Seguridad en Redes Wireless PDF

Seguridad en Redes
Wireless
© Copyright 2003 VIRUSPROT, S.L. Todos los derechos reservados infor@virusprot.com

Acerca de Virusprot, S.L.
♦ Oficina Central: Madrid (España)

♦ Fundador: Eduardo Tabacman, Director
General (internacional@virusprot.com)
♦ Establecida en el año 1999
♦ Equipo con más de 12 años de experiencia en
el tema de la Seguridad Informática
♦ Actividades principales:
– Portal de Seguridad Informática VIRUSPROT.COM
(http://www.virusprot.com)
– Más de 50.000 visitas mensuales
– Distribución de productos SI
– Servicios de asesoramiento y consultoría SI
– Desarrollo de seminarios y conferencias SI
– Bussiness matching 2
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
Topología de una Red Inalámbrica
Empresarial
♦ 2 Elementos básicos:
– Estaciones cliente (PCMCIA – adaptador USB)
– Puntos de Acceso (AP)
Red de
Área Local
Puntos Puntos
de Acceso de Acceso 100 m
Estaciones
de trabajo Estaciones
de trabajo
3
Pronóstico Instalaciones Hot Spot en
el Mundo
♦ Punto de Acceso generalmente localizado en lugares
con gran tráfico de público que proporciona servicios
de red inalámbrico de banda ancha a visitantes móviles
210.000
143.000
82.000
30.000
12.000
Fuente:
Gartner Group
2002 2003 2004 2005 2006
4
“The Players”
♦ IETF – The Internet Engineering Task Force
– Grupo auto-organizado
– Grupo principal comprometido en el desarrollo de nuevas
especificaciones estándares para Internet
– http://www.ietf.org
♦ IEEE – Institute of Electrical and Electronic
Engineers
– 377.000 miembros en 150 países
– 900 estándares activos
– 700 en desarrollo 802.1x
– http://www.ieee.org
♦ WECA - The Wi-Fi Alliance
– Formada en 1999
– Certifica la interoperabilidad de productos
WLAN basados en la especificación 802.11
– http:/www.weca.net 802.11
5
Historia de las Redes Wireless
Banda
Estándar Velocidad
Frecuencia
802.11 1 y 2 Mbps 2.4 Ghz
802.11a 54 Mbps 5.15 Ghz
802.11b 11 Mbps 2.4 Ghz
802.11g 54 Mbps 2.4 Ghz
802.11i Finales de 2003
6
Amenaza de Seguridad - Ilustración
7
¿Cuáles son los Desafíos en la
Seguridad de las Redes Inalámbricas?
1. Cualquiera dentro de un radio de 100 metros

puede ser un intruso potencial
2. Las acreditaciones del usuario se deben
poder intercambiar con seguridad
3. Debe ser capaz de asegurar la conexión con
la red de trabajo correcta
4. Los datos se deben poder transmitir con
seguridad a través de la utilización apropiada
de llaves de encriptación
8
WarChalking
♦ Es la práctica de dibujar en paredes o aceras

una serie de símbolos para indicar a otros la
proximidad de un acceso inalámbrico
Sintaxis V.0.9
Clave Símbolo
SSID
Nodo
Abierto
Ancho de Banda
SSID
Nodo
Cerrado
SSID Access
Nodo Contact
WEP
Ancho de Banda
Fuente: www.warchalking.org
9
WarDriving
♦ Técnica difundida donde individuos equipados
con material apropiado tratan de localizar en
coche puntos wireless
Estudio WarDriving New York
WEP Activado 25%
WEP Desactivado 75%

(Julio 2002)
Lugar: Barcelona
Imagen: Miguel Puchol
Puntos rojos protegidos
Puntos verdes desprotegidos
Foto: O´Reilly Network
10
Red Inalámbrica en una Empresa,
Ataque Potencial 1
11
Ataque Potencial 2
12
WEP - Introducción
♦ Sistema de encriptación estándar

