SlideShare una empresa de Scribd logo

WiFi Security and QOS

A
Andre_C10002

2003-06

Tecnología
1 de 31
Congresso Wi-Fi IIR Desenvolvimentos Tecnológicos e Implementações de QOS e Protocolos de Segurança em Redes Wi-Fi André Corrêa andre.correa@pobox.com 29/06/2003
Agenda 802.11 – Padrões / Grupos de Trabalho 802.11e - QOS WEP / WEP 2 802.1x Riscos associadoas a utilização de redes Wi-Fi e medidas de Segurança Q&A
802.11 – Padrões e Grupos de Trabalho 802.11a - 5GHz UNII OFDM (Ortogonal Frequency Division Multiplexing) 6 to 54Mbps 802.11b - 2.4GHz CCK (Complementary Code Keying) 1 to 11Mbps
802.11 – Padrões e Grupos de Trabalho 802.11g Higher Rate Extensions na banda de 2.4GHz Aumento da velocidade em relação a 802.11b - até 54Mbps OFDM (Frequency Division Multiplexing) RTS / CTS Compatível com 802.11b
802.11 – Padrões e Grupos de Trabalho 802.11c - Bridge Operation Procedures 802.11d - Global Harmonization Regulamentação: U.S., Europa e Japão 802.11e - MAC Enhancements for QoS QOS focado em aplicações multimídia Compatível com qualquer 802.11 PHYs
802.11 – Padrões e Grupos de Trabalho 802.11f - Inter Access Point Protocol (IAPP) Roaming entre Access Points APs de fabricantes diferentes podem não operar em conjunto 802.11h - Spectrum Managed 802.11a Seleção dinâmica de canais (Europa) 802.11i - MAC Enhancements for Enhanced Security Resolução de problemas relativos ao WEP Incorpora o 802.1x e técnicas avançadas de criptografia
802.11e QOS (Quality of Service) em 802.11 Trabalha na camada MAC Desejável para aplicações multimídia Cooperação com IEEE 1394 Aplicável e compatível com 802.11a, 802.11b e 802.11g (PHY)
802.11e Soluções que funcionam em redes cabeadas podem não funcionar em redes wireless pelos seguintes motivos: Taxa de erro pode chegar de 10 a 20% Taxa de transmissão varia de acordo com as condições do canal utilizado Impossível determinar a banda exata que pode ser utilizada devido a sua variação
802.11e Ë comum definir como constante o tráfego multimídia, mas ele se torna “bursty” em situações onde existe elevada taxa de erro. Protocolos da camada MAC somente podem cuidar da priorização do tráfego, não da reserva de banda
802.11e Reserva de banda Redes IP geralmente utilizam RSVP Muitas aplicações não utilizam esse protocol RSVP está sendo descontinuado por alguns fabricantes (Exemplo: MS Windows XP) 802.11e deve suportar 802.1p (priority marking) 802.11e não deve assumir a utilização de RSVP mas deve se beneficiar caso este esteja disponível
802.11e - Draft Focado em duas aplicações Audio/vídeo – deve suportar: até 3 canais simultâneos MPEG-2 em DVD rate; ou um canal MPEG-2 em HDTV rate, em redes 802.11a QOS para redes corporativas, provendo priorização de tráfego e integração com a infra- estrutura de gerenciamento existente Backwards compatible com Clientes/APs que não utilizem 802.11e Atua também sobre o tráfego entre Clientes
802.11e Tentativas anteriores para WLAN QOS Hiperlan 1 (1996): frágil na presença de erros e clientes “hidden” Hiperlan 2: frágil em situações com bursts de tráfego. Implementação complexa HomeRF: ineficiente para tráfego de vídeo; problemas com a camada PHY
802.11e - HCF Tráfegos diferentes necessitam de soluções diferentes para QOS 802.11e apresenta o conceito: “Hybrid Coordination Function” 802.11e – HCF utiliza funcionalidades das tecnologias CSMA/CA e PCF (Point Coordination Function)
802.11e - HCF CSMA/CA (DCF) (Scheduling) Eficiência e baixa latência para tráfego com burst Controle de acesso ao canal por pacote, não utilizando otimização por previsão de tráfego PCF (Reservation) Controle de acesso ao canal por “stream” Eficiência na previsão de tráfego 802.11e Utiliza uma combinação das duas tecnologias Eficiente acesso ao canal para tráfego previsível Eficiente para tráfego com bursts e retransmissões
