Aprovechamiento de una Red Inalámbrica WiFi -LAN, Depapaya.com
WiUZ Red inalámbrica de la Universidad de Zaragoza · Fácil acceso y configuración Red con mayor...
Transcript of WiUZ Red inalámbrica de la Universidad de Zaragoza · Fácil acceso y configuración Red con mayor...
![Page 1: WiUZ Red inalámbrica de la Universidad de Zaragoza · Fácil acceso y configuración Red con mayor número de usuarios Sin restricciones actuales. Servicio de Informática y Comunicaciones](https://reader036.fdocuments.mx/reader036/viewer/2022062915/5eac03370b97fc65a27eb5d7/html5/thumbnails/1.jpg)
Servicio de Informática y Comunicaciones - Universidad de Zaragoza 1
WiUZRed inalámbrica de la Universidad de
Zaragoza
José Antonio Valero Sá[email protected]
![Page 2: WiUZ Red inalámbrica de la Universidad de Zaragoza · Fácil acceso y configuración Red con mayor número de usuarios Sin restricciones actuales. Servicio de Informática y Comunicaciones](https://reader036.fdocuments.mx/reader036/viewer/2022062915/5eac03370b97fc65a27eb5d7/html5/thumbnails/2.jpg)
Servicio de Informática y Comunicaciones - Universidad de Zaragoza 2
Indice
1. Red Wifi de la Universidad de Zaragoza• Diseño
• Hardware • Software• Clientes
• Eduroam• Explotación
2. Problemas en la implantación/explotación3. Problemas de Seguridad
![Page 3: WiUZ Red inalámbrica de la Universidad de Zaragoza · Fácil acceso y configuración Red con mayor número de usuarios Sin restricciones actuales. Servicio de Informática y Comunicaciones](https://reader036.fdocuments.mx/reader036/viewer/2022062915/5eac03370b97fc65a27eb5d7/html5/thumbnails/3.jpg)
Servicio de Informática y Comunicaciones - Universidad de Zaragoza 3
Diseño (I)
• Inicialmente:– Wiuz-1(Red abierta con nocat)– Wiuz-2 (802.1X)
Posteriormente: – Wiuz-1 Eduroam-Web– Wiuz-2 Eduroam (802.1X EAP-TTLS /WPA/WPA2)
![Page 4: WiUZ Red inalámbrica de la Universidad de Zaragoza · Fácil acceso y configuración Red con mayor número de usuarios Sin restricciones actuales. Servicio de Informática y Comunicaciones](https://reader036.fdocuments.mx/reader036/viewer/2022062915/5eac03370b97fc65a27eb5d7/html5/thumbnails/4.jpg)
Servicio de Informática y Comunicaciones - Universidad de Zaragoza 4
Diseño (II)
OPEN SSID:
eduroam-webVlan 640
GESTIONVlan 896 (LOCAL)
802.1xSSID
eduroamVlan 641
CISCO AIRONET 1100 SERIES
WIRELESS ACCESS POINT
Gateway -NoCatDHCP
Puntos de Acceso
155.210.x.y
WDS
PacketShaper Cisco WLSE
Vlan 266
MAN Unizar
![Page 5: WiUZ Red inalámbrica de la Universidad de Zaragoza · Fácil acceso y configuración Red con mayor número de usuarios Sin restricciones actuales. Servicio de Informática y Comunicaciones](https://reader036.fdocuments.mx/reader036/viewer/2022062915/5eac03370b97fc65a27eb5d7/html5/thumbnails/5.jpg)
Servicio de Informática y Comunicaciones - Universidad de Zaragoza 5
Componentes (Hardware)
Hardware Instalado• Puntos de Acceso
• 66 Cisco 1100• 161 Cisco 1131 (Activos 802.11b/g)• 2 Cisco 1300 (Enlace entre edificios)
• Equipamiento de Gestión• 3 Servidores• 1 appliance Cisco WLSE• 6 Ap en modo WDS
![Page 6: WiUZ Red inalámbrica de la Universidad de Zaragoza · Fácil acceso y configuración Red con mayor número de usuarios Sin restricciones actuales. Servicio de Informática y Comunicaciones](https://reader036.fdocuments.mx/reader036/viewer/2022062915/5eac03370b97fc65a27eb5d7/html5/thumbnails/6.jpg)
Servicio de Informática y Comunicaciones - Universidad de Zaragoza 6
Componentes (Software)
Software Instalado• Puntos de Acceso
• Cisco IOS 12.3.7 JA2
• Equipamiento de Gestión• Linux Centos 4.2 • Cisco WLSE 2.13• HP Openview 7.0.1• Nocat 0.82• Freeradius 1.0.1• Cisco ACS 3.3
![Page 7: WiUZ Red inalámbrica de la Universidad de Zaragoza · Fácil acceso y configuración Red con mayor número de usuarios Sin restricciones actuales. Servicio de Informática y Comunicaciones](https://reader036.fdocuments.mx/reader036/viewer/2022062915/5eac03370b97fc65a27eb5d7/html5/thumbnails/7.jpg)
