Upload
nguyenlien
View
212
Download
0
Embed Size (px)
Citation preview
Pontifícia Universidade Católica do Rio de Janeiro – PUC-Rio
Departamento de Informática
Engenharia de Computação
A Evolução dosMecanismos de Segurança para
Redes sem fio 802.11
Monografia da disciplina Introdução a Computação Móvel
Rio de Janeiro, 16 de Novembro de 2004
por Roberto Miyano Neto
orientado por Markus Endler
A Evolução dos Mecanismos de Segurança para Redes sem fio 802.11 PUC-RioIntrodução à Computação Móvel
1
Índice
RESUMO....................................................................................................................................... 2
INTRODUÇÃO............................................................................................................................. 3OS REQUISITOS DE SEGURANÇA PARA UMA REDE 802.11............................................. 5
WEP – WIRED EQUIVALENCY PRIVACY............................................................................. 6PROBLEMAS E ATAQUES AO WEP ....................................................................................... 9
POSSÍVEIS SOLUÇÕES ........................................................................................................... 13WPA – WI-FI PROTECTED ACCESS ..................................................................................... 14
802.11I – A ÚLTIMA SOLUÇÃO DE SEGURANÇA PARA REDES WI-FI ......................... 18CONCLUSÃO............................................................................................................................. 19
ANEXOS ..................................................................................................................................... 20802.11I – ROBUST SECURITY NETWORK................................................................................... 20
BIBLIOGRAFIA......................................................................................................................... 25
A Evolução dos Mecanismos de Segurança para Redes sem fio 802.11 PUC-RioIntrodução à Computação Móvel
2
Resumo
Esta monografia pretende descrever a evolução dos mecanismos de segurança disponíveis para
redes sem fio 802.11. Seguindo uma ordem histórica, esta inicia com uma analise do protocolo
WEP (Wired Equivalency Privacy) indicando suas falhas que levam a numerosos tipos de ataques
demonstrando que este protocolo não alcança o seu objetivo de prover confidencialidade ao 802.11.
Em seguida iremos analisar as respostas de fabricantes, do IEEE e da Wi-Fi Alliance com intuito de
descrever as novas soluções propostas que visam tornar as redes sem fio tão seguras quanto as redes
com fio. Por fim iremos definir os mecanismos que o mercado de redes sem fio vai utilizar nos
próximos anos.
A Evolução dos Mecanismos de Segurança para Redes sem fio 802.11 PUC-RioIntrodução à Computação Móvel
3
Introdução
O padrão 802.11 para redes sem fio (WLAN) funciona na faixa ISM de 2.4 a 2.5 GHz, com dois
modos de transmissão:
§ FHSS (Frequency-Hopping Spread-Spectrum) é um esquema de modulação spread-
spectrum que utiliza uma portadora de banda estreita alterando a freqüência (saltos) segundo
um padrão conhecido pelo transmissor e pelo receptor. Sincronizados adequadamente, eles
mantêm um único canal lógico. Para um receptor não desejado, o FHSS aparece como ruído
de pulso de curta-duração. A tecnologia FHSS usa a largura de banda de forma ineficaz para
garantir alta segurança; portanto, os sistemas FHSS costumam apresentar velocidades de
transferência menores do que as de sistemas DSSS (Direct Sequence Spread Spectrum).
Dispositivos WLAN com desempenho mais lento (1 Mbps) utilizam FHSS.
§ DSSS (Direct Sequence Spread-Spectrum) é um esquema de modulação spread-spectrum
que gera um padrão redundante de bits para cada bit transmitido. O padrão de bits, chamado
chip ou código de chip, permite aos receptores filtrar sinais que não utilizam o mesmo
padrão, incluindo ruídos ou interferências. O código de chip cumpre duas funções
principais: 1) Identifica os dados para que o receptor possa reconhecê-los como pertencentes
a determinado transmissor. O transmissor gera o código de chip e apenas os receptores que
conhecem o código são capazes de decifrar os dados. 2) O código de chip distribui os dados
pela largura de banda disponível. Os chips maiores exigem maior largura de banda, mas
permite maior probabilidade de recuperação dos dados originais. Ainda que um ou mais bits
do chip sejam danificados durante a transmissão, a tecnologia incorporada no rádio recupera
os dados originais, usando técnicas estatísticas sem necessidade de retransmissão. Os
receptores não desejados em banda estreita ignoram os sinais de DSSS, considerando-os
como ruídos de potência baixa em banda larga. As WLANs 802.11b usam DSSS e
apresentam maior transferência de dados do que a contraparte FHSS, devido à menor
sobrecarga do protocolo DSSS.
Dentro de uma rede sem fio temos várias possíveis topologias:
§ Redes Estruturadas com Access Points (APs, possivelmente vários deles) provendo acesso a
redes convencionais ou atuando como repetidores/roteadores entre si. BSS (Basic Service
Set) para um Access Point ou ESS (Extended Service Set) para mais de um access point.
A Evolução dos Mecanismos de Segurança para Redes sem fio 802.11 PUC-RioIntrodução à Computação Móvel
4
§ Redes “Ad-Hoc” ou “Peer-to-peer”, sem APs, com topologia variável dinamicamente
adicional, também chamada configuração iBSS (Independent Base Service Set).
O alcance típico de um transmissor para redes 802.11 pode chegar em ambiente fechado a
tipicamente 50 metros, mas em diferentes configurações com uso de transmissores pode se estender
de 400 metros a alguns quilômetros.
A rede WLAN 802.11b, a rede mais usada atualmente é geralmente implementada usando ESS,
transmite através de DSSS e sua taxa de transferência é tipicamente de 11 Mbps. Pela taxa de
transferência podemos ver que a rede será bastante visada por invasores, como a transmissão é
broadband através do DSSS, e a configuração mais típica é ESS, podemos notar também que tal
sistema necessita de um mecanismo de segurança eficiente para que possamos garantir:
§ Autenticação: garantir que apenas estações autorizadas possam ter acesso à rede
§ Confidencialidade: dificultar que um interceptador casual compreenda o tráfego capturado
§ Integridade: certificar que os dados que transitam na rede não serão adulterados
Para garantir os premissas acima listadas, o padrão IEEE 802.11 para redes sem fio introduziu o
Wired Equivalency Privacy (WEP, segurança equivalente a redes com fio).