802.11
♦ Se implementa en la capa MAC
♦ Soportada por la mayoría de
vendedores de soluciones inalámbricas
♦ Cifra los datos enviados a través de las
ondas de radio
♦ Utiliza el algoritmo de encriptación RC4
13
WEP – Funcionamiento (1)
♦ Concatena la llave simétrica compartida, de 40

ó 104 bits, de la estación con un vector de
inicialización aleatorio (IV) de 24 bits, esta
estructura se denomina “seed”
♦ El seed se utiliza para generar un número
pseudo-aleatório, de longitud igual al payload
(datos + CRC), y un valor de 32 bits para
chequear la integridad (ICV)
♦ Esta llave y el ICV, junto con el payload (datos
+ CRC), se combinan a través de un proceso
XOR que producirá el texto cifrado
♦ La trama enviada incluye el texto cifrado, y el
IV e ICV sin encriptar
14
WEP – Funcionamiento (2)
♦ El ICV actúa como checksum, será

utilizado por la estación receptora para
recalcularlo y compararlo con la recibida
♦ Si el ICV no concuerda con el ICV
calculado, se descarta la trama e
incluso al emisor de la misma
♦ El IV se utiliza para desencriptar, junto
con la llave simétrica compartida, los
datos y el CRC de la trama
15
WEP - Debilidades
♦ Longitud del vector IV (24 bits)

insuficiente
♦ El IV se repetirá cada cierto tiempo de
transmisión continua para paquetes
distintos, pudiendo averiguar la llave
compartida
♦ Utilización de llaves estáticas, el cambio
de llave se debe realizar manualmente
♦ A pesar de todo, WEP ofrece un mínimo
de seguridad
16
Herramientas para “crackear” WEP
♦ AirSnort
♦ WEPCrack
♦ Interceptando aproximadamente
100 Mb 1 Gb
♦ 3.000 llaves cada semana son débiles
♦ 2.000 paquetes débiles son suficientes
para adivinar un password
17
Que es 802.1x
♦ Provee un método para la autenticación y
autorización de conexiones a una RED
INALÁMBRICA
♦ Autenticación basada en el usuario; puede
usar credenciales tales como contraseñas o
certificados
♦ Utiliza EAP (Extensible Authentication
Protocol) entre la estación móvil y el punto de
acceso
♦ Aprovechamiento de protocolos AAA tales
como RADIUS para centralizar autenticación y
autorizaciones
18
802.1x trata sobre la seguridad
en las Redes Inalámbricas
♦ Por qué RADIUS
– La autenticación se basa en el usuario, en vez de
basarse en el dispositivo
– Elimina la necesidad de almacenar información de los
usuarios en cada access point de la RED, por tanto
es considerablemente más fácil de administrar y
configurar
– RADIUS ya ha sido ampliamente difundido para otros
tipos de autenticación en la red de trabajo
♦ Protocolo de Autenticación Extensible (EAP)
– Los tipos de autenticación EAP proveen de seguridad
a las redes 802.1x
• Protege las credenciales
• Protege la seguridad de los datos
♦ Tipos comunes de EAP
• EAP-TLS, EAP-TTLS, EAP-MD5, EAP-Cisco Wireless
(LEAP), EAP-PEAP 19
la Solución según 802.1x
20
802.1x EAP
Tipos y Diferencias
21
LEAP (EAP-Cisco Wireless)
♦ Basado en Nombre de Usuario y Contraseña

♦ Soporta plataformas Windows, Macintosh y
Linux
♦ Patentado por Cisco (basado en 802.1x)
♦ El Nombre de Usuario se envía sin protección
♦ La CONTRASEÑA se envía sin protección:
sujeto a ATAQUES DE DICCIONARIO (MSCHAP
v1 hash - * ftp://ftp.isi.edu/in-
notes/rfc2433.txt)
♦ No soporta One Time Password (OTP)
♦ Requiere LEAP “aware” RADIUS Server.
Requiere Infraestructura Cisco Wireless
22
EAP-MD5
♦ Basado en Nombre de Usuario y Contraseña

