Marcos Santos Microsoft Portugal

Apresentação em tema: "Marcos Santos Microsoft Portugal"— Transcrição da apresentação:

1 Marcos Santos marcoss@microsoft.com Microsoft Portugal
3/24/2017 Seminários Webcasts Instalação, Segurança e Manutenção de Redes Wireless Marcos Santos Microsoft Portugal

2 Agenda Introdução Seminários Webcasts Tema 6ª Sessão
3/24/2017 Agenda Introdução Seminários Webcasts Tema 6ª Sessão Implementar o acesso seguro ao correio electrónico e à rede da organização Perguntas e Respostas Conclusão

3 3/24/2017 Ciclo de Seminários Objectivo: proporcionar aos responsáveis que trabalham com sistemas de informação sessões técnicas com bons oradores e com bom conteúdo Vantagens deste formato: Interactividade com o orador Poupança de custos (deslocação, tempo) Possibilidade de assistir ao evento à posteriori

4 Temas As vossas sugestões são importantes…
3/24/2017 Temas Segurança Servidores Windows – já disponível Implementar Segurança num servidor de correio electrónico – já disponível Combater o Spam e os Vírus num sistema de correio electrónico – já disponível Implementar o acesso seguro ao correio electrónico e à rede da organização – já disponível Instalação, Segurança e Manutenção de Redes Wireless Como proteger os dados e a informação da sua organização As vossas sugestões são importantes…

5 Logística Utilização do Live Meeting
3/24/2017 Logística Utilização do Live Meeting Problemas com Live Meeting enviar mail para Como fazer perguntas aos oradores? Janela do lado direito no fundo As perguntas serão respondidas no final de cada apresentação por ordem

6 Recursos Site de Segurança: Assessment de Segurança: Boletins de Segurança:

7 Instalação, Segurança e Manutenção de Redes Wireless
3/24/2017 Instalação, Segurança e Manutenção de Redes Wireless Nuno Carvalho

8 Agenda Soluções Wireless Segurança em Redes Wireless
3/24/2017 Agenda Soluções Wireless Segurança em Redes Wireless Implementação de uma Rede Wireless utilizando 801.X Password Authentication Resolução de problemas típicos

9 3/24/2017 Soluções Wireless

10 Wireless Standards Standard Description 802.11
3/24/2017 Wireless Standards Standard Description 802.11 Especificação que define os conceitos base para as redes sem fios 802.11a Velocidade de transmissão até 54 megabits (Mbps) por segundo 802.11b 11 Mbps Bom alcance mas susceptível a interferências 802.11g 54 Mbps Menos alcance que o b 802.11i Standard para autenticação e encriptação em redes wireless 802.1X - Standard que define um mecanismo de autenticação baseado em acesso por porta e como opção a gestão das chaves usadas para encriptar a informação

11 3/24/2017 O Desafio Numa rede “sem fios” não existe o conceito de rede privada, qualquer individuo com equipamento wireless pode ligar-se desde que tenha “sinal”

12 Considerações Controlar quem pode aceder
3/24/2017 Considerações Controlar quem pode aceder Controlar Access Points inválidos Garantir que todo o tráfego está protegido Que a informação não é alterada Gestão dos Acess Points

13 Ameaças Divulgação de informação confidencial
3/24/2017 Ameaças Divulgação de informação confidencial Acesso desautorizado a dados Personificação de um cliente autorizado Interrupção de serviço Acesso desautorizado à Internet Acessos wireless domésticos inseguros Implementações de Access Points não autorizados

14 Ataques mais comuns Passive attacks Discovering Active Attacks
3/24/2017 Ataques mais comuns Passive attacks Discovering Active Attacks Man-in-the-Middle Attacks Jamming Attacks

15 Segurança em redes Wireless
3/24/2017 Segurança em redes Wireless

16 Opções de Implementação
3/24/2017 Opções de Implementação IEEE (Wi-Fi) Wired Equivalent Privacy (WEP) Wi-Fi Protected Access (WPA) WPA Enterprise IEEE i WPA 2 WPA 2 Enterprise 802.1X com WEP Outras Medidas (dissuasão) Mac filtering Disable SSID Broadcast

17 Recomendações Wireless Network Solution Typical Environment
3/24/2017 Recomendações Wireless Network Solution Typical Environment Additional Infrastructure Components Required Certificates Used for Client Authentication Passwords Used for Client Authentication Typical Data Encryption Method Wi-Fi Protected Access with Pre-Shared Keys (WPA-PSK) Small Office/Home Office (SOHO) None NO YES Uses WPA preshared key to authenticate to network WPA Password-based wireless network security Small to medium organization Internet Authentication Service (IAS) Certificate required for the IAS server However, a certificate is issued to validate the IAS server WPA or Dynamic WEP Certificate-based wireless network security Medium to large organization Certificate Services Certificates used but may be modified to require passwords

18 As configurações típicas
3/24/2017 As configurações típicas Sem qualquer tipo de segurança: 58,67% Default SSID: 3,75% Com algum tipo de encriptação: 41,33% In Security in Wireless Networks by Panda Software

19 As configurações típicas
3/24/2017 As configurações típicas Quando existe segurança predomina: MAC filtering WEP ou WPA-PSK SSID broadcast disabled

20 Nuno Carvalho Knowledge Inside
3/24/2017 Hacking o “típico” Nuno Carvalho Knowledge Inside

21 3/24/2017 Atenção ! Utilizar um protocolo de segurança inseguro como o WEP, é de longe muito melhor que NÃO utilizar segurança nenhuma !! 