Veremos adiante que o protocolo WEP não foi submetido a um grande número de testes e revisões
antes de seu lançamento e por isso possui falhas que permitem ataques, tanto passivos quanto ativos
e que para solucionar tais problemas, o IEEE está desenvolvendo uma nova arquitetura de
segurança para redes WLAN, chamada Robust Security Network (RSN).
No entanto, a arquitetura RSN também não provê um poderoso controle de acesso e autenticação
devido a uma série de falhas no protocolo de composição do RSN. A busca por um mecanismo de
segurança eficaz continua.
A Evolução dos Mecanismos de Segurança para Redes sem fio 802.11 PUC-RioIntrodução à Computação Móvel
5
Os requisitos de segurança para uma rede 802.11
Os requisitos de segurança podem ser divididos em duas categorias:
Criptografia e Privacidade – O objetivo da criptografia no que se refere a redes sem fui é fornecer
um mecanismo que permita que as informações não tenham sua privacidade atingida. Os dados
cifrados não devem ser decifrados por pessoas não autorizadas. Todos os pacotes devem ser gerados
pelas origens autenticas. Por fim, este mecanismo deve garantir sobre todas as circunstanciais a
integridade das informações.
Autenticação e Controle de Acesso – Autenticação deve ser mutua, permitindo que os ativos
autentiquem os Access Points e que estes autentiquem os ativos da mesma forma. Um framework
deve ser desenvolvido com intuito de facilitar a troca de mensagens entre clientes, APs e servidores
de autenticação. Do ponto de vista do APs, o mecanismo deve prover métodos para verificar as
credenciais dos usuários com o objetivo de determinar o nível de acesso a rede em questão.
A Evolução dos Mecanismos de Segurança para Redes sem fio 802.11 PUC-RioIntrodução à Computação Móvel
6
WEP – Wired Equivalency Privacy
WEP (Wired Equivalent Privacy - Privacidade equivalente à das redes com fios) é uma
característica IEEE 802.11 opcional, utilizada para proporcionar segurança de dados equivalente à
de uma rede com fios sem técnicas de criptografia avançadas para privacidade. A WEP foi criada
para permitir que os links de rede local sem fio sejam tão seguros quanto os links com fios. De
acordo com o padrão 802.11, a criptografia de dados WEP é utilizada para impedir (i) acesso à rede
por "intrusos" com equipamentos similares de rede local sem fio e (ii) captura do tráfego de redes
sem fio por curiosos. A WEP permite ao administrador definir o conjunto das "chaves" respectivas
de cada usuário da rede sem fio, de acordo com uma "seqüência de chaves" passada pelo algoritmo
de criptografia WEP. É negado o acesso a quem não possui a chave necessária. Conforme
especifica o padrão, a WEP usa o algoritmo RC4 com chave de 40 ou 104 bits, que somado ao vetor
inicial de 24 bits temos chaves de 64 e 128 bits. Quando a WEP é ativada, cada estação (clientes e
pontos de acesso) possui uma chave. A chave é utilizada para cifrar os dados antes de serem
transmitidos pelas emissões de rádio. Quando uma estação recebe um pacote não criptografado com
a chave adequada, o pacote é descartado e não é entregue ao host; isso impede o acesso à rede por
curiosos e pessoas não autorizadas.
A transmissão de pacotes nas redes 802.11, com WEP ativado, ocorre da seguinte forma:
figura 1 – transmissão do pacote usando WEP em rede 802.11
A Evolução dos Mecanismos de Segurança para Redes sem fio 802.11 PUC-RioIntrodução à Computação Móvel
7
Como podemos observar a chave compartilhada, ajustada manualmente, pode ter 40 bits ou 104 bits
(chave k), e a chave IV (vetor de inicialização) têm sempre 24 bits. As duas chaves são
concatenadas para formar uma chave de 64 ou 128 bits. Esta chave concatenada de 64 ou 128 bits é
inserida num algoritmo de criptografia RC4, que gera uma seqüência de números pseudo-randomica
(PRNS), também chamada RC4(IV,k). Não existe especificação para a geração da chave IV, e
normalmente, ela é gerada seqüencialmente sendo reinicializada toda vez que a placa de rede é
conectada na estação de trabalho.
O texto a ser enviado passa por um “integrity check sum”, no caso é computado o CRC-32, e então
os dois são concatenados. Em seguida faz-se um XOR do texto+CRC-32 com o PRNS gerado pelo
algoritmo e então se transmite o vetor de inicialização IV não criptografado e o texto+CRC-32
criptografado.
O receptor, por sua vez, concatena a chave IV transmitida com a chave compartilhada, e passa pelo
algoritmo RC4 para gerar a mesma PRNS gerada para a transmissão. É feito então um XOR do
texto+CRC-32 criptografado com o PRNS na transmissão. Então, para um texto transmitido C
temos:
C = PU (RC4(IV,k)
P´ = C U (RC4(v,k))
P´ = (PU (RC4(v,k))U RC4(v,k)
Como sabemos que (aU a = 0) e que (aU 0 = a)
P´ = P
O texto P original é então recuperado juntamente com o CRC-32, faz-se um novo calculo do CRC-
32 para o texto recebido e então se compara este CRC-32 com o que foi recebido para verificar a
integridade do texto. Caso o resultado obtido seja diferente, o pacote é desconsiderado. Caso
contrário, o mesmo é passado ao host.
