670 likes | 765 Views
Sistema de Prevenção de Intrusão em Redes sem Fio. Italo Bruno Territory Sales Manager italo.bruno@flukenetworks.com (61) 9276-4608. Por que WLAN?. Preciso de WLAN? Mobilidade; Visitantes; BYOD; Demanda Superior. Se eu preciso, então. relutar por quê?.
E N D
Sistema de Prevenção de Intrusão em Redes sem Fio Italo Bruno Territory Sales Manager italo.bruno@flukenetworks.com (61) 9276-4608
Por que WLAN? • Preciso de WLAN? • Mobilidade; • Visitantes; • BYOD; • Demanda Superior.
Se eu preciso, então.. relutar por quê?
VOCÊ SABE O QUE VOCÊ NÃO SABE?VOCÊ PODE VER O QUE NÃO PODE VER?
Risco de Segurança RiscoOperacional • WLANs podeultrapassarsegurançatradissional e expor a corporação • Ameaças wireless precisamserrapidamentediagnosticadas e paradas • WLAN nãodeveriaroubarbandacabeada • Dificuldadeemdiagnosticarproblemasna performance WLAN RiscoRegulatório NovasTecnologias • Conformidade com leis e regulamentosauditáveis • Wireless VoIP • Wireless “N” • Wireless “ac” • BYOD Wireless LANs IntroduziuNovosRiscos
Desafios à Wireless nasCorporações • Quãoeficientemente é o planejamento, implantação e otimização de redes 802.11n?, 802.11ac? • OndeposicionarPontos de Acesso (APs) para melhor performance? • Como gerenciarameaças à segurança? • Como realizardiangóstico (throubleshooting) eficiente? • Minharede WLAN comportará VoIP sobreWiFi?, VDI?, BYOD? • Estáminharedeemconformidade com padrõesinternacionais?
BYOD – Mais de 500 respostas de múltiplossegmentosverticaisaoredor do mundo: • 82% das organizaçõespermitemuso de dispositivosmóveis (BYOD) narede WLAN corporativa; • 51% das organizaçõesestãopreocupadassobrecomo BYOD iráafetar o consumo de banda; • 52% das organizaçõesrecebemdiversasreclamaçõespordia dos colaboradoestendodificuldadesemconectarnarede WLAN corporativa com seusdispositivosmóveispessois; • 71% das reclamaçõessãosobreconectividade e performance; • Aproximadamente50% das organizaçõesestãoplanejando um redesenho da rede para acomodar o crescimento de BYOD • *According to an internal survey of Fluke Networks customers/prospects
Vulnerabilidades WLAN DriftNet CommView • RedesSemFiosãovulneráveis a ataquesespecializados: • Muitos dos ataquesexploramfraquezasnatecnologiadesdequesegurança WLAN 802.11 é relativamente nova comparada à tradicionalsegurançaàsredescabeadas e o próprioperímetro de defesa. • Máconfiguração, configuraçãoincompleta e osprópriosusuários. • Bemconhecidos e documentadosparâmetrosdefaults emequipamentos.
Mas o que é segurança? • Segurança da Informaçãorefere-se a garantirqueosusuáriospossamrealizarapenas as tarefasqueelesestãoautorizados a fazer e acessarapenas a informação à qualelesestãoautorizados a ter.
Ameaças Wireless – Quatro Classes Principais Existemquatroprincipais classes de ameaças à segurançaemredessemfio: • AMEAÇAS NÃO ESTRUTURADAS • AMEAÇAS ESTRUTURADAS • AMEAÇAS EXTERNAS • AMEAÇAS INTERNAS
Ameaças Wireless • AmeaçasNãoEstruturadas • Indivíduosfacilmenteutilizandoferramentas de hacking. • Netstumbler • Inssider • Característica: • Oportunistaspornatureza. • Tipicamentepoucocompetentetecnicamente e poucopersistente.