♦ El Nombre de Usuario se envía sin protección
♦ Sujeto a ATAQUES DE DICCIONARIO
♦ EAP-MD5 requiere una clave fija manual WEP
y no ofrece distribución automática de llaves
♦ Sujeto a ataques man-in-the-middle. Sólo
autentica el cliente frente al servidor, no el
servidor frente al cliente
23
EAP-TLS
♦ Desarrollado por Microsoft

♦ Ofrece fuerte autenticación mútua,
credenciales de seguridad y llaves dinámicas
♦ Requiere la distribución de certificados
digitales a todos los usuarios así como a los
servidores RADIUS
♦ Requiere una infraestructura de gestión de
certificados (PKI)
♦ Windows XP contiene un cliente EAP-TLS, pero
obliga a los administradores a emplear sólo
certificados Microsoft
♦ Intercambio de identidades desprotegido
24
EAP-TLS: ¿Certificados Cliente?
♦ Son difíciles de gestionar

♦ Debe designarlos una Autoridad Certificadora
♦ Requieren conocimiento/compresión
♦ Requiere que el usuario establezca el
certificado
♦ Incómodo para establecer múltiples
dispositivos, transferir certificados
♦ Los administradores son reacios a su uso
♦ Adopción limitada a una fecha
25
EAP-TTLS
♦ Permite a los usuarios autenticarse mediante

nombre de usuario y contraseña, sin pérdida
de seguridad
♦ Desarrollado por Funk Software y Certicom
♦ Ofrece fuerte autenticación mútua,
credenciales de seguridad y llaves dinámicas
♦ Requiere que los certificados sean distribuidos
sólo a los servidores RADIUS, no a los
usuarios
♦ Compatible con las actuales bases de datos de
seguridad de usuarios, incluídas Windows
Active Directory, sistemas token, SQL, LDAP,
etc.
♦ Soporta CHAP, PAP, MS-CHAP y MS-CHAPv2 26
Como funciona EAP-TTLS…
Fase 1 – Establecimiento de TLS
Configuración del Túnel TLS
Fase 2 – Autenticación Secundaria
Autenticación Secundaria - (PAP, CHAP, MS-CHAP, EAP)
27
Las ventajas de EAP-TTLS
♦ El más sencillo de instalar y gestionar

♦ Seguridad difícil de traspasar
♦ No requiere Certificados Cliente
♦ Autentica de manera segura los usuarios
frente a base de datos Windows
♦ Despliegue contra infraestructuras existentes
♦ Los usuarios se conectan con sus nombres de
usuario y contraseñas habituales
♦ No existe peligro de ataques de diccionario
♦ Parámetros pre-configurados para el cliente
WLAN, facilitando la instalación en los
dispositivos WLAN
28
EAP-PEAP
♦ Propuesto por Microsoft/Cisco/RSA

Security
♦ No requiere Certificados
♦ También utiliza Transport Layer
Security (TLS) para establecer el túnel
♦ Se incluye en SP1 de Windows XP
♦ Se incluirá en Windows 2003 Server
29
Comparativa de Protocolos EAP
LEAP EAP-TLS EAP-TTLS
Tema EAP-MD5 EAP-PEAP
(Cisco) (MS) (Funk)
Solución de
Seguridad Estándar Patente Estándar Estándar Estándar
Certificados- No No
Cliente No N/A Sí
(opcional) (opcional)
Certificados-
Servidor No N/A Sí Sí Sí
Credenciales
de Seguridad Ninguna Deficiente Buena Buena Buena
Act. Dir.,
Soporta Requiere Active NT
Autentifica- Borrar la Directory, Active Domains,
ción de Base
------
Base de NT Directory Token
de Datos Datos Domains Systems,
SQL, LDAP
Intercambio
de llaves No Sí Sí Sí Sí
dinámicas
Autentica-
ción Mútua No Sí Sí Sí Sí
30
Wi-Fi Protected Access (WPA)
♦ Abril 2003
– Más fuerte que WEP
– Mejorable a través de nuevas versiones de
software
– Uso empresarial y casero
– Obligatorio a finales del 2003
♦ Mejoras de Seguridad
– TKIP (Temporal Key Integrity Protocol)
– Autenticación de usuarios
31
WEP y WPA
Función WEP WPA