O processo acima descrito garante a integridade e a confidencialidade dos pacotes, mas ainda deve
se garantir que apenas estações autorizadas tenham acesso aos pacotes. Há duas maneiras de
autenticar um usuário no 802.11:
A Evolução dos Mecanismos de Segurança para Redes sem fio 802.11 PUC-RioIntrodução à Computação Móvel
8
§ Autenticação aberta – o protocolo autentica qualquer um que fizer a requisição de
autenticação.
§ Autenticação por chave compartilhada
O processo de autenticação:
figura 2 – processo de autenticação
1. Desafio resposta rudimentar para saber se o usuário conhece a chave WEP. A estação envia um
frame de autenticação para o Ponto de Acesso;
2. Quando o Ponto de Acesso recebe o frame de autenticação inicial, ele responde com um frame de
autenticação contendo 128 bytes de texto randômico de desafio criptografados pelo WEP.
3. A estação deve então copiar o texto de desafio dentro de um frame de autenticação, encriptar com
a chave compartilhada e um novo IV e devolver para o Ponto de Acesso.
4. O Ponto de Acesso vai decriptar o texto recebido com a chave compartilhada e comparar com o
que foi enviado. Se estiver correto, ele responde com um frame indicando que a autenticação teve
sucesso. Senão, ele responde com uma autenticação negativa.
A Evolução dos Mecanismos de Segurança para Redes sem fio 802.11 PUC-RioIntrodução à Computação Móvel
9
Problemas e Ataques ao WEP
O problema mais crítico do protocolo WEP é que usa idealização foi falha. A segurança não foi
pensada fim-a-fim, visando apenas impedir ataques ao trecho wireless da transmissão. O fato de não
usar algoritmos criptográficos complexos apenas impede que curiosos tenham acesso ao conteúdo
trafegado, o que não ocorrerá quando o hacker desejar capturar informações desta rede. Uma
simples análise do protocolo nos trás diversas falhas:
Algoritmos criptográficos simples permitem o ataque de freqüência para se obter uma informação
aberta a partir de outra – Seja c1 e c2 pacotes cifrados transmitidos. Temos que:
c1 = p1 U RC4(IV,k)
c2 = p2 U RC4(IV,k)
c1U c2 = ( p1U RC4(IV,k) ) U ( p2U RC4(IV,k) ) =
Como U é linear, temos:
= p1 U p2U RC4(IV,k)U RC4(IV,k) =
c1U c2 = p1U p2
No mundo real, textos contêm redundância (de linguagem) o suficiente para que mesmo sem saber
os textos claros das mensagens pode-se obtê-los somente conhecendo a parcela P1 U P2. Por
exemplo, cabeçalhos IP.
Reutilização da chave compartilhada - WEP utiliza a mesma chave compartilhada em todas as
transmissões variando apenas o vetor inicial IV. Como o mesmo tem o tamanho limitado em 24
bits, teremos diversas transmissões onde o IV será reutilizado gerando uma colisão. Às vezes esse
evento é acelerado já que diversos fabricantes utilizam o mesmo algoritmo para definir o IV
(iniciando em zero cada vez que ativo for reconectado e incrementado um a um conforme
utilização). Um pequeno conjunto de colisões já é o bastante para permitir que um hacker utilize um
ataque de freqüência para obter a chave compartilhada.
Chave compartilhada precisa ser trocada manualmente – imaginemos uma empresa grande que
demite um funcionário que conhecia a chave compartilhada. A troca desta chave em empresas
menores é aplicável, mas numa empresa grande, este processo seria deveras demorado e inseguro já
que um número maior de funcionários teria acesso a nova chave.
A Evolução dos Mecanismos de Segurança para Redes sem fio 802.11 PUC-RioIntrodução à Computação Móvel
10
Access Points não autenticam NICs (Network Interface Card) – o protocolo WEP somente
apresenta um método pelo qual os NICs podem autenticar os Access Points. O processo contrário
não está disponível o que permite que uma estação não autorizada escute as transmissões de uma
rede livremente.
CRC-32 é linear e independente de k - O algoritmo utilizado para preencher o FCS (Frame
Checking Sequence) do protocolo WEP é o CRC-32. Este algoritmo foi desenvolvido para
encontrar erros randômicos, mas é ineficiente quanto a alterações maliciosas, e ainda, torna trivial
saber se você acertou o par (IV,k).
O CRC-32 tem duas propriedades:
- é independente da chave compartilhada k;
- e é linear: c( M U D ) = c( M )U c( D )
As mensagens podem ser modificadas em trânsito sem detecção, violando uma das metas de
segurança. Utilizando a propriedade de linearidade do CRC-32:
A estação A envia para a estação B uma mensagem < v, C >, onde assumimos de C corresponde à
mensagem desconhecida M cifrada (C= RC4(IV,k)<M,c(M)>). Podemos dizer que é possível
encontrar uma nova mensagem cifrada C ' que será decifrada para M ', onde M ' = M U D e D pode
ser escolhido arbitrariamente pelo adversário. Então, nós seríamos capazes de substituir a
transmissão original pelo nosso novo texto cifrado enganando a fonte. E assim, depois da
decriptografia a máquina B irá obter a mensagem modificada M ' com o CRC correto.
C ' = CU <D, c(D)>
C ' = RC4(IV,k) U <M,c(M)>U <D,c(D)>
C ' = RC4(IV,k)U <M U D , c(M)U c(D)>
C ' = RC4(IV,k)U <M ' , c( M ' )>
Isso significa que podemos fazer modificações arbitrárias nas mensagens sem medo de detecção.
