Seminários WebcastsSeminários WebcastsInstalação, Segurança e Instalação, Segurança e Manutenção de Redes Manutenção de Redes WirelessWireless

Marcos SantosMarcos Santos

marcoss@microsoft.commarcoss@microsoft.com

Microsoft PortugalMicrosoft Portugal

AgendaAgenda

Introdução Seminários WebcastsIntrodução Seminários WebcastsTema 6ª SessãoTema 6ª Sessão

Implementar o acesso seguro ao correio Implementar o acesso seguro ao correio electrónico e à rede da organizaçãoelectrónico e à rede da organização

Perguntas e RespostasPerguntas e RespostasConclusãoConclusão

Ciclo de SemináriosCiclo de Seminários

Objectivo: proporcionar aos Objectivo: proporcionar aos responsáveis que trabalham com responsáveis que trabalham com sistemas de informação sessões sistemas de informação sessões técnicas com bons oradores e com técnicas com bons oradores e com bom conteúdobom conteúdo

Vantagens deste formato:Vantagens deste formato:Interactividade com o oradorInteractividade com o orador

Poupança de custos (deslocação, Poupança de custos (deslocação, tempo)tempo)

Possibilidade de assistir ao evento à Possibilidade de assistir ao evento à posteriori posteriori

TemasTemasSegurança Servidores Windows – Segurança Servidores Windows – já disponíveljá disponível

Implementar Segurança num servidor de correio Implementar Segurança num servidor de correio electrónico – electrónico – já disponíveljá disponível

Combater o Spam e os Vírus num sistema de Combater o Spam e os Vírus num sistema de correio electrónico correio electrónico – – já disponíveljá disponível

Implementar o acesso seguro ao correio Implementar o acesso seguro ao correio electrónico e à rede da organização – electrónico e à rede da organização – já já disponíveldisponível

Instalação, Segurança e Manutenção de Redes Instalação, Segurança e Manutenção de Redes Wireless Wireless

Como proteger os dados e a informação da sua Como proteger os dados e a informação da sua organizaçãoorganização

As vossas sugestões são As vossas sugestões são importantes…importantes…

LogísticaLogística

Utilização do Live MeetingUtilização do Live MeetingProblemas com Live Meeting enviar Problemas com Live Meeting enviar mail para wcport@microsoft.commail para wcport@microsoft.com

Como fazer perguntas aos oradores?Como fazer perguntas aos oradores?Janela do lado direito no fundoJanela do lado direito no fundo

As perguntas serão respondidas no final As perguntas serão respondidas no final de cada apresentação por ordemde cada apresentação por ordem

RecursosRecursos

Site de Segurança: Site de Segurança: http://www.microsoft.com/portugal/segurahttp://www.microsoft.com/portugal/segurancanca

Assessment de Segurança: Assessment de Segurança: http://www.securityguidance.comhttp://www.securityguidance.com

Boletins de Segurança: Boletins de Segurança: http://www.microsoft.com/technet/security/bulletin/notify.mhttp://www.microsoft.com/technet/security/bulletin/notify.mspxspx

Instalação, Segurança e Instalação, Segurança e Manutenção de Redes Manutenção de Redes WirelessWireless

Nuno CarvalhoNuno Carvalho

Nuno.carvalho@knowledgeinsideNuno.carvalho@knowledgeinside.pt.pt

AgendaAgenda

Soluções WirelessSoluções WirelessSegurança em Redes Wireless Segurança em Redes Wireless Implementação de uma Rede Implementação de uma Rede Wireless utilizando 801.X Wireless utilizando 801.X Password Password AuthenticationAuthenticationResolução de problemas típicosResolução de problemas típicos

Soluções WirelessSoluções Wireless

Wireless StandardsWireless StandardsStandardStandard DescriptionDescription

802.11802.11 Especificação que define os conceitos base Especificação que define os conceitos base para as redes sem fiospara as redes sem fios

802.11a802.11a Velocidade de transmissão até 54 megabits Velocidade de transmissão até 54 megabits (Mbps) por segundo(Mbps) por segundo

802.11b802.11b11 Mbps11 Mbps

Bom alcance mas susceptível a interferênciasBom alcance mas susceptível a interferências

802.11g802.11g54 Mbps 54 Mbps

Menos alcance que o 802.11bMenos alcance que o 802.11b

802.11i802.11i Standard para autenticação e encriptação em Standard para autenticação e encriptação em redes wirelessredes wireless