Soluciona
Encriptación Débil
debilidades
Claves 40 bits 128 bits
Claves Estáticas Dinámicas
Claves Distribución manual Automática
Fuerte, según
Autenticación Débil
802.1x y EAP
32
Protocolos de Seguridad para
Wireless
WECA IEEE
WEP EAP
(802.11b) (802.1x)
WPA
(802.11i)
MD5 LEAP TLS TTLS PEAP

Cisco Microsoft Funk Cisco
XP Software XP-SP1
33
Conclusiones
♦ La elección del método de Autenticación

es la decisión fundamental
♦ La elección del servidor de
Autenticación y del software de los
clientes
♦ Si no existe PKI deseche TLS
♦ PEAP no tiene ventajas sobre TTLS
Fuente: 802-11 Wireless Networks
34
¡¡La Pregunta del Millón!!
¿ ó ?
¿Qué Método de Autenticación?
¿Qué Servidor de Autenticación?
¿Qué Hardware?
- Access Point
- Tarjetas Wi-Fi 35
Primera Solución Multiplataforma
para Seguridad de Redes Wireless
36
Características de Odyssey
♦ Odyssey Client se ejecuta bajo Windows
98/ME/2000/XP/CE
♦ Administración de certificados basada en servidor (no
se requiere certificado del lado-cliente excepto al usar
EAP-TLS)
♦ Trabaja con cualquier hardware basado en 802.1x
♦ Generación de llave dinámica para una seguridad
superior:
– Llave inicial WEP creada dinámicamente (no más
llaves estáticas WEP)
– Llaves periódicas de sesión generadas a intervalos
configurables
♦ La autenticación trabaja frente a bases de datos
existentes Active Directory/NT Domain (y nombre de
usuario/contraseña existentes)
37
Odyssey Server
Servidor de Autenticación 802.1x
♦ Dirigido a la localización de datos corporativos con
requerimientos de autenticación para WLAN/802.1x
♦ Soporte Multi-plataforma
– Windows 2000 y XP
♦ Soporte para múltiples “tipos” EAP
– EAP-TLS
– EAP-TTLS
– EAP-Cisco Wireless (LEAP)
– EAP-MD5
– EAP-PEAP
♦ Soporte para Autenticación solamente
– Autenticación sólo contra Windows Active
Directory/NT Domains
38
Servidor Steel Belted Radius 4.0
♦ Dirigido a la solución específica de los requerimientos de

autenticación para WLAN/802.1x y requerimientos de
accesos remotos
♦ Soporte multi-plataforma
– Windows 2000, NT, SUN Solaris
– EAP-TLS
– EAP-TTLS
– EAP-Cisco Wireless (LEAP)
– EAP-MD5
– EAP-PEAP (Q2 – 2003)
♦ Soporte para autenticación contra múltiples bases de
datos
– SQL, LDAP, Token Systems, etc…
39
Odyssey Client
Cliente 802.1x
♦ Soporte multi-plataforma
– Windows 2000 y XP
– Windows 98/ME
– Windows CE
♦ Soporte de tarjetas de adaptación WLAN multi-marcas
– Cisco, Agere, Enterasys, entre otras…
– Guía de Compatibilidad en:
http://www.lanprotect.es/indexodyssey.htm
– TLS, TTLS, MD5, Cisco LEAP, PEAP, WPA
– Otros,…
♦ Conecta con cualquier servidor de autenticación 802.1x
40
Proceso de Autenticación (1)
♦ El usuario Wireless LAN autenticará la red de trabajo
– Para asegurar que el usuario se conectará a la red correