A Evolução dos Mecanismos de Segurança para Redes sem fio 802.11

Agenda Introdução a redes wireless Requisitos de Segurança Recursos de (in)segurança em redes 802.11b Mecanismos de segurança nativos, controle de acesso Vulnerabilidades nos protocolos Problemas comuns de configuração Problemas nos equipamentos Ataques Ataques de autenticação, Hijacking Problemas de chave, Wardriving e Warbiking

Agenda Defesas Conclusões Resposta dos fabricantes Evolução dos protocolos WPA 802.11i VPNs, criptografia e Controle de acesso Configurações rígidas Isolamento e Monitoração Conclusões

Objetivos Dar uma visão geral da tecnologia sem fio 802.11 e alguns cenários de uso Compreender os recursos de segurança providos pelo padrão 802.11b Atentar para as fraquezas do padrão, ataques comuns, particularmente fáceis ou especialmente não-intuitivos Estabelecer uma ligação com os ataques clássicos Discorrer sobre as comunidades de exploradores de redes wireless Propor e discutir formas práticas de mitigar as vulnerabilidades

Introdução a Redes Wireless Redes 802.11b Camada Física: Direct Sequence Spread Spectrum (DSSS) Frequency Hopping Spread Spectrum (FHSS) Banda ISM de 2.4 a 2.5GHz Velocidades (bitrates): 1, 2, 5.5, 11Mbps (802.11b), 54Mbps (11a, 11g) Alcance típico: 50 metros em ambientes fechados, 500 metros ao ar livre Pode variar fortemente dependendo da potência, tipo e disposição das antenas, cobertura por APs, amplificadores Antes externas direcionais podem chegar a 400 m Configurações especiais podem chegar a mais de 20 Km DSSS FHSS

Introdução a Redes Wireless Topologias Modo Infra-Estrutura: estende a cobertura geográfica da rede LAN convencional (“de infra-estrutura”) através da cobertura da rede sem fio Access Point (AP): bridge [WLAN]  [LAN] Célula: área coberta por um AP Basic Service Set (BSS): “conjunto de serviços básicos” de uma célula Extended Service Set (ESS): “conjunto de serviços estendido” oferecido por todas as células de uma rede de infraestrutura Modo Ad-Hoc: Interconexão direta “peer-to-peer” sem APs de dispositivos em uma mesma área (em uma sala, digamos) Dispensa a “rede infra-estrutura” (LAN convencional cabeada)

Introdução a Redes Wireless Resumindo Filosofia de projeto: Fácil instalação + Fácil acesso = Problema de Segurança (é claro que os engenheiros pensaram em tudo ...)

Introdução a Redes Wireless Requisitos de Segurança Criptografia e Privacidade “dados cifrados não devem decifrados por pessoas não autorizadas” Autenticação e Controle de Acesso Identificar, Autenticar, Autorizar usuários, servidores, Aps Framework

Recursos de (in)segurança Escopo da Segurança em redes sem fio

Recursos de (in)segurança WEP – Wired Equivalency Privacy Criptografia e autenticação no nível do link wireless Ou seja, não provê segurança fim-a-fim Em outras palavras, só no trecho wireless Furadíssimo, como veremos adiante Não prescinde outros mecanismos “tradicionais” de segurança Muito pelo contrário, torna-os muito mais necessários, dado que introduz vários novos riscos

Recursos de (in)segurança WEP – Serviços Autenticação: garantir que apenas estações autorizadas possam ter acesso à rede Somente pessoas autorizadas podem se conectar na minha rede? Confidencialidade: dificultar que um interceptador casual compreenda o tráfego capturado Somente as pessoas autorizadas podem ver meus dados? Integridade: Temos certeza que os dados transitando na rede não foramadulterados?

