A Evolução dos Mecanismos de Segurança para Redes sem fio 802.11

1. A Evolução dos Mecanismos de Segurança paraRedes sem fio 802.11

2. Agenda • Introdução a redes wireless • Requisitos de Segurança • Recursos de (in)segurança em redes 802.11b • Mecanismos de segurança nativos, controle de acesso • Vulnerabilidades nos protocolos • Problemas comuns de configuração • Problemas nos equipamentos • Ataques • Ataques de autenticação, Hijacking • Problemas de chave, Wardriving e Warbiking

3. Agenda • Defesas • Resposta dos fabricantes • Evolução dos protocolos • WPA • 802.11i • VPNs, criptografia e Controle de acesso • Configurações rígidas • Isolamento e Monitoração • Conclusões

4. Objetivos • Dar uma visão geral da tecnologia sem fio 802.11 e alguns cenários de uso • Compreender os recursos de segurança providos pelo padrão 802.11b • Atentar para as fraquezas do padrão, ataques comuns, particularmente fáceis ou especialmente não-intuitivos • Estabelecer uma ligação com os ataques clássicos • Discorrer sobre as comunidades de exploradores de redes wireless • Propor e discutir formas práticas de mitigar as vulnerabilidades

5. Introdução a Redes Wireless Redes 802.11b • Camada Física: • Direct Sequence Spread Spectrum (DSSS) • Frequency Hopping Spread Spectrum (FHSS) • Banda ISM de 2.4 a 2.5GHz • Velocidades (bitrates): • 1, 2, 5.5, 11Mbps (802.11b), 54Mbps (11a, 11g) • Alcance típico: • 50 metros em ambientes fechados, 500 metros ao ar livre • Pode variar fortemente dependendo da potência, tipo e disposição das antenas, cobertura por APs, amplificadores • Antes externas direcionais podem chegar a 400 m • Configurações especiais podem chegar a mais de 20 Km DSSS FHSS

6. Introdução a Redes Wireless Topologias • Modo Infra-Estrutura: estende a cobertura geográfica da rede LAN convencional (“de infra-estrutura”) através da cobertura da rede sem fio • Access Point (AP): bridge [WLAN]  [LAN] • Célula: área coberta por um AP • Basic Service Set (BSS): “conjunto de serviços básicos” de uma célula • Extended Service Set (ESS): “conjunto de serviços estendido” oferecido por todas as células de uma rede de infraestrutura • Modo Ad-Hoc: • Interconexão direta “peer-to-peer” sem APs de dispositivos em uma mesma área (em uma sala, digamos) • Dispensa a “rede infra-estrutura” (LAN convencional cabeada)

7. Introdução a Redes Wireless Resumindo • Filosofia de projeto: Fácil instalação + Fácil acesso = Problema de Segurança (é claro que os engenheiros pensaram em tudo ...)

8. Introdução a Redes Wireless Requisitos de Segurança • Criptografia e Privacidade • “dados cifrados não devem decifrados por pessoas não autorizadas” • Autenticação e Controle de Acesso • Identificar, Autenticar, Autorizar usuários, servidores, Aps • Framework

9. Recursos de (in)segurança Escopo da Segurança em redes sem fio

10. Recursos de (in)segurança WEP – Wired Equivalency Privacy • Criptografia e autenticação no nível do link wireless • Ou seja, não provê segurança fim-a-fim • Em outras palavras, só no trecho wireless • Furadíssimo, como veremos adiante • Não prescinde outros mecanismos “tradicionais” de segurança • Muito pelo contrário, torna-os muito mais necessários, dado que introduz vários novos riscos

11. Recursos de (in)segurança WEP – Serviços • Autenticação: garantir que apenas estações autorizadas possam ter acesso à rede • Somente pessoas autorizadas podem se conectar na minha rede? • Confidencialidade: dificultar que um interceptador casual compreenda o tráfego capturado • Somente as pessoas autorizadas podem ver meus dados? • Integridade: • Temos certeza que os dados transitando na rede não foramadulterados?

