Seguridad en Redes Wireless - Claretcoromoto's Weblog · – Puntos de Acceso (AP) Red de Área...

Seguridad en Redes Seguridad en Redes WirelessWireless

[email protected]© Copyright 2003 VIRUSPROT, S.L. Todos los derechos reservados

© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario

2

Acerca de Virusprot, S.L.

♦ Oficina Central: Madrid (España)♦ Fundador: Eduardo Tabacman, Director

General ([email protected])

♦ Establecida en el año 1999♦ Equipo con más de 12 años de experiencia en

el tema de la Seguridad Informática♦ Actividades principales:

– Portal de Seguridad Informática VIRUSPROT.COM (http://www.virusprot.com)

– Más de 50.000 visitas mensuales– Distribución de productos SI– Servicios de asesoramiento y consultoría SI– Desarrollo de seminarios y conferencias SI– Bussiness matching


3

Topología de una Red Inalámbrica Empresarial♦ 2 Elementos básicos:

– Estaciones cliente (PCMCIA – adaptador USB)– Puntos de Acceso (AP)

Red deÁrea Local

Estacionesde trabajo

100 m

Estacionesde trabajo

Puntosde Acceso

Puntosde Acceso


4

Pronóstico Instalaciones Hot Spot en el Mundo

2002 2003 2004 2005 2006

12.000

30.000

82.000

143.000

210.000

Fuente:Gartner Group

♦ Punto de Acceso generalmente localizado en lugares con gran tráfico de público que proporciona servicios de red inalámbrico de banda ancha a visitantes móviles


5

“The Players”

♦ IETF – The Internet Engineering Task Force– Grupo auto-organizado– Grupo principal comprometido en el desarrollo de nuevas

especificaciones estándares para Internet– http://www.ietf.org

♦ IEEE – Institute of Electrical and ElectronicEngineers– 377.000 miembros en 150 países– 900 estándares activos– 700 en desarrollo– http://www.ieee.org

♦ WECA - The Wi-Fi Alliance– Formada en 1999– Certifica la interoperabilidad de productos

WLAN basados en la especificación 802.11– http:/www.weca.net 802.11

802.1x


6

Historia de las Redes Wireless

2.4 Ghz54 Mbps802.11g

Finales de 2003802.11i

2.4 Ghz11 Mbps802.11b

5.15 Ghz54 Mbps802.11a

2.4 Ghz1 y 2 Mbps802.11

Banda Frecuencia

VelocidadEstándar


7

Amenaza de Seguridad - Ilustración


8

¿Cuáles son los Desafíos en la Seguridad de las Redes Inalámbricas?

1. Cualquiera dentro de un radio de 100 metros puede ser un intruso potencial

2. Las acreditaciones del usuario se deben poder intercambiar con seguridad

3. Debe ser capaz de asegurar la conexión con la red de trabajo correcta

4. Los datos se deben poder transmitir con seguridad a través de la utilización apropiada de llaves de encriptación


9

WarChalking

♦ Es la práctica de dibujar en paredes o aceras una serie de símbolos para indicar a otros la proximidad de un acceso inalámbrico

NodoWEP

NodoCerrado

NodoAbierto

SímboloClave

Sintaxis V.0.9

SSID

Ancho de Banda

SSID

SSID

Ancho de Banda

AccessContact

Fuente: www.warchalking.org


10

WarDriving

♦ Técnica difundida donde individuos equipados con material apropiado tratan de localizar en coche puntos wireless

Lugar: BarcelonaImagen: Miguel Puchol

Puntos rojos protegidosPuntos verdes desprotegidos

Foto: O´Reilly Network

Estudio WarDriving New York

75%WEP Desactivado

25%WEP Activado

(Julio 2002)


11

Red Inalámbrica en una Empresa, Ataque Potencial 1


12

Red Inalámbrica en una Empresa,Ataque Potencial 2


13

WEP - Introducción

♦ Sistema de encriptación estándar 802.11

♦ Se implementa en la capa MAC♦ Soportada por la mayoría de

vendedores de soluciones inalámbricas♦ Cifra los datos enviados a través de las

ondas de radio♦ Utiliza el algoritmo de encriptación RC4


14

WEP – Funcionamiento (1)

♦ Concatena la llave simétrica compartida, de 40 ó 104 bits, de la estación con un vector de inicialización aleatorio (IV) de 24 bits, esta estructura se denomina “seed”

♦ El seed se utiliza para generar un número pseudo-aleatório, de longitud igual al payload (datos + CRC), y un valor de 32 bits para chequear la integridad (ICV)

♦ Esta llave y el ICV, junto con el payload (datos + CRC), se combinan a través de un proceso XOR que producirá el texto cifrado

