Seguridad en Redes Inalámbricascryptomex.org/SlidesSeguridad/SegWireless.pdfSeguridad Informática...

Seguridad Informática Seguridad Redes Inalámbricas

Dr. Roberto Gómez Cárdenas 1

Lámina 1Dr. Roberto Gómez Cárdenas

Seguridad en Redes Inalámbricas

Roberto Gómez Cá[email protected]

http://cryptomex.org


Las redes

• RED– unión de dos o más computadoras, para crear una

comunicación entre ellas que les permita compartir información y recursos.

• Para realizar esta conexión se requiere de un medio físico, en el cual viajará la información.




Conectividad

• ¿Cómo se conecta nuestro usuario a la red?– Narrowband

• Dial-Up– 56Kbps (con suerte…)

– Broadband• Ds0/E1…

– Enlaces dedicados.– Oficinas / Escuelas

• DSL– 128Kbps – 2Mbps– Requiere cobertura por el ISP


El Spaghetti

• Los datos requieren de un medio de transmisión

• Evolución de los cables– Coaxial

– UTP

– Fibra

• Problemas– Aumentar velocidad

– Crecer la red

– Costo




¿Alternativas?


¿Qué es una red inalámbrica o WLAN?

• El medio de transmisión más utilizado es el cable, pero para el caso de una red inalámbrica ese medio físico es el aire.

• WLAN: Siglas en inglés de Wireless Local AreaNetwork.




¿Qué va a pasar con el cableado de red?

• Una red inalámbrica NO va a desplazar a una red por medio de cable.

• La red inalámbrica complementa a la red cableada en situaciones como– difícil montar una red,

– realizar más conexiones

– se requiere estar moviéndose de un área a otra sin necesidad de desconectarse de la red (computo móvil)


Tipos WLANS

• Ad-hoc

• Infraestructura permanente




Ejemplo estructura WLAN

LANinalámbrica

LAN cableada

Punto de Acceso(Repetidor) Terminal Móvil


Elementos de una WLAN




Las antenas

• Clasificación de acuerdo a sus patrones de radiación y por el ancho del haz que emiten o reciben.

• Antenas omnidireccionales– Montaje en mástil– Montaje en Pilar– Plano de tierra– Montaje en techo

• Antenas Parcialmente direccionales– Tipo parche– Panel– Sectoriales– Yagi

• Antenas totalmente direccionales– Parabólicas– Satélite


Los chipset

• Diferencia importante de los adaptadores inalámbricos• No viene especificado ni en la caja, ni en el manual de

instrucciones.• Los más famosos

– Intersil Prism, Atheros, Hermes u Orinoco, Cisco Aironet, TI (Texas Intruments), Realtek, Symbol, Atmel

• Cada fabricante (Conceptronic, Intel, Dlink …) cada modelo (c54C, 2200BG, 520G) e incluso cada revision (-G520+, 2200BG+) no tienen porque tener el mismo chipset, es decir diferentes fabricante pueden coincidir en dos modelos en el mismo chipset

• Una lista– http://www.linux-wlan.org/docs/wlan_adapters.html.gz




El modo promiscuo o monitor

• También conocido como modo RFMON– equivalente al modo promiscuo de los sniffers

• En lugar de sniffear todo el tráfico de la red a la que se esta asociada, sniffea todo el tráfico que la tarjeta recibe.– i.e. reciba todo el tráfico aunque no vaya dirigido a ella.

• En este modo, generalmente no se puede transmitir datos• Util cuando DHCP esta deshabilitado y no es posible

sniffear.• Util para conocer parámetros necesarios para conectarse a

una red inalámbrica. • No todas las tarjetas soportan este modo, depende del

chipset


Verificando el driver soporta modo monitor en Linux

[root@badmonkey]:/home/anindya> iwpriv eth1eth1 Available private ioctl :

force_reset (8BE0) : set 0 & get 0 card_reset (8BE1) : set 0 & get 0 set_port3 (8BE2) : set 1 int & get 0 get_port3 (8BE3) : set 0 & get 1 int set_preamble (8BE4) : set 1 int & get 0 get_preamble (8BE5) : set 0 & get 1 int set_ibssport (8BE6) : set 1 int & get 0 get_ibssport (8BE7) : set 0 & get 1 int monitor (8BE8) : set 2 int & get 0dump_recs (8BFF) : set 0 & get 0

