Universidade de São Paulo USP

PSeg14 - Norma para Implantação e Utilização de Redes Móveis

Introdução / Apresentação

Nesta norma estão apresentadas recomendações a serem observadas na utilização de sistemas de redes móveis.

Por sistemas de rede móveis, entendemos as redes de comunicação de dados sem fio, baseadas no padrão Ethernet IEEE 802.11b ou IEEE 802.11a, e redes fixas com mobilidade, conhecidas por Mobile IP, pelas quais é possível a conexão de um terminal de uma rede local fixa em outra rede local fixa, como visitante desta, sem re-configuração do terminal ou da rede.

1. Objetivos

Esse documento tem como objetivo principal estabelecer diretrizes para um bom funcionamento dos sistemas de comunicação móvel da Universidade, tendo em vista os objetivos definidos pela Norma de Segurança.

2. Abrangência

Quando nos referimos a comunicação móvel, não estamos considerando as possibilidades que derivam de comunicações de dados através de backbones fora da USPnet, como o que pode advir através do uso de dispositivos móveis (PDAs, celulares) com interfaces para redes de dados de 2,5G ou 3G, enquanto estas redes não tiverem provimento através da USPnet. Se e quando isto vier a ocorrer, as recomendações precisarão ser atualizadas para incorporar este fato.

Estamos considerando apenas recomendações de segurança que possam vir a afetar o desempenho de outros usuários de uma rede local da USPnet.

3. Regras e Diretrizes Gerais

Por administrador de um serviço móvel entende-se a pessoa e/ou equipe que é responsável, em sua unidade USP, pela instalação e configuração do roteador de acesso, ao qual está conectada uma base da acesso wireless 802.11b/a (AP - Access Point), pela configuração da AP, pelo estabelecimento e divulgação de políticas de controle de acesso entre os usuários de serviços móveis e pela distribuição física das AP no local de uso.

Eventualmente, esta pessoa e/ou equipe poderá ser responsável pelo contato com a equipe do Centro de Informática local de seu campus, responsável pela tarefa de configuração final dos acessos e de implementação de políticas de backbone relacionadas.

As medidas apresentadas a seguir descrevem procedimentos buscando garantir a autenticação, autorização e confidencialidade dos dados numa comunicação no contexto de redes móveis. Essas medidas podem ser resumidas através das seguintes recomendações de caráter geral:

 

3.1 Regras e Diretrizes referentes ao Usuário

 

3.1.1 Deveres

O usuário não deve emprestar dispositivos pessoais móveis ou divulgar dados de configuração para acesso em redes móveis por terceiros. Se um dispositivo for de uso coletivo (ex: laptop), a lista com os usuários (cadastro) desse dispositivo deverá ser fornecida ao administrador da rede local e o responsável pelo dispositivo deverá manter um controle de quem está utilizando o dispositivo, podendo vir a ser requisitado a respeito.

 

3.1.2 Recomendações

Recomenda-se que o usuário não configure sistemas móveis de sua responsabilidade com informações pessoais ou trechos combinados destas. Indiretamente, recomenda-se que o usuário evite o fornecimento de dados pessoais em sites WWW ou outros meios de divulgação, pois essas informações podem ser utilizadas para violações: uma vez que os dispositivos móveis são também objetos pessoais, ali podem estar contidas informações que levam a vulnerabilidades, se os usuários vierem a utilizá-las nas suas senhas de acessos.

 

3.2 Regras e Diretrizes Referentes ao Administrador (de serviços móveis)

 

3.2.1 Deveres

O Administrador não deve disponibilizar dados de uma pessoa, por exemplo, de que possui acesso móvel ou sem fio configurado em sua sub-rede, sem o prévio consentimento desta..

 

3.3 Referentes ao Administrador (de acesso à rede coorporativa)

 

3.3.1 Deveres

O Administrador deve proteger de forma adequada o conteúdo fornecido, seja configurando adequadamente as permissões do "file-system" onde os dados se encontram, seja provendo mecanismos de acesso do tipo user/password, ou mesmo fornecendo acesso criptografado aos dados.

De modo geral, o administrador da rede de acesso deve estar informado das vulnerabilidades que decorrem o uso de um sistema sem fio ou móvel em sua rede local, devendo buscar nas recomendações (RFCs e normas) a melhor implementação, no sentido maximizar praticidades de uso e segurança, fatores normalmente conflitantes. Por se tratar de uma tecnologia recente, a inclusão de mobilidade no sistema importará maior atenção aos logs nos roteadores de acesso, que deverão ser inspecionados com maior regularidade.

 

3.3.2 Recomendações

Seguem, abaixo, algumas recomendações para implementação de serviços móveis:

 

a) Posicionamento das APs

A fase de implantação de um sistema de comunicação móvel sem fio consiste em distribuir AP na área de cobertura, de modo a evitar zonas de sombras, onde há inexistência de sinais.

Ao se posicionar AP deve-se evitar a colocação das mesmas próximas à áreas de que possibilitem grande exposição dos sinais, para usuários que não são os usuários potenciais do sistema. Assim é que, deve-se evitar a colocação de AP próximos a pontos de janela, nas laterais de uma edificação, por exemplo. Ocorre que é possível para usuários mal intencionados, através do uso de antenas direcionais, captar os sinais das bases próximas. Caso as demais medidas de segurança para redes sem fio não estejam implementadas, um mau planejamento físico poderá comprometer a segurança da rede. Por essa razão também, os pontos de colocação das AP devem ficar distantes de locais de grande absorção de energia (ex. recipientes de água), porque isso causa assimetria na potência disponível do sinal, que pode ser compensada com um maior adensamento de AP, com conseqüente maior exposição indevida.

