13
Desafíos en la Seguridad de las Redes Inalámbricas (1)
– Cualquiera dentro de un radio de 100 metrospuede ser un intruso potencial
14
Desafíos en la Seguridad de las Redes Inalámbricas (2)
– Las acreditaciones del usuario se deben poder
intercambiar con seguridad
– Debe ser capaz de asegurar la conexión con la
red de trabajo correcta
15
Desafíos en la Seguridad de las Redes Inalámbricas (3)
– Los datos se deben poder transmitir con seguridad a través de la utilización apropiada de llaves de encriptación
16
Red Inalámbrica en una Empresa, Ataque Potencial 1
17
Red Inalámbrica en una Empresa, Ataque Potencial 2
18
Peligros
Denegación de Servicios (DoS)
Daño o Robo de Equipos
Accesos no Autorizados
Robo de Información
Inserción de Códigos Dañinos
Robo de Credenciales
Uso de Internet
19
Puntos de Acceso Hostiles
Prevención
Políticas corporativas
Seguridad física
Estándar 802.1x
Detección
Sniffers (analizadores)
Observación física
Buscar símbolos de warchalking
Detección desde la red cableada
20
Filtrado de Direcciones MAC
MAC (Media Access Control Address)
Direccion del hardware originaria del fabricante
Sirve para identificar routers, tarjetas de red, etc…
Crear en cada PA una base de datos de direcciones MAC
DESVENTAJAS
Se debe repetir en todos los PAs existentes (puede ser mucho trabajo y originar errores)
Una vez capturadas por un hacker, pueden entrar a la red tranquilamente
Si algún usuario pierde o le roban su estacion, queda comprometida la seguridad
21
WEP Introducción
Sistema de encriptación estándar 802.11
Se implementa en la capa MAC
Soportada por la mayoría de vendedores de soluciones inalámbricas
Cifra los datos enviados a través de las ondas de radio
Utiliza el algoritmo de encriptación RC4
22
WEP Funcionamiento (1)
Concatena la llave simétrica compartida, de 40 ó 104 bits, de la estación con un vector de inicialización aleatorio (IV) de 24 bits, esta estructura se denomina seed
El seed se utiliza para generar un número pseudo-aleatório, de longitud igual al payload (datos + CRC), y un valor de 32 bits para chequear la integridad (ICV)
Esta llave y el ICV, junto con el payload (datos + CRC), se combinan a través de un proceso XOR que producirá el texto cifrado
La trama enviada incluye el texto cifrado, y el IV e ICV sin encriptar
23
Encriptación WEP
Fuente: Cisco
24
WEP – Debilidades
Longitud del vector IV (24 bits) insuficiente
El IV se repetirá cada cierto tiempo de transmisión continua para paquetes distintos, pudiendo averiguar la llave compartida
Utilización de llaves estáticas, el cambio de llave se debe realizar manualmente
A pesar de todo, WEP ofrece un mínimo de seguridad
25
AirSnort
Fuente: http://www.virusprot.com/Nt240821.html
26
WEP – Carencias
Interceptando aproximadamente100 Mb 1 Gb
3.000 llaves cada semana son débiles
2.000 paquetes débiles son suficientes para adivinar un password
15 minutos (128 bits)
27
Utilidades "Sniffers" para WLANs (1)
WEPCrack (http://sourceforge.net)
1ª herramienta de código abierto para romper llaves secretas 802.11 WEP
Implementación del ataque descrito por Fluhrer, Mantin, y Shamir en el ensayo "Weaknesses in the Key Scheduling Algorithm of RC4"
Airsnort (http://airsnort.shmoo.com)
Desarrollada por Shmoo Group para sistemas Linux
Recupera las llaves de cifrado
Monitoriza de manera pasiva las transmisiones y computa la llave de cifrado cuando se han recopilado suficientes paquetes
Kismet (http://www.kismetwireless.net)
Sistemas Linux
"Escucha" las señales de radio en el aire
Las unidades GPS, conectadas a notebooks a través de cables en serie, permiten localizar en mapas digitales la ubicación de estas redes
28
Utilidades "Sniffers" para WLANs (2)
Ethreal (http://www.ethereal.com)
Sistemas Linux
NetStumbler (http://www.netstumbler.com)
Sistemas Windows
Detecta redes que revelan sus SSIDs (Service Set Identifier), que por lo general se transmiten con la configuración predefinida de los routers inalámbricos
Airopeek (http://www.wildpackets.com)
Sistemas Windows
Airmagnet (http://www.airmagnet.com)
Corre en Compaq iPaq
Wellenreiter (http://www.remote-exploit.org)
Detecta PAs y muestra información sobre los mismos
29
Que es 802.1x
Provee un método para la autenticación y autorización de conexiones a una RED INALÁMBRICA
Autenticación basada en el usuario; puede usar credenciales tales como contraseñas o certificados
