ROGUE ACCESS POINT, UM GRANDE RISCO PARA WLAN

Emilio Tissato Nakamura

nakamura@cpqd.com.br
Fundao CPqD
Rod. Campinas Mogi-Mirim, Km 118,5
Campinas-SP 13086-902
Marcelo Barbosa Lima
mlima@cpqd.com.br
Fundao CPqD
Rod. Campinas Mogi-Mirim, Km 118,5
Campinas-SP 13086-902

RESUMO
Diversos problemas de segurana em redes sem fio baseados no padro IEEE 802.11 so conhecidos,
principalmente os que envolvem o Wired Equivalent Privacy (WEP). Alm desses problemas existentes em redes
WLAN, o potencial de danos que podem ser causados pelo uso de pontos de acesso piratas ou Rogue Access Points
so altos, e tambm devem ser considerados. Este artigo discute diferentes cenrios de ataques envolvendo Rogue
Access Points, apresentando os resultados obtidos em experimentos realizados em laboratrio. Os mecanismos de
defesa que podem ser utilizados para evitar o problema tambm so apresentados.

ABSTRACT
A diversity of security problems related to wireless networks based on IEEE 802.11 is known, especially the flaws
related to Wired Equivalent Privacy (WEP). Besides these problems that exists in WLAN, the potential harm that can
be caused by Rogue Access Points is very high, and need to be considered. This paper discusses different attack
scenarios related to Rogue Access Points and presents the results obtained by the experiments made in laboratory.
Defense mechanisms to solve the problems are also presented.


1 INTRODUO

Os benefcios resultantes do advento das redes
sem fio (Wireless LAN, WLAN) so inegveis,
como o ganho de produtividade no trabalho, a
facilidade de acesso e a mobilidade, alm da
possibilidade de novos negcios e de melhorias de
processos nas organizaes. Porm, os problemas
de segurana podem comprometer totalmente os
usurios e as organizaes que as adotam, o que
agravado pela prpria natureza das WLANs, que
inclui as caractersticas fsicas de acesso e a
fraqueza do mecanismo padro do IEEE 802.11, o
Wired Equivalent Privacy (WEP) [BOR 01][FLU
01][STU 01].
Um dos ataques com maiores potenciais de
danos em uma WLAN o que envolve o uso de
pontos de acesso piratas, tambm conhecidos como
Rogue Access Points (Rogue APs). Este artigo tem
como objetivo apresentar diferentes cenrios onde
ataques envolvendo Rogue APs podem acontecer,
descrevendo as implicaes e as condies que
devem existir para o sucesso desses ataques. Alguns
desses cenrios foram reproduzidos, demonstrando
que esses ataques so plausveis e representam
grandes riscos para as organizaes,
independentemente de elas adotarem ou no
oficialmente uma WLAN.
Os cenrios de ataques envolvendo o uso de
Rogue APs sero discutidos na seo 2, e as
configuraes e os resultados das implementaes
dos ataques sero apresentados na seo 3.
A seo 4 discute os diversos mecanismos de
defesa que podem ser utilizados para minimizar os
problemas encontrados na implementao dos
ataques na WLAN com a utilizao de Rogue APs.


2 CENRIOS DE ATAQUES

Os ataques relacionados ao 802.11 podem
envolver ataques passivos, onde todo o trfego
monitorado em busca de informaes confidenciais
e de credenciais de acesso rede, e tambm podem
envolver ataques ativos, que envolvem ataques de
negao de servio (Denial-of-Service, DoS),
seqestros de conexes, ataques man-in-the-middle
e uso de Rogue Access Point. Os cenrios de
ataques discutidos neste artigo so os ataques ativos
referentes ao uso de Rogue Access Point.