Servicio de Informática y Comunicaciones - Universidad de Zaragoza 7
Componentes (Clientes)
• Eduroam-WebRed abierta sin cifrarServidor NoCatFácil acceso y configuraciónRed con mayor número de usuariosSin restricciones actuales
![Page 8: WiUZ Red inalámbrica de la Universidad de Zaragoza · Fácil acceso y configuración Red con mayor número de usuarios Sin restricciones actuales. Servicio de Informática y Comunicaciones](https://reader036.fdocuments.mx/reader036/viewer/2022062915/5eac03370b97fc65a27eb5d7/html5/thumbnails/8.jpg)
Servicio de Informática y Comunicaciones - Universidad de Zaragoza 8
Componentes (Clientes)
• EduroamRed Cifrada (WPA/WPA2 Mixed Mode)Sin restricciones802.1X EAP-TTLS/PAP Securew2 para WindowsSólo algunas tarjetas la soportan
![Page 9: WiUZ Red inalámbrica de la Universidad de Zaragoza · Fácil acceso y configuración Red con mayor número de usuarios Sin restricciones actuales. Servicio de Informática y Comunicaciones](https://reader036.fdocuments.mx/reader036/viewer/2022062915/5eac03370b97fc65a27eb5d7/html5/thumbnails/9.jpg)
Servicio de Informática y Comunicaciones - Universidad de Zaragoza 9
Componentes
Tendencias futuras• Terminar el despliegue en todos los campus• Motivar a los usuarios a usar la red cifrada• Limitar usos de la red eduroam-web• Redundancia de servidores a nivel de campus
![Page 10: WiUZ Red inalámbrica de la Universidad de Zaragoza · Fácil acceso y configuración Red con mayor número de usuarios Sin restricciones actuales. Servicio de Informática y Comunicaciones](https://reader036.fdocuments.mx/reader036/viewer/2022062915/5eac03370b97fc65a27eb5d7/html5/thumbnails/10.jpg)
Servicio de Informática y Comunicaciones - Universidad de Zaragoza 10
Eduroam
OPEN SSID:
eduroam-web
GESTIONVlan 896 (LOCAL)
802.1xSSID
eduroam
CISCO AIRONET 1100 SERIES
WIRELESS ACCESS POINT
Gateway -NoCatDHCP
Puntos de Acceso
Petición UsuariosRed abierta
ACS FreeradiusPeticiones de usuarios externos (eduroam)
Usuarios EAP-TTLS
Consulta a radius.rediris.es
LDAP
USUARIOS UZ
WDS
NoCat
Vlan 266
USUARIOS
![Page 11: WiUZ Red inalámbrica de la Universidad de Zaragoza · Fácil acceso y configuración Red con mayor número de usuarios Sin restricciones actuales. Servicio de Informática y Comunicaciones](https://reader036.fdocuments.mx/reader036/viewer/2022062915/5eac03370b97fc65a27eb5d7/html5/thumbnails/11.jpg)
Servicio de Informática y Comunicaciones - Universidad de Zaragoza 11
Explotación
• Herramientas de control y gestión– Gestión de Puntos de Acceso
• WLSE• HP Openview NNM• Scripts en Expect
– Control de Usuarios• Scripts en Perl• WLSE• Arptrack• Herramientas propias del servidor Nocat
– Control de “qué hacen” los usuarios• PacketShaper• NetFlow 5
![Page 12: WiUZ Red inalámbrica de la Universidad de Zaragoza · Fácil acceso y configuración Red con mayor número de usuarios Sin restricciones actuales. Servicio de Informática y Comunicaciones](https://reader036.fdocuments.mx/reader036/viewer/2022062915/5eac03370b97fc65a27eb5d7/html5/thumbnails/12.jpg)
Servicio de Informática y Comunicaciones - Universidad de Zaragoza 12
Gestión de Puntos de AccesoWLSE
Usos WLSE:• IDS• Detector de fallos• Actualización del firmware• Generación de reports• Configurar canales• Mapas de cobertura• Control de usuarios
![Page 13: WiUZ Red inalámbrica de la Universidad de Zaragoza · Fácil acceso y configuración Red con mayor número de usuarios Sin restricciones actuales. Servicio de Informática y Comunicaciones](https://reader036.fdocuments.mx/reader036/viewer/2022062915/5eac03370b97fc65a27eb5d7/html5/thumbnails/13.jpg)
Servicio de Informática y Comunicaciones - Universidad de Zaragoza 13
Gestión de Puntos de AccesoWLSE
IDS- ROGUE ACCESS POINT