802.1X - Standard que define um mecanismo de autenticação baseado em acesso por porta e como opção a gestão das chaves usadas para encriptar a informação802.1X - Standard que define um mecanismo de autenticação baseado em acesso por porta e como opção a gestão das chaves usadas para encriptar a informação

O DesafioO Desafio

Numa rede “Numa rede “sem fios”sem fios” não existe o não existe o conceito de rede privada, qualquer conceito de rede privada, qualquer individuo com equipamento wireless individuo com equipamento wireless pode ligar-se desde que tenha pode ligar-se desde que tenha “sinal”“sinal”

ConsideraçõesConsiderações

Controlar quem pode acederControlar quem pode aceder

Controlar Access Points inválidosControlar Access Points inválidos

Garantir que todo o tráfego está Garantir que todo o tráfego está protegidoprotegido

Que a informação não é alteradaQue a informação não é alterada

Gestão dos Acess PointsGestão dos Acess Points

AmeaçasAmeaças

Divulgação de informação confidencial

Acesso desautorizado a dados

Personificação de um cliente autorizado

Interrupção de serviço

Acesso desautorizado à Internet

Acessos wireless domésticos inseguros

Implementações de Access Points não autorizados

Ataques mais comunsAtaques mais comuns

Passive attacksPassive attacks

Discovering Discovering

Active Attacks Active Attacks

Man-in-the-Middle Attacks Man-in-the-Middle Attacks

Jamming Attacks Jamming Attacks

Segurança em redes WirelessSegurança em redes Wireless

Opções de ImplementaçãoOpções de Implementação

IEEE 802.11 (Wi-Fi)IEEE 802.11 (Wi-Fi)Wired Equivalent Privacy (WEP)Wired Equivalent Privacy (WEP)Wi-Fi Protected Access (WPA)Wi-Fi Protected Access (WPA)WPA EnterpriseWPA Enterprise

IEEE 802.11iIEEE 802.11iWPA 2 WPA 2 WPA 2 EnterpriseWPA 2 Enterprise

802.1X com802.1X comWEPWEPWPA EnterpriseWPA EnterpriseWPA 2 EnterpriseWPA 2 Enterprise

Outras Medidas (dissuasão)Outras Medidas (dissuasão)Mac filteringMac filteringDisable SSID BroadcastDisable SSID Broadcast

RecomendaçõesRecomendaçõesWireless Network Wireless Network

SolutionSolutionTypicalTypicalEnvironmentEnvironment

Additional Additional Infrastructure Infrastructure Components Components RequiredRequired

Certificates Used Certificates Used for Client for Client AuthenticationAuthentication

Passwords UsedPasswords Usedfor Client for Client AuthenticationAuthentication

Typical Data Typical Data Encryption Encryption MethodMethod

Wi-Fi Protected Wi-Fi Protected Access with Pre-Access with Pre-Shared Keys Shared Keys (WPA-PSK) (WPA-PSK)

Small Small Office/Home Office/Home Office (SOHO)Office (SOHO)

NoneNone NONO

YES YES

Uses WPA Uses WPA preshared key to preshared key to authenticate to authenticate to networknetwork

WPAWPA

Password-based Password-based wireless network wireless network securitysecurity

Small to Small to medium medium organizationorganization

Internet Internet Authentication Authentication Service (IAS)Service (IAS)

Certificate Certificate required for required for the IAS serverthe IAS server

NO NO

However, a However, a certificate is certificate is issued to issued to validate the IAS validate the IAS serverserver

YESYES WPA or WPA or Dynamic WEPDynamic WEP

Certificate-based Certificate-based wireless network wireless network securitysecurity

Medium to Medium to large large organizationorganization

Internet Internet AuthenticationAuthentication Service (IAS)Service (IAS)

CertificateCertificate Services Services

YESYES

NO NO

Certificates used Certificates used but may be but may be modified to modified to require require passwordspasswords

WPA or WPA or Dynamic WEPDynamic WEP

As configurações típicas As configurações típicas

Sem qualquer tipo de segurança: Sem qualquer tipo de segurança: 58,67%58,67%

Default SSID:Default SSID: 3,75% 3,75%

Com algum tipo de encriptação: Com algum tipo de encriptação: 41,33%41,33%

In Security in Wireless Networks by Panda SoftwareIn Security in Wireless Networks by Panda Software

As configurações típicasAs configurações típicas

Quando existe segurança Quando existe segurança predomina:predomina:

MAC filteringMAC filtering

WEP ou WPA-PSKWEP ou WPA-PSK

SSID broadcast disabledSSID broadcast disabled

Nuno CarvalhoNuno CarvalhoKnowledge InsideKnowledge Inside

Hacking o “típico”Hacking o “típico”

Servidor ADSL RouterWireless Access Point

LAN

Internet

Wireless Notebooks

WLAN

Atenção !Atenção !