802.11e 802.11e está baseado em mais de uma década de experiência em protocolos WLAN 802.11e foi desenvolvido com foco nas condições reais de utilização de redes wireless. Robusto em condições adversas Backwards compatible com Clientes e APs 802.11
WEP WEP (Wired Equivalent Privacy): Opcional para 802.11 - MAC Layer Busca resolver os seguintes problemas: Impedir que intrusos consigam ler os dados transmitidos Impedir que intrusos consigam modificar dados transmitidos Impedir que intrusos tenham acesso a rede wireless
WEP Como funciona o WEP Shared Secret (WEP Key) – 40/104 bits Criptografia RC4 stream cipher (simétrica) do payload dos pacotes 802.11 (corpo + CRC) Seed = Shared Secret + Randon 24 bit (IV) IV muda para cada pacote (sequêncial ou randômico dependendo da implementação) IV é enviado em clear text no cabeçalho do pacote 802.11
WEP O que está errado com o WEP Shared Key estática Não possui necamismo de distribuição ou renovação de chaves de criptografia IV relativamente pequeno (24 bits) IV sequêncial em diversas implementações
WEP
WEP2 Definições compatível com WEP Força chaves de 128 bits Suporte a Kerberos V Problemas Permite a reutilização do IV Não possui autenticação mútua Suporte a Kerberos V permite dictionary attacks Possível DOS pois autenticação/desautenticação não são seguras
802.1x Controle de acesso Autenticação mútua Utilização de Servidor de Autenticação centralizada (RADIUS) Distribuição dinâmica de chaves de criptografia EAP (Extensible Authentication Protocol – RFC2284) permitindo a utilização de diversos métodos de autenticação: Token Cards, Kerberos, one-time passwords, certificados digitais e PKI
802.1x Componentes: Supplicant (Cliente) Autenticador (AP) Servidor de Autenticação (RADIUS) Possíveis ataques demonstrados: Session Hijacking Man-in-the-middle
802.1x Cliente envia pedido de autenticação ao AP 1. AP responde pedindo a identificação do Cliente 2. Cliente envia sua identificação que é redirecionada pelo AP 3. ao servidor de autenticação Servidor de autenticação verifica a identidade do Cliente e 4. envia uma mensagem de aceitação/negação ao AP Se a identificação for aceita o AP libera o tráfego do Cliente 5.
802.1x - EAP EAP – TLS Autenticação mútua baseada em certificados Chaves de criptografia são geradas EAP – TTLS Cliente não necessita de certificado digital, mas pode ser autenticado utilizando senhas Servidor de autenticação utiliza certificado digital Chaves de criptografia são geradas
802.1x - EAP EAP – SRP Cliente e servidor de autenticação são autenticados utilizando senhas Chaves de criptografia são geradas EAP – MD5 Cliente é autenticado através de senha Servidor de autenticação não é autenticado Não são geradas chaves de criptografia
Riscos associados Perda de confiança dos clientes Perda de confiança dos acionistas e investidores Danos a marca Diminuição dos lucros Implicações legais
Medidas de Segurança Habilite WEP como nível mínimo de segurança Utilize chaves de 128 bits Altere a chave WEP frequêntemente Não assuma que o WEP é seguro Se possível utilize 802.1x Se possível desabilite broadcast de SSID Altere o SSID e a senha default dos APs
Medidas de Segurança Altere os nomes e senhas das comunities SNMP dos APs Trate sua rede wireless como uma rede pública Utilize filtros por MAC address Coloque sua rede wireless em uma DMZ e de forma isolada Desabilite compartilhamento de arquivos em clientes wireless
Medidas de Segurança Se usuários wireless tiverem de utilizar serviços em sua rede local, utilize outros algorítimos de autenticação e criptografia, como por exemplo: VPN, IPSec, SSH Promova regularmente quot;Access Point Discovery“ Utilize IDS na rede wireless
Q&A
Referências IEEE 802.11 Work Groups SAMS Reading Room Cisco 802.11 Planet Intel ISS CWNP IBM