Ameaças Wireless • AmeaçasEstruturadas • Hackers quesãoaltamentemotivadose tecnicamentecompetentes; • Elessabeme pesquisamvulnerabilidadesnossistemas wireless. • Elesentendem e desenvolvemcódigos de exploração, scripts e programas.
Ameaças Wireless • AlgunsWiFi APs em hardware compacto. • Quãofácilseriacolocar um dispositivodestes for a da vista numasala de conferênciaouembaixo de uma mesa?
Ameaças Wireless • AmeaçasExternas • Hackers criam um modo para invadir a redeprincipalmente fora das edificações, taiscomoemestacionamentos, construçõespróximasouáreascomuns.
Ameaças Wireless • AmeaçasInternas: • Acessointernonãoautorizado e mauuso do acessopor 60% a 80% de incidentesreportados de acordo com um estudofeitopelo FBI; • Usuáriosinstalam APs com poucaounenhumasegurançaconfigurada; • Dispositivosmóveis com máconfiguração dos parâmetros de redesemfio; • Exessivovasamento de sinal 802.11; • Política de segurançafracaouinexistente. Nãoseguimento de padrõesinternacionais de segurança; • Usuárionãointencionadoinduzindovulnerabilidades.
Mas o queexatamenteelesfazem? Antes de discutirremediação e/oumitigação das VulnerabilidadesemRedessemFio, uma boa práticaseriavisualizarbrevemente a metodologiabásica dos AtaquesàsRedessemFio.
Métodos de Ataques Wireless • Métodos de ataques Wireless podemserdivididosem 3 principaiscategorias: • Reconhecimento; • Ataqueacesso; • Negação de Serviço (DoS).
E agora, continua simpático? Câmera no urso Como vocêidentifica um dispositivoinvasore dispositivos fora do padrão 802.11 quepodemcomprometer a performance e segurança da WLAN? Pequenacâmeradentro do urso 2.4 GHz Wireless Receiver *AirMagnet Enterprise solved this problem for a financial services company
Reconhecimento • Reconhecimento é um descobrimentonãoautorizado e o mapeamento de sistemas, sinais, serviçosouvulnerabilidades; • É tambémconhecidocomocoleta de informaçõesquecomumenteprecedemumaefetivatentativa de acessoouataqueDoS; • Reconhecimento é similar aoladrãorondando a vizinhançapor casas inseguras. • Reconhecimento wireless é comumentechamado de wardriving or warchalking.
Reconhecimento • Reconhecimento: • É ilegalemalgunspaísespodendoresultarempunição.
O projeto War Driving Day • A sexta edição do projeto War Driving Day, quarta ocorrida no Centro da Cidade do Rio de Janeiro, teve cobertura do Jornal O Globo. http://www.seginfo.com.br/war-driving-day-seguranca-redes-sem-fio/#wdd4
Resultadosdescobertos • O número de redes abertas, sem qualquer proteção de senha para acesso, ainda é grande. • A variação é pequena ao longo das edições, sendo 50% em 2010 e 45% em 2013. • Como o número de redes quase triplicaram desde a primeira edição, o número de redes sem proteção está consideravelmente alto, sendo 4.507 redes desprotegidas, número este maior do que o total registrado em 2011 (4.094).
Acesso • Sistemas de acesso e/ouintrusão, nestecontexto, trazem a habilidade para um intrusonãoautorizado de ganharacessoaodispositivoaoqualnão tem permissão. • Acessandosistemasaosquaisnão tem acessonãoraroenvolvemprocessar um script ouferramenta de exploração a vulnerabilidadesconhecidasemsistemasouaplicações. • Incluem: • Exploração de senhas fracas ouinexistentes; • Exploração de serviços (HTTP, FTP, SNMP, CDP e Telnet); • Engenharia Social. • São práticasilegais. AirSnort
Acesso – Ataque Rogue AP • A maioria dos clientesirãoassociar-se ao Ponto de Acesso com sinalmais forte. Se um AP nãoautorizado, usualmente um AP rougue, tem o sinalmais forte, o clienteiráassociar-se a este AP; • O rogue AP teráentãoacessoaotráfego da rede e aosusuáriosassociados; • O AP rogue podetambémutilizar de ARP Poisoning e IP Spoofing para enganarclientes a enviaremsenhas e informaçõessigilosas.
