210 likes | 298 Views
Segurança em Redes Sem Fio. Codificação e Encriptação de redes Wireless. Codificação e Encriptação. Codificação significa a modificação de características de um sinal para torná-lo mais apropriado para uma aplicação específica, como por exemplo transmissão ou armazenamento de dados.
E N D
Segurança em Redes Sem Fio Codificação e Encriptação de redes Wireless
Codificação e Encriptação • Codificação significa a modificação de características de um sinal para torná-lo mais apropriado para uma aplicação específica, como por exemplo transmissão ou armazenamento de dados. • Existem três tipos de codificação: • Codificação de canal: Códigos detectores ou corretores de erros. • Codificação de fonte: Criptografia e compressão de dados. • Códigos de linha: Especificam a forma do sinal eléctrico que será usado para representar os símbolos de informação. • No caso binário, especifica o sinal eléctrico dos bits 1 e 0. • Encriptação é o processo de transformar informação usando um algoritmo (chamado cifra) de modo a impossibilitar a sua leitura a todos exceto aqueles que possuam uma informação particular, geralmente referida como chave.
WEP • WiredEquivalentPrivacy (WEP) - Uma chave WEP (ou chave de rede) é uma senha compartilhada utilizada para criptografar e descriptografar comunicações de dados sem fios que só podem ser lidas por outros computadores que tenham a mesma chave. • A chave WEP é armazenada em cada computador da rede, de modo que os dados possam ser criptografados e descriptografados à medida que são transmitidos por ondas de rádio na rede sem fios. • É um esquema de criptografia estática do padrão IEEE 802.11 que fornece controle básico de acesso e privacidade de dados na rede sem fio. Os modos de criptografia podem ser de 64 bits (5 caracteres alfabéticos ou 10 números hexadecimais) ou de 128 bits (13 caracteres alfabéticos ou 26 números hexadecimais). • Criado em 1999.
Formação do texto cifrado utilizando WEP. Fonte: 3Com WEP usa um stream para criptografia RC4 simétrica, conforme ilustra a figura , o que permite que a chave para a criptografia estática seja relativamente fácil de ser quebrada
WPA • Wi-Fiprotectedaccess (WPA) - O método WPA oferece um maior nível de proteção de dados e controle de acesso para uma rede local sem fios. Para melhorar a criptografia de dados, o método WPA utiliza uma chave mestra compartilhada. • Dentro de uma rede corporativa, essa chave pode ser uma chave dinâmica atribuída por um servidor de autenticação para oferecer controle de acesso e gestão centralizados. • Num ambiente doméstico ou de empresas pequenas, o WPA é executado de um modo doméstico especial chamado Pre-SharedKey (Chave pré-compartilhada) (PSK) que utiliza chaves ou senhas inseridas manualmente pelo utilizador para fornecer a segurança. • Surgiu em 2003.
WPA • O WPA - protocolo de proteção de redes sem fio - é um subset (subconjunto) de segurança apresentada no padrão IEEE 802.11. O padrão foi criado com todos os subconjuntos de segurança descritos na recomendação 802.11i para equipamentos 802.11, com objetivo de prover segurança para a redes sem fio. • Tem suporte a WEP, TKIP (Temporal KeyIntegrityProtocol) e 802.1x, e possui vetor de inicialização da chave criptográfica de 48 bits. O WPA, conforme requerido na recomendação 802.1x, contém os avanços e melhorias para segurança no que diz respeito a Integridade, Autenticação e Privacidade.
WEP x WPA • Com a substituição do WEP pelo WPA, temos como vantagem melhorar a criptografia dos dados ao utilizar um protocolo de chave temporária (TKIP) que possibilita a criação de chaves por pacotes, além de possuir função detectora de erros chamada Michael, um vetor de inicialização de 48 bits, ao invés de 24 como no WEP e um mecanismo de distribuição de chaves. Além disso, uma outra vantagem é a melhoria no processo de autenticação de usuários. Essa autenticação se utiliza do 802.11x e do EAP (Extensible Authentication Protocol), que através de um servidor de autenticação central faz a autenticação de cada usuário antes deste ter acesso a rede.