Recomendados

Explorando vulnerabilidades em redes sem fio
Explorando vulnerabilidades em redes sem fioExplorando vulnerabilidades em redes sem fio
Explorando vulnerabilidades em redes sem fioguest6d639fc
 
Segurança wireless
Segurança wirelessSegurança wireless
Segurança wirelessAlan Aguinaga
 
Vulnerabilidades em Redes Wifi
Vulnerabilidades em Redes WifiVulnerabilidades em Redes Wifi
Vulnerabilidades em Redes WifiDavid de Assis
 
Ataque Redes Wireless - Prática de Ataques
Ataque Redes Wireless - Prática de AtaquesAtaque Redes Wireless - Prática de Ataques
Ataque Redes Wireless - Prática de AtaquesAndre Peres
 
Aula 8 - Redes sem fios - Segurança II
Aula 8 - Redes sem fios - Segurança IIAula 8 - Redes sem fios - Segurança II
Aula 8 - Redes sem fios - Segurança IIAndre Peres
 
Segurança de redes wi fi - WPA
Segurança de redes wi fi - WPASegurança de redes wi fi - WPA
Segurança de redes wi fi - WPADeroci Nonato Júnior
 
Segurança nas redes wirelles rd ii av ii
Segurança nas redes wirelles rd ii av iiSegurança nas redes wirelles rd ii av ii
Segurança nas redes wirelles rd ii av iiMax Maia
 
Segurança em redes sem fio
Segurança em redes sem fioSegurança em redes sem fio
Segurança em redes sem fioWellisson Araújo
 

Recomendados

Explorando vulnerabilidades em redes sem fio
Explorando vulnerabilidades em redes sem fioExplorando vulnerabilidades em redes sem fio
Explorando vulnerabilidades em redes sem fioguest6d639fc
 
Segurança wireless
Segurança wirelessSegurança wireless
Segurança wirelessAlan Aguinaga
 
Vulnerabilidades em Redes Wifi
Vulnerabilidades em Redes WifiVulnerabilidades em Redes Wifi
Vulnerabilidades em Redes WifiDavid de Assis
 
Ataque Redes Wireless - Prática de Ataques
Ataque Redes Wireless - Prática de AtaquesAtaque Redes Wireless - Prática de Ataques
Ataque Redes Wireless - Prática de AtaquesAndre Peres
 
Aula 8 - Redes sem fios - Segurança II
Aula 8 - Redes sem fios - Segurança IIAula 8 - Redes sem fios - Segurança II
Aula 8 - Redes sem fios - Segurança IIAndre Peres
 
Segurança de redes wi fi - WPA
Segurança de redes wi fi - WPASegurança de redes wi fi - WPA
Segurança de redes wi fi - WPADeroci Nonato Júnior
 
Segurança nas redes wirelles rd ii av ii
Segurança nas redes wirelles rd ii av iiSegurança nas redes wirelles rd ii av ii
Segurança nas redes wirelles rd ii av iiMax Maia
 
Segurança em redes sem fio
Segurança em redes sem fioSegurança em redes sem fio
Segurança em redes sem fioWellisson Araújo
 
Aula 09 meios de comunicação de dados
Aula 09 meios de comunicação de dadosAula 09 meios de comunicação de dados
Aula 09 meios de comunicação de dadosJorge Ávila Miranda
 
Wardriving
WardrivingWardriving
Wardrivingtecnotux
 
3 - Redes de Comutadores - ethernet wifi
3 - Redes de Comutadores - ethernet wifi3 - Redes de Comutadores - ethernet wifi
3 - Redes de Comutadores - ethernet wifiAndre Peres
 
Aula 8 semana
Aula 8 semanaAula 8 semana
Aula 8 semanaJorge Ávila Miranda
 
Descomplicando Service Mesh
Descomplicando Service MeshDescomplicando Service Mesh
Descomplicando Service MeshRoberto Alves
 
225187571 mecanismos-de-seguranca
225187571 mecanismos-de-seguranca225187571 mecanismos-de-seguranca
225187571 mecanismos-de-segurancaMarco Guimarães
 
Alta disponibilidade com MySQL Enterprise
Alta disponibilidade com MySQL EnterpriseAlta disponibilidade com MySQL Enterprise
Alta disponibilidade com MySQL EnterpriseMySQL Brasil
 
Dogs 4
Dogs 4Dogs 4
Dogs 4voiculescu gabriel
 
Informe de estado de gvSIG
Informe de estado de gvSIGInforme de estado de gvSIG
Informe de estado de gvSIGJorge Sanz
 
Steve Bernstein Resume PowrPoint #2
Steve Bernstein Resume PowrPoint #2Steve Bernstein Resume PowrPoint #2
Steve Bernstein Resume PowrPoint #2Steve Bernstein
 
wireless_full
wireless_fullwireless_full
wireless_fullManuel Padilha
 
Preparathon PP
Preparathon PPPreparathon PP
Preparathon PPJim Luttjohann
 
el caso del celular
el caso del celularel caso del celular
el caso del celularDicaro2013
 
Axiologia y educación
Axiologia y educaciónAxiologia y educación
Axiologia y educacióndcarneirol
 
Act2 idzm
Act2 idzmAct2 idzm
Act2 idzmIli Zapata
 
Untitled Presentation
Untitled PresentationUntitled Presentation
Untitled PresentationThomas Adams
 
BillionSkills
BillionSkills BillionSkills
BillionSkills Sougam Maity
 
Programa de curso
Programa de cursoPrograma de curso
Programa de cursoCarla Jesus
 