![Page 14: WiUZ Red inalámbrica de la Universidad de Zaragoza · Fácil acceso y configuración Red con mayor número de usuarios Sin restricciones actuales. Servicio de Informática y Comunicaciones](https://reader036.fdocuments.mx/reader036/viewer/2022062915/5eac03370b97fc65a27eb5d7/html5/thumbnails/14.jpg)
Servicio de Informática y Comunicaciones - Universidad de Zaragoza 14
Gestión de Puntos de AccesoWLSE
DETECTOR DE FALLOS
![Page 15: WiUZ Red inalámbrica de la Universidad de Zaragoza · Fácil acceso y configuración Red con mayor número de usuarios Sin restricciones actuales. Servicio de Informática y Comunicaciones](https://reader036.fdocuments.mx/reader036/viewer/2022062915/5eac03370b97fc65a27eb5d7/html5/thumbnails/15.jpg)
Servicio de Informática y Comunicaciones - Universidad de Zaragoza 15
Gestión de Puntos de AccesoWLSE
GENERADOR DE MAPAS
![Page 16: WiUZ Red inalámbrica de la Universidad de Zaragoza · Fácil acceso y configuración Red con mayor número de usuarios Sin restricciones actuales. Servicio de Informática y Comunicaciones](https://reader036.fdocuments.mx/reader036/viewer/2022062915/5eac03370b97fc65a27eb5d7/html5/thumbnails/16.jpg)
Servicio de Informática y Comunicaciones - Universidad de Zaragoza 16
Gestión de Puntos de Acceso
• HP Openview NNM– Gestor de traps
• Scripts en Expect– Modificaciones en las configuraciones de equipos
![Page 17: WiUZ Red inalámbrica de la Universidad de Zaragoza · Fácil acceso y configuración Red con mayor número de usuarios Sin restricciones actuales. Servicio de Informática y Comunicaciones](https://reader036.fdocuments.mx/reader036/viewer/2022062915/5eac03370b97fc65a27eb5d7/html5/thumbnails/17.jpg)
Servicio de Informática y Comunicaciones - Universidad de Zaragoza 17
Control de Usuarios
• Scripts en Perl– Tratamiento de ficheros de log (Nocat y Freeradius)
Tendencias futuras: Gestionar los logs desde una base de datos– Estadísticas de conexión
• Tiempos y tráfico totales de conexión a nivel de usuario• Fecha, IP, punto de conexión, duración y tráfico a nivel de
sesiones por usuario
AP 10.2.64.3910.2.64.1 10.2.64.1 10.2.64.1 10.2.64.1 10.2.64.1 10.2.64.1 10.2.64.1 10.2.64.1
OUT3418 6450 279248 1090 435 1422 82432591164 1250
IN4133 4630 125935 1620 3671 1470 41781232118 2646
Mac0013.ce59.711c0013.ce59.711c0013.ce59.711c00c0.49f9.148b00c0.49f9.148b00c0.49f9.148b0013.ce59.711c0013.46e5.a8460013.46e5.a846
IP10.1.5.2510.1.5.2510.1.5.2510.1.7.2210.1.7.2210.1.7.2210.1.5.2510.1.6.710.1.6.7
Tiempo1188832563014717410225668
Fecha20060224-12:1020060224-12:1220060224-13:2820060227-08:3720060227-08:4020060228-13:4020060307-10:0820060307-13:1620060307-13:20
USUARIOjavalerojavalerojavalerojavalerojavalerojavalerojavalerojavalerojavalero
![Page 18: WiUZ Red inalámbrica de la Universidad de Zaragoza · Fácil acceso y configuración Red con mayor número de usuarios Sin restricciones actuales. Servicio de Informática y Comunicaciones](https://reader036.fdocuments.mx/reader036/viewer/2022062915/5eac03370b97fc65a27eb5d7/html5/thumbnails/18.jpg)
Servicio de Informática y Comunicaciones - Universidad de Zaragoza 18
Control de Usuarios
• Arptrack– Guarda las direcciones Ip/Mac del router cada hora
• Herramientas propias del servidor Nocat
![Page 19: WiUZ Red inalámbrica de la Universidad de Zaragoza · Fácil acceso y configuración Red con mayor número de usuarios Sin restricciones actuales. Servicio de Informática y Comunicaciones](https://reader036.fdocuments.mx/reader036/viewer/2022062915/5eac03370b97fc65a27eb5d7/html5/thumbnails/19.jpg)
Servicio de Informática y Comunicaciones - Universidad de Zaragoza 19
“Qué hacen” los Usuarios
• PacketShaper
![Page 20: WiUZ Red inalámbrica de la Universidad de Zaragoza · Fácil acceso y configuración Red con mayor número de usuarios Sin restricciones actuales. Servicio de Informática y Comunicaciones](https://reader036.fdocuments.mx/reader036/viewer/2022062915/5eac03370b97fc65a27eb5d7/html5/thumbnails/20.jpg)
