Amenazas
Uso ilegítimo del ancho de banda
Violación de privacidad
Tráfico ofensivo o delictivo por el que somos responsables (AUP)
Acceso a recursos restringidos por rangos IP
WEP
Wired Equivalent Privacy
Parte de la especificación 802.11 original
Pensado para proveer
Confidencialidad
Integridad
Autenticidad
No es satisfactorio en ninguna de ellas
WEP
Serias fallas de diseño
Cifrado utiliza RC4
Algoritmo seguro, pero mala implementación
Gestión manual de claves
Claves de 40 bits muy cortas
Initialization Vector (IV) muy corto (24 bits)
Aleatorización deficiente
Chequeo de Integridad con CRC
Puede fácilmente generarse un mensaje distinto que produzca la misma secuencia
Lo ideal es un hash (Ej: MD5)
WEP
Herramientas para descubrir la clave
Disponibles gratuitamente
Recolectar entre 5 y 10 millones de frames
2 a 6 horas en una red corporativa
Semanas en una red doméstica
Una vez recolectado tráfico suficiente, romper la clave es cuestión de segundos
AirSnort
http://airsnort.shmoo.com
Tarjetas Aironet, Orinoco y Prism2
Versión de Windows en Alpha
Nuevos desarrollos
Aprender de los errores:
Necesidad de un esquema más flexible
802.1x
Control de acceso a puertos (capa 2)
IEEE tomó EAP (del IETF) y lo adaptó para redes locales
Evolucionando hacia 802.1i en entorno wireless
Cliente ya incluido en Windows XP
Paso intermedio: WPA
EAP
Extensible Authentication Protocol
Estándar del IETF (RFC-2284)
Inicialmente para PPP (enlaces dial-up), pero puede operar sobre cualquier protocolo de capa de enlace (802.3, 802.11, etc)
Realmente una envoltura
No especifica el método de autenticación, de ahí lo de extensible
EAP-Radius
RFC-2869
Define modificaciones para RADIUS que permiten su utilización dentro de EAP
Radius ya es muy utilizado para autenticación de dial-up via PPP
EAPOL/EAPOW (EAP over LANs/Wireless)
(Gp:) Estación
(Gp:) Access-Point
(Gp:) Servidor
Radius
(Gp:) EAPOW
(Gp:) EAP-Radius
EAP-TLS
TLS: Transport Layer Security
Es SSL hecho estándar por el IETF
También una envoltura: Permite negociar algoritmos
En este caso no utilizado al nivel de transporte
Puede utilizarse dentro de EAP
Implementa esquema PKI
Utilización de algoritmos de clave pública para negociación de clave secreta
Permite autenticación en ambos sentidos
Necesidad de gestión de certificados!
LEAP
Lightweight EAP
Desarrollado por Cisco
Buscando una solución al problema de distribución de certificados
Intercambio de claves WEP utilizando passwords
Problema: Propiedad de Cisco
Actualmente licenciando su uso a varios fabricantes
PEAP y TTLS
También evitan la utilización de certificados de cliente
Sí utilizan certificados para autenticar la red wireless
Proceso en dos pasos:
Autenticar el servidor y negociar claves de cifrado para crear un túnel
Utilizar el túnel para negociar la autenticación del cliente
802.11i
Implementación de 802.1x con cifrado AES
Pero las tarjetas 802.11b más viejas no contienen el algoritmo AES
Por eso se incluyó la alternativa de TKIP (Temporal Key Integrity Protocol)
También basado en RC4, pero con implementación corregida:
Clave de 128 bits
IV de 48 bits
Las claves no son permanentes sino que se pueden negociar
Nuevo algoritmo para control de integridad
Página siguiente |