SlideShare ist ein Scribd-Unternehmen logo

Uso do MacSec (802.1ae) em complemento ao 802.1x em redes corporativas - Controle de admissão e proteção man-in-the-middle

Wilson Rogerio Lopes
Wilson Rogerio Lopes

Uso do MacSec (802.1ae) em complemento ao 802.1x em redes corporativas - Controle de admissão e proteção man-in-the-middle

Technologie
1 von 25
Downloaden Sie, um offline zu lesen
Wilson Rogério Lopes LACNIC 27 / GTS 29 05/2017 Uso do MacSec (802.1ae) em complemento ao 802.1x em redes corporativas Controle de admissão e proteção man-in-the-middle
IEEE 802.1x • Primeiro padrão - 802.1X-2001, update 802.1X-2004 • Fornece mecanismo de autenticação para LAN • EAPoL (EAP over LAN) • 3 entidades – Suplicante, Autenticador, Servidor de Autenticação Porta não autorizada Porta autorizada
IEEE 802.1x • Endpoint Autenticado = mac-address autorizado • Tráfego permitido até queda do link ou re-autenticação periódica Suplicante 802.1X – EAP-TLS RADIUS GE-1/0/2 Switch Radius EAPoLMAC: AA:AA:AA:AA:AA:01 Datacenter
IEEE 802.1x • Endpoint Autenticado = mac-address autorizado • Tráfego permitido até queda do link ou re-autenticação periódica Suplicante 802.1X – EAP-TLS RADIUS Certificado CN: Wilson@corp GE-1/0/2 Switch Radius EAPoLMAC: AA:AA:AA:AA:AA:01 Datacenter
IEEE 802.1x • Endpoint Autenticado = mac-address autorizado • Tráfego permitido até queda do link ou re-autenticação periódica Suplicante 802.1X – EAP-TLS RADIUS Certificado CN: Wilson@corp Certificado CN: Wilson@corp GE-1/0/2 Switch Radius EAPoLMAC: AA:AA:AA:AA:AA:01 Datacenter
IEEE 802.1x • Endpoint Autenticado = mac-address autorizado • Tráfego permitido até queda do link ou re-autenticação periódica Wilson 802.1X – EAP-TLS RADIUS Certificado CN: Wilson@corp AuthC: OK Certificado CN: Wilson@corp GE-1/0/2 Switch Radius MAC: AA:AA:AA:AA:AA:01 Datacenter
802.1x – Man-in-the-middle • HUB conectado na porta do switch Wilson 802.1X – EAP-TLS RADIUS Certificado CN: Wilson@corp Switch Radius HUBMAC: AA:AA:AA:AA:AA:01 Datacenter
• HUB conectado na porta do switch • Cliente autenticado • Mac-address clonado pelo atacante • Acesso liberado até re-autenticação ou queda do link 802.1x – Man-in-the-middle Wilson 802.1X – EAP-TLS RADIUS Certificado CN: Wilson@corp Switch Radius Wilson HUBMAC: AA:AA:AA:AA:AA:01 MAC: AA:AA:AA:AA:AA:01 Datacenter
• HUB conectado na porta do switch • Cliente autenticado • Mac-address clonado pelo atacante • Acesso liberado até re-autenticação ou queda do link 802.1x – Man-in-the-middle Wilson 802.1X – EAP-TLS RADIUS Certificado CN: Wilson@corp Switch Radius Wilson HUBMAC: AA:AA:AA:AA:AA:01 MAC: AA:AA:AA:AA:AA:01 Datacenter
• HUB conectado na porta do switch • Cliente autenticado • Mac-address clonado pelo atacante • Acesso liberado até re-autenticação ou queda do link 802.1x – Man-in-the-middle Switch Radius ATM HUB MAC: AA:AA:AA:AA:AA:01 Datacenter MAC: AA:AA:AA:AA:AA:01
• HUB conectado na porta do switch • Cliente autenticado • Mac-address clonado pelo atacante • Acesso liberado até re-autenticação ou queda do link 802.1x – Man-in-the-middle Switch Radius POS – Point of sale HUB MAC: AA:AA:AA:AA:AA:02 Datacenter MAC: AA:AA:AA:AA:AA:01 MAC: AA:AA:AA:AA:AA:02
• HUB conectado na porta do switch • Cliente autenticado • Mac-address clonado pelo atacante • Acesso liberado até re-autenticação ou queda do link 802.1x – Man-in-the-middle Switch Radius POS – Point of sale HUB MAC: AA:AA:AA:AA:AA:02 Datacenter MAC: AA:AA:AA:AA:AA:01 MAC: AA:AA:AA:AA:AA:02 . Fraude
• HUB conectado na porta do switch • Cliente autenticado • Mac-address clonado pelo atacante • Acesso liberado até re-autenticação ou queda do link 802.1x – Man-in-the-middle Switch Radius POS – Point of sale HUB MAC: AA:AA:AA:AA:AA:02 Datacenter MAC: AA:AA:AA:AA:AA:01 MAC: AA:AA:AA:AA:AA:02 . Fraude . Cópia de informação