22 Implementação de uma rede wireless utilizando Password Authentication
3/24/2017 Implementação de uma rede wireless utilizando Password Authentication

23 3/24/2017 802.1X Definição IEEE standard para controlo de acessos e autenticação “port-based” Baseado em EAP (extensible authentication protocol) Suporta EAP-TLS e PEAP entre outros Acesso só é concedido a utilizadores autorizados

24 802.1X O que resolve ? Perigo de “rogue AP’s” – Mutual authentication
3/24/2017 802.1X O que resolve ? Perigo de “rogue AP’s” – Mutual authentication Identificação e autorização por utilizador Gestão centralizada Elimina o problema de chaves WEP e WPA fracas Gestão de chaves de encriptação

25 3/24/2017 802.1X Componentes Componentes Explicação Wireless Client Requere uma placa WLAN que suporte 802.1X e dynamic WEP ou WPA Contas de utilizador e computador criadas no dominio Wireless Access Point Suporte para X e dynamic WEP or WPA O wireless access point e o servidor RADIUS partilham uma “shared secret” para verificar e proteger as mensagens RADIUS RADIUS/IAS Server Utiliza a Active Directory para verificar as credenciais dos clientes Autoriza o acesso conforme o definido nas “access policy” Pode recolher informação de “accounting e audit” Certificado para autenticação do servidor

26 Mutual Key Determination
3/24/2017 802.1X Como funciona? Wireless Client Wireless Access Point RADIUS (IAS) 1 Client Connect 2 Client Authentication Server Authentication Mutual Key Determination 3 Key Distribution 4 WLAN Encryption Authorization 5 Internal Network

27 802.1X Serviços num ambiente PEAP
3/24/2017 802.1X Serviços num ambiente PEAP Domain Controller (DC) RADIUS (IAS) Certification Authority (CA) DHCP Services (DHCP) DNS Services (DNS) Branch Office IAS/DNS/DC LAN Headquarters Primary Secondary Access Points IAS/CA/DC Secondary LAN Primary WLAN Clients IAS/DNS/DC Access Points DHCP WLAN Clients

28 802.1X Requisitos Access point com suporte para 802.1x
3/24/2017 802.1X Requisitos Access point com suporte para 802.1x Placa wireless com suporte para 802.1x Sistema operativo cliente com suporte para 802.1x (Windows 2000 SP3, Windows XP,…) Servidor RADIUS (pode ser servidor existente) IAS – Internet authentication service vem incluído no Windows server 2000 / 2003  Certificado digital no servidor RADIUS

29 Nuno Carvalho Knowledge Inside
3/24/2017 Configuração de uma rede Wireless com PEAP Nuno Carvalho Knowledge Inside

30 Resolução de problemas típicos
3/24/2017 Resolução de problemas típicos

31 Tipo de problema Problemas de ligação Problemas de performance
3/24/2017 Tipo de problema Problemas de ligação Problemas de performance Problemas de autenticação utilizador Problemas de autenticação da máquina

32 Problemas de ligação Verificar conta de utilizador/máquina
3/24/2017 Problemas de ligação Verificar conta de utilizador/máquina Verificar máquina cliente Verificar configuração da AP Verificar Active Directory e Network Services Verificar servidores IAS Verificar Certificate Authority

33 Problemas de performance
3/24/2017 Problemas de performance Performance monitor (IAS) Verificar se os AP’s estão configurados para utilizar o IAS mais próximo Reavaliar o posicionamento dos AP’s A re-autenticação pode demorar até 60s

34 Problemas de autenticação
3/24/2017 Problemas de autenticação Problemas no IAS Conta incorrecta, desactivada ou trancada Conta não pertence ao grupo dos utilizadores com acesso Remote access está configurado com “deny”

35 Conclusão Não é complexo criar uma rede wireless segura
3/24/2017 Conclusão Não é complexo criar uma rede wireless segura WEP é melhor que nada (mas é muito pouco) Redes empresariais : 802.1x com WPA e EAP-TLS ou PEAP 802.1x com WPA2 e EAP-TLS ou PEAP 802.1x com WEP e EAP-TLS ou PEAP Só se não houver suporte para WPA Configurar “key lifetime” para período muito curto Redes Domésticas: WPA-PSK com uma chave complexa Utilizar os scripts disponibilizados pela solução PEAP and Passwords

36 3/24/2017 Perguntas e Respostas?

37 Recursos Microsoft Wireless Networking Web site
3/24/20173/24/20173/24/20173/24/20173/24/20173/24/20173/24/20173/24/20173/24/2017 3/24/2017 Recursos Microsoft Wireless Networking Web site Windows XP Wireless Deployment Technology and Component Overview Enterprise Deployment of Secure Networks Using Microsoft Windows Configuring Windows XP IEEE Wireless Networks for the Home and Small Business WEP: Dead Again, Part 1 37

38 3/24/20173/24/20173/24/20173/24/20173/24/20173/24/20173/24/20173/24/20173/24/2017 3/24/2017 Próximas Sessões 12 Julho - Instalação, Segurança e Manutenção de Redes Wireless 38

39 3/24/20173/24/20173/24/20173/24/20173/24/20173/24/20173/24/20173/24/20173/24/2017 3/24/2017 Recursos Úteis Recursos para Comunidades Microsoft Subscrições TechNet Certificações IT’s Showtime Webcasts 39

40 3/24/2017 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.