2.1 Rogue Access Point

Um Rogue Access Point (Rogue AP) pode ser
visto como qualquer AP estranho, sem controle e
sem autorizao em uma determinada infra-
estrutura de rede. Os Rogue APs esto relacionados
com um dos grandes problemas existentes nas
organizaes, que a facilidade dos usurios de um
ambiente computacional poderem criar facilmente
redes WLAN IEEE 802.11, sem conhecimento dos
administradores de segurana e, principalmente,
sem atender s polticas de segurana locais. Essa
facilidade pode abrir uma grande janela de
oportunidade para atacantes, uma vez que, por
padro, equipamentos wireless sequer habilitam os
poucos e frgeis recursos de segurana disponveis
no protocolo IEEE 802.11.
O grande perigo que, sem seguir
recomendaes de segurana ou, o mais grave, sem
entender os riscos envolvidos, tais redes WLAN
podem ser utilizadas para fins imprprios. Os
atacantes podem, por exemplo, obter acessos no
autorizados a uma determinada rede interna,
sobrepujando todas as solues/tecnologias de
segurana implementadas na rede, tais como
firewalls e sistemas de deteco de intruso
(Intrusion Detections System, IDS) [NAK 02].
Alm disso, um Rogue AP pode ser usado
tambm pelos atacantes para atrair usurios de uma
rede WLAN e efetuar assim ataques diretos contra
mquinas desprotegidas. Esse tipo de ataque tem
tudo para se tornar bastante comum, principalmente
porque o acesso WLAN tende a ser cada vez mais
fcil e automtico. Nos EUA, por exemplo, j h
um grande nmero de hotspots (redes WLAN
pblicas). No Brasil, j h uma grande
movimentao para a ampliao no nmero de
hotspots, sobretudo em aeroportos, shoppings
centers e hotis. Se cuidados de segurana
adequados no forem observados, ataques usando
Rogue AP podem ser implementados
principalmente nestas redes sem fio pblicas,
constituindo assim um grande risco para todos
usurios e provedores de servios. Neste cenrio,
atacantes podem atrair facilmente usurios da rede
wireless pblica para um AP no autorizado, sob
seu controle, e implementar assim os mais variados
tipos de ataques contra estas mquinas (monitorar
todo o trfego ou explorar compartilhamento de
recursos, por exemplo), conforme ser visto nas
prximas sees.

2.2 Cenrio 1: AP instalado por usurios, em uma
rede interna

A grande flexibilidade oferecida pelas
tecnologias sem fio e o baixo custo dos
equipamentos WLAN so importantes motivadores
para que usurios de redes locais implementem
redes WLAN clandestinas dentro de uma infra-
estrutura de rede, sem o conhecimento dos
administradores de segurana. Isto pode inutilizar
todas as solues de segurana implementadas em
um ambiente computacional, j que ataques podem
ocorrer diretamente pela rede WLAN clandestina
criada, driblando assim os mecanismos j
existentes. Esse problema agravado quando,
dependendo da localizao fsica do AP, o sinal de
radiofreqncia (Radio Frequency, RF) ultrapassa
os limites fsicos do ambiente, permitindo assim que
equipamentos localizados nas proximidades se
associem rede e a usem como porta de entrada
para a realizao de ataques rede interna.
interessante notar que essa questo do sinal de
radiofreqncia uma realidade para todos os casos
possveis: em ambientes com ou sem redes WLAN.
Isso faz com que uma poltica de segurana que
trate desses casos seja necessria, e que estratgias
para deteco de Rogue APs sejam definidas e
adotadas, para evitar brechas significativas na infra-
estrutura de segurana. A ameaa, neste caso,
muito maior do que a instalao de modens na rede,
que j foi um problema muito comum para os
responsveis pela segurana de uma rede local, em
um passado no muito remoto e infelizmente
ainda persiste em algumas organizaes. A figura
2.1 ilustra os riscos de APs instalados por usurios
sem cincia das questes de segurana envolvidas
com o uso do padro 802.11.














Fig. 2.1 Riscos de APs clandestinos.

Na figura, possvel observar que um ambiente
seguro, a princpio, com mecanismos de segurana
como o firewall, passa a no oferecer mais o mesmo
nvel de segurana, pois um ponto de acesso pirata
pode ser usado como ponte entre a rede interna e
o atacante. A agravante que o atacante no precisa
nem mesmo estar dentro da organizao,
dependendo da capacidade do Rogue AP utilizado.
Os usurios que buscam a conectividade e
implantam um AP clandestino podem habilitar o
uso do protocolo WEP, acreditando que assim no
comprometem a organizao. Contudo, WEP pode
ser facilmente quebrado com a utilizao de
ferramentas disponveis na Internet, como o
AirSnort [AIR 03] ou o WEPCrack [WEP 03].
Dificilmente, tais usurios sero capazes de
implementar medidas de segurana mais
sofisticadas, como o protocolo IEEE 802.1X (seo
4), j que o objetivo deles de obter conectividade
fcil. Portanto, os riscos continuariam existindo e a
rede poderia ser facilmente explorada e usada como
rota alternativa ao firewall, driblando assim os
mecanismos de segurana da organizao.

