Seguranca Essencial em Redes Wireless Rede Nacional de Ensino e Pesquisa - RNP Centro de Atendimento a Incidentes de Segurança - CAIS Novembro de 2006 Seguranca Essencial em Redes Wireless Guilherme Vênere Ronaldo Vasconcellos © 2006 – CAIS/RNP
Copyright © 2006 CAIS/RNP - Centro de Atendimento a Incidentes de Segurança da Rede Nacional de Ensino e Pesquisa. Todos os direitos reservados.
Sumário Introdução Segurança no cliente Wi-Fi Configurando uma rede segura Conclusões
Alguns conceitos-chave Introdução Alguns conceitos-chave Wi-Fi – certificação de interoperabilidade da Wi-Fi Alliance (www.wifi.org). Na prática: 802.11a, 802.11b ou 802.11g, padrões IEEE para hardware. Wireless Access Point – mais conhecido como AP ou WAP, é o elemento da rede Wi-Fi que fornece conectividade de rede a clientes. Hotspot – redes Wi-Fi públicas, com controle de acesso ou não. Exemplos: Vex, T-Mobile (EUA). Piggybacker – pessoa que usa uma rede Wi-Fi mal configurada indiscriminadamente SSID – conjunto de caracteres que identifica uma rede Wi-Fi
Por que “Segurança Essencial””? Introdução (2) Por que “Segurança Essencial””? Para Clientes – mínimo que deve ser feito em um notebook ou desktop com Wi-Fi antes de conectá-lo a uma rede sem fio. Para a configuração de equipamentos Wi-Fi Segurança suficiente para garantir confidencialidade e evitar o acesso não autorizado Não é o máximo em segurança, mas é mais do que suficiente para cenários de uso com poucos usuários Uso doméstico e em pequenas organizações
Segurança no cliente Wi-Fi Cedo ou tarde você irá usar Wi-Fi Notebooks cada vez mais populares no Brasil, interface 802.11 é padrão. Você confia no AP de sua organização ou no que configurou em casa, mas o que fazer em um hotspot ou mesmo avião? A quais riscos meu notebook está exposto? Não aperte o botão antes de ouvir o que temos a dizer.
Segurança no cliente Wi-Fi (2) Uma vez conectado a um AP o cliente está exposto aos mesmos problemas de uma estação em rede cabeada Worms, bots, cavalos de tróia, acesso não autorizado, sotware malicioso, etc Preciso instalar algum software? Firewall Pessoal (essencial conhecer seu funcionamento básico) Anti-Vírus Anti-Spyware
Segurança no cliente Wi-Fi (3) Algumas tarefas de rotina Mantenha seu Sistema Operacional atualizado, seja Linux ou Windows – atenção aos boletins de segurança do CAIS na “Patch Tuesday” Mantenha o driver de sua interface Wi-Fi atualizado Alguns fabricantes oferecem cadastro do equipamento para avisar quando isto acontece Por que devo me preocupar com isto?
Segurança no cliente Wi-Fi (4) Hoje a atenção dos crackers se voltou para os clientes Wi-Fi, está cada vez mais difícil atacar o AP. Últimas edições das mais importantes conferências hacker do mundo abordaram ataques a clientes Ferramentas que atacam o driver da interface Wi-Fi Firewall pessoal não pode fazer nada contra isto O que é possível fazer para se prevenir? desativar a interface Wi-Fi quando não estiver em uso, especialmente em ambientes com grande concentração de usuários (aeroportos, avião). manter drivers atualizados
Segurança no cliente Wi-Fi (5) Outro ataques a clientes Ferramentas para forjar um AP (SSID, canal, etc) Ferramentas para forçar a desconexão de um cliente ataque DoS (Denial of Service) por tráfego de desassociação/desautenticação 802.11 forjado Ferramentas que trocam o conteúdo do tráfego substitui imagens de site que você visita por outras ofensivas, por exemplo. Captura do tráfego para obter dados confidenciais em aplicativos como MSN, Google Talk, IRC, Web Redes abertas, WEP e WPA depois de quebra da chave
Segurança no cliente Wi-Fi (6) O que mais posso fazer para me proteger? Qualquer rede pode ser forjada, em especial abertas, com WEP ou WPA Personal quando a chave é conhecida. Tenha isto sempre em mente. Ataques DoS não podem ser evitados com os padrões de hoje, apenas mitigados. Pense positivo e torça que o AP usado na rede seja capaz de mitigar estes ataques (não é um recurso comum).
Segurança no cliente Wi-Fi (7) O que mais posso fazer para me proteger? (2) Sempre use protocolos e mecanismos de segurança para proteger seu tráfego (SSL, VPN, SSH, etc) O assistente de configuração Wi-Fi do Windows Vista, hoje em versão RC2, já conta com a opção de VPN. Desabilite sempre que possível o compartilhamento de arquivos no Windows, bem como outros serviços de acesso remoto. Quanto mais serviços seu notebook oferece maior o número de portas de entrada e o risco de vulnerabilidades.
