Seminários WebcastsSeminários WebcastsInstalação, Segurança e Instalação, Segurança e Manutenção de Redes Manutenção de Redes WirelessWireless
Marcos SantosMarcos Santos
[email protected]@microsoft.com
Microsoft PortugalMicrosoft Portugal
AgendaAgenda
Introdução Seminários WebcastsIntrodução Seminários WebcastsTema 6ª SessãoTema 6ª Sessão
Implementar o acesso seguro ao correio Implementar o acesso seguro ao correio electrónico e à rede da organizaçãoelectrónico e à rede da organização
Perguntas e RespostasPerguntas e RespostasConclusãoConclusão
Ciclo de SemináriosCiclo de Seminários
Objectivo: proporcionar aos Objectivo: proporcionar aos responsáveis que trabalham com responsáveis que trabalham com sistemas de informação sessões sistemas de informação sessões técnicas com bons oradores e com técnicas com bons oradores e com bom conteúdobom conteúdo
Vantagens deste formato:Vantagens deste formato:Interactividade com o oradorInteractividade com o orador
Poupança de custos (deslocação, Poupança de custos (deslocação, tempo)tempo)
Possibilidade de assistir ao evento à Possibilidade de assistir ao evento à posteriori posteriori
TemasTemasSegurança Servidores Windows – Segurança Servidores Windows – já disponíveljá disponível
Implementar Segurança num servidor de correio Implementar Segurança num servidor de correio electrónico – electrónico – já disponíveljá disponível
Combater o Spam e os Vírus num sistema de Combater o Spam e os Vírus num sistema de correio electrónico correio electrónico – – já disponíveljá disponível
Implementar o acesso seguro ao correio Implementar o acesso seguro ao correio electrónico e à rede da organização – electrónico e à rede da organização – já já disponíveldisponível
Instalação, Segurança e Manutenção de Redes Instalação, Segurança e Manutenção de Redes Wireless Wireless
Como proteger os dados e a informação da sua Como proteger os dados e a informação da sua organizaçãoorganização
As vossas sugestões são As vossas sugestões são importantes…importantes…
LogísticaLogística
Utilização do Live MeetingUtilização do Live MeetingProblemas com Live Meeting enviar Problemas com Live Meeting enviar mail para [email protected] para [email protected]
Como fazer perguntas aos oradores?Como fazer perguntas aos oradores?Janela do lado direito no fundoJanela do lado direito no fundo
As perguntas serão respondidas no final As perguntas serão respondidas no final de cada apresentação por ordemde cada apresentação por ordem
RecursosRecursos
Site de Segurança: Site de Segurança: http://www.microsoft.com/portugal/segurahttp://www.microsoft.com/portugal/segurancanca
Assessment de Segurança: Assessment de Segurança: http://www.securityguidance.comhttp://www.securityguidance.com
Boletins de Segurança: Boletins de Segurança: http://www.microsoft.com/technet/security/bulletin/notify.mhttp://www.microsoft.com/technet/security/bulletin/notify.mspxspx
Instalação, Segurança e Instalação, Segurança e Manutenção de Redes Manutenção de Redes WirelessWireless
Nuno CarvalhoNuno Carvalho
[email protected]@knowledgeinside.pt.pt
AgendaAgenda
Soluções WirelessSoluções WirelessSegurança em Redes Wireless Segurança em Redes Wireless Implementação de uma Rede Implementação de uma Rede Wireless utilizando 801.X Wireless utilizando 801.X Password Password AuthenticationAuthenticationResolução de problemas típicosResolução de problemas típicos
Soluções WirelessSoluções Wireless
Wireless StandardsWireless StandardsStandardStandard DescriptionDescription
802.11802.11 Especificação que define os conceitos base Especificação que define os conceitos base para as redes sem fiospara as redes sem fios
802.11a802.11a Velocidade de transmissão até 54 megabits Velocidade de transmissão até 54 megabits (Mbps) por segundo(Mbps) por segundo
802.11b802.11b11 Mbps11 Mbps
Bom alcance mas susceptível a interferênciasBom alcance mas susceptível a interferências
802.11g802.11g54 Mbps 54 Mbps
Menos alcance que o 802.11bMenos alcance que o 802.11b
802.11i802.11i Standard para autenticação e encriptação em Standard para autenticação e encriptação em redes wirelessredes wireless
