terça-feira, 30 de outubro de 2012

Segurança nas redes Wireless

A segurança nas redes sem fio é um ponto fraco, porque os sinais transmitidos propaga-se pelo ar em todas as direções e pode ser captado a distâncias de centenas de metros. A seguir veremos alguns protocolos e métodos utilizados na segurança de redes sem fio:







> Extensible Authentication Protocol
O Extensible Authentication Protocol ou EAP é um protocolo que permite vários métodos de autenticação como EAP-MD5, EAP-TLS e diversos outros métodos. As modalidades de autenticação podem ser por certificados de segurança ou por senhas.

> EAP por certificados de segurança
EAP-TLS: requer a instalação de certificados de segurança no servidor e nos clientes. Proporciona autenticação mútua, isto é, o servidor autentica o cliente e vice-versa utilizando o protocolo TLS (Transparent Layer Substrate).

> EAP-TTLS: similar ao EAP-TLS porém o certificado somente é instalado no servidor o que permite a autenticação do servidor por parte do cliente. A autenticação do cliente por parte do servidor faz-se após estabelecer uma sessão TLS utilizando outro método como PAP, CHAP, MS-CHAP ou MS-CHAP v2.

 > PEAP: similar ao EAP-TTLS pois somente requer certificado de segurança no servidor. Foi desenvolvido por Microsoft, Cisco e RSA Security.

> EAP por senhas
EAP-MD5: utiliza nome de usuário e senha para autenticação. A senha é transmitida de forma cifrada através do algoritmo MD5. não fornece um nível de segurança alto pois pode sofrer ataques de “dicionário” isto é um atacante pode enviar varias senhas cifradas até encontrar uma senha válida. Não há como autenticar o servidor e não gera chaves WEP dinâmicas.

LEAP: utiliza node de usuário e senha e suporta chaves WEP dinâmicas. Por ser uma tecnologia proprietária da Cisco exige que os equipamentos sejam da Cisco e que o servidor RADIUS seja compatível com o LEAP.

EAP-SPEKE: faz uso do método SPEKE (Simple Password-authenticated Exponential Key Exchange), que permite ao cliente e servidor compartilhar uma senha secreta o que proporciona um serviço de autenticação mútua sem o uso de certificados de segurança.

> Service Set ID
Service Set ID ou SSID é um código alfanumérico que identifica uma rede sem fio. Cada fabricante utiliza um mesmo código para seus componentes que fabrica. Você deve alterar este nome e desabilitar a opção de “broadcast SSID” no ponto de acesso para aumentar a segurança da rede. Quando o “broadcast SSID” está habilitado o ponto de acesso periodicamente envia o SSID da rede permitindo que outros clientes possam conectar-se à rede. Em redes de acesso público é desejável que seja feita a propagação do SSID para que qualquer um possa conectar-se à rede. Como o SSID pode ser extraído do pacote transmitido através da técnica de “sniffing” ele não oferece uma boa segurança para a rede. Mesmo não oferecendo uma segurança à rede deve-se alterar o nome para evitar que outros usem sua rede acidentalmente.

> Wired Equivalency Privacy
Wired Equivalency Privacy ou WEP, como sugere o nome este protocolo tem a intenção de fornecer o mesmo nível de privacidade de uma rede a cabo. É um protocolo de segurança baseado no método de criptografia RC4 que usa criptografia de 64 bits ou 128 bits. Ambas utilizam um vetor de inicialização de 24 bits porém a chave secreta tem um comprimento de 40 bits ou de 104 bits. Todos os produtos Wi-Fi suportam a criptografia de 64 bits porém nem todos suportam a criptografia de 128 bits. Além da criptografia também utiliza um procedimento de checagem de redundância cíclica no padrão CRC-32 utilizado para verificar a integridade do pacote de dados. O WEP não protege a conexão por completo mas somente o pacote de dados. O protocolo WEP não é totalmente seguro pois já existem programas capazes de quebrar as chaves de criptografia no caso da rede ser monitorada durante um tempo longo.

> Wi-Fi protected Access
Wi-Fi Protected Access ou WPA foi elaborado para contornar os problemas de segurança do WEP. O WPA possui um protocolo denominado TKIP (Temporal Key Integrity Protocol) com um vetor de inicialização de 48 bits e uma melhor criptografia de 128 bits. Com a utilização do TKIP a chave é alterada em cada pacote e sincronizada entre o cliente e o Aceess point, também faz uso de autenticação do usuário por um servidor central.

> WPA2
Uma melhoria do WPA que utiliza o algoritmo de encriptação denominado AES (Advanced Encryption Standard).

> Remote Authentication Dial–In User Service
Remote Authentication Dial-In User Service ou RADIUS é um padrão de encriptação de 128 bits proprietária e mais segura porém disponível em apenas alguns produtos que custam mais caro devido a adição de uma camada extra de criptografia.

> Media Access Control
Media Access Control ou MAC, cada placa de rede tem seu próprio e único número de endereço MAC. Desta forma é possível limitar o acesso a uma rede somente às placas cujos números MAC estejam especificados em uma lista de acesso. Tem a desvantagem de exigir um maior gerenciamento pois necessita atualizar a lista de endereços MAC quando troca-se um computador da rede ou para prover acesso a um visitante ou para redes públicas. Outra desvantagem deve-se ao fato de poder alterar via software o número MAC da placa de rede para um outro número válido para acesso à rede.

> Permissões de acesso
Outra maneira de aumentar a segurança é restringir o acesso a pastas e arquivos compartilhados através da utilização de senhas. Nunca compartilhe pastas ou arquivos sem senha.

> Posicionamento físico
Estabelecer uma rede sem fio segura começa com a disposição física dos pontos de acesso dentro do prédio. Em uma residência, deve-se colocar o ponto de acesso em algum lugar mais central da residência e não colocar em uma parede lateral da casa próxima a rua ou próxima a uma janela.


Nenhum comentário:

Postar um comentário