Utilizar um protocolo de Utilizar um protocolo de segurança segurança inseguroinseguro como o como o WEPWEP, é de longe , é de longe muito melhormuito melhor que que NÃONÃO utilizar segurança utilizar segurança nenhuma !! nenhuma !!

Implementação de uma rede wireless Implementação de uma rede wireless utilizando utilizando Password AuthenticationPassword Authentication

802.1X Definição802.1X Definição

IEEE standard para controlo de IEEE standard para controlo de acessos e autenticação “port-based”acessos e autenticação “port-based”

Baseado em EAP (extensible Baseado em EAP (extensible authentication protocol)authentication protocol)

Suporta EAP-TLS e PEAP entre outrosSuporta EAP-TLS e PEAP entre outros

Acesso só é concedido a utilizadores Acesso só é concedido a utilizadores autorizadosautorizados

802.1X O que resolve ?802.1X O que resolve ?

Perigo de “rogue AP’s” – Mutual Perigo de “rogue AP’s” – Mutual authenticationauthentication

Identificação e autorização por Identificação e autorização por utilizadorutilizador

Gestão centralizadaGestão centralizada

Elimina o problema de chaves WEP e Elimina o problema de chaves WEP e WPA fracasWPA fracas

Gestão de chaves de encriptaçãoGestão de chaves de encriptação

802.1X Componentes802.1X Componentes

ComponentesComponentes ExplicaçãoExplicação

Wireless ClientWireless ClientRequere uma placa WLAN que suporte 802.1X e Requere uma placa WLAN que suporte 802.1X e dynamic WEP ou WPAdynamic WEP ou WPA

Contas de utilizador e computador criadas no dominioContas de utilizador e computador criadas no dominio

Wireless Wireless Access PointAccess Point

Suporte para 802.1X e dynamic WEP or WPASuporte para 802.1X e dynamic WEP or WPA

O wireless access point e o servidor RADIUS partilham O wireless access point e o servidor RADIUS partilham uma “shared secret” para verificar e proteger as uma “shared secret” para verificar e proteger as mensagens RADIUSmensagens RADIUS

RADIUS/IAS RADIUS/IAS ServerServer

Utiliza a Active Directory para verificar as credenciais Utiliza a Active Directory para verificar as credenciais dos clientesdos clientes

Autoriza o acesso conforme o definido nas “access Autoriza o acesso conforme o definido nas “access policy”policy”

Pode recolher informação de “accounting e audit”Pode recolher informação de “accounting e audit”

Certificado para autenticação do servidorCertificado para autenticação do servidor

802.1X Como funciona?802.1X Como funciona?Wireless Client RADIUS (IAS)

11Client

Connect

Wireless Access Point

22 ClientAuthentication

ServerAuthentication

Mutual Key Determination

44

55

33 Key Distribution

AuthorizationWLAN Encryption

Internal Network

802.1X Serviços num ambiente 802.1X Serviços num ambiente PEAPPEAP

Branch OfficeBranch Office

HeadquartersHeadquarters

WLAN Clients

Domain Controller (DC)RADIUS (IAS)Certification Authority (CA)DHCP Services (DHCP)DNS Services (DNS)

DHCP

IAS/DNS/DC

LAN

LAN

AccessPoints

IAS/CA/DC

IAS/DNS/DC

Primary

Secondary

Primary

Secondary

WLAN Clients

AccessPoints

802.1X Requisitos802.1X Requisitos

Access point com suporte para Access point com suporte para 802.1x802.1x

Placa wireless com suporte para Placa wireless com suporte para 802.1x802.1x

Sistema operativo cliente com Sistema operativo cliente com suporte para 802.1x (Windows 2000 suporte para 802.1x (Windows 2000 SP3, Windows XP,…)SP3, Windows XP,…)

Servidor RADIUS (pode ser servidor Servidor RADIUS (pode ser servidor existente)existente)

IAS – Internet authentication service IAS – Internet authentication service vem incluído no Windows server 2000 / vem incluído no Windows server 2000 / 2003 2003 Certificado digital no servidor RADIUSCertificado digital no servidor RADIUS

Nuno CarvalhoNuno CarvalhoKnowledge InsideKnowledge Inside

Configuração de uma rede Configuração de uma rede Wireless com PEAPWireless com PEAP

