INTEGRANTES DE EQUIPO CORREO ELECTRONICO N- CONTROL ALFREDO JOSE ACOSTA REYES fuego_12_27@hotmail.com 10E20002
PRESENTA:
CARRERA: ING. EN SISTEMAS COMPUTACIONALES
SEMESTRE EN CURSO: 8
LUGAR Y FECHA DE ENTREGA: BALANCAN, TABASCO, 09 DE ABRIL DEL AO 2014.
Unidad 4. Seguridad en redes inalmbricas. 4.1 Riesgos y amenazas en las redes inalmbricas. 4.2 Mecanismos de proteccin en las redes inalmbricas. 4.2.1 Privacidad equivalente al cableado(WEP). 4.2.2 Acceso Wi-Fi Protegido(WPA). 4.2.3 Lista de Control de acceso(Filtrado MAC).
ING.EN SISTEMAS COMPUTACIONALES
INSTITUTO TECNOLOGICO SUPERIOR DE LOS RIOS REDES INALAMBRICAS pg. 2
INTRODUCCION La tecnologa est cambiando de forma acelerada, haciendo que en algunos casos, las redes sean la herramienta primordial para comunicarnos. Es por ello que la propia movilidad que tenemos, ha hecho nesesario la evolucion de las redes cableadas a inalambricas. Los sistemas de redes y Telecomunicaciones actualmente estan sujetos a una innovacion tecnologica altamente cambiante, trayendo consigo, que los sistemas basados en la comunicacion inalambrica no sean la excepcion, por lo que evolucionan rapidamente. Las redes inalaanbricas fueron creadas por la nesecidad de proveer acceso a las redes por medio de dispositivos de computo portatiles, lo cual evidentemente atrajo problemas hacia el medio de transmision, debido a los intrusos que pueden entrar en la red libremente dando una posibilidad virtual de no ser detectados. Es por ello, la importancia de tener comunicaciones seguras en redes inalambricas para establecer enlaces de intercambio de informacion confidencial. Las redes inalambricas en los ultimos aos, han tenido un auge muy importante por lo que los mecanismos de seguridad que se desarrollan en un inicio, rapidamente pasaron a ser superados por aquellos usuarios mal intencionados, los cuales buscan por donde penetrar a los sistemas en las vulnerabilidades de seguridad que estos presentan. Esto origino, que los fabricantes de dispositivos inalambricos y a organizaciones como IEEE(Institute of Electrical and Electronics Engineers) a buscar las alternativas de solucion a estos problemas. Desde que se comenzo a investigar en esta area, se han encontrado varias soluciones las cuales, se han ido implementando, tal como es el caso del mejoramiento de la incriptacion WEB(Wired Equivalency Piracy) la cual, en su forma mas basica de codificacion es de 40 bits, sin embargo, para lograr una mayor seguridad, se ha extendido hasta los 128 bits
ING.EN SISTEMAS COMPUTACIONALES
INSTITUTO TECNOLOGICO SUPERIOR DE LOS RIOS REDES INALAMBRICAS pg. 3
4.1 RIESGOS Y AMENAZAS EN LAS REDES INALAMBRICAS
Las ondas de radio tienen en s mismas la posibilidad de propagarse en todas las direcciones dentro de un rango relativamente amplio. Es por esto que es muy difcil mantener las transmisiones de radio dentro de un rea limitada. La propagacin radial tambin se da en tres dimensiones. Por lo tanto, las ondas pueden pasar de un piso a otro en un edificio (con un alto grado de atenuacin).
La consecuencia principal de esta "propagacin desmedida" de ondas radiales es que personas no autorizadas pueden escuchar la red, posiblemente ms all del confinamiento del edificio donde se ha establecido la red inalmbrica.
El problema grave es que se puede instalar una red inalmbrica muy fcilmente en una compaa sin que se entere el departamento de IT. Un empleado slo tiene que conectar un punto de acceso con un puerto de datos para que todas las comunicaciones en la red sean "pblicas" dentro del rango de transmisin del punto de acceso.
Riesgos de Seguridad
Existen muchos riesgos que surgen de no asegurar una red inalmbrica de manera adecuada:
La intercepcin de datos es la prctica que consiste en escuchar las transmisiones de varios usuarios de una red inalmbrica. El crackeo es un intento de acceder a la red local o a Internet. La interferencia de transmisin significa enviar seales radiales para interferir con trfico.