12. Recursos de (in)segurança WEP – Autenticação • Não-criptográfica: • Modo aberto: SSID nulo • Modo fechado: requer SSID específico • Trivialmente suscetível a ataque de replay

13. Recursos de (in)segurança Sniffing e SSID

14. Recursos de (in)segurança WEP – Autenticação • Criptográfico: • Desafio-resposta rudimentar para provar que o cliente conhece a chave WEP • O AP autentica o cliente • O cliente não autentica o AP • Suscetível a vários ataques, inclusive o famoso “man-in-themiddle”

15. Recursos de (in)segurança Criptografia do WEP

16. Recursos de (in)segurança Criptografia do WEP – RC4 • Algoritmo de cifragem proprietário da RSADSI • Otimizado para implementação rápida em software • Era segredo industrial da RSADSI até ser analisado por engenharia reversa e postado na rede em 1994. • Implementável de cabeça em pouco mais de um minuto. • Chave de até 2048 bits • Stream cipher: entrada e saída de 8 bits (1 byte) de cada vez • Desconfortavelmente simples, mas seguro se usado com algumas precauções

17. Recursos de (in)segurança Críticas a Criptografia do WEP • Gerenciamento de chaves • Totalmente manual • Chaves raramente são mudadas (quando em absoluto) • Mudar chaves de centenas ou milhares de placas em uma instalação típica é insano • Tamanho de chaves pequeno • A maior parte das placas/instalações só suporta 40 bits • Feito, à época, para evitar problemas de exportação • Placas com cripto de 104 bits custam bem mais caro e são mais raras • Padece de várias fraquezas criptográficas fundamentais

18. Recursos de (in)segurança Críticas a Criptografia do WEP • IV de 24 bits é muito pouco • O padrão WEP não especifica como gerar o IV • Algumas placas o fazem sequencialmente • Fácil de prever e detectar • E ainda resetam para zero quando o cartão é reinserido • O IV é repetido a cada 4823 pacotes • O CRC torna trivial descobrir se você acertou o par (IV, K)

19. Recursos de (in)segurança Criptografia: Propriedades • Propriedades do ⊕ (XOR): • a ⊕ a = 0 • a ⊕ 0 = a • Isso torna perigoso jamais reusar a mesma chave: • c1 = p1 ⊕ RC4(k,IV) e c2 = p2 ⊕ RC4(k,IV) • c1 ⊕ c2 = ( p1 ⊕ RC4(k,IV) ) ⊕ ( p2 ⊕ RC4(k,IV) ) • = p1 ⊕ p2 ⊕ RC4 (k,IV) ⊕ RC4 (k,IV) • = p1 ⊕ p2 • Pacotes IP tem cabeçalhos previsíveis ou fixos que tornam fácil prever ou deduzir p1 ⊕ p2

20. Recursos de (in)segurança Integridade WEP • CRC (Cyclic Redundancy Check) de 32 bits é computado para cada pacote e anexado ao pacote • CRCs são otimizados para detectar erros de transmissão • São notoriamente inadequados para prover garantias criptograficamente aceitáveis contra adulteração intencional • Também burlável: • É viável fazer alterações no texto cifrado e “compensar” o CRC • Já aconteceu outras vezes, no SSH1 e no PPTP da MS • Deveria ter sido usado um MAC (Message Authentication Code) com resistencia criptográfica, à base de MD5 ou SHA1

21. Recursos de (in)segurança Aps Impostores • Em redes em modo abertas, quem impede um atacante de instalar seu próprio AP? • Mesmo em redes fechadas, descobrindo-se os parâmetros e a chave WEP, fica fácil montar ataques man-in-the-middle • É visível, porém, para alguns softwares de monitoração

22. Recursos de (in)segurança Backdoors nos firmwares • Envia-se a string “gstsearch” em um broadcast (!) para a porta UDP 27155 e o AP responde com: • Senha do administrador • Chave mestra WEP • Filtro de MAC • Testado como vulnerável: WISECOM GL2422AP-0T • Suspeita-se vulnerável (baseado no mesmo firmware): • D-Link DWL-900AP+ B1 version 2.1 and 2.2 • ALLOY GL-2422AP-S • EUSSO GL2422-AP • LINKSYS WAP11-V2.2