2.3 Cenrio 2: Ataques Ativos usando Rogue AP

Este cenrio trata da implantao de um Rogue
AP pelo atacante, fazendo com que o usurio se
conecte ao AP falso sem que ele perceba que est
sendo enganado. O papel do atacante montar um
ponto de acesso semelhante ao ponto de acesso
oficial, atraindo os usurios para que se associem a
esse Rogue AP ao invs do oficial.
O atacante, usando uma ferramenta de scanning
de WLAN adequada, como o NetStumbler [NET
03], pode obter informaes vitais sobre uma rede
WLAN: a localizao de APs, SSID da rede e para
saber se WEP est habilitado ou no. Tais
informaes podem ser usadas para a
implementao de um Rogue AP capaz de fazer
com que estaes mveis se associem a uma rede

Firewall
Rede
Rogue
Atacante
Prdio
Ambiente
falsa sob o controle do atacante. Caso o protocolo
WEP esteja sendo utilizado, o atacante ter um
trabalho extra para quebr-lo e obter a chave WEP.
Em uma rede WLAN, sem a ao de um
atacante, todo equipamento sem fio, aps realizar a
autenticao e a associao na rede sem fio (camada
de enlace de dados), pode receber via Dymamic
Host Configuration Protocol (DHCP) toda a
configurao de rede ou usar alguma configurao
esttica prvia. Esta informao parte importante
do ataque, e pode ser obtida atravs de engenharia
social ou qualquer outro mtodo mais simples. O
atacante dever usar toda a informao obtida para
recriar o comportamento normal da rede real, de
forma que o ataque seja transparente para as
vtimas, ou seja, elas devem acreditar estar se
associando a uma rede WLAN legtima.
Quando a rede estiver usando DHCP, a tarefa de
um atacante bastante simplificada. Um servidor
DHCP falso pode ser implementado para fazer toda
a configurao de rede dos equipamentos sem fio.
Isto permite o controle de quem ser o gateway
default, qual o endereo IP a ser usado pela vtima e
qual servidor DNS deve ser utilizado para a
resoluo de nomes. Isto significa que um atacante
ser capaz de controlar todo o trfego relacionado
ao equipamento associado ao seu AP, podendo
assim capturar todos os dados e direcionar as
conexes para onde ele bem entender.
Vrios ataques podem ser implementados neste
cenrio, como por exemplo, a criao de um
servidor DNS falso e a configurao de um
equipamento com as funcionalidades de roteamento.
Vale notar que neste cenrio, uma nica mquina,
conectada ao Rogue AP, pode acumular todas estas
funcionalidades, incluindo um servidor WEB falso.
O potencial de dano em um ataque dessa natureza
bastante alto, j que induzem os usurios a
enviarem informaes confidenciais a pginas WEB
que parecem ser as verdadeiras, mas que foram
criadas e acessadas pelo mapeamento malicioso
feito pelo servidor DNS falso.
A figura 2.2 mostra como esse ataque pode ser
implementado, induzindo os usurios a se
associarem ao Rogue AP, que envia informaes
DHCP falsas, que levam a um servidor DNS falso,
que leva os usurios a acessarem um servidor WEB
falso. Esse servidor WEB, sob o controle do
atacante, possui pginas de um banco que so
cpias das pginas originais. Neste caso, os
atacantes podem obter senhas e nmeros de contas
de usurios.
























Fig. 2.2 Ataque ativo com Rogue AP

No caso de uma configurao esttica, o
atacante ter um trabalho adicional, uma vez que ele
ter que descobrir quais os endereos que esto
sendo usados estaticamente para gateway default e
servidor DNS. Contudo, esta no uma tarefa das
mais difceis, sendo possvel que sejam usados
mtodos de engenharia social ou mesmo um ataque
ao equipamento mvel. Aps a obteno da
configurao da rede original, o passo seguinte a
construo de uma rede similar, usando o mesmo
endereamento para estes servios de rede.
Tal ataque pode ser implementado por usurios
maliciosos da prpria rede. Portanto, o trabalho de
descobrir detalhes sobre a topologia da rede interna
no seria necessrio nesse caso. Em ambos os casos
citados acima, a localizao e/ou potncia do sinal
de radiofreqncia do AP essencial para o sucesso
do ataque. Equipamentos sem fio procuram se
associar a um AP com o mesmo SSID e com o
melhor nvel de sinal-rudo verificado. Portanto,
este ataque pode ser implementado facilmente em
hotspots, onde um atacante pode manter um Rogue
AP mais prximo dos demais usurios da rede. Na
figura 2.2 possvel observar que o ataque possui
um grande potencial de uso em hotspots, sendo que
os usurios dessas redes pblicas podem ser
facilmente serem enganados.