ING.EN SISTEMAS COMPUTACIONALES
INSTITUTO TECNOLOGICO SUPERIOR DE LOS RIOS REDES INALAMBRICAS pg. 4 Los ataques de denegacin de servicio inutilizan la red al enviar solicitudes falsas. Intercepcin de Datos
Una red inalmbrica es insegura de manera predeterminada. Esto significa que est abierta a todos y cualquier persona dentro del rea de cobertura del punto de acceso puede potencialmente escuchar las comunicaciones que se envan en la red. En el caso de un individuo, la amenaza no es grande ya que los datos raramente son confidenciales, a menos que se trate de datos personales. Sin embargo, si se trata de una compaa, esto puede plantear un problema serio.
Intrusin de Red
La instalacin de un punto de acceso en una red local permite que cualquier estacin acceda a la red conectada y tambin a Internet, si la red local est conectada a ella. Es por esto que una red inalmbrica insegura les ofrece a los hackers la puerta de acceso perfecta a la red interna de una compaa u organizacin.
Denegacin de Servicio
El mtodo de acceso a la red del estndar 802.11 se basa en el protocolo CSMA/CA, que consiste en esperar hasta que la red este libre antes de transmitir las tramas de datos. Una vez que se establece la conexin, una estacin se debe vincular a un punto de acceso para poder enviarle paquetes. Debido a que los mtodos para acceder a la red y asociarse a ella son conocidos, un hacker puede fcilmente enviar paquetes a una estacin solicitndole que se desvincule de una red. El envo de informacin para afectar una red inalmbrica se conoce como ataque de denegacin de servicio.
ING.EN SISTEMAS COMPUTACIONALES
INSTITUTO TECNOLOGICO SUPERIOR DE LOS RIOS REDES INALAMBRICAS pg. 5 4.2 MECANISMOS DE PROTECCIN EN LAS REDES INALMBRICAS
La seguridad es un aspecto que cobra especial relevancia cuando hablamos de redes inalmbricas. Para tener acceso a una red cableada es imprescindible una conexin fsica al cable de la red. Sin embargo, en una red inalmbrica desplegada en una oficina un tercero podra acceder a la red sin ni siquiera estar ubicado en las dependencias de la empresa, bastara con que estuviese en un lugar prximo donde le llegase la seal. Es ms, en el caso de un ataque pasivo, donde slo se escucha la informacin, ni siquiera se dejan huellas que posibiliten una identificacin posterior. Existen 4 tipos de redes inalmbricas, la basada en tecnologa BlueTooth, la IrDa (Infrared Data Association), la HomeRF y la WECA (Wi-Fi). La primera de ellas no permite la transmisin de grandes cantidades de datos entre ordenadores de forma continua y la segunda tecnologa, estndar utilizado por los dispositivos de ondas infrarrojas, debe permitir la visin directa entre los dos elementos comunicantes. Las tecnologa HomeRF y Wi-Fi estn basados en las especificaciones 802.11 (Ethernet Inalmbrica) y son las que utilizan actualmente las tarjetas de red inalmbricas. Una red inalmbrica tiene dos componentes principales: las estaciones (STA) y los puntos de acceso (AP). Pueden operar en dos modalidades: ad-hoc, en la que cada cliente (STA) se comunica directamente con los otros clientes de la red y en modalidad de infraestructura, donde las STA envan los paquetes a una estacin central, el punto de acceso. ste AP acta como si de un bridge Ethernet se tratara. El cliente y el punto de acceso deben establecer una relacin antes de poder intercambiar datos. Esta relacin puede utilizar tres estados diferentes: 1. Sin autenticacin y disasociado 2. Con autenticacin y disasociado 3. Con autenticacin y asociado El intercambio de datos 'reales' slo es posible en el tercer estado. El AP transmite tramas con seales de gestin en periodos de tiempo regulares. Las STA reciben estas tramas e inician la autenticacin mediante el envo de una trama de autenticacin. Una vez realizada satisfactoriamente la autenticacin, la STA enva la trama asociada y el AP responde con otra trama asociada. La utilizacin del aire como medio de transmisin de datos mediante la propagacin de ondas de radio ha proporcionado nuevos riesgos de seguridad. La salida de estas ondas de radio fuera del edificio donde est ubicada la red permite la exposicin de los datos a posibles intrusos que podran obtener informacin sensible a la empresa y a la