23. Ataques Ataques clássicos • Todos os ataques clássicos de TCP/IP se aplicam normalmente – amplo playground: • ARP spoofing: redirecionar tráfego para o impostor via falsificação/personificação do endereço MAC • DNS spoofing: redirecionar tráfego para o impostor via adulteração dos pacotes DNS • Smurf: sobrecarga de broadcasts para negação de serviço/saturação do canal • DHCP spoofing: servidor DHCP impostor força configuração imprópria dos clientes • Chaves má escolhidas • Suscetíveis a ataques clássicos de dicionário • Muitos drivers e/ou admins colocam senhas em ASCII = 7o bit é sempre zero

24. Ataques Man-in-the-middle

25. Ataques Chosen-Plaintext Attack

26. Ataques Bit Flipping

27. Ataques Warchalking • Marcas com giz identificando locais onde há conectividade wireless e os parâmetros da rede http://www.blackbeltjones.com/warchalking/index2.html

28. Ataques NodeDB.com - Warchalking • Warchalking via web: DB de APs http://www.nodedb.com/

29. Ataques Warchalking.com.br • Agora também em português https://www.warchalking.com.br/com/index2.htm

30. Ataques WorldWideWarDriving.org • Esforço para mapear Aps http://www.worldwidewardrive.org/

31. Defesas Resposta dos Fabricantes (Wi-Fi) • Aumentar o tamanho da chave WEP Compartilhada (Agere 152 bits, US Robotics 256 bits)  apenas adia a descoberta • Problemas com performance • Troca dinâmica de chaves (Cisco e Microsoft) • Overhead na transmissão (802.11b) • Falta de Interoperabilidade • Wi-Fi propõe o WPA • IEEE Task Group “I”  standard 802.11i

32. Defesas WPA – Wi-Fi Protected Access • Novo padrão de autenticação mútua - EAP • TKIP – Temporal Key Integrity Protocol • Michael Message Integrity Check

33. Defesas WPA – EAP • Novo padrão de autenticação mútua • Suplicante, Autenticador, Servidor de Autenticação RADIUS • Atualização de Firmware • Compatibilidade com Hardwares legados

34. Defesas WPA – EAP • Procedimentos de Autenticação: • Um suplicante inicia uma conexão com um autenticador. O autenticador detecta a ocorrência e habilita uma porta para o suplicante. Entretanto, excluindo o trafego definido pelo 802.1X, todos os outros estão bloqueados. • O autenticador requer a identificação do suplicante. • O suplicante responde com a identificação que é imediatamente repassada para o servidor de autenticação. • O servidor autentica a identidade do suplicante e envia uma mensagem do tipo ACCEPT para o autenticador. O autenticador muda o estado da porta para autorizado. • O suplicante requisita a identificação do servidor. O servidor atende. • O suplicante valida a identificação do servidor e todo trafego é liberado.

35. Defesas WPA – EAP

36. Defesas WPA – EAP • EAP – LEAP  usuário e senha / Cisco Systems • EAP – TLS (RFC2716)  utiliza certificados digitais X.509 • EAP – TTLS  like EAP – TLS; suplicate utiliza senha para se autenticar / Funk Software • EAP – PEAP  evolução do EAP • Pre – Shared Key  like WEP; manter compatibilidade

37. Defesas WPA – TKIP Temporal Key Integrity Protocol • Chave Compartilhada de 128 bits • Um IV de 48 bits • MAC Address • Mantém o RC4  Compatibilidade • Trocas de chave a cada 10.000 pacotes

38. Defesas WPA – Michael Message Integrity Check • Substitui o CRC • MIC (Message) - Redundância de 64 bits calculada com o algoritmo “Michel” • Verifica erros na transmissão • Detecta manipulação deliberada

39. Defesas WPA – Conclusão • Resolve diversos problemas conhecidos do WEP: • Autenticação Mútua • TKIP • Michael Message Integrity Check • Entretando, WPA ainda não é a solução definitiva: • Criptografia Fraca • WPA2  substituição do RC4 pelo AES. • Queda de Performance