Utiliza EAP (Extensible Authentication Protocol) entre la estación móvil y el punto de acceso
Aprovechamiento de protocolos AAA tales como RADIUS para centralizar autenticación y autorizaciones
30
802.1x trata sobre la seguridad en las Redes Inalámbricas
Por qué RADIUS
La autenticación se basa en el usuario, en vez de basarse en el dispositivo
Elimina la necesidad de almacenar información de los usuarios en cada access point de la RED, por tanto es considerablemente más fácil de administrar y configurar
RADIUS ya ha sido ampliamente difundido para otros tipos de autenticación en la red de trabajo
Protocolo de Autenticación Extensible (EAP)
Los tipos de autenticación EAP proveen de seguridad a las redes 802.1x
Protege las credenciales
Protege la seguridad de los datos
Tipos comunes de EAP
EAP-TLS, EAP-TTLS, EAP-MD5, EAP-Cisco Wireless (LEAP), EAP-PEAP
31
Seguridad VPN 802.11
32
Seguridad VPN (1)
La red wireless es la red insegura
Los PA se configuran sin WEP
Acceso wireless es "aislado" de la red de la empresa por el servidor VPN
Los PA se pueden interconectar creando una red virtual (VLAN)
33
Seguridad VPN (2)
Los servidores VPN proveen:
Autenticación
Encriptación
Los servidores VPN actúan como:
Firewalls
Gateways
De la red interna
34
Servidores RADIUS (RFC 2058)Remote Autentication Dial-In User Service
Función
Recibir pedido de conexión del usuario
Autenticarlo
Devolver toda la información de configuración necesaria para que el cliente acceda a los servicios
Elementos Básicos
Network Access Server (NAS)Cliente de RADIUS – Envía la información del usuario al RADIUS correspondiente y actúa al recibir la respuesta
Seguridad
Autenticación mediante Secreto Compartido
Passwords encriptados
Soporta diversos métodos de autenticación (PAP,CHAP, etc…)
35
Índice RFCs RADIUSThe Internet Engineering Task Force (IETF)
RFC 2058 — Remote Authentication Dial-In User Service (RADIUS)
RFC 2059 — RADIUS Accounting
RFC 2548 — Microsoft Vendor-Specific RADIUS Attributes
RFC 2618 — RADIUS Authentication Client MIB
RFC 2619 — RADIUS Authentication Server MIB
RFC 2620 — RADIUS Accounting Client MIB
RFC 2621 — RADIUS Accounting Server MIB
RFC 2809 — Compulsory Tunneling via RADIUS
RFC 2865 — Remote Authentication Dial-In User Service (obsoleto RFC 2138; actualizado por RFC 2868)
RFC 2866 — RADIUS Accounting (obsoleto RFC 2139; actualizado por RFC 2867)
RFC 2867 — RADIUS Accounting Modifications for Tunnel Protocol Support
RFC 2868 — RADIUS Attributes for Tunneling Support
RFC 2869 — RADIUS Extensions
RFC 2882 — NAS Requirements: Extended RADIUS Practices
Fuente: http://www.ietf.org/
36
Entorno RADIUS
37
Red Inalámbrica en una Empresa,la Solución según 802.1x
38
Proceso de Autenticación (1)
El usuario Wireless LAN autenticará la red de trabajo
Para asegurar que el usuario se conectará a la red correcta
39
Proceso de Autenticación (2)
El servidor de Odyssey o de SBR crea un túnel seguro entre el servidor y el cliente. El usuario es autenticado a través del túnel con la utilización del nombre de usuario y contraseña/token
Esto asegura que un usuario autorizado se está conectando dentro de la red
40
Proceso de Autenticación (3)
El servidor de Odyssey o de SBR generará llaves dinámicas WEP para encriptación de los datos
Ambas llaves se distribuyen al access point y al cliente
41
Proceso de Autenticación (4)
Tras la autenticación, Odyssey Server autorizará al access point la apertura de un puerto virtual para el cliente de la RED INALÁMBRICA
El cliente obtiene su dirección IP (DHCP) y accede a la red
42
802.1x en 802.11
Ethernet
Punto de Acceso
Servidor Radius
Portátil
Wireless
Acceso Bloqueado
Asociación
EAPOL-Start
EAP-Response/Identity
Radius-Access-Challenge
EAP-Response (credentials)
Radius-Access-Accept
EAP-Request/Identity
EAP-Request
Radius-Access-Request
Radius-Access-Request
RADIUS
EAPOW
802.11
802.11 Associate-Request
EAP-Success
Acceso Permitido
EAPOL-Key (WEP)
802.11 Associate-Response
43
Comparación RADIUS con VPN
(1)
Con RADIUS toda la infraestructura wireless está dentro del firewall corporativo
Con VPN está fuera del firewall
A medida que crezca el parque de WLAN habrá más equipos fuera y se necesitarán más servidores VPN
(2)
Cuando hay varias sucursales los usuariosde visita en otra sucursal se puedenautenticar en RADIUS