2.4. Cenrio 3: Forando o Roaming de Usurios

O cenrio 2 (seo 2.3) tem como objetivo atrair
usurios durante o momento da associao em um
AP da rede (especificada pelo SSID). Uma verso
mais sofisticada do ataque mostrado no cenrio 2,
seria provocar o roaming de usurios j associados
a um ponto de acesso para um Rogue AP. Neste
cenrio, o atacante no precisa esperar o usurio se
conectar ao Rogue AP, sendo que ele pode ligar o
ponto de acesso falso a qualquer momento, atraindo
os usurios que esto mais prximo, que realizam o
roaming do AP oficial para o Rogue AP (figura
2.3).



Rogue
AP
AP
Fake
WEB
Server
Hotspot















Fig. 2.3 Ataque com roaming entre APs.

O equipamento mvel faz o roaming entre dois
APs quando a relao sinal-rudo de um AP
aumenta em detrimento da diminuio do outro.
Alm disto, este no um processo instantneo e
este efeito deve ser experimentado por um
determinado intervalo de tempo, para que seja
decidido pela nova associao. Esta seria uma
limitao importante para o sucesso do ataque.
Contudo, os riscos no devem ser desprezados,
visto que isto pode ser implementado com relativa
facilidade em certos ambientes, onde o projeto de
RF e a distribuio de APs no so feitos de
maneira cuidadosa. Alm disso, o atacante pode
esperar pelo intervalo de tempo at que o roaming
ocorra, j que para o usurio o processo
transparente.
Alm desse fator, um outro problema pode
limitar a implementao do ataque. importante
lembrar que um perodo sem conexo pode ser
experimentado, aps o processo de roaming entre
pontos de acesso. No caso de redes, onde a
configurao IP dos equipamentos mveis feita
via DHCP, o tempo para que o cliente realize uma
confirmao da configurao de rede (para possvel
renovao do endereamento), junto ao servidor
DHCP, pode ser grande (nos testes que motivaram a
escrita deste artigo, o tempo padro observado foi
de 10 minutos na implementao DHCP para
Linux). Portanto, s seria possvel, atravs de um
servidor DHCP falso, alterar a configurao IP do
equipamento mvel aps um perodo relativamente
grande e bastante perceptvel. Durante este perodo,
o usurio experimentaria uma perda de
conectividade, que duraria um tempo significativo e
suficiente para perceber que algo estranho est
ocorrendo.
Uma variao interessante que minimiza esse
limitante da falta momentnea de conectividade
criar uma rede falsa, usando os endereos
divulgados pelo servidor DHCP da rede vtima.
Desta forma, o equipamento mvel continuaria
usando os mesmos endereos para gateway default
e servidor DNS configurados anteriormente pelo
servidor DHCP original. Contudo, para que o
ataque funcione de forma transparente, sem
interrupo momentnea da conectividade, uma
soluo deve ser usada para contornar o fato de que
muito provavelmente j h um mapeamento ARP,
na cache dos equipamentos mveis, para o roteador
padro e servidor DNS da rede real. Nessa situao,
pacotes destinados a estas mquinas usariam os
endereos MAC destas mquinas, sem que o
servidor DNS falso fosse acessado, que o objetivo
do atacante. Poder-se-ia descobrir tais endereos e
configur-los nas interfaces de rede das mquinas
do atacante, mas seria bastante complexa a tarefa de
obter tal informao. Uma alternativa simples seria
enviar mensagens de Gratitious ARP peridicas na
rede, atualizando este mapeamento em mquinas no
mesmo barramento.
Para o caso de uma configurao IP esttica, a
tarefa similar. Uma rede falsa poderia ser
implementada, usando o mesmo endereamento da
rede real. Alm disto, a mesma soluo para
mapeamento ARP poderia ser utilizada para evitar
perda temporria de conectividade. importante
ressaltar que o simples uso do protocolo WEP no
impede o sucesso dos ataques nos cenrios 2 e 3. A
chave WEP pode ser facilmente comprometida via
roubo de um equipamento mvel, engenharia social
ou usando ferramentas adequadas.