Redes wireless
Redes wirelessRedes wireless
Redes wirelessCarla Jesus
 
Persentacion animada powerpoint
Persentacion animada powerpointPersentacion animada powerpoint
Persentacion animada powerpointvalenronchi
 
Aprender en la vida y en la escuela razones y propuestas educativas, Capitulo...
Aprender en la vida y en la escuela razones y propuestas educativas, Capitulo...Aprender en la vida y en la escuela razones y propuestas educativas, Capitulo...
Aprender en la vida y en la escuela razones y propuestas educativas, Capitulo...Kimberly Flores zatarain
 
Os desafios de coletar e monitorar URLs que apontam para Malwares
Os desafios de coletar e monitorar URLs que apontam para MalwaresOs desafios de coletar e monitorar URLs que apontam para Malwares
Os desafios de coletar e monitorar URLs que apontam para MalwaresAndre_C10002
 

Más contenido relacionado

La actualidad más candente

Aula 09 meios de comunicação de dados
Aula 09 meios de comunicação de dadosAula 09 meios de comunicação de dados
Aula 09 meios de comunicação de dadosJorge Ávila Miranda
 
Wardriving
WardrivingWardriving
Wardrivingtecnotux
 
3 - Redes de Comutadores - ethernet wifi
3 - Redes de Comutadores - ethernet wifi3 - Redes de Comutadores - ethernet wifi
3 - Redes de Comutadores - ethernet wifiAndre Peres
 
Descomplicando Service Mesh
Descomplicando Service MeshDescomplicando Service Mesh
Descomplicando Service MeshRoberto Alves
 
225187571 mecanismos-de-seguranca
225187571 mecanismos-de-seguranca225187571 mecanismos-de-seguranca
225187571 mecanismos-de-segurancaMarco Guimarães
 
Alta disponibilidade com MySQL Enterprise
Alta disponibilidade com MySQL EnterpriseAlta disponibilidade com MySQL Enterprise
Alta disponibilidade com MySQL EnterpriseMySQL Brasil
 

La actualidad más candente (7)

Aula 09 meios de comunicação de dados
Aula 09 meios de comunicação de dadosAula 09 meios de comunicação de dados
Aula 09 meios de comunicação de dados
 
Wardriving
WardrivingWardriving
Wardriving
 
3 - Redes de Comutadores - ethernet wifi
3 - Redes de Comutadores - ethernet wifi3 - Redes de Comutadores - ethernet wifi
3 - Redes de Comutadores - ethernet wifi
 
Aula 8 semana
Aula 8 semanaAula 8 semana
Aula 8 semana
 
Descomplicando Service Mesh
Descomplicando Service MeshDescomplicando Service Mesh
Descomplicando Service Mesh
 
225187571 mecanismos-de-seguranca
225187571 mecanismos-de-seguranca225187571 mecanismos-de-seguranca
225187571 mecanismos-de-seguranca
 
Alta disponibilidade com MySQL Enterprise
Alta disponibilidade com MySQL EnterpriseAlta disponibilidade com MySQL Enterprise
Alta disponibilidade com MySQL Enterprise
 

Destacado

Informe de estado de gvSIG
Informe de estado de gvSIGInforme de estado de gvSIG
Informe de estado de gvSIGJorge Sanz
 
Steve Bernstein Resume PowrPoint #2
Steve Bernstein Resume PowrPoint #2Steve Bernstein Resume PowrPoint #2
Steve Bernstein Resume PowrPoint #2Steve Bernstein
 
el caso del celular
el caso del celularel caso del celular
el caso del celularDicaro2013
 
Axiologia y educación
Axiologia y educaciónAxiologia y educación
Axiologia y educacióndcarneirol
 
Untitled Presentation
Untitled PresentationUntitled Presentation
Untitled PresentationThomas Adams
 
Programa de curso
Programa de cursoPrograma de curso
Programa de cursoCarla Jesus
 
Persentacion animada powerpoint
Persentacion animada powerpointPersentacion animada powerpoint
Persentacion animada powerpointvalenronchi
 
Aprender en la vida y en la escuela razones y propuestas educativas, Capitulo...
Aprender en la vida y en la escuela razones y propuestas educativas, Capitulo...Aprender en la vida y en la escuela razones y propuestas educativas, Capitulo...
Aprender en la vida y en la escuela razones y propuestas educativas, Capitulo...Kimberly Flores zatarain
 
Os desafios de coletar e monitorar URLs que apontam para Malwares
Os desafios de coletar e monitorar URLs que apontam para MalwaresOs desafios de coletar e monitorar URLs que apontam para Malwares
Os desafios de coletar e monitorar URLs que apontam para MalwaresAndre_C10002
 
