A Evolução dos Mecanismos de Segurança para Redes sem fio 802endler/courses/Mobile/Monografias/04/Miyano... · A Evolução dos Mecanismos de Segurança para Redes sem fio 802.11

Pontifícia Universidade Católica do Rio de Janeiro – PUC-Rio

Departamento de Informática

Engenharia de Computação

A Evolução dosMecanismos de Segurança para

Redes sem fio 802.11

Monografia da disciplina Introdução a Computação Móvel

Rio de Janeiro, 16 de Novembro de 2004

por Roberto Miyano Neto

orientado por Markus Endler

A Evolução dos Mecanismos de Segurança para Redes sem fio 802.11 PUC-RioIntrodução à Computação Móvel

1

Índice

RESUMO....................................................................................................................................... 2

INTRODUÇÃO............................................................................................................................. 3OS REQUISITOS DE SEGURANÇA PARA UMA REDE 802.11............................................. 5

WEP – WIRED EQUIVALENCY PRIVACY............................................................................. 6PROBLEMAS E ATAQUES AO WEP ....................................................................................... 9

POSSÍVEIS SOLUÇÕES ........................................................................................................... 13WPA – WI-FI PROTECTED ACCESS ..................................................................................... 14

802.11I – A ÚLTIMA SOLUÇÃO DE SEGURANÇA PARA REDES WI-FI ......................... 18CONCLUSÃO............................................................................................................................. 19

ANEXOS ..................................................................................................................................... 20802.11I – ROBUST SECURITY NETWORK................................................................................... 20

BIBLIOGRAFIA......................................................................................................................... 25


2

Resumo

Esta monografia pretende descrever a evolução dos mecanismos de segurança disponíveis para

redes sem fio 802.11. Seguindo uma ordem histórica, esta inicia com uma analise do protocolo

WEP (Wired Equivalency Privacy) indicando suas falhas que levam a numerosos tipos de ataques

demonstrando que este protocolo não alcança o seu objetivo de prover confidencialidade ao 802.11.

Em seguida iremos analisar as respostas de fabricantes, do IEEE e da Wi-Fi Alliance com intuito de

descrever as novas soluções propostas que visam tornar as redes sem fio tão seguras quanto as redes

com fio. Por fim iremos definir os mecanismos que o mercado de redes sem fio vai utilizar nos

próximos anos.


3

Introdução

O padrão 802.11 para redes sem fio (WLAN) funciona na faixa ISM de 2.4 a 2.5 GHz, com dois

modos de transmissão:

§ FHSS (Frequency-Hopping Spread-Spectrum) é um esquema de modulação spread-

spectrum que utiliza uma portadora de banda estreita alterando a freqüência (saltos) segundo

um padrão conhecido pelo transmissor e pelo receptor. Sincronizados adequadamente, eles

mantêm um único canal lógico. Para um receptor não desejado, o FHSS aparece como ruído

de pulso de curta-duração. A tecnologia FHSS usa a largura de banda de forma ineficaz para

garantir alta segurança; portanto, os sistemas FHSS costumam apresentar velocidades de

transferência menores do que as de sistemas DSSS (Direct Sequence Spread Spectrum).

Dispositivos WLAN com desempenho mais lento (1 Mbps) utilizam FHSS.

§ DSSS (Direct Sequence Spread-Spectrum) é um esquema de modulação spread-spectrum

que gera um padrão redundante de bits para cada bit transmitido. O padrão de bits, chamado

chip ou código de chip, permite aos receptores filtrar sinais que não utilizam o mesmo

padrão, incluindo ruídos ou interferências. O código de chip cumpre duas funções

principais: 1) Identifica os dados para que o receptor possa reconhecê-los como pertencentes

a determinado transmissor. O transmissor gera o código de chip e apenas os receptores que

conhecem o código são capazes de decifrar os dados. 2) O código de chip distribui os dados

pela largura de banda disponível. Os chips maiores exigem maior largura de banda, mas

permite maior probabilidade de recuperação dos dados originais. Ainda que um ou mais bits

do chip sejam danificados durante a transmissão, a tecnologia incorporada no rádio recupera

os dados originais, usando técnicas estatísticas sem necessidade de retransmissão. Os

receptores não desejados em banda estreita ignoram os sinais de DSSS, considerando-os

como ruídos de potência baixa em banda larga. As WLANs 802.11b usam DSSS e

apresentam maior transferência de dados do que a contraparte FHSS, devido à menor

sobrecarga do protocolo DSSS.

Dentro de uma rede sem fio temos várias possíveis topologias:

§ Redes Estruturadas com Access Points (APs, possivelmente vários deles) provendo acesso a

redes convencionais ou atuando como repetidores/roteadores entre si. BSS (Basic Service

Set) para um Access Point ou ESS (Extended Service Set) para mais de um access point.


4

§ Redes “Ad-Hoc” ou “Peer-to-peer”, sem APs, com topologia variável dinamicamente

adicional, também chamada configuração iBSS (Independent Base Service Set).

O alcance típico de um transmissor para redes 802.11 pode chegar em ambiente fechado a

tipicamente 50 metros, mas em diferentes configurações com uso de transmissores pode se estender

de 400 metros a alguns quilômetros.

A rede WLAN 802.11b, a rede mais usada atualmente é geralmente implementada usando ESS,

transmite através de DSSS e sua taxa de transferência é tipicamente de 11 Mbps. Pela taxa de

transferência podemos ver que a rede será bastante visada por invasores, como a transmissão é

broadband através do DSSS, e a configuração mais típica é ESS, podemos notar também que tal

sistema necessita de um mecanismo de segurança eficiente para que possamos garantir:

§ Autenticação: garantir que apenas estações autorizadas possam ter acesso à rede

§ Confidencialidade: dificultar que um interceptador casual compreenda o tráfego capturado

§ Integridade: certificar que os dados que transitam na rede não serão adulterados

Para garantir os premissas acima listadas, o padrão IEEE 802.11 para redes sem fio introduziu o

Wired Equivalency Privacy (WEP, segurança equivalente a redes com fio).

