Captulo 5 Mtodos de Defesa

Ricardo Antunes Vieira

29/05/2012

Neste trabalho sero apresentadas tcnicas

que podem proporcionar uma maior

segurana em redes Wi-Fi.

O concentrador se trata de um ponto muito

importante na rede, pois, atravs dele que

os clientes conseguem acesso a rede, em

casos de invaso, o meliante tem acesso casos de invaso, o meliante tem acesso

pleno a rede podendo alterar trafego dos

usurios para locais inseguros ou at mesmo

impossibilitar o acesso a rede.

No caso do concentrador, a defesa deve ser

bem pensada, pois, existem duas interfaces

para a conexo, sendo, sem fio e com fio.

Este recurso esta em todos os manuais de

boas praticas, sua utilizao muito

importante pelo fato de esconder o nome da

rede, dessa forma a rede s esta acessvel rede, dessa forma a rede s esta acessvel

para quem souber o nome da rede.

Este recurso tambm conhecido pela

denominao de Segurana por

obscuridade

A respeito desse mtodo de defesa, ele tem

alguma eficincia quando combinado a

outros mtodos, pois, apenas ele, deixa

algumas brecha de segurana, ex.algumas brecha de segurana, ex.

BEACONs;

Busca por concentrador ativos;

Requisio de associao;

Requisio de reassociao;

Portanto mesmo que no existam BEACONs

enviando o nome do ponto de rede, alguns

pacotes vo porta-lo, dessa forma podendo

ser capturados por algum atacante que ter ser capturados por algum atacante que ter

acesso a este nome.

Esta ao no costuma ser a melhor soluo

para garantir segurana na rede sem fio.

Este mtodo tambm baseado em

segurana por obscuridade, seu problema

quando toda segurana baseada na

obscuridade. Esse mtodo atrasa o atacante obscuridade. Esse mtodo atrasa o atacante

porem quando ele tem acesso a essas

informaes tem o caminho aberto para a

rede.

Ao substituir as informaes, o administrador

escolher dados que apresentem alguma

ligao com aparelho ou a empresa. Estes

parmetros devem receber ateno pois parmetros devem receber ateno pois

existem fermentas que conseguem capturar

todas as informaes disponveis.

Esta medida tambm leva como base a

obscuridade, dessa forma o administrador ao

instalar o condensador, define quais

endereos vo ter acesso a rede, dessa forma endereos vo ter acesso a rede, dessa forma

o atacante encontra mais dificuldades para

descobrir as caractersticas da rede.

Este mtodo utilizado quando o

administrador no tem como bloquear o

acesso a rede, ele funciona de forma que o

aparelho trabalha em conjunto com outro aparelho trabalha em conjunto com outro

equipamento, no existindo um endereo IP,

dessa forma impossibilitando o acesso

remoto.

Este mtodo apresenta alguns parmetros

que devem ser configurados, a falta de acesso

remoto pode ser resolvida com a adoo de

ponte com endereo IP de servio.ponte com endereo IP de servio.

Outro problema que alguns aparelhos no

suportam protocolos TKIP, AES e RADIUS.

Este mtodo apresenta algumas

caractersticas contrarias, no caso de invaso

ao cliente o atacante consegue informaes

de segurana de toda rede.de segurana de toda rede.

Conhecido como PSPF, este mtodo impossibilita ataques de usurios contra usurios na mesma rede, um exemplo que o atacante no consegue nem PINGAR para o atacante no consegue nem PINGAR para o outro usurio.

Uma falha que o trafego pode ser capturado pois a bareira esta apenas no rote amento. Quanto a informaes que trafegam no ar nica coisa que pode ser feita criptografar os dados.

Uma possibilidade feita com um

concentrador (AP), de forma que ele associe

um endereo IP a um endereo MAC. Dessa

maneira no ser possvel um atacante usar maneira no ser possvel um atacante usar

um clone de MAC. Pode sem implementado

em Windows e Linux.

A utilizao de um servidor RADIUS

possibilita a utilizao de vrios protocolos de

segurana em conjunto. Aps configurado os

parmetros de segurana devem ser parmetros de segurana devem ser

configurados os padres para clientes.

Mesmo sendo frgil a utilizao de WEP

ainda a nica possibilidade de aumentar a

segurana em algumas redes. Sua fragilidade

se da por possuir chaves de no Maximo se da por possuir chaves de no Maximo

64bits. Sua utilizao nos casos em que no

existem outras alternativas deve ser

combinada com outros mtodos, como por

exemplo o servidor RADIUS.

