Redes Wireless – Parte XXXV

 

10.4 – Soluções de segurança

 

Devido ao fato de redes wireless serem inseguras por natureza e devido ao fato que WEP não é apropriado para redes wireless corporativas, novas soluções de segurança estão tomando a frente no mercado de segurança em WLANs.

 

Até agora tudo que foi descrito aqui em termos de segurança são soluções proprietárias. Embora o IEEE tenha aceito o 802.1x como um padrão, seu uso como parte aprovada das séries de padrões 802.11 ainda não é oficial.

 

10.4.1 – Gerenciamento de chaves WEP

 

Ao invest de usar chaves WEP, as quais podem ser facilmente descobertas por hackers, WLANs podem se tornar mais seguras através da implementação de um sistema de distribuição de chaves central. Esse sistema designa chaves dinamicamente por pacote ou por sessão.

 

Uma nova chave é gerada para o cliente e o AP, para cada pacote ou cada sessão enviada entre eles.  Embora o gerenciamento dinâmico de chaves introduza maior overhead na rede e reduza a performance, ela dificulta e muito o trabalho de um hacker ao tentar invadir a rede. Para conseguir tal feito ele teria que prever a seqüência de chaves que o sistema de distribuição está usando, o que convenhamos é muito difícil.

 

Nunca é demais lembrar que WEP não criptografa endereços MAC nem beacons (somente as informações das camadas 3 a 7 estão protegidas). Logo, um sniffer poderia capturar qualquer informação divulgada em beacons partindo do AP ou qualquer endereço MAC em pacotes unicasts partindo de clientes.

 

Para colocar um servidor de chaves centralizado na rede, devemos encontrar uma aplicação que execute essa tarefa, além de comprar um servidor com o sistema operacional apropriado instalado e configurar a aplicação de acordo com as nossas necessidades.

 

10.4.2 – VPNs Wireless

 

Fabricantes estão incluindo servidores VPN nos pontos de acesso e gateways, permitindo que a tecnologia VPN ajude a proteger conexões wireless.

 

Quando o servidor VPN é embutido no ponto de acesso, os clientes usam o software com protocolos como PPTP e IPsec para formar um túnel diretamente com o ponto de acesso. Eis como o processo ocorre:

 

» O cliente se associa com o ponto de acesso.

 

» É feita uma conexão VPN. Assim todo o tráfego do cliente passa através do ponto de acesso.

 

Todo tráfego passa através do túnel e pode ser criptografado.

 

O uso do PPTP com chaves compartilhadas é muito simples para implementar e fornece um nível aceitável de segurança, especialmente quando adicionado a criptografia WEP. O uso do IPsec com chaves compartilhadas ou certificados é geralmente a solução preferida entre os profissionais de segurança. Quando o servidor VPN é implementado em um gateway corporativo o mesmo processo ocorre, com a única diferença de que após o cliente se associar ao ponto de acesso o túnel VPN é estabelecido entre o cliente e o gateway ao invés do ponto de acesso.

 

Existem vendedores que estão oferecendo modificações as suas soluções VPN existentes, seja hardware ou software, para suportar os clientes wireless e competir no mercado. Esses dispositivos ou aplicações se situam entre a rede wireless e a rede cabeada e em termos de capacidade são similares aos gateways corporativos.

 

Soluções de VPN Wireless na maioria das situações, são econômicas e de implementação simples. VPNs que suportam WLANs são projetadas tendo o novato em mente, o que talvez explique a popularidade desses dispositivos entre os usuários.

 

Figura 150 – Exemplo de solução VPN wireless

 

10.4.3 – Tecnologias de chaveamento dinâmico

 

Tecnologias de chaveamento usando criptografia MD5 e com mudança constante das chaves de criptografia estão cada vez mais disponíveis no mercado. A rede constantemente muda, ou pula de uma chave para outra a cada 3 segundos. Essa solução requer hardware proprietário. Os algoritmos das chaves são implementadas de tal maneira que evita a exposição das fraquezas do WEP no que diz respeito ao vetor de inicialização (IV).

 

10.4.4 – Protocolo de integridade de chave temporária (TKIP)

 

TKIP nada mais é que um upgrade do WEP que corrige o tão já conhecido e debatido problema da implementação do RC4. TKIP oferece um vetor de inicialização de tal forma que isso impossibilita o sniffing do pacote. Ele também oferece um check de integridade de mensagem para ajudar a determinar se um usuário não-autorizado modificou pacotes através da injeção de tráfego para crackear a chave WEP. O uso de chaves dinâmicas impossibilita a captura de chaves passivas, que era uma grande vulnerabilidade do padrão WEP. Ele pode ser implementado através de upgrade de firmware em pontos de acesso ou pontes, tão bem como upgrades de software e firmware nos dispositivos clientes.