♦ La trama enviada incluye el texto cifrado, y el IV e ICV sin encriptar


15

WEP – Funcionamiento (2)

♦ El ICV actúa como checksum, será utilizado por la estación receptora para recalcularlo y compararlo con la recibida

♦ Si el ICV no concuerda con el ICV calculado, se descarta la trama e incluso al emisor de la misma

♦ El IV se utiliza para desencriptar, junto con la llave simétrica compartida, los datos y el CRC de la trama


16

WEP - Debilidades

♦ Longitud del vector IV (24 bits) insuficiente

♦ El IV se repetirá cada cierto tiempo de transmisión continua para paquetes distintos, pudiendo averiguar la llave compartida

♦ Utilización de llaves estáticas, el cambio de llave se debe realizar manualmente

♦ A pesar de todo, WEP ofrece un mínimo de seguridad


17

Herramientas para “crackear” WEP

♦ AirSnort♦ WEPCrack♦ Interceptando aproximadamente

100 Mb 1 Gb♦ 3.000 llaves cada semana son débiles♦ 2.000 paquetes débiles son suficientes

para adivinar un password


18

Que es 802.1x

♦ Provee un método para la autenticación y autorización de conexiones a una RED INALÁMBRICA

♦ Autenticación basada en el usuario; puede usar credenciales tales como contraseñas o certificados

♦ Utiliza EAP (Extensible Authentication Protocol) entre la estación móvil y el punto de acceso

♦ Aprovechamiento de protocolos AAA talescomo RADIUS para centralizar autenticación y autorizaciones


19

802.1x trata sobre la seguridaden las Redes Inalámbricas♦ Por qué RADIUS

– La autenticación se basa en el usuario, en vez de basarse en el dispositivo

– Elimina la necesidad de almacenar información de los usuarios en cada access point de la RED, por tanto es considerablemente más fácil de administrar y configurar

– RADIUS ya ha sido ampliamente difundido para otros tipos de autenticación en la red de trabajo

♦ Protocolo de Autenticación Extensible (EAP)– Los tipos de autenticación EAP proveen de seguridad

a las redes 802.1x• Protege las credenciales• Protege la seguridad de los datos

♦ Tipos comunes de EAP• EAP-TLS, EAP-TTLS, EAP-MD5, EAP-Cisco Wireless

(LEAP), EAP-PEAP


20

Red Inalámbrica en una Empresa,la Solución según 802.1x


21

802.1x EAP802.1x EAPTipos y DiferenciasTipos y Diferencias


22

LEAP (EAP-Cisco Wireless)

♦ Basado en Nombre de Usuario y Contraseña♦ Soporta plataformas Windows, Macintosh y

Linux♦ Patentado por Cisco (basado en 802.1x)♦ El Nombre de Usuario se envía sin protección♦ La CONTRASEÑA se envía sin protección:

sujeto a ATAQUES DE DICCIONARIO (MSCHAP v1 hash - * ftp://ftp.isi.edu/in-notes/rfc2433.txt)

♦ No soporta One Time Password (OTP)♦ Requiere LEAP “aware” RADIUS Server.

Requiere Infraestructura Cisco Wireless


23

EAP-MD5

♦ Basado en Nombre de Usuario y Contraseña♦ El Nombre de Usuario se envía sin protección♦ Sujeto a ATAQUES DE DICCIONARIO♦ EAP-MD5 requiere una clave fija manual WEP

y no ofrece distribución automática de llaves♦ Sujeto a ataques man-in-the-middle. Sólo

autentica el cliente frente al servidor, no el servidor frente al cliente


24

EAP-TLS

♦ Desarrollado por Microsoft♦ Ofrece fuerte autenticación mútua,

credenciales de seguridad y llaves dinámicas♦ Requiere la distribución de certificados

digitales a todos los usuarios así como a los servidores RADIUS

♦ Requiere una infraestructura de gestión de certificados (PKI)

♦ Windows XP contiene un cliente EAP-TLS, pero obliga a los administradores a emplear sólo certificados Microsoft

♦ Intercambio de identidades desprotegido


25

EAP-TLS: ¿Certificados Cliente?

♦ Son difíciles de gestionar♦ Debe designarlos una Autoridad Certificadora♦ Requieren conocimiento/compresión♦ Requiere que el usuario establezca el

certificado♦ Incómodo para establecer múltiples

dispositivos, transferir certificados♦ Los administradores son reacios a su uso♦ Adopción limitada a una fecha


26

EAP-TTLS

♦ Permite a los usuarios autenticarse mediante nombre de usuario y contraseña, sin pérdida de seguridad

♦ Desarrollado por Funk Software y Certicom♦ Ofrece fuerte autenticación mútua,

credenciales de seguridad y llaves dinámicas♦ Requiere que los certificados sean distribuidos

sólo a los servidores RADIUS, no a los usuarios

♦ Compatible con las actuales bases de datos de seguridad de usuarios, incluídas Windows Active Directory, sistemas token, SQL, LDAP, etc.