ING.EN SISTEMAS COMPUTACIONALES
INSTITUTO TECNOLOGICO SUPERIOR DE LOS RIOS REDES INALAMBRICAS pg. 6 seguridad informtica de la misma. Varios son los riesgos derivables de este factor. Por ejemplo, se podra perpetrar un ataque por insercin, bien de un usuario no autorizado o por la ubicacin de un punto de acceso ilegal ms potente que capte las estaciones cliente en vez del punto de acceso legtimo, interceptando la red inalmbrica. Tambin sera posible crear interferencias y una ms que posible denegacin de servicio con solo introducir un dispositivo que emita ondas de radio a una frecuencia de 24GHz (frecuencia utilizada por las redes inalmbricas). La posibilidad de comunicarnos entre estaciones cliente directamente, sin pasar por el punto de acceso permitira atacar directamente a una estacin cliente, generando problemas si esta estacin cliente ofrece servicios TCP/IP o comparte ficheros. Existe tambin la posibilidad de duplicar las direcciones IP o MAC de estaciones cliente legtimas. Los puntos de acceso estn expuestos a un ataque de Fuerza bruta para averiguar los passwords, por lo que una configuracin incorrecta de los mismos facilitara la irrupcin en una red inalmbrica por parte de intrusos. A pesar de los riesgos anteriormente expuestos, existen soluciones y mecanismos de seguridad para impedir que cualquiera con los materiales suficientes pueda introducirse en una red. Unos mecanismos son seguros, otros, como el protocolo WEP fcilmente rompibles por programas distribuidos gratuitamente por Internet. 4.2.1 PRIVACIDAD EQUIVALENTE AL CABLEADO (WEP)
WEP significa Privacidad Equivalente a Cableado (Wired Equivalent Privacy). Esta herramienta de seguridad fue publicada por la IEEE en la norma 802.11 en septiembre de 1999 y permaneci intacta por varias revisiones de esta norma. Tal como lo indica su nombre, su objetivo es equiparar el nivel de seguridad de WLAN y LAN.
WEP es un protocolo de cifrado de trama de datos 802.11 que utiliza el algoritmo simtrico RC4 con claves de 64 bits o 128 bits. El concepto de WEP consiste en establecer una clave secreta de 40 o 128 bits con antelacin. Esta clave debe declararse en cada tarjeta de la red inalmbrica, as como en el punto de acceso de un red en modo infraestructura. La clave se usa para crear un nmero que parece aleatorio y de la misma longitud que la trama de datos.
ING.EN SISTEMAS COMPUTACIONALES
INSTITUTO TECNOLOGICO SUPERIOR DE LOS RIOS REDES INALAMBRICAS pg. 7 Funciones WEP realiza dos funciones una es cifrado y la otra es autentificacin. Es un hecho conocido el que las transmisiones inalmbricas pueden ser captadas por terceros de forma pasiva. WEP hace que estas transmisiones no tengan sentido para otro que no sea el destinatario, puesto que los mensajes quedan escritos en clave, es decir cifrados.
Cifrado Las vulnerabilidades de WEP son variadas y se combinan de distintas formas permitiendo que la seguridad del punto de acceso sea burlada. La debilidad fundamental viene dada por el aprovechamiento del XOR usado en el cifrado. Esta debilidad se traduce en que capturando dos cifrados C1 y C2 y conociendo alguno de los textos planos P1, se puede obtener el texto plano P2 con una simple operacin binaria. El texto de algunos mensajes puede ser predicho debido a que en la red hay muchos paquetes circulando que son redundantes. Adems se necesita que los 64 bits (vector y clave) usados para el cifrado sean los mismos.
4.2.2 ACCESO WI-FI PROTEGIDO (WPA)
WPA (Wi-Fi Protected Access, acceso protegido Wi-Fi) es la respuesta de la asociacin de empresas Wi-Fi a la seguridad que demandan los usuarios y que WEP no puede proporcionar. El IEEE tiene casi terminados los trabajos de un nuevo estndar para reemplazar a WEP, que se publicarn en la norma IEEE 802.11i a mediados de 2004. Debido a la tardanza (WEP es de 1999 y las principales vulnerabilidades de seguridad se encontraron en 2001), Wi-Fi decidi, en colaboracin con el IEEE, tomar aquellas partes del futuro estndar que ya estaba suficientemente maduras y publicar as WPA. WPA es, por tanto, un subconjunto de lo que ser IEEE 802.11i. WPA (2003) se est ofreciendo en los dispositivos actuales.