Veremos adiante que o protocolo WEP não foi submetido a um grande número de testes e revisões

antes de seu lançamento e por isso possui falhas que permitem ataques, tanto passivos quanto ativos

e que para solucionar tais problemas, o IEEE está desenvolvendo uma nova arquitetura de

segurança para redes WLAN, chamada Robust Security Network (RSN).

No entanto, a arquitetura RSN também não provê um poderoso controle de acesso e autenticação

devido a uma série de falhas no protocolo de composição do RSN. A busca por um mecanismo de

segurança eficaz continua.


5

Os requisitos de segurança para uma rede 802.11

Os requisitos de segurança podem ser divididos em duas categorias:

Criptografia e Privacidade – O objetivo da criptografia no que se refere a redes sem fui é fornecer

um mecanismo que permita que as informações não tenham sua privacidade atingida. Os dados

cifrados não devem ser decifrados por pessoas não autorizadas. Todos os pacotes devem ser gerados

pelas origens autenticas. Por fim, este mecanismo deve garantir sobre todas as circunstanciais a

integridade das informações.

Autenticação e Controle de Acesso – Autenticação deve ser mutua, permitindo que os ativos

autentiquem os Access Points e que estes autentiquem os ativos da mesma forma. Um framework

deve ser desenvolvido com intuito de facilitar a troca de mensagens entre clientes, APs e servidores

de autenticação. Do ponto de vista do APs, o mecanismo deve prover métodos para verificar as

credenciais dos usuários com o objetivo de determinar o nível de acesso a rede em questão.


6

WEP – Wired Equivalency Privacy

WEP (Wired Equivalent Privacy - Privacidade equivalente à das redes com fios) é uma

característica IEEE 802.11 opcional, utilizada para proporcionar segurança de dados equivalente à

de uma rede com fios sem técnicas de criptografia avançadas para privacidade. A WEP foi criada

para permitir que os links de rede local sem fio sejam tão seguros quanto os links com fios. De

acordo com o padrão 802.11, a criptografia de dados WEP é utilizada para impedir (i) acesso à rede

por "intrusos" com equipamentos similares de rede local sem fio e (ii) captura do tráfego de redes

sem fio por curiosos. A WEP permite ao administrador definir o conjunto das "chaves" respectivas

de cada usuário da rede sem fio, de acordo com uma "seqüência de chaves" passada pelo algoritmo

de criptografia WEP. É negado o acesso a quem não possui a chave necessária. Conforme

especifica o padrão, a WEP usa o algoritmo RC4 com chave de 40 ou 104 bits, que somado ao vetor

inicial de 24 bits temos chaves de 64 e 128 bits. Quando a WEP é ativada, cada estação (clientes e

pontos de acesso) possui uma chave. A chave é utilizada para cifrar os dados antes de serem

transmitidos pelas emissões de rádio. Quando uma estação recebe um pacote não criptografado com

a chave adequada, o pacote é descartado e não é entregue ao host; isso impede o acesso à rede por

curiosos e pessoas não autorizadas.

A transmissão de pacotes nas redes 802.11, com WEP ativado, ocorre da seguinte forma:

figura 1 – transmissão do pacote usando WEP em rede 802.11


7

Como podemos observar a chave compartilhada, ajustada manualmente, pode ter 40 bits ou 104 bits

(chave k), e a chave IV (vetor de inicialização) têm sempre 24 bits. As duas chaves são

concatenadas para formar uma chave de 64 ou 128 bits. Esta chave concatenada de 64 ou 128 bits é

inserida num algoritmo de criptografia RC4, que gera uma seqüência de números pseudo-randomica

(PRNS), também chamada RC4(IV,k). Não existe especificação para a geração da chave IV, e

normalmente, ela é gerada seqüencialmente sendo reinicializada toda vez que a placa de rede é

conectada na estação de trabalho.

O texto a ser enviado passa por um “integrity check sum”, no caso é computado o CRC-32, e então

os dois são concatenados. Em seguida faz-se um XOR do texto+CRC-32 com o PRNS gerado pelo

algoritmo e então se transmite o vetor de inicialização IV não criptografado e o texto+CRC-32

criptografado.

O receptor, por sua vez, concatena a chave IV transmitida com a chave compartilhada, e passa pelo

algoritmo RC4 para gerar a mesma PRNS gerada para a transmissão. É feito então um XOR do

texto+CRC-32 criptografado com o PRNS na transmissão. Então, para um texto transmitido C

temos:

C = PU (RC4(IV,k)

P´ = C U (RC4(v,k))

P´ = (PU (RC4(v,k))U RC4(v,k)

Como sabemos que (aU a = 0) e que (aU 0 = a)

P´ = P

O texto P original é então recuperado juntamente com o CRC-32, faz-se um novo calculo do CRC-

32 para o texto recebido e então se compara este CRC-32 com o que foi recebido para verificar a

integridade do texto. Caso o resultado obtido seja diferente, o pacote é desconsiderado. Caso

contrário, o mesmo é passado ao host.

O processo acima descrito garante a integridade e a confidencialidade dos pacotes, mas ainda deve

se garantir que apenas estações autorizadas tenham acesso aos pacotes. Há duas maneiras de

autenticar um usuário no 802.11:


8

§ Autenticação aberta – o protocolo autentica qualquer um que fizer a requisição de

autenticação.

§ Autenticação por chave compartilhada

O processo de autenticação:

figura 2 – processo de autenticação

1. Desafio resposta rudimentar para saber se o usuário conhece a chave WEP. A estação envia um

frame de autenticação para o Ponto de Acesso;

2. Quando o Ponto de Acesso recebe o frame de autenticação inicial, ele responde com um frame de

autenticação contendo 128 bytes de texto randômico de desafio criptografados pelo WEP.

3. A estação deve então copiar o texto de desafio dentro de um frame de autenticação, encriptar com

a chave compartilhada e um novo IV e devolver para o Ponto de Acesso.

4. O Ponto de Acesso vai decriptar o texto recebido com a chave compartilhada e comparar com o

que foi enviado. Se estiver correto, ele responde com um frame indicando que a autenticação teve

sucesso. Senão, ele responde com uma autenticação negativa.


9

Problemas e Ataques ao WEP

O problema mais crítico do protocolo WEP é que usa idealização foi falha. A segurança não foi

pensada fim-a-fim, visando apenas impedir ataques ao trecho wireless da transmissão. O fato de não

usar algoritmos criptográficos complexos apenas impede que curiosos tenham acesso ao conteúdo

trafegado, o que não ocorrerá quando o hacker desejar capturar informações desta rede. Uma

simples análise do protocolo nos trás diversas falhas:

Algoritmos criptográficos simples permitem o ataque de freqüência para se obter uma informação

aberta a partir de outra – Seja c1 e c2 pacotes cifrados transmitidos. Temos que:

c1 = p1 U RC4(IV,k)

c2 = p2 U RC4(IV,k)

c1U c2 = ( p1U RC4(IV,k) ) U ( p2U RC4(IV,k) ) =

Como U é linear, temos:

= p1 U p2U RC4(IV,k)U RC4(IV,k) =

c1U c2 = p1U p2

No mundo real, textos contêm redundância (de linguagem) o suficiente para que mesmo sem saber

os textos claros das mensagens pode-se obtê-los somente conhecendo a parcela P1 U P2. Por

exemplo, cabeçalhos IP.

Reutilização da chave compartilhada - WEP utiliza a mesma chave compartilhada em todas as

transmissões variando apenas o vetor inicial IV. Como o mesmo tem o tamanho limitado em 24

bits, teremos diversas transmissões onde o IV será reutilizado gerando uma colisão. Às vezes esse

evento é acelerado já que diversos fabricantes utilizam o mesmo algoritmo para definir o IV

(iniciando em zero cada vez que ativo for reconectado e incrementado um a um conforme

utilização). Um pequeno conjunto de colisões já é o bastante para permitir que um hacker utilize um

ataque de freqüência para obter a chave compartilhada.

Chave compartilhada precisa ser trocada manualmente – imaginemos uma empresa grande que

demite um funcionário que conhecia a chave compartilhada. A troca desta chave em empresas

menores é aplicável, mas numa empresa grande, este processo seria deveras demorado e inseguro já

que um número maior de funcionários teria acesso a nova chave.


10

Access Points não autenticam NICs (Network Interface Card) – o protocolo WEP somente

apresenta um método pelo qual os NICs podem autenticar os Access Points. O processo contrário

não está disponível o que permite que uma estação não autorizada escute as transmissões de uma

rede livremente.

CRC-32 é linear e independente de k - O algoritmo utilizado para preencher o FCS (Frame

Checking Sequence) do protocolo WEP é o CRC-32. Este algoritmo foi desenvolvido para

encontrar erros randômicos, mas é ineficiente quanto a alterações maliciosas, e ainda, torna trivial

saber se você acertou o par (IV,k).

O CRC-32 tem duas propriedades:

- é independente da chave compartilhada k;

- e é linear: c( M U D ) = c( M )U c( D )

As mensagens podem ser modificadas em trânsito sem detecção, violando uma das metas de

segurança. Utilizando a propriedade de linearidade do CRC-32:

A estação A envia para a estação B uma mensagem < v, C >, onde assumimos de C corresponde à

mensagem desconhecida M cifrada (C= RC4(IV,k)<M,c(M)>). Podemos dizer que é possível

encontrar uma nova mensagem cifrada C ' que será decifrada para M ', onde M ' = M U D e D pode

ser escolhido arbitrariamente pelo adversário. Então, nós seríamos capazes de substituir a

transmissão original pelo nosso novo texto cifrado enganando a fonte. E assim, depois da

decriptografia a máquina B irá obter a mensagem modificada M ' com o CRC correto.

C ' = CU <D, c(D)>

C ' = RC4(IV,k) U <M,c(M)>U <D,c(D)>

C ' = RC4(IV,k)U <M U D , c(M)U c(D)>

C ' = RC4(IV,k)U <M ' , c( M ' )>

Isso significa que podemos fazer modificações arbitrárias nas mensagens sem medo de detecção.


11

Devido às vulnerabilidades apresentadas o protocolo WEP é suscetível a diversos tipos de ataque:

figura 3 – acesso desautorizado

Todos os ataques clássicos de TCP/IP se aplicam normalmente:

§ ARP spoofing: redirecionar tráfego para o impostor via falsificação/personificação do

endereço MAC

§ DNS spoofing: redirecionar tráfego para o impostor via adulteração dos pacotes DNS

§ Smurf: sobrecarga de broadcasts para negação de serviço/saturação do canal

§ DHCP spoofing: servidor DHCP impostor força configuração imprópria dos clientes

Man-in-the-middle – De posse da chave compartilhada, um hacker pode facilmente capturar um

pacote, decifrar o seu conteúdo utilizando a chave. Alterar o conteúdo (inclusive o CRC32) e

novamente cifrar para reenviar ao destinatário. Quando este receber o pacote alterado, irá tratá-lo

como pacote normal já que a chave compartilhada confere.

