Impacto do Padrão 802.11n na Segurança da Rede WLAN
Lisa Phifer
17/03/2009
SearchNetworking.com
À medida que as empresas se movem a toda força na direção de redes WLAN’s mais rápidas e mais abrangentes, vários fatores precisam ser considerados – incluindo a segurança. O padrão 802.11n promete expandir a cobertura e capacidade de rede, mas cuidados precisam ainda ser tomados para fornecer igual, ou melhor, segurança.
Antigo Padrão 802.11a/b/g
Igual ao padrão 802.11a/b/g anterior, o padrão 802.11n de elevada taxa de transferência emprega o 802.11i "robust security". Realmente, é exigido de todos os produtos Draft N dar suporte ao WiFi Protected Access version 2 (WPA2) – o programa de teste para o 802.11i do WiFi Alliance.
A boa notícia: todas as redes WLAN’s 802.11n construídas a partir do zero podem se despreocupar de invasores WEP e ataques WPA (TKIP MIC), porque todo dispositivo 802.11n pode cifrar dados com o algoritmo AES. O truque: as redes WLAN’s que precisam suportar tanto clientes antigos no padrão 802.11a/b/g quanto os novos clientes 802.11n precisam ser forçados a permitir o algoritmo TKIP. Fazendo assim torna possível aos clientes mais antigos não-AES a se conectarem seguramente. Infelizmente, o padrão 802.11n proíbe taxas de transmissão de dados elevadas quando se usa o algoritmo TKIP.
Consequentemente é melhor dividir clientes antigos 802.11a/b/g e clientes novos 802.11n em SSID’s separados: uma rede WLAN de taxa elevada de transferência exige o AES (WPA2) e uma rede WLAN legada que permita o TKIP ou o AES (WPA+WPA2). Isso pode ser feito usando duas definições SSID’s sobre um AP virtual ou dedicando diferentes portadoras sobre os AP’s dual-rádio. Contudo, isso é apenas um expediente temporário. Tão logo você possa retirar ou substituir aqueles dispositivos legados, livre-se do TKIP para melhorar tanto a velocidade quanto a segurança.
Tomando emprestado a Robustez do WPA2
O padrão 802.11n herda a robustez do WPA2 – e também os pontos fracos. Os dispositivos 802.11a/b/g e 802.11n podem usar AES para prevenir escutas de quadros de dados, falsificação e repetição da rede Wireless. Os APs 802.11a/b/g e 802.11n podem usar o padrão 802.1X para conectar usuários autenticados ao mesmo tempo que nega acesso a estranhos. Contudo, o padrão 802.11n ainda não pode evitar que intrusos envie quadros falsos de gerenciamento – um método de ataque usado para desconectar usuários legítimos ou fingir ser um AP’s "evil twin".
evil twin:
É um access point (AP) mau intencionado instalado por um atacante externo com uma facilidade com um rede wireless. O AP bandido captura beacons (sinais que anunciam sua presença) do AP legitimo da empresa e transmitem beacons idênticos, com algumas máquinas clientes internas ao prédio o qual se associa. Logo que a segurança wireless esteja habilitada, esse tipo de ataque não consegue afetar as máquinas usuárias. Contudo, ele pode causar prejuízo deixando as conexões lentas ou causando aos usuários perder conexões com rede real.
Como resultado, as novas redes padrão 802.11n precisam permanecer vigilantes a ataques oriundos do mundo de rede Wireless. Muitas redes WLAN’s pequenas podem ainda usar escaneamentos periódicos para detectar AP’s maliciosos, enquanto redes WLAN’s comerciais devem usar sistemas de prevenção de intrusão (WIPS) o tempo todo para barrar falsificadores, associações acidentais, ‘ad hoc’s não autorizados e outros tipos de ataques WiFi.
Redes WLANs existentes que implementa uma ou ambas dessas práticas de segurança, contudo, não podem ficar só dormindo em berço esplêndido. Dispositivos 802.11n possui alcance de distância duas vezes maior que seus pares 11a/b/g. AP’s maliciosos, de visinhos ou de área metropolitana que antes estavam tão distantes podem agora se tornar uma ameaça. Não apenas intrusos serão capazes de se conectarem a sua rede WLAN facilmente, mas usuários legítimos vão muito provavelmente se conectar acidentalmente a redes estranhas. Dado uma escolha entre o seu antigo AP 11a/g e um rápido AP 802.11n malicioso, os clientes promíscuos que “se conectam a qualquer rede disponível” vão tentar o tempo todo burlar.