Básicamente, si no aparece la palabra monitor en la lista, no se soporta el modo monitor




Activando/usando modo monitor

• Comando para activar modo monitor en Linux

• Resumiendo– el modo monitor consiste en poner nuestra tarjeta wireless en

escucha para poder captar los paquetes que transmiten otras redes wireless sin estar asociados a ellas

iwpriv eth0 monitor <m> <c>m - one of the following

0 - disable monitor mode1 - enable monitor mode with Prism2 header info prepended

to packet (ARPHRD_IEEE80211_PRISM)2 - enable monitor mode with no Prism2 info (ARPHRD_IEEE80211)

c - channel to monitor


Las entidades involucradas

• IETF– Internet Engineering Task Force– http://www.ietf.org

• IEEE– Institute of Electrical and Electronica Engineers– http://www.ieee.org

• WECA– Wi-Fi Alliance– Formada en 199– certifica la interoperabilidad de productos WLAN basados en

la especificación 802.11– http://www.weca.net




IEEE 802.11

• Estándar transmisión de datos a través señales de radio• Capa MAC semejante a Ethernet• Soporta el stack de protocolos de TCP/IP y otros.• Basado en

– Direct Sequence Spread Spectrum (DSSS), – Frequency Hoping Spread Spectrum (FHSS),– Orthogonal Frequency Division Multiplexing (OFDM)

• Tipos– 802.11a (Wi-Fi-5)– 802.11b (Wi-Fi)– 802.11g– 802.11i


Vulnerabilidades y ataques

principales ataques y herramientas usadas




Descubrimiento

• El SSID (Service-Set Identifiers) es esencialmente el nombre de una red inalámbrica.

• La mayoría de los Access Points envían vía broadcast el SSID, esta situación permite el descubrir APs de manera sencilla. (Probe a FF:FF:FF:FF:FF:FF con SSID nulo o “any” – AP envía su SSID)

• El SSID se incluye en cada uno de los paquetes que no se cifran (sniffing del SSID a pesar de que el AP no los envíe por broadcast).


Asociaciones

• Parte fundamental del estándar.

• El cliente solicita autenticación.

• AP responde con auth type (Open/WEP)

• Se efectúa la autenticación.

• Se permite la asociación.




Descubrimiento

Redes con punto de acceso abierto


Descubrimiento en redes con puntos acceso abiertos

Node Access Point





Node Access PointBeacon

Los beacons sólo son "paquetes anuncio" sin encriptar.




SSID Matches Association Req







Access PointAccepts Node

Association Resp






Association Resp

Node is Associated




Descubrimiento

Redes con puntos de acceso cerrados


Descubrimiento en redes con puntos acceso cerrados

Node Access Point





Node Access PointProbe Req




SSID MatchesProbe Resp














Association Resp









Association Resp

Node is Associated


WAR…

– Netstumbler y amigos– Todo empezo con

• WAR DIALING

– Wardriving– Warchalking– Sniffing –

Ethereal/Airopeek– Window XP y cierto

software de tarjetas de red detectan AP’s disponibles

– Uso de tipos antenas• Omnidireccionales• Direccionales

•

Wireless Access Reconnaissance




Wardriving

• Acto de descubrir redes inalámbricas en un área a través de conducir en esa área con el equipo necesario (laptop, tarjeta de red inalámbrica, software necesario, posiblemente antena externa).


Ejemplo Wardriving




Ejemplo Wardriving


Wardriving - Netstumbler




Wardriving/Warchalking -Ministumbler


Salida de Kismet

Name: targetSSID: targetServer: loclahost:2501BSSID: 00:12:17:6F:97:ADCarrier: IEEE 802.11gManuf: UnknownMax Rate: 54.0Max Seen: 11000 kbpsFirst: Wed Jun 22 00:23:15 2005Last: Wed Jun 22 00:23:25 2005Clients: 5Type: Access Point (infrastructure)Info:Channel: 5WEP: YesEncrypt: WEP WPADecryptd: NoBeacon: 25600 (26.214400 sec)Packets: 78




inSSIDer


¿Y si no cuento con GPS?




¿Pero que estamos buscando?

