III-GRUPO

Segurana em redes sem fio

Geronimo Muamudo Martinho Amimo Michael Mesquita Queiros Mburine Tomas Chibai Valdemiro Mutevina

9/9/2013

Segurana em redes sem fio

Diferena entre rede cabeada e rede sem fio
Uma rede cabeada pode,ser acessada, por natureza ,apenas por quem tem acesso fsico aos cabos. Isso garante uma certa segurana, pois para obter acesso rede, um intruso precisaria ter acesso ao local. Nas redes wireless, por conseguinte, o sinal simplesmente irradiado em todas as direes ou seja no possivel controlar o alcance do sinal da rede(antena),de forma que qualquer um, usando um computador com uma antena suficientemente sensvel , pode captar o sinal da rede e, se nenhuma precauo for tomada, ganhar acesso a mesma.

Abreviaturas-Conceitos
BSS(basic service set) um termo usado nos padres IEEE para uma rede sem fios que contm apenas um nico ponto de acesso sem fio.

Abreviaturas
SSID o identificador(nome) da rede sem fio e no o access point. Podemos usar o SSID independente do modo de operao(infraestrutura ou ad-hoc)

Closed Network Access Control

So definidos dois metodos no padro 802.11 para validao de usurios a medida que eles tentam acessar a rede: O primeiro mtodo depende da criptografia e O segundo mtodo consiste em dois tipos de verificaes de clientes que queiram aceder a rede.

Closed Network Access Control

No segundo mtodo existem dois tipos de verificaes ,tambm chamado de no criptograficos,que so baseados no mecanismo de verificao de identidade. Primeiro tipo de verificao(closed system authentication) Nas closed system authentication os clientes wireless devem responder com o actual SSID da rede wireless. O cliente s concedido acesso a rede se introduzir a String de idenficao do BSS, composto de 0 a 32 byte. Modo de funcionamento: Ao estabelecer uma ligao a estao sem fio que solicita acesso devera responder a um desafio com o SSID da rede sem fio. Caso o SSID seja o correcto o acesso a rede sera concedido.

Closed Network Access Control

Por outro lado, quando se usa open system authentication(sistema de autenticao aberto), um cliente considerado autenticado se ele simplesmente responde com uma string vazia para o SSID, dai o nome NULL authentication(open system authentication). Ou seja este metodo prove autenticacao sem nenhum tipo de verificacao

Closed Network Access Control

Ambos dois metodos so chamados tipos primitivos de autenticacao pois so apenas esquemas de identificacao e no verdadeiros metodos de autenticacao. Nenhum dos dois metodos oferece forte seguranca contra acesso no autorizado. Ambos os metodos aberto e fechado so altamente vulneraveis a ataques por isso deve-se sempre tomar medidas para diminuir ataques.

Closed Network Access Control

SSID mltiplos
Alguns access-point permitem que se opere multiplos SSIDs. Cada SSIDs pode oferecer diferentes mtodos, ou seja podemos configurar um SSID para usar a segurana wep e o outro SSID para a usar o WPA.
Exemplo: Cisco Aironet router

Closed Network Access Control

Ferramentas para detectar redes wireless Exemplo:
inSSIDer Home Netstumbler

Access Control List (ACL)

ACL
Listas de acesso so um conjunto de regras, organizado em uma tabela de regras. Cada regra prov uma condio,ou permite acesso ou nega: O controle consiste em uma lista de endereos MAC (fsico) dos adaptadores de rede que se deseja permitir a entrada na rede wireless. O controle tambem pode ser feito atraves de enderecos IP.

ACL
O ACL pode ser usado para: Filtrar trfego; Identificar trfego. Ao usar uma lista de acesso para filtrar trfego, uma declarao de permisso usada permit, para permitir trfego, enqunto que uma declarao deny usada para bloqueiar trfego.

ACL
Duma maneira similar, ao usar uma lista de acesso para identificar trfego, uma declarao permit usada para incluir o trfego, enquanto que uma declarao deny usada num estado em que o trfego no deve ser includo.