802.1X - Standard que define um mecanismo de autenticação baseado em acesso por porta e como opção a gestão das chaves usadas para encriptar a informação802.1X - Standard que define um mecanismo de autenticação baseado em acesso por porta e como opção a gestão das chaves usadas para encriptar a informação
O DesafioO Desafio
Numa rede “Numa rede “sem fios”sem fios” não existe o não existe o conceito de rede privada, qualquer conceito de rede privada, qualquer individuo com equipamento wireless individuo com equipamento wireless pode ligar-se desde que tenha pode ligar-se desde que tenha “sinal”“sinal”
ConsideraçõesConsiderações
Controlar quem pode acederControlar quem pode aceder
Controlar Access Points inválidosControlar Access Points inválidos
Garantir que todo o tráfego está Garantir que todo o tráfego está protegidoprotegido
Que a informação não é alteradaQue a informação não é alterada
Gestão dos Acess PointsGestão dos Acess Points
AmeaçasAmeaças
Divulgação de informação confidencial
Acesso desautorizado a dados
Personificação de um cliente autorizado
Interrupção de serviço
Acesso desautorizado à Internet
Acessos wireless domésticos inseguros
Implementações de Access Points não autorizados
Ataques mais comunsAtaques mais comuns
Passive attacksPassive attacks
Discovering Discovering
Active Attacks Active Attacks
Man-in-the-Middle Attacks Man-in-the-Middle Attacks
Jamming Attacks Jamming Attacks
Segurança em redes WirelessSegurança em redes Wireless
Opções de ImplementaçãoOpções de Implementação
IEEE 802.11 (Wi-Fi)IEEE 802.11 (Wi-Fi)Wired Equivalent Privacy (WEP)Wired Equivalent Privacy (WEP)Wi-Fi Protected Access (WPA)Wi-Fi Protected Access (WPA)WPA EnterpriseWPA Enterprise
IEEE 802.11iIEEE 802.11iWPA 2 WPA 2 WPA 2 EnterpriseWPA 2 Enterprise
802.1X com802.1X comWEPWEPWPA EnterpriseWPA EnterpriseWPA 2 EnterpriseWPA 2 Enterprise
Outras Medidas (dissuasão)Outras Medidas (dissuasão)Mac filteringMac filteringDisable SSID BroadcastDisable SSID Broadcast
RecomendaçõesRecomendaçõesWireless Network Wireless Network
SolutionSolutionTypicalTypicalEnvironmentEnvironment
Additional Additional Infrastructure Infrastructure Components Components RequiredRequired
Certificates Used Certificates Used for Client for Client AuthenticationAuthentication
Passwords UsedPasswords Usedfor Client for Client AuthenticationAuthentication
Typical Data Typical Data Encryption Encryption MethodMethod
Wi-Fi Protected Wi-Fi Protected Access with Pre-Access with Pre-Shared Keys Shared Keys (WPA-PSK) (WPA-PSK)
Small Small Office/Home Office/Home Office (SOHO)Office (SOHO)
NoneNone NONO
YES YES
Uses WPA Uses WPA preshared key to preshared key to authenticate to authenticate to networknetwork
WPAWPA
Password-based Password-based wireless network wireless network securitysecurity
Small to Small to medium medium organizationorganization
Internet Internet Authentication Authentication Service (IAS)Service (IAS)
Certificate Certificate required for required for the IAS serverthe IAS server
NO NO
However, a However, a certificate is certificate is issued to issued to validate the IAS validate the IAS serverserver
YESYES WPA or WPA or Dynamic WEPDynamic WEP
Certificate-based Certificate-based wireless network wireless network securitysecurity
Medium to Medium to large large organizationorganization
Internet Internet AuthenticationAuthentication Service (IAS)Service (IAS)
CertificateCertificate Services Services
YESYES
NO NO
Certificates used Certificates used but may be but may be modified to modified to require require passwordspasswords
WPA or WPA or Dynamic WEPDynamic WEP
As configurações típicas As configurações típicas
Sem qualquer tipo de segurança: Sem qualquer tipo de segurança: 58,67%58,67%
Default SSID:Default SSID: 3,75% 3,75%
Com algum tipo de encriptação: Com algum tipo de encriptação: 41,33%41,33%
In Security in Wireless Networks by Panda SoftwareIn Security in Wireless Networks by Panda Software
As configurações típicasAs configurações típicas
Quando existe segurança Quando existe segurança predomina:predomina:
MAC filteringMAC filtering
WEP ou WPA-PSKWEP ou WPA-PSK
SSID broadcast disabledSSID broadcast disabled
Nuno CarvalhoNuno CarvalhoKnowledge InsideKnowledge Inside
Hacking o “típico”Hacking o “típico”
Servidor ADSL RouterWireless Access Point
LAN
Internet
Wireless Notebooks
WLAN
Atenção !Atenção !
Utilizar um protocolo de Utilizar um protocolo de segurança segurança inseguroinseguro como o como o WEPWEP, é de longe , é de longe muito melhormuito melhor que que NÃONÃO utilizar segurança utilizar segurança nenhuma !! nenhuma !!
Implementação de uma rede wireless Implementação de uma rede wireless utilizando utilizando Password AuthenticationPassword Authentication
802.1X Definição802.1X Definição
IEEE standard para controlo de IEEE standard para controlo de acessos e autenticação “port-based”acessos e autenticação “port-based”
Baseado em EAP (extensible Baseado em EAP (extensible authentication protocol)authentication protocol)
Suporta EAP-TLS e PEAP entre outrosSuporta EAP-TLS e PEAP entre outros
Acesso só é concedido a utilizadores Acesso só é concedido a utilizadores autorizadosautorizados
802.1X O que resolve ?802.1X O que resolve ?
Perigo de “rogue AP’s” – Mutual Perigo de “rogue AP’s” – Mutual authenticationauthentication
Identificação e autorização por Identificação e autorização por utilizadorutilizador
Gestão centralizadaGestão centralizada
Elimina o problema de chaves WEP e Elimina o problema de chaves WEP e WPA fracasWPA fracas
Gestão de chaves de encriptaçãoGestão de chaves de encriptação
802.1X Componentes802.1X Componentes
ComponentesComponentes ExplicaçãoExplicação
Wireless ClientWireless ClientRequere uma placa WLAN que suporte 802.1X e Requere uma placa WLAN que suporte 802.1X e dynamic WEP ou WPAdynamic WEP ou WPA
Contas de utilizador e computador criadas no dominioContas de utilizador e computador criadas no dominio
Wireless Wireless Access PointAccess Point
Suporte para 802.1X e dynamic WEP or WPASuporte para 802.1X e dynamic WEP or WPA
O wireless access point e o servidor RADIUS partilham O wireless access point e o servidor RADIUS partilham uma “shared secret” para verificar e proteger as uma “shared secret” para verificar e proteger as mensagens RADIUSmensagens RADIUS
RADIUS/IAS RADIUS/IAS ServerServer
Utiliza a Active Directory para verificar as credenciais Utiliza a Active Directory para verificar as credenciais dos clientesdos clientes
Autoriza o acesso conforme o definido nas “access Autoriza o acesso conforme o definido nas “access policy”policy”
Pode recolher informação de “accounting e audit”Pode recolher informação de “accounting e audit”
Certificado para autenticação do servidorCertificado para autenticação do servidor
802.1X Como funciona?802.1X Como funciona?Wireless Client RADIUS (IAS)
11Client
Connect
Wireless Access Point
22 ClientAuthentication
ServerAuthentication
Mutual Key Determination
44
55
33 Key Distribution
AuthorizationWLAN Encryption
Internal Network
802.1X Serviços num ambiente 802.1X Serviços num ambiente PEAPPEAP
Branch OfficeBranch Office
HeadquartersHeadquarters
WLAN Clients
Domain Controller (DC)RADIUS (IAS)Certification Authority (CA)DHCP Services (DHCP)DNS Services (DNS)
DHCP
IAS/DNS/DC
LAN
LAN
AccessPoints
IAS/CA/DC
IAS/DNS/DC
Primary
Secondary
Primary
Secondary
WLAN Clients
AccessPoints
802.1X Requisitos802.1X Requisitos
Access point com suporte para Access point com suporte para 802.1x802.1x
Placa wireless com suporte para Placa wireless com suporte para 802.1x802.1x
Sistema operativo cliente com Sistema operativo cliente com suporte para 802.1x (Windows 2000 suporte para 802.1x (Windows 2000 SP3, Windows XP,…)SP3, Windows XP,…)
Servidor RADIUS (pode ser servidor Servidor RADIUS (pode ser servidor existente)existente)
IAS – Internet authentication service IAS – Internet authentication service vem incluído no Windows server 2000 / vem incluído no Windows server 2000 / 2003 2003 Certificado digital no servidor RADIUSCertificado digital no servidor RADIUS
Nuno CarvalhoNuno CarvalhoKnowledge InsideKnowledge Inside
Configuração de uma rede Configuração de uma rede Wireless com PEAPWireless com PEAP
Resolução de problemas típicosResolução de problemas típicos
Tipo de problemaTipo de problema
Problemas de ligaçãoProblemas de ligação
Problemas de performanceProblemas de performance
Problemas de autenticação utilizadorProblemas de autenticação utilizador
Problemas de autenticação da Problemas de autenticação da máquinamáquina