WPA soluciona todas las debilidades conocidas de WEP y se considera suficientemente seguro. Puede ocurrir incluso que usuarios que utilizan WPA no vean necesidad de cambiar a IEEE 802.11i cuando est disponible.
Caractersticas de WPA
ING.EN SISTEMAS COMPUTACIONALES
INSTITUTO TECNOLOGICO SUPERIOR DE LOS RIOS REDES INALAMBRICAS pg. 8 Las principales caractersticas de WPA son la distribucin dinmica de claves, utilizacin ms robusta del vector de inicializacin (mejora de la confidencialidad) y nuevas tcnicas de integridad y autentificacin.
WPA incluye las siguientes tecnologas:
IEEE 802.1X. Estndar del IEEE de 2001 para proporcionar un control de acceso en redes basadas en puertos. El concepto de puerto, en un principio pensado para las ramas de un switch, tambin se puede aplicar a las distintas conexiones de un punto de acceso con las estaciones. Las estaciones tratarn entonces de conectarse a un puerto del punto de acceso. El punto de acceso mantendr el puerto bloqueado hasta que el usuario se autentifique. Con este fin se utiliza el protocolo EAP y un servidor AAA (Authentication Authorization Accounting) como puede ser RADIUS (Remote Authentication Dial-In User Service). Si la autorizacin es positiva, entonces el punto de acceso abre el puerto. El servidor RADIUS puede contener polticas para ese usuario concreto que podra aplicar el punto de acceso (como priorizar ciertos trficos o descartar otros).
EAP. EAP, definido en la RFC 2284, es el protocolo de autentificacin extensible para llevar a cabo las tareas de autentificacin, autorizacin y contabilidad. EAP fue diseado originalmente para el protocolo PPP (Point-to-Point Protocol), aunque WPA lo utiliza entre la estacin y el servidor RADIUS. Esta forma de encapsulacin de EAP est definida en el estndar 802.1X bajo el nombre de EAPOL (EAP over LAN). TKIP (Temporal Key Integrity Protocol). Segn indica Wi-Fi, es el protocolo encargado de la generacin de la clave para cada trama.
MIC (Message Integrity Code) o Michael. Cdigo que verifica la integridad de los datos de las tramas.
Mejoras de WPA respecto a WEP
WPA soluciona la debilidad del vector de inicializacin (IV) de WEP mediante la inclusin de vectores del doble de longitud (48 bits) y especificando reglas de secuencia que los fabricantes deben implementar. Los 48 bits permiten generar 2 elevado a 48 combinaciones de claves diferentes, lo cual parece un nmero suficientemente elevado como para tener duplicados. El algoritmo utilizado por WPA sigue siendo RC4. La secuencia de los IV, conocida por ambos extremos de la comunicacin, se puede utilizar para evitar ataques de repeticin de tramas (replay).
Para la integridad de los mensajes (ICV), se ha eliminado el CRC-32 que se demostr inservible en WEP y se ha incluido un nuevo cdigo denominado MIC. Las claves ahora son generadas dinmicamente y distribuidas de forma automtica por lo que se evita tener que modificarlas manualmente en cada uno de los elementos de red cada cierto tiempo, como ocurra en WEP.
ING.EN SISTEMAS COMPUTACIONALES
INSTITUTO TECNOLOGICO SUPERIOR DE LOS RIOS REDES INALAMBRICAS pg. 9
Para la autentificacin, se sustituye el mecanismo de autentificacin de secreto compartido de WEP as como la posibilidad de verificar las direcciones MAC de las estaciones por la terna 802.1X / EAP / RADIUS. Su inconveniente es que requiere de una mayor infraestructura: un servidor RADIUS funcionando en la red, aunque tambin podra utilizarse un punto de acceso con esta funcionalidad.
Modos de funcionamiento de WPA
WPA puede funcionar en dos modos:
Con servidor AAA, RADIUS normalmente. Este es el modo indicado para las empresas. Requiere un servidor configurado para desempear las tareas de autentificacin, autorizacin y contabilidad.
