UNIVERSIDADE FEDERAL DE SANTA CATARINA DEPARTAMENTO DE INFORMÁTICA E ESTATÍSTICA

CURSO DE CIÊNCIAS DA COMPUTAÇÃO

Segurança em Redes sem Fio

Autores Ítalo Galdino dos Santos

Thiago Ribeiro

Banca Examinadora Prof. Carlos Becker Westphall, Dr. (Orientador)

Mateus Casanova Pereira (Co-orientador) Boris Moser

Palavras-chave: Redes sem fio, Segurança, WEP

Florianópolis, 12 de Julho de 2004

"Cada minuto que passa é uma chance de mudar tudo." (Vanilla Sky)

iii

Este trabalho é dedicado a todos que confiaram e nos ajudaram

de alguma forma em nossa jornada.

iv

Agradecimentos

Eu, Thiago Ribeiro, agradeço a Deus por ter nos deixando concluir mais uma fase em

nossas vidas. Agradeço a meus pais, Roberto e Clara, que se esforçaram muito para eu ter o

conhecimento que hoje tenho, nunca deixando eu “matar” um dia sequer de aula. Agradeço a

minha irmã, Roberta, que tanto me ajudou, ou vamos dizer, não me atrapalhou!! Agradeço a minha

namorada Narjara, que me apoiou muito durante os anos que fiquei na UFSC. Agradeço também a

resto da minha família, principalmente os meu avós.

Agradeço aos meus amigos da turma CCO/002, que tantas risadas e festas fizemos juntos,

em especial, Ciro, Maria Tereza(TT), Rafael(Paraná), Beletti, Daniel(Rufos, Boto, Mortandela),

Michel(Miguelito), Paulo, Ademir(Chicaum), Thaiza, Gabriela, Geraldo(Tadeu), Helion(Pacato)

Augusto Castoldi, Alex Zis(BeiSSo), Tales e ao Ítalo(Bahiano) que eu ainda não sei porque fiz o

TCC com ele. E a Beth, por ter nos aturado quase todos os dias.

E é isso, acho que foi só!!

Eu, Ítalo Galdino dos Santos, gostaria de agradecer e louvar a Deus por Ele me ter dado os

pais que tenho, Helena e Miguel, que durante toda minha vida só encheram meu saco, e por isso

que hoje estou concluindo a faculdade. "Minha Mãe e Meu Pai, amo muito vocês". Agradeço

também as minhas irmã, Lílian e Milena, com elas aprendi a desenvolver meu lado paciente,

atencioso e carinhoso, será?! Não posso deixar passar todo resto da família, uma família de

primeira, avós, tios, primos, enfim minha família. Ressalto também a importância da turma

CCO/002 enfatizando os nomes: Paraná e Geraldo que sempre que eu estava "pra baixo" eles iam

lá em casa e me ajudavam a afundar mais ainda, Tsiago que teve a coragem de fazer o TCC

comigo, Rufos, Ciro, TT, que são gente fina e me fazem rir, Paulo que desde o começo da facul

me deu ajuda nos estudos, um companheiro sem igual, cheguei até morar com ele, e depois de

algum tempo, para alegria de todos e felicidade geral, até começou a tomar uma gelada no bar com

a gente, e a turma em geral. Agradeço ao meu destino por ter me exposto para a "galera do

corrégo" apenas na reta final, pois se tivesse conhecido os caras antes poderia nem ter chegado lá,

Diogo(meu bibelô), Claudinho, Breno, Flavinho, Fábio, Rodrigo, Marcelo e Fabricío são membros

v

ativos deste grupo que faz parte de outro maior o Floripará&Agregados que soma o Peri,

Uélder(Hélder), Crézio, Tom, Douglas e Roger.

Agradeço também ao Magdiel, um cara que não sabe sua origem, pernambucano de

nascimento, paraíba de criação e catarinense por loucura. Agradeço ao Asa de Águia por estar

sempre me deixando animado, e as todas as meninas que de alguma forma me receberam de

braços abertos e ajudaram no meu equilíbrio emocional. Festas, carnavais, churrascos, reuniões e

todos eventos que sempre nos trazem alegria. Deve ter tanta coisa para agradecer que as idéias de

embaralham na cabeça, por isso se deixo de colocar algo aqui é por pura falta de espaço, seria um

livro de agradecimentos. A todos que me deram força nesta fase e em toda minha vida, eu

agradeço.

Que deus abençoe todos nós!

vi

Sumário Lista de Figuras ............................................................................................................................ viii

Lista de Tabelas...............................................................................................................................ix

Resumo ..............................................................................................................................................x

Abstract ............................................................................................................................................xi

1 ......................................................................................................................................1Introdução

1.1 Justificativas .............................................................................................................................1

1.2 Objetivos ..................................................................................................................................2

1.3 Estrutura do trabalho ................................................................................................................2

2 ...............................................................................................................4Fundamentação Teórica

2.1 Funcionamento das redes de computadores .............................................................................4

2.1.1 Pilha de protocolos TCP/IP...............................................................................................5

2.1.2 Descrição das camadas......................................................................................................6

2.2 Redes sem fio ...........................................................................................................................6

2.2.1 Dimensão...............................................................................................................................7

2.3 Tecnologias utilizadas ..............................................................................................................8

2.4 Modos de operação...................................................................................................................9

2.4.1 Ponto a ponto.....................................................................................................................9

2.4.2 Infra-estrutura..................................................................................................................10

............................................................................................102.4.2.1 Sistema de Distribuição

................................................................................102.4.2.2 Conjunto de Serviço Estendido

2.5 WEP .......................................................................................................................................11

3 ..........................................................................................................................12Falhas e Ataques

3.1 Falhas no protocolo 802.11 ....................................................................................................12

3.1.1 WEP ................................................................................................................................12

3.1.2 Algoritmo de criptografia do WEP .................................................................................13

3.1.3 Vulnerabilidades nas formas de autenticação .................................................................14

vii

3.1.4 Beacon frames.................................................................................................................15

3.2 Riscos internos .......................................................................................................................15

3.2.1 Rogue WLAN .................................................................................................................15

3.2.2 Configurações inseguras .................................................................................................16

3.2.3 Associação acidental .......................................................................................................16

3.3 Ataques...................................................................................................................................16

3.3.1 Wardriving ......................................................................................................................16

3.3.2 Warchalking ....................................................................................................................17

3.3.3 Denial of Service (DoS) ..................................................................................................19

3.3.4 Associação Maliciosa......................................................................................................20

3.3.5 ARP Cache Poisoning.....................................................................................................21

3.3.6 Eavesdropping.................................................................................................................23

3.3.7 Mac Spoofing ..................................................................................................................23

3.3.8 Roubo de identidade........................................................................................................23

3.4 Ferramentas ............................................................................................................................24

3.4.1 NetStumbler ....................................................................................................................24

3.4.2 Kismet .............................................................................................................................25

3.4.3 Wellenreiter.....................................................................................................................27

3.4.4 Ethereal ...........................................................................................................................28

3.4.5 AirSnort...........................................................................................................................28

3.4.6 WEPCrack.......................................................................................................................29

3.4.7 HostAP ............................................................................................................................29

4 ........................................................................................................................................30Soluções

5 ....................................................................................................................................34Conclusões

5.1 Trabalhos futuros....................................................................................................................35

Referências Bibliográficas .............................................................................................................36

Anexo A ...........................................................................................................................................38

Anexo B ...........................................................................................................................................40

viii

Lista de Figuras Figura 1 - Modelo de arquitetura OSI e pilha de protocolos TCP/IP [RAY 02]................................5

Figura 2 - Rede Ponto a ponto............................................................................................................9

Figura 3 - Rede BBS ........................................................................................................................10

Figura 4 - Rede ESS.........................................................................................................................11

Figura 5 - Microcomputador e PDA usados no Wardriving [ASS 04] ............................................17

Figura 6 - Lata de batata Pringles usada para capturar o sinal [ASS 04].........................................17

Figura 7 - Marca do Warchalking [PS 04] .......................................................................................18

Figura 8 - Símbolos usados no Warchalking [AAR 02] ..................................................................19

Figura 9 - Ataque ARP Cache Poisoning ........................................................................................22

Figura 10 - Ataque ARP Cache Poisoning realizado em rede cabeada ...........................................22

Figura 11 – NetStumbler [STU 02]..................................................................................................24

Figura 12 – MiniStumbler [STU 02]................................................................................................25