Modificando Mensagens – Na última falha mencionada listada encontramos uma forma de alterar

o conteúdo da mensagem sem que o destinatário possa verificar que tal modificação foi feita.


12

Inserindo Mensagens - Utilizando a propriedade do CRC de ser independente da chave k, desta

maneira o adversário pode calcular campos de CRC válidos para suas mensagens. Se ele conhecer

uma mensagem ele pode descobrir a seqüência chave relativa a um dado v e utilizá-la para injetar

tráfego na rede.

P U C = PU ( PU RC4(IV,k) ) = RC4(IV,k)

A partir daí ele terá a seqüência chave e o vetor de inicialização correspondente, podendo validar

qualquer mensagem que ele quiser.

C ' = <M ',c(M ' )> XOR RC4(v,k)

Dicionários de decriptografia - Uma vez que um texto de uma mensagem interceptada é obtido, o

adversário descobre o valor da seqüência chave e é capaz de decifrar qualquer outra mensagem com

o mesmo vetor de inicialização. Depois de algum tempo o adversário pode armazenar em uma

tabela a sequencia chave correspondente a cada vetor de inicialização. Uma tabela completa requer

um espaço mínimo - talvez 1500 bytes para cada uma das 2^24 possibilidades do vetor, ou

aproximadamente 24 GB.

Decriptação de mensagens através do redirecionamento IP - Pode ser usado quando o ponto de

acesso age como um roteador IP, o que é muito comum.Utilizando o procedimento descrito acima (

modificação de mensagens ) o campo IP pode ser alterado para enviar uma mensagem "escutada"

através do roteador, que irá decriptar a mensagem e enviá-la à máquina de destino, do adversário ou

para alguma outra que ele controle, podendo assim ler o conteúdo.

Dupla encriptação - Sabemos que a técnica de encriptação é a mesma da decriptação. Então,

adversário pode entrar na rede enganando a autenticação (Como foi dito anteriormente a mensagem

de desafio e a sua versão encriptada podem ser copiadas e posteriormente utilizadas para se

autenticar na rede). Utilizando uma segunda conexão à Internet pode enviar pacotes para seu laptop

através da rede. A estação base irá, portanto, irá encriptar o pacote uma segunda vez. Se o

adversário tentar na hora certa, a estação base utilizará o mesmo vetor de inicialização, e o resultado

será o pacote decriptado.


13

Possíveis Soluções

Após verificar a existência de diversas falhas no protocolo WEP o grupo IEEE passou a focar seus

esforços em propor soluções nas seguintes direções:

§ Segurança em Camadas/em profundidade

§ Uso de vários recursos de segurança/contenção mutuamente independentes

§ Segmentação e contenção usando firewalls e configuração minuciosa dos APs, tentar

impedir ao máximo ataques via TCP/IP.

§ VPNs (Redes Virtuais Privadas) à existem vários protocolos de tunelamento disponíveis

cada um com suas vantagens.

§ Rotacionamento de chaves WEP à Firmwares mais novos mudam a chave de tempos em

tempos melhorando assim a segurança e impedindo que o adversário possa fazer um

dicionário com os keystreams (IV,k).

§ Monitoração para detectar APs impostores.

Seguindo essa linha diversos fabricantes de ativos para redes 802.11 implementaram suas próprias

soluções com intuito de tratar as vulnerabilidades do protocolo WEP:

Aumentar o tamanho da chave WEP compartilhada – Em 1998, a Lucent passou a utilizar uma

chave de 128 bits. Com isso, os hackers teriam que levar um tempo maior para quebrar as chaves.

Entretanto, tal opção só postergava o problema. Seguindo esta mesma linha, a Agere criou a chave

de 152 bits e a US Robotics a de 256 bits. A tendência de aumentar as chaves trás um novo

problema que é a sobrecarga causada pelos mecanismos de segurança no tráfego das redes 802.11.

Troca Dinâmica de Chaves WEP – Mais tarde, diversos fabricantes incluindo Cisco e Microsoft,

implementaram a troca dinâmica de chaves. Periodicamente, um pacote broadcast seria enviado

para todos os NICs da rede com a nova chave. Desta forma, o hacker não teria informações

suficientes para usar o ataque de freqüência e assim chegar a chave WEP.

Com intuito de resolver os problemas do protocolo WEP, o 802.11 working group adotou o padrão

802.1X para autenticação, autorização e gerencia de chaves. Já o IEEE formou o Task Group I com


14

objetivo de desenvolver o padrão 802.11i (RSN – Robust Security Network) que tem como objetivo

de criar mecanismos que realmente atendam os requisitos citados no início deste documento.

Enquanto os trabalhos acima mencionados não são concluídos, a indústria corre por fora.

Representada pela Wi-Fi, em conjunto com o IEEE, desenvolveu o mecanismo Wi-Fi Protected

Access (WPA – subset do padrão 802.11i) que se tornou um padrão altamente utilizado pelo

mercado em 2003. Verificamos que os trabalhos caminham em paralelo. A indústria, representada

pela Wi-Fi Alliance, busca novas soluções para resolver os problemas de segurança da rede 802.11.

Por outro lado, o IEEE busca padronizar as soluções. Devemos atentar para o fato que os trabalhos

possuem sempre interseção e que o produto final dos mesmos será um mecanismo padronizado por

um padrão IEEE implementado pelos fabricantes que compõe a Wi-Fi Alliance resultado em fim

numa rede sem fio segura.

WPA – Wi-Fi Protected Access

O WPA é um padrão para um mecanismo de autenticação que possui a interoperabilidade como

característica. Todos os ganhos com este novo padrão foram desenvolvidos no nível de software

para que os hardwares legados possam utilizar o novo mecanismo.