3 IMPLEMENTAO DOS ATAQUES

Os cenrios 2 e 3 foram implementados, em
laboratrio, e tiveram resultados bastante
interessantes. A topologia usada representada pela
figura 3.1. possvel notar que foi construda uma
rede de ataque, usando uma mquina Linux com
todas as funcionalidades necessrias: roteamento de
pacotes, servidor DHCP, servidor DNS e servidor
WEB. Alm disto, um AP pequeno e de baixo custo
da Sony foi utilizado para realizar o papel de Rogue
AP. Esta topologia poderia ser simplificada, pois j
existem softwares, tal como o AirSnarf [AIR 03-2],
que transformam uma mquina simples, com
interface de rede wireless, em um Access Point.
As concluses, mencionadas na seo 2, so
frutos de algumas observaes feitas na atividade.
O cenrio 2 bastante simples de se implementar.
No momento da associao, equipamentos sem fio
fazem uma busca por pontos de acesso com o
mesmo SSID e com a melhor relao sinal-rudo.
Supondo que o Rogue AP esteja adequadamente
posicionado, ele ser escolhido para associao.
Um Rogue AP deve enviar beacon frames,
informando o seu SSID e o canal usado, ou
responder a probes dos equipamentos mveis. O
SSID usado o mesmo da rede sendo atacada. Para
obter o SSID de uma rede, foi realizado um
scanning na interface area, usando o NetStumbler.
O nmero do canal tambm importante para evitar
interferncias entre o Rogue AP e o AP real.
Portanto, o Rogue AP foi configurado para
trabalhar em um canal mais adequado.
DHCP,
DNS,
WEB
Rogue
AP
Rede do
Atacante
Rede
Real
DHCP DNS
Default
Gateway
Default
Gateway
AP
Real













Fig. 3.1 Topologia utilizada nos experimentos.

O servidor DHCP foi adequadamente
implementado para fornecer toda a configurao
desejada para a mquina vtima. No experimento,
foi assumido apenas o caso onde equipamentos sem
fio usam DHCP para obter os seus parmetros de
configurao de rede, incluindo a rota default e o
endereo do servidor DNS. Deste momento em
diante, vrios ataques podem ser implementados.
Um servidor WEB foi clonado, e a vtima foi levada
a acessar esse servidor falso, atravs do servidor
DNS falso. Os passos do ataque podem ser vistos na
figura 3.2.















Fig. 3.2 Os passos do ataque.

No cenrio 3, alguma dificuldade foi
experimentada para atrair os equipamentos mveis
j associados ao AP real, visto que o roaming
realizado apenas no momento em que a diferena
entre as relaes sinal-rudo de dois APs
significativa, por um determinado tempo. Portanto,
a vtima no pde estar localizada muito prximo
do AP real. Foi verificado que, mesmo que um AP
apresente sinal mais forte, ele nem sempre ser
capaz de provocar o roaming de equipamentos sem
fio. Foi possvel atrair para a rede do atacante,
apenas os usurios que estavam a uma certa
distncia do AP real. A partir desse ponto, o
experimento foi idntico ao cenrio 2, onde o
usurio foi induzido ao servidor WEB incorreto.

















Fig. 3.3 Ataque usando roaming.