40. Defesas 802.11i • Resolve problemas conhecidos do WPA: • Novo Padrão IEEE – Draft 3 • Poucos hardwares compatíveis • Autenticação Mútua – EAP • Mantém TKIP  Compatibilidade • Introduz o CCMP (Counter Mode with Cipher Block Chaning Message Authentication Code Protocol)  AES • Necessidade de uso de co-processadores criptográficos devido a utilização do algoritmo AES. • Novos Protocolos • RSN (Substituo padronizado do WEP) – Robust Security Network (EAP, CCMP, Michael) • WRAP – Wireless Robust Authentication Protocol • Suporta Roaming

41. Defesas Procedimentos

42. Defesas Procedimentos • Segmentação e contenção usando firewalls • Configuração minuciosa dos Aps • Blindagem e firewalling dos clientes • Monitoração • VPNs (Redes Virtuais Privadas) • Blindagem do Aps • Controle o serviço IP

43. Defesas Firewalls • Elimina o bridging • Contém os broadcasts • Só permite tráfego IP • Objetivo primário • Defender a rede cabeada “Infrastructure Network” • Firewalling avançado • Controle de banda/QoS • Autenticação dinâmica • Bridge firewalling

44. Defesas Configuração minuciosa dos APs • Permite gerenciamento e oferecimento de serviços mais granular • Firewalling, DHCP, VPN, etc. • OpenBSD e Linuxes fazem bons APs • Possivelmente não provê alguns recursos avançados de alguns APs • Roaming, etc.

45. Defesas “Blindagem” das estações • Firewalls em cada nó móvel • Objetivo primário • Defender os nós móveis uns dos outros • Trabalhoso de manter • Requer procedimentos operacionais rígidos e sempre atualizados.

46. Defesas Monitoração: ARP Watch • Sniffer especializado em pacotes ARP • Reporta mudanças nos MACs <-> IPs via e-mail adm.

47. Defesas VPN – Vitual Private Network • Encapsulamento IP-IP com criptografia • IPSec em modo túnel: • IPSec nativo no OpenBSD, Free S/WAN no Linux • Outras soluções de VPN: PPTP, vtun em vários Unixes, L2TP • Integração com o firewall no cliente e/ou desktop policies • Requerem infra-estruturas de gerenciamento de chaves • Requer Certificados digitais, shared secrets, etc. • Potencialmente introduz criptografia forte nas camadas IP e acima • Não protege ARP e outros protocolos layer 2 • Alguns probleminhas sempre aparecem • Timeout na primeira conexão por causa de negociação de chaves

48. Defesas Blindagens de APs • Troque todas as configurações de fábrica e mantenhanas • assim • Troque as senhas padrão e os nomes das comunidades SNMP • De preferência, troque-as frequentemente • Se você não usa SNMP, desabilite-o • Mude os SSIDs • Mude o canal padrão • Controle a função de reset do AP • Evitar volta às configurações padrão de fábrica

49. Defesas Blindagens de APs • Procure usar as versões do firmware mais recentes • Mas no modelo de código fechado, não há garantias de que não haja backdoors • Use criptografia WEP • Ela não resolve, mas dificulta, ainda que por poucas horas • Use MAC-filtering/ACLs onde apropriado • Também não resolve, mas ajuda • Pode se tornar um fardo maior que um benefício se as ACLs ficarem grande • Gerencie • Reinventarie e audite a base instalada regularmente

50. Defesas Controle o serviço IP • DHCP • Restrito por MAC: mesmo overhead de gerenciamento por não escalar para um grande número de estações • DHCP Honeypots/Visitor service: serviço diferenciado para “visitantes” e “internos” • “Se não pode vencê-los, junte-se a eles”... ou melhor, deixe que se juntem a você, mas de forma limitada e controlada • Monitoraçao/QoS diferenciado imposto para os visitantes • Arpwatches em todo lugar • Links redundantes e roteamento dinâmico • Resistência a ataques a quedas naturais e ataques de negação de serviço