• Redes inalámbricas– Preferentemente con WEP deshabilitado

– Preferentemente con DHCP habilitado

• Si WEP está habilitado necesitaremos otra estrategia para conocer las debilidades de la infraestructura inalámbrica, esa estrategia es explotar las vulnerabilidades/debilidades de la implementación de WEP en IEEE 802.11b:

• Colisiones del vector de inicialización (“Weak Schedulingattack)

• Brute-forcing (40 bits)


WEP: Wired Equivalency Privacy

• Protección igual o mejor que las redes alambradas

• Uso de llaves para autenticar cada estación

• Puntos de acceso también requieren una llave para ser admitidos en la red

• Desarrollo de protocolos de autenticación y de distribución de llaves se les deja a los vendedores

• Encripción opcional de datos entre estaciones usando algoritmo RC4

• Intento del estándar por proteger la confidencialidad y proveer autenticación.




Diagrama proceso cifrado


Diagrama proceso descifrado




Problemas inherentes

• Administración de las llaves

• Distribución de las llaves

• Vectores iniciales débiles

• Tipos de ataques a WEP– ataques de fuerza bruta

– ataques FMS


Cronologia ataques WEP




Aircrack

• Programa crackeador de llaves WEP 802.11 y claves WPA-PSK.

• Es capaz de recuperar las claves una vez que haya conseguido suficientes paquetes de datos.

• Implementa el ataque estándar FMS junto con algunas optimizaciones como los ataques Korek, así como todos los nuevos ataques PTW.

• Obtiene un resultado de ataque mucho más rápido comparado con otras herramientas de crackeo WEP


Las herramientas de aircrack

• aircrack– Crackea WPA con diccionario y WEP con 300,000 IV– Sintaxis:

• airodump– Captura los IV mientras se reinyectan los paquetes– Sintaxis

• airforge– Crea paquetes una vez que se tiene el PRGA para forzar una

reautenticación en WPA/LEAP o vaciar el cache de ARP y forzar un nuevo ARP request

– Sintaxis

aircrack [opciones] <archivo(s) de captura>

airodump-ng [opcione(s)] <dispositivo>

airforge <bssid> <mac destino> <nombre-paquete>




Las herramientas de aircrack

• aireplay– Puede jugar un paquete (creado con airforge),

automáticamente reinyectar APR request, reautenticar las estaciones, usar el paquete de Korek para descifrar un paquete y conseguir el PRGA

– Sintaxis

• airdecap– Sirve para desencriptar los paquetes capturados una vez

obtenida la clave ya sea WEP o WPA

– Sintaxisairdecap-ng [opciones] <archivo pcap>

aireplay ataque [opciones ataque]


Esquema inyección

• Fase 1

• Fase 2– atacante revisa paquetes capturados y remite los paquetes que podrían ser

ARP o DHCP

AP

captura

atacante

paquete encriptado ARP encriptado

cliente

AP

atacante

Respuesta ARP encriptado

cliente

ARP encriptado

ARP encriptado




Ejemplo salida aircrack


¿Y después?

• Una vez que alguien ha logrado conectarse a una red inalámbrica todos los métodos de ataque en capa 2, capa 3, capa 4, ..., capa 7 son posibles:– Spoofing– Hijacking– Sniffing– DOS– Exploits– BruteForcing– Código Malicios (Worms)– ...




Otras herramientas

• KisMAC

• WepCrack

• Kismet

• ssidsniff

• WarDrive

• APTools

• AirIDS

• Wellenreiter


Otros problemas WEP

• No cuenta con autenticación del usuario• No cuenta con soporte para otros métodos de

autenticación– Por ejemplo: tarjetas inteligentes, certificados, one-

time passwords, biométricos, etc

• No soporta administración de llaves, ni redefinición de llaves– Dinámica– Por estación– Por sesión




WPA

• Wi-fi Protected Access

• Surge en abril 2003

• Fue un predesarrollo de la norma 802.11i cuando todavía no estaba finalizada.

• WPA incluye todos los mecanismos para cumplir con la 802.11i(WPA2)– TKIP (Temporal Key Integrity Protocol) cada paquete está

encriptado por una llave única y basado en sesión• significa llaves diferentes por todos los usuarios y por paquete

• WEP usa siempre la misma llave secreta para la generación de la secuencia pseudoaleatoria


Fortaleciendo la seguridad

• Autenticación e identificación por usuario– Usa EAP: Extensible Authentication Protocol (EAP)– Requiere que el usuario se autentique.

