![Page 1: Redes de Computadores Segurança de redes wireless](https://reader033.vdocuments.mx/reader033/viewer/2022061606/552fc181497959413d8f3334/html5/thumbnails/1.jpg)
Redes de Computadores
Segurança de redes wireless
![Page 2: Redes de Computadores Segurança de redes wireless](https://reader033.vdocuments.mx/reader033/viewer/2022061606/552fc181497959413d8f3334/html5/thumbnails/2.jpg)
2
WLAN(Wireless LAN)
● Vantagens:– Facilidade de conexão– Mobilidade– Flexibilidade
● Problemas:– Tamanho da banda– Interferência– Alcançe do Sinal– SEGURANÇA
![Page 3: Redes de Computadores Segurança de redes wireless](https://reader033.vdocuments.mx/reader033/viewer/2022061606/552fc181497959413d8f3334/html5/thumbnails/3.jpg)
Segurança redes wireless
Fácil instalação + Fácil acesso
=
Problema de Segurança
![Page 4: Redes de Computadores Segurança de redes wireless](https://reader033.vdocuments.mx/reader033/viewer/2022061606/552fc181497959413d8f3334/html5/thumbnails/4.jpg)
Problema redes wireless
• Maior problema atualmente em redes sem fio.
• Muito suscetível a interceptações dos dados da rede
• Necessidade de protocolos de segurança para garantir a privacidade da rede.
![Page 5: Redes de Computadores Segurança de redes wireless](https://reader033.vdocuments.mx/reader033/viewer/2022061606/552fc181497959413d8f3334/html5/thumbnails/5.jpg)
Como melhorar a segurança?
• Mudar password do administrador
• Aplicar Encriptação
• Ocultar o Service Set IDentifier (SSID)
• Bloquear o endereço Media Access Control (MAC)
• Endereço IP estáticos
![Page 6: Redes de Computadores Segurança de redes wireless](https://reader033.vdocuments.mx/reader033/viewer/2022061606/552fc181497959413d8f3334/html5/thumbnails/6.jpg)
Recursos de (in)segurança
WEP – Wired Equivalency Privacy• Criptografia e autenticação no nível do link wireless
– Ou seja, não provê segurança fim-a-fim– Em outras palavras, só no trecho wireless– Furadíssimo, como veremos adiante
• Não prescinde outros mecanismos “tradicionais” de segurança– Muito pelo contrário, torna-os muito mais necessários, dado
que introduz vários novos riscos
![Page 7: Redes de Computadores Segurança de redes wireless](https://reader033.vdocuments.mx/reader033/viewer/2022061606/552fc181497959413d8f3334/html5/thumbnails/7.jpg)
Recursos de (in)segurança
WEP – Serviços• Autenticação: garantir que apenas estações
autorizadas possam ter acesso à rede– Somente pessoas autorizadas podem se conectar na minha
rede?– Confidencialidade: dificultar que um interceptador casual
compreenda o tráfego capturado– Somente as pessoas autorizadas podem ver meus dados?
• Integridade:– Temos certeza que os dados transitando na rede não foram
adulterados?
![Page 8: Redes de Computadores Segurança de redes wireless](https://reader033.vdocuments.mx/reader033/viewer/2022061606/552fc181497959413d8f3334/html5/thumbnails/8.jpg)
Recursos de (in)segurança
WEP – Autenticação• Não-criptográfica:
– Modo aberto: SSID nulo– Modo fechado: requer SSID
específico– Trivialmente suscetível a ataque
de replay
![Page 9: Redes de Computadores Segurança de redes wireless](https://reader033.vdocuments.mx/reader033/viewer/2022061606/552fc181497959413d8f3334/html5/thumbnails/9.jpg)
Recursos de (in)segurança
WEP – Autenticação• Criptográfico:
– Desafio-resposta rudimentar para provar que o cliente conhece a chave WEP
– O AP autentica o cliente– O cliente não autentica o AP
– Suscetível a vários ataques.
![Page 10: Redes de Computadores Segurança de redes wireless](https://reader033.vdocuments.mx/reader033/viewer/2022061606/552fc181497959413d8f3334/html5/thumbnails/10.jpg)
Recursos de (in)segurança
Integridade WEP• CRC (Cyclic Redundancy Check) de 32 bits é computado para
cada pacote e anexado ao pacote– CRCs são otimizados para detectar erros de transmissão– São notoriamente inadequados para prover garantias criptograficamente
aceitáveis contra adulteração intencional
• Também burlável:– É viável fazer alterações no texto cifrado e “compensar” o CRC
• Já aconteceu outras vezes, no SSH1 e no PPTP da MS– Deveria ter sido usado um MAC (Message Authentication Code) com
resistencia criptográfica, à base de MD5 ou SHA1
![Page 11: Redes de Computadores Segurança de redes wireless](https://reader033.vdocuments.mx/reader033/viewer/2022061606/552fc181497959413d8f3334/html5/thumbnails/11.jpg)
Defesas
WPA – Wi-Fi Protected Access• Novo padrão de autenticação mútua - EAP• TKIP – Temporal Key Integrity Protocol• Michael Message Integrity Check
![Page 12: Redes de Computadores Segurança de redes wireless](https://reader033.vdocuments.mx/reader033/viewer/2022061606/552fc181497959413d8f3334/html5/thumbnails/12.jpg)
Defesas
WPA – EAP• Novo padrão de autenticação mútua
– Suplicante, Autenticador, Servidor de Autenticação RADIUS– Atualização de Firmware– Compatibilidade com Hardwares legados
![Page 13: Redes de Computadores Segurança de redes wireless](https://reader033.vdocuments.mx/reader033/viewer/2022061606/552fc181497959413d8f3334/html5/thumbnails/13.jpg)
Defesas
WPA – EAP• Procedimentos de Autenticação:
– Um suplicante inicia uma conexão com um autenticador. O autenticador detecta a ocorrência e habilita uma porta para o suplicante. Entretanto, excluindo o trafego definido pelo 802.1X, todos os outros estão bloqueados.
