A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Rede Nacional de Ensino e Pesquisa - RNP Centro de Atendimento a Incidentes de Segurança - CAIS Novembro de 2006 © 2006 – CAIS/RNP Seguranca Essencial.

Apresentações semelhantes


Apresentação em tema: "Rede Nacional de Ensino e Pesquisa - RNP Centro de Atendimento a Incidentes de Segurança - CAIS Novembro de 2006 © 2006 – CAIS/RNP Seguranca Essencial."— Transcrição da apresentação:

1 Rede Nacional de Ensino e Pesquisa - RNP Centro de Atendimento a Incidentes de Segurança - CAIS Novembro de 2006 © 2006 – CAIS/RNP Seguranca Essencial em Redes Wireless Guilherme Vênere Ronaldo Vasconcellos

2 Rede Nacional de Ensino e Pesquisa Promovendo o uso inovador de redes avançadas no Brasil Segurança Essencial em Redes Wireless 2 Copyright © 2006 CAIS/RNP - Centro de Atendimento a Incidentes de Segurança da Rede Nacional de Ensino e Pesquisa. Todos os direitos reservados.

3 Rede Nacional de Ensino e Pesquisa Promovendo o uso inovador de redes avançadas no Brasil Segurança Essencial em Redes Wireless 3 Introdução Segurança no cliente Wi-Fi Configurando uma rede segura Conclusões Sumário

4 Rede Nacional de Ensino e Pesquisa Promovendo o uso inovador de redes avançadas no Brasil Segurança Essencial em Redes Wireless 4 Alguns conceitos-chave Wi-Fi – certificação de interoperabilidade da Wi-Fi Alliance (www.wifi.org). Na prática: a, b ou g, padrões IEEE para hardware. Wireless Access Point – mais conhecido como AP ou WAP, é o elemento da rede Wi-Fi que fornece conectividade de rede a clientes. Hotspot – redes Wi-Fi públicas, com controle de acesso ou não. Exemplos: Vex, T-Mobile (EUA). Piggybacker – pessoa que usa uma rede Wi-Fi mal configurada indiscriminadamente SSID – conjunto de caracteres que identifica uma rede Wi-Fi Introdução

5 Rede Nacional de Ensino e Pesquisa Promovendo o uso inovador de redes avançadas no Brasil Segurança Essencial em Redes Wireless 5 Por que Segurança Essencial? Para Clientes – mínimo que deve ser feito em um notebook ou desktop com Wi-Fi antes de conectá-lo a uma rede sem fio. Para a configuração de equipamentos Wi-Fi Segurança suficiente para garantir confidencialidade e evitar o acesso não autorizado Não é o máximo em segurança, mas é mais do que suficiente para cenários de uso com poucos usuários Uso doméstico e em pequenas organizações Introdução (2)

6 Rede Nacional de Ensino e Pesquisa Promovendo o uso inovador de redes avançadas no Brasil Segurança Essencial em Redes Wireless 6 Cedo ou tarde você irá usar Wi-Fi Notebooks cada vez mais populares no Brasil, interface é padrão. Você confia no AP de sua organização ou no que configurou em casa, mas o que fazer em um hotspot ou mesmo avião? A quais riscos meu notebook está exposto? Não aperte o botão antes de ouvir o que temos a dizer. Segurança no cliente Wi-Fi

7 Rede Nacional de Ensino e Pesquisa Promovendo o uso inovador de redes avançadas no Brasil Segurança Essencial em Redes Wireless 7 Uma vez conectado a um AP o cliente está exposto aos mesmos problemas de uma estação em rede cabeada Worms, bots, cavalos de tróia, acesso não autorizado, sotware malicioso, etc Preciso instalar algum software? Firewall Pessoal (essencial conhecer seu funcionamento básico) Anti-Vírus Anti-Spyware Segurança no cliente Wi-Fi (2)

8 Rede Nacional de Ensino e Pesquisa Promovendo o uso inovador de redes avançadas no Brasil Segurança Essencial em Redes Wireless 8 Algumas tarefas de rotina Mantenha seu Sistema Operacional atualizado, seja Linux ou Windows – atenção aos boletins de segurança do CAIS na Patch Tuesday Mantenha o driver de sua interface Wi-Fi atualizado Alguns fabricantes oferecem cadastro do equipamento para avisar quando isto acontece Por que devo me preocupar com isto? Segurança no cliente Wi-Fi (3)