Figura 13 – Kismet [GKI 03] ...........................................................................................................26

Figura 14 – Wellenreiter [LMK 03].................................................................................................27

Figura 15 - AirSnort quebrando chave WEP de 64 bits [PS 04]......................................................28

Figura 16 - AirSnort quebrando chave WEP de 128 bits [PS 04]....................................................28

Figura 17 - Rede WLAN com VPN/IPSec [PW 03]........................................................................32

Figura 18 - CRC32 [WAR 03] .........................................................................................................40

ix

Lista de Tabelas Tabela 1 - Orgãos criadores e mantenedores de protocolos...............................................................4

x

Resumo

O uso de redes sem fio vem crescendo em um ritmo acelerado nos últimos anos, devido a

sua mobilidade, flexibilidade e facilidade de instalação, também por não precisar usar cabos e

principalmente pelo seu custo a longo prazo. Por outro lado, em situações nas quais redes cabeadas

não são necessárias, precisa-se tomar medidas adicionais quanto à segurança daquelas sem fio. O

presente trabalho analisa as falhas na segurança das redes sem fio e apresenta alternativas para

minimizá-las; além de mostrar as ferramentas mais conhecidas tanto para realizar ataques quanto

para impedi-los. Algumas dessas vulnerabilidades são causadas por uma instalação ou

configuração inadequada da rede. Entrementes outras falhas existem por um procedimento de

certos algoritmos de cifragem.

xi

Abstract

The use of wireless networks has increased in the last years, due to their mobility,

flexibility and easiness of installation, also for not needing to use cables and mainly for their cost

at long term. On the other hand, in situations when cabled networks are not necessary, it is needed

to take extra measures in respect to the security of the wireless ones. The present work analyses

the faults in the security of the wireless networks and presents arrangements to minimize such

faults; in addition it shows the best-known tools as to make attacks as to prevent them. Some of

these vulnerabilities are caused either by an inadequate installation or else an inadequate

configuration of the network. Meanwhile other faults exist because a procedure of certain cipher

algorithms.

Capítulo 1 Introdução

Nos últimos anos as redes sem fio têm crescido numa rapidez que pode ser comparada ao

crescimento da internet nas ultimas décadas. O maior motivo para esse crescimento, é que houve

um aumento muito grande das LANs (Local Area Networks) e a necessidade de conexão com

dispositivos móveis portáteis (hand-helds, notebooks). Também viu-se necessário uma nova

tecnologia que desse auxilio na ligação entre LANs. A tecnologia escolhida para dar suporte a

esses casos foi a WLAN (Wireless Local Area Network), esta foi escolhida devido a não

necessidade do uso de fios, com isso tornando-se economicamente viável.[TAN 97]

Por possuir uma vasta gama de opções as redes sem fio se difundem cada vez mais no dia-

a-dia das pessoas, podendo ser usadas para conectar duas LANs, como também conectar um

grupo de trabalho entre si (WLAN).

Explorando as vulnerabilidades das redes sem fio, pessoas mal intencionadas atacam essas

redes a procura de divertimento ou de roubo de informações, comprometendo assim a segurança

dos usuários e dos dados desta rede.

1.1 Justificativas

Sendo uma tecnologia não muito antiga e ainda em expansão, muitas são as

vulnerabilidades que esta possui. Através dessas deficiências é que ocorrem os ataques às redes

sem fio.

2

Um ataque a uma rede, além de prejudicar a rede atacada, também pode comprometer a

segurança de outras redes que estão conectadas ao alvo do ataque.

Na maioria dos casos, os ataques são feitos com o uso de softwares desenvolvidos

especificamente para este propósito. Esses softwares rastreiam um sinal de uma rede e a parti daí

inicia seu ataque. Além da pouca opção de protocolos de segurança para esse tipo de rede, o

maior atrativo aos ataques às redes sem fio, é a dificuldade da localização geográfica exata da

origem dos ataques, uma vez que o invasor possa estar se conectando á rede a partir de qualquer

lugar que esteja dentro da área de cobertura do sinal.

Para que seja possível sanar as vulnerabilidades desse tipo de rede, e assim dificultar os

ataques tornando uma rede mais segura, faz-se necessário uma análise profunda dos diversos

tipos de ataques e um estudo aprofundado dos protocolos das redes sem fio. Tendo essa base de

conhecimento, pode-se começar a fazer mudanças de forma a aumentar a segurança das WLANs.

1.2 Objetivos

Este trabalho procura obter um maior conhecimento dos protocolos utilizados nas redes

802.11x, observando as suas vulnerabilidades, além de fazer uma análise dos tipos de ataques

contra essas redes e mostrar as ferramentas mais utilizadas tanto para gerar ataques quanto para

impedi-los.

O trabalho busca fornecer uma boa base teórica para que a partir desta base seja possível a

identificação de possíveis falhas numa rede e também sugere algumas medidas que visam tornar

as redes sem fio mais seguras.

1.3 Estrutura do trabalho

O trabalho será assim estruturado:

No primeiro capítulo iremos fazer um estudo sobre rede sem fio, os protocolos utilizados

com base nos padrões IEEE 802.11. Também mostraremos as diferenças entre uma rede sem fio e

uma rede cabeada, topologia de uma rede sem fio e seus mecanismos de autenticação e

criptografia.

3

No segundo são mostrados as falhas encontradas no estudo teórico e os principais ataques

realizados nas redes sem fio. Nessa etapa também será feita a análise das principais ferramentas

de ataque às redes sem fio.

No capítulo quatro já são mostradas possíveis soluções que visam aumentar a segurança

das redes sem fio.

Por fim é feita uma conclusão sobre o estudo feito para com isso possibilitar a

implementação de alternativas de aumentem a segurança nas redes 802.11x.

4

Capítulo 2 Fundamentação Teórica

Neste capitulo é feito um estudo sobre redes sem fio com o intuito de se obter um bom

conhecimento sobre esse tipo de rede.

Inicialmente é mostrado a pilha de protocolos TCP/IP (Transmission Control

Protocol/Internet Protocol) com suas partes e funções detalhadas. Também é feita a

diferenciação entre redes sem fio 802.11x e redes ethernet.

2.1 Funcionamento das redes de computadores

No mundo existem vários órgãos que criam os protocolos e os mantêm atualizados.

The Internet Society

The International Standards Organization (OSI)

The International Telecommunication Union (CCITT)

The American National Standards Institute (ANSI)

The Institute of Electrical and Electronic Engineers (IEEE)

The Electronic Industries Association (EIA)

Bellcor

Tabela 1 - Orgãos criadores e mantenedores de protocolos

5

No que diz relação à forma que todos esses órgãos trabalham em conjunto para manter os

padrões sem criar incompatibilidades entre estes, têm em [TAN 97] a seguinte forma de

funcionamento. A OSI, que abrange vários tipos de padrões, é membro da ITU-T, que está mais

relacionada aos padrões de telecomunicações. A ANSI nada mais é que a representante da OSI

nos Estados Unidos. O IEEE, maior organização profissional do mundo, possui grupos de

desenvolvedores de padrões nas áreas de engenharia elétrica e de informática. E este trabalho foi

desenvolvido com a ajuda de estudo em cima do padrão 802.11x, padrão que foi desenvolvido

por um comitê dessa organização.

2.1.1 Pilha de protocolos TCP/IP

Os protocolos mais usados na conexão de redes são os protocolos TCP e o IP. Os

protocolos TCP/IP foram utilizados nas redes sem fio por ser a pilha de protocolos mais utilizada

na internet, e por isso, é importante o entendimento do seu funcionamento para que assim seja

possível análise de suas vulnerabilidades quando este é aplicado em redes sem fio.

As aplicações que são desenvolvidas para TCP/IP normalmente fazem o uso de vários

protocolos. Esses protocolos são divididos entra as 7 camadas que compõem a pilha protocolar

TCP/IP.

As 7 camadas, semelhantes ao modelo OSI, e seus respectivos protocolos utilizados são

mostradas na figura abaixo:

Figura 1 - Modelo de arquitetura OSI e pilha de protocolos TCP/IP [RAY 02]

6

O funcionamento das camadas é feito da seguinte forma. As aplicações de computador se

comunicam com a camada de aplicação da rede. Os dados vão passando por cada camada, que

terá sua função especificada mais adiante, até chegar na camada física, a de nível mais baixo.

Esta última camada transfere os dados para a camada física do computador destino, e neste os

dados irão subir as camadas até chegar na camada de aplicação do computador destino.