Em resumo, a abrangência do alcance do padrão 802.11n agrava a freqüência de incidentes convencionais da segurança de rede Wireless e expõe configurações frágeis que contam com o desempenho ruim. Pior ainda, sensores WIPS existentes baseados no padrão 11a/b/g pode perder inteiramente muitos incidentes. Cada ativação de AP 802.11n deve incluir um upgrade do dispositivo WIPS para monitorar a maior cobertura das novas redes WLAN's, analisando o tráfego 11a/b/g e 11n nos canais 20MHz e 40MHz em ambas as bandas.
O Novo padrão 802.11n trás novas ameaças de segurança e complexidade
Toda tecnologia nova introduz alguns riscos não descobertos; uma inovação tão significativa quanto do padrão 802.11n não será provavelmente a exceção.
Os dispositivos 802.11n são novos produtos que podem conter alguns bugs não descobertos. Por exemplo, as primeiras versões do AP WN802T da Netgear não fazia corretamente parse dos parâmetros SSID’s (nulo) de comprimento zero (WVE-2008-0010). Drivers Atheros usados nos novos AP’s 802.11n (como o Linksys WRT350N) não tratava corretamente certos elementos de informação de gerenciamento de quadro (WVE-2008-0008). Tais vulnerabilidades não são incomuns; administradores de rede WLAN simplesmente precisam ficar atentos aos alertas quanto à segurança e de atualizações de firmware/driver.
As opções 802.11n são também consideravelmente mais complexas, aumentando as possibilidades de configurações mal feitas. Por exemplo, existem dúzias de possíveis taxas de transmissão de dados elevada, cada uma associada com uma combinação de capacidades e parâmetros que precisam bater em ambas as pontas. Em muitos casos, configuração mal feita causa desempenho parcial – isso pode não parecer uma questão de segurança, mas pode afetar a disponibilidade. Em casos extremos, um AP 802.11n mal configurado pode resultar em negação de serviço a redes WLANs vizinhas. Educação e análise no local são necessárias para descobrir e resolver esses problemas.
Finalmente, o padrão 802.11n introduz alguns quadros MAC novos, um dos quais se descobriu poder ser explorável. Especificamente, o padrão 802.11n fornece suporte mais eficiente a aplicações que trata stream pela confirmação de recebimento de vários quadros de dados usando único bloco reconhecimento (ACK). Um ataque de negação de serviço (DoS, em inglês) pode ser lançado contra redes WLAN’s 802.11n pelo envio de reconhecimentos falsos de bloco ao receptor (WVE-2008-0006). Um dispositivo WIPS que suporta o padrão 802.11n pode detectar esse ataque, mas a única forma de evitar isso é barrar o uso da funcionalidade Add Block-ACK (ADDBA).
Dando maior atenção
Felizmente, tudo das melhores práticas atuais de segurança de rede ainda se aplica ao padrão 802.11n. É importante perceber, contudo, que o padrão 802.11n também pode aumentar o risco empresarial simplesmente porque fornece suporte a mais usuários e aplicações com área de abrangência mais ampla. Em resumo, os mesmos ataques antigos podem agora ser de longe mais impactante ao seu negócio.
Por último, as redes 802.11n podem ser implementadas tão segura quanto – se não mais segura que – as redes 11a/b/g de então. Tudo isso exige está ciente e seguir com os objetivos. Nessa dica, nós exploramos as formas nas quais o padrão 802.11n pode afetar a segurança da rede WLAN. Agora é a sua chance de dar esse passo.
Sobre a autora:
Lisa Phifer é Presidente e sócia da Core Competence, uma firma de consultoria focada em uso empresarial de rede emergente e tecnologias de segurança. Na Core Competence, Lisa tem trilhado os seus 27 anos de experiência em projeto de rede, implementação, e testes para fornecer uma gama de serviços, desde estimativa de vulnerabilidade e avaliação de produto até educação de usuário e desenvolvimento de ‘white paper’. Ela tem alertado grandes e pequenas companhias a considerar o uso de tecnologias de rede e melhores práticas de segurança para gerenciar risco e adequar as necessidades empresariais. Lisa ensina e escreve exaustivamente sobre uma faixa ampla de tecnologias, desde segurança de rede móvel/wireless e prevenção a intrusão até implementação de rede privada virtual a controle de acesso a rede. Ela também é uma especialista dos sites SearchMobileComputing.com e SearchNetworking.com.
Volta ...
Nenhum comentário:
Postar um comentário