Problemas de ligaçãoProblemas de ligação
Verificar conta de utilizador/máquinaVerificar conta de utilizador/máquina Verificar máquina clienteVerificar máquina cliente Verificar configuração da APVerificar configuração da AP Verificar Active Directory e Network Verificar Active Directory e Network
ServicesServices Verificar servidores IASVerificar servidores IAS Verificar Certificate AuthorityVerificar Certificate Authority
Problemas de Problemas de performanceperformance Performance monitor (IAS)Performance monitor (IAS) Verificar se os AP’s estão Verificar se os AP’s estão
configurados para utilizar o IAS mais configurados para utilizar o IAS mais próximopróximo
Reavaliar o posicionamento dos AP’sReavaliar o posicionamento dos AP’s A re-autenticação pode demorar até A re-autenticação pode demorar até
60s 60s
Problemas de Problemas de autenticaçãoautenticação Problemas no IASProblemas no IAS Conta incorrecta, desactivada ou Conta incorrecta, desactivada ou
trancadatrancada Conta não pertence ao grupo dos Conta não pertence ao grupo dos
utilizadores com acessoutilizadores com acesso Remote access está configurado Remote access está configurado
com “deny” com “deny”
ConclusãoConclusão
Não é complexo criar uma rede wireless Não é complexo criar uma rede wireless segurasegura
WEP é melhor que nada (mas é muito WEP é melhor que nada (mas é muito pouco)pouco)
Redes empresariais : Redes empresariais : 802.1x com WPA e EAP-TLS ou PEAP802.1x com WPA e EAP-TLS ou PEAP
802.1x com WPA2 e EAP-TLS ou PEAP802.1x com WPA2 e EAP-TLS ou PEAP
802.1x com WEP e EAP-TLS ou PEAP 802.1x com WEP e EAP-TLS ou PEAP Só se não houver suporte para WPASó se não houver suporte para WPA
Configurar “key lifetime” para período muito curtoConfigurar “key lifetime” para período muito curto
Redes Domésticas:Redes Domésticas:WPA-PSK com uma chave complexaWPA-PSK com uma chave complexa
Utilizar os scripts disponibilizados pela Utilizar os scripts disponibilizados pela solução PEAP and Passwordssolução PEAP and Passwords
Perguntas e Respostas?Perguntas e Respostas?
RecursosRecursos
Microsoft Wireless Networking Web site Microsoft Wireless Networking Web site http://www.microsoft.com/wifiWindows XP Wireless Deployment Technology and Component Windows XP Wireless Deployment Technology and Component Overview Overview http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/wificomp.mspx Enterprise Deployment of Secure 802.11 Networks Using Microsoft Enterprise Deployment of Secure 802.11 Networks Using Microsoft Windows Windows http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/ed8021http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/ed80211.mspx1.mspxConfiguring Windows XP IEEE 802.11 Wireless Networks for the Home Configuring Windows XP IEEE 802.11 Wireless Networks for the Home and Small Business and Small Business http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/wifishttp://www.microsoft.com/technet/prodtechnol/winxppro/maintain/wifisoho.mspxoho.mspxWEP: Dead Again, Part 1WEP: Dead Again, Part 1http://www.securityfocus.com/infocus/1814http://www.securityfocus.com/infocus/1814
Próximas SessõesPróximas Sessões12 Julho12 Julho - Instalação, Segurança e - Instalação, Segurança e Manutenção de Redes WirelessManutenção de Redes Wireless
http://www.microsoft.com/portugal/webcasts/http://www.microsoft.com/portugal/webcasts/
Recursos ÚteisRecursos ÚteisRecursos para Comunidades Recursos para Comunidades MicrosoftMicrosofthttp://www.microsoft.com/portugal/technet/comunidadeshttp://www.microsoft.com/portugal/technet/comunidades
Subscrições TechNetSubscrições TechNethttp://www.microsoft.com/portugal/technet/subshttp://www.microsoft.com/portugal/technet/subscricoescricoes
CertificaçõesCertificaçõeshttp://www.microsoft.com/portugal/technet/http://www.microsoft.com/portugal/technet/certificacoescertificacoes
IT’s Showtime WebcastsIT’s Showtime Webcastshttp://www.microsoft.com/portugal/technet/itshohttp://www.microsoft.com/portugal/technet/itshowtimewtime
© 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only.MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.
Top Related