Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Wireless
Red de
Área Local
Puntos Puntos
de Acceso de Acceso 100 m
Estaciones
de trabajo Estaciones
de trabajo
3
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
Pronóstico Instalaciones Hot Spot en
el Mundo
♦ Punto de Acceso generalmente localizado en lugares
con gran tráfico de público que proporciona servicios
de red inalámbrico de banda ancha a visitantes móviles
210.000
143.000
82.000
30.000
12.000
Fuente:
Gartner Group
2002 2003 2004 2005 2006
4
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
“The Players”
♦ IETF – The Internet Engineering Task Force
– Grupo auto-organizado
– Grupo principal comprometido en el desarrollo de nuevas
especificaciones estándares para Internet
– http://www.ietf.org
♦ IEEE – Institute of Electrical and Electronic
Engineers
– 377.000 miembros en 150 países
– 900 estándares activos
– 700 en desarrollo 802.1x
– http://www.ieee.org
♦ WECA - The Wi-Fi Alliance
– Formada en 1999
– Certifica la interoperabilidad de productos
WLAN basados en la especificación 802.11
– http:/www.weca.net 802.11
5
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
Historia de las Redes Wireless
Banda
Estándar Velocidad
Frecuencia
6
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
Amenaza de Seguridad - Ilustración
7
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
¿Cuáles son los Desafíos en la
Seguridad de las Redes Inalámbricas?
8
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
WarChalking
Clave Símbolo
SSID
Nodo
Abierto
Ancho de Banda
SSID
Nodo
Cerrado
SSID Access
Nodo Contact
WEP
Ancho de Banda
Fuente: www.warchalking.org
9
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
WarDriving
♦ Técnica difundida donde individuos equipados
con material apropiado tratan de localizar en
coche puntos wireless
Estudio WarDriving New York
Lugar: Barcelona
Imagen: Miguel Puchol
Puntos rojos protegidos
Puntos verdes desprotegidos
Foto: O´Reilly Network
10
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
Red Inalámbrica en una Empresa,
Ataque Potencial 1
11
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
Red Inalámbrica en una Empresa,
Ataque Potencial 2
12
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
WEP - Introducción
13
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
WEP – Funcionamiento (1)
15
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
WEP - Debilidades
16
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
Herramientas para “crackear” WEP
♦ AirSnort
♦ WEPCrack
♦ Interceptando aproximadamente
100 Mb 1 Gb
♦ 3.000 llaves cada semana son débiles
♦ 2.000 paquetes débiles son suficientes
para adivinar un password
17
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
Que es 802.1x
♦ Provee un método para la autenticación y
autorización de conexiones a una RED
INALÁMBRICA
♦ Autenticación basada en el usuario; puede
usar credenciales tales como contraseñas o
certificados
♦ Utiliza EAP (Extensible Authentication
Protocol) entre la estación móvil y el punto de
acceso
♦ Aprovechamiento de protocolos AAA tales
como RADIUS para centralizar autenticación y
autorizaciones
18
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
802.1x trata sobre la seguridad
en las Redes Inalámbricas
♦ Por qué RADIUS
– La autenticación se basa en el usuario, en vez de
basarse en el dispositivo
– Elimina la necesidad de almacenar información de los
usuarios en cada access point de la RED, por tanto
es considerablemente más fácil de administrar y
configurar
– RADIUS ya ha sido ampliamente difundido para otros
tipos de autenticación en la red de trabajo
♦ Protocolo de Autenticación Extensible (EAP)
– Los tipos de autenticación EAP proveen de seguridad
a las redes 802.1x
• Protege las credenciales
• Protege la seguridad de los datos
♦ Tipos comunes de EAP
• EAP-TLS, EAP-TTLS, EAP-MD5, EAP-Cisco Wireless
(LEAP), EAP-PEAP 19
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
Red Inalámbrica en una Empresa,
la Solución según 802.1x
20
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
802.1x EAP
Tipos y Diferencias
21
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
LEAP (EAP-Cisco Wireless)
22
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
EAP-MD5
23
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
EAP-TLS
24
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
EAP-TLS: ¿Certificados Cliente?
