Segurança de Redes Wireless

É importante entender que redes sem-fio introduzem uma série de vulnerabilidades que não existem em redes convencionais. Algumas destas vulnerabilidades permitem o acesso e o furto de informações críticas, ou mesmo que um invasor interrompa algum servidor crítico, causando prejuízos astronômicos para uma grande corporação. Por estas razões, é importante compreender quais os riscos e quais as medidas preventivas disponíveis para implementação.

Dentre as ameaças existentes, eis as que fazem parte do escopo do exame CCNA:

•  War drivers - Normalmente, este tipo de ataque é impetrado por indivíduos que querem ter livre acesso à internet. Eles atuam movendo-se com um laptop e uma antena WIFI em busca de um AP que não tenha esquemas de segurança habilitados para então ter acesso à rede;
• Hackers - A motivação por trás destes invasores é a  obtenção de informações com algum valor, ou simplesmente, o terrorismo cibernético (derrubar servidores, etc.). Redes sem-fio desprotegidas são a porta de entrada para a rede toda;
• Funcionários - Funcionários também podem consistir em uma ameaça, na medida em que podem inadvertidamente auxiliar os hackers a ganhar acesso à rede. Um exemplo seria um funcionário que adquire um AP e o instala na rede da empresa sem informar ninguém;
• Rogue AP - Trata-se de um AP "clonado". O invasor captura frames emitidos pela rede WLAN e, analisando estes frames, consegue obter informações como SSID da rede e as chaves de segurança criptografadas (se em uso). Usando um método qualquer (como o de força bruta), eventualmente pode conseguir descriptografar as chaves e usar estas informações para configurar um AP "clone", externo, fazendo com que os usuários da rede WLAN o vejam como parte legítima da rede. Se um dispositivo de um funcionário se registrar neste AP "pirata", o funcionário pode digitar informações críticas que podem ser facilmente capturadas pelo invasor e utilizadas posteriormente para atacar a rede corporativa.

Para mitigar estes riscos, 3 tipos principais de ferramentas podem ser utilizadas em uma rede WLAN:

• Autenticação Mútua (Mutual Authentication) - Este tipo de ferramenta deve ser utilizada entre o cliente e o AP. O processo de autenticação utiliza uma senha secreta, chamada de key (chave), que deve ser configurada tanto no cliente WIFI quanto no AP. Por meio do uso de sofisticados algoritmos, o AP é capaz de determinar se o cliente possui, de fato, conhecimento da chave em uso. Da mesma forma, o cliente faz essa checagem do seu lado, para certificar-se que o AP em uso é idôneo. O interessante deste processo é que a chave nunca é enviada de um lado ao outro, reduzindo as probabilidades de interceptação e ataque;
• Criptografia (Encryption) - Este método utiliza uma chave secreta e um algoritmo matemático para criptografar o conteúdo dos frames da rede WLAN. O cliente então utiliza um outro algoritmo para descriptografar o frame e processá-lo;
• Ferramentas Antiintrusão - Esta categoria engloba uma série de ferramentas, as mais comuns sendo Intrusion Detection Systems (IDS) e Intrusion Prevention Systems (IPS), além de ferramentas específicas para redes WLAN. A Cisco define a arquitetura SWAN (Structure Wireless-Aware Network), que compreende uma série de ferramentas, algumas focando em riscos específicos, como a identificação "rogue APs".

Padrões de Segurança WLAN

Os padrões de segurança WLAN vêm evoluindo conforme o tempo passa e a demanda por políticas de segurança mais rígidas aumenta. O padrão inicialmente proposto para implementação de segurança em WLANs, conhecido por Wired Equivalent Privacy (WEP) possuía uma série de problemas. Os outros 3 padrões discutidos neste tópico representam uma evolução dos padrões posteriormente criados para corrigir as falhas encontradas no WEP. A tabela apresentada a seguir ilustra a evolução destes padrões no tempo:

Wired Equivalent Privacy (WEP)

O WEP era o padrão de segurança adotado pelo 802.11 original, provendo serviços de criptografia e autenticação. O problema é que o WEP oferecia apenas métodos fracos de autenticação e criptografia, facilmente quebrados por invasores. Os principais problemas com o WEP são: 