Servicio de Informática y Comunicaciones - Universidad de Zaragoza 20
“Qué hacen” los Usuarios
![Page 21: WiUZ Red inalámbrica de la Universidad de Zaragoza · Fácil acceso y configuración Red con mayor número de usuarios Sin restricciones actuales. Servicio de Informática y Comunicaciones](https://reader036.fdocuments.mx/reader036/viewer/2022062915/5eac03370b97fc65a27eb5d7/html5/thumbnails/21.jpg)
Servicio de Informática y Comunicaciones - Universidad de Zaragoza 21
“Qué hacen” los Usuarios
• NetFlow 5Captura de Flows en una base de datos
• EtherealSólo como última opción y para casos extremos
![Page 22: WiUZ Red inalámbrica de la Universidad de Zaragoza · Fácil acceso y configuración Red con mayor número de usuarios Sin restricciones actuales. Servicio de Informática y Comunicaciones](https://reader036.fdocuments.mx/reader036/viewer/2022062915/5eac03370b97fc65a27eb5d7/html5/thumbnails/22.jpg)
Servicio de Informática y Comunicaciones - Universidad de Zaragoza 22
Problemas de implantación/explotación
• Inicio : No retransmitíamos Multiples-SSID• Máximo de AP por WDS• Compatibilidad de las tarjetas de red con la red Eduroam• Problemas puntuales que vamos resolviendo día a día
![Page 23: WiUZ Red inalámbrica de la Universidad de Zaragoza · Fácil acceso y configuración Red con mayor número de usuarios Sin restricciones actuales. Servicio de Informática y Comunicaciones](https://reader036.fdocuments.mx/reader036/viewer/2022062915/5eac03370b97fc65a27eb5d7/html5/thumbnails/23.jpg)
Servicio de Informática y Comunicaciones - Universidad de Zaragoza 23
Problemas de Seguridad
ROGUE ACCESS POINT
Cómo se haría:•AP con SSID igual a uno de los existentes•Copia de la página de petición de login o copia de la estructura existente•Creación de un certificado con nombre similar al de la organización•Una vez puesto en marcha, el AP nos capturaría usuarios y contraseñas
Cómo evitarlo:•Detección de AP Rogue por medio del WLSE•Buscar la posición de este AP lo antes posible y así poder parar el ataque•Por parte de los usuarios: no confiando en nuevos certificados
Nota: Este tipo de ataque no lo hemos detectado en nuestra red
![Page 24: WiUZ Red inalámbrica de la Universidad de Zaragoza · Fácil acceso y configuración Red con mayor número de usuarios Sin restricciones actuales. Servicio de Informática y Comunicaciones](https://reader036.fdocuments.mx/reader036/viewer/2022062915/5eac03370b97fc65a27eb5d7/html5/thumbnails/24.jpg)
Servicio de Informática y Comunicaciones - Universidad de Zaragoza 24
Problemas de Seguridad
• En Eduroam-web:– TODOS
• La red es completamente abierta• Falta de certificados en muchos servicios
(Webmail, Pop3, Imap...)• La facilidad de uso de la misma hace que los
usuarios la prefieran a la cifrada
![Page 25: WiUZ Red inalámbrica de la Universidad de Zaragoza · Fácil acceso y configuración Red con mayor número de usuarios Sin restricciones actuales. Servicio de Informática y Comunicaciones](https://reader036.fdocuments.mx/reader036/viewer/2022062915/5eac03370b97fc65a27eb5d7/html5/thumbnails/25.jpg)
Servicio de Informática y Comunicaciones - Universidad de Zaragoza 25
Problemas de Seguridad
• En Eduroam:A nivel de cifrado NINGUNO, de momento…A nivel de usuarios: virus, p2p …
![Page 26: WiUZ Red inalámbrica de la Universidad de Zaragoza · Fácil acceso y configuración Red con mayor número de usuarios Sin restricciones actuales. Servicio de Informática y Comunicaciones](https://reader036.fdocuments.mx/reader036/viewer/2022062915/5eac03370b97fc65a27eb5d7/html5/thumbnails/26.jpg)
Servicio de Informática y Comunicaciones - Universidad de Zaragoza 26
WiUZRed inalámbrica de la Universidad de
Zaragoza
¡Muchas gracias!
¿Dudas, comentarios o preguntas?