25
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
EAP-TTLS
27
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
Las ventajas de EAP-TTLS
29
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
Comparativa de Protocolos EAP
LEAP EAP-TLS EAP-TTLS
Tema EAP-MD5 EAP-PEAP
(Cisco) (MS) (Funk)
Solución de
Seguridad Estándar Patente Estándar Estándar Estándar
Certificados- No No
Cliente No N/A Sí
(opcional) (opcional)
Certificados-
Servidor No N/A Sí Sí Sí
Credenciales
de Seguridad Ninguna Deficiente Buena Buena Buena
Act. Dir.,
Soporta Requiere Active NT
Autentifica- Borrar la Directory, Active Domains,
ción de Base
------
Base de NT Directory Token
de Datos Datos Domains Systems,
SQL, LDAP
Intercambio
de llaves No Sí Sí Sí Sí
dinámicas
Autentica-
ción Mútua No Sí Sí Sí Sí
30
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
Wi-Fi Protected Access (WPA)
♦ Abril 2003
– Más fuerte que WEP
– Mejorable a través de nuevas versiones de
software
– Uso empresarial y casero
– Obligatorio a finales del 2003
♦ Mejoras de Seguridad
– TKIP (Temporal Key Integrity Protocol)
– Autenticación de usuarios
31
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
WEP y WPA
Fuerte, según
Autenticación Débil
802.1x y EAP
32
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
Protocolos de Seguridad para
Wireless
WECA IEEE
WEP EAP
(802.11b) (802.1x)
WPA
(802.11i)
33
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
Conclusiones
34
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
¡¡La Pregunta del Millón!!
¿ ó ?
¿Qué Método de Autenticación?
¿Qué Hardware?
- Access Point
- Tarjetas Wi-Fi 35
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
Primera Solución Multiplataforma
para Seguridad de Redes Wireless
36
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
Características de Odyssey
♦ Odyssey Client se ejecuta bajo Windows
98/ME/2000/XP/CE
♦ Administración de certificados basada en servidor (no
se requiere certificado del lado-cliente excepto al usar
EAP-TLS)
♦ Trabaja con cualquier hardware basado en 802.1x
♦ Generación de llave dinámica para una seguridad
superior:
– Llave inicial WEP creada dinámicamente (no más
llaves estáticas WEP)
– Llaves periódicas de sesión generadas a intervalos
configurables
♦ La autenticación trabaja frente a bases de datos
existentes Active Directory/NT Domain (y nombre de
usuario/contraseña existentes)
37
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
Odyssey Server
Servidor de Autenticación 802.1x
♦ Dirigido a la localización de datos corporativos con
requerimientos de autenticación para WLAN/802.1x
♦ Soporte Multi-plataforma
– Windows 2000 y XP
♦ Soporte para múltiples “tipos” EAP
– EAP-TLS
– EAP-TTLS
– EAP-Cisco Wireless (LEAP)
– EAP-MD5
– EAP-PEAP
♦ Soporte para Autenticación solamente
– Autenticación sólo contra Windows Active
Directory/NT Domains
38
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
Servidor Steel Belted Radius 4.0
39
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
Odyssey Client
Cliente 802.1x
♦ Soporte multi-plataforma
– Windows 2000 y XP
– Windows 98/ME
– Windows CE
♦ Soporte de tarjetas de adaptación WLAN multi-marcas
– Cisco, Agere, Enterasys, entre otras…
– Guía de Compatibilidad en:
http://www.lanprotect.es/indexodyssey.htm
♦ Soporte para múltiples “tipos” EAP
– TLS, TTLS, MD5, Cisco LEAP, PEAP, WPA
– Otros,…
♦ Conecta con cualquier servidor de autenticación 802.1x
40
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
Proceso de Autenticación (1)
♦ El usuario Wireless LAN autenticará la red de trabajo
– Para asegurar que el usuario se conectará a la red correcta
41
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
Proceso de Autenticación (2)
– El servidor de Odyssey o de SBR crea un túnel seguro
entre el servidor y el cliente. El usuario es autenticado a
través del túnel con la utilización del nombre de usuario y
contraseña/token
– Esto asegura que un usuario autorizado se está
conectando dentro de la red
42
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
Proceso de Autenticación (3)
43
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
Proceso de Autenticación (4)
44
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
802.1x en 802.11
Wireless
Punto de Acceso
Servidor Radius
Portátil Ethernet
Asociación
Acceso Bloqueado