2.1.2 Descrição das camadas

Camada física – É a camada mais baixa na hierarquia das camadas. Segundo [TAN 97],

ela define as interfaces mecânicas, elétricas e de sincronização para a rede, ou seja, define os

meios de transmissão de dados, que podem ser fios de par trançado, cabo coaxial, fibra ótica ou

até mesmo o ar, no caso das redes sem fio.

Camada de enlace – A segunda camada, como também é conhecida, lida com o

tratamento de erros e controle para que uma transmissão de dados seja efetuada corretamente.

Camada de rede - Esta camada tem relação com as transferências de dados pela rede,

levando-os de sua origem até o seu destino, desempenhando tarefas do tipo, escolher caminhos

que evitem congestionamento na rede e até evitando problemas de quando a origem do dado está

em uma rede diferente do destino, ou vice-versa.

Camada de transporte – Estando no centro da hierarquia dos protocolos, é sua função

promover, de forma econômica e confiável , a transferência dos dados

Camada de aplicação – Nesta camada é onde estão os softwares, que funcionam como

interface entre os usuários e os serviços provido por uma rede de computadores.

2.2 Redes sem fio

Redes sem fio diferem-se das redes cabeadas principalmente pelo meio físico utilizado

para se fazer a troca de dados. Por esse motivo em 1990 a IEEE criou um grupo de trabalho para

o desenvolvimento de um protocolo para esse tipo de rede, e que foi aprovado em 1997 e recebeu

o nome de 802.11.

7

O protocolo especifica todas as necessidades estruturais para a utilização de redes sem fio,

como os protocolos de controle ao meio, os tipos de modulação utilizados, a criptografia (WEP) e

os principais componentes utilizados.

Em 1999, dois anos depois, foram aprovadas pelo IEEE mais duas extensões para o

padrão802.11:

• 802.11a opera em uma freqüência de 5,8 GHz e provê taxas de transferências de até

54 Mbps, somente permitindo acesso para usuários num raio de até 15 metros,

• 802.11b, opera em uma freqüência de 2,4 GHz e provê taxas de transferências de até

11 Mbps, permitindo acesso para usuários em um raio de aproximadamente 300 metros.

Devido as crescentes necessidades do mercado, foram criados também os seguintes

padrões:

• 802.11c: especificações para operar com IEEE 802.11 MAC’s;

• 802.11d: especificações para telecomunicações e troca de informações entre dois

sistemas;

• 802.11e: suporte para aplicações que precisam de QoS;

• 802.11f: recomendações para redes ponto a ponto sob o protocolo Inter Access Point

(IAP);

• 802.11g: padrão para tráfego maior que 20 Mbps em freqüência de 2.4 GHz;

• 802.11h: gerenciamento do espectro 802.11a. Requer equipamentos para verificar as

freqüências utilizadas na transmissão;

• 802.11i: melhoria na segurança do padrão 802.11 MAC. Trabalhando para troca do

padrão WEP;

• 802.1X: melhoria na segurança do padrão 802.11, definindo o modo como os usuários

irão se autenticar em redes locais wireless (WLAN).

2.2.1 Dimensão

As redes sem fio quanto a sua dimensão podem ser divididas nos seguintes tipos:

• Redes locais ou WLAN (Wireless Local Area Network);

• Redes metropolitanas ou WMAN (Wireless Metropolitan Area Network);

8

• Redes de longa distância ou WWAN (Wireless Wide Area Network);

• Redes WLL (Wireless Local Loop) e

• Redes pessoais ou WPAN (Wireless Personal Area Network).

2.3 Tecnologias utilizadas

Existem várias tecnologias que são utilizadas nas redes locais sem fio e cada uma tem

suas particularidades, suas vantagens e suas limitações. A seguir, é apresentado algumas das

tecnologias mais empregadas.

Sistemas Narrowband (banda estreita): Operam numa freqüência de rádio específica,

mantendo o sinal de rádio o mais estreito possível, o suficiente para passar as informações. O

cruzamento indesejável que acontece entre os vários canais de comunicação pode ser evitado

coordenando com cuidado os diferentes usuários pelos diferentes canais de freqüência.

Sistemas Spread Spectrum: Utilizam a técnica de espalhamento espectral com sinais de

rádio freqüência de banda larga, o que provê maior segurança, integridade e confiabilidade, em

troca de um maior consumo de banda. Há dois tipos de tecnologias spread spectrum: Frequency-

Hopping Spreap Spectrum (FHSS) e a Direct-Sequence Spread Spectrum (DSSS).

A FHSS usa uma portadora de faixa estreita que muda a freqüência em um código

conhecido pelo transmissor e pelo receptor que, quando devidamente sincronizados, o efeito é a

manutenção de um único canal lógico.

A DSSS gera um bit-code (também chamado de chip ou chipping code) redundante para

cada bit transmitido. Quanto maior o chip maior será a probabilidade de recuperação da

informação original. Contudo, é requerida uma largura de banda maior. Mesmo que um ou mais

bits no chip sejam danificados durante a transmissão, é possível recuperar os dados transmitidos

através de técnicas estatísticas embutidas no rádio, sem a necessidade de retransmissão.

Sistemas Infrared: Para transmitir dados por raios infravermelhos são utilizadas

freqüências muito altas, um pouco abaixo da luz visível no espectro eletromagnético. Igualmente

à luz, o sinal infravermelho não pode penetrar em objetos opacos. Assim as transmissões por

infravermelho ou são diretas ou difusas.

9

No caso de transmissões por infravermelho difusas, o transmissor e um ou mais receptores

se comunicam utilizando um plano de reflexão, que é normalmente o teto.

Os feixes de raios infravermelhos podem causar lesões oculares se alguém olhar

diretamente para eles.

2.4 Modos de operação

Quanto ao seu modo de operação as redes sem fio podem ser:

2.4.1 Ponto a ponto

Neste modo, as estações sem fio se comunicam diretamente entre elas. Todas as estações

devem estar dentro da faixa de alcance das placas de rede umas das outras, para que possa ser

efetuada a comunicação entre as máquinas. Todas as estações possuem o mesmo BSSID (Basic

Service Set Identifier) que corresponde ao identificador da célula sem fio.

Estas redes são chamadas de Ad Hoc ou IBBS (Independent Basic Service Set) por essas

serem independentes e serem formadas apenas pelas estações sem fio.

Figura 2 - Rede Ponto a ponto

10

2.4.2 Infra-estrutura

Também chamado de Conjunto de Serviço Básico ou BBS (Basic Service Set), consiste no

uso de ao menos um Ponto de Acesso ou AP (Acess Point), que é uma estação central que faz a

comunicação entre as estações sem fio. Ao invés de as estações se comunicarem diretamente

entre elas, como no modo Ad Hoc, elas se comunicam com o AP, que se ocupa de fazer a

comunicação com a estação destino.

O uso de Pontos de Acesso podem aumentar o alcance da rede, porém isso depende da

tecnologia que está sendo utilizada e o modo que está sendo operado, e proporciona economia de

energia para as máquinas que compõem a rede. Além de permitir a ligação com redes cabeadas.

Figura 3 - Rede BBS

2.4.2.1 Sistema de Distribuição

Para uma maior abrangência da rede, é possível usar mais de um Ponto de Acesso, ou um

Sistema de Distribuição ou DS (Distribution Service), que é uma forma de interligar vários BBS,

formando assim uma grande rede.

2.4.2.2 Conjunto de Serviço Estendido

O Sistema de Distribuição ligado à diferentes BBS prove uma grande abrangência da rede

e uma grande flexibilidade aos usuários, pois os mesmos podem ficar mudando de Pontos de

Acesso sem se desconectar da rede (handoff). É também chamado de ESS (Extended Service Set).

11

Figura 4 - Rede ESS

2.5 WEP

É um método de segurança para redes sem fio que surgiu prometendo que com o seu uso

as redes sem fio teriam uma privacidade equivalente à das redes cabeadas, como seu próprio

nome diz WEP (Wired Equivalent Privacy). Como qualquer outro método o WEP também possui

suas falhas, porém seu uso é essencial para garantir uma maior segurança das WLANs. No

capítulo 3 o WEP será mostrado com mais detalhes.

12

Capítulo 3 Falhas e Ataques

Nesta etapa será mostrado as falhas do protocolo 802.11, vulnerabilidades de segurança,

métodos de ataques realizados contra as redes sem fio e ferramentas utilizadas durante um ataque

como também ferramentas que dificultam a ocorrência dos mesmos.

3.1 Falhas no protocolo 802.11

O protocolo 802.11, por já ter sido muito estudado possui poucas vulnerabilidades, porém

qualquer que seja, esta pode acarretar em grandes problemas na rede em questão.

As vulnerabilidades encontradas hoje são praticamente três, porém uma está evidenciada,

a criptografia WEP. As outras duas são as formas de autenticação permitidas pelo protocolo e os

pacotes beacon frames.

3.1.1 WEP

O WEP surgiu prometendo uma segurança maior para as redes sem fio. Apesar de ter suas

falhas a WEP é bastante utilizada.

Ele se encarrega de cifrar todos os dados que são transmitidos via rede. Os padrões WEP

são de 64 e 128 bits. O primeiro é compatível com todo produto que siga o padrão WI-FI, ou seja,

todos os produtos comercializados atualmente. Já para utilizar o padrão 128 bits, faz-se

13

necessário que todos os componentes da rede suportem esse padrão, caso contrário os

equipamentos que não dêem suporte irão ficar fora da rede.

3.1.2 Algoritmo de criptografia do WEP

A criptografia do WEP ocorre da seguinte forma:

No texto a ser transmitido são aplicados dois processos, um de cifragem e outro têm como

objetivo evitar qualquer alteração do texto enquanto este é enviado. A chave composta é formada

a partir da concatenação da chave secreta, que terá 40 ou 104 bits, com mais os 24 bits de um

vetor de inicialização (IV) que dará característica de Stream Cipher no algoritmo RC4, que nada

mais é uma mudança de chave para cada mensagem a ser criptografada que passe pelo RC4,

fazendo assim que todos dados possuam uma chave composta diferente. A chave secreta é

compartilhada entre os usuários e o Access Point da rede.

A chave composta é inserida no algoritmo de PRNG (Pseudo-random Number

Generator), que é baseado no RC4. Um conjunto pseudo-aleatório de bits, gerados na saída do

PRNG, é utilizada para cifrar o texto plano através da operação binária XOR.

O resultado da aplicação desses passos terá exatamente o tamanho do texto original. No

início deste resultado é concatenado o vetor de inicialização, e no final 32 bits, resultado de um

processo ICV (Integrity Check Calue), algoritmo CRC32, que irá proteger os dados contra

modificações inesperadas.

O destinatário, que já sabe qual é a chave secreta, ao receber os dados criptografados

utiliza o IV (Inicialization Vector) do início do pacote para criar a mesma string gerada pelo

PRNG e decifrar o texto criptografado. No texto decifrado é rodado o CRC32 que irá gerar um

ICV, este é comparado ao ICV transmitido, se forem diferentes os dados foram alterados durante

a transmissão e deverão ser descartados.

Usar esse algoritmo nas redes sem fio trás um problema, o tamanho utilizado nas chaves

criptografia e no vetor de inicialização. O problema apresentado nesse caso é o de reutilização do

vetor de inicialização.

Esse problema é apresentado porque esse vetor é muito pequeno, e como ele é alterado a

cada pacote enviado, indo de zero até seu valor máximo (224 ou 16.777.216 números diferentes),

podemos calcular quanto tempo vai demorar para que o vetor se repita. Teoricamente a chance

que ocorra uma repetição do vetor é de 1 em 16.777.216, porém como este é um número

14

randomicamente gerado, é possível encontrar uma colisão de IV a cada, aproximadamente, 5.000

pacotes trocados.

O que acontece é que com uma reutilização de IV, levando-se em conta as características

mantidas entre os pacotes, é perfeitamente possível um ataque por analise de freqüência. E já

existem ferramentas que exploram essa vulnerabilidade.

Os problemas são:

• O próprio algoritmo RC4 possui uma fragilidade sutil que pode ser explorada por

violadores de chave.

• O padrão WEP permite que o IV seja reutilizado (em média, a cada cinco horas). Esse

recurso facilita muito o ataque a WEP, pois a repetição do IV garante que o invasor terá algum

texto codificado repetido para analisar.

• O padrão WEP não oferece nenhuma maneira de mudar as chaves automaticamente.

Como resultado, a única forma de reatribuir chaves ao AP e às estações é manualmente; portanto,

por uma questão prática, ninguém muda as chaves, expondo assim as WLANs a ataques passivos

que coletam o tráfego e violam as chaves.

• As primeiras implementações de WEP de alguns fornecedores ofereciam apenas

criptografia de 40 bits. Os sistemas mais modernos oferecem WEP de 128 bits; o tamanho da

chave de 128 bits menos os IV de 24 bits realmente oferecem um tamanho eficaz de 104 bits, que

seria aceitável não fossem outras fragilidades.

3.1.3 Vulnerabilidades nas formas de autenticação

Vulnerabilidade nas formas de autenticação ocorre muitas vezes por uma configuração

inadequada do Access Point.

Uma dessas formas é que para facilitar o acesso dos usuários na rede os APs permitem a

autenticação aberta o que possibilita que qualquer dispositivo reconheça o SSID da rede em

questão e possa se associar.

Uma das formas de minimizar esse risco é usando a política de reautenticação.

A política de reautenticação força que todo usuário conectado à rede faça uma nova

autenticação de tempos em tempos, essa nova autenticação irá gerar uma nova chave secreta e a

15

partir desse momento o usuário estará cifrando e decifrando com a nova chave, o que aumentará

o nível de segurança.

3.1.4 Beacon frames

Um beacon frame é um quadro de sinalização enviado para todas as estações que estejam

na área de cobertura com a intenção de difundir a presença de uma rede sem fio, Normalmente

este contém o nome da rede (SSID).

Os Access Points a principio são configurados para enviarem beacon frames no canal em

que estão atuando, no seu canal antecessor e no canal subseqüente. A presença de um beacon

frame pode permitir que Rogue Access Points (pontos de acesso piratas) estejam ligados à rede.

Esses tipos de APs são instalados sem autorização e na sua maioria representa grandes risco à

rede em questão.

3.2 Riscos internos

Os riscos que serão apresentados aqui dizem respeitos apenas vulnerabilidades causadas

devidos às configurações de dispositivos mal feitas, não ocorrendo a ação direta de um atacante

para expor a vulnerabilidade.

3.2.1 Rogue WLAN

As Rogues WLANs são nada mais que redes que são instaladas sem o consentimento das

empresas, ou seja, não seguindo uma política de segurança.

Outra possibilidade é a instalação de redes feitas por pessoas desqualificadas que não

efetuam uma configuração correta, fazendo com que os dispositivos enviem o SSID em

broadcast, não utilizam criptografia WEP e não levam em conta a área de cobertura da

instituição, podendo com isso expor a rede a ataques vindos de locais externos.

16

3.2.2 Configurações inseguras

Configurações inadequadas podem acarretar em grandes problemas de segurança, muitas

instituições aumentam o nível de segurança da rede com o uso de VPNs e acreditam que com isso

sua rede estará livre de invasões, menosprezando as configurações de segurança de cada

dispositivo da rede.

Porém o invasor mais experiente não tentará quebrar a VPN, e sim irá invadir diretamente

uns dispositivos da rede, como um Access Point ou um usuário.

Para diminuir os riscos causados por configurações inseguras seria necessário modificar

configurações padrão do SSID, broadcast de SSID, criptografia fraca da WEP, por configurações

mais seguras.

3.2.3 Associação acidental

Como o uso de dispositivos que utilizam a tecnologia de redes sem fio vem ficando cada

dia mais comum, muitos sistemas operacionais fazem configurações dos dispositivos

automaticamente quando este é detectado.

Muitas vezes o usuário do dispositivo desconhece essa configuração feita, ou seja, seu

equipamento muitas vezes pode está permitindo que outro dispositivo se conecte através do modo

ad-hoc. Como o modo ad-hoc não é necessário um Access Point para que haja a conexão, então o

invasor não precisará fazer uma autenticação.

3.3 Ataques

Aqui serão descritos alguns ataques que são realizados contra as redes sem fio, alguns

feitos por hackers com o intuito de diversão, já outros em busca de senhas e outras informações.

3.3.1 Wardriving

Este ataque consiste em sair dirigindo um carro, ou qualquer outro veículo e de posse de

um microcomputador portátil e um antena capturar sinais de possíveis redes 802.11 pelo

caminho.

17

Figura 5 - Microcomputador e PDA usados no Wardriving [ASS 04]

Em alguns casos pode-se fazer uso de um GPS ((Global Position System) para se ter uma

noção exata de onde se encontram os pontos de acesso.

Esses “passeios” já viraram moda e já existem muitos sites especializados no assunto,

como o “www.wardriving.com”, onde é possível encontrar instruções detalhadas de como

efetuar o wardriving, além de como construir sua própria antena. A antena mais usada custa em

torno de 3 reais e é feita a partir de uma lata de batata Pringles.

Figura 6 - Lata de batata Pringles usada para capturar o sinal [ASS 04]

Outro site é o “www.wardrivingisnotcrime.com” que tem como objetivo fazer com que as

pessoas não vejam o wardrving como crime. [DUA 03]

3.3.2 Warchalking

Após a Segunda Guerra Mundial, havia vários andarilhos que viajam de cidade em cidade

dos EUA fazendo biscates, e eram conhecidos como hoboes. Como eles tinham pouco ou

nenhum dinheiro, para eles era muito importante saber onde encontrar comida e abrigo, qual o

comportamento da polícia local e onde poderiam esperar alguma hostilidade.[PIR 02]

18

Como não tinham paradeiro ou ponto de encontro, desenvolveram uma simbologia

expressa em gráficos e portavam sempre um pedaço de giz para espalhar pelos muros

informações úteis para sua comunidade, por exemplo, lugares onde era possível tomar um banho

de graça ou trabalhar por um prato de comida. [NOB 02]

Hoje em dia, espalhados aqui e ali em diversos pontos das grandes cidades, recomeçam a

aparecer nas paredes estranhos símbolos riscados com giz. São manifestações de uma nova

mania, denominada warchalking (“guerra de giz”, termo cunhado por Matt Jones, o inglês que

criou a atividade) com um objetivo semelhante ao dos velhos símbolos hoboes, indicar aos

membros da comunidade sem fio a presença de um ponto de acesso à qual seu notebook ou

palmtop equipado com uma placa de rede aderente ao padrão 802.11 pode ser conectado.

A ideía partiu do britânico Matt Jones, quando viu uma performance de estudantes de

arquitetura em Londres. Eles demarcaram com giz numa praça os lugares de um escritório e,

sentados, comunicavam-se com laptops e conexão sem fio. Jones, também com formação em

arquitetura, tinha acabado de comprar um cartão para conexão wireless e se interessou pelas

possibilidades de intervenção na cidade com o uso das marcas.

Figura 7 - Marca do Warchalking [PS 04]

19

Embora a invasão de redes sem fio possa ser usada para capturar dados privados, o

objetivo do warchalking é, em primeiro lugar, pacífico.

Figura 8 - Símbolos usados no Warchalking [AAR 02]

Os símbolos indicam se o ponto de acesso é “aberto” (dois semicírculos em oposição),

“fechado” (um círculo vazio) ou “WEP” (de Wireless Equivalent Privacy, indicado por um

círculo com um “W” no centro, cujo acesso é mais difícil porque o protocolo WEP usa

criptografia). Acima do símbolo há um código (o SSID, ou Service Set Identifier, que funciona

como uma senha para conectar-se àquele nó) e, abaixo, o valor da taxa de transferência

(bandwidth) alcançada naquele ponto.

3.3.3 Denial of Service (DoS)

Como o próprio nome indica, este tipo de ataque procura tornar algum recurso ou serviço

da rede indisponível.

A freqüência 2.4 GHz que é usada por dispositivos da rede 802.11b e 802.11g e

compartilhada com outros dispositivos sem fio como, por exemplo, telefones sem fio,

dispositivos Bluetooth e equipamentos de monitoração de bebês – também chamados de “babá

eletrônica”. Em vista disso, por operarem na mesma freqüência, estes equipamentos degradam o

sinal fazendo com que a capacidade da rede seja reduzida. Um indivíduo mal intencionado com o

20

equipamento apropriado pode enviar uma grande quantidade de sinais (flood) na mesma

freqüência a ponto de fazer com que a rede pare de funcionar. [MAR 02]

Por exemplo, um atacante pode se passar por um Acess Point com o mesmo SSID e

endereço MAC de um outro Acess Point válido e inundar a rede com pedidos de dissociação.

Estes pedidos fazem com que os clientes sejam obrigados a se desassociarem e se re-associarem.

Enviando as requisições de dissociação em períodos curtos de tempo o DoS é concretizado. Isso,

pois os clientes não conseguiriam permanecer conectados por muito tempo.[DUA 03]

Outro problema relacionado a DoS é o conflito não intencional entre redes próximas,

como a de um prédio vizinho. É comum um mesmo fabricante usar o mesmo canal default para

todos os equipamentos fabricados. O que pode acontecer nesta situação é, no mínimo, uma rede

causar DoS na outra através de interferência de rádio.

Para evitar este problema, deve-se tentar “enxergar” outras redes próximas. Se isto for

possível, alterar o número do canal usado para que haja uma diferença de 5 canais entre as duas

redes.[MAR 02]

3.3.4 Associação Maliciosa

A associação maliciosa ocorre quando um atacante tenta se passar por um Access Point, e

ilude outro sistema de maneira a fazer com que este acredite estar se conectando em uma WLAN

real. [AIR 00]

A seqüência abaixo tenta mostrar como ocorreria um ataque de associação maliciosa.

1. A vítima envia pacotes de Probe Request à procura de Access Points para fazer

conexão;

2. O atacante com o auxílio de um softAP responde a conexão;

3. A vítima requisita a associação e se associa ao atacante;

4. O atacante responde com as informações de rede necessárias como endereço IP;

5. O atacante envia uma requisição de NET USE;

6. A vítima responde com LOGIN; e

7. Qualquer vulnerabilidade de qualquer serviço do cliente pode ser agora explorada.

No exemplo acima, o atacante tenta se valer de uma vulnerabilidade do NETBEUI que

permite compartilhamento de arquivos e impressoras em sistemas Windows. Entretanto a partir

21

do passo quatro, qualquer vulnerabilidade existente no dispositivo do cliente pode ser explorada

pelo atacante.

Existe uma sutil diferença entre fazer a associação maliciosa através da utilização de um

software que simule um AP ou da associação através de redes Ad Hoc. Esta diferença está na

grande difusão dos riscos em se manter um dispositivo configurado para atuar em Ad Hoc.

Com isso muitos usuários e até mesmo sistemas operacionais mais novos já evitam este

tipo de conexão, permitindo somente conexões em sistemas de infra-estrutura. [DUA 03]

3.3.5 ARP Cache Poisoning

Primeiramente ARP (Adress Resolution Protocol) ou Protocolo de Resolução de

Endereços é o responsável por relacionar os endereços físicos com os lógicos

Quando uma máquina A quer se comunicar com uma máquina B, mas não sabe o endereço

físico de B, a máquina A envia um pacote chamado ARP request para várias máquinas

perguntando qual a máquina que tem determinado endereço lógico, como a mensagem é enviada

em broadcast, todas as outras máquinas receberão a mensagem, mas só uma vai reconhecer que a

pergunta é pra ela, e então ela responderá à máquina A, enviando seu endereço físico.

Acontece que se toda vez que um computador quisesse se comunicar com outro tivesse

que haver esse processo, ou seja, tivesse que mandar um pacote ARP request para receber uma

mensagem de volta com o endereço físico da máquina a qual ele quer falar, a rede ficaria muito

congestionada, por isso existe um Cache com os últimos endereços requeridos, é o chamado ARP

CACHE.

Muitos sistemas operacionais responsáveis pelo processo do protocolo ARP atualizam

seus caches quando recebem um ARP reply, que se trata de uma mensagem que o computador

solicitado envia para o computador solicitante com seu endereço físico. [WHI 02]

É através disso que acontece o Cache Poisoning. O atacante C, envia um pacote de ARP

reply para B dizendo que o IP de A aponta para o endereço MAC de C. Da mesma maneira envia

um pacote de ARP reply para A dizendo que o IP de B aponta para o endereço MAC de C. Como

o protocolo ARP não guarda os estados, os hosts A e B assumem que enviaram um pacote de

ARP request pedindo estas informações e assumem os pacotes como verdadeiros.

22

De agora em diante, todos os pacotes que forem trocados entre os hosts A e B

necessariamente passam por C. O host C só precisa se encarregar de reenviar os pacotes para os

devidos destinos, após capturá-los, que assim não será notado.[DUA 03]

Figura 9 - Ataque ARP Cache Poisoning

Esse atacante também pode atacar computadores da rede cabeada através de dispositivos

móveis, para isso basta que um AP faça a ligação da rede móvel com a rede guiada.