• Soporte para autenticación extendida– EAP proporciona la infraestructura necesaria para

soportar otros formas de autenticación.

• Soporte para administración de llaves– Posible cambiar las llaves de cifrado periódicamente

por el punto de acceso o por el cliente.




Problemas encripción WEP y su solución en WPA

Debilidad WEP Solución WAP

IV muy corto Se doblo su tamaño a 48 bits, dentro de un nuevo algoritmo denominado TKIP

Integridad datos débil Se reemplaza el CRC-32 por el algoritmo Michael, valor 64 bits (MIC) encriptado con TKIP

Uso de la llave maestra y no de la generada

TKIP y Michael usan un conjunto de llaves temporales derivadas de una llave maestra y otros valores.

No protección contra replay

TKIP usa el IV como un contador de paquetes para proporcionar protección contra replay


Mecanismos WPA

• MIC (Message Integrity Check): Michael– mecanismo más fuerte de control de errores o modificación

– basado en un algoritmo de Hash unidireccional, que no es susceptible a ataques de Bit-Flipping como si lo es el CRC-32.

• Inicialización del vector 32 bits– substituye a los 24 bits de WEP

– reduce los riesgos de colisión y ofrece un mayor rango disponible

• EAP y 802.1x– permite autenticación del usuario, lo que no se podía con WEP

solamente




WEP y WPA

Características WEP WPA

Confidencialidad

Encripción Débil Soluciona debilidades

Algoritmo encripción RC4 RC4

Longitud de llaves 40 y 104 bits 128 bits

Longitud del IV 24 bits 48 bits

Generación Llaves Estáticas Dinámica

Autenticación

Distribución llaves Distribución manual Automática

Método autenticación Llave pre-compartida (PSK)

PSK y 802.1x-EAP-RADIUS

Integridad

Método de integridad CRC-32 (no encriptado) MIC, Michael


Modos autenticación WPA

• Permite dos modos de autenticación– Modo Pre-Shared Key (WPA-PSK): cada lado tiene

un llave secreta preconfigurada, vulnerable a ataques con diccionarios.

– Modo autenticación 802.1x/EAP: más seguro si está bien implementado




WPA-PSK

• Dirigida para SOHO (Small Office/Home Office)– no requiere de un servidor de

autenticación• La encriptación usa una

autenticación de clave previamente compartida con cifrado TKIP

• Las llaves de encripción son modificadas frecuentemente y de forma automática

• Llave toma forma de un passphrase de hasta 63 caracteres


Diferencias entre modos de funcionamiento empresarial y so-ho

Empresarial o gubernamental

SO-HO

Encripción Claves de 128 bits Claves de 128 bits

Utilización de claves dinámicas. Por usuarios, por sesión y por paquete.

Utilización de claves estáticas.

Distribución automática de claves.

Distribución manual de claves.

Autenticación Utiliza una fuerte autenticación de usuario, utilizando 802.1X y EAP, implementados en un servidor RADIUS.

Utiliza una contraseña pre- compartida. Los clientes y los AP deben de tener la misma clave.




Atacando SO-HO

• Deautenticación – recuperar un SSID oculto

– forzar al cliente a reautenticarse

• Inyectar paquetes de petición de autenticación

• Utilizar un sniffer para recuperar paquetes que contengan el intercambio de mensajes de autenticación

• Almacenar mensajes en un archivo de captura

• Ejecutar un ataque de diccionario/fuerza bruta sobre dicho paquete.


EAP

• Protocolo extensible para autenticación (EAP)– Extensible Authentication Protocol

• El protocolo EAP (RFC 2284) se creó como una extensión al protocolo PPP que permitiese el uso de cualquier tipo de sistema de autenticación para acceso de red.

• No es fue desarrollado para redes inalámbricas, pero encontró su lugar con la llegada de estas.