WPA – Autenticação • No 802.11 a autenticação 802.1x é opcional. Já quando se utiliza o WPA, a autenticação 802.1x é exigida. A autenticação WPA é uma combinação de sistemas abertos e 802.1x e utiliza as seguintes fases: • A primeira fase usa uma autenticação de sistema aberto para indicar a um cliente sem fio que pode enviar quadro para o ponto de acesso; • A segunda fase usa o 802.1x para executar a autenticação em nível de usuário. • Para ambientes sem infra-estrutura RADIUS, o WPA suporta o uso de chave pré-compartilhada. • Já para ambientes com infra-estrutura de RADIUS o WPA suporta EAP e RADIUS.
WPA – Criptografia • Com o 802.1x, a troca de chaves de criptografia unicast é opcional. Adicionalmente, o 802.11 e o 802.1x não provêem o mecanismo para troca de chave de criptografia que é usada para o tráfego multicast e broadcast. • Com o WPA, a troca destas chaves de criptografia para ambos é necessária. O TKIP altera a chave de criptografia única para todo o quadro, e é sincronizada a cada alteração entre o cliente e o ponto de acesso. • Para a chave de criptografia multicast/global, o WPA inclui uma facilidade para o ponto de acesso, para avisar mudanças dos clientes sem fio conectados. Para o 802.11 a criptografia WEP é opcional. Para o WPA a criptografia usando o TKIP é necessária. • O TKIP substitui o WEP com um novo algoritmo de criptografia que é mais forte que o algoritmo WEP e ainda pode ser executado usando as facilidades de cálculo presente no hardware existente do equipamento wireless.
WPA – Criptografia • O TKIP provê também a verificação da configuração de segurança depois de determinar a chave de criptografia e a alteração de sincronização da chave de criptografia para cada quadro e determinação do start. • O WPA define o uso do AES (AdvancedEncriptionStandart), como uma substituição opcional para criptografia WEP. Pelo fato de não ser possível o suporte AES através de atualização de firmware em equipamentos sem fio existentes, este suporte para adaptadores de redes sem fio e nos pontos de acesso não é necessário. • O WPA suporta chaves de 40 a 104 bits com vetor inicialização de 24 bits, e a combinação de 104 bits da chave com os 24 bits do vetor de inicialização gera uma chave de 128 bits.
WPA - Integridade dos dados • Com o 802.11 e o WEP, a integridade dos dados é fornecida pelo ICV 32-bit que é incorporado ao payload (corpo) do quadro 802.11 e criptografado com WEP. Embora o ICV seja criptografado, é possível através de analisador de criptografia alterar bits no payload criptografado e atualizar o ICV criptografado sem ser detectado pelo receptor. • Com o WPA, um novo método conhecido como Michael especifica um novo algoritmo que calcula um MIC (MessageIntegrityCode) de 8 bytes com as facilidades de cálculos disponíveis no hardware sem fio existente. O MIC é colocado entre a porção de dados do quadro 802.11 e o ICV de 4 bytes. O campo MIC é criptografado junto com os dados do quadro e o ICV. • O Michael também provê uma proteção de resposta através do uso de um novo contador de campo no cabeçalho MAC do quadro 802.11.
WPA - Integridade dos dados • O WPA deveria substituir o WEP. Sua tecnologia de criptografia e de autenticação de usuário é mais avançada, ou seja, cada usuário tem uma senha exclusiva, que deve ser digitada no momento da ativação do WPA. • A chave de criptografia será trocada periodicamente e de forma automática no decorrer da sessão. Esse mecanismo possibilita que um usuário não autorizado não se conecte facilmente a rede WLAN. • A chave de criptografia dinâmica é uma das principais diferenças do WPA em relação ao WEP, que utiliza a mesma chave repetidamente. Esta característica do WPA também é conveniente porque não exige que se digitem manualmente as chaves de criptografia - ao contrário do WEP. Utiliza um CRC (CyclicRedundantCheck) linear, ou seja, uma chave RC4 criptografa a mensagem transmitida que será decriptografada e conferida pelo destino. Se o CRC calculado pelo destino for diferente do CRC original o pacote é descartado.
