1 / 67

Sistema de Prevenção de Intrusão em Redes sem Fio

Sistema de Prevenção de Intrusão em Redes sem Fio. Italo Bruno Territory Sales Manager italo.bruno@flukenetworks.com (61) 9276-4608. Por que WLAN?. Preciso de WLAN? Mobilidade; Visitantes; BYOD; Demanda Superior. Se eu preciso, então. relutar por quê?.

keitha
Download Presentation

Sistema de Prevenção de Intrusão em Redes sem Fio

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Sistema de Prevenção de Intrusão em Redes sem Fio Italo Bruno Territory Sales Manager italo.bruno@flukenetworks.com (61) 9276-4608

  2. Por que WLAN? • Preciso de WLAN? • Mobilidade; • Visitantes; • BYOD; • Demanda Superior.

  3. Se eu preciso, então.. relutar por quê?

  4. VOCÊ SABE O QUE VOCÊ NÃO SABE?VOCÊ PODE VER O QUE NÃO PODE VER?

  5. Risco de Segurança RiscoOperacional • WLANs podeultrapassarsegurançatradissional e expor a corporação • Ameaças wireless precisamserrapidamentediagnosticadas e paradas • WLAN nãodeveriaroubarbandacabeada • Dificuldadeemdiagnosticarproblemasna performance WLAN RiscoRegulatório NovasTecnologias • Conformidade com leis e regulamentosauditáveis • Wireless VoIP • Wireless “N” • Wireless “ac” • BYOD Wireless LANs IntroduziuNovosRiscos

  6. Desafios à Wireless nasCorporações • Quãoeficientemente é o planejamento, implantação e otimização de redes 802.11n?, 802.11ac? • OndeposicionarPontos de Acesso (APs) para melhor performance? • Como gerenciarameaças à segurança? • Como realizardiangóstico (throubleshooting) eficiente? • Minharede WLAN comportará VoIP sobreWiFi?, VDI?, BYOD? • Estáminharedeemconformidade com padrõesinternacionais?

  7. BYOD – Mais de 500 respostas de múltiplossegmentosverticaisaoredor do mundo: • 82% das organizaçõespermitemuso de dispositivosmóveis (BYOD) narede WLAN corporativa; • 51% das organizaçõesestãopreocupadassobrecomo BYOD iráafetar o consumo de banda; • 52% das organizaçõesrecebemdiversasreclamaçõespordia dos colaboradoestendodificuldadesemconectarnarede WLAN corporativa com seusdispositivosmóveispessois; • 71% das reclamaçõessãosobreconectividade e performance; • Aproximadamente50% das organizaçõesestãoplanejando um redesenho da rede para acomodar o crescimento de BYOD • *According to an internal survey of Fluke Networks customers/prospects

  8. Vulnerabilidades WLAN DriftNet CommView • RedesSemFiosãovulneráveis a ataquesespecializados: • Muitos dos ataquesexploramfraquezasnatecnologiadesdequesegurança WLAN 802.11 é relativamente nova comparada à tradicionalsegurançaàsredescabeadas e o próprioperímetro de defesa. • Máconfiguração, configuraçãoincompleta e osprópriosusuários. • Bemconhecidos e documentadosparâmetrosdefaults emequipamentos.

  9. Mas o que é segurança? • Segurança da Informaçãorefere-se a garantirqueosusuáriospossamrealizarapenas as tarefasqueelesestãoautorizados a fazer e acessarapenas a informação à qualelesestãoautorizados a ter.

  10. Ameaças Wireless – Quatro Classes Principais Existemquatroprincipais classes de ameaças à segurançaemredessemfio: • AMEAÇAS NÃO ESTRUTURADAS • AMEAÇAS ESTRUTURADAS • AMEAÇAS EXTERNAS • AMEAÇAS INTERNAS

  11. Ameaças Wireless • AmeaçasNãoEstruturadas • Indivíduosfacilmenteutilizandoferramentas de hacking. • Netstumbler • Inssider • Característica: • Oportunistaspornatureza. • Tipicamentepoucocompetentetecnicamente e poucopersistente.

  12. Ameaças Wireless • AmeaçasEstruturadas • Hackers quesãoaltamentemotivadose tecnicamentecompetentes; • Elessabeme pesquisamvulnerabilidadesnossistemas wireless. • Elesentendem e desenvolvemcódigos de exploração, scripts e programas.

  13. Ameaças Wireless • AlgunsWiFi APs em hardware compacto. • Quãofácilseriacolocar um dispositivodestes for a da vista numasala de conferênciaouembaixo de uma mesa?

  14. Ameaças Wireless • AmeaçasExternas • Hackers criam um modo para invadir a redeprincipalmente fora das edificações, taiscomoemestacionamentos, construçõespróximasouáreascomuns.

  15. Ameaças Wireless • AmeaçasInternas: • Acessointernonãoautorizado e mauuso do acessopor 60% a 80% de incidentesreportados de acordo com um estudofeitopelo FBI; • Usuáriosinstalam APs com poucaounenhumasegurançaconfigurada; • Dispositivosmóveis com máconfiguração dos parâmetros de redesemfio; • Exessivovasamento de sinal 802.11; • Política de segurançafracaouinexistente. Nãoseguimento de padrõesinternacionais de segurança; • Usuárionãointencionadoinduzindovulnerabilidades.

  16. Mas o queexatamenteelesfazem? Antes de discutirremediação e/oumitigação das VulnerabilidadesemRedessemFio, uma boa práticaseriavisualizarbrevemente a metodologiabásica dos AtaquesàsRedessemFio.

  17. Métodos de Ataques Wireless • Métodos de ataques Wireless podemserdivididosem 3 principaiscategorias: • Reconhecimento; • Ataqueacesso; • Negação de Serviço (DoS).

  18. Simpático, não?

  19. E agora, continua simpático? Câmera no urso Como vocêidentifica um dispositivoinvasore dispositivos fora do padrão 802.11 quepodemcomprometer a performance e segurança da WLAN? Pequenacâmeradentro do urso 2.4 GHz Wireless Receiver *AirMagnet Enterprise solved this problem for a financial services company

  20. Reconhecimento • Reconhecimento é um descobrimentonãoautorizado e o mapeamento de sistemas, sinais, serviçosouvulnerabilidades; • É tambémconhecidocomocoleta de informaçõesquecomumenteprecedemumaefetivatentativa de acessoouataqueDoS; • Reconhecimento é similar aoladrãorondando a vizinhançapor casas inseguras. • Reconhecimento wireless é comumentechamado de wardriving or warchalking.

  21. Reconhecimento • Reconhecimento: • É ilegalemalgunspaísespodendoresultarempunição.

  22. O projeto War Driving Day • A sexta edição do projeto War Driving Day, quarta ocorrida no Centro da Cidade do Rio de Janeiro, teve cobertura do Jornal O Globo. http://www.seginfo.com.br/war-driving-day-seguranca-redes-sem-fio/#wdd4

  23. Resultadosdescobertos • O número de redes abertas, sem qualquer proteção de senha para acesso, ainda é grande. • A variação é pequena ao longo das edições, sendo 50% em 2010 e 45% em 2013. • Como o número de redes quase triplicaram desde a primeira edição, o número de redes sem proteção está consideravelmente alto, sendo 4.507 redes desprotegidas, número este maior do que o total registrado em 2011 (4.094).

  24. Acesso • Sistemas de acesso e/ouintrusão, nestecontexto, trazem a habilidade para um intrusonãoautorizado de ganharacessoaodispositivoaoqualnão tem permissão. • Acessandosistemasaosquaisnão tem acessonãoraroenvolvemprocessar um script ouferramenta de exploração a vulnerabilidadesconhecidasemsistemasouaplicações. • Incluem: • Exploração de senhas fracas ouinexistentes; • Exploração de serviços (HTTP, FTP, SNMP, CDP e Telnet); • Engenharia Social. • São práticasilegais. AirSnort

  25. Acesso – Ataque Rogue AP • A maioria dos clientesirãoassociar-se ao Ponto de Acesso com sinalmais forte. Se um AP nãoautorizado, usualmente um AP rougue, tem o sinalmais forte, o clienteiráassociar-se a este AP; • O rogue AP teráentãoacessoaotráfego da rede e aosusuáriosassociados; • O AP rogue podetambémutilizar de ARP Poisoning e IP Spoofing para enganarclientes a enviaremsenhas e informaçõessigilosas.

