rede nacional de ensino e pesquisa - rnp centro de atendimento a incidentes de segurança - cais...
TRANSCRIPT
Rede Nacional de Ensino e Pesquisa - RNPCentro de Atendimento a Incidentes de Segurança - CAISNovembro de 2006
© 2006 – CAIS/RNP
Seguranca Essencial em Redes Wireless
Guilherme Vênere
Ronaldo Vasconcellos
Rede Nacional de Ensino e PesquisaPromovendo o uso inovador de redes avançadas no Brasil
Segurança Essencial em Redes Wireless
2
Copyright © 2006 CAIS/RNP - Centro de Atendimento a Incidentes de Segurança da
Rede Nacional de Ensino e Pesquisa. Todos os direitos reservados.
Rede Nacional de Ensino e PesquisaPromovendo o uso inovador de redes avançadas no Brasil
Segurança Essencial em Redes Wireless
3
Introdução
Segurança no cliente Wi-Fi
Configurando uma rede segura
Conclusões
Sumário
Rede Nacional de Ensino e PesquisaPromovendo o uso inovador de redes avançadas no Brasil
Segurança Essencial em Redes Wireless
4
Alguns conceitos-chave
Wi-Fi – certificação de interoperabilidade da Wi-Fi Alliance (www.wifi.org). Na prática: 802.11a, 802.11b ou 802.11g, padrões IEEE para hardware.
Wireless Access Point – mais conhecido como AP ou WAP, é o elemento da rede Wi-Fi que fornece conectividade de rede a clientes.
Hotspot – redes Wi-Fi públicas, com controle de acesso ou não. Exemplos: Vex, T-Mobile (EUA).
Piggybacker – pessoa que usa uma rede Wi-Fi mal configurada indiscriminadamente
SSID – conjunto de caracteres que identifica uma rede Wi-Fi
Introdução
Rede Nacional de Ensino e PesquisaPromovendo o uso inovador de redes avançadas no Brasil
Segurança Essencial em Redes Wireless
5
Por que “Segurança Essencial””?
Para Clientes – mínimo que deve ser feito em um notebook ou desktop com Wi-Fi antes de conectá-lo a uma rede sem fio.
Para a configuração de equipamentos Wi-Fi
Segurança suficiente para garantir confidencialidade e evitar o acesso não autorizado
Não é o máximo em segurança, mas é mais do que suficiente para cenários de uso com poucos usuários
Uso doméstico e em pequenas organizações
Introdução (2)
Rede Nacional de Ensino e PesquisaPromovendo o uso inovador de redes avançadas no Brasil
Segurança Essencial em Redes Wireless
6
Cedo ou tarde você irá usar Wi-Fi
Notebooks cada vez mais populares no Brasil, interface 802.11 é padrão.
Você confia no AP de sua organização ou no que configurou em casa, mas o que fazer em um hotspot ou mesmo avião?
A quais riscos meu notebook está exposto? Não aperte o botão antes de ouvir o que temos a dizer.
Segurança no cliente Wi-Fi
Rede Nacional de Ensino e PesquisaPromovendo o uso inovador de redes avançadas no Brasil
Segurança Essencial em Redes Wireless
7
Uma vez conectado a um AP o cliente está exposto aos mesmos problemas de uma estação em rede cabeada
Worms, bots, cavalos de tróia, acesso não autorizado, sotware malicioso, etc
Preciso instalar algum software?
Firewall Pessoal (essencial conhecer seufuncionamento básico)
Anti-Vírus
Anti-Spyware
Segurança no cliente Wi-Fi (2)
Rede Nacional de Ensino e PesquisaPromovendo o uso inovador de redes avançadas no Brasil
Segurança Essencial em Redes Wireless
8
Algumas tarefas de rotina
Mantenha seu Sistema Operacional atualizado, seja Linux ou Windows – atenção aos boletins de segurança do CAIS na “Patch Tuesday”
Mantenha o driver de sua interface Wi-Fi atualizado
Alguns fabricantes oferecem cadastro do equipamento para avisar quando isto acontece
Por que devo me preocupar com isto?
Segurança no cliente Wi-Fi (3)
Rede Nacional de Ensino e PesquisaPromovendo o uso inovador de redes avançadas no Brasil
Segurança Essencial em Redes Wireless
9
Hoje a atenção dos crackers se voltou para os clientes Wi-Fi, está cada vez mais difícil atacar o AP.
Últimas edições das mais importantes conferências hacker do mundo abordaram ataques a clientes
Ferramentas que atacam o driver da interface Wi-Fi
Firewall pessoal não pode fazer nada contra isto
O que é possível fazer para se prevenir?
desativar a interface Wi-Fi quando não estiver em uso, especialmente em ambientes com grande concentração de usuários (aeroportos, avião).
manter drivers atualizados
Segurança no cliente Wi-Fi (4)
Rede Nacional de Ensino e PesquisaPromovendo o uso inovador de redes avançadas no Brasil
Segurança Essencial em Redes Wireless
10
Outro ataques a clientes
Ferramentas para forjar um AP (SSID, canal, etc)
Ferramentas para forçar a desconexão de um cliente
ataque DoS (Denial of Service) por tráfego de desassociação/desautenticação 802.11 forjado
Ferramentas que trocam o conteúdo do tráfego
substitui imagens de site que você visita por outras ofensivas, por exemplo.
Captura do tráfego para obter dados confidenciais em aplicativos como MSN, Google Talk, IRC, Web
Redes abertas, WEP e WPA depois de quebra da chave
Segurança no cliente Wi-Fi (5)
Rede Nacional de Ensino e PesquisaPromovendo o uso inovador de redes avançadas no Brasil
Segurança Essencial em Redes Wireless
11
O que mais posso fazer para me proteger?
Qualquer rede pode ser forjada, em especial abertas, com WEP ou WPA Personal quando a chave é conhecida. Tenha isto sempre em mente.
Ataques DoS não podem ser evitados com os padrões de hoje, apenas mitigados.
Pense positivo e torça que o AP usado na rede seja capaz de mitigar estes ataques (não é um recurso comum).
Segurança no cliente Wi-Fi (6)
Rede Nacional de Ensino e PesquisaPromovendo o uso inovador de redes avançadas no Brasil
Segurança Essencial em Redes Wireless
12
O que mais posso fazer para me proteger? (2)
Sempre use protocolos e mecanismos de segurança para proteger seu tráfego (SSL, VPN, SSH, etc)
O assistente de configuração Wi-Fi do Windows Vista, hoje em versão RC2, já conta com a opção de VPN.
Desabilite sempre que possível o compartilhamento de arquivos no Windows, bem como outros serviços de acesso remoto. Quanto mais serviços seu notebook oferece maior o número de portas de entrada e o risco de vulnerabilidades.
Segurança no cliente Wi-Fi (7)
Rede Nacional de Ensino e PesquisaPromovendo o uso inovador de redes avançadas no Brasil
Segurança Essencial em Redes Wireless
13
O que mais posso fazer para me proteger? (3)
Use redes 802.11a quando disponíveis. A grande maioria dos atacantes tem apenas interfaces 802.11b/g, padrões incompatíveis entre si e que impedem ataques e captura de tráfego. (“Segurança por Obscuridade”).
Configure seu cliente Windows de forma que ele se associe apenas a redes Wi-Fi Infra-estrutura, ou seja, um AP. Há ataques que tiram proveito do modo como o Windows trata conexões Ad-Hoc, normalmente usadas para conectar clientes entre si.
Segurança no cliente Wi-Fi (8)
Rede Nacional de Ensino e PesquisaPromovendo o uso inovador de redes avançadas no Brasil
Segurança Essencial em Redes Wireless
14
Segurança no cliente Wi-Fi (9)
Rede Nacional de Ensino e PesquisaPromovendo o uso inovador de redes avançadas no Brasil
Segurança Essencial em Redes Wireless
15
Redes sem fio já são seguras, mas precisam de clientes seguros como já vimos.
Diferente do mundo selvagem em que os clientes Wi-Fi vivem um AP precisa ser apenas bem configurado e mantido com seu firmware atualizado.
Há vulnerabilidades no firmware (software que gerencia o AP), que permitem acesso não autorizado, por exemplo.
Configurando uma rede segura
Rede Nacional de Ensino e PesquisaPromovendo o uso inovador de redes avançadas no Brasil
Segurança Essencial em Redes Wireless
16
Principal configuração: mecanismo de segurança
Use pelo menos WPA Personal (Wi-Fi Protected Access), com AES ou TKIP, se possível WPA2.
Redes sem fio ficaram famosas por ser inseguras pelos problemas de WEP (Wired Equivalent Privacy), todos sanados com a introdução de WPA.
Escolha uma chave forte, tão bem selecionada como uma senha. É possível descobrir a chave de uma rede WPA-TKIP por ataque de dicionário.
WEP em último caso ou quando o equipamento não oferece suporte. Este mecanismo de segurança foi comprometido de diversas formas.
