1 / 101

Métodos de Defesa

Métodos de Defesa. Capítulo 5. 5.1 Configurações do Concentrador . Defesa do equipamento. Desabilitar o envio de SSID (ou ESSID). Substituição de endereço MAC. Desabilitar acessos ao concentrador via rede sem fio. Ignorar clientes que enviam SSID (ESSID) como “ANY”.

ula
Download Presentation

Métodos de Defesa

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Métodos de Defesa Capítulo 5

  2. 5.1 Configurações do Concentrador • Defesa do equipamento. • Desabilitar o envio de SSID (ou ESSID). • Substituição de endereço MAC. • Desabilitar acessos ao concentrador via rede sem fio. • Ignorar clientes que enviam SSID (ESSID) como “ANY”. • Utilizar concentrador em modo-ponte (bridge). • Defesa dos equipamentos-clientes. • Desabilitar comunicação entre os clientes.

  3. 5.1.1 Defesa do Equipamento

  4. Defesa do Equipamento • Concentrador • Proteção contra acesso não autorizado. • Proteção contra DoS • Garantir a segurança e privacidade dos clientes. • Demais formas de atques

  5. 5.1.1.1 Desabilitar a difusão de SSID

  6. 5.1.1.2 Modificar o nome SSID padrão

  7. 5.1.1.3 Substituição do Endereço MAC do AP

  8. Substituição do Endereço MAC do AP • Seguindo a linha de segurança por obscuridade. • É possível, em alguns APs, modificar seu endereço MAC. • Fazendo com que a associação deste endereço, que normalmente é feita pelas ferramentas de varredura, com o fabricante do equipamento seja desfeita.

  9. Substituição do Endereço MAC do AP • Essa mudança, quando feita no momento da instalação do AP, não causa nenhum problema ao usuário. • Portanto, evita a identificação do fabricante do AP, por parte de um atacante.

  10. Substituição do Endereço MAC do AP • Esse procedimento é possível através de APs baseados em sistemas operacionais apropriados. • OpenWRT

  11. Substituição do Endereço MAC do AP • OpenWrt is a GNU/Linux based firmware for embedded devices such as residential gateways (routers). • Ver Linksys WRT54G • Ver Asus WL500G

  12. 5.1.1.4 Desabilitar acessos ao AP via rede sem fio

  13. Desabilitar acessos ao AP via rede sem fio • A maioria dos APs permitem configuraçãovia HTTP, através de URLs (default), que são IPs inválidos (192.168.x.x ou 10.0.x.x) fornecidos pelo fabricante.

  14. Desabilitar acessos ao AP via rede sem fio • Mas não há uma forma cifrada para tais acessos. • Assim, é uma boa prática desabilitar acesso ao AP, pelo lado da rede sem fio, para evitar captura de usuários e senhas ou outras informações por um possível atacante.

  15. Desabilitar acessos ao AP via rede sem fio • Permitir que um computador se conecte ao AP para alterar as configurações apenas através da rede cabeada, se esta opção estiver disponível.

  16. Desabilitar acessos ao AP via rede sem fio • Desta maneira um possível atacante, via rede sem fio, não poderá acessar o AP diretamente para promover mudanças na configuração. • Verifique a documentação do seu AP sobre como efetuar estas mudanças, caso estejam disponíveis.

  17. Desabilitar acessos ao AP via rede sem fio • Essa recomendação pressupõe que a rede cabeada conte com mecanismos de proteção que permitam monitorar ou autenticar usuários e, assim, possam restringir ou registrar os possíveis acessos a um AP.

  18. Desabilitar acessos ao AP via rede sem fio • O administrador pode configurar, na rede cabeada, algum software de segurança (Firewall, IDS) para monitorar e registrar todos os acessos ao AP.

  19. Desabilitar acessos ao AP via rede sem fio • Usando um switch e montar uma VLAN consistindo do AP e da rede cabeada, no sentido de dificultar a captura de informações. • VLAN ???

  20. Desabilitar acessos ao AP via rede sem fio • Stunnel é um software de segurança que permite criptografar conexões TCP dentro doprotocolo SSL. • Stunnel requer funcionar com as bilbiotecas SSL, tal como OpenSSL, para se poder compilar Stunnel.

  21. 5.1.1.5 Utilizar o AP em modo-ponte (bridge)

  22. O que é uma ponte ? • Uma carcterística de uma ponte é permitir o acesso de um ponto ao outro. • Assim, a não ser que exista uma forma de configuração ou de topologia que limite essa funcionalidade natural de uma ponte, todos os equipamentos de um lado ficarão visíveis do outro.

  23. Utilizar o AP em modo-ponte (bridge) • Se o administrador não contar com recursos para bloquear o acesso ao AP: • porque a rede é um acesso eventual para mudar configuração. • porque a rede cabeada não é considerada segura.