Negação de Serviço (DoS) • DoSocorrequando um ataquantedesabilidaoucorrompe a rede wireless, sistemasouserviços com a intenção de negarosserviços a usuáriosautorizados; • AtaquesDoSpodemterváriasforams; • Na maioria das vezesenvoleapenasrodar um script ouutilizarumaferramenta.
Negação de Serviço (DoS) – Ataques • Envio de falsos frames de desassociação/ desautenticaçãoqueforça o cliente a desconectar do ponto de acesso; • Jamming (congestionamento): • Um atacantesimplesmentesobrecarrega a potência do sinal do AP válido; • Interferênciaintencional • Frequência 2.4Ghz possuiapenas 3 canaisnãosobrepostos, com issocanais 802.11b/g e n em 2.4Ghz sãoespecialmentesuscetíveis a estetipo de ataque.
Ataquesadicionais • Man-In-The-Middle • Espionagem da sessão wireless; • Manipulação da sessão wireless. • MAC Spoofing • Explorafraquezas no filtro de endereços MAC. • Engenharia Social.
Princípios de Segurança • Modelo CID de Segurança • Confidencialidade • Permitir o acessoaosrecursosapenas a quemprecisa tem permissão para uso. • Integridade • Práticaemgarantirque o dado emtrânsitopermaneçainalterado; • Garantirqueoscomunicadoressãoquemdizem ser. • Disponibilidade • Garantirque o acesso à informaçãoseráconcedidoapenas a pessoasautorizadas, pormotivosautorizados e emlocalizaçãoautorizada.
Princípios de Segurança • AAA: • Autenticação: • Prática de validar e verificar a identidade: • 3 Fatores: • Algoquevocêconhece–ID do usuário e Senha; • Algoquevocêtem – SecureID Smart Cards, Tokens • Algoquevocêé – Biometria, Leitura de retina, impressão digital. • Autorização • Práticaemproveracesso à informação a usuáriosautenticadosbaseados no nívelpré-definido de acessoautorizado, tambémchamado de acessobaseadoemregras; • Accounting (Auditing) • Prática de garantirque o acessoao dado seráautidável e que a integridade do dado auditadooumecanismoserámantido;
Fato #1- 802.11 MAC é enviadoemtextoclaro • O planejamentobásico do protocolo 802.11 deixapouco para a imaginação: • A maioria do tráfego de gerenciamentofluiemtextoclaro; • Tornafácilinterferir no estado da conexão dos dispositivos, atémesmocapturarfragmentos de fluxos.
100m 400m Fato #2:Hackers Precisamestar no range do espectro RF WLAN • Para tentar um ataqueaotentarumaconexãoo atacanteprecisaráusar WLAN.
O que é únicosobresegurança WLAN Outside Inside NEIGHBORS HACKERS EAVESDROPPERS Wireless Security Wired Security Unlimited entry points All devices are critical to security Few, heavily secured entry points
AP Coverage (11b @ 1.0 Mbps edge) I see your Beacon! AP Coverage (11g @ 54 Mbps service) Entretanto, sua WLAN podeserobservada à distância
Boa notíciaHacker precisaestarnacobertura de RF • Boa notícia: Hackers precisamestarbempróximo da edificação(ou do dispositivomóvel); • Mánotícia:Quaseimpossível de preveniremáreasdensamenteurbanasouindustriais.
Ainda assim • Medo não deve impedir o progresso
Ações para Mitigação • SegurançaFísica; • Minimizarvazamento de sinal RF; • Utilizarpadrões fortes de criptografia/autenticação. IMPLANTAR 24x7x365 Enterprise WIDS/WIPS.