 

Haverá uma perda de performance ao usar o TKIP, mas essa perda é altamente compensada por aumento no nível de segurança.

 

10.4.5 – Gateways Wireless

 

Gateways wireless residenciais oferecem as funcionalidades de servidor VPN, NAT, DHCP, PPoE, WEP, Filtros MAC e firewall, mas são adequados para pequenos escritórios e para residências com poucas estações e uma conexão compartilhada com a internet. O custo varia dependendo do que é oferecido por esses dispositivos.

 

Gateways corporativos são uma adaptação especial de servidores de autenticação e VPN para o mundo wireless. Eles se situam entre o segmento cabeado e o ponto de acesso.

 

Como o próprio nome já diz um gateway controla acesso da WLAN para dentro da rede cabeada, de forma que mesmo que um hacker conseguisse entrar na WLAN, a LAN estaria protegida do ataque pelo gateway.

 

Vamos imaginar uma situação para ilustrar e entender melhor o uso de um gateway wireless.

 

Imagine que um hospital implementou 40 pontos de acesso entre vários andares de um prédio. A essa altura o investimento é muito significativo, logo se os pontos de acesso não suportam medidas de segurança escaláveis, o hospital teria que em um prazo relativamente curto fazer a substituição de todos os pontos de acesso.

 

Ao invés de adotar essa medida, o hospital poderia implementar um gateway wireless.

 

O gateway pode ser conectado entre o switch principal e o de distribuição (aonde estão conectados os pontos de acesso) e atuar como um servidor VPN e de autenticação para os clientes da rede wireless. Ele também pode ser instalado por trás de todos os pontos de acesso como um grupo. O uso desse tipo de gateway oferece segurança se comparado a um ponto de acesso sem segurança.

 

10.4.6 – Protocolo de autenticação extensível e 802.1x

 

O padrão 802.1x oferece especificações para controle de acesso a rede baseado em porta. Esse tipo de controle é usado em switches ethernet.  Quando o usuário tenta se conectar a porta ethernet, a conexão inicialmente é colocado no modo BLOQUEADO, esperando a verificação da identidade do usuário com um sistema de autenticação backend.

 

Quando combinado com o protoco de autenticação extensível (EAP), o 802.1x oferece um ambiente altamente seguro e flexível baseado em vários esquemas de autenticação usados hoje em dia.

 

EAP é um protocolo utilizado na negociação do método de autenticação e define as características do método de autenticação incluindo:

 

» Credencias requeridas do usuário tais como senhas, certificados, etc...

 

» Protocolo a ser usado (MD5, TLS, GSM, OTP, etc)

 

» Suporte da geração de chave e autenticação mutua.

 

Há talvez dezenas de EAP existentes no mercado, uma vez que nem a industria nem o IEEE, chegaram a um consenso para elaborar um padrão.

 

Eis como ocorre o processo de uma autenticação 802.1x-EAP:

 

» O cliente solicita a associação com o ponto de acesso

 

» O ponto de acesso responde ao pedido de associação com uma requisição de identidade EAP.

 

» O cliente envia uma resposta da identidade EAP para o ponto de acesso

 

» A identidade EAP do cliente é encaminhada ao servidor de autenticação

 

» O servidor de autenticação envia um pedido de autorização ao ponto de acesso

 

» O ponto de acesso encaminha o pedido de autorização ao cliente

 

» O cliente envia uma resposta da autorização EAP para o ponto de acesso

 

» O ponto de acesso encaminha a resposta de autorização EAP para o servidor de autenticação

 

» O servidor de autenticação envia uma mensagem EAP bem sucedida ao ponto de acesso

 

» O ponto de acesso encaminha essa mensagem ao cliente e coloca a porta do cliente em modo ENCAMINHANDO.

 

Figura 151 – Processo de autenticação EAP

 

Quando EAP é usado, é possível ter um duplo logon ao ligar um notebook na rede wireless e realizar um login em serviço de diretório ou domínio. A razão para esse possível duplo logon é que 802.1x requer autenticação para fornecer conectividade na camada 2. Em muitos casos essa autenticação é feita via uma base de dados de usuários centralizada.  Se essa base de dados não é a mesma usada para autenticação de clientes na rede (AD, NDS, controlador de domínio ou LDAP), ou pelo menos sincronizada com essa base de dados usada para autenticação de clientes, o usuário experimentará um duplo logon toda vez que uma conexão com a rede é necessária.