Figura 10 - Ataque ARP Cache Poisoning realizado em rede cabeada

23

3.3.6 Eavesdropping

Nesse ataque o atacante fica “escutando” o tráfego da rede, capturando e analisando os

dados para pegar informações valiosas ou suficientes para fazer um ataque de outro tipo. Os

programas que executam esta ação são conhecidos como sniffers.

Esse ataque não é novo e já acontecia em redes guiadas. A diferença é que nas redes

guiadas o atacante tem de ter domínio de ao menos uma máquina ligada fisicamente a rede para

fazer a captura dos dados, mas em redes sem fio ele não precisa nem estar associado a rede para

ficar “escutando” o tráfego.

3.3.7 Mac Spoofing

Esse ataque se deve ao fato de muitas empresas criarem uma lista de acesso dos

dispositivos que tem permissão de acesso a sua rede. Nessa lista se encontram os endereços MAC

dos dispositivos permitidos.

Entretanto os dispositivos sem fio, diferentemente dos guiados, permitem a troca do

endereço MAC, possibilitando assim que um atacante que descubra o endereço MAC de algum

cliente desta rede, altere o seu MAC e seja agora um cliente autorizado desta rede.

3.3.8 Roubo de identidade

Este ataque ocorre quando um atacante consegue obter informações necessárias para

poder se passar por um cliente válido da rede local móvel.

Estas informações podem ser conseguidas através de técnicas já descritas, ou através do

roubo de um dispositivo que faça parte desta WLAN.

Para diminuir este tipo de ataque, muitas WLANs fazem a filtragem por endereços MAC.

Com isso, mesmo que um atacante conheça o SSID da rede e saiba que a autenticação é aberta ele

não consegue se associar à WLAN. Então, para que o atacante possa usufruir dos serviços da rede

é necessário que ele obtenha um endereço MAC válido. [DUA 03]

24

3.4 Ferramentas

3.4.1 NetStumbler

É a ferramenta mais conhecida para detectar redes sem fio. Foi desenvolvida para

plataforma Windows e através dela é possível monitorar toda a rede, desde a qualidade do sinal

até por quantos dispositivos é formada a rede, sendo usada tanto por hackers quanto por gerentes

de redes.

Entre as suas funções estão monitoramento da potência do sinal, detecção de outras redes

sem fio que possam estar causando interferência, além de suporte a GPS.

Figura 11 – NetStumbler [STU 02]

Além da versão para PCs, este software possui uma versão para Pocket PC chamada de

MiniStumbler, a qual pode ser utilizada sem que desperte muita atenção e tem a mesma eficácia

do NetStumbler tradicional.

25

Figura 12 – MiniStumbler [STU 02]

Apesar de todas as inovações trazidas por estes programas, a base de sua concepção

também é a base de seu maior problema. Utilizando o método de sondagem ativa da rede, suas

primeiras versões enviavam informações que facilitavam a identificação destes softwares através

da análise do tráfego da rede.

3.4.2 Kismet

Desenvolvido com a filosofia opensource, este software além de incluir um grande

número de ferramentas e opções, roda em qualquer plataforma. Projetado como cliente e

servidor, pode ter vários servidores rodando a distância de um único cliente. Além de monitorar

uma gama muito grande de origens diferentes, pode armazenar os pacotes capturados em vários

formatos diferentes.

Além de funcionar como sniffer, este programa ainda gera dados relacionados à

localização aproximada do dispositivo monitorado, através de um GPS. Outro ponto favorável

em relação às outras ferramentas é que automaticamente salva todas as redes encontradas.

Algumas das informações que o Kismet consegue obter sobre o estado geral da sua área

de abrangência é:

• número de WLANs detectadas;

• número total de pacotes capturados por WLAN;

26

• ausência ou não de criptografia WEP;

• número de pacotes com o I.V. fraco;

• número de pacotes irreconhecíveis; e

• número de pacotes descartados.

Com relação a cada WLAN encontrada é possível saber:

• SSID;

• BSSID, que se trata do endereço MAC do Access Point;

• taxa máxima suportada pela rede;

• qual o tipo do dispositivo monitorado;

• qual o canal que a WLAN esta configurada;

• se suporta WEP;

• intervalo de envio de beacon frames;

• qual a melhor qualidade de sinal já recebida e a pior.

Figura 13 – Kismet [GKI 03]

27

Além disso mostra o total de pacotes capturados desta rede, descrevendo quantos são de

gerenciamento, quantos são de dados, quantos possuem criptografia e quantos são fracos.

Mais um ponto favorável ao Kismet é que este consegue relacionar os clientes das

WLANs, bem como os IPs de cada um dos dispositivos. Estes endereços IPs podem ser

descobertos através de requisições via ARP, via UDP e TCP. Além de fazer uso da sondagem

passiva, dificultando assim a sua detecção.

3.4.3 Wellenreiter

Ferramenta mais simples que as já comentadas. Uma das suas vantagens é a possibilidade

de se fazer um ataque de força bruta dos SSIDs. Neste, a maioria dos SSIDs padrões são enviados

em broadcast em pacotes de Probe Request forjados com endereços MAC de origem adulterados.

Assim, o Wellenreiter consegue manter o atacante oculto enquanto observa as respostas aos

Probes requests que havia feito.

Figura 14 – Wellenreiter [LMK 03]

28

3.4.4 Ethereal

Programa utilizado tanto por hackers quanto por profissionais de rede. Entre suas funções

está a análise do tráfego, o desenvolvimento de protocolos e também é utilizado para fins

acadêmicos.

Tem o seu código aberto e roda em multi-plataformas, incluindo Unix, Linux e Windows.

3.4.5 AirSnort

Ferramenta escrita para Linux, que necessita de kernel versão 2.2 ou 2.4 e uma placa

wireless que use o chipset Prism2. Apesar dos problemas encontrados para conseguir compilar a

ferramenta, o AirSnort é uma boa ferramenta para a quebra de chaves WEP. Após colocar a placa

wireless em modo promiscuo através de um shell script que vem junto com a ferramenta, inicia-

se o modo de captura de pacotes que serão analisados posteriormente. Durante a captura, o

AirSnort mostra o andamento do processo, incluindo o número de pacotes “interessantes”. Assim

que for capturado um número suficiente destes pacotes, pode-se iniciar o processo de quebra.

Figura 15 - AirSnort quebrando chave WEP de 64 bits [PS 04]

A figura acima mostra que foram preciso 1878 pacotes interessantes de um total de mais

de 2,5 milhões para quebrar uma chave WEP de 64 bits.

Figura 16 - AirSnort quebrando chave WEP de 128 bits [PS 04]

29

Já neste caso, para quebrar uma chave WEP de 128 bits foi necessário 4160 pacotes

interessantes de um total de 7360703 pacotes capturados.

3.4.6 WEPCrack

Outra ferramenta disponível na Internet é o WEPCrack. Ele é composto por 4 scripts

feitos em Perl que são usados para decodificar pacotes, identificar pacotes fracos e quebrar a

chave WEP.

Para usar o WEPCrack é necessário primeiro capturar o tráfego com um sniffer, pois ao

contrário de outros programas, por exemplo o AirSnot, o WEPCrack não captura pacotes. Neste

ponto o AirSnort leva vantagem sobre o WEPCrack, já que consegue capturar apenas os pacotes

necessários para a quebra de criptografia, enquanto no caso do WEPCrack é necessário capturar

todo o tráfego primeiro para que se possa alimentar os scripts Perl, o que consome grande espaço

de disco rapidamente. [MAR 02]

3.4.7 HostAP

HostAP é na realidade um módulo de kernel capaz de transformar um dispositivo

convencional da rede sem fio padrão em um Access Point.

Através das características deste módulo é possível, por exemplo, realizar um ataque de

associação maliciosa.

30

Capítulo 4

Soluções

Aqui serão descritas algumas soluções propostas pela literatura e que se tomadas em

conjunto poderão trazer uma maior segurança às redes sem fio. Através destas sugestões é

possível fazer um “nivelamento intelectual”, pois impedem que o atacante possuidor de nenhum

conhecimento, efetive ataques como a escuta, sem maiores dificuldades, que podem comprometer

seriamente a rede.

As sugestões são descritas a seguir:

• Mudança da senha padrão

A senha, quando mantida padrão, permite que um atacante observe e mude a configuração

de um Ponto de Acesso. A senha padrão do dispositivo, na maioria das vezes, por exemplo, é

“admin”.