Suaredeestásendo ‘hackeada’? Ou… • Quantosataquescriamsintomasnotórios para usuáriosautorizados? • Quedizer de interferência / ruído de RF? • NovosAtaques? SEM WIPS NUNCA IRÁ SABER!!!
O que WIPS podefazerporsua WLAN? Legenda: Análise da Segurança WLAN • O que • Como / Quem • Nível de risco • Frequência / Plano de Detecção • Como Prevenir
Rogue AP- “Vizinhotransitório” • O que: • Rogue AP é detectado, mas seuestadomudaconstantemente. Diagnósticocuidadoso é necessário. • Como / Quem: • Podeser um AP rogue malicioso com intuitoemhackear. • Podeserapenas um vizinhobenigno. Nível de Risco:BAIXO • Se o AP for um vizinhobenigno, haverápouca chance de problemas. Frequência:MÉDIA • Full-time / Full-coverage monitoramento WIDS requerido • Como Prevenir: • Nãohácomoprevenir
AP no escritórioaolado “Vizinho” Rogue AP T T • Como saber se é um vizinho?
Então… • AP Rogue surge às 16:30, ficapor 30 min. • Mesmocomportamento no próximo dia. • Uma investigaçãorevela: • mesmocomportamento, mesmo SSID em 2 outrasunidades da empresaemcidadesdiferentes! • Um leitormóvel no notebook poderáajudar? -- OU – • Implementedispositivo WIPS/WIDS.
Redes WLAN Ad-hoc • O que: • MS Windows permite o adaptador WLAN operarcomo ad-hoc (ponto a ponto). A maioria dos laptops tem estafunçãoativadapor default. fault. • Nova falhapodepiorar a exploraçãodestetipo de conexão. • Como / Quem: • Podeserproveniente de computadores de colaboradoresconfiguradoerroneamente. • Nível de Risco:Alto • Hacker poderiaestabelecerumaconexão ad-hoc, levantarataques no laptop e potencialmenteconectar-se a outrasconexões de redeativas. • Frequência:ALTA • Full-time / full-coverage monitoramento WIDS podeinstantaneamentedetectar e localizar o dispositivo • Como prevenir: • Educaroscolaboradores. • Utilizarfunção WIPS para localizar e bloquearnós ad-hoc ativos.
Auditor Externo!! Visitante Terceirizado Perigo real Laptops conectados à redecabeada COM ad-hoc WLAN ativo. Hackers podemadentrar à redecabeada.
Rogue AP – Usuáriosavançados • O que: • “usuáriosavançados” conectam APs nãoautorizados à redecabeadasemqualquerrecurso de segurança. • Como / Quem: • Colaboradoresiniciandorede WLAN temporária. • Colaborador “esperto” tentandoburlar as regras de segurança. Nível de Risco:ALTO • AcessonãoautorizadoWLAN à redecorporativa. • Algumasconfiguraçõespodemcausardanosevero à rede. Frequência:BAIXA • Full-time / full-coverage monitoramento WIDS requerido. • Como prevenir: • Educaroscolaboradores. • Uso de WIPS para monitorar WLAN e a redeCabeada.
SITUAÇÃO REAL: Grande Problema!!! • Colaboradoresconectam AP à redeutilizandobaixaounenhumasegurança. • Utilizam o esquema de IP conhecido. • Resultado: 4 horas de inatividade.
O queconsiderar? • Aplique boas práticas de segurançanaconfiguração de WIPS; • Criptografia; • AAA; • Cobertura do sinal. • OU nãotenha WLAN.; Resolve? WIDS / WIPS – Sistema indispensável
WIPS – Detecção de ameaças • Dispositivos não controlados; • Dispositivos falsificados; • Ataques de DoS; • Detecção de ferramentas de invasão; • Ataque de força bruta. MAIS IMPORTANTE CONSTANTE ATUALIZAÇÃO DE ASSINATURAS