• HUB conectado na porta do switch • Cliente autenticado • Mac-address clonado pelo atacante • Acesso liberado até re-autenticação ou queda do link 802.1x – Man-in-the-middle Switch Radius POS – Point of sale HUB MAC: AA:AA:AA:AA:AA:02 Datacenter MAC: AA:AA:AA:AA:AA:01 MAC: AA:AA:AA:AA:AA:02 . Fraude . Cópia de informação . Ataque às aplicações
• HUB conectado na porta do switch • Cliente autenticado • Mac-address clonado pelo atacante • Acesso liberado até re-autenticação ou queda do link 802.1x – Man-in-the-middle Switch Radius POS – Point of sale HUB MAC: AA:AA:AA:AA:AA:02 Datacenter MAC: AA:AA:AA:AA:AA:01 MAC: AA:AA:AA:AA:AA:02 . Fraude . Cópia de informação . Ataque às aplicações . Proliferação de malwares . Ataques avançados (APT)
Efetividade • Desconectar endpoint autorizado - TCP race condition 802.1x – Man-in-the-middle Wilson Switch Wilson HUBMAC: AA:AA:AA:AA:AA:01 MAC: AA:AA:AA:AA:AA:01 Datacenter
Efetividade • Desconectar endpoint autorizado - TCP race condition 802.1x – Man-in-the-middle Wilson Switch Wilson HUBMAC: AA:AA:AA:AA:AA:01 MAC: AA:AA:AA:AA:AA:01 Datacenter SYN SYN
Efetividade • Desconectar endpoint autorizado - TCP race condition 802.1x – Man-in-the-middle Wilson Switch Wilson HUBMAC: AA:AA:AA:AA:AA:01 MAC: AA:AA:AA:AA:AA:01 Datacenter SYN + ACK SYN + ACK SYN + ACK
Efetividade • Desconectar endpoint autorizado - TCP race condition 802.1x – Man-in-the-middle Wilson Switch Wilson HUBMAC: AA:AA:AA:AA:AA:01 MAC: AA:AA:AA:AA:AA:01 Datacenter RST RST ACK ACK ??
Mitigação • 802.1x + VPN • ACL no switch • VPN only 802.1x – Man-in-the-middle Wilson Switch Wilson HUBMAC: AA:AA:AA:AA:AA:01 MAC: AA:AA:AA:AA:AA:01 Datacenter ACL X VPN VPN
• Publicado em 2006 • Criptografia ponto-a-ponto do payload do frame • Usado tipicamente para criptografar links lan-to-lan entre Datacenters • Cifra padrão - GCM-AES-128 • CAK - Connectivity Association Key – pre-shared • SAK - Secure Association Keys – derivada da CAK, trocada periodicamente • KEK – Key Encription Key – criptografa a SAK • Servidor de chaves é eleito para a geração da SAK IEEE 802.1ae - MacSec
• 802.1x-2010 - EAPoL packet type 5 (EAPoL-MKA) • MKA – MacSec Key Agreement • Depois de autenticado, inicia-se o processo MKA • MSK - Master Session Key – gerada na autenticação EAP pelo servidor de autenticação (Radius) • Suplicante recebe a MSK no processo EAP • Switch recebe a MSK em um atributo radius • MSK usada para gerar a CAK • Switch sempre é o servidor de chaves (SAK) 802.1x + 802.1ae Wilson 802.1X – EAP-TLS RADIUS Certificado CN: Wilson@corp AuthC: OK MSK Certificado CN: Wilson@corp Switch Radius MKA CAK - SAK MacSec
802.1x-2010 • Tráfego não 802.1ae é descartado pelo switch Wilson 802.1X – EAP-TLS RADIUS Certificado CN: Wilson@corp Switch Radius HUB MAC: AA:AA:AA:AA:AA:01 Datacenter MAC: AA:AA:AA:AA:AA:01 MACSEC MASEC x
802.1x-2010 Suporte • Suplicante Windows - Cisco anyconnect (NAM) Linux – WPA supplicant • Autenticador (Switch) Cisco 3650, 3850 • Servidor de autenticação (Radius) Cisco ISE FreeRadius 2.x (à confirmar)
Referências Identity-Based Networking Services: MAC Security http://www.cisco.com/c/en/us/products/collateral/ios-nx-os-software/identity-based-networking- services/deploy_guide_c17-663760.html MACsec Switch-host Encryption with Cisco AnyConnect and ISE Configuration Example http://www.cisco.com/c/en/us/support/docs/lan-switching/8021x/117277-config-anyconnect-00.html MACsec: a different solution to encrypt network traffic https://developers.redhat.com/blog/2016/10/14/macsec-a-different-solution-to-encrypt-network-traffic/ 802.1X-2010 - IEEE Standard for Local and metropolitan area networks Port-Based Network Access Control https://standards.ieee.org/findstds/standard/802.1X-2010.html

Empfohlen

Ataques DDoS - Panorama, Mitigação e Evolução
Ataques DDoS - Panorama, Mitigação e EvoluçãoAtaques DDoS - Panorama, Mitigação e Evolução
Ataques DDoS - Panorama, Mitigação e Evolução
Wilson Rogerio Lopes
 
Visão geral dos novos produtos da Cloudflare
Visão geral dos novos produtos da CloudflareVisão geral dos novos produtos da Cloudflare
Visão geral dos novos produtos da Cloudflare
Cloudflare
 
Ipteste network assessment (dados e voz)
Ipteste network assessment (dados e voz)Ipteste network assessment (dados e voz)
Ipteste network assessment (dados e voz)
José Ângelo Fraulo
 
03 estrategia-ddos
03 estrategia-ddos03 estrategia-ddos
03 estrategia-ddos
Pavel Odintsov
 
7 - segurança - dmz vpn
7 - segurança - dmz vpn7 - segurança - dmz vpn
7 - segurança - dmz vpn
Andre Peres
 
Segurança e Forense em Redes de Computadores
Segurança e Forense em Redes de ComputadoresSegurança e Forense em Redes de Computadores
Segurança e Forense em Redes de Computadores
Euler Neto
 
Palestra Auditoria de Segurança em Redes sem Fio
Palestra Auditoria de Segurança em Redes sem FioPalestra Auditoria de Segurança em Redes sem Fio
Palestra Auditoria de Segurança em Redes sem Fio
Clavis Segurança da Informação
 
OWASP AppSec 2010 BRAZIL Information Extraction Art of Testing Network Periph...
OWASP AppSec 2010 BRAZIL Information Extraction Art of Testing Network Periph...OWASP AppSec 2010 BRAZIL Information Extraction Art of Testing Network Periph...
OWASP AppSec 2010 BRAZIL Information Extraction Art of Testing Network Periph...
Mauro Risonho de Paula Assumpcao
 

Empfohlen

Ataques DDoS - Panorama, Mitigação e Evolução
Ataques DDoS - Panorama, Mitigação e EvoluçãoAtaques DDoS - Panorama, Mitigação e Evolução
Ataques DDoS - Panorama, Mitigação e Evolução
Wilson Rogerio Lopes
 
Visão geral dos novos produtos da Cloudflare
Visão geral dos novos produtos da CloudflareVisão geral dos novos produtos da Cloudflare
Visão geral dos novos produtos da Cloudflare
Cloudflare
 
Ipteste network assessment (dados e voz)
Ipteste network assessment (dados e voz)Ipteste network assessment (dados e voz)
Ipteste network assessment (dados e voz)
José Ângelo Fraulo
 
03 estrategia-ddos
03 estrategia-ddos03 estrategia-ddos
03 estrategia-ddos
Pavel Odintsov
 
7 - segurança - dmz vpn
7 - segurança - dmz vpn7 - segurança - dmz vpn
7 - segurança - dmz vpn
Andre Peres
 
Segurança e Forense em Redes de Computadores
Segurança e Forense em Redes de ComputadoresSegurança e Forense em Redes de Computadores
Segurança e Forense em Redes de Computadores
Euler Neto
 
Palestra Auditoria de Segurança em Redes sem Fio
Palestra Auditoria de Segurança em Redes sem FioPalestra Auditoria de Segurança em Redes sem Fio
Palestra Auditoria de Segurança em Redes sem Fio
Clavis Segurança da Informação
 
OWASP AppSec 2010 BRAZIL Information Extraction Art of Testing Network Periph...
OWASP AppSec 2010 BRAZIL Information Extraction Art of Testing Network Periph...OWASP AppSec 2010 BRAZIL Information Extraction Art of Testing Network Periph...
OWASP AppSec 2010 BRAZIL Information Extraction Art of Testing Network Periph...
Mauro Risonho de Paula Assumpcao
 
Configurando um servidor
Configurando um servidorConfigurando um servidor
Configurando um servidor
Tiago
 
Meetup São Paulo, Maxscale Implementação e Casos de Uso
Meetup São Paulo, Maxscale Implementação e Casos de UsoMeetup São Paulo, Maxscale Implementação e Casos de Uso
Meetup São Paulo, Maxscale Implementação e Casos de Uso
Wagner Bianchi
 
Zabbix Conference LatAm 2016 - Jessian Ferreira - Wireless with Zabbix
Zabbix Conference LatAm 2016 - Jessian Ferreira - Wireless with ZabbixZabbix Conference LatAm 2016 - Jessian Ferreira - Wireless with Zabbix
Zabbix Conference LatAm 2016 - Jessian Ferreira - Wireless with Zabbix
Zabbix
 
Escalando o ambiente com MariaDB Cluster (Portuguese Edition)
Escalando o ambiente com MariaDB Cluster (Portuguese Edition)Escalando o ambiente com MariaDB Cluster (Portuguese Edition)
Escalando o ambiente com MariaDB Cluster (Portuguese Edition)
Wagner Bianchi
 
Introdução a Redes de Computadores - 4 - Nível de Aplicação DHCP
Introdução a Redes de Computadores - 4 - Nível de Aplicação DHCPIntrodução a Redes de Computadores - 4 - Nível de Aplicação DHCP
Introdução a Redes de Computadores - 4 - Nível de Aplicação DHCP
Andre Peres
 
Webinar em português sobre o Netflow Traffic Analyser (NTA) da SolarWinds
Webinar em português sobre o Netflow Traffic Analyser (NTA) da SolarWindsWebinar em português sobre o Netflow Traffic Analyser (NTA) da SolarWinds
Webinar em português sobre o Netflow Traffic Analyser (NTA) da SolarWinds
SolarWinds
 
Zabbix Performance Tuning
Zabbix Performance TuningZabbix Performance Tuning
Zabbix Performance Tuning
Alessandro Silva
 
Segurança em Servidores Linux - Ênfase em RHEL
Segurança em Servidores Linux - Ênfase em RHELSegurança em Servidores Linux - Ênfase em RHEL
Segurança em Servidores Linux - Ênfase em RHEL
Alessandro Silva
 
Stream processing com Python e Apache Storn
Stream processing com Python e Apache StornStream processing com Python e Apache Storn
Stream processing com Python e Apache Storn
tdc-globalcode
 
5 - segurança - firewall
5 - segurança - firewall5 - segurança - firewall
5 - segurança - firewall
Andre Peres
 
Vulnerabilidades em Redes Wifi
Vulnerabilidades em Redes WifiVulnerabilidades em Redes Wifi
Vulnerabilidades em Redes Wifi
David de Assis
 
Segurança de redes wifi para computadores pessoais
Segurança de redes wifi para computadores pessoaisSegurança de redes wifi para computadores pessoais
Segurança de redes wifi para computadores pessoais
ssuser906f55
 
WiFi Security and QOS
WiFi Security and QOSWiFi Security and QOS
WiFi Security and QOS
Andre_C10002
 
Palestra Lucas França - 802.1x e 802.1ae
Palestra Lucas França - 802.1x e 802.1aePalestra Lucas França - 802.1x e 802.1ae
Palestra Lucas França - 802.1x e 802.1ae
BHack Conference
 
Aula 6 - Redes sem fios - Enlace
Aula 6 - Redes sem fios - EnlaceAula 6 - Redes sem fios - Enlace
Aula 6 - Redes sem fios - Enlace
Andre Peres
 
Frame relay
Frame relayFrame relay
Frame relay
Enzo Scarpatti
 
Aula 05 meios de comunicação de dados
Aula 05 meios de comunicação de dadosAula 05 meios de comunicação de dados
Aula 05 meios de comunicação de dados
Jorge Ávila Miranda
 
Ataque Redes Wireless - Prática de Ataques
Ataque Redes Wireless - Prática de AtaquesAtaque Redes Wireless - Prática de Ataques
Ataque Redes Wireless - Prática de Ataques
Andre Peres
 
Seguranca Wireless Instituto Online
Seguranca Wireless Instituto OnlineSeguranca Wireless Instituto Online
Seguranca Wireless Instituto Online
instonline
 
Comdad 5
Comdad 5Comdad 5
Comdad 5
ShiroNeko11
 
R&C 0202 07 1
R&C 0202 07 1R&C 0202 07 1
R&C 0202 07 1
guest6a825195
 
Aula 10 camada de rede
Aula 10 camada de redeAula 10 camada de rede
Aula 10 camada de rede
wab030
 

Weitere ähnliche Inhalte

Was ist angesagt?

Stream processing com Python e Apache Storn
Stream processing com Python e Apache StornStream processing com Python e Apache Storn
Stream processing com Python e Apache Storn
tdc-globalcode
 

Was ist angesagt? (10)

Configurando um servidor
Configurando um servidorConfigurando um servidor
Configurando um servidor
 
Meetup São Paulo, Maxscale Implementação e Casos de Uso
Meetup São Paulo, Maxscale Implementação e Casos de UsoMeetup São Paulo, Maxscale Implementação e Casos de Uso
Meetup São Paulo, Maxscale Implementação e Casos de Uso
 
Zabbix Conference LatAm 2016 - Jessian Ferreira - Wireless with Zabbix
Zabbix Conference LatAm 2016 - Jessian Ferreira - Wireless with ZabbixZabbix Conference LatAm 2016 - Jessian Ferreira - Wireless with Zabbix
Zabbix Conference LatAm 2016 - Jessian Ferreira - Wireless with Zabbix
 
Escalando o ambiente com MariaDB Cluster (Portuguese Edition)
Escalando o ambiente com MariaDB Cluster (Portuguese Edition)Escalando o ambiente com MariaDB Cluster (Portuguese Edition)
Escalando o ambiente com MariaDB Cluster (Portuguese Edition)
 
Introdução a Redes de Computadores - 4 - Nível de Aplicação DHCP
Introdução a Redes de Computadores - 4 - Nível de Aplicação DHCPIntrodução a Redes de Computadores - 4 - Nível de Aplicação DHCP
Introdução a Redes de Computadores - 4 - Nível de Aplicação DHCP
 
Webinar em português sobre o Netflow Traffic Analyser (NTA) da SolarWinds
Webinar em português sobre o Netflow Traffic Analyser (NTA) da SolarWindsWebinar em português sobre o Netflow Traffic Analyser (NTA) da SolarWinds
Webinar em português sobre o Netflow Traffic Analyser (NTA) da SolarWinds
 
Zabbix Performance Tuning
Zabbix Performance TuningZabbix Performance Tuning
Zabbix Performance Tuning
 
Segurança em Servidores Linux - Ênfase em RHEL
Segurança em Servidores Linux - Ênfase em RHELSegurança em Servidores Linux - Ênfase em RHEL
Segurança em Servidores Linux - Ênfase em RHEL
 
Stream processing com Python e Apache Storn
Stream processing com Python e Apache StornStream processing com Python e Apache Storn
Stream processing com Python e Apache Storn
 
5 - segurança - firewall
5 - segurança - firewall5 - segurança - firewall
5 - segurança - firewall
 

Ähnlich wie Uso do MacSec (802.1ae) em complemento ao 802.1x em redes corporativas - Controle de admissão e proteção man-in-the-middle

Palestra Lucas França - 802.1x e 802.1ae
Palestra Lucas França - 802.1x e 802.1aePalestra Lucas França - 802.1x e 802.1ae
Palestra Lucas França - 802.1x e 802.1ae
BHack Conference
 
Aula 6 - Redes sem fios - Enlace
Aula 6 - Redes sem fios - EnlaceAula 6 - Redes sem fios - Enlace
Aula 6 - Redes sem fios - Enlace
Andre Peres
 
Ataque Redes Wireless - Prática de Ataques
Ataque Redes Wireless - Prática de AtaquesAtaque Redes Wireless - Prática de Ataques
Ataque Redes Wireless - Prática de Ataques
Andre Peres
 
Seguranca Wireless Instituto Online
Seguranca Wireless Instituto OnlineSeguranca Wireless Instituto Online
Seguranca Wireless Instituto Online
instonline
 
Aula 10 camada de rede
Aula 10 camada de redeAula 10 camada de rede
Aula 10 camada de rede
wab030
 
Aula 10 camada de rede
Aula 10 camada de redeAula 10 camada de rede
Aula 10 camada de rede
wab030
 

Ähnlich wie Uso do MacSec (802.1ae) em complemento ao 802.1x em redes corporativas - Controle de admissão e proteção man-in-the-middle (20)

Vulnerabilidades em Redes Wifi
Vulnerabilidades em Redes WifiVulnerabilidades em Redes Wifi
Vulnerabilidades em Redes Wifi
 
Segurança de redes wifi para computadores pessoais
Segurança de redes wifi para computadores pessoaisSegurança de redes wifi para computadores pessoais
Segurança de redes wifi para computadores pessoais
 
WiFi Security and QOS
WiFi Security and QOSWiFi Security and QOS
WiFi Security and QOS
 
Palestra Lucas França - 802.1x e 802.1ae
Palestra Lucas França - 802.1x e 802.1aePalestra Lucas França - 802.1x e 802.1ae
Palestra Lucas França - 802.1x e 802.1ae
 
Aula 6 - Redes sem fios - Enlace
Aula 6 - Redes sem fios - EnlaceAula 6 - Redes sem fios - Enlace
Aula 6 - Redes sem fios - Enlace
 
Frame relay
Frame relayFrame relay
Frame relay
 
Aula 05 meios de comunicação de dados
Aula 05 meios de comunicação de dadosAula 05 meios de comunicação de dados
Aula 05 meios de comunicação de dados
 
Ataque Redes Wireless - Prática de Ataques
Ataque Redes Wireless - Prática de AtaquesAtaque Redes Wireless - Prática de Ataques
Ataque Redes Wireless - Prática de Ataques
 
Seguranca Wireless Instituto Online
Seguranca Wireless Instituto OnlineSeguranca Wireless Instituto Online
Seguranca Wireless Instituto Online
 
Comdad 5
Comdad 5Comdad 5
Comdad 5
 
R&C 0202 07 1
R&C 0202 07 1R&C 0202 07 1
R&C 0202 07 1
 
Aula 10 camada de rede
Aula 10 camada de redeAula 10 camada de rede
Aula 10 camada de rede
 
Manual do Usuário do CPE-Wireless Station 2.4 GHz com Antena Acoplada de 17 d...
Manual do Usuário do CPE-Wireless Station 2.4 GHz com Antena Acoplada de 17 d...Manual do Usuário do CPE-Wireless Station 2.4 GHz com Antena Acoplada de 17 d...
Manual do Usuário do CPE-Wireless Station 2.4 GHz com Antena Acoplada de 17 d...
 
Arquiteturas para soluções microsoft na nuvem da aws
Arquiteturas para soluções microsoft na nuvem da awsArquiteturas para soluções microsoft na nuvem da aws
Arquiteturas para soluções microsoft na nuvem da aws
 
4. cloud ninja rede para faixa preta
4. cloud ninja rede para faixa preta4. cloud ninja rede para faixa preta
4. cloud ninja rede para faixa preta
 
21/11/2010 - Apresentação geral de produtos D-Link para o varejo
21/11/2010 - Apresentação geral de produtos D-Link para o varejo21/11/2010 - Apresentação geral de produtos D-Link para o varejo
21/11/2010 - Apresentação geral de produtos D-Link para o varejo
 
Webinar: Redes Mesh para Monitoramento e Controle de Sensores
Webinar: Redes Mesh para Monitoramento e Controle de SensoresWebinar: Redes Mesh para Monitoramento e Controle de Sensores
Webinar: Redes Mesh para Monitoramento e Controle de Sensores
 
Aula 10 camada de rede
Aula 10 camada de redeAula 10 camada de rede
Aula 10 camada de rede
 
FRAME RELAY
FRAME RELAYFRAME RELAY
FRAME RELAY
 
Manua versão7x
Manua versão7xManua versão7x
Manua versão7x
 

Mehr von Wilson Rogerio Lopes

DNSSEC -Provisioning and Automatization using Bind
DNSSEC -Provisioning and Automatization using BindDNSSEC -Provisioning and Automatization using Bind
DNSSEC -Provisioning and Automatization using Bind
Wilson Rogerio Lopes
 

Mehr von Wilson Rogerio Lopes (9)

DNS na AWS - Zero To Hero using Route 53
DNS na AWS - Zero To Hero using Route 53DNS na AWS - Zero To Hero using Route 53
DNS na AWS - Zero To Hero using Route 53
 
Zero to Hero for Network Admins on AWS
Zero to Hero for Network Admins on AWSZero to Hero for Network Admins on AWS
Zero to Hero for Network Admins on AWS
 
DDoS Attacks - Scenery, Evolution and Mitigation
DDoS Attacks - Scenery, Evolution and MitigationDDoS Attacks - Scenery, Evolution and Mitigation
DDoS Attacks - Scenery, Evolution and Mitigation
 
Cisco TrustSec - Software Defined Segmentation e sua aplicabilidade em Segura...
Cisco TrustSec - Software Defined Segmentation e sua aplicabilidade em Segura...Cisco TrustSec - Software Defined Segmentation e sua aplicabilidade em Segura...
Cisco TrustSec - Software Defined Segmentation e sua aplicabilidade em Segura...
 
Implementação do DNSSEC no iG
Implementação do DNSSEC no iGImplementação do DNSSEC no iG
Implementação do DNSSEC no iG
 
DNSSEC -Provisioning and Automatization using Bind
DNSSEC -Provisioning and Automatization using BindDNSSEC -Provisioning and Automatization using Bind
DNSSEC -Provisioning and Automatization using Bind
 
BGP Traffic Engineering on IXP
BGP Traffic Engineering on IXPBGP Traffic Engineering on IXP
BGP Traffic Engineering on IXP
 
DNS,DNSSEC and Best Practices
DNS,DNSSEC and Best PracticesDNS,DNSSEC and Best Practices
DNS,DNSSEC and Best Practices
 
Palestra sobre DNS apresentada no 3 PTT Forum
Palestra sobre DNS apresentada no 3 PTT ForumPalestra sobre DNS apresentada no 3 PTT Forum
Palestra sobre DNS apresentada no 3 PTT Forum
 

Uso do MacSec (802.1ae) em complemento ao 802.1x em redes corporativas - Controle de admissão e proteção man-in-the-middle

  • 1. Wilson Rogério Lopes LACNIC 27 / GTS 29 05/2017 Uso do MacSec (802.1ae) em complemento ao 802.1x em redes corporativas Controle de admissão e proteção man-in-the-middle
  • 2. IEEE 802.1x • Primeiro padrão - 802.1X-2001, update 802.1X-2004 • Fornece mecanismo de autenticação para LAN • EAPoL (EAP over LAN) • 3 entidades – Suplicante, Autenticador, Servidor de Autenticação Porta não autorizada Porta autorizada
  • 3. IEEE 802.1x • Endpoint Autenticado = mac-address autorizado • Tráfego permitido até queda do link ou re-autenticação periódica Suplicante 802.1X – EAP-TLS RADIUS GE-1/0/2 Switch Radius EAPoLMAC: AA:AA:AA:AA:AA:01 Datacenter
  • 4. IEEE 802.1x • Endpoint Autenticado = mac-address autorizado • Tráfego permitido até queda do link ou re-autenticação periódica Suplicante 802.1X – EAP-TLS RADIUS Certificado CN: Wilson@corp GE-1/0/2 Switch Radius EAPoLMAC: AA:AA:AA:AA:AA:01 Datacenter
  • 5. IEEE 802.1x • Endpoint Autenticado = mac-address autorizado • Tráfego permitido até queda do link ou re-autenticação periódica Suplicante 802.1X – EAP-TLS RADIUS Certificado CN: Wilson@corp Certificado CN: Wilson@corp GE-1/0/2 Switch Radius EAPoLMAC: AA:AA:AA:AA:AA:01 Datacenter
  • 6. IEEE 802.1x • Endpoint Autenticado = mac-address autorizado • Tráfego permitido até queda do link ou re-autenticação periódica Wilson 802.1X – EAP-TLS RADIUS Certificado CN: Wilson@corp AuthC: OK Certificado CN: Wilson@corp GE-1/0/2 Switch Radius MAC: AA:AA:AA:AA:AA:01 Datacenter
  • 7. 802.1x – Man-in-the-middle • HUB conectado na porta do switch Wilson 802.1X – EAP-TLS RADIUS Certificado CN: Wilson@corp Switch Radius HUBMAC: AA:AA:AA:AA:AA:01 Datacenter
  • 8. • HUB conectado na porta do switch • Cliente autenticado • Mac-address clonado pelo atacante • Acesso liberado até re-autenticação ou queda do link 802.1x – Man-in-the-middle Wilson 802.1X – EAP-TLS RADIUS Certificado CN: Wilson@corp Switch Radius Wilson HUBMAC: AA:AA:AA:AA:AA:01 MAC: AA:AA:AA:AA:AA:01 Datacenter
  • 9. • HUB conectado na porta do switch • Cliente autenticado • Mac-address clonado pelo atacante • Acesso liberado até re-autenticação ou queda do link 802.1x – Man-in-the-middle Wilson 802.1X – EAP-TLS RADIUS Certificado CN: Wilson@corp Switch Radius Wilson HUBMAC: AA:AA:AA:AA:AA:01 MAC: AA:AA:AA:AA:AA:01 Datacenter
  • 10. • HUB conectado na porta do switch • Cliente autenticado • Mac-address clonado pelo atacante • Acesso liberado até re-autenticação ou queda do link 802.1x – Man-in-the-middle Switch Radius ATM HUB MAC: AA:AA:AA:AA:AA:01 Datacenter MAC: AA:AA:AA:AA:AA:01
  • 11. • HUB conectado na porta do switch • Cliente autenticado • Mac-address clonado pelo atacante • Acesso liberado até re-autenticação ou queda do link 802.1x – Man-in-the-middle Switch Radius POS – Point of sale HUB MAC: AA:AA:AA:AA:AA:02 Datacenter MAC: AA:AA:AA:AA:AA:01 MAC: AA:AA:AA:AA:AA:02
  • 12. • HUB conectado na porta do switch • Cliente autenticado • Mac-address clonado pelo atacante • Acesso liberado até re-autenticação ou queda do link 802.1x – Man-in-the-middle Switch Radius POS – Point of sale HUB MAC: AA:AA:AA:AA:AA:02 Datacenter MAC: AA:AA:AA:AA:AA:01 MAC: AA:AA:AA:AA:AA:02 . Fraude
  • 13. • HUB conectado na porta do switch • Cliente autenticado • Mac-address clonado pelo atacante • Acesso liberado até re-autenticação ou queda do link 802.1x – Man-in-the-middle Switch Radius POS – Point of sale HUB MAC: AA:AA:AA:AA:AA:02 Datacenter MAC: AA:AA:AA:AA:AA:01 MAC: AA:AA:AA:AA:AA:02 . Fraude . Cópia de informação
  • 14. • HUB conectado na porta do switch • Cliente autenticado • Mac-address clonado pelo atacante • Acesso liberado até re-autenticação ou queda do link 802.1x – Man-in-the-middle Switch Radius POS – Point of sale HUB MAC: AA:AA:AA:AA:AA:02 Datacenter MAC: AA:AA:AA:AA:AA:01 MAC: AA:AA:AA:AA:AA:02 . Fraude . Cópia de informação . Ataque às aplicações
  • 15. • HUB conectado na porta do switch • Cliente autenticado • Mac-address clonado pelo atacante • Acesso liberado até re-autenticação ou queda do link 802.1x – Man-in-the-middle Switch Radius POS – Point of sale HUB MAC: AA:AA:AA:AA:AA:02 Datacenter MAC: AA:AA:AA:AA:AA:01 MAC: AA:AA:AA:AA:AA:02 . Fraude . Cópia de informação . Ataque às aplicações . Proliferação de malwares . Ataques avançados (APT)
  • 16. Efetividade • Desconectar endpoint autorizado - TCP race condition 802.1x – Man-in-the-middle Wilson Switch Wilson HUBMAC: AA:AA:AA:AA:AA:01 MAC: AA:AA:AA:AA:AA:01 Datacenter
  • 17. Efetividade • Desconectar endpoint autorizado - TCP race condition 802.1x – Man-in-the-middle Wilson Switch Wilson HUBMAC: AA:AA:AA:AA:AA:01 MAC: AA:AA:AA:AA:AA:01 Datacenter SYN SYN
  • 18. Efetividade • Desconectar endpoint autorizado - TCP race condition 802.1x – Man-in-the-middle Wilson Switch Wilson HUBMAC: AA:AA:AA:AA:AA:01 MAC: AA:AA:AA:AA:AA:01 Datacenter SYN + ACK SYN + ACK SYN + ACK
  • 19. Efetividade • Desconectar endpoint autorizado - TCP race condition 802.1x – Man-in-the-middle Wilson Switch Wilson HUBMAC: AA:AA:AA:AA:AA:01 MAC: AA:AA:AA:AA:AA:01 Datacenter RST RST ACK ACK ??
  • 20. Mitigação • 802.1x + VPN • ACL no switch • VPN only 802.1x – Man-in-the-middle Wilson Switch Wilson HUBMAC: AA:AA:AA:AA:AA:01 MAC: AA:AA:AA:AA:AA:01 Datacenter ACL X VPN VPN
  • 21. • Publicado em 2006 • Criptografia ponto-a-ponto do payload do frame • Usado tipicamente para criptografar links lan-to-lan entre Datacenters • Cifra padrão - GCM-AES-128 • CAK - Connectivity Association Key – pre-shared • SAK - Secure Association Keys – derivada da CAK, trocada periodicamente • KEK – Key Encription Key – criptografa a SAK • Servidor de chaves é eleito para a geração da SAK IEEE 802.1ae - MacSec
  • 22. • 802.1x-2010 - EAPoL packet type 5 (EAPoL-MKA) • MKA – MacSec Key Agreement • Depois de autenticado, inicia-se o processo MKA • MSK - Master Session Key – gerada na autenticação EAP pelo servidor de autenticação (Radius) • Suplicante recebe a MSK no processo EAP • Switch recebe a MSK em um atributo radius • MSK usada para gerar a CAK • Switch sempre é o servidor de chaves (SAK) 802.1x + 802.1ae Wilson 802.1X – EAP-TLS RADIUS Certificado CN: Wilson@corp AuthC: OK MSK Certificado CN: Wilson@corp Switch Radius MKA CAK - SAK MacSec
  • 23. 802.1x-2010 • Tráfego não 802.1ae é descartado pelo switch Wilson 802.1X – EAP-TLS RADIUS Certificado CN: Wilson@corp Switch Radius HUB MAC: AA:AA:AA:AA:AA:01 Datacenter MAC: AA:AA:AA:AA:AA:01 MACSEC MASEC x
  • 24. 802.1x-2010 Suporte • Suplicante Windows - Cisco anyconnect (NAM) Linux – WPA supplicant • Autenticador (Switch) Cisco 3650, 3850 • Servidor de autenticação (Radius) Cisco ISE FreeRadius 2.x (à confirmar)
  • 25. Referências Identity-Based Networking Services: MAC Security http://www.cisco.com/c/en/us/products/collateral/ios-nx-os-software/identity-based-networking- services/deploy_guide_c17-663760.html MACsec Switch-host Encryption with Cisco AnyConnect and ISE Configuration Example http://www.cisco.com/c/en/us/support/docs/lan-switching/8021x/117277-config-anyconnect-00.html MACsec: a different solution to encrypt network traffic https://developers.redhat.com/blog/2016/10/14/macsec-a-different-solution-to-encrypt-network-traffic/ 802.1X-2010 - IEEE Standard for Local and metropolitan area networks Port-Based Network Access Control https://standards.ieee.org/findstds/standard/802.1X-2010.html