Turnaround Management and Restructuring
Turnaround Management and RestructuringTurnaround Management and Restructuring
Turnaround Management and Restructuringjgabel
 
Media Management and Information Systems
Media Management and Information SystemsMedia Management and Information Systems
Media Management and Information SystemsMajid Heidari
 
Numerical Analysis in R
Numerical Analysis in RNumerical Analysis in R
Numerical Analysis in RJames Howard
 

Destacado (19)

Dogs 4
Dogs 4Dogs 4
Dogs 4
 
Informe de estado de gvSIG
Informe de estado de gvSIGInforme de estado de gvSIG
Informe de estado de gvSIG
 
Steve Bernstein Resume PowrPoint #2
Steve Bernstein Resume PowrPoint #2Steve Bernstein Resume PowrPoint #2
Steve Bernstein Resume PowrPoint #2
 
wireless_full
wireless_fullwireless_full
wireless_full
 
Preparathon PP
Preparathon PPPreparathon PP
Preparathon PP
 
el caso del celular
el caso del celularel caso del celular
el caso del celular
 
Axiologia y educación
Axiologia y educaciónAxiologia y educación
Axiologia y educación
 
Act2 idzm
Act2 idzmAct2 idzm
Act2 idzm
 
Untitled Presentation
Untitled PresentationUntitled Presentation
Untitled Presentation
 
BillionSkills
BillionSkills BillionSkills
BillionSkills
 
Programa de curso
Programa de cursoPrograma de curso
Programa de curso
 
Redes wireless
Redes wirelessRedes wireless
Redes wireless
 
Persentacion animada powerpoint
Persentacion animada powerpointPersentacion animada powerpoint
Persentacion animada powerpoint
 
Aprender en la vida y en la escuela razones y propuestas educativas, Capitulo...
Aprender en la vida y en la escuela razones y propuestas educativas, Capitulo...Aprender en la vida y en la escuela razones y propuestas educativas, Capitulo...
Aprender en la vida y en la escuela razones y propuestas educativas, Capitulo...
 
Os desafios de coletar e monitorar URLs que apontam para Malwares
Os desafios de coletar e monitorar URLs que apontam para MalwaresOs desafios de coletar e monitorar URLs que apontam para Malwares
Os desafios de coletar e monitorar URLs que apontam para Malwares
 
Turnaround Management and Restructuring
Turnaround Management and RestructuringTurnaround Management and Restructuring
Turnaround Management and Restructuring
 
Media Management and Information Systems
Media Management and Information SystemsMedia Management and Information Systems
Media Management and Information Systems
 
Numerical Analysis in R
Numerical Analysis in RNumerical Analysis in R
Numerical Analysis in R
 
B2 b course outline
B2 b course outlineB2 b course outline
B2 b course outline
 

Similar a WiFi Security and QOS

Seguranca Wireless Instituto Online
Seguranca Wireless Instituto OnlineSeguranca Wireless Instituto Online
Seguranca Wireless Instituto Onlineinstonline
 
Tecnofertas Cecomil 2010
Tecnofertas Cecomil 2010Tecnofertas Cecomil 2010
Tecnofertas Cecomil 2010D-Link Brasil
 
21/11/2010 - Apresentação geral de produtos D-Link para o varejo
21/11/2010 - Apresentação geral de produtos D-Link para o varejo21/11/2010 - Apresentação geral de produtos D-Link para o varejo
21/11/2010 - Apresentação geral de produtos D-Link para o varejoD-Link Brasil
 
Análise de Segurança dos Sistemas Criptográficos Utilizados em Redes IEEE 802.11
Análise de Segurança dos Sistemas Criptográficos Utilizados em Redes IEEE 802.11Análise de Segurança dos Sistemas Criptográficos Utilizados em Redes IEEE 802.11
Análise de Segurança dos Sistemas Criptográficos Utilizados em Redes IEEE 802.11Aline Cruz
 
Segurança nas redes wirelless
Segurança nas redes wirellessSegurança nas redes wirelless
Segurança nas redes wirellessMax Maia
 
Um Mecanismo de Autenticação Baseado em ECDH para Redes
Um Mecanismo de Autenticação Baseado em ECDH para Redes Um Mecanismo de Autenticação Baseado em ECDH para Redes
Um Mecanismo de Autenticação Baseado em ECDH para Redes Eduardo Souza
 
Paulo Santanna Nsi Windows Server 2008 R2 Overview
Paulo Santanna Nsi Windows Server 2008 R2 OverviewPaulo Santanna Nsi Windows Server 2008 R2 Overview
Paulo Santanna Nsi Windows Server 2008 R2 OverviewInvent IT Solutions
 
