endereço MAC via software ou mesmo através do sistema operacional. Logo, não seria difícil para um invasor alterar o endereço MAC da sua estação para ser o mesmo de um endereço MAC permitido na lista e ter acesso a rede.

 

Desde de que duas estações com o mesmo endereço MAC não podem coexistir pacificamente em uma rede, o hacker poderia descobrir o endereço MAC de uma estação que não esteja presente na rede em algumas horas do dia e nesses períodos, usar o endereço dessa estação fazendo-se passar por ela e ter acesso a rede. Por essas razões fica claro que filtragem MAC não é um mecanismo de segurança sólido para uma WLAN.

 

10.2.3 – Filtragem de protocolo

 

WLANs podem filtrar pacotes referentes aos protocolos das camadas 2 a 7 que estejam trafegando em uma rede. Alguns fabricantes inclusive criam filtros que podem ser configurados de forma independente para o segmento cabeado e wireless de um ponto de acesso.

 

Suponhamos um cenário em que um ponte wireless colocada um prédio remoto conecta a WLAN de um campus ao prédio principal (onde se localiza toda a infra-estrutura de TI), por meio de um ponto de acesso. Como todos os usuários do campus estarão compartilhando o link de 5 Mbps, é de bom tom que somente o acesso internet fosse permitido, com o intuito inclusive de evitar acesso aos servidores internos da empresa e evitar o uso de softwares de mensagens instantâneas por exemplo. Logo, todos protocolos seriam filtrados, com exceção de: POP3, HTTP, HTTPS, SMTP e FTP. Dessa forma o link seria utilizado de uma forma mais conveniente e não saturaria por conta do tráfego de protocolos que poderiam sobrecarregar o link, tais como os utilizados por softwares como kazaa e emule.

 

Figura 144 – Filtragem de protocolo

 

Figura 145 – Tela mostrando a configuração de um filtro de protocolo.