A recomendação é de que se faça um planejamento documentado das áreas de cobertura, indicando em planta baixa as zonas de alcance das AP posicionadas.

 

b) Configuração das AP

Uma das formas que os MH têm de conhecer a existência das AP é escutando os sinais de beacon emitidos por elas. Estes sinais, de natureza periódica, identificam a AP para o mundo, através de um endereço de rede/sub-rede e de um endereço de grupo (SSID).

A falha mais comum de segurança tem a ver com a configuração de endereço de grupo de grupo de fácil domínio ou descoberta, para uma AP configurada dentro de uma rede/sub-rede conhecida. Por exemplo, as bases costumam ser configuradas com SSID padrão dos fabricantes, de conhecimento notório, ou com SSID fraco (em branco, p.ex.), refletindo características do local da instalação (nome da instituição ou endereço).

Ocorre que os sinais de beacon podem ser monitorados com sniffers, podendo facilmente revelar o conteúdo dos endereços de sub-rede e de grupo utilizados. Essa a razão pela qual o planejamento da distribuição das AP deve evitar o vazamento do sinal fora do domínio desejado.

A característica de beacon das AP pode ser bloqueada através de configuração na AP, de modo que apenas os usuários devidamente cadastrados e pré-configurados tenham acesso à infra-estrutura de rede local, porém as características de programação das AP variam de fabricante a fabricante, não sendo padrão. Por exemplo, algumas AP permitem a definição e configuração de uma lista dos endereços MAC de MH que terão acesso ao sistema, mas essa também não é uma característica padrão.

De modo geral, a recomendação é para reforço nos mecanismos de autenticação e confidencialidade. A autenticação deve prever que o usuário se identifique à base (para garantir que estranhos não tenham acesso ao sistema) e que a base se identifique ao usuário (para garantir que o usuário se comunique com quem realmente deseja). Essa forma de autenticação recíproca é um dos pontos falhos na especificação IEEE 802.11, que não prevê formas de a base se identificar ao usuário.

Normalmente, o protocolo de autenticação disponível, implementado pela AP é o EAP (Extensible Authentication Protocol), o mesmo disponível em conexões remotas através de linha discada, que autentica o usuário: o usuário fornece uma senha, que pode ser autenticada entre AP e MH, ou entre AP e servidor de autenticação, normalmente Radius. Essa característica precisa ser implementada pelo administrador da rede, o que representa um trabalho adicional. Algumas AP estendem o protocolo EAP para autenticar a AP para o usuário, implementando o conceito de autenticação recíproca.

A confidencialidade é garantida na especificação IEEE 802.11 através do protocolo WEP, que garante aos dados trafegados por propagação em meio aberto a cifragem dos mesmos. A especificação padrão WEP é para um sistema com chave simétrica, ou seja, uma mesma chave é configurada no MH e na AP, com 64 bits de chave. Esta chave pode ser quebrada com relativa facilidade, razão pela qual foi especificada uma chave de maior comprimento, 128 bits. Ainda assim essa chave pode ser quebrada, razão pela qual novos mecanismos de confidencialidade estão sendo investigados pela especificação IEEE 802.11i.

Embora o mecanismo de cifragem (algoritmo RSA) utilizado para o padrão 802.11 apresente vulnerabilidades, sua utilização já torna a rede muito mais segura do que se não fosse utilizado. Experimentos em campo demonstraram que mais de 50% dos pontos de acesso são configurados sem WEP. A razão disso é que a administração das chaves precisa ser feita manualmente, pessoa a pessoa, o que representa um ponto de vulnerabilidade no sistema. As chaves de 128 são mais seguras, porém uma vez que esteja definida na base, precisa estar disponível para todos os MH que desejam acessar o sistema. Além disso, só recentemente houve consenso quanto à padronização (Wi-Fi) de como deveria ser implementada. De modo geral, a chave de 64 bits pode ser considerada como padrão mínimo a ser adotado.

Uma outra forma de se conseguir segurança é implementando mecanismos de cifragem e autenticação de usuários na camada de rede (IPSec); esta característica exige mais da rede em desempenho, além de dispositivos mais especializados no acesso (MH e roteadores). Pode ser implementado com chave simétrica, recaindo-se no problema de administração e distribuição de senhas, ou através de chaves assimétricas, o que exige uma estrutura adicional para distribuição das chaves dinamicamente. Tem a vantagem de poder ser utilizado tanto no contexto de wireless IP (Wi-Fi) como no contexto de IP móvel (Móbile IP).

 

c) redes móveis (Móbile IP)

Um MH pode migrar para outra rede local, sem necessidade de troca de IP e re-configuração de gateway padrão. Para que essa característica seja possível é preciso que no roteador da rede de acesso de origem e destino, determinadas interfaces estejam configuradas para reconhecimento de dispositivos migrantes/visitantes. Supondo que essa característica de configuração esteja disponível nos roteadores, segundo a especificação da RFC 3220, é preciso que os administradores das redes locais estabelecem entendimento sobre as faixas de IP para os quais é permitida migração. Os mecanismos de autenticação disponíveis na RFC 3220 identificam o MH, mas não entram nos detalhes de como o usuário é reconhecido (SPI - security parameter index), portanto, mecanismos de autenticação adicionais devem estar disponíveis (ex. Radius). Os usuários devem ser conhecidos e autenticados preferencialmente através de uma base de dados centralizada; a comunicação posterior entre roteador visitado (FA - foreign agent) e de origem (HA - home agent) irá incluir a autenticação assim definida.

 

3.4 Resumo das recomendações

Relaciona-se a seguir as recomendações, em ordem decrescente de relevância e/ou facilidade, que podem vir a ser implementadas como proteção da rede local e de seus usuários: