WEP e IEEE 802.

11i
Segurana em Redes wireless

Introduo

Os padres sem fio crescem cada vez mais. Um deles o padrao IEEE 802.11, tambem conhecido como Wi-Fi.

Redes sem fio(WLAN) em geral utilizam ondas de radio e o ar como meio de transmisso.
2

WLAN(Wireless LAN)

Vantagens: Facilidade de conexo Mobilidade Flexibilidade Problemas: Tamanho da banda Interferncia Alcane do Sinal SEGURANA

O IEEE 802.11
Conjunto de normas para redes sem fio Muito sucesso atualmente

Maioria

dos dispositivos portteis j vem com suporte ao padro Proliferao de pontos de acesso livres (Hot Spots)

Segurana em Wi-Fi
Maior problema atualmente em redes sem fio. Muito suscetvel a interceptaes dos dados da rede Necessidade de protocolos de segurana para garantir a privacidade da rede

Wired Equivalency Privacy (WEP)

Parte do IEEE 802.11 original Primeira tentativa de se criar um protocolo eficiente de proteo de redes Wi-Fi Muito criticado por suas falhas 2 tipos:

bits Padro WEP-128 bits

WEP-64
6

Funcionamento do WEP-64 bits

Encriptao dos pacotes

Chave

de 40 bitsCompartilhada Vetor de Inicializao (IV) de 24 bits Diferente para cada pacote Algoritmo RC4 CRC-32

Envio do Integrity Check Value(ICV) para comparao no receptor

7

Algoritmo RC4

Symmetric Stream Cypher

Keystream

Seqncia pseudo-aleatria Mesma chave no emissor e receptor

A chave utilizada (semente) a concatenao da chave WEP com o IV64 bits

8

Funcionamento do WEP-64 bits

Problemas do WEP
IV pequeno repetio relativamente rpida Chave WEP no atualizada (usurio) Keystreams semelhantes CRC-32 no detecta erros que no modifiquem ICV

10

Wireless Protected Acess

Esforo conjunto entre IEEE e Wi-Fi Alliance

Soluo

para resolver os problemas do WEP Compatibilidade

Duas frentes de ao:

Enriptao:

Temporal Key Integrity Protocol Autenticao: IEEE 802.1X(EAPoL)

11

Temporal Key Integrity Protocol (TKIP)

Aumento da chave para 128 bits 4 novos algoritmos

Message

Integrity Code(MIC) Key Mixing por pacote Mecanismo de mudana de chaves

Chaves atualizadas periodicamente

Novo

sequenciamento dos IV
12

Message Integrity Code (MIC)

Integridade Tag T -> enviada criptografada O receptor realiza a mesma operao e compara T.

13

Key Mixing por pacote

Uma chave nica para cada pacote

Duas

fases

Fase 1: Produzir uma chave intermediria com a chave temporal (mudada periodicamente), endereo MAC do usurio e o nmero de sequenciamento dos pacotes(4 bytes apenas) Fase 2:Encriptao dessa chave com o nmero de sequenciamento dos pacotes

14

Key Mixing por pacote

Phase One Mixer
128-bit Temporal Key

Intermediate Key

Source MAC Address: 00-0150-F1-CD-73

4 Bytes

Phase Two Mixer

Per-Packet Key

48-bit Packet Sequence Number

2 Bytes

Encryption Algorithm Data

Encrypted Data

15

Mecanismo de mudana de chaves

No sistema TKIP as chaves so atualizadas a cada perodo de tempo para dificultar a descoberta da mesma por pessoas mal intencionadas.

16

Novo sequenciamento dos IV

Vetores de incializao de 48 bits

Muito

mais seguros repetem com menor freqncia

No so mais enviados as claras como no WEP encriptados

17

Autenticao IEEE 802.1X

Controle de acesso a redes baseado em portas Atua em conjunto com o Extensible Authentication Protocol over LAN (EAPoL) Autenticao realizada por um servidor de autenticao autentica mutuamente o ponto de acesso e o usurio

18

Autenticao IEEE 802.1X

19

Pre-Shared Key (PSK)

Em ambientes menores no utilizado um servidor de autenticao Chave PSK para se obter acesso Outras chaves derivadas dela Digitada manualmente nos terminais

20

IEEE 802.11i (WPA2)

Tambm conhecido como WPA2 Soluo a longo prazo para a segurana Robust Security Network
Suporte a diferentes protocolos de TKIP RC4 CCMP AES (block cypher) Autenticao RSN procedimentos de negociao IEEE 802.1X PSK

privacidade

21

Advanced Encryption Standard (AES)

Padro estabelecido pelo governo Norteamericano para algoritmo de criptografia Baseado no algoritmo de Rijndael symetric block cypher

divide

os dados que devem ser protegidos em

blocos Criptografa cada bloco separadamente, com a mesma chave

22

Funcionamento do AES

Blocos de 128 bits Cada bloco tratado como uma matriz 4x4 de bytes, denominada de estado Encroptao feita em 10 rodadas Processo de encriptao (em cada rodada):

Substituio de bytes, Deslocamento das linhas, Combinao das colunas e XOR entre o estado e a chave de rodada

23

Processo do AES

24

Counter Mode with Cipher Block Chaining

Message Authentication Code Protocol(CCMP)

Protocolo de privacidade e integridade baseado no AES

Privacidade:

Modo counter (CTR) Integridade: CBC-MAC

Chave de 128 bits Numerao de pacote de 48 bits

25

Modo Counter

Frame encriptado

AES no modo CTR.