• Static Preshared Keys (PSK) - O valor da chave precisava ser configurado em cada cliente WIFI e cada AP, sem que existisse um método dinâmico de troca de chaves sem intervenção humana. Como resultado, a maioria das pessoas não se incomodava em trocar as chaves em intervalos regulares, principalmente nas empresas com números de elementos wireless elevado;
• Chaves facilmente crackeadas - O comprimento das chaves era pequeno (64 bits, sendo que destes, apenas 40 compunham a chave única). Isso facilitava a predição da chave, uma vez que uma cópia de um frame da rede fosse capturado. Somando-se isso ao fato de que as chaves raramente eram trocadas, os invasores tinham todo o tempo do mundo para tentar descobrir a chave, e finalmente, invadir a rede.

Algumas táticas foram criadas na tentativa de reduzir as vulnerabilidades identificadas no padrão WEP. Uma delas foi bloquear o broadcast do SSID pelo AP. Clientes WIFI necessitam de algumas informações do AP para poderem se conectar a ele. Uma destas informações é o SSID. Impedindo o AP de enviar esta informação livremente pelas ondas de rádio pode dificultar a vida de eventuais invasores. Este processo é conhecido como SSID Cloaking. Outra tática utilizada é o filtro de endereço MAC. Essencialmente, esta técnica consiste em definir, no AP, quais os endereços físicos (MAC) autorizados a comunicar-se com ele. Ambas as técnicas são válidas, mas não são suficientes para impedir um ataque real.

Cisco Interim Solutions

Devido aos sérios problemas apresentados pelo WEP, a Cisco e outros fabricantes decidiram arregaçar as mangas e partir para o trabalho, criando soluções proprietárias. A solução da Cisco incluía algumas melhorias proprietárias no método de criptografia, além de incorporar o padrão IEEE 802.1x de autenticação. Eis as melhorias propostas pela Cisco em seu "padrão":

• Dynamic Key Exchange (ao invés de chaves estáticas);
• Autenticação (802.1x);
• Cada pacote era criptografado de forma diferente.

Wi-Fi Protected Access (WPA)

Logo após a Cisco criar seu método proprietário de segurança para redes sem-fio, uma organização chamada Wi-Fi Alliance estava para finalizar um novo padrão de segurança ao passo que o IEEE estava trabalhando no padrão 802.11i. O mercado, entretanto, demandava uma solução rápida, não havia tempo para esperar a publicação do padrão IEEE, um processo normalmente burocrático e moroso. Assim sendo, o grupo de trabalho Wi-Fi Alliance pegou o que já havia sido feito pelo IEEE para o padrão 802.11i, fez algumas suposições, e criou um padrão "de fato", que foi batizado de WPA.

O padrão WPA, essencialmente, faz o mesmo que a solução proprietária criada pela Cisco, mas com algumas nuances. WPA inclui a opção de utilizar a troca dinâmica de chaves utilizando um protocolo chamado TKIP (Temporal Key Integrity Protocol). O WPA também incorpora a autenticação via 802.1x, porém, permite também a autenticação utilizando PSK (preshared keys). Não é muita diferença, se formos analisar friamente. A diferença REAL entre o WPA e a solução Cisco é que o WPA é um padrão de mercado, podendo ser aplicado em diversos dispositivos, de diversos fabricantes, enquanto que a solução Cisco é proprietária. A solução Cisco e o WPA não são compatíveis.

IEEE 802.11i e WPA-2

Em 2005 o IEEE finalmente publicou o padrão 802.11i. Seguindo as mesmas linhas do WPA e da solução proposta pela Cisco, o padrão 802.11i também implementava esquemas mais rígidos de criptografia, troca dinâmica de chaves e autenticação. Entretanto, estes padrões não são compatíveis entre si. Um dos avanços alcançados pelo 802.11i em relação a solução pela Cisco e ao WPA foi a inclusão do padrão AES (Advanced Encryption Standar). O padrão AES provê um método ainda mais seguro de criptografia, com chaves mais extensas e algoritmos de criptografia mais robustos.

A tabela apresentada a seguir apresenta um comparativo entre as diversas soluções comentadas:

Fonte: LIVRO CCNA 4.1 - Guia Completo de Estudos - Marco Aurélio Filippetti