Configurando uma rede segura (2)
Rede Nacional de Ensino e PesquisaPromovendo o uso inovador de redes avançadas no Brasil
Segurança Essencial em Redes Wireless
17
Configurando uma rede segura (3)
Rede Nacional de Ensino e PesquisaPromovendo o uso inovador de redes avançadas no Brasil
Segurança Essencial em Redes Wireless
18
Outras configurações para apoiar WPA
Desabilitar broadcast do SSID
Na prática consiste em transmitir pacotes “beacon” com o nome da rede vazio
Filtro por endereço MAC
Reduzir a potência de transmissão, quando possível
Registrar log da atividade do AP, quando o recurso for disponível.
Configurando uma rede segura (4)
Rede Nacional de Ensino e PesquisaPromovendo o uso inovador de redes avançadas no Brasil
Segurança Essencial em Redes Wireless
19
Troque o SSID, o nome da rede.
SSID padrão é indicador de um AP possivelmente mal configurado para um atacante.
Dê nomes neutros para sua rede. Evite nome da empresa, nome do dono, número do apartamento e outros nomes que carregam informações e possam atrair a atenção de atacantes.
Troque a senha de administração
Todo AP é configurado de fábrica com um par SSID/senha padrão. Altere a senha imediatamente após ligar o dispositivo. Exemplo: linksys/admin
Configurando uma rede segura (5)
Rede Nacional de Ensino e PesquisaPromovendo o uso inovador de redes avançadas no Brasil
Segurança Essencial em Redes Wireless
20
Configurando uma rede segura (6)
Rede Nacional de Ensino e PesquisaPromovendo o uso inovador de redes avançadas no Brasil
Segurança Essencial em Redes Wireless
21
Configure acesso à interface administrativa somente por HTTP com TLS/SSL
Tráfego cifrado entre cliente Wi-Fi usado para administrar o AP
Desabilitar acesso à interface administrativa a partir da WAN
Normalmente a WAN é a ligação entre o AP e a Internet
Um AP mal configurado com acesso pela Internet é uma porta de entrada para sua rede
Configurando uma rede segura (7)
Rede Nacional de Ensino e PesquisaPromovendo o uso inovador de redes avançadas no Brasil
Segurança Essencial em Redes Wireless
22
AP Isolation
Quando habilitado impede a comunicação entre clientes
Impede a propagação de worms entre clientes, entre outras atividades maliciosas.
Implementado pela criação de uma VLAN (Virtual LAN) para cada cliente associado
Pode também ser implementado por filtro entre VLANs, tráfego com origem em um cliente da WLAN pode ter como destino apenas a Internet
Configurando uma rede segura (8)
Rede Nacional de Ensino e PesquisaPromovendo o uso inovador de redes avançadas no Brasil
Segurança Essencial em Redes Wireless
23
Configurando uma rede segura (9)
Rede Nacional de Ensino e PesquisaPromovendo o uso inovador de redes avançadas no Brasil
Segurança Essencial em Redes Wireless
24
Redes Wi-Fi já contam com uma segurança respeitável, clientes se tornaram um alvo mais fácil de ataques.
É bem provável que a oferta de ferramentas e técnicas de exploração de vulnerabilidades em drivers de interfaces Wi-Fi aumente.
Conclusões
Rede Nacional de Ensino e PesquisaPromovendo o uso inovador de redes avançadas no Brasil
Segurança Essencial em Redes Wireless
25
Informações de Contato
Centro de Atendimento a Incidentes de Segurança – CAIShttp://www.rnp.br/cais
Guilherme Vê[email protected]
Ronaldo [email protected]
Rede Nacional de Ensino e PesquisaPromovendo o uso inovador de redes avançadas no Brasil
Segurança Essencial em Redes Wireless
26
Incidentes de segurança envolvendo redes conectadas ao backbone da RNP podem ser encaminhadas ao CAIS através de:
1. E-mail: [email protected].
Para envio de informações criptografadas, recomenda-se o uso da chave PGP pública do CAIS, disponível em: http://www.rnp.br/cais/cais-pgp.key
2. Web: Através do Formulário para Notificação de Incidentes de Segurança, disponível em: http://www.rnp.br/cais/atendimento_form.html
INOC-DBAPara entrar em contato com o CAIS através da hotline INOC-DBA (Inter-NOC Dial-By-ASN): INOC-DBA: 1916*800
Atendimento EmergencialContatos emergenciais fora do horário comercial (09:00-18:00) devem ser feitos através do telefone: (61) 3217-6355
Alertas do CAISO CAIS mantém a lista [email protected]. Assinatura aberta à comunidadeatuante na área. Inscrições através do formulário disponível em:
http://www.rnp.br/cais/alertas
Contato com o CAIS: Notificação de Incidentes