Como dito anteriormente, o WPA é um subset do novo padrão 802.11i e possui as seguintes

funcionalidades:

§ Implementa o novo padrão de autenticação 802.1X que permite autenticação mutua

§ Implementa o TKIP (Temporal Key Integrity Protocol) definido sobre o WEP com intuito

de garantir a chave e com isso a integridade dos dados

§ Usa Michel Message Integrity Check para garantir a integridade das mensagens

WPA é uma solução interina que resolve todos problemas conhecidos do protocolo WEP e que será

compatível como o novo padrão 802.11i. Este será a solução de segurança para redes sem fio e

todos os produtos deverão ser compatíveis com este padrão.

Passemos agora a discussão das funcionalidades disponibilizadas pelo WPA.


15

802.1X EAP based authentication

WPA adotou o padrão 802.1X para resolver o problema de autenticação do protocolo WEP. O

padrão 802.1X foi desenvolvido inicialmente para redes com fio, mas hoje em dia é utilizado em

redes sem fio. Este padrão define um serviço que escuta em uma determinada porta de um servidor

que permite a autenticação mutua de clientes e APs.

O 802.1X é comprometido com 3 elementos:

§ Um suplicante – um usuário que deseja se autenticar. Isto pode ser um software cliente

instalado em um laptop, um PDA ou um outro ativo sem fio.

§ Um servidor de autenticação – Um sistema de autenticação como o RADIUS que proceda as

autenticações necessárias.

§ Um autenticador – Um ativo que permite a comunicação entre o suplicante e o servidor de

autenticação. Normalmente, este autenticador é um Access Point.

A autenticação mutua definida no padrão 802.1X é constituída pelos seguintes passos:

§ Um suplicante inicia uma conexão com um autenticador. O autenticador detecta a

ocorrência e habilita uma porta para o suplicante. Entretanto, excluindo o trafego definido

pelo 802.1X, todos os outros estão bloqueados.

§ O autenticador requer a identificação do suplicante.

§ O suplicante responde com a identificação que é imediatamente repassada para o servidor de

autenticação.

§ O servidor autentica a identidade do suplicante e envia uma mensagem do tipo ACCEPT

para o autenticador. O autenticador muda o estado da porta para autorizado.

§ O suplicante requisita a identificação do servidor. O servidor atende.

§ O suplicante valida a identificação do servidor e todo trafego é liberado.

O método de autenticação é definido no EAP – Extensible Authentication Protocol. Este protocolo

fornece um framework para que o sistema de autenticação escolha método apropriado de

autenticação. Este método pode ser: senhas, certificados digitais ou qualquer outro tipo de token.

Utilizando o EAP, o autenticador (APs) não precisa ser especifico quanto ao método de

autenticação, basta operar como proxy das informações entre o suplicante e o servidor de

autenticação.


16

Segue uma lista de métodos de autenticação:

§ EAP – LEAP – desenvolvido pelo fabricante Cisco Systems; utiliza usuário e senha para

identificar e autenticar o suplicante.

§ EAP – TLS – este método obdece a RFC 2716; utiliza certificados digitais X.509 para

identificar e autenticar o suplicante.

§ EAP – TTLS – desenvolvido pelo fabricante Funk Software; semelhante ao EAP – TLS

com a diferença que o suplicante é identificado com apenas uma senha.

§ EAP – PEAP – Protected EAP – desenvolvido para sanar uma vulnerabilidade do EAP.

§ Pre-Shared Key – utilizado em pequenas empresas ou em ambiente caseiros; lembra o

antigo WEP só que opera sobre o protocolo EAP que é mais seguro.

TKIP

Temporal Key Integrity Protocol é o segunda funcionalidade derivada do 802.11i. Ele tem como

objetivo tratar as vulnerabilidades no protocolo WEP no campo da criptografia de dados. Mas

especificamente no momento em que o protocolo WEP reutiliza a chave compartilhada n vezes. O

TKIP é também comprometido com 3 elementos:

§ Chave compartilhada de 128 bits – chave compartilhada entre suplicantes e APs.

§ O endereço MAC de cada cliente

§ Um vetor de inicialização de 48 bits – descreve a seqüência de pacotes

Este comprometimento garante que os diversos clientes utilizem chaves diferentes ao longo da

operação tornando a tarefa de capturar a chave compartilhada bem mais complexa. A troca das

chaves é feita a cada 10.000 pacotes.

Com o objetivo de manter compatibilidade com hardwares legados, o TKIP utiliza o mesmo

algoritmo RC4 que o WEP utiliza. Desta forma, apenas atualizações de software e firmware serão

necessárias para que estes legados possam utilizar o TKIP. Todos os especialistas do assunto

concordam que o TKIP trás um grande avanço em termo de segurança, mas todos concordam

também que está solução é interina já que o RC4 é um algoritmo declaradamente “quebrado”.

Michael Message Integrity Check


17

A funcionalidade Michael Message Integrity Check é utilizada para garantir a integridade das

mensagens que trafegam em uma rede 802.11. Um MIC (Message Integrity Code) é uma

redundância de 64 bits calculada com o algoritmo “Michael”. Este algoritmo é bem mais adequado

já é capaz de verificar qualquer modificação causada por erro na transmissão ou ainda por

manipulação deliberada. O MIC faz parte do pacote TKIP mencionado acima.

Conclusões sobre o WPA

Verificamos que o WPA é uma solução que resolve diversos problemas conhecidos do WPA. Numa

comparação podemos destacar os seguintes pontos:

§ Autenticação Mutua – implementa um controle de acesso bem mais resistente do que o

protocolo WEP já que os Aps também podem autenticar os NICs.