• Propone un sistema de autenticación modular que posee una base única– puede extenderse mediante módulos de autenticación– existen cerca de 40 métodos




Mensajes y componentes EAP en 802.1x

• Cuatro mensajes– EAP-Request– EAP-Response– EAP-Success– EAP-Failure

• Tres componentes– supplicant

• el que pide la autenticación

– authenticator• el que autoriza o no el acceso

– servidor de autenticación• valida o no la autenticación • servidor RADIUS con base datos usuarios/passwords como Active

Directory


Métodos autenticación soportados por EAP

• EAP-MD5– Autentica un usuario a través de un challenge/reponse

• EAP-PAP– Usa el mismo que PAP y manda el pasword en claro– Se recomienda usarlo junto con un algoritmo de tuneleo

• EAP-SIM– Permite autenticación a través de tarjetas con chip– Usuarios que usen GSM y SIM (Subscriber Identity Module)

• EAP-AKA– Authentication and Key Agreement, para usuarios UMTS– Similar a SIM pero usa un dispositivo diferente (USIM) y

algoritmos AKA para autenticación




Métodos autenticación soportados por EAP (tunelisados)

• Primero se define un túnel y después se autentica al usuario.

• EAP-TLS– Sistema doble autenticación que usa certificados– Método seguro y fuerte– Desventaja: tanto el cliente como el servidor deben tener su

propio certificado, por lo que es necesario implementar una arquitectura PKI interna

• EAP-TTLS– Primero el cliente se conecta con el servidor, recibe su

certificado y levanta un túnel encriptado– Después se autentica con otro método al cliente a tráves del

túnel


Métodos autenticación soportados por EAP (tunelisados)

• PEAP– Producto de Microsoft, Cisco y RSA– Objetivo: atacar las debilidades de LEAP– Funciona igual que EAP-TTLS – No permite modo de autenticación UAP (User

Authentication Protocols)

• EAP-FAST– FAST: Flexible Authentication via Secure Tunneling– Desarrollado por Cisco– No requiere certificados digitales para crear el túnel




Carta comparativa

Tipo EAP Llaveros dinámicos

Autenticación mutua

Requiere certificados clientes

Túneles Propietario Compatible WPA

TLS SI SI SI NO NO SI

LEAP SI SI NO NO SI SI

TTLS SI SI NO SI NO SI

PEAP V0 SI SI NO SI NO SI

PEAP V1 SI SI NO SI NO SI

FAST SI SI NO SI SI/NO SI

SIM SI SI NO NO NO SI

MD5 NO NO NO NO NO NO


Comparativo: facilidad implementación vs seguridad

Facili

dad

de im

ple

men

tació

n




IEEE 802.11i

• IETF de la IEEE liberó en junio de 2004 un nuevoestándar para redes inalámbricas, el IEEE 802.11i – Posee seguridad mejorada en comparación con los hasta ahora

estándares.

• Mejora mecanismos de integridad, cifrado, autenticación• Compatible hacia atrás con WPA• Los mecanismos de encripción pueden llegar a requerir

un cambio de hardware– Uso de AES para encripción– CBC-MAC Protocol, CCMP (variante AES), para cuidar

integridad– EAP o PSK (clave compartida) para autenticar


AES en IEEE 802.11i

• Advanced Encryption Standard• Ofrece cifrado más fuerte que TKIP.• Requiere coprocesador (Hw adicional) para su

funcionamiento (para no ralentizar comunicaciones WiFi)– Necesidad de reemplazar APs y NICs de clientes.

• AES es un algoritmo muy robusto (std. oficial en US) pero hay que determinar si merece la pena el coste que supone actualizar los sistemas para mejorar la seguridad.

• No compatible hacia atrás.




Cálculo del MIC en IEEE 802.11i

BloqueInicial

Cifrado con AES

Resultado cifrado 1

Resultado cifrado 1

(XOR)

Siguientes128 bits

Cifrado con AES

Resultadocifrado 2

Resultado cifrado 2

(XOR)

Siguientes128 bits

Cifrado con AES

Resultadocifrado 3

Resultado cifrado 3

(XOR)

Siguientes128 bits

Cifrado con AES

Resultadocifrado 4

…


Encriptando con CCMP

Inicializando valor contador Siguiente valor contador Siguiente valor contador

Cifrado con AES

Primer bloquedel mensaje

(XOR)

Resultado cifrado 1

Primer bloquecifrado

Cifrado con AES

Segundo bloquedel mensaje

(XOR)

Resultado cifrado 2

Segundo bloquecifrado

Cifrado con AES

Tercer bloquedel mensaje

(XOR)

Resultado cifrado 3

Tercer bloquecifrado

…




Autenticación en IEEE 802.11i

• KERBEROS:– Asigna una única clave (ticket) a cada usuario que se conecta a

una red.– El ticket se usa en los mensajes para identificar al emisor.