A Evolução dos Mecanismos de Segurança para Redes sem fio 802.11 PUC-RioIntrodução à Computação Móvel
11
Devido às vulnerabilidades apresentadas o protocolo WEP é suscetível a diversos tipos de ataque:
figura 3 – acesso desautorizado
Todos os ataques clássicos de TCP/IP se aplicam normalmente:
§ ARP spoofing: redirecionar tráfego para o impostor via falsificação/personificação do
endereço MAC
§ DNS spoofing: redirecionar tráfego para o impostor via adulteração dos pacotes DNS
§ Smurf: sobrecarga de broadcasts para negação de serviço/saturação do canal
§ DHCP spoofing: servidor DHCP impostor força configuração imprópria dos clientes
Man-in-the-middle – De posse da chave compartilhada, um hacker pode facilmente capturar um
pacote, decifrar o seu conteúdo utilizando a chave. Alterar o conteúdo (inclusive o CRC32) e
novamente cifrar para reenviar ao destinatário. Quando este receber o pacote alterado, irá tratá-lo
como pacote normal já que a chave compartilhada confere.
Modificando Mensagens – Na última falha mencionada listada encontramos uma forma de alterar
o conteúdo da mensagem sem que o destinatário possa verificar que tal modificação foi feita.
A Evolução dos Mecanismos de Segurança para Redes sem fio 802.11 PUC-RioIntrodução à Computação Móvel
12
Inserindo Mensagens - Utilizando a propriedade do CRC de ser independente da chave k, desta
maneira o adversário pode calcular campos de CRC válidos para suas mensagens. Se ele conhecer
uma mensagem ele pode descobrir a seqüência chave relativa a um dado v e utilizá-la para injetar
tráfego na rede.
P U C = PU ( PU RC4(IV,k) ) = RC4(IV,k)
A partir daí ele terá a seqüência chave e o vetor de inicialização correspondente, podendo validar
qualquer mensagem que ele quiser.
C ' = <M ',c(M ' )> XOR RC4(v,k)
Dicionários de decriptografia - Uma vez que um texto de uma mensagem interceptada é obtido, o
adversário descobre o valor da seqüência chave e é capaz de decifrar qualquer outra mensagem com
o mesmo vetor de inicialização. Depois de algum tempo o adversário pode armazenar em uma
tabela a sequencia chave correspondente a cada vetor de inicialização. Uma tabela completa requer
um espaço mínimo - talvez 1500 bytes para cada uma das 2^24 possibilidades do vetor, ou
aproximadamente 24 GB.
Decriptação de mensagens através do redirecionamento IP - Pode ser usado quando o ponto de
acesso age como um roteador IP, o que é muito comum.Utilizando o procedimento descrito acima (
modificação de mensagens ) o campo IP pode ser alterado para enviar uma mensagem "escutada"
através do roteador, que irá decriptar a mensagem e enviá-la à máquina de destino, do adversário ou
para alguma outra que ele controle, podendo assim ler o conteúdo.
Dupla encriptação - Sabemos que a técnica de encriptação é a mesma da decriptação. Então,
adversário pode entrar na rede enganando a autenticação (Como foi dito anteriormente a mensagem
de desafio e a sua versão encriptada podem ser copiadas e posteriormente utilizadas para se
autenticar na rede). Utilizando uma segunda conexão à Internet pode enviar pacotes para seu laptop
através da rede. A estação base irá, portanto, irá encriptar o pacote uma segunda vez. Se o
adversário tentar na hora certa, a estação base utilizará o mesmo vetor de inicialização, e o resultado
será o pacote decriptado.
A Evolução dos Mecanismos de Segurança para Redes sem fio 802.11 PUC-RioIntrodução à Computação Móvel
13
Possíveis Soluções
Após verificar a existência de diversas falhas no protocolo WEP o grupo IEEE passou a focar seus
esforços em propor soluções nas seguintes direções:
§ Segurança em Camadas/em profundidade
§ Uso de vários recursos de segurança/contenção mutuamente independentes
§ Segmentação e contenção usando firewalls e configuração minuciosa dos APs, tentar
impedir ao máximo ataques via TCP/IP.
§ VPNs (Redes Virtuais Privadas) à existem vários protocolos de tunelamento disponíveis
cada um com suas vantagens.
§ Rotacionamento de chaves WEP à Firmwares mais novos mudam a chave de tempos em
tempos melhorando assim a segurança e impedindo que o adversário possa fazer um
dicionário com os keystreams (IV,k).
§ Monitoração para detectar APs impostores.
Seguindo essa linha diversos fabricantes de ativos para redes 802.11 implementaram suas próprias
soluções com intuito de tratar as vulnerabilidades do protocolo WEP:
Aumentar o tamanho da chave WEP compartilhada – Em 1998, a Lucent passou a utilizar uma
chave de 128 bits. Com isso, os hackers teriam que levar um tempo maior para quebrar as chaves.
Entretanto, tal opção só postergava o problema. Seguindo esta mesma linha, a Agere criou a chave
de 152 bits e a US Robotics a de 256 bits. A tendência de aumentar as chaves trás um novo
problema que é a sobrecarga causada pelos mecanismos de segurança no tráfego das redes 802.11.
Troca Dinâmica de Chaves WEP – Mais tarde, diversos fabricantes incluindo Cisco e Microsoft,
implementaram a troca dinâmica de chaves. Periodicamente, um pacote broadcast seria enviado
para todos os NICs da rede com a nova chave. Desta forma, o hacker não teria informações
suficientes para usar o ataque de freqüência e assim chegar a chave WEP.
Com intuito de resolver os problemas do protocolo WEP, o 802.11 working group adotou o padrão
802.1X para autenticação, autorização e gerencia de chaves. Já o IEEE formou o Task Group I com
A Evolução dos Mecanismos de Segurança para Redes sem fio 802.11 PUC-RioIntrodução à Computação Móvel
14
objetivo de desenvolver o padrão 802.11i (RSN – Robust Security Network) que tem como objetivo
de criar mecanismos que realmente atendam os requisitos citados no início deste documento.
Enquanto os trabalhos acima mencionados não são concluídos, a indústria corre por fora.
Representada pela Wi-Fi, em conjunto com o IEEE, desenvolveu o mecanismo Wi-Fi Protected
Access (WPA – subset do padrão 802.11i) que se tornou um padrão altamente utilizado pelo
mercado em 2003. Verificamos que os trabalhos caminham em paralelo. A indústria, representada
pela Wi-Fi Alliance, busca novas soluções para resolver os problemas de segurança da rede 802.11.
Por outro lado, o IEEE busca padronizar as soluções. Devemos atentar para o fato que os trabalhos
possuem sempre interseção e que o produto final dos mesmos será um mecanismo padronizado por
um padrão IEEE implementado pelos fabricantes que compõe a Wi-Fi Alliance resultado em fim
numa rede sem fio segura.
WPA – Wi-Fi Protected Access
O WPA é um padrão para um mecanismo de autenticação que possui a interoperabilidade como
característica. Todos os ganhos com este novo padrão foram desenvolvidos no nível de software
para que os hardwares legados possam utilizar o novo mecanismo.
Como dito anteriormente, o WPA é um subset do novo padrão 802.11i e possui as seguintes
funcionalidades:
§ Implementa o novo padrão de autenticação 802.1X que permite autenticação mutua
§ Implementa o TKIP (Temporal Key Integrity Protocol) definido sobre o WEP com intuito
de garantir a chave e com isso a integridade dos dados
§ Usa Michel Message Integrity Check para garantir a integridade das mensagens
WPA é uma solução interina que resolve todos problemas conhecidos do protocolo WEP e que será
compatível como o novo padrão 802.11i. Este será a solução de segurança para redes sem fio e
todos os produtos deverão ser compatíveis com este padrão.
Passemos agora a discussão das funcionalidades disponibilizadas pelo WPA.
A Evolução dos Mecanismos de Segurança para Redes sem fio 802.11 PUC-RioIntrodução à Computação Móvel
15
802.1X EAP based authentication
WPA adotou o padrão 802.1X para resolver o problema de autenticação do protocolo WEP. O
padrão 802.1X foi desenvolvido inicialmente para redes com fio, mas hoje em dia é utilizado em
redes sem fio. Este padrão define um serviço que escuta em uma determinada porta de um servidor
que permite a autenticação mutua de clientes e APs.
O 802.1X é comprometido com 3 elementos:
§ Um suplicante – um usuário que deseja se autenticar. Isto pode ser um software cliente
instalado em um laptop, um PDA ou um outro ativo sem fio.
§ Um servidor de autenticação – Um sistema de autenticação como o RADIUS que proceda as
autenticações necessárias.
§ Um autenticador – Um ativo que permite a comunicação entre o suplicante e o servidor de
autenticação. Normalmente, este autenticador é um Access Point.
A autenticação mutua definida no padrão 802.1X é constituída pelos seguintes passos:
§ Um suplicante inicia uma conexão com um autenticador. O autenticador detecta a
ocorrência e habilita uma porta para o suplicante. Entretanto, excluindo o trafego definido
pelo 802.1X, todos os outros estão bloqueados.
§ O autenticador requer a identificação do suplicante.
§ O suplicante responde com a identificação que é imediatamente repassada para o servidor de
autenticação.
§ O servidor autentica a identidade do suplicante e envia uma mensagem do tipo ACCEPT
para o autenticador. O autenticador muda o estado da porta para autorizado.
§ O suplicante requisita a identificação do servidor. O servidor atende.
§ O suplicante valida a identificação do servidor e todo trafego é liberado.
O método de autenticação é definido no EAP – Extensible Authentication Protocol. Este protocolo
fornece um framework para que o sistema de autenticação escolha método apropriado de
autenticação. Este método pode ser: senhas, certificados digitais ou qualquer outro tipo de token.
Utilizando o EAP, o autenticador (APs) não precisa ser especifico quanto ao método de
autenticação, basta operar como proxy das informações entre o suplicante e o servidor de
autenticação.
A Evolução dos Mecanismos de Segurança para Redes sem fio 802.11 PUC-RioIntrodução à Computação Móvel
16
Segue uma lista de métodos de autenticação:
§ EAP – LEAP – desenvolvido pelo fabricante Cisco Systems; utiliza usuário e senha para
identificar e autenticar o suplicante.
§ EAP – TLS – este método obdece a RFC 2716; utiliza certificados digitais X.509 para
identificar e autenticar o suplicante.
§ EAP – TTLS – desenvolvido pelo fabricante Funk Software; semelhante ao EAP – TLS
com a diferença que o suplicante é identificado com apenas uma senha.
§ EAP – PEAP – Protected EAP – desenvolvido para sanar uma vulnerabilidade do EAP.
§ Pre-Shared Key – utilizado em pequenas empresas ou em ambiente caseiros; lembra o
antigo WEP só que opera sobre o protocolo EAP que é mais seguro.
TKIP
Temporal Key Integrity Protocol é o segunda funcionalidade derivada do 802.11i. Ele tem como
objetivo tratar as vulnerabilidades no protocolo WEP no campo da criptografia de dados. Mas
especificamente no momento em que o protocolo WEP reutiliza a chave compartilhada n vezes. O
TKIP é também comprometido com 3 elementos:
§ Chave compartilhada de 128 bits – chave compartilhada entre suplicantes e APs.
§ O endereço MAC de cada cliente
§ Um vetor de inicialização de 48 bits – descreve a seqüência de pacotes
Este comprometimento garante que os diversos clientes utilizem chaves diferentes ao longo da
operação tornando a tarefa de capturar a chave compartilhada bem mais complexa. A troca das
chaves é feita a cada 10.000 pacotes.
Com o objetivo de manter compatibilidade com hardwares legados, o TKIP utiliza o mesmo
algoritmo RC4 que o WEP utiliza. Desta forma, apenas atualizações de software e firmware serão
necessárias para que estes legados possam utilizar o TKIP. Todos os especialistas do assunto
concordam que o TKIP trás um grande avanço em termo de segurança, mas todos concordam
também que está solução é interina já que o RC4 é um algoritmo declaradamente “quebrado”.