Con VPN debe saber a que servidor conectarse
(3)
Al crecer la población wireless cada vez elmanejo de VPNs se hace mas complejo ymás costoso
44
802.1x EAPTipos y Diferencias
45
LEAP (EAP-Cisco Wireless)
Basado en Nombre de Usuario y Contraseña
Soporta plataformas Windows, Macintosh y Linux
Patentado por Cisco (basado en 802.1x)
El Nombre de Usuario se envía sin protección
La CONTRASEÑA se envía sin protección: sujeto a ATAQUES DE DICCIONARIO (MSCHAP v1 hash – * ftp://ftp.isi.edu/in-notes/rfc2433.txt)
No soporta One Time Password (OTP)
Requiere LEAP aware RADIUS Server. Requiere Infraestructura Cisco Wireless
46
EAP-MD5
Basado en Nombre de Usuario y Contraseña
El Nombre de Usuario se envía sin protección
Sujeto a ATAQUES DE DICCIONARIO
EAP-MD5 requiere una clave fija manual WEP y no ofrece distribución automática de llaves
Sujeto a ataques man-in-the-middle. Sólo autentica el cliente frente al servidor, no el servidor frente al cliente
47
EAP-TLS (Microsoft)
Ofrece fuerte autenticación mútua, credenciales de seguridad y llaves dinámicas
Requiere la distribución de certificados digitales a todos los usuarios así como a los servidores RADIUS
Requiere una infraestructura de gestión de certificados (PKI)
Windows XP contiene un cliente EAP-TLS, pero obliga a los administradores a emplear sólo certificados Microsoft
Intercambio de identidades desprotegido
48
EAP-TLS: ¿Certificados Cliente?
Son difíciles de gestionar
Debe designarlos una Autoridad Certificadora
Requieren conocimiento/compresión
Requiere que el usuario establezca el certificado
Incómodo para establecer múltiples dispositivos, transferir certificados
Los administradores son reacios a su uso
Adopción limitada a una fecha
6 ciclos entre usuario y autenticador
49
EAP-TTLS
Permite a los usuarios autenticarse mediante nombre de usuario y contraseña, sin pérdida de seguridad
Desarrollado por Funk Software y Certicom
Ofrece fuerte autenticación mútua, credenciales de seguridad y llaves dinámicas
Requiere que los certificados sean distribuidos sólo a los servidores RADIUS, no a los usuarios
Compatible con las actuales bases de datos de seguridad de usuarios, incluídas Windows Active Directory, sistemas token, SQL, LDAP, etc.
Soporta CHAP, PAP, MS-CHAP y MS-CHAPv2
50
Como funciona EAP-TTLS
Fase 2 Autenticación Secundaria
(Gp:) Autenticación Secundaria – (PAP, CHAP, MS-CHAP, EAP)
Configuración del Túnel TLS
Fase 1 Establecimiento de TLS
51
Las ventajas de EAP-TTLS
El más sencillo de instalar y gestionar
Seguridad difícil de traspasar
No requiere Certificados Cliente
Autentica de manera segura los usuarios frente a base de datos Windows
Despliegue contra infraestructuras existentes
Los usuarios se conectan con sus nombres de usuario y contraseñas habituales
No existe peligro de ataques de diccionario
Parámetros pre-configurados para el cliente WLAN, facilitando la instalación en los dispositivos WLAN
52
EAP-PEAP
Propuesto por Microsoft/Cisco/RSA Security
No requiere Certificados
También utiliza Transport Layer Security (TLS) para establecer el túnel
Se incluye en SP1 de Windows XP
Se incluirá en Windows 2003 Server
53
Wi-Fi Protected Access (WPA)
Abril 2003
Más fuerte que WEP
Mejorable a través de nuevas versiones de software
Uso empresarial y casero
Obligatorio a finales del 2003
Mejoras de Seguridad
TKIP (Temporal Key Integrity Protocol)
Autenticación de usuarios
54
TKIP
IV de 48 bits llamado TSC (TKIP Sequence counter)
MIC (Integrity Check de Mensajes)
Encripta checksum con direcciones MAC y los datos
Encriptado
TSC
48 bits
55
Requisitos de Funcionalidad para el Método de Autenticación
Seguridad para las credenciales
Permitir autenticación mutua
Llaves de encriptación dinámicas
Regeneración de llaves (re-keying)
Facilidad de gestión
Facilidad y rapidez de implementación
56
WEP y WPA
57
Protocolos de Seguridad Wireless
WECA
WEP(802.11b)
WPA(802.11i)
IEEE
EAP(802.1x)
MD5
LEAPCisco
TTLSFunkSoftware
PEAPCiscoXP (SP1)
TLSMicrosoftXP/2000 (SP3)
58
Comparativa de Protocolos EAP
59
Conclusiones
La elección del método de Autenticación es la decisión fundamental
La elección del servidor de Autenticación y del software de los clientes
Si no existe PKI deseche TLS
PEAP no tiene ventajas sobre TTLS
Fuente: 802-11 Wireless Networks
60
¡¡La Pregunta del Millón!!
¿Qué Método de Autenticación?
ó
¿
?
¿Qué Servidor de Autenticación?
¿Qué Hardware? – Access Point – Tarjetas Wi-Fi
61
Seguridad Intel Centrino
Fuente: http://www.virusprot.com/Nt260641.html
62
Políticas de Seguridad
Físicas
Paredes/Vigilancia
Laboral
PAs/EM privadas
Viajeros frecuentes
Observación física
PAs/warchalking
63
Para viajeros frecuentes
64
El Futuro
PAs más inteligentes
Quizás PAs de tipo empresarial
Mucho mayor alcance de los Pas
Todas las estaciones móviles con Centrino
Switches + Radius (appliance)
Hot spots en sitios públicos
WiFi en todos los hogares
Virus para PAs
65
Nuevas Tecnologías…Nuevas Oportunidades
Técnicos especializados en wireless
Técnicos especializados en Seguridad wireless
66
UOCUniversidad Oberta de Catalunya
Business Case
IMPLEMENTACIÓN EXITOSA DE REDES WIRELESS (1)http://www.virusprot.com/Art43.html
IMPLEMENTACIÓN EXITOSA DE REDES WIRELESS (2) http://www.virusprot.com/Art45.html
67
(Gp:) Primera Solución Multiplataformapara Seguridad de Redes Wireless
68
Qué es Odyssey
Odyssey es una solución de seguridad 802.1x extremo-extremo que permite a los usuarios conectarse de forma segura a una RED INALÁMBRICA. Puede ser fácil y ampliamente desplegada a través de una red de trabajo corporativa
Solución completa para REDES INALÁMBRICAS
Asegura la autenticación del cliente así como también de la conexión en si misma
Consta de dos componentes:
Odyssey Client comunica con Odyssey Server (o servidor basado en 802.1x) para establecer una conexión segura
Odyssey Server SERVIDOR RADIUS basado en protocolos de autenticación para REDES INALÁMBRICAS (MD5, TLS, TTLS, LEAP, PEAP)
Disponible como sistema Cliente/Servidor, o individualmente como Servidor o Cliente
69
Características de Odyssey
Odyssey Client se ejecuta bajo Windows 98/ME/2000/XP/CE
Administración de certificados basada en servidor (no se requiere certificado del lado-cliente excepto al usar EAP-TLS)
Trabaja con cualquier hardware basado en 802.1x
Generación de llave dinámica para una seguridad superior:
Llave inicial WEP creada dinámicamente (no más llaves estáticas WEP)
Llaves periódicas de sesión generadas a intervalos configurables
La autenticación trabaja frente a bases de datos existentes Active Directory/NT Domain (y nombre de usuario/contraseña existentes)
70
Odyssey ServerServidor de Autenticación 802.1x
Dirigido a la localización de datos corporativos con requerimientos de autenticación para WLAN/802.1x
Soporte Multi-plataforma
Windows 2000 y XP
Soporte para múltiples tipos EAP
EAP-TLS
EAP-TTLS
EAP-Cisco Wireless (LEAP)
EAP-MD5
EAP-PEAP
Soporte para Autenticación solamente
Autenticación sólo contra Windows Active Directory/NT Domains
71
Modelos de Servidores RADIUS
ODYSSEY
RADIUS (SBR)
Básico
Todo tipo deUsuarios
Acceso públicoInternet
Mini(3 PA)
Pymes
Sucursales
Secc. Aisladas
Hotspot
Enterprise
Empresas
Global
GrandesEmpresas
ServiceProvider
ProveedoresInternet
Página anterior | Volver al principio del trabajo | Página siguiente |