• Desabilitação do broadcast de SSID

O broadcast de SSID consiste no envio constante de beacon frames, tornando a rede

imediatamente exposta a um intruso. Desabilitando esta função, os beacon frames continuam a

ser enviados, porém em um intervalo (configurável) maior de tempo, e sem conter o SSID. A

vantagem é que impede a conexão automática de clientes indesejáveis, que não conhecem o SSID

da rede. Em contraponto, o SSID pode ser obtido facilmente por qualquer analisador de tráfego

wireless. Porém a desabilitação do broadcast do SSID irá tornar mais trabalhosa a inserção de

novos equipamentos a rede em questão.

31

• Mudança do SSID padrão

Assim como não se quer difundir o SSID da rede, deve-se mudá-lo, ou senão a sugestão

acima não terá efeito algum. Isso porque os fabricantes costumam embarcar seus dispositivos

com um SSID próprio. Aconselha-se que o novo SSID seja colocado de forma a não expor a

empresa, sendo um nome genérico para facilitar a tarefa do administrador da rede de gerenciar

diversos dispositivos, mas não contendo informações do tipo “nome da empresa”.

• Habilitação de criptografia WEP

De todos os passos aqui citados, este com certeza é o mais importante (e infelizmente

pouco implementado). Para a comunicação entre cliente e ponto de acesso ter uma segurança

mínima, é necessário que se utilize a criptografia WEP de pelo menos 128 bits. Deste modo, o

atacante terá o trabalho de coletar muito tráfego da rede-vítima até poder quebrar a criptografia.

• Mudança do canal padrão

O canal diz respeito à freqüência utilizada pelo dispositivo dentro da faixa compatível.

Com isso, pode-se configurar uma rede sem fio para que todas as máquinas comuniquem em um

canal diferente do padrão (canal 6). Sozinha, a mudança de canal é completamente ineficiente;

em conjunto com as outras medidas de segurança, ela torna-se uma camada a mais na proteção

dos sistemas, dificultando a ação de programas que venham a realizar prospecções no canal

padrão.

• Estabelecimento de uma política de segurança

Ao lado do uso de criptografia WEP, a elaboração cuidadosa de uma política de segurança

é item de suma importância, não só em redes sem fio, mas em qualquer ambiente computacional.

Com o estabelecimento de tal política, faz-se o papel de conscientizador e limitador dos usuários,

e exige comportamentos quanto à forma de uso dos equipamentos. Como exemplo pode-se citar a

troca periódica das chaves WEP, para que um eventual atacante, ao quebrar uma chave

anteriormente capturada, já não possa mais utilizá-la.

• Separação das redes sem fio e cabeada

Para evitar que uma rede sem fio mal configurada estenda suas vulnerabilidades para a

rede cabeada, tornando ainda mais grave o comprometimento do sistema, é necessário separá-las,

32

por meio de um firewall. Isto é necessário para barrar os ataques aos servidores e computadores

da rede de produção, advindos do segmento wireless de uma rede mista, aumentando assim o

nível de segurança do sistema como um todo. [ACM 03]

• Utilização de IPSec e redes VPN

Uma possível solução para a comunicação em redes sem fio é a de utilizar segurança nas

camadas acima do enlace. Dentre estas soluções, a mais natural é a utilização do IPSec (ou outro

algoritmo robusto de criptografia) em conjunto com redes VPN (Virtual Private Network).

O protocolo IPSec possui como objetivo prover um meio de comunicação seguro fim-a-

fim em redes IP.

Este protocolo opera entre os níveis de rede e transporte, cifrando os dados do transporte,

e fornecendo o resultado ao nível de rede. Operando desta maneira não são necessárias alterações

no nível de rede (IP), permitindo que os dados sejam transportados (roteados) nas redes atuais. O

IPSec garante mecanismos para privacidade e autenticidade dos dados transportados.

As redes VPN são construídas através de dispositivos que possuem algoritmos como o

IPSec implementado. Um exemplo da utilização de redes VPN em um ambiente sem fio é

descrito na figura abaixo.

Figura 17 - Rede WLAN com VPN/IPSec [PW 03]

Para que a rede sem fio utilize VPN é necessário que todos os dispositivos sem fio (com

exceção do AP) suportem VPN, e que exista um equipamento na fronteira da rede interna que

faça a decifragem dos dados para a rede interna.

As informações dos níveis abaixo do nível de rede não são cifradas pelo IPSec. Isto

significa que um atacante pode obter informações do nível de enlace para obter acesso à rede sem

fios. Esta solução impede apenas que o atacante recupere os dados de uma comunicação (acima

33

do nível de rede) de forma legível. Também chama-se atenção ao impacto deste tipo de solução

no desempenho da rede e a necessidade de poder de processamento do roteador VPN de acordo

com o número de túneis criados. [PW 03]

Os conselhos acima podem parecer banais a primeira vista, porém, vale referenciar uma

pesquisa de campo feita pelo laboratório ACME [ACM 03], onde descobriu-se que cerca de 70%

das redes sem fio de empresas da cidade de São Paulo, em regiões economicamente importantes

para todo o país, não possuem criptografia alguma, comprometendo a confidencialidade dos

dados e a segurança e privacidade de seus negócios.

34

Capítulo 5

Conclusões

O surgimento das redes sem fio trouxe grandes facilidades para o mundo. Os dispositivos

ligados a uma rede desse tipo ficam livres, possuindo mobilidade, ao contrário das redes cabeadas

onde cada dispositivo tem que estar ligado à rede através de um meio físico.

Como também ocorrem nas redes cabeadas, WLANs também possuem falhas de

segurança, que ao serem atacadas podem ocasionar grandes prejuízos.

Em se tratando de rede sem fio, para efetuar um ataque o invasor não precisa estar

conectado fisicamente à rede, basta que ele esteja em qualquer ponto que tenha cobertura da rede

atacada.

Neste presente trabalho foram estudadas algumas formas de ataques a esse tipo de rede,

ferramentas utilizadas por hackers nas tentativas de invasões, programas que auxiliam a

segurança das redes e também foram vistas certas vulnerabilidades do protocolo IEEE 802.11. O

estudo dessas vulnerabilidades pediu um conhecimento de certos algoritmos, o que enriqueceu o

aprendizado durante a confecção do trabalho.

Como é sabido, não existe uma rede que seja 100% segura, e aqui não foi mostrado todas

as vulnerabilidades que podem ser encontradas, mesmo que fosse tentado fazer, isso não seria

possível, pois existem falhas que ainda não foram estudadas. E outras requerem um nível de

conhecimento muito grande, que somente um hacker que possua tal conhecimento no assunto

poderá dispará-lo.

35

As ferramentas mostradas podem ser encontradas na Internet com muita facilidade o que

aumenta muito o risco de um ataque. E mesmo sabendo desses riscos, muitas das falhas

mostradas são bem comuns em redes, mesmo àquelas que poderiam ser facilmente descartadas.

5.1 Trabalhos futuros

A partir da leitura deste trabalho podem ser iniciados muitos outros que venham a

acrescentar novos conhecimentos, assim aumentando esta pesquisa.

Um possível trabalho que pode vir a ser desenvolvido é a proposta de alternativas que

garantam uma maior segurança das redes, como a implementação de um novo padrão de

segurança das redes sem fio, que poderia ocorrer após um grande estudo dos métodos de

segurança suas vulnerabilidades e um bom conhecimento técnico para geração do novo padrão.

Existe também a possibilidade de implementar uma forma de detectar a localização

geográfica do invasor de rede sem fio, pois nesse caso o invasor não estaria ligado á rede por um

meio físico, e ele poderia estar em qualquer lugar que tiver cobertura da rede.

Enquanto as vulnerabilidades não são banidas, uma ferramenta que indicasse quando uma

rede está sendo invadida seria de grande utilidade. Essa ferramenta poderia dar o alerta da

invasão e ainda mostrar qual das falhas foi atacada.

Outro trabalho futuro seria a realização de testes com as ferramentas a fim de saber qual é

melhor para gerar um determinado ataque e qual a melhor para impedir o mesmo.