Michael Message Integrity Check
A Evolução dos Mecanismos de Segurança para Redes sem fio 802.11 PUC-RioIntrodução à Computação Móvel
17
A funcionalidade Michael Message Integrity Check é utilizada para garantir a integridade das
mensagens que trafegam em uma rede 802.11. Um MIC (Message Integrity Code) é uma
redundância de 64 bits calculada com o algoritmo “Michael”. Este algoritmo é bem mais adequado
já é capaz de verificar qualquer modificação causada por erro na transmissão ou ainda por
manipulação deliberada. O MIC faz parte do pacote TKIP mencionado acima.
Conclusões sobre o WPA
Verificamos que o WPA é uma solução que resolve diversos problemas conhecidos do WPA. Numa
comparação podemos destacar os seguintes pontos:
§ Autenticação Mutua – implementa um controle de acesso bem mais resistente do que o
protocolo WEP já que os Aps também podem autenticar os NICs.
§ Novas tecnologia de segurança – suporta o 802.1X, o EAP, o RADIUS e o Pre-Shared
Key.
§ TKIP – implementa um melhor gerenciamento de chaves
§ Michael Message Integrity Check – reforça a integridade das mensagens
§ Compatibilidade – como dito anteriormente, o WPA pode ser visto como um subset do
802.11i e com isso a compatibilidade com soluções futuras parece estar garantida.
Entretanto, o WPA não é uma solução definitiva já que apresenta problemas:
§ Criptografia Fraca – com intuito de manter compatibilidade com hardwares legados, o
algoritmo RC4 foi mantido. Como já sabemos, o RC4 por si só já representa uma fraqueza.
Tanto que existem alguns fabricantes que trocaram o RC4 pelo AES criando um novo
padrão conhecido como WPA2.
§ Queda de Performance – como os hardwares legados não foram projetados para suportar
algoritmos pesados, a sobrecarga gerada pelo uso deles é relevante, tanto que os novos
ativos já apresentam processadores criptográficos potentes que tem a capacidade de
processar algoritmos bem mais pesados como o AES.
A Evolução dos Mecanismos de Segurança para Redes sem fio 802.11 PUC-RioIntrodução à Computação Móvel
18
802.11i – A última solução de segurança para redes Wi-Fi
O 802.11i é uma especificação criada pelo grupo IEEE Task Group “I” com intuito de sanar
definitivamente todos os problemas conhecidos do protocolo WEP.
Esta especificação inclui diversas funcionalidades:
§ Novos Algoritmos de criptografia:
o TKIP – com intuito de manter compatibilidade com sistemas legados, o 802.11i
suporta o TKIP implementado pelo WPA.
o CCMP (Counter Mode with Cipher Block Chaining Message Authentication
Code Protocol) – o 802.11i inclui um novo padrão conhecido como AES – CCMP
utilizando o modo CBC (Cipher Block Chaining). Entretanto um co-processador
criptográfico é necessário.
o WRAP (Wireless Robust Authentication Protocol) – similar ao CCMP só que
utilizando um modo diferente, o OCB (Offset Codebook).
§ Integridade de Mensagens – o 802.11i adota o algoritmo Michael Message Integrity Check
com intuito de garantir a integridade das mensagens, assim como o WPA.
§ Autenticação Mutua – o 802.11i utiliza o EAP, assim como o WPA.
§ Suporta Roaming
§ Novos protocolos:
o RSN – Robust Security Network Protocol
o WRAP - Wireless Robust Authentication Protocol
o EAP – Extensible Authentication Protocol
Podemos verificar que a grande novidade do 802.11i é a substituição TKIP (RC4) pelo CCMP
(AES). Desta forma, o novo padrão resolve o problema da criptografia fraca. O problema de
performance é resolvido com a utilização de co-processadores criptográficos. Uma segunda
novidade é a presença de tratamento para Roaming, mecanismo até então não presente nas soluções.
A Evolução dos Mecanismos de Segurança para Redes sem fio 802.11 PUC-RioIntrodução à Computação Móvel
19
Conclusão
As redes foram criadas para que fosse possível compartilhar informações. A partir daí a segurança
tornou-se fator relevante nas discussões entre especialistas da área.
As redes sem fio não fogem a esta regra. Todos os especialistas concordam que um mecanismo de
segurança eficaz é mandatário. Verificamos ao longo deste documento que diversas tentativas
foram feitas ao longo do tempo. A primeira foi o protocolo WEP, que devido a rapidez com que foi
desenvolvido e implantado apresentou diversos problemas durante sua operação. Num passo
seguinte chegamos as soluções propostas pelos fabricante para tornar o WEP mais seguro.
Neste momento a Wi-Fi Alliance, vendo que a interoperabilidade estava ameaçada, lançou um
padrão conhecido como WPA que trazia diversas novidades que resolviam a maioria dos
problemas. A autenticação mutua, o gerencia de chaves (TKIP), a troca do CRC-32 pelo Michael
foram grandes avanços em termos de segurança. Só que ainda restava o problema da criptografia
fraca que não fora resolvido por motivos de performance e compatibilidade com o legado. O WPA
sofreu evoluções. Alguns fabricantes chegaram a lançar o WPA2 que tinha como principal novidade
a troca do RC4 pelo AES, algoritmo devidamente seguro.
Por fim, o IEEE Task Group “I” liberou o draf 3.0 do padrão 802.11i que veio juntar e padronizar
todas as soluções propostas até o momento. A autenticação mutua foi padronizada pelo protocolo
EAP. A criptografia tende para o CCMP com a utilização do algoritmo AES modo CBC garantindo
a privacidade e integridade das mensagens.
Analisando cuidadosamente o novo protocolo RSN proposto pelo 802.11i verificamos que ele é
vulnerável a ataques passivos. A solução vem com a utilização de certificados digitais, tendo agora
alem do suplicante, do autenticador, do servidor de autenticação uma quarta entidade que seria uma
autoridade certificadora.