§ Novas tecnologia de segurança – suporta o 802.1X, o EAP, o RADIUS e o Pre-Shared

Key.

§ TKIP – implementa um melhor gerenciamento de chaves

§ Michael Message Integrity Check – reforça a integridade das mensagens

§ Compatibilidade – como dito anteriormente, o WPA pode ser visto como um subset do

802.11i e com isso a compatibilidade com soluções futuras parece estar garantida.

Entretanto, o WPA não é uma solução definitiva já que apresenta problemas:

§ Criptografia Fraca – com intuito de manter compatibilidade com hardwares legados, o

algoritmo RC4 foi mantido. Como já sabemos, o RC4 por si só já representa uma fraqueza.

Tanto que existem alguns fabricantes que trocaram o RC4 pelo AES criando um novo

padrão conhecido como WPA2.

§ Queda de Performance – como os hardwares legados não foram projetados para suportar

algoritmos pesados, a sobrecarga gerada pelo uso deles é relevante, tanto que os novos

ativos já apresentam processadores criptográficos potentes que tem a capacidade de

processar algoritmos bem mais pesados como o AES.


18

802.11i – A última solução de segurança para redes Wi-Fi

O 802.11i é uma especificação criada pelo grupo IEEE Task Group “I” com intuito de sanar

definitivamente todos os problemas conhecidos do protocolo WEP.

Esta especificação inclui diversas funcionalidades:

§ Novos Algoritmos de criptografia:

o TKIP – com intuito de manter compatibilidade com sistemas legados, o 802.11i

suporta o TKIP implementado pelo WPA.

o CCMP (Counter Mode with Cipher Block Chaining Message Authentication

Code Protocol) – o 802.11i inclui um novo padrão conhecido como AES – CCMP

utilizando o modo CBC (Cipher Block Chaining). Entretanto um co-processador

criptográfico é necessário.

o WRAP (Wireless Robust Authentication Protocol) – similar ao CCMP só que

utilizando um modo diferente, o OCB (Offset Codebook).

§ Integridade de Mensagens – o 802.11i adota o algoritmo Michael Message Integrity Check

com intuito de garantir a integridade das mensagens, assim como o WPA.

§ Autenticação Mutua – o 802.11i utiliza o EAP, assim como o WPA.

§ Suporta Roaming

§ Novos protocolos:

o RSN – Robust Security Network Protocol

o WRAP - Wireless Robust Authentication Protocol

o EAP – Extensible Authentication Protocol

Podemos verificar que a grande novidade do 802.11i é a substituição TKIP (RC4) pelo CCMP

(AES). Desta forma, o novo padrão resolve o problema da criptografia fraca. O problema de

performance é resolvido com a utilização de co-processadores criptográficos. Uma segunda

novidade é a presença de tratamento para Roaming, mecanismo até então não presente nas soluções.


19

Conclusão

As redes foram criadas para que fosse possível compartilhar informações. A partir daí a segurança

tornou-se fator relevante nas discussões entre especialistas da área.

As redes sem fio não fogem a esta regra. Todos os especialistas concordam que um mecanismo de

segurança eficaz é mandatário. Verificamos ao longo deste documento que diversas tentativas

foram feitas ao longo do tempo. A primeira foi o protocolo WEP, que devido a rapidez com que foi

desenvolvido e implantado apresentou diversos problemas durante sua operação. Num passo

seguinte chegamos as soluções propostas pelos fabricante para tornar o WEP mais seguro.

Neste momento a Wi-Fi Alliance, vendo que a interoperabilidade estava ameaçada, lançou um

padrão conhecido como WPA que trazia diversas novidades que resolviam a maioria dos

problemas. A autenticação mutua, o gerencia de chaves (TKIP), a troca do CRC-32 pelo Michael

foram grandes avanços em termos de segurança. Só que ainda restava o problema da criptografia

fraca que não fora resolvido por motivos de performance e compatibilidade com o legado. O WPA

sofreu evoluções. Alguns fabricantes chegaram a lançar o WPA2 que tinha como principal novidade

a troca do RC4 pelo AES, algoritmo devidamente seguro.

Por fim, o IEEE Task Group “I” liberou o draf 3.0 do padrão 802.11i que veio juntar e padronizar

todas as soluções propostas até o momento. A autenticação mutua foi padronizada pelo protocolo

EAP. A criptografia tende para o CCMP com a utilização do algoritmo AES modo CBC garantindo

a privacidade e integridade das mensagens.

Analisando cuidadosamente o novo protocolo RSN proposto pelo 802.11i verificamos que ele é

vulnerável a ataques passivos. A solução vem com a utilização de certificados digitais, tendo agora

alem do suplicante, do autenticador, do servidor de autenticação uma quarta entidade que seria uma

autoridade certificadora.

Concluímos que com a implementação total do padrão 802.11i somado a implementação de uma

VPN utilizando certificados digitais teremos em fim uma rede sem fio segura o suficiente para

suportar as aplicações que exigem um nível de segurança elevado (Internet Bankings).


20

Anexos

802.11i – Robust Security Network

Como vimos, o RSN é proposto pelo padrão 802.11i. Vejamos como esta arquitetura funciona:

O RSN tenta prover a segurança através da abstração em três entidades: o suplicante, o autenticador

ou porta de rede e o servidor.

O suplicante é uma entidade que deseja usar o serviço (conexão MAC) oferecido via uma porta no

autenticador (switch, ponto de acesso).

figura 4 – EAP

Autenticação e integridade por pacote entre servidor RADIUS e ponto de acesso, o ponto de acesso

e o servidor utilizam o protocolo RADIUS para se comunicar. Cada autenticador tem uma única

chave secreta compartilhada com o servidor RADIUS.