• RADIUS:Remote Authentication Dial-In User Service– Sistema de autenticación y registro usado por muchos ISP.– Al contactar con ISP se introduce login y pswd. Esta

información se pasa a una servidor RADIUS que comprueba que la información es correcta => autoriza el acceso al sistema.

• EAP: Extensible Authentication Protocol– Autentica usuario, no máquina.


Comparando IEEE 80211i

WEP WPA 802.11i (RSN, WPA2)

Algoritmo cifrado RC4 RC4 (TKIP) Rijndael (AES-CCMP)

Llave cifrado 40 bits 128 bits (TKIP) 128 bits (CCMP)

Vector inicialización 20 bits 48 bits (TKIP) 48 bits (CCMP)

Llave autenticación Ninguna 64 bits (TKIP) 128 bits (CCMP)

Verificación integridad CRC-32 Michael (TKIP) CCM

Distribución llave Manual 802.1x (EAP) 802.1x (EAP)

Llave única para Red Paquete, sesión, usuario

Paquete, sesión, usuario

Jerarquía llave No Derivado de 802.1x Derivado de 802.1x

Negociación algoritmo No Si Si

Seguridad ad-hoc (P2P) No No Si (IBSS)

Preautenticación (wired LAN)

No No Usando 802.1x (EAPOL)




Las tres opciones


Puntos de acceso malignos

• Varias definiciones– cualquier punto de acceso que ha sido instalado sin el permiso

del administrador de la red

– punto de acceso instala detrás del firewall por un atacante malicioso para permitirle acceso remoto a la red

• Tipos punto acceso malignos– Instalados por el empleado

– AP mal configurados

– AP de redes vecinas

– AP que no siguen las políticas

– AP operados por un atacante




Mobphishing: Mobile Phishing

• No involucra correo electrónico y errores en páginas web

• Puntos de acceso fraudulentos creados en un dispositivo móvil inteligente.

• En la conferencia RSA 2007, Carl Banzhof, dio a conocer este ataque.– Nuevos dispositivos móviles soportan protocolo

802.11– Implementación ataque “evil twin” con un T-

Mobile corriendo Windows CE 5.0– Asevera que se puede llevar a cabo de forma

más fácil con el iPhone


Detección punto de acceso

• Descubrir el punto de acceso– Escaneo RF

– Escaneo AP

– Uso de protocolos

• Descubrir si el punto de acceso es un punto de acceso malicioso o no– lista de acceso autorizada

• MAC autorizada

• SSID autorizada

• Vendedor autorizado

• Tipo de medio autorizado

• Canal autorizado




Bloqueo del punto de acceso

• Bloquearlo para los cliente autorizados no puedan asociarse con el

• Diferentes formas de bloquearlo– lanzar un ataque de negación de servicio sobre el punto de

acceso • lanzar un gran número de paquetes de desasociación

– ponerlo fuera de la red de forma manual• caminar hasta el AP y sacarlo de la red

– bloquear el puerto del switch al cual el AP esta conectado• fijarse en la MAC del punto de acceso y verificar todos los switches

conectados en la LAN

• el puerto en el que este conectada la MAC será bloqueado


Bloqueando los AP maliciosos




Entonces, ¿no debo usar redes inalámbricas?

consejos…


Las seis falsos intentos por asegurar una red wireless …

…pero no por ello no hay que implantarlos




Las seis falsos intentos

1. Filtrado direcciones MAC– MAC spoofing

2. Esconder el SSID– deshabilitar broadcast SSID– varios mecanismos para “encontrar” el SSID– Debunking the myth of SSID hiding, by Robert Moskowitz