  26. Negação de Serviço (DoS) • DoSocorrequando um ataquantedesabilidaoucorrompe a rede wireless, sistemasouserviços com a intenção de negarosserviços a usuáriosautorizados; • AtaquesDoSpodemterváriasforams; • Na maioria das vezesenvoleapenasrodar um script ouutilizarumaferramenta.

  27. Negação de Serviço (DoS) – Ataques • Envio de falsos frames de desassociação/ desautenticaçãoqueforça o cliente a desconectar do ponto de acesso; • Jamming (congestionamento): • Um atacantesimplesmentesobrecarrega a potência do sinal do AP válido; • Interferênciaintencional • Frequência 2.4Ghz possuiapenas 3 canaisnãosobrepostos, com issocanais 802.11b/g e n em 2.4Ghz sãoespecialmentesuscetíveis a estetipo de ataque.

  28. Ataquesadicionais • Man-In-The-Middle • Espionagem da sessão wireless; • Manipulação da sessão wireless. • MAC Spoofing • Explorafraquezas no filtro de endereços MAC. • Engenharia Social.

  29. Princípios de Segurança • Modelo CID de Segurança • Confidencialidade • Permitir o acessoaosrecursosapenas a quemprecisa tem permissão para uso. • Integridade • Práticaemgarantirque o dado emtrânsitopermaneçainalterado; • Garantirqueoscomunicadoressãoquemdizem ser. • Disponibilidade • Garantirque o acesso à informaçãoseráconcedidoapenas a pessoasautorizadas, pormotivosautorizados e emlocalizaçãoautorizada.

  30. Princípios de Segurança • AAA: • Autenticação: • Prática de validar e verificar a identidade: • 3 Fatores: • Algoquevocêconhece–ID do usuário e Senha; • Algoquevocêtem – SecureID Smart Cards, Tokens • Algoquevocêé – Biometria, Leitura de retina, impressão digital. • Autorização • Práticaemproveracesso à informação a usuáriosautenticadosbaseados no nívelpré-definido de acessoautorizado, tambémchamado de acessobaseadoemregras; • Accounting (Auditing) • Prática de garantirque o acessoao dado seráautidável e que a integridade do dado auditadooumecanismoserámantido;

  31. Fato #1- 802.11 MAC é enviadoemtextoclaro • O planejamentobásico do protocolo 802.11 deixapouco para a imaginação: • A maioria do tráfego de gerenciamentofluiemtextoclaro; • Tornafácilinterferir no estado da conexão dos dispositivos, atémesmocapturarfragmentos de fluxos.

  32. 100m 400m Fato #2:Hackers Precisamestar no range do espectro RF WLAN • Para tentar um ataqueaotentarumaconexãoo atacanteprecisaráusar WLAN.

  33. O que é únicosobresegurança WLAN Outside Inside NEIGHBORS HACKERS EAVESDROPPERS Wireless Security Wired Security Unlimited entry points All devices are critical to security Few, heavily secured entry points

  34. AP Coverage (11b @ 1.0 Mbps edge) I see your Beacon! AP Coverage (11g @ 54 Mbps service) Entretanto, sua WLAN podeserobservada à distância

  35. Boa notíciaHacker precisaestarnacobertura de RF • Boa notícia: Hackers precisamestarbempróximo da edificação(ou do dispositivomóvel); • Mánotícia:Quaseimpossível de preveniremáreasdensamenteurbanasouindustriais.

  36. Ainda assim • Medo não deve impedir o progresso

  37. Ações para Mitigação • SegurançaFísica; • Minimizarvazamento de sinal RF; • Utilizarpadrões fortes de criptografia/autenticação. IMPLANTAR 24x7x365 Enterprise WIDS/WIPS.