9 Rede Nacional de Ensino e Pesquisa Promovendo o uso inovador de redes avançadas no Brasil Segurança Essencial em Redes Wireless 9 Hoje a atenção dos crackers se voltou para os clientes Wi-Fi, está cada vez mais difícil atacar o AP. Últimas edições das mais importantes conferências hacker do mundo abordaram ataques a clientes Ferramentas que atacam o driver da interface Wi-Fi Firewall pessoal não pode fazer nada contra isto O que é possível fazer para se prevenir? desativar a interface Wi-Fi quando não estiver em uso, especialmente em ambientes com grande concentração de usuários (aeroportos, avião). manter drivers atualizados Segurança no cliente Wi-Fi (4)

10 Rede Nacional de Ensino e Pesquisa Promovendo o uso inovador de redes avançadas no Brasil Segurança Essencial em Redes Wireless 10 Outro ataques a clientes Ferramentas para forjar um AP (SSID, canal, etc) Ferramentas para forçar a desconexão de um cliente ataque DoS (Denial of Service) por tráfego de desassociação/desautenticação forjado Ferramentas que trocam o conteúdo do tráfego substitui imagens de site que você visita por outras ofensivas, por exemplo. Captura do tráfego para obter dados confidenciais em aplicativos como MSN, Google Talk, IRC, Web Redes abertas, WEP e WPA depois de quebra da chave Segurança no cliente Wi-Fi (5)

11 Rede Nacional de Ensino e Pesquisa Promovendo o uso inovador de redes avançadas no Brasil Segurança Essencial em Redes Wireless 11 O que mais posso fazer para me proteger? Qualquer rede pode ser forjada, em especial abertas, com WEP ou WPA Personal quando a chave é conhecida. Tenha isto sempre em mente. Ataques DoS não podem ser evitados com os padrões de hoje, apenas mitigados. Pense positivo e torça que o AP usado na rede seja capaz de mitigar estes ataques (não é um recurso comum). Segurança no cliente Wi-Fi (6)

12 Rede Nacional de Ensino e Pesquisa Promovendo o uso inovador de redes avançadas no Brasil Segurança Essencial em Redes Wireless 12 O que mais posso fazer para me proteger? (2) Sempre use protocolos e mecanismos de segurança para proteger seu tráfego (SSL, VPN, SSH, etc) O assistente de configuração Wi-Fi do Windows Vista, hoje em versão RC2, já conta com a opção de VPN. Desabilite sempre que possível o compartilhamento de arquivos no Windows, bem como outros serviços de acesso remoto. Quanto mais serviços seu notebook oferece maior o número de portas de entrada e o risco de vulnerabilidades. Segurança no cliente Wi-Fi (7)

13 Rede Nacional de Ensino e Pesquisa Promovendo o uso inovador de redes avançadas no Brasil Segurança Essencial em Redes Wireless 13 O que mais posso fazer para me proteger? (3) Use redes a quando disponíveis. A grande maioria dos atacantes tem apenas interfaces b/g, padrões incompatíveis entre si e que impedem ataques e captura de tráfego. (Segurança por Obscuridade). Configure seu cliente Windows de forma que ele se associe apenas a redes Wi-Fi Infra-estrutura, ou seja, um AP. Há ataques que tiram proveito do modo como o Windows trata conexões Ad-Hoc, normalmente usadas para conectar clientes entre si. Segurança no cliente Wi-Fi (8)

14 Rede Nacional de Ensino e Pesquisa Promovendo o uso inovador de redes avançadas no Brasil Segurança Essencial em Redes Wireless 14 Segurança no cliente Wi-Fi (9)

15 Rede Nacional de Ensino e Pesquisa Promovendo o uso inovador de redes avançadas no Brasil Segurança Essencial em Redes Wireless 15 Redes sem fio já são seguras, mas precisam de clientes seguros como já vimos. Diferente do mundo selvagem em que os clientes Wi- Fi vivem um AP precisa ser apenas bem configurado e mantido com seu firmware atualizado. Há vulnerabilidades no firmware (software que gerencia o AP), que permitem acesso não autorizado, por exemplo. Configurando uma rede segura

16 Rede Nacional de Ensino e Pesquisa Promovendo o uso inovador de redes avançadas no Brasil Segurança Essencial em Redes Wireless 16 Principal configuração: mecanismo de segurança Use pelo menos WPA Personal (Wi-Fi Protected Access), com AES ou TKIP, se possível WPA2. Redes sem fio ficaram famosas por ser inseguras pelos problemas de WEP (Wired Equivalent Privacy), todos sanados com a introdução de WPA. Escolha uma chave forte, tão bem selecionada como uma senha. É possível descobrir a chave de uma rede WPA-TKIP por ataque de dicionário. WEP em último caso ou quando o equipamento não oferece suporte. Este mecanismo de segurança foi comprometido de diversas formas. Configurando uma rede segura (2)