ACL
A filtragem do trfego o uso primrio de listas de acesso. Porm, h vrios exemplos de quando necessrio identificar trfego usando ACL:
Identificar trfego interessante para expor um tnel de VPN; Identificar rotas para filtrar, ou permitir actualizao das mesmas; Identificar trfego para questes de qualidade de servio (QoS).

ACL-REGRAS:
efectuado de uma forma sequencial: linha1, linha2, linha3, etc.(Colocar as linhas mais restritivas no topo da lista!). A procura feita at que uma linha faa matching(as outras linhas sero ignoradas). Existe um deny implcito no fim de todas as listas de acesso(se no for efectuado matching at essa linha, ento o pacote de dados ser descartado). Cada interface do router, pode ter duas listas de acesso por protocolo, uma para entrada e outra para sada de trfego. No se pode apagar uma linha da ACL (Apenas toda a lista).

Tipos de ACLs
Standard Usado para filtrar pacotes de uma dada origem (permite ou nega o trfego a um conjunto de protocolos baseado no endereo de rede/subrede/mquina) Extended Usado para filtrar pacotes baseados na sua origem e destino. Filtra pelo tipo de protocolo (Ex: IP, TCP, UDP, etc.) e pelo nmero da porta.

FILTRAGEM POR IP

FILTRAGEM POR IP
Filtragem Por IP e um mecanismo que permite ou nega acessos dos computadores conectados ao por endereo de IP em uma rede.

TIPOS DE ACL IP Existem dois (2) os tipos de ACLs IP dois que so: ACL IP padro e ACL IP estendida.

ACLS IP PADRO Este mtodo permite ou nega o trfego de acordo com os endereos IP de origem. Eles combinam o trfego de entrada com base nos seguintes campos de cabealho IP :

IP de origem, ou todos os endereos IP em uma determinada sub-rede ou qualquer endereo IP.

ndice da WLAN que o pacote chegou

ACLs IP ESTENDIDAS ACLs IP estendidas podem permitir e negar o trfego de acordo com o mais sofisticado critrios que no ACLs IP padro. Eles combinam o trfego de entrada com base no seguintes campos de cabealho IP: origem e o endereo IP de destino , ou qualquer endereo IP , um individual ( "host" ), endereo IP , ou todos os endereos IP em uma determinada sub-rede. Tipo de mensagem ICMP e cdigo. TCP e UDP de origem e destino portos.

FILTRAGEM POR MAC

MAC
O Endereo MAC (Media Access Control) um endereo fsico associado interface de comunicacao, que conecta um dispositivo rede. O MAC um endereo nico, no havendo duas portas com a mesma numerao, e usado para controle de acesso em redes de computadores. Sua identificao gravada em hardware, isto , na memoria ROM da palca de rede de equipamentos .

Representacao
O endereo MAC formado por um conjunto de 6 bytes separados por dois pontos (:) ou hfen (-), sendo cada byte representado por dois algarismos na forma hexadecimal, como por exemplo: "00:19:B9:FB:E2:58". Cada algarismo em hexadecimal corresponde a uma palavra binria de quatro bits, desta forma, os 12 algarismos que formam o endereo totalizam 48 bits.

H uma padronizao dos endereos MAC administrada pela IEEE (Institute of Electrical and Electronics Engineers) que define que os trs primeiros bytes imagem acima, chamados OUI (Organizationally Unique Identifier), so destinados a identificao do fabricante - eles so fornecidos pela prpria IEEE. Os trs ltimos bytes so definidos pelo fabricante, sendo este responsvel pelo controle da numerao de cada placa que produz.

MAC Filters FILTRO POR MAC (Media Access Control) permitir ou negar que os computadores da LAN (Local rea Network) indentificados pelos seus endereos MAC, deixem de acessar a rede local. Voc pode adicionar manualmente um endereo MAC ou selecionar o endereo MAC da lista de clientes que se encontram actualmente conectados ao roteador.