36

Referências Bibliográficas

[ACM 03] ACME! Computer Security Research. Dicas de Segurança. 2003. Disponível em http://www.acme.ibilce.unesp.br/. Acesso em 23 de março de 2003. [AIR 00] AIR DEFENSE White Paper, Wireless LAN Security – What Hackers Know That You Don’t.2000. Disponível em http://www.airdefense.net. Acesso em 10 de janeiro de 2004. [AAR 02] AARON. Warchalking. Disponível em www.blackbeltjones.com/warchalking. Acesso em 23 de março de 2004. [AS 02] ABRAS, GUSTAVO E. e SANCHES, JAYME C. G.. Wireless Lan. Trabalho de Conclusão de Curso, Coordenação do Curso de Redes e Sistemas Distribuídos, Pontifícia Universidade Católica do Paraná, Curitiba, 2002. [ASS 04] ASSUNÇÃO, MARCOS F. A.. Detonando Redes de Rádio. Disponível em www.invasão.com.br. Acesso em 23 de março de 2004. [DUA 03] DUARTE, LUIZ O.. Análise de vulnerabilidades e ataques inerentes a redes sem fio 802.11x. Trabalho de Conclusão de Curso, Departamento de Ciências de Computação e Estatística do Instituto de Biociências, Letras e Ciências Exatas (IBILCE), Universidade Estadual Paulista Júlio de Mesquita Filho, São José do Rio Preto, 2003. [FD 02] FLECK, B. e DIMOV, J.. Wireless Access Points and ARP Poisoning. Cigital, Inc., 2002. [GKI 03] SOLOVYEV, ANTON. Gkismet, a Gnome/Gtk perl based Kismet client, 2003. Disponível em gkismet.sourceforge.net/. Acesso em 23 de março de 2004. [HAS 01] HASENACK, ANDREAS C.. Segurança em Redes. Conectiva, 2001. Disponível em http://www.conectiva.com.br. Acesso em 10 de janeiro de 2004. [LMK 03] LAUER, MOSER, KEWITZ e MUENCH. Wellenreiter – WaveLAN Network. 2003. Disponível em www.wellenreiter.net/ screenshots.html. Acesso em 23 de março de 2004. [MAR 02] MARTINS. MARCELO. Protegendo Redes Wirelees 802.11b. Modulo Security. 2002. Disponível em www.planetarium.com.br/planetarium/ noticias/2003/3/1048024279/. Acesso em 23 de março de 2004. [NOB 02] NÓBREGA, MARCELO. Marcando a internet livre nas ruas da metrópole. 2002. Disponível em http://www.speeds.com.br/conteudo/info/info_260802.shtml. Acesso em 23 de março de 2004. [PIR 02] PIROPO, BENITO. Escritos no Estado de Minas. Jornal O Estado de Minas. 2002. Disponível em www.bpiropo.com.br/em20020822.htm. Acesso em 23 de março de 2004. [PS 04] PERES, ANDRÉ e SERAFIM, VINÍCIUS. Aspectos de Segurança em Redes Sem Fio IEEE 802.11. UNISINOS. 2004.

37

[PW 03] PERES, ANDRÉ e WEBER, RAUL F.. Consideração sobre Segurança em Redes sem Fio. Universidade Luterana do Brasil e Universidade Federal do Rio Grande do Sul. 2003. [RAY 02] RAYEL, FELIPE. Protocolo TCP/IP. Pontifícia Universidades Católica de Minas Gerais, Campus Poços de Caldas, 2002. Disponível em http://www.inf.pucpcaldas.br/~rayel/download/Trabalhos_Faculdade/Redes-TCPIP.doc. Acesso em 10 de janeiro de 2004. [SG] SOUSA, MARCELO S. e GOMES, ALEXANDRE. Redes sem Fio com Protocolo 802.11. [STU 02] STUMBLER NETWORK. Stumbler Screenshots, 2003 Disponível em http://home.pacbell.net/ mariusm/. Acesso em 23 de março de 2004. [TAN 97] TANEMBAUM, ANDREW S.. Redes de Computadores. Editora Campus,1997. [WAR 03] WARCHALKING BRAZIL. Funcionamento, quebrando criptografia WEP I, 2003. Disponível em http://www.warchalking.com.br/cgi-bin/base/tutoriais2.444?22. Acesso em 23 de março de 2004. [WHI 02] WHISKEYY. IP Smart Spoofing. InfoSecurity TaskForce.2002 Disponível em www.istf.com.br/html/2/4144.html. Acesso em 23 de março de 2004.

38

Anexo A

Algoritmo RC4

O RC4 ( Ron’s Cipher 4) foi criado por Ronald Rivest em 1987, e foi mantido em sigilo.

O algoritmo era propriedade da RSA Security. Em 1994, alguém enviou, anonimamente, para

uma lista de discussão da Internet, um algoritmo, afirmando que aquele era o RC4. Este fato foi

confirmado empiricamente, e o que era segredo industrial virou domínio público, da noite para o

dia. Felizmente, como um bom algoritmo criptográfico, o RC4 é seguro independente de seu

algoritmo ser público ou não.

O RC4 é, na verdade, uma maneira de se gerar bytes aleatórios, a partir de uma chave de

tamanho variável. Estes bytes serão usados para cifrar uma mensagem através da operação lógica

XOR. O destinatário executará o RC4 como o remetente, obtendo os mesmos bytes aleatórios,

podendo assim decifrar a mensagem.

A principal vantagem do RC4 é que ele é um algoritmo de fluxo.

O algoritmo de fluxo é chamado assim, pois concatena a string gerada com a mensagem

pura à medida que esta última é gerada.

A expansão da chave (KSA)

O RC4 recebe uma chave ch de nch bits, onde 1nch 2048. Tem-se que gerar um vetor S

de 256 bytes, a partir da chave:

S = (s0,s1,s2,...,s255)

Para tanto, utiliza-se o seguinte algoritmo:

1. Para i de 0 a 255 faz-se a. si :=i

2. Seja o vetor de 256 bytes (2048 bits) K = (k0, k1, ..., k255)

3. Copia-se a chave ch para K bit a bit , repetindo-a quantas vezes forem

necessárias para preencher K completamente. Por exemplo, se nch=100 copia-se a chave 20

vezes para K, e ainda se coloca os 48 primeiros bits de ch no fim de K para terminar de preenchê-

lo.

39

4. j:=0

5. Seja t um byte.

6. Para i de 0 a 255 faz-se:

a. j:=(j+si+ki)mod256

b. t:=si

c. si :=sj

d. sj :=t

Pode-se perceber que S é, de fato, uma permuta dos números de 0 a 255 determinada pela

chave.

O algoritmo do RC4 (PRGA)

Para gerar os bytes aleatórios tem-se o seguinte algoritmo:

1. i:=0

2. j:=0

3. Seja t um byte

4. Enquanto foram necessários bytes b aleatórios faz-se:

a. i:=(i+1)mod 256

b. j:=(j+si)mod 256

c. t:=si

d. si :=sj

e. sj:=t

f . t :=(si + sj)mod 256

g. b:=st

h. o byte aleatório será o b

Note que o vetor S muda à medida que se vão gerando bytes aleatórios. Isto contribui para

a força do algoritmo. [WAR 03]

40

Anexo B

CRC32

Outra grande fraqueza do WEP é o seu algoritmo de garantia da integridade (ICV -

integrity check value), que é o CRC32.

O CRC32 é linear, isto é, c(x x y)=c(x) x c(y) para qualquer valor de x e y. Essa

propriedade serve para qualquer tipo de algoritmo CRC.

Uma conseqüência dessa propriedade é a possibilidade de se fazer modificações

controladas no pacote, sem que sejam detectadas por qualquer um dos dispositivos transmissores

ou receptores. Veremos que é possível alterar o conteúdo dos pacotes apenas com o

conhecimento da string de valores pseudo-aleatórios. Vamos lembrar como é formado o texto

criptografado C, que corresponde ao texto legível P.

C = RC4(IV,K)x[M,c(M)]

Vamos imaginar um outro texto cifrado, C’, que seja a imagem da cifragem de um outro

texto legível , M’, onde M’= M x D, onde D é a alteração controlada que se deseja fazer. Veja só

o desenvolvimento da fórmula a seguir:

Figura 18 - CRC32 [WAR 03]

Ou seja, pode-se interceptar o pacote, fazer a alteração, corrigir o ICV, e a alteração não

será detectada, pois o sistema de manutenção de integridade foi perfeitamente burlado.

Pode-se inserir e remover pacotes, usando essa propriedade da linearidade do CRC e

usando o fato de que esse algoritmo possui chave, ou seja, não há proteção contra alteração do

valor do ICV.[WAR 03]