O pacote RADIUS têm o seguinte formato:


21

figura 5 - Formato do pacote RADIUS

Cada pacote RADIUS têm um verificador de integridade MD5 aplicado com a chave compartilhada

sobre o pacote inteiro. A mensagem EAP que é enviada do autenticador para o servidor é

encapsulada dentro do pacote Radius e pode ter uma verificação de integridade por MD5 também.

figura 6 - Pilha do EAP figura 7 - Pacote EAP

O EAP é uma camada acima da camada MAC que permite o uso de vários protocolos de

autenticação de forma transparente. O próprio pacote EAP não possui verificador de integridade ou

privacidade.

O EAP é construído a partir do paradigma desafio/resposta e existem quatro tipos de mensagens:

EAP request, EAP response, EAP success e EAP failure, também tem notificações de sessões de

start e logoff, o EAPOL (EAP Over Lan, leva as mensagens entre o autenticador e o suplicante).

O autenticador deve aceitar mensagens EAP antes da atenticação ser realizada, para isso existem

duas portas de acesso, uma controlada e uma não controlada, onde apenas mensagens EAP podem

passar.


22

figura 8 – sistema de autenticação

Até a autenticação ser concluída todas as transferências de pacotes são feitos pela porta não

controlada, quando então o usuário passa a ter acesso aos serviços oferecidos pelo servidor através

da porta controlada.

A autenticação no RSN é feita usando o padrão desafio resposta, o suplicante deve se autenticar

com o AP usando o protocolo de autenticação que deve rodar sobre o EAP, e então, o suplicante

deve começar uma associação 802.1x. O processo de autenticação é muito longo. Mais de uma

chave intermediária é negociada no processo dificultando o processo de autenticação, mas

aumentando a segurança. A associação 802.1X toma lugar depois que a fase de associação da

camada 802.11 está completa com o ponto de acesso. Um ponto de acesso mantém um número

considerável de informações depois da associação e antes que a 802.1X esteja completa. Ao final da

associação o suplicante têm uma chave para aquela sessão.

Problemas e Ataques ao RSN

Falta de sincronismo entre as maquinas de estado do autenticador e do suplicante:

Uma mensagem de sucesso EAP é enviada do autenticador para o suplicante quando o autenticador

recebe do servidor RADIUS uma RADIUS Access Accept Message. Ela indica que a autenticação

foi efetuada com sucesso. Independente do método utilizado para a autenticação das camadas mais

altas (EAP-TS]LS, EAP-MD5), essa mensagem não contém nenhuma informação para testar sua


23

integridade. E na máquina de estados do suplicante podemos ver que esta mensagem leva a uma

transferência incondicional para o estado associado, independente do estado atual do suplicante.

Desta forma, o adversário pode forjar este pacote fingindo ser o autenticador e potencialmente

iniciar um ataque Man-In-Middle. O adversário poderá então, conseguir que todo o tráfego de rede

do suplicante passe atraves dele.

Pode ocorrer também o chamado sequesro de sessão, quando mensagens legítimas do suplicante são

enviadas a fim de promover sua autenticação e então, um invasor envia um frame de gerenciamento

para disassociação 802.11 usando o endereço MAC do ponto de acesso. Isso causa uma desconexão

do supliante. Essa mensagem leva a máquina de estados RSN para o estado desassociado, enquanto

que a máquina de estados 802.1X do autenticador permanece no estado autenticado. O invasor

ganha o acesso à rede utilizando o enderesso MAC do suplicante que foi autenticado.

Como não há nenhum controle de integridade sobre as mensagens EAP, ataques para

indisponibilizar o sistema podem ser feitos usando frames de gerenciamento 802.11 alterados:

§ Mensagem EAP Failure alterada: Faz com que o suplicante entre e modo held por 60

segundos, então basta enviar uma mensagem EAP Failure com o endereço MAC do

autenticador a cada 60 segundos para indisponibilizar o serviço.

§ Falsificação das mensagens de EAPOL logoff e EAPOL start: A mensagem de EAPOl

logoff é enviada do suplicante para o autentcador indicando o que deseja deixar o uso

autenticado do serviço. Como mostrado acima, um simples ataque Man-In-Middle pode

alterar os campos desse pacote. Assim, uma mensagem pode fazer com que um suplicante

autenticado seja desconecado do ponto de acesso. Para fazer isso, o Adversário deve apenas

enviar uma mensagem EAPOL logoff para o ponto de acesso no lugar do suplicante.

§ Grande número de pedidos de associação: A estação não está autenticada. Um grande

número de associaçoes pode ser feito por uma única estação usando endereços MAC

randômicos. O campo identifier no pacote EAP tem 8 bits de comprimento, assim, um ponto

de acesso está limitado a um número de 255 associações em paralelo. Se uma única estação

fizer o pedido de 255 autenticações, ela evita que outras estações possam se conectar ao

ponto de acesso.


24

Possíveis Soluções

§ Autenticação mutua, o AP não pode ser considerado seguro, os modelos de duas portas

devem ser iguais para o suplicante e o autenticador. No entanto atualmente a porta

controlada do suplicante está sempre no modo autenticado, possibilitando um ataque man-

in-the-midle.

§ Usar mecanismos de integridade para as mensagens EAP, ou retirar as mensagens

explicitas EAPsucces, etc. Substituindo-as por chaves EAPOL, usando MD5 ou qualquer

outra chave com controle de integridade.

§ A longo prazo pensa-se usar AES (advanced encryption standard) no link layer, tanto

para integridade como para privacidade. Inviável hoje devido a limitações de performance

(supostamente solucionará tudo).

Conclusões sobre o RSN

Como as redes sem fio são redes publicas, e qualquer um pode ter acesso as transmissões, elas

devem ser consideradas como tal, inseguras.