– O autenticador requer a identificação do suplicante.– O suplicante responde com a identificação que é imediatamente
repassada para o servidor de autenticação.– O servidor autentica a identidade do suplicante e envia uma mensagem do
tipo ACCEPT para o autenticador. O autenticador muda o estado da porta para autorizado.
– O suplicante requisita a identificação do servidor. O servidor atende.– O suplicante valida a identificação do servidor e todo trafego é liberado.
![Page 14: Redes de Computadores Segurança de redes wireless](https://reader033.vdocuments.mx/reader033/viewer/2022061606/552fc181497959413d8f3334/html5/thumbnails/14.jpg)
Defesas
WPA – EAP
![Page 15: Redes de Computadores Segurança de redes wireless](https://reader033.vdocuments.mx/reader033/viewer/2022061606/552fc181497959413d8f3334/html5/thumbnails/15.jpg)
Defesas
WPA – TKIP Temporal Key Integrity Protocol• Chave Compartilhada de 128 bits• Um IV de 48 bits• MAC Address
• Mantém o RC4 Compatibilidade• Trocas de chave a cada 10.000 pacotes
![Page 16: Redes de Computadores Segurança de redes wireless](https://reader033.vdocuments.mx/reader033/viewer/2022061606/552fc181497959413d8f3334/html5/thumbnails/16.jpg)
Defesas
WPA – Michael Message Integrity Check• Substitui o CRC• MIC (Message) - Redundância de 64 bits calculada com o
algoritmo “Michel”• Verifica erros na transmissão• Detecta manipulação deliberada
![Page 17: Redes de Computadores Segurança de redes wireless](https://reader033.vdocuments.mx/reader033/viewer/2022061606/552fc181497959413d8f3334/html5/thumbnails/17.jpg)
Defesas
WPA – Conclusão• Resolve diversos problemas conhecidos do WEP:
– Autenticação Mútua– TKIP– Michael Message Integrity Check
• Entretando, WPA ainda não é a solução definitiva:– Criptografia Fraca– WPA2 substituição do RC4 pelo AES.– Queda de Performance
![Page 18: Redes de Computadores Segurança de redes wireless](https://reader033.vdocuments.mx/reader033/viewer/2022061606/552fc181497959413d8f3334/html5/thumbnails/18.jpg)
18
Temporal Key Integrity Protocol (TKIP)
• Aumento da chave para 128 bits
• 4 novos algoritmos
– Message Integrity Code(MIC)
– Key Mixing por pacote
– Mecanismo de mudança de chaves
• Chaves atualizadas periodicamente
– Novo sequenciamento dos IV
![Page 19: Redes de Computadores Segurança de redes wireless](https://reader033.vdocuments.mx/reader033/viewer/2022061606/552fc181497959413d8f3334/html5/thumbnails/19.jpg)
19
Message Integrity Code (MIC)
• Integridade
• Tag T -> enviada criptografada
• O receptor realiza a mesma operação e compara T.
![Page 20: Redes de Computadores Segurança de redes wireless](https://reader033.vdocuments.mx/reader033/viewer/2022061606/552fc181497959413d8f3334/html5/thumbnails/20.jpg)
20
Key Mixing por pacote
• Uma chave única para cada pacote
– Duas fases
• Fase 1: Produzir uma chave intermediária com a chave temporal (mudada periodicamente), endereço MAC do usuário e o número de sequenciamento dos pacotes(4 bytes apenas)
• Fase 2:Encriptação dessa chave com o número de sequenciamento dos pacotes
![Page 21: Redes de Computadores Segurança de redes wireless](https://reader033.vdocuments.mx/reader033/viewer/2022061606/552fc181497959413d8f3334/html5/thumbnails/21.jpg)
21
Mecanismo de mudança de chaves
• No sistema TKIP as chaves são atualizadas a cada período de tempo para dificultar a descoberta da mesma por pessoas mal intencionadas.
![Page 22: Redes de Computadores Segurança de redes wireless](https://reader033.vdocuments.mx/reader033/viewer/2022061606/552fc181497959413d8f3334/html5/thumbnails/22.jpg)
22
IEEE 802.11i (WPA2)
• Também conhecido como WPA2
• Solução a longo prazo para a segurança
• Robust Security Network
– Suporte a diferentes protocolos de privacidade
• TKIP RC4
• CCMP AES (block cypher)
– Autenticação
• RSN procedimentos de negociação
• IEEE 802.1X
• PSK
![Page 23: Redes de Computadores Segurança de redes wireless](https://reader033.vdocuments.mx/reader033/viewer/2022061606/552fc181497959413d8f3334/html5/thumbnails/23.jpg)
23
Advanced Encryption Standard (AES)
• Padrão estabelecido pelo governo Norte-americano para algoritmo de criptografia
• Baseado no algoritmo de Rijndael
• symetric block cypher
– divide os dados que devem ser protegidos em blocos
– Criptografa cada bloco separadamente, com a mesma chave
![Page 24: Redes de Computadores Segurança de redes wireless](https://reader033.vdocuments.mx/reader033/viewer/2022061606/552fc181497959413d8f3334/html5/thumbnails/24.jpg)
24
Funcionamento do AES
• Blocos de 128 bits
• Cada bloco é tratado como uma matriz 4x4 de bytes, denominada de estado
• Encroptação feita em 10 rodadas
• Processo de encriptação (em cada rodada):
– Substituição de bytes, Deslocamento das linhas, Combinação das colunas e XOR entre o estado e a chave de rodada