Cabealho no muda IV nico por pacote (Nonce) MIC enviado encriptado

26

Modo Counter
Encapsulao do quadro encriptado

27

CBC-MAC

AES em modo CBC-MAC clculo do MIC Entradas: quadro a ser enviado e a TK O MIC ser enviado para o receptor aonde ser recalculado e comparado com o valor enviado

28

RSN: procedimentos de negociao

29

Concluso

A segurana em redes sem fio evoluiu bastante e atualmente muito confivel, porm com a velocidade do avano tecnolgico, nunca ser possvel garantir que no sero encontrados meios de quebrar os protocolos de segurana. novos protocolos mais eficientes sero sempre necessrios, mais cedo ou mais tarde.

30

Referencias

Wikipedia Wi-fi -> http://pt.wikipedia.org/wiki/Wi-Fi Wikipedia WEP -> http://en.wikipedia.org/wiki/Wired_Equivalent_Privacy Wi-fi Alliance -> http://www.wi-fi.org/ WEP Wired Equivalet Privacy -> http://www.commentcamarche.net/wifi/wifi-wep.php WEP Terra Wi-fi -> http://tecnologia.terra.com.br/interna/0,,OI522265-EI4887,00.htm A Evoluo dos Mecanismos de Segurana para Redes sem fio 802.11.pdf Segurana Wireless.ppt How stuff works Wi-fi -> http://informatica.hsw.com.br/rede-domestica.htm Tecnologias de Redes WLAN.pdf

31

Perguntas

Qual o maior problema de redes sem fio? Porque?

32

Perguntas

Qual o maior problema de redes sem fio? Porque? R: O maior problema de redes sem fio a segurana. Porque o meio fsico utilizado comunitrio, o ar. Em transmisses com fio necessrio transpor uma barreira fsica para se ter acesso a rede (grampear o cabo). Em redes sem fio isso no necessrio, com qualquer um podendo captar as transmisses de dados de uma rede.
33

Perguntas

O RC4, considerado um bom algoritmo de criptografia.No entanto, no protocolo WEP, mal utilizado. Porque?

34

Perguntas

O RC4, considerado um bom algoritmo de criptografia.No entanto, no protocolo WEP, mal utilizado. Porque?
Pois

o RC4 como implementado no protocolo WEP utiliza sempre a mesma chave para criptografar os dados e o vetor de inicializao utilizado muito curto, se repetindo muito numa mesma sesso. O vetor de inicializao tambm enviado as claras. Ento, uma pessoa que escute por tempo suficiente a rede pode quebrar o algoritmo. 35

Perguntas

Cite 2 modificaes que o WPA implementou para resolver os problemas do protocolo WEP.

36

Perguntas

Cite 2 modificaes que o WPA implementou para resolver os problemas do protocolo WEP. Codificao do vetor de inicializao, que no mais mandado as claras como no WEP. Chaves TK renovadas periodicamente. Chave nica para cada pacote a partir do endereo MAC, do numero do pacote e da chave TK. Aumento do tamanho da chave e do vetor de inicializao com relao ao WEP.

37

Perguntas

Porque o WPA2 foi lanado se o WPA j tinha corrigido as falhas do WEP?

38

Perguntas

Porque o WPA2 foi lanado se o WPA j tinha corrigido as falhas do WEP?

O WPA foi apresentado pelo IEEE e pela Wi-Fi Alliance como uma soluo de aplicao imediata para corrigir as falhas do WEP e assim no perder mercado. Para isso, ele deu continuidade ao uso do RC4, para que fosse compatvel com os equipamentos j existentes. O WPA2 por sua vez se utiliza do protocolo AES, muito mais robusto e seguro, que uma soluo mais duradoura para o problema da segurana.

39

Perguntas

Qual a importncia de realizar autenticao de acesso a uma rede sem fio, como ocorre no WPA e no WPA2 com IEEE 802.1X?

40

Perguntas

Qual a importncia de realizar autenticao de acesso a uma rede sem fio, como ocorre no WPA e no WPA2 com IEEE 802.1X?
R:

A autenticao importante para garantir que o usurio que esta acessando tem direito a se conectar a aquele ponto de acesso assim como se o ponto de acesso ao qual ele esta acessando tem direito a promover essa conexo. Isso garante que no existam intrusos na rede e que o usurio legitimo no ira se conectar a pontos de acesso ilegtimos.

41