A autenticao no modelo TLS, realizada co

a troca de chaves ao iniciar a conexo,

tambm utilizado em conjunto com

RADIUS.RADIUS.

Um mtodo um pouco mais robusto de

segurana a utilizao de WAP ele

apresenta maior suporte na conexo 802.11x

em redes Ad-Hoc ele no consegue dar total em redes Ad-Hoc ele no consegue dar total

suporte. Ele funciona com chaves

compartilhadas, as chaves predefinidas so

alteradas periodicamente de forma

configurvel.

Tambm conhecida como WPA pessoal, tem

um grau de dificuldade na utilizao menor

que a WPA, sua configurao consiste de

selecionar (WPA-PSK) em ambos cliente e selecionar (WPA-PSK) em ambos cliente e

concentrador e definir uma chave mestra um

pouco complexa para que no seja fcil de

descobrir em um ataque de fora bruta por

exemplo.

No mtodo WPA-PSK qualquer usurio que

tenha acesso a estao ter

automaticamente acesso rede. No WPA-

Interprise um dos mtodos mais simples para Interprise um dos mtodos mais simples para

serem utilizados e o EAP_TTLS, ou seja cria

um tnel cifrado para a autenticao, pode

ser do tipo MD5, MSCHAP,OTP etc.

Uma VPN funciona no intuito de criar um

tnel seguro entre redes remotas, ou seja, ela

funciona de forma a garantir que a troca de

informaes entre maquinas que no esto informaes entre maquinas que no esto

na mesma rede seja possvel, direta e segura.

Um exemplo o SSH, atravs dele possvel

estabelecer uma conexo segura e rpida

entre maquinas remotas.

Independente da infra estrutura ou

protocolo, a utilizao de criptografia muito

importante, pois, dessa forma mesmo que os

dados sejam capturados o atacante no ter dados sejam capturados o atacante no ter

acesso as informaes. Para uma maior

eficcia preciso saber qual o problema para

escolher o mtodo que mais se encaixa a

situao para resolver o real problema.

Uma das solues mais simples e eficientes

a utilizao de senhas descartveis, funciona

de forma que a cada conexo do usurio ele

informa uma nova senha. Este servio pode informa uma nova senha. Este servio pode

ser implementado em varios metodos de

conexo como FTP, TELNET, POP3, ETC.

Este meto se trata de um dos meios mais

seguros, pois alem de poder ser combinado

com diversos outros mtodos que aumente a

segurana, cada certificados s valido segurana, cada certificados s valido

quando autenticado por algum rgo

conhecido e confivel.

Tambm existe a possibilidade de criar um

servidor de certificados, tendo ento a auto

certificao, no completamente seguro,

porem, uma opo.porem, uma opo.

Este fermenta possibilita a deteco de

varreduras e ataques, possui um recurso de

alert, este pode ter sadas SNMP e SMS.

Podem ainda existir vrios nveis de alertas. Podem ainda existir vrios nveis de alertas.

Ele detecta mau funcionamento ou pacotes

estranhos que estejam trafegando na rede.

Trata se de uma fermenta bastante robusta,

que facilita a criao e mudana das

assinaturas de pacotes suspeitos. Sua

limitao que s tem suporte em placas limitao que s tem suporte em placas

aironet. Outra funcionalidade interessante

desse programa a integrao com o

MySQL.

Snort uma ferramenta tradicional para a

deteco de ataques baseada em assinaturas,

pacotes mau-formados ou trafego estranho.

Porem ele no consegue dar suporte a todas Porem ele no consegue dar suporte a todas

as caractersticas da rede. Hoje ele apresenta

funes de at identificar a conexo de

concentradores no autorizados.

Sem duvidas essencial identificar

concentradores falsos, j que estes no se

movimentam dentro de um ambiente, ou

seja devem ser salvos logs de acessos de cada seja devem ser salvos logs de acessos de cada

concentrador no intuito de saber a

intensidade do sinal com isso tendo uma base

de sua distancia, assim possvel saber se um

clone de algum concentrador foi ligado em

algum lugar pela diferena de sinal.

Nos tempos hoje devem ser explorados

todos os recursos disponveis para garantir

uma conexo o to quanto segura for

possvel, para garantir a integridade e possvel, para garantir a integridade e

segurana da conexo de todos os usurios

ligados a uma determinada rede.