Segurança no cliente Wi-Fi (8) O que mais posso fazer para me proteger? (3) Use redes 802.11a quando disponíveis. A grande maioria dos atacantes tem apenas interfaces 802.11b/g, padrões incompatíveis entre si e que impedem ataques e captura de tráfego. (“Segurança por Obscuridade”). Configure seu cliente Windows de forma que ele se associe apenas a redes Wi-Fi Infra-estrutura, ou seja, um AP. Há ataques que tiram proveito do modo como o Windows trata conexões Ad-Hoc, normalmente usadas para conectar clientes entre si.
Segurança no cliente Wi-Fi (9)
Configurando uma rede segura Redes sem fio já são seguras, mas precisam de clientes seguros como já vimos. Diferente do mundo selvagem em que os clientes Wi- Fi vivem um AP precisa ser apenas bem configurado e mantido com seu firmware atualizado. Há vulnerabilidades no firmware (software que gerencia o AP), que permitem acesso não autorizado, por exemplo.
Configurando uma rede segura (2) Principal configuração: mecanismo de segurança Use pelo menos WPA Personal (Wi-Fi Protected Access), com AES ou TKIP, se possível WPA2. Redes sem fio ficaram famosas por ser inseguras pelos problemas de WEP (Wired Equivalent Privacy), todos sanados com a introdução de WPA. Escolha uma chave forte, tão bem selecionada como uma senha. É possível descobrir a chave de uma rede WPA-TKIP por ataque de dicionário. WEP em último caso ou quando o equipamento não oferece suporte. Este mecanismo de segurança foi comprometido de diversas formas.
Configurando uma rede segura (3)
Configurando uma rede segura (4) Outras configurações para apoiar WPA Desabilitar broadcast do SSID Na prática consiste em transmitir pacotes “beacon” com o nome da rede vazio Filtro por endereço MAC Reduzir a potência de transmissão, quando possível Registrar log da atividade do AP, quando o recurso for disponível.
Configurando uma rede segura (5) Troque o SSID, o nome da rede. SSID padrão é indicador de um AP possivelmente mal configurado para um atacante. Dê nomes neutros para sua rede. Evite nome da empresa, nome do dono, número do apartamento e outros nomes que carregam informações e possam atrair a atenção de atacantes. Troque a senha de administração Todo AP é configurado de fábrica com um par SSID/senha padrão. Altere a senha imediatamente após ligar o dispositivo. Exemplo: linksys/admin
Configurando uma rede segura (6)
Configurando uma rede segura (7) Configure acesso à interface administrativa somente por HTTP com TLS/SSL Tráfego cifrado entre cliente Wi-Fi usado para administrar o AP Desabilitar acesso à interface administrativa a partir da WAN Normalmente a WAN é a ligação entre o AP e a Internet Um AP mal configurado com acesso pela Internet é uma porta de entrada para sua rede
Configurando uma rede segura (8) AP Isolation Quando habilitado impede a comunicação entre clientes Impede a propagação de worms entre clientes, entre outras atividades maliciosas. Implementado pela criação de uma VLAN (Virtual LAN) para cada cliente associado Pode também ser implementado por filtro entre VLANs, tráfego com origem em um cliente da WLAN pode ter como destino apenas a Internet
Configurando uma rede segura (9)
Conclusões Redes Wi-Fi já contam com uma segurança respeitável, clientes se tornaram um alvo mais fácil de ataques. É bem provável que a oferta de ferramentas e técnicas de exploração de vulnerabilidades em drivers de interfaces Wi-Fi aumente.
Informações de Contato Centro de Atendimento a Incidentes de Segurança – CAIS http://www.rnp.br/cais Guilherme Vênere venere@cais.rnp.br Ronaldo Vasconcellos ronaldo@cais.rnp.br
Contato com o CAIS: Notificação de Incidentes Incidentes de segurança envolvendo redes conectadas ao backbone da RNP podem ser encaminhadas ao CAIS através de: E-mail: cais@cais.rnp.br. Para envio de informações criptografadas, recomenda-se o uso da chave PGP pública do CAIS, disponível em: http://www.rnp.br/cais/cais-pgp.key Web: Através do Formulário para Notificação de Incidentes de Segurança, disponível em: http://www.rnp.br/cais/atendimento_form.html INOC-DBA Para entrar em contato com o CAIS através da hotline INOC-DBA (Inter-NOC Dial-By-ASN): INOC-DBA: 1916*800 Atendimento Emergencial Contatos emergenciais fora do horário comercial (09:00-18:00) devem ser feitos através do telefone: (61) 3217-6355 Alertas do CAIS O CAIS mantém a lista rnp-alerta@cais.rnp.br. Assinatura aberta à comunidade atuante na área. Inscrições através do formulário disponível em: http://www.rnp.br/cais/alertas