Recursos de (in)segurança WEP – Autenticação Não-criptográfica: Modo aberto: SSID nulo Modo fechado: requer SSID específico Trivialmente suscetível a ataque de replay

Recursos de (in)segurança Sniffing e SSID

Recursos de (in)segurança WEP – Autenticação Criptográfico: Desafio-resposta rudimentar para provar que o cliente conhece a chave WEP O AP autentica o cliente O cliente não autentica o AP Suscetível a vários ataques, inclusive o famoso “man-in-themiddle”

Recursos de (in)segurança Criptografia do WEP

Recursos de (in)segurança Criptografia do WEP – RC4 Algoritmo de cifragem proprietário da RSADSI Otimizado para implementação rápida em software Era segredo industrial da RSADSI até ser analisado por engenharia reversa e postado na rede em 1994. Implementável de cabeça em pouco mais de um minuto. Chave de até 2048 bits Stream cipher: entrada e saída de 8 bits (1 byte) de cada vez Desconfortavelmente simples, mas seguro se usado com algumas precauções

Recursos de (in)segurança Críticas a Criptografia do WEP Gerenciamento de chaves Totalmente manual Chaves raramente são mudadas (quando em absoluto) Mudar chaves de centenas ou milhares de placas em uma instalação típica é insano Tamanho de chaves pequeno A maior parte das placas/instalações só suporta 40 bits Feito, à época, para evitar problemas de exportação Placas com cripto de 104 bits custam bem mais caro e são mais raras Padece de várias fraquezas criptográficas fundamentais

Recursos de (in)segurança Críticas a Criptografia do WEP IV de 24 bits é muito pouco O padrão WEP não especifica como gerar o IV Algumas placas o fazem sequencialmente Fácil de prever e detectar E ainda resetam para zero quando o cartão é reinserido O IV é repetido a cada 4823 pacotes O CRC torna trivial descobrir se você acertou o par (IV, K)

Recursos de (in)segurança Criptografia: Propriedades Propriedades do ⊕ (XOR): a ⊕ a = 0 a ⊕ 0 = a Isso torna perigoso jamais reusar a mesma chave: c1 = p1 ⊕ RC4(k,IV) e c2 = p2 ⊕ RC4(k,IV) c1 ⊕ c2 = ( p1 ⊕ RC4(k,IV) ) ⊕ ( p2 ⊕ RC4(k,IV) ) = p1 ⊕ p2 ⊕ RC4 (k,IV) ⊕ RC4 (k,IV) = p1 ⊕ p2 Pacotes IP tem cabeçalhos previsíveis ou fixos que tornam fácil prever ou deduzir p1 ⊕ p2

Recursos de (in)segurança Integridade WEP CRC (Cyclic Redundancy Check) de 32 bits é computado para cada pacote e anexado ao pacote CRCs são otimizados para detectar erros de transmissão São notoriamente inadequados para prover garantias criptograficamente aceitáveis contra adulteração intencional Também burlável: É viável fazer alterações no texto cifrado e “compensar” o CRC Já aconteceu outras vezes, no SSH1 e no PPTP da MS Deveria ter sido usado um MAC (Message Authentication Code) com resistencia criptográfica, à base de MD5 ou SHA1

Recursos de (in)segurança Aps Impostores Em redes em modo abertas, quem impede um atacante de instalar seu próprio AP? Mesmo em redes fechadas, descobrindo-se os parâmetros e a chave WEP, fica fácil montar ataques man-in-the-middle É visível, porém, para alguns softwares de monitoração

Recursos de (in)segurança Backdoors nos firmwares Envia-se a string “gstsearch” em um broadcast (!) para a porta UDP 27155 e o AP responde com: Senha do administrador Chave mestra WEP Filtro de MAC Testado como vulnerável: WISECOM GL2422AP-0T Suspeita-se vulnerável (baseado no mesmo firmware): D-Link DWL-900AP+ B1 version 2.1 and 2.2 ALLOY GL-2422AP-S EUSSO GL2422-AP LINKSYS WAP11-V2.2

Ataques Ataques clássicos Todos os ataques clássicos de TCP/IP se aplicam normalmente – amplo playground: ARP spoofing: redirecionar tráfego para o impostor via falsificação/personificação do endereço MAC DNS spoofing: redirecionar tráfego para o impostor via adulteração dos pacotes DNS Smurf: sobrecarga de broadcasts para negação de serviço/saturação do canal DHCP spoofing: servidor DHCP impostor força configuração imprópria dos clientes Chaves má escolhidas Suscetíveis a ataques clássicos de dicionário Muitos drivers e/ou admins colocam senhas em ASCII = 7o bit é sempre zero