Componentes de autenticação e criptografia do WPA Fonte: Cisco Systems
TKIP • O TKIP (Temporal KeyIntegrityProtocol) é um algoritmo de criptografia baseado em chaves que se alteram a cada novo envio de pacote. A sua principal característica é a freqüente mudanças de chaves que garante mais segurança.
O que o TKIP acrescenta em relação às chaves WEP? • Vetor de iniciação de 48 bits em vez de 24 bits para o WEP. O crack da chave WEP vem do fato que o hacker pode determinar a chave WEP a partir do vetor de iniciação de 24 bits. Por conseguinte, é bem mais difícil determinar a chave com um vetor de iniciação de 48 bits. • Geração e distribuição das chaves: o WPA gera e distribui as chaves de codificação, periodicamente, à cada cliente. Na realidade, cada trama utiliza uma nova chave, evitando assim o uso da mesma chave WEP durante semanas, ou até, meses. • Código de integridade da mensagem: este código, chamado MIC (Mensagem IntegrityCode), verifica a integridade da trama. O WEP utiliza um valor de verificação de integridade ICV (IntegrityCheckValue) de 4 bytes, enquanto o WPA acrescenta um MIC de 8 bytes.
Remote Authentication Dial-In UserService (RADIUS) • Para o processo de autenticação requerido pelo WPA, utiliza-se o protocolo 802.1x que poderá utilizar um servidor de autenticação como o RADIUS. O RADIUS é um serviço para autenticação de usuário remoto através de discagem e é um protocolo largamente desenvolvido que permite autenticação, autorização e uma auditoria de acessos a rede de forma centralizada. • O RADIUS é descrito na RFC 2865 e RFC 2866 - RADIUS Accounting. Originalmente desenvolvido para acesso remoto dial-up, o RADIUS agora é suportado pelos Access Point, autenticando os usuários que utilizam dispositivos sem fio e outros serviços de acessos à rede, como o VPN. É necessário um cadastro com a base de usuários autorizados, senhas, políticas de acesso, e etc.
WPA2 ou 802.11i • O WPA2 utiliza o AES (AdvancedEncryptationStandart) junto com o TKIP com chave de 256 bits, um método mais poderoso que o WPA que utilizava o TKIP com o RC4. • O AES permite ser utilizada chave de 128, 192 e 256 bits, o padrão no WPA2 é 256 bits, sendo assim, uma ferramenta muito poderosa de criptografia. • Utilizando o AES surgiu a necessidade de novo hardware para processamento criptográfico, devido a isso, os dispositivos WPA2 tem um co-processamento para realizar os cálculos criptográficos. • Surgiu em 2004.
WPA2-PSK • WPA2-PSK e ainda mais seguro que o WPA-PSK onde sua criptografia (AES) e extremamente forte e resistência a ataques, adoptado como padrão de criptografia do governo americano.
AES • Usar o AES garante uma maior segurança, o problema é que ele exige mais processamento. Isso pode ser um problema no caso dos pontos de acesso mais baratos, que utilizam controladores de baixo desempenho. Muitos pontos de acesso e algumas placas antigas simplesmente não suportam o WPA2 (nem mesmo com uma atualização de firmware) por não terem recursos ou poder de processamento suficiente e existem também casos onde o desempenho da rede é mais baixo ao utilizar o WPA2.
O que o WPA-2 oferece em relação ao WPA? • Segurança e mobilidade mais eficazes graças à autenticação do cliente independentemente do lugar onde ele se encontra. • Maior integridade e maior confidencialidade garantidas por um mecanismo de distribuição dinâmico de chaves. • Mais flexibilidade graças a uma re-atenticação rápida e protegida
Simuladores de AP´s • http://simulador.wappro.com.br/wlbasic.html • http://www.support.dlink.com/emulators/dap2590/index.html