♦ Soporta CHAP, PAP, MS-CHAP y MS-CHAPv2


27

Como funciona EAP-TTLS…

Fase 2 – Autenticación Secundaria

Autenticación Secundaria - (PAP, CHAP, MS-CHAP, EAP)

Configuración del Túnel TLS

Fase 1 – Establecimiento de TLS


28

Las ventajas de EAP-TTLS

♦ El más sencillo de instalar y gestionar♦ Seguridad difícil de traspasar♦ No requiere Certificados Cliente♦ Autentica de manera segura los usuarios

frente a base de datos Windows♦ Despliegue contra infraestructuras existentes♦ Los usuarios se conectan con sus nombres de

usuario y contraseñas habituales♦ No existe peligro de ataques de diccionario♦ Parámetros pre-configurados para el cliente

WLAN, facilitando la instalación en los dispositivos WLAN


29

EAP-PEAP

♦ Propuesto por Microsoft/Cisco/RSA Security

♦ No requiere Certificados♦ También utiliza Transport Layer

Security (TLS) para establecer el túnel♦ Se incluye en SP1 de Windows XP♦ Se incluirá en Windows 2003 Server


30

Comparativa de Protocolos EAP

Sí

Sí

Act. Dir., NT

Domains, Token

Systems, SQL, LDAP

Buena

Sí

No(opcional)

Estándar

EAP-TTLS(Funk)

SíSíSíNoAutentica-ción Mútua

SíSíSíNoIntercambio de llaves dinámicas

------Active Directory

Active Directory,

NT Domains

Requiere Borrar la Base de Datos

Soporta Autentifica-ción de Base de Datos

BuenaBuenaDeficienteNingunaCredenciales de Seguridad

SíSíN/ANoCertificados-Servidor

No(opcional)SíN/ANo

Certificados-Cliente

EstándarEstándarPatenteEstándarSolución de Seguridad

EAP-PEAPEAP-TLS (MS)

LEAP(Cisco)

EAP-MD5Tema


31

Wi-Fi Protected Access (WPA)

♦ Abril 2003– Más fuerte que WEP– Mejorable a través de nuevas versiones de

software– Uso empresarial y casero– Obligatorio a finales del 2003

♦ Mejoras de Seguridad– TKIP (Temporal Key Integrity Protocol)– Autenticación de usuarios


32

WEP y WPA

Fuerte, según 802.1x y EAPDébilAutenticación

AutomáticaDistribución manualClaves

DinámicasEstáticasClaves

128 bits40 bitsClaves

Soluciona debilidadesDébilEncriptación

WPAWEPFunción


33

Protocolos de Seguridad para Wireless

WECA

WEP(802.11b)

WPA(802.11i)

IEEE

EAP(802.1x)

MD5 LEAPCisco

TTLSFunk

Software

PEAPCisco

XP-SP1

TLSMicrosoft

XP


34

Conclusiones

♦ La elección del método de Autenticación es la decisión fundamental

♦ La elección del servidor de Autenticación y del software de los clientes

♦ Si no existe PKI deseche TLS♦ PEAP no tiene ventajas sobre TTLS

Fuente: 802-11 Wireless Networks


35

¡¡La Pregunta del Millón!!

ó¿ ?¿Qué Método de Autenticación?

¿Qué Servidor de Autenticación?

¿Qué Hardware?- Access Point- Tarjetas Wi-Fi


36

Primera Solución MultiplataformaPrimera Solución Multiplataformapara Seguridad de Redes para Seguridad de Redes WirelessWireless


37

Características de Odyssey

♦ Odyssey Client se ejecuta bajo Windows 98/ME/2000/XP/CE

♦ Administración de certificados basada en servidor (no se requiere certificado del lado-cliente excepto al usar EAP-TLS)

♦ Trabaja con cualquier hardware basado en 802.1x♦ Generación de llave dinámica para una seguridad

superior:– Llave inicial WEP creada dinámicamente (no más

llaves estáticas WEP)– Llaves periódicas de sesión generadas a intervalos

configurables♦ La autenticación trabaja frente a bases de datos

existentes Active Directory/NT Domain (y nombre de usuario/contraseña existentes)