  38. Suaredeestásendo ‘hackeada’? Ou… • Quantosataquescriamsintomasnotórios para usuáriosautorizados? • Quedizer de interferência / ruído de RF? • NovosAtaques? SEM WIPS NUNCA IRÁ SABER!!!

  39. O que WIPS podefazerporsua WLAN? Legenda: Análise da Segurança WLAN • O que • Como / Quem • Nível de risco • Frequência / Plano de Detecção • Como Prevenir

  40. Rogue AP- “Vizinhotransitório” • O que: • Rogue AP é detectado, mas seuestadomudaconstantemente. Diagnósticocuidadoso é necessário. • Como / Quem: • Podeser um AP rogue malicioso com intuitoemhackear. • Podeserapenas um vizinhobenigno. Nível de Risco:BAIXO • Se o AP for um vizinhobenigno, haverápouca chance de problemas. Frequência:MÉDIA • Full-time / Full-coverage monitoramento WIDS requerido • Como Prevenir: • Nãohácomoprevenir

  41. AP no escritórioaolado “Vizinho” Rogue AP T T • Como saber se é um vizinho?

  42. Situação: #1, Terça 16:30

  43. Então… • AP Rogue surge às 16:30, ficapor 30 min. • Mesmocomportamento no próximo dia. • Uma investigaçãorevela: • mesmocomportamento, mesmo SSID em 2 outrasunidades da empresaemcidadesdiferentes! • Um leitormóvel no notebook poderáajudar? -- OU – • Implementedispositivo WIPS/WIDS.

  44. Redes WLAN Ad-hoc • O que: • MS Windows permite o adaptador WLAN operarcomo ad-hoc (ponto a ponto). A maioria dos laptops tem estafunçãoativadapor default. fault. • Nova falhapodepiorar a exploraçãodestetipo de conexão. • Como / Quem: • Podeserproveniente de computadores de colaboradoresconfiguradoerroneamente. • Nível de Risco:Alto • Hacker poderiaestabelecerumaconexão ad-hoc, levantarataques no laptop e potencialmenteconectar-se a outrasconexões de redeativas. • Frequência:ALTA • Full-time / full-coverage monitoramento WIDS podeinstantaneamentedetectar e localizar o dispositivo • Como prevenir: • Educaroscolaboradores. • Utilizarfunção WIPS para localizar e bloquearnós ad-hoc ativos.

  45. Auditor Externo!! Visitante Terceirizado Perigo real Laptops conectados à redecabeada COM ad-hoc WLAN ativo. Hackers podemadentrar à redecabeada.

  46. Rogue AP – Usuáriosavançados • O que: • “usuáriosavançados” conectam APs nãoautorizados à redecabeadasemqualquerrecurso de segurança. • Como / Quem: • Colaboradoresiniciandorede WLAN temporária. • Colaborador “esperto” tentandoburlar as regras de segurança. Nível de Risco:ALTO • AcessonãoautorizadoWLAN à redecorporativa. • Algumasconfiguraçõespodemcausardanosevero à rede. Frequência:BAIXA • Full-time / full-coverage monitoramento WIDS requerido. • Como prevenir: • Educaroscolaboradores. • Uso de WIPS para monitorar WLAN e a redeCabeada.

  47. SITUAÇÃO REAL: Grande Problema!!! • Colaboradoresconectam AP à redeutilizandobaixaounenhumasegurança. • Utilizam o esquema de IP conhecido. • Resultado: 4 horas de inatividade.

  48. MitigandoVulnerabilidades WLAN

  49. O queconsiderar? • Aplique boas práticas de segurançanaconfiguração de WIPS; • Criptografia; • AAA; • Cobertura do sinal. • OU nãotenha WLAN.; Resolve? WIDS / WIPS – Sistema indispensável

  50. WIPS – Detecção de ameaças • Dispositivos não controlados; • Dispositivos falsificados; • Ataques de DoS; • Detecção de ferramentas de invasão; • Ataque de força bruta. MAIS IMPORTANTE CONSTANTE ATUALIZAÇÃO DE ASSINATURAS

More Related