  24. Utilizar o AP em modo-ponte (bridge) • Configurar o AP para funcionar no modo-ponte (camada 2). • Sendo ponte, não existe o endereço IP, o que impede o acesso remoto total ao AP, através de um browser.

  25. Utilizar o AP em modo-ponte (bridge) • Habilitar a visibilidade do endereço IP apenas para a rede cabeada (o chamado “IP de Serviço”).

  26. Utilizar o AP em modo-ponte (bridge) • Problema 1: a perda total do acesso remoto.Solução: Este problema pode ser minimizado em alguns APs habilitando-se a visibilidade do endereço IP apenas para a rede cabeada.

  27. Utilizar o AP em modo-ponte (bridge) Se a rede cabeada for considerada segura ou a rede sem fio e a cabeada forem separadas por um firewall que possa selecionar quem e de que maneira pode usar o IP do AP e acessá-lo, esta poderá ser uma opção a ser considerada. • Ver no AP como suportar um firewall.

  28. Utilizar o AP em modo-ponte (bridge) • Problema 2: Protocolos como TKIP, AES ou até mesmo a autenticação via RADIUS, não funcionam. • A segurança da rede fica limitado, sem poder utilizar um nível de segura superior como o WPA.

  29. 5.1.1.6 Ignorar clientes que enviam SSID igual a “ANY”

  30. Ignorar clientes que enviam SSID igual a “ANY” • SSID como “ANY” caracteriza um cliente que busca qualquer AP disponível. • Podendo ser um atacante tentando explorar o ambiente.

  31. Ignorar clientes que enviam SSID igual a “ANY” • Mesmo que não seja um ataque, a conexão de um cliente enviando “ANY” pode encontrar um AP … • … que não corresponda ao perfil do cliente e do grau de sigilo das informações em trânsito.

  32. Ignorar clientes que enviam SSID igual a “ANY” • A boa prática é conscientizar os clientes a usarem sempre o SSID à qual desejam conectar-se e do lado do AP, ignorar clientes que insistirem usar “ANY”.

  33. Ignorar clientes que enviam SSID igual a “ANY” • Configurar o AP para desabilitar os clientes com SSID igual a “ANY”. • Alguns APs possuem este tipo de funcionalidade.

  34. Ignorar clientes que enviam SSID igual a “ANY” • APs baseados em FreeBSD tem um comando iwcontrol para desabilitar clientes com SSID igual a “ANY”. • > iwcontrol --I iface –E 0|1|2|30=disabled1=hide SSID in beacon frames2=ignore clients with a “ANY” SSID3=1 and 2 combined

  35. 5.1.2 Defesa dos Equipamentos Clientes

  36. Defesa dos Equipamentos Clientes • Inviolabilidade de comunicação, dados e equipamento do usuário. • Acesso indevido às configurações de segurança dos clientes, para um atacante não conseguir revelar chaves e outrasinformações.

  37. 5.1.2.1 Desabilitar comunicação entre os clientes

  38. Desabilitar comunicação entre os clientes

  39. Desabilitar comunicação entre os clientes

  40. TLS

  41. TLS • Transport Layer Security (TLS) and its predecessor, Secure Sockets Layer (SSL), are cryptographic protocols which provide secure communications on the Internet for web browsing, e-mail, Internet faxing, instant messaging and other data transfers.

  42. SSL 3.0 x TLS 1.0 • There are slight differences between SSL 3.0 and TLS 1.0, but the protocol remains substantially the same.

  43. Cryptographic Protocols • A security protocol (cryptographic protocol or encryption protocol) is an abstract or concrete protocol that performs a security-related function and applies cryptographic methods.

  44. Cryptographic Protocols • Are widely used for secure application-level data transport. • A cryptographic protocol usually incorporates at least some of these aspects:

  45. Cryptographic Protocols • Key agreement or establishment. • Entity authentication. • Symmetric encryption and message authentication. • Secured application-level data transport. • Non-repudiation methods.

  46. Characteristics of TLS • Transport Layer Security (TLS) is a cryptographic protocol that is used to secure web (HTTP) connections. • It has an entity authentication mechanism, based on the X.509 system;

  47. Characteristics of TLS • A key setup phase, where a symmetric encryption key is formed by employing public-key cryptography; • An application-level data transport function. • Standard TLS does not have non-repudiation support.

  48. How TLS works ?

  49. TLS handshake • A Client sends a ClientHello message specifying the highest TLS protocol version it supports, a random number, a list of suggested cipher suites and compression methods.

  50. TLS handshake • The Server responds with a ServerHello, containing the chosen protocol version, a random number, cipher, and compression method from the choices offered by the client.

More Related