17 Rede Nacional de Ensino e Pesquisa Promovendo o uso inovador de redes avançadas no Brasil Segurança Essencial em Redes Wireless 17 Configurando uma rede segura (3)

18 Rede Nacional de Ensino e Pesquisa Promovendo o uso inovador de redes avançadas no Brasil Segurança Essencial em Redes Wireless 18 Outras configurações para apoiar WPA Desabilitar broadcast do SSID Na prática consiste em transmitir pacotes beacon com o nome da rede vazio Filtro por endereço MAC Reduzir a potência de transmissão, quando possível Registrar log da atividade do AP, quando o recurso for disponível. Configurando uma rede segura (4)

19 Rede Nacional de Ensino e Pesquisa Promovendo o uso inovador de redes avançadas no Brasil Segurança Essencial em Redes Wireless 19 Troque o SSID, o nome da rede. SSID padrão é indicador de um AP possivelmente mal configurado para um atacante. Dê nomes neutros para sua rede. Evite nome da empresa, nome do dono, número do apartamento e outros nomes que carregam informações e possam atrair a atenção de atacantes. Troque a senha de administração Todo AP é configurado de fábrica com um par SSID/senha padrão. Altere a senha imediatamente após ligar o dispositivo. Exemplo: linksys/admin Configurando uma rede segura (5)

20 Rede Nacional de Ensino e Pesquisa Promovendo o uso inovador de redes avançadas no Brasil Segurança Essencial em Redes Wireless 20 Configurando uma rede segura (6)

21 Rede Nacional de Ensino e Pesquisa Promovendo o uso inovador de redes avançadas no Brasil Segurança Essencial em Redes Wireless 21 Configure acesso à interface administrativa somente por HTTP com TLS/SSL Tráfego cifrado entre cliente Wi-Fi usado para administrar o AP Desabilitar acesso à interface administrativa a partir da WAN Normalmente a WAN é a ligação entre o AP e a Internet Um AP mal configurado com acesso pela Internet é uma porta de entrada para sua rede Configurando uma rede segura (7)

22 Rede Nacional de Ensino e Pesquisa Promovendo o uso inovador de redes avançadas no Brasil Segurança Essencial em Redes Wireless 22 AP Isolation Quando habilitado impede a comunicação entre clientes Impede a propagação de worms entre clientes, entre outras atividades maliciosas. Implementado pela criação de uma VLAN (Virtual LAN) para cada cliente associado Pode também ser implementado por filtro entre VLANs, tráfego com origem em um cliente da WLAN pode ter como destino apenas a Internet Configurando uma rede segura (8)

23 Rede Nacional de Ensino e Pesquisa Promovendo o uso inovador de redes avançadas no Brasil Segurança Essencial em Redes Wireless 23 Configurando uma rede segura (9)

24 Rede Nacional de Ensino e Pesquisa Promovendo o uso inovador de redes avançadas no Brasil Segurança Essencial em Redes Wireless 24 Redes Wi-Fi já contam com uma segurança respeitável, clientes se tornaram um alvo mais fácil de ataques. É bem provável que a oferta de ferramentas e técnicas de exploração de vulnerabilidades em drivers de interfaces Wi-Fi aumente. Conclusões

25 Rede Nacional de Ensino e Pesquisa Promovendo o uso inovador de redes avançadas no Brasil Segurança Essencial em Redes Wireless 25 Informações de Contato Centro de Atendimento a Incidentes de Segurança – CAIS Guilherme Vênere Ronaldo Vasconcellos

26 Rede Nacional de Ensino e Pesquisa Promovendo o uso inovador de redes avançadas no Brasil Segurança Essencial em Redes Wireless 26 Incidentes de segurança envolvendo redes conectadas ao backbone da RNP podem ser encaminhadas ao CAIS através de: 1. Para envio de informações criptografadas, recomenda-se o uso da chave PGP pública do CAIS, disponível em: 2.Web: Através do Formulário para Notificação de Incidentes de Segurança, disponível em: INOC-DBA Para entrar em contato com o CAIS através da hotline INOC-DBA (Inter-NOC Dial-By-ASN): INOC-DBA: 1916*800 Atendimento Emergencial Contatos emergenciais fora do horário comercial (09:00-18:00) devem ser feitos através do telefone: (61) Alertas do CAIS O CAIS mantém a lista Assinatura aberta à comunidade atuante na área. Inscrições através do formulário disponível em: Contato com o CAIS: Notificação de Incidentes


Carregar ppt "Rede Nacional de Ensino e Pesquisa - RNP Centro de Atendimento a Incidentes de Segurança - CAIS Novembro de 2006 © 2006 – CAIS/RNP Seguranca Essencial."

Apresentações semelhantes


Anúncios Google