4 MECANISMOS DE DEFESA

A implementao dos ataques usando Rogue AP
teve como ponto fundamental a falta de percepo
do usurio quanto validade do ponto de acesso
qual existe a associao. Essa falta de percepo
decorrente do prprio padro 802.11, que no
contempla a autenticao do ponto de acesso, ou
seja, a autenticao apenas do usurio, que se
associa a um ponto de acesso baseado no SSID
(mtodo de autenticao Open System) ou baseado
em uma chave compartilhada, que a chave WEP
(mtodo de autenticao Shared Key). Na realidade,
o mecanismo de segurana do padro 802.11 no
prev nem mesmo a autenticao do prprio
usurio, apenas do equipamento que usado por
ele.
Essa falta de autenticao, principalmente do
ponto de acesso, faz com que os ataques discutidos
na seo 2 sejam possveis de serem executados.
Assim, o ponto-chave para o problema de ataques
de Rogue APs a autenticao do ponto de acesso.
O mecanismo definido no 802.1X, da IEEE [IEEE
01], o padro que vem sendo adotado pelo
mercado e implementado nos produtos de WLAN,
permitindo assim no somente a autenticao dos
pontos de acesso, mas tambm a autenticao
mtua, tanto dos pontos de acesso quanto dos
usurios.
A importncia do 802.1X em WLANs pode ser
comprovada tambm por ele fazer parte do Wi-Fi
Protected Access (WPA) [WIFI 03-2], que a nova
especificao de segurana definida em conjunto
pelo IEEE e pelo Wi-Fi Alliance, para substituir o
WEP. O WPA foi definido para ser uma soluo
intermediria entre o WEP e o padro 802.11i, que
est sendo definido e trata especificamente da
segurana em WLAN. O 802.1X continuar
fazendo parte do 802.11i.
Assim, mesmo em uma WLAN baseada em
WPA ou, no futuro, baseada em 802.11i, o 802.1X
possui o papel de realizar as autenticaes, tanto
dos usurios quanto dos pontos de acesso. Antes do

Rede Real
DHCP DNS
Default
Gateway
AP
Real
Atacante
NetStumbler
SSID
DHCP,
DNS,
WEB
Rogue AP
Default
Gateway
Vtima
GET www.bancox.com.br
1
1. DNS Query
2. DNS Reply
3. Acesso ao Fake Web Server.
3
1
2
Rogue
AP
Rede do
Atacante
Vtima
Rede
Real
AP
Real
Sinal
Fraco
No fez
Roamming
No fez
Roamming
WPA ser definido, muitos fabricantes j adotavam o
802.1X em seus produtos.
O padro 802.1X possui dois pontos-chave: o
protocolo de cifragem das mensagens, que substitui
o WEP, chamado Temporal Key Integrity Protocol
(TKIP), e o protocolo de autenticao Extensible
Authentication Protocol (EAP). No contexto desse
artigo, o EAP do 802.1X o ponto-chave relevante
para o problema do Rogue AP. Diversos mtodos
do EAP podem ser utilizados:
EAP-MD5: usa o algoritmo de hash MD5
sobre o nome de usurio e a senha para
passar as credenciais para o servidor Radius.
O EAP-MD5 no oferece gerenciamento de
chaves ou gerao dinmica de chaves,
sendo necessrio o uso de chaves WEP
estticas. O EAP-MD5 no prev a
autenticao mtua, deixando a autenticao
do ponto de acesso de lado, o que faz com
que o mtodo no seja adequado para o
problema do Rogue AP;
Lightweight EAP (LEAP): esse padro foi
desenvolvido pela Cisco, e assim como o
EAP-MD5, permite o uso de usurio e senha
para a autenticao no servidor Radius. O
LEAP implementa a gerao dinmica de
chaves WEP para cada sesso, sendo
possvel a sua renovao de acordo com um
intervalo de tempo. Isso faz com que ataques
conhecidos contra o WEP no sejam efetivos
quando o LEAP usado. O LEAP especifica
ainda a autenticao mtua, tanto do
dispositivo sem fio quanto do ponto de
acesso. O risco existente no LEAP est no
mecanismo de passagem de credenciais
usado, que baseado no MS-CHAPv1, que
possui vulnerabilidades conhecidas;
EAP-Transport Layer Security (EAP-TLS):
desenvolvido pela Microsoft, o EAP-TLS
usa certificados digitais X.509 para a
autenticao. O Transport Layer Security
(TLS) usado para transmitir as informaes
de autenticao, e existe a gerao dinmica
de chaves WEP e a autenticao mtua;
EAP-Tunneled TLS (EAP-TTLS): o ponto de
acesso se identifica usando certificados
digitais, porm os usurios usam senhas para
a autenticao;
Protected EAP (PEAP): est sendo
desenvolvido pela Microsoft e Cisco, e
funciona de maneira similar ao EAP-TTLS
[DIS 02].

Com a autenticao mtua provida por algum
mtodo EAP do 802.1X, os usurios se autenticam
em um servidor de autenticao, que pode ser um
servidor Radius (figura 4.1), e os pontos de acesso
se autenticam na rede, o que faz com que pontos de
acesso pirata no tenham condies de receberem
associaes de usurios, j que no sero
autenticados.













Figura 4.1 Autenticao mtua com 802.1X.