3. Autenticación LEAP– problema password elegido por el usuario– ASLEAP (http://asleap.sourceforge.net )

4. Deshabilitar DHCP5. Ubicación de la antena6. Solo usar 802.11a o Bluetooth


Aspectos a considerar dentro de una polítca de seguridad para wireless

• Designación de autoridad y responsabilidad– figura que tenga la responsabilidad y autoridad con respecto a

la red inalámbrica

• Risk Assessment– determinar vulnerabilidades relacionadas con red inalámbrica

• Logging y accounting– debe incluirse en la política y definir la frecuencia con que

serán hecha

– monitoreo usuarios, depuración y detección de posible actividad anormal

– incluir que tan frecuentemente deben ser revisados





• Segregación de la red– separar y distinguir redes alámbricas de las inalámbricas – separar redes confiables de las no confiables a través de un firewall y

monitorear el tráfico para detectar alguna intrusión– conectar los APs en una zona de seguridad “pública” (ó de bajo riesgo)

posiblemente en una DMZ, – jamás conectar la red inalámbrica a la red alámbrica de manera

transparente.

• Disponibilidad– asegurar cobertura señal y que el ambiente esta libre de conflictos de

transmisiones de radio frecuencia– usar software de topología para identificar obstrucciones– política debe forzar las pruebas de disponibilidad, frecuencia con que

deben ser hechas, especificar las herramioetas a usar y un marco de tiempo para completarse


Ejemplo segregación y prueba disponibilidad





• Seguridad y ubicación del punto de acceso– seguridad lógica y física

– solo administradores deben poder hace cambios

– política debe describir que usuarios se pueden conectar y administrar el punto de acceso

– no dejar AP abiertos a la calle

– bajar potencia de emisión y comprobar alcance


Cuidar la ubicación del AP para evitar robo de señal




Aspectos a considerar dentro de una política de seguridad para wireless

• Seguridad basada en el cliente– Firewall

– Antivirus

– Deshabilitación conexiones Ad-Hoc

• Educación y concientización (enforcement)– dar a conocer los riesgos de la tecnología inalámbrica

– todo el mundo debe estar al tanto de la política y seguirlas.



• Autenticación– todos los usuarios deben autenticarse – política debe incluir el estándar a usar, el método, la

implementación y los requerimientos de mantenimiento

– implementar PEAP/EAP-TLS en conjunto con un servidor RADIUS para el acceso a la red

• Passwords fuertes– no permitir passwords débiles– LEAP o WPA-PSK son vulnerables si se usan

passwords débiles




Arquitectura insegura vs arquitectura segura

ServidorBase Datos

ServidorArchivos

ruteador

punto deacceso

INTERNETINTERNETServidor

Base Datos

ServidorArchivos

ruteador

punto deacceso

servidor VPN


Esquema autenticación RADIUS

cliente wireless

puntode acceso

switch

servidorRADIUS

segmento de la red privada

autenticación LEAP

llave de unicast dinámicoentregada al AP

llaves de unicast dinámicoy de broadcast

entregadas al cliente




Usando Simple Wireless Gateway para autenticación usuarios

cliente wireless

puntode acceso switch

servidorDolphin

segmento de la red privada

autenticación usuario usando base datos interna

Túnel VPN con IPSec



• Confidencialidad– Uso de encripción

– Si solo se soporta WEP, habilitarlo y usarlo con algún sistema de túnel

• VPN: SSL, SSH, IPSec

– Si es posible utilizar WPA o WPA2

– Política debe incluir fortaleza, método, implementación, mantenimiento (rotación llave) y frecuencia de uso





• Escaneo inalámbrico– Política debe definir herramientas a usar, frecuencias escaneo

y metodos para localizar puntos de acceso no autorizados.

– Wardriving, warwalking, warbiking, etc.

– Herramientas: Airsnare, WIDS, WIDZ, Netstumbler, Wifiscanner, Airdefense.

• Monitorear la red LAN– Uso de un WIDS, Wireless Intrusion Detection, para la

detección de posibles ataques.

– Checar las bitácoras del WIDS.


Otras consideraciones

• Direccionamiento estático ARP– evitar redireccionamiento de tráfico hacia un host

maligno

• Evitar configuraciones por default– no dejar la configuración de la fabrica

– poner una contraseña fuerte para administración

Seguridad en Redes Inalámbricascryptomex.org/SlidesSeguridad/SegWireless.pdfSeguridad Informática...

Documents

Transcript of Seguridad en Redes Inalámbricascryptomex.org/SlidesSeguridad/SegWireless.pdfSeguridad Informática...