A tecnologia 802.11 é prática, cômoda, “cool”, mas seus recursos de segurança são mal projetados

em vários aspectos, expondo inaceitavelmente o trafego. Como sempre, sobra para o administrador

de rede combinar múltiplas tecnologias para prover segurança em profundidade. Segurança não é

plug-and-play, é Intelectualmente oneroso e depende de Fatores culturais e a atitude de segurança.

Há várias tecnologias e estratégias bem estabelecidas que podem ser aplicadas para mitigar as

vulnerabilidades introduzidas pelas redes wireless.

A tecnologia desenvolvida pela iEEE, o RSN ainda não é de domínio publico. Atualmente devemos

aplicar WEP, mas tendo em mente que apenas isto não basta. Devemos seguir pelo menos algumas

das sugestões propostas acima, senão procurar por outras idéias que vão surgindo.

O RSN, 802.1X agrega novos recursos de segurança e flexibilidade, mas também mais

complexidade. Historicamente, complexidade, vulnerabilidades e falhas de implementação/projeto


25

andam de mãos dadas. É ingênuo esperar que os novos padrões resolvam todos os problemas,

especialmente quando se tem a opção de minimizar as vulnerabilidades por outros meios.

Interoperabilidade é e vai continuar a ser o grande limitador da segurança: nenhum fabricante vai

comprometer a compatibilidade com sua base instalada.

Bibliografia

Tech FAQ

http://www.tech-faq.com/wireless-networks

Wi-Fi Planet

http://www.wi-fiplanet.com

Barnes, Douglas. “Network America: Wireless security? Read it and Wep”. June 27, 2002. URL:

http://www.vnunet.com/Features/1133066

Borisov, Nikita. Goldberg, Ian. Wagner, David. “Security of the WEP algorithm”. February 02,

2001. URL: http://www.isaac.cs.berkeley.edu/issac/wep-faq.html

Dismukes, Trey “Azariah”, “Ars Technica: Wireless Security Blackpaper”. July 2002. URL:

http://www.arstechnica.com/paedia/w/wireless/security-1.html.

Gast, Matthew. “Wireless LAN Security: A Short History”. April 19, 2002. URL:

http://www.oreillynet.com/pub/a/wireless/2002/04/19/security.html

Geier, Jim. “802.11 Security Beyond WEP”. June 26, 2002. URL:

http://www.80211-planet.com/tutorials/article.php/1377171

Johnson, David. “Assorted 802.11 Related Crypto Algorithms”. URL:

http://www.deadhat.com/wlancrypto

http://www.tech-faq.com/wireless-networks

http://www.wi-fiplanet.com

http://www.vnunet.com/Features/1133066

http://www.isaac.cs.berkeley.edu/issac/wep-faq.html

http://www.arstechnica.com/paedia/w/wireless/security-1.html

http://www.oreillynet.com/pub/a/wireless/2002/04/19/security.html

http://www.80211-planet.com/tutorials/article.php/1377171

http://www.deadhat.com/wlancrypto


26

Roshan, Pejman. “Securing Your Wireless LAN”. 2001. URL:

http://www.cisco.com/warp/public/cc/pd/witc/ao1200ap/prodlit/esmnr_pg.pdf

Snyder, Joel. “What is 802.1x?” May 06, 2002. URL:

http://www.nwfusion.com/research/2002/0506whatisit.html

Wi-Fi Alliance. “What is Wi-Fi?”. URL:

http://www.wi-fi.com/OpenSection/index.asp

Wi-Fi Alliance. “Wi-Fi Protected Access – Overview”. URL:

http://www.wi-fi.com/OpenSection/pdf/Wi-Fi_Protected_Access_Overview.pdf

Andre Pimenta Mathias e Jack Jossef Tabach, iEEE 802.11, 2001, Departamento Engenharia

Eletrônica e de Computação, UFRJ http://www.gta.ufrj.br/~rezende/cursos/eel879/trabalhos/80211/

Daniel Mendes Fernandes e Jeferson Zeferino dos Santos, Qualidade de Serviço em IEEE 802.11,

2001, Departamento Engenharia Eletrônica e de Computação, UFRJ

http://www.gta.ufrj.br/~rezende/cursos/eel879/trabalhos/80211e/

Rosane Franca de Morais, iEEE 802.11 – aspectos de segurança, 2001, Departamento Engenharia

Eletrônica e de Computação, UFRJ

http://www.gta.ufrj.br/~rezende/cursos/eel879/trabalhos/80211g/

Caio Barone Barreiros, segurança no 802.11, 2002, Departamento Engenharia Eletrônica e de

Computação, UFRJ http://www.gta.ufrj.br/~rezende/cursos/eel879/trabalhos/wep/

http://www.cisco.com/warp/public/cc/pd/witc/ao1200ap/prodlit/esmnr_pg.pdf

http://www.nwfusion.com/research/2002/0506whatisit.html

http://www.wi-fi.com/OpenSection/index.asp

http://www.wi-fi.com/OpenSection/pdf/Wi-Fi_Protected_Access_Overview.pdf

http://www.gta.ufrj.br/~rezende/cursos/eel879/trabalhos/80211/

http://www.gta.ufrj.br/~rezende/cursos/eel879/trabalhos/80211e/

http://www.gta.ufrj.br/~rezende/cursos/eel879/trabalhos/80211g/

http://www.gta.ufrj.br/~rezende/cursos/eel879/trabalhos/wep/

Documents

A Evolução dos Mecanismos de Segurança para Redes sem fio 802endler/courses/Mobile/Monografias/04/Miyano... · A Evolução dos Mecanismos de Segurança para Redes sem fio 802.11