Con clave inicial compartida (PSK). Este modo est orientado para usuarios domsticos o pequeas redes. No requiere un servidor AAA, sino que se utiliza una clave compartida en las estaciones y punto de acceso. Al contrario que en WEP, esta clave slo se utiliza como punto de inicio para la autentificacin, pero no para el cifrado de los datos.
WPA2 (IEEE 802.11i) 802.11i es el nuevo estndar del IEEE para proporcionar seguridad en redes WLAN. Se espera que est concluido todo el proceso de estandarizacin para mediados de 2004. Wi-Fi est haciendo una implementacin completa del estndar en la especificacin WPA2. Sus especificaciones no son pblicas por lo que la cantidad de informacin disponible en estos momentos es realmente escasa. WPA2 incluye el nuevo algoritmo de cifrado AES (Advanced Encryption Standard), desarrollado por el NIS. Se trata de un algoritmo de cifrado de bloque (RC4 es de flujo) con claves de 128 bits. Requerir un hardware potente para realizar sus algoritmos. Este aspecto es importante puesto que significa que dispositivos antiguos sin suficientes capacidades de proceso no podrn incorporar WPA2. Para el aseguramiento de la integridad y autenticidad de los mensajes, WPA2 utiliza CCMP (Counter-Mode / Cipher Block Chaining / Message Authentication Code Protocol) en lugar de los cdigos MIC. Otra mejora respecto a WPA es que WPA2 incluir soporte no slo para el modo BSS sino tambin para el modo IBSS (redes ad-hoc). 4.2.3 LISTAS DE CONTROL DE ACCESO (FILTRADO MAC)
La mayora de 802,11 (Wi-Fi), los puntos de acceso permiten al administrador de la red para entrar en una lista de MAC (Media Access Control) se ocupa de que se les permite comunicarse en la red. Esta funcionalidad, conocida como direccin MAC Filtrados permite al administrador de red para denegar el acceso a cualquier direccin MAC que no est especficamente permitido en la red. Esto exige que
ING.EN SISTEMAS COMPUTACIONALES
INSTITUTO TECNOLOGICO SUPERIOR DE LOS RIOS REDES INALAMBRICAS pg. 10 cada nuevo dispositivo de la red tiene su direccin MAC, entr en la base de datos como un dispositivo autorizado. Por otra parte, ms 802,11 (Wi-Fi), tarjetas le permiten configurar la direccin MAC de la tarjeta en el software. Por lo tanto, si usted puede oler la direccin MAC de un nodo de red, es posible unirse a la red usando la direccin MAC de ese nodo.
Propsito de las ACL
Las ACL permiten un control del trfico de red, a nivel de los routers. Pueden ser parte de una solucin de seguridad (junton con otros componentes, como antivirus, anti-espas, firewall, proxy, etc.).
Puntos varios, que se deben recordar
Una ACL es una lista de una o ms instrucciones. Se asigna una lista a una o ms interfaces. Cada instruccin permite o rechaza trfico, usando uno o ms de los siguientes criterios: el origen del trfico; el destino del trfico; el protocolo usado. El router analiza cada paquete, comparndolo con la ACL correspondiente. El router compara la ACL lnea por lnea. Si encuentra una coincidencia, toma la accin correspondiente (aceptar o rechazar), y ya no revisa los restantes renglones. Es por eso que hay que listar los comandos desde los casos ms especficos, hasta los ms generales. Las excepciones tienen que estar antes de la regla general! Si no encuentra una coincidencia en ninguno de los renglones, rechaza automticamente el trfico. Consideren que hay un "deny any" implcito, al final de cada ACL. Cualquier lnea agregada a una ACL se agrega al final. Para cualquier otro tipo de modificacin, se tiene que borrar toda la lista y escribirla de nuevo. Se recomienda copiar al Bloc de Notas y editar all. Las ACL estndar (1-99) slo permiten controlar en base a la direccin de origen. Las ACL extendidas (100-199) permiten controlar el trfico en base a la direccin de origen; la direccin de destino; y el protocolo utilizado. Tambin podemos usar ACL nombradas en vez de usar un rango de nmeros. El darles un nombre facilita entender la configuracin (y por lo tanto, tambin facilita hacer correcciones). No tratar las listas nombradas en este resumen.