38

Odyssey ServerServidor de Autenticación 802.1x♦ Dirigido a la localización de datos corporativos con

requerimientos de autenticación para WLAN/802.1x ♦ Soporte Multi-plataforma

– Windows 2000 y XP♦ Soporte para múltiples “tipos” EAP

– EAP-TLS– EAP-TTLS– EAP-Cisco Wireless (LEAP)– EAP-MD5– EAP-PEAP

♦ Soporte para Autenticación solamente– Autenticación sólo contra Windows Active

Directory/NT Domains


39

Servidor Steel Belted Radius 4.0

♦ Dirigido a la solución específica de los requerimientos de autenticación para WLAN/802.1x y requerimientos de accesos remotos

♦ Soporte multi-plataforma – Windows 2000, NT, SUN Solaris

♦ Soporte para múltiples “tipos” EAP – EAP-TLS– EAP-TTLS– EAP-Cisco Wireless (LEAP)– EAP-MD5– EAP-PEAP (Q2 – 2003)

♦ Soporte para autenticación contra múltiples bases de datos– SQL, LDAP, Token Systems, etc…


40

Odyssey ClientCliente 802.1x♦ Soporte multi-plataforma

– Windows 2000 y XP– Windows 98/ME– Windows CE

♦ Soporte de tarjetas de adaptación WLAN multi-marcas– Cisco, Agere, Enterasys, entre otras…– Guía de Compatibilidad en:

http://www.lanprotect.es/indexodyssey.htm

♦ Soporte para múltiples “tipos” EAP – TLS, TTLS, MD5, Cisco LEAP, PEAP, WPA– Otros,…

♦ Conecta con cualquier servidor de autenticación 802.1x


41

Proceso de Autenticación (1)

♦ El usuario Wireless LAN autenticará la red de trabajo– Para asegurar que el usuario se conectará a la red correcta


42


– El servidor de Odyssey o de SBR crea un túnel seguro entre el servidor y el cliente. El usuario es autenticado a través del túnel con la utilización del nombre de usuario y contraseña/token

– Esto asegura que un usuario autorizado se está conectando dentro de la red


43


♦ El servidor de Odyssey o de SBR generará llavesdinámicas WEP para encriptación de los datos– Ambas llaves se distribuyen al access point y al cliente


44


♦ Tras la autenticación, Odyssey Server autorizará al access point la apertura de un puerto virtual para el cliente de la RED INALÁMBRICA– El cliente obtiene su dirección IP (DHCP) y accede a la red


45

802.1x en 802.11

Ethernet

Punto de Acceso

Servidor Radius

Portátil

Wireless

AsociaciónAcceso Bloqueado

EAPOL-Start

EAP-Response/Identity

Radius-Access-ChallengeEAP-Response (credentials)

Radius-Access-Accept

EAP-Request/Identity

EAP-Request

Radius-Access-Request

Radius-Access-Request

RADIUS

EAPOW

802.11802.11 Associate-Request

EAP-Success

Acceso PermitidoEAPOL-Key (WEP)

802.11 Associate-Response


46

¿Por qué Odyssey?♦ WEP

– Crackeable fácilmente– No hay autenticación– No cumple el 802.1x

♦ Cisco– EAP-LEAP– Incompatible con el resto de marcas– Soporta Active Directory/Nt Domains

♦ Microsoft– EAP-TLS– Sólo Windows XP– Requiere certificados en cada cliente– Soporta sólo Active Directory

♦ Funk Software/Odyssey– EAP-LEAP/TLS/TTLS/PEAP/WPA– Compatible con Cisco/Avaya/Buffalo/Orinoco/Enterasys/3com

/Colubris/IBM, etc...– Soporta Active Directory/Nt Domains/Tokens/SQL/LDAP


47

Enlaces de Interés♦ Las redes in-alámbricas no tienen porque ser in-seguras

(28/03/03) http://www.virusprot.com/Nt280341.html

♦ De nuevo: las redes wireless no son seguras (24/08/01)http://www.viruprot.com/Nt240821.html

♦ White Paper: Conceptos básicos de seguridad en redes wireless (14/11/02)http://www.virusprot.com/Whitepap1.html

♦ White Paper: Odyssey, primera solución multiplataforma para seguridad de redes wireless (16/05/02)http://www.virusprot.com/Whitepap2.html

♦ Odyssey Client 2.1, redes WLAN seguras (12/05/03)http://www.virusprot.com/Nt120542.html

♦ Funk Software, líder en el mercado de software de seguridad para WLANs (25/04/03)http://www.virusprot.com/Nt250441.html

♦ Funk Software entre los 15 “startups” WLAN del 2003 (05/02/03)http://www.virusprot.com/Nt050241.html

Seguridad en Redes Wireless - Claretcoromoto's Weblog · – Puntos de Acceso (AP) Red de Área...

Documents

Transcript of Seguridad en Redes Wireless - Claretcoromoto's Weblog · – Puntos de Acceso (AP) Red de Área...