Concluímos que com a implementação total do padrão 802.11i somado a implementação de uma
VPN utilizando certificados digitais teremos em fim uma rede sem fio segura o suficiente para
suportar as aplicações que exigem um nível de segurança elevado (Internet Bankings).
A Evolução dos Mecanismos de Segurança para Redes sem fio 802.11 PUC-RioIntrodução à Computação Móvel
20
Anexos
802.11i – Robust Security Network
Como vimos, o RSN é proposto pelo padrão 802.11i. Vejamos como esta arquitetura funciona:
O RSN tenta prover a segurança através da abstração em três entidades: o suplicante, o autenticador
ou porta de rede e o servidor.
O suplicante é uma entidade que deseja usar o serviço (conexão MAC) oferecido via uma porta no
autenticador (switch, ponto de acesso).
figura 4 – EAP
Autenticação e integridade por pacote entre servidor RADIUS e ponto de acesso, o ponto de acesso
e o servidor utilizam o protocolo RADIUS para se comunicar. Cada autenticador tem uma única
chave secreta compartilhada com o servidor RADIUS.
O pacote RADIUS têm o seguinte formato:
A Evolução dos Mecanismos de Segurança para Redes sem fio 802.11 PUC-RioIntrodução à Computação Móvel
21
figura 5 - Formato do pacote RADIUS
Cada pacote RADIUS têm um verificador de integridade MD5 aplicado com a chave compartilhada
sobre o pacote inteiro. A mensagem EAP que é enviada do autenticador para o servidor é
encapsulada dentro do pacote Radius e pode ter uma verificação de integridade por MD5 também.
figura 6 - Pilha do EAP figura 7 - Pacote EAP
O EAP é uma camada acima da camada MAC que permite o uso de vários protocolos de
autenticação de forma transparente. O próprio pacote EAP não possui verificador de integridade ou
privacidade.
O EAP é construído a partir do paradigma desafio/resposta e existem quatro tipos de mensagens:
EAP request, EAP response, EAP success e EAP failure, também tem notificações de sessões de
start e logoff, o EAPOL (EAP Over Lan, leva as mensagens entre o autenticador e o suplicante).
O autenticador deve aceitar mensagens EAP antes da atenticação ser realizada, para isso existem
duas portas de acesso, uma controlada e uma não controlada, onde apenas mensagens EAP podem
passar.
A Evolução dos Mecanismos de Segurança para Redes sem fio 802.11 PUC-RioIntrodução à Computação Móvel
22
figura 8 – sistema de autenticação
Até a autenticação ser concluída todas as transferências de pacotes são feitos pela porta não
controlada, quando então o usuário passa a ter acesso aos serviços oferecidos pelo servidor através
da porta controlada.
A autenticação no RSN é feita usando o padrão desafio resposta, o suplicante deve se autenticar
com o AP usando o protocolo de autenticação que deve rodar sobre o EAP, e então, o suplicante
deve começar uma associação 802.1x. O processo de autenticação é muito longo. Mais de uma
chave intermediária é negociada no processo dificultando o processo de autenticação, mas
aumentando a segurança. A associação 802.1X toma lugar depois que a fase de associação da
camada 802.11 está completa com o ponto de acesso. Um ponto de acesso mantém um número
considerável de informações depois da associação e antes que a 802.1X esteja completa. Ao final da
associação o suplicante têm uma chave para aquela sessão.
Problemas e Ataques ao RSN
Falta de sincronismo entre as maquinas de estado do autenticador e do suplicante:
Uma mensagem de sucesso EAP é enviada do autenticador para o suplicante quando o autenticador
recebe do servidor RADIUS uma RADIUS Access Accept Message. Ela indica que a autenticação
foi efetuada com sucesso. Independente do método utilizado para a autenticação das camadas mais
altas (EAP-TS]LS, EAP-MD5), essa mensagem não contém nenhuma informação para testar sua
A Evolução dos Mecanismos de Segurança para Redes sem fio 802.11 PUC-RioIntrodução à Computação Móvel
23
integridade. E na máquina de estados do suplicante podemos ver que esta mensagem leva a uma
transferência incondicional para o estado associado, independente do estado atual do suplicante.
Desta forma, o adversário pode forjar este pacote fingindo ser o autenticador e potencialmente
iniciar um ataque Man-In-Middle. O adversário poderá então, conseguir que todo o tráfego de rede
do suplicante passe atraves dele.
Pode ocorrer também o chamado sequesro de sessão, quando mensagens legítimas do suplicante são
enviadas a fim de promover sua autenticação e então, um invasor envia um frame de gerenciamento
para disassociação 802.11 usando o endereço MAC do ponto de acesso. Isso causa uma desconexão
do supliante. Essa mensagem leva a máquina de estados RSN para o estado desassociado, enquanto
que a máquina de estados 802.1X do autenticador permanece no estado autenticado. O invasor
ganha o acesso à rede utilizando o enderesso MAC do suplicante que foi autenticado.
Como não há nenhum controle de integridade sobre as mensagens EAP, ataques para
indisponibilizar o sistema podem ser feitos usando frames de gerenciamento 802.11 alterados:
§ Mensagem EAP Failure alterada: Faz com que o suplicante entre e modo held por 60
segundos, então basta enviar uma mensagem EAP Failure com o endereço MAC do
autenticador a cada 60 segundos para indisponibilizar o serviço.
§ Falsificação das mensagens de EAPOL logoff e EAPOL start: A mensagem de EAPOl
logoff é enviada do suplicante para o autentcador indicando o que deseja deixar o uso
autenticado do serviço. Como mostrado acima, um simples ataque Man-In-Middle pode
alterar os campos desse pacote. Assim, uma mensagem pode fazer com que um suplicante
autenticado seja desconecado do ponto de acesso. Para fazer isso, o Adversário deve apenas
enviar uma mensagem EAPOL logoff para o ponto de acesso no lugar do suplicante.