Resolução de problemas típicosResolução de problemas típicos

Tipo de problemaTipo de problema

Problemas de ligaçãoProblemas de ligação

Problemas de performanceProblemas de performance

Problemas de autenticação utilizadorProblemas de autenticação utilizador

Problemas de autenticação da Problemas de autenticação da máquinamáquina

Problemas de ligaçãoProblemas de ligação

Verificar conta de utilizador/máquinaVerificar conta de utilizador/máquina Verificar máquina clienteVerificar máquina cliente Verificar configuração da APVerificar configuração da AP Verificar Active Directory e Network Verificar Active Directory e Network

ServicesServices Verificar servidores IASVerificar servidores IAS Verificar Certificate AuthorityVerificar Certificate Authority

Problemas de Problemas de performanceperformance Performance monitor (IAS)Performance monitor (IAS) Verificar se os AP’s estão Verificar se os AP’s estão

configurados para utilizar o IAS mais configurados para utilizar o IAS mais próximopróximo

Reavaliar o posicionamento dos AP’sReavaliar o posicionamento dos AP’s A re-autenticação pode demorar até A re-autenticação pode demorar até

60s 60s

Problemas de Problemas de autenticaçãoautenticação Problemas no IASProblemas no IAS Conta incorrecta, desactivada ou Conta incorrecta, desactivada ou

trancadatrancada Conta não pertence ao grupo dos Conta não pertence ao grupo dos

utilizadores com acessoutilizadores com acesso Remote access está configurado Remote access está configurado

com “deny” com “deny”

ConclusãoConclusão

Não é complexo criar uma rede wireless Não é complexo criar uma rede wireless segurasegura

WEP é melhor que nada (mas é muito WEP é melhor que nada (mas é muito pouco)pouco)

Redes empresariais : Redes empresariais : 802.1x com WPA e EAP-TLS ou PEAP802.1x com WPA e EAP-TLS ou PEAP

802.1x com WPA2 e EAP-TLS ou PEAP802.1x com WPA2 e EAP-TLS ou PEAP

802.1x com WEP e EAP-TLS ou PEAP 802.1x com WEP e EAP-TLS ou PEAP Só se não houver suporte para WPASó se não houver suporte para WPA

Configurar “key lifetime” para período muito curtoConfigurar “key lifetime” para período muito curto

Redes Domésticas:Redes Domésticas:WPA-PSK com uma chave complexaWPA-PSK com uma chave complexa

Utilizar os scripts disponibilizados pela Utilizar os scripts disponibilizados pela solução PEAP and Passwordssolução PEAP and Passwords

Perguntas e Respostas?Perguntas e Respostas?

RecursosRecursos

Microsoft Wireless Networking Web site Microsoft Wireless Networking Web site http://www.microsoft.com/wifiWindows XP Wireless Deployment Technology and Component Windows XP Wireless Deployment Technology and Component Overview Overview http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/wificomp.mspx Enterprise Deployment of Secure 802.11 Networks Using Microsoft Enterprise Deployment of Secure 802.11 Networks Using Microsoft Windows Windows http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/ed8021http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/ed80211.mspx1.mspxConfiguring Windows XP IEEE 802.11 Wireless Networks for the Home Configuring Windows XP IEEE 802.11 Wireless Networks for the Home and Small Business and Small Business http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/wifishttp://www.microsoft.com/technet/prodtechnol/winxppro/maintain/wifisoho.mspxoho.mspxWEP: Dead Again, Part 1WEP: Dead Again, Part 1http://www.securityfocus.com/infocus/1814http://www.securityfocus.com/infocus/1814

Próximas SessõesPróximas Sessões12 Julho12 Julho - Instalação, Segurança e - Instalação, Segurança e Manutenção de Redes WirelessManutenção de Redes Wireless

http://www.microsoft.com/portugal/webcasts/http://www.microsoft.com/portugal/webcasts/

Recursos ÚteisRecursos ÚteisRecursos para Comunidades Recursos para Comunidades MicrosoftMicrosofthttp://www.microsoft.com/portugal/technet/comunidadeshttp://www.microsoft.com/portugal/technet/comunidades

Subscrições TechNetSubscrições TechNethttp://www.microsoft.com/portugal/technet/subshttp://www.microsoft.com/portugal/technet/subscricoescricoes

CertificaçõesCertificaçõeshttp://www.microsoft.com/portugal/technet/http://www.microsoft.com/portugal/technet/certificacoescertificacoes

IT’s Showtime WebcastsIT’s Showtime Webcastshttp://www.microsoft.com/portugal/technet/itshohttp://www.microsoft.com/portugal/technet/itshowtimewtime

© 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only.MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.