5 CONCLUSO

Os ataques em redes WLANs envolvendo a
utilizao de Rogue APs so plausveis de serem
implementados, como pde ser comprovado nos
experimentos realizados. Diferentes cenrios de
ataques envolvendo Rogue APs foram
demonstrados neste artigo, que podem resultar em
grandes prejuzos tanto empresa quanto aos
usurios, que se tornam completamente refns da
prpria tecnologia. A possibilidade de realizao
desses ataques existe devido s prprias
caractersticas fsicas do meio de acesso do padro
802.11, bem como devido fragilidade dos
mecanismos de defesa padro do protocolo.
Esses problemas, porm, so bastante
conhecidos, o que resultou no desenvolvimento de
novos mecanismos de segurana ou mesmo na
utilizao de mecanismos j existentes. Um dos
principais mecanismos de proteo contra o ataque
que envolve Rogue APs o IEEE 802.1X, que
possibilita que os usurios realizem a autenticao
dos pontos de acesso aos quais se associam,
evitando assim que se associem a pontos de acesso
piratas. Outros protocolos, como o IEEE 802.11i,
esto sendo desenvolvidos com o intuito de resolver
os problemas de segurana conhecidos do 802.11,
incluindo os problemas de Rogue APs. O
mecanismo de segurana adotado pelo padro
802.11i para esse fim o 802.1X.

AGRADECIMENTOS

Os agradecimentos vo para o pessoal do
Laboratrio do CPqD, especialmente Fabrcio Lira
Figueiredo, Joslis Pio de Oliveira e Marcos
Antnio de Siqueira, pelas contribuies e esforos
nas discusses, idias e montagem dos cenrios de
ataques descritos neste artigo.

REFERNCIAS BIBLIOGRFICAS

[AIR 03] AirSnort Homepage.
http://airsnort.shmoo.com.

Rede
Interna
AP - protocolo 802.1X
Servidor
Radius
AP
Autenticado
Rogue
AP
AP no
Autenticado
[AIR 03] AirSnarf Homepage.
http://airsnarf.shmoo.com.

[BOR 01] BORISOV, Nikita; GOLDBERG,
Ian; WAGNER, David. Intercepting Mobile
Communications: The Insecurity of 802.11.
July 2001.

[DIS 02] DISMUKES, Trey. Wireless Security
Blackpaper.
http://arstechnica.com/paedia/w/wireless/securit
y-1.html.

[FLU 01] FLUHRER, Scott; MANTIN, Itsik;
SHAMIR, Adi. Weaknesses In The Key
Scheduling Algorithm of RC4. 2001.

[IEEE 01] Institute of Electrical and Electronics
Engineers, Inc. IEEE Std 802.1X-2001. Port-
Based Network Access Control. June 14, 2001.

[IEEE 03] Institute of Electrical and Electronics
Engineers, Inc. IEEE. The Wireless Standards
Zone. http://standards.ieee.org/wireless/.

[KAR 02] KARYGIANNIS, Tom; OWENS,
Les. National Institute of Standards and
Technology (NIST). Computer Security
Division. Information Technology Laboratory.
Special Publication 800-48. Wireless Network
Security 802.11, Bluetooth and Handheld
Devices. November, 2002.

[MIS 02] MISHRA, Arunesh. Department of
Computer Science. University of Maryland. An
Initial Security Analysis of the IEEE 802.1X
Standard. February 6, 2002.

[NAK 02] NAKAMURA, Emilio Tissato; GEUS,
Paulo Lcio de. Segurana de Redes em
Ambientes Cooperativos. Editora Futura, 2002.

[NET 03] NetStumbler Web Page.
http://www.netstumbler.net/.

[NIC 02] NICHOLS, Randall K.; LEKKAS,
Panos C. Wireless Security Models, Threats,
and Solutions. McGraw-Hill. 2002.

[STU 01] STUBBLEFIELD, Adam;
IOANNIDIS, John; RUBIN, Aviel D. AT&T
Labs Technical Report TD-4ZCPZZ. Using the
Fluhrer, Mantin, and Shamir Attack to Break
WEP. August 21, 2001.

[WEP 03] WEPCrack Web Page.
http://wepcrack.sourceforge.net/.

[WIFI 03] Wi-Fi Alliance Web Site.
http://www.weca.net.

[WIFI 03-2] Wi-Fi Alliance. Wi-Fi Protected
Access Page. http://www.wi-
fi.org/OpenSection/protected_access.asp?