§ Grande número de pedidos de associação: A estação não está autenticada. Um grande
número de associaçoes pode ser feito por uma única estação usando endereços MAC
randômicos. O campo identifier no pacote EAP tem 8 bits de comprimento, assim, um ponto
de acesso está limitado a um número de 255 associações em paralelo. Se uma única estação
fizer o pedido de 255 autenticações, ela evita que outras estações possam se conectar ao
ponto de acesso.
A Evolução dos Mecanismos de Segurança para Redes sem fio 802.11 PUC-RioIntrodução à Computação Móvel
24
Possíveis Soluções
§ Autenticação mutua, o AP não pode ser considerado seguro, os modelos de duas portas
devem ser iguais para o suplicante e o autenticador. No entanto atualmente a porta
controlada do suplicante está sempre no modo autenticado, possibilitando um ataque man-
in-the-midle.
§ Usar mecanismos de integridade para as mensagens EAP, ou retirar as mensagens
explicitas EAPsucces, etc. Substituindo-as por chaves EAPOL, usando MD5 ou qualquer
outra chave com controle de integridade.
§ A longo prazo pensa-se usar AES (advanced encryption standard) no link layer, tanto
para integridade como para privacidade. Inviável hoje devido a limitações de performance
(supostamente solucionará tudo).
Conclusões sobre o RSN
Como as redes sem fio são redes publicas, e qualquer um pode ter acesso as transmissões, elas
devem ser consideradas como tal, inseguras.
A tecnologia 802.11 é prática, cômoda, “cool”, mas seus recursos de segurança são mal projetados
em vários aspectos, expondo inaceitavelmente o trafego. Como sempre, sobra para o administrador
de rede combinar múltiplas tecnologias para prover segurança em profundidade. Segurança não é
plug-and-play, é Intelectualmente oneroso e depende de Fatores culturais e a atitude de segurança.
Há várias tecnologias e estratégias bem estabelecidas que podem ser aplicadas para mitigar as
vulnerabilidades introduzidas pelas redes wireless.
A tecnologia desenvolvida pela iEEE, o RSN ainda não é de domínio publico. Atualmente devemos
aplicar WEP, mas tendo em mente que apenas isto não basta. Devemos seguir pelo menos algumas
das sugestões propostas acima, senão procurar por outras idéias que vão surgindo.
O RSN, 802.1X agrega novos recursos de segurança e flexibilidade, mas também mais
complexidade. Historicamente, complexidade, vulnerabilidades e falhas de implementação/projeto
A Evolução dos Mecanismos de Segurança para Redes sem fio 802.11 PUC-RioIntrodução à Computação Móvel
25
andam de mãos dadas. É ingênuo esperar que os novos padrões resolvam todos os problemas,
especialmente quando se tem a opção de minimizar as vulnerabilidades por outros meios.
Interoperabilidade é e vai continuar a ser o grande limitador da segurança: nenhum fabricante vai
comprometer a compatibilidade com sua base instalada.
Bibliografia
Tech FAQ
http://www.tech-faq.com/wireless-networks
Wi-Fi Planet
http://www.wi-fiplanet.com
Barnes, Douglas. “Network America: Wireless security? Read it and Wep”. June 27, 2002. URL:
http://www.vnunet.com/Features/1133066
Borisov, Nikita. Goldberg, Ian. Wagner, David. “Security of the WEP algorithm”. February 02,
2001. URL: http://www.isaac.cs.berkeley.edu/issac/wep-faq.html
Dismukes, Trey “Azariah”, “Ars Technica: Wireless Security Blackpaper”. July 2002. URL:
http://www.arstechnica.com/paedia/w/wireless/security-1.html.
Gast, Matthew. “Wireless LAN Security: A Short History”. April 19, 2002. URL:
http://www.oreillynet.com/pub/a/wireless/2002/04/19/security.html
Geier, Jim. “802.11 Security Beyond WEP”. June 26, 2002. URL:
http://www.80211-planet.com/tutorials/article.php/1377171
Johnson, David. “Assorted 802.11 Related Crypto Algorithms”. URL:
http://www.deadhat.com/wlancrypto
A Evolução dos Mecanismos de Segurança para Redes sem fio 802.11 PUC-RioIntrodução à Computação Móvel
26
Roshan, Pejman. “Securing Your Wireless LAN”. 2001. URL:
http://www.cisco.com/warp/public/cc/pd/witc/ao1200ap/prodlit/esmnr_pg.pdf
Snyder, Joel. “What is 802.1x?” May 06, 2002. URL:
http://www.nwfusion.com/research/2002/0506whatisit.html
Wi-Fi Alliance. “What is Wi-Fi?”. URL:
http://www.wi-fi.com/OpenSection/index.asp
Wi-Fi Alliance. “Wi-Fi Protected Access – Overview”. URL:
http://www.wi-fi.com/OpenSection/pdf/Wi-Fi_Protected_Access_Overview.pdf
Andre Pimenta Mathias e Jack Jossef Tabach, iEEE 802.11, 2001, Departamento Engenharia
Eletrônica e de Computação, UFRJ http://www.gta.ufrj.br/~rezende/cursos/eel879/trabalhos/80211/
Daniel Mendes Fernandes e Jeferson Zeferino dos Santos, Qualidade de Serviço em IEEE 802.11,
2001, Departamento Engenharia Eletrônica e de Computação, UFRJ
http://www.gta.ufrj.br/~rezende/cursos/eel879/trabalhos/80211e/
Rosane Franca de Morais, iEEE 802.11 – aspectos de segurança, 2001, Departamento Engenharia
Eletrônica e de Computação, UFRJ
http://www.gta.ufrj.br/~rezende/cursos/eel879/trabalhos/80211g/
Caio Barone Barreiros, segurança no 802.11, 2002, Departamento Engenharia Eletrônica e de
Computação, UFRJ http://www.gta.ufrj.br/~rezende/cursos/eel879/trabalhos/wep/