3 Com Novas SoluçOes Para Grandes MéDias E Pequenas Empresas
3 Com Novas SoluçOes Para Grandes MéDias E Pequenas Empresas3 Com Novas SoluçOes Para Grandes MéDias E Pequenas Empresas
3 Com Novas SoluçOes Para Grandes MéDias E Pequenas Empresasmarcesil
 
Benefícios das redes sem fio
Benefícios das redes sem fioBenefícios das redes sem fio
Benefícios das redes sem fioCarlos Melo
 
Produtos DrayTek - Roteadores, Switchs, Telefonia IP.
Produtos DrayTek - Roteadores, Switchs, Telefonia IP.Produtos DrayTek - Roteadores, Switchs, Telefonia IP.
Produtos DrayTek - Roteadores, Switchs, Telefonia IP.Saom Tecnologia
 
Reinventando o Acesso Remoto com DirectAccess
Reinventando o Acesso Remoto com DirectAccessReinventando o Acesso Remoto com DirectAccess
Reinventando o Acesso Remoto com DirectAccessRodrigo Immaginario
 
Relatorio final
Relatorio finalRelatorio final
Relatorio finalsharik27
 

Similar a WiFi Security and QOS (20)

Seguranca Wireless Instituto Online
Seguranca Wireless Instituto OnlineSeguranca Wireless Instituto Online
Seguranca Wireless Instituto Online
 
Tecnofertas Cecomil 2010
Tecnofertas Cecomil 2010Tecnofertas Cecomil 2010
Tecnofertas Cecomil 2010
 
21/11/2010 - Apresentação geral de produtos D-Link para o varejo
21/11/2010 - Apresentação geral de produtos D-Link para o varejo21/11/2010 - Apresentação geral de produtos D-Link para o varejo
21/11/2010 - Apresentação geral de produtos D-Link para o varejo
 
Tecnologias sem fio - Wi-Fi e WiMAX
Tecnologias sem fio - Wi-Fi e WiMAXTecnologias sem fio - Wi-Fi e WiMAX
Tecnologias sem fio - Wi-Fi e WiMAX
 
Análise de Segurança dos Sistemas Criptográficos Utilizados em Redes IEEE 802.11
Análise de Segurança dos Sistemas Criptográficos Utilizados em Redes IEEE 802.11Análise de Segurança dos Sistemas Criptográficos Utilizados em Redes IEEE 802.11
Análise de Segurança dos Sistemas Criptográficos Utilizados em Redes IEEE 802.11
 
Tecnologias Atuais de Redes - Aula 2 - Redes Sem Fio
Tecnologias Atuais de Redes - Aula 2 - Redes Sem FioTecnologias Atuais de Redes - Aula 2 - Redes Sem Fio
Tecnologias Atuais de Redes - Aula 2 - Redes Sem Fio
 
REDE SEM FIO(1).pptx
REDE SEM FIO(1).pptxREDE SEM FIO(1).pptx
REDE SEM FIO(1).pptx
 
REDE SEM FIO(1) (1).pptx
REDE SEM FIO(1) (1).pptxREDE SEM FIO(1) (1).pptx
REDE SEM FIO(1) (1).pptx
 
Segurança nas redes wirelless
Segurança nas redes wirellessSegurança nas redes wirelless
Segurança nas redes wirelless
 
Um Mecanismo de Autenticação Baseado em ECDH para Redes
Um Mecanismo de Autenticação Baseado em ECDH para Redes Um Mecanismo de Autenticação Baseado em ECDH para Redes
Um Mecanismo de Autenticação Baseado em ECDH para Redes
 
Paulo Santanna Nsi Windows Server 2008 R2 Overview
Paulo Santanna Nsi Windows Server 2008 R2 OverviewPaulo Santanna Nsi Windows Server 2008 R2 Overview
Paulo Santanna Nsi Windows Server 2008 R2 Overview
 
3 Com Novas SoluçOes Para Grandes MéDias E Pequenas Empresas
3 Com Novas SoluçOes Para Grandes MéDias E Pequenas Empresas3 Com Novas SoluçOes Para Grandes MéDias E Pequenas Empresas
3 Com Novas SoluçOes Para Grandes MéDias E Pequenas Empresas
 
Benefícios das redes sem fio
Benefícios das redes sem fioBenefícios das redes sem fio
Benefícios das redes sem fio
 
Access point
Access pointAccess point
Access point
 
Trabalho: Rede sem fio.
Trabalho: Rede sem fio.Trabalho: Rede sem fio.
Trabalho: Rede sem fio.
 
Produtos DrayTek - Roteadores, Switchs, Telefonia IP.
Produtos DrayTek - Roteadores, Switchs, Telefonia IP.Produtos DrayTek - Roteadores, Switchs, Telefonia IP.
Produtos DrayTek - Roteadores, Switchs, Telefonia IP.
 
Palestra Hyper-V
Palestra Hyper-VPalestra Hyper-V
Palestra Hyper-V
 
Reinventando o Acesso Remoto com DirectAccess
Reinventando o Acesso Remoto com DirectAccessReinventando o Acesso Remoto com DirectAccess
Reinventando o Acesso Remoto com DirectAccess
 
Relatorio
RelatorioRelatorio
Relatorio
 
Relatorio final
Relatorio finalRelatorio final
Relatorio final
 

WiFi Security and QOS

  • 1. Congresso Wi-Fi IIR Desenvolvimentos Tecnológicos e Implementações de QOS e Protocolos de Segurança em Redes Wi-Fi André Corrêa andre.correa@pobox.com 29/06/2003
  • 2. Agenda 802.11 – Padrões / Grupos de Trabalho 802.11e - QOS WEP / WEP 2 802.1x Riscos associadoas a utilização de redes Wi-Fi e medidas de Segurança Q&A
  • 3. 802.11 – Padrões e Grupos de Trabalho 802.11a - 5GHz UNII OFDM (Ortogonal Frequency Division Multiplexing) 6 to 54Mbps 802.11b - 2.4GHz CCK (Complementary Code Keying) 1 to 11Mbps
  • 4. 802.11 – Padrões e Grupos de Trabalho 802.11g Higher Rate Extensions na banda de 2.4GHz Aumento da velocidade em relação a 802.11b - até 54Mbps OFDM (Frequency Division Multiplexing) RTS / CTS Compatível com 802.11b
  • 5. 802.11 – Padrões e Grupos de Trabalho 802.11c - Bridge Operation Procedures 802.11d - Global Harmonization Regulamentação: U.S., Europa e Japão 802.11e - MAC Enhancements for QoS QOS focado em aplicações multimídia Compatível com qualquer 802.11 PHYs
  • 6. 802.11 – Padrões e Grupos de Trabalho 802.11f - Inter Access Point Protocol (IAPP) Roaming entre Access Points APs de fabricantes diferentes podem não operar em conjunto 802.11h - Spectrum Managed 802.11a Seleção dinâmica de canais (Europa) 802.11i - MAC Enhancements for Enhanced Security Resolução de problemas relativos ao WEP Incorpora o 802.1x e técnicas avançadas de criptografia
  • 7. 802.11e QOS (Quality of Service) em 802.11 Trabalha na camada MAC Desejável para aplicações multimídia Cooperação com IEEE 1394 Aplicável e compatível com 802.11a, 802.11b e 802.11g (PHY)
  • 8. 802.11e Soluções que funcionam em redes cabeadas podem não funcionar em redes wireless pelos seguintes motivos: Taxa de erro pode chegar de 10 a 20% Taxa de transmissão varia de acordo com as condições do canal utilizado Impossível determinar a banda exata que pode ser utilizada devido a sua variação
  • 9. 802.11e Ë comum definir como constante o tráfego multimídia, mas ele se torna “bursty” em situações onde existe elevada taxa de erro. Protocolos da camada MAC somente podem cuidar da priorização do tráfego, não da reserva de banda
  • 10. 802.11e Reserva de banda Redes IP geralmente utilizam RSVP Muitas aplicações não utilizam esse protocol RSVP está sendo descontinuado por alguns fabricantes (Exemplo: MS Windows XP) 802.11e deve suportar 802.1p (priority marking) 802.11e não deve assumir a utilização de RSVP mas deve se beneficiar caso este esteja disponível
  • 11. 802.11e - Draft Focado em duas aplicações Audio/vídeo – deve suportar: até 3 canais simultâneos MPEG-2 em DVD rate; ou um canal MPEG-2 em HDTV rate, em redes 802.11a QOS para redes corporativas, provendo priorização de tráfego e integração com a infra- estrutura de gerenciamento existente Backwards compatible com Clientes/APs que não utilizem 802.11e Atua também sobre o tráfego entre Clientes
  • 12. 802.11e Tentativas anteriores para WLAN QOS Hiperlan 1 (1996): frágil na presença de erros e clientes “hidden” Hiperlan 2: frágil em situações com bursts de tráfego. Implementação complexa HomeRF: ineficiente para tráfego de vídeo; problemas com a camada PHY
  • 13. 802.11e - HCF Tráfegos diferentes necessitam de soluções diferentes para QOS 802.11e apresenta o conceito: “Hybrid Coordination Function” 802.11e – HCF utiliza funcionalidades das tecnologias CSMA/CA e PCF (Point Coordination Function)
  • 14. 802.11e - HCF CSMA/CA (DCF) (Scheduling) Eficiência e baixa latência para tráfego com burst Controle de acesso ao canal por pacote, não utilizando otimização por previsão de tráfego PCF (Reservation) Controle de acesso ao canal por “stream” Eficiência na previsão de tráfego 802.11e Utiliza uma combinação das duas tecnologias Eficiente acesso ao canal para tráfego previsível Eficiente para tráfego com bursts e retransmissões