Ataques Man-in-the-middle

Ataques Chosen-Plaintext Attack

Ataques Bit Flipping

Ataques Warchalking Marcas com giz identificando locais onde há conectividade wireless e os parâmetros da rede http://www.blackbeltjones.com/warchalking/index2.html

Ataques NodeDB.com - Warchalking Warchalking via web: DB de APs http://www.nodedb.com/

Ataques Warchalking.com.br Agora também em português https://www.warchalking.com.br/com/index2.htm

Ataques WorldWideWarDriving.org Esforço para mapear Aps http://www.worldwidewardrive.org/

Defesas Resposta dos Fabricantes (Wi-Fi) Aumentar o tamanho da chave WEP Compartilhada (Agere 152 bits, US Robotics 256 bits)  apenas adia a descoberta Problemas com performance Troca dinâmica de chaves (Cisco e Microsoft) Overhead na transmissão (802.11b) Falta de Interoperabilidade Wi-Fi propõe o WPA IEEE Task Group “I”  standard 802.11i

Defesas WPA – Wi-Fi Protected Access Novo padrão de autenticação mútua - EAP TKIP – Temporal Key Integrity Protocol Michael Message Integrity Check

Defesas WPA – EAP Novo padrão de autenticação mútua Suplicante, Autenticador, Servidor de Autenticação RADIUS Atualização de Firmware Compatibilidade com Hardwares legados

Defesas WPA – EAP Procedimentos de Autenticação: Um suplicante inicia uma conexão com um autenticador. O autenticador detecta a ocorrência e habilita uma porta para o suplicante. Entretanto, excluindo o trafego definido pelo 802.1X, todos os outros estão bloqueados. O autenticador requer a identificação do suplicante. O suplicante responde com a identificação que é imediatamente repassada para o servidor de autenticação. O servidor autentica a identidade do suplicante e envia uma mensagem do tipo ACCEPT para o autenticador. O autenticador muda o estado da porta para autorizado. O suplicante requisita a identificação do servidor. O servidor atende. O suplicante valida a identificação do servidor e todo trafego é liberado.

Defesas WPA – EAP

Defesas WPA – EAP EAP – LEAP  usuário e senha / Cisco Systems EAP – TLS (RFC2716)  utiliza certificados digitais X.509 EAP – TTLS  like EAP – TLS; suplicate utiliza senha para se autenticar / Funk Software EAP – PEAP  evolução do EAP Pre – Shared Key  like WEP; manter compatibilidade

Defesas WPA – TKIP Temporal Key Integrity Protocol Chave Compartilhada de 128 bits Um IV de 48 bits MAC Address Mantém o RC4  Compatibilidade Trocas de chave a cada 10.000 pacotes

Defesas WPA – Michael Message Integrity Check Substitui o CRC MIC (Message) - Redundância de 64 bits calculada com o algoritmo “Michel” Verifica erros na transmissão Detecta manipulação deliberada

Defesas WPA – Conclusão Resolve diversos problemas conhecidos do WEP: Autenticação Mútua TKIP Michael Message Integrity Check Entretando, WPA ainda não é a solução definitiva: Criptografia Fraca WPA2  substituição do RC4 pelo AES. Queda de Performance

Defesas 802.11i Resolve problemas conhecidos do WPA: Novo Padrão IEEE – Draft 3 Poucos hardwares compatíveis Autenticação Mútua – EAP Mantém TKIP  Compatibilidade Introduz o CCMP (Counter Mode with Cipher Block Chaning Message Authentication Code Protocol)  AES Necessidade de uso de co-processadores criptográficos devido a utilização do algoritmo AES. Novos Protocolos RSN (Substituo padronizado do WEP) – Robust Security Network (EAP, CCMP, Michael) WRAP – Wireless Robust Authentication Protocol Suporta Roaming