  • 15. 802.11e 802.11e está baseado em mais de uma década de experiência em protocolos WLAN 802.11e foi desenvolvido com foco nas condições reais de utilização de redes wireless. Robusto em condições adversas Backwards compatible com Clientes e APs 802.11
  • 16. WEP WEP (Wired Equivalent Privacy): Opcional para 802.11 - MAC Layer Busca resolver os seguintes problemas: Impedir que intrusos consigam ler os dados transmitidos Impedir que intrusos consigam modificar dados transmitidos Impedir que intrusos tenham acesso a rede wireless
  • 17. WEP Como funciona o WEP Shared Secret (WEP Key) – 40/104 bits Criptografia RC4 stream cipher (simétrica) do payload dos pacotes 802.11 (corpo + CRC) Seed = Shared Secret + Randon 24 bit (IV) IV muda para cada pacote (sequêncial ou randômico dependendo da implementação) IV é enviado em clear text no cabeçalho do pacote 802.11
  • 18. WEP O que está errado com o WEP Shared Key estática Não possui necamismo de distribuição ou renovação de chaves de criptografia IV relativamente pequeno (24 bits) IV sequêncial em diversas implementações
  • 19. WEP
  • 20. WEP2 Definições compatível com WEP Força chaves de 128 bits Suporte a Kerberos V Problemas Permite a reutilização do IV Não possui autenticação mútua Suporte a Kerberos V permite dictionary attacks Possível DOS pois autenticação/desautenticação não são seguras
  • 21. 802.1x Controle de acesso Autenticação mútua Utilização de Servidor de Autenticação centralizada (RADIUS) Distribuição dinâmica de chaves de criptografia EAP (Extensible Authentication Protocol – RFC2284) permitindo a utilização de diversos métodos de autenticação: Token Cards, Kerberos, one-time passwords, certificados digitais e PKI
  • 22. 802.1x Componentes: Supplicant (Cliente) Autenticador (AP) Servidor de Autenticação (RADIUS) Possíveis ataques demonstrados: Session Hijacking Man-in-the-middle
  • 23. 802.1x Cliente envia pedido de autenticação ao AP 1. AP responde pedindo a identificação do Cliente 2. Cliente envia sua identificação que é redirecionada pelo AP 3. ao servidor de autenticação Servidor de autenticação verifica a identidade do Cliente e 4. envia uma mensagem de aceitação/negação ao AP Se a identificação for aceita o AP libera o tráfego do Cliente 5.
  • 24. 802.1x - EAP EAP – TLS Autenticação mútua baseada em certificados Chaves de criptografia são geradas EAP – TTLS Cliente não necessita de certificado digital, mas pode ser autenticado utilizando senhas Servidor de autenticação utiliza certificado digital Chaves de criptografia são geradas
  • 25. 802.1x - EAP EAP – SRP Cliente e servidor de autenticação são autenticados utilizando senhas Chaves de criptografia são geradas EAP – MD5 Cliente é autenticado através de senha Servidor de autenticação não é autenticado Não são geradas chaves de criptografia
  • 26. Riscos associados Perda de confiança dos clientes Perda de confiança dos acionistas e investidores Danos a marca Diminuição dos lucros Implicações legais
  • 27. Medidas de Segurança Habilite WEP como nível mínimo de segurança Utilize chaves de 128 bits Altere a chave WEP frequêntemente Não assuma que o WEP é seguro Se possível utilize 802.1x Se possível desabilite broadcast de SSID Altere o SSID e a senha default dos APs
  • 28. Medidas de Segurança Altere os nomes e senhas das comunities SNMP dos APs Trate sua rede wireless como uma rede pública Utilize filtros por MAC address Coloque sua rede wireless em uma DMZ e de forma isolada Desabilite compartilhamento de arquivos em clientes wireless
  • 29. Medidas de Segurança Se usuários wireless tiverem de utilizar serviços em sua rede local, utilize outros algorítimos de autenticação e criptografia, como por exemplo: VPN, IPSec, SSH Promova regularmente quot;Access Point Discovery“ Utilize IDS na rede wireless
  • 30. Q&A
  • 31. Referências IEEE 802.11 Work Groups SAMS Reading Room Cisco 802.11 Planet Intel ISS CWNP IBM