Defesas Procedimentos

Defesas Procedimentos Segmentação e contenção usando firewalls Configuração minuciosa dos Aps Blindagem e firewalling dos clientes Monitoração VPNs (Redes Virtuais Privadas) Blindagem do Aps Controle o serviço IP

Defesas Firewalls Elimina o bridging Objetivo primário Contém os broadcasts Só permite tráfego IP Objetivo primário Defender a rede cabeada “Infrastructure Network” Firewalling avançado Controle de banda/QoS Autenticação dinâmica Bridge firewalling

Configuração minuciosa dos APs Defesas Configuração minuciosa dos APs Permite gerenciamento e oferecimento de serviços mais granular Firewalling, DHCP, VPN, etc. OpenBSD e Linuxes fazem bons APs Possivelmente não provê alguns recursos avançados de alguns APs Roaming, etc.

“Blindagem” das estações Defesas “Blindagem” das estações Firewalls em cada nó móvel Objetivo primário Defender os nós móveis uns dos outros Trabalhoso de manter Requer procedimentos operacionais rígidos e sempre atualizados.

Monitoração: ARP Watch Defesas Monitoração: ARP Watch Sniffer especializado em pacotes ARP Reporta mudanças nos MACs <-> IPs via e-mail adm.

Defesas VPN – Vitual Private Network Encapsulamento IP-IP com criptografia IPSec em modo túnel: IPSec nativo no OpenBSD, Free S/WAN no Linux Outras soluções de VPN: PPTP, vtun em vários Unixes, L2TP Integração com o firewall no cliente e/ou desktop policies Requerem infra-estruturas de gerenciamento de chaves Requer Certificados digitais, shared secrets, etc. Potencialmente introduz criptografia forte nas camadas IP e acima Não protege ARP e outros protocolos layer 2 Alguns probleminhas sempre aparecem Timeout na primeira conexão por causa de negociação de chaves

Defesas Blindagens de APs Troque todas as configurações de fábrica e mantenhanas assim Troque as senhas padrão e os nomes das comunidades SNMP De preferência, troque-as frequentemente Se você não usa SNMP, desabilite-o Mude os SSIDs Mude o canal padrão Controle a função de reset do AP Evitar volta às configurações padrão de fábrica

Defesas Blindagens de APs Procure usar as versões do firmware mais recentes Mas no modelo de código fechado, não há garantias de que não haja backdoors Use criptografia WEP Ela não resolve, mas dificulta, ainda que por poucas horas Use MAC-filtering/ACLs onde apropriado Também não resolve, mas ajuda Pode se tornar um fardo maior que um benefício se as ACLs ficarem grande Gerencie Reinventarie e audite a base instalada regularmente

Defesas Controle o serviço IP DHCP Restrito por MAC: mesmo overhead de gerenciamento por não escalar para um grande número de estações DHCP Honeypots/Visitor service: serviço diferenciado para “visitantes” e “internos” “Se não pode vencê-los, junte-se a eles”... ou melhor, deixe que se juntem a você, mas de forma limitada e controlada Monitoraçao/QoS diferenciado imposto para os visitantes Arpwatches em todo lugar Links redundantes e roteamento dinâmico Resistência a ataques a quedas naturais e ataques de negação de serviço

Conclusão Redes 802.11 A tecnologia 802.11 é prática, cômoda, “cool”, mas seus recursos de segurançã são mal projetados em vários aspectos, expondo inaceitavelmente o trafego. Como sempre, sobra para o administrador de rede combinar múltiplas tecnologias para prover segurança em profundidade Segurança não é plug-and-play Intelectualmente oneroso Fatores culturais e a atitude de segurança • Há várias tecnologias e estratégias bem estabelecidas que podem ser aplicadas para mitigar as vulnerabilidades introduzidas pelas redes wireless

Conclusão Redes 802.11 O WPA é melhor que WEP mas ainda usa o RC4 O 802.11i é um padrão que surge como solução, mas demanda desenvolvimento de novos hardwares Enquanto aguardamos, devemos desenvolver soluções compostas: WEP com trocas de chaves, se possível VPN Monitoração (ARP Watch)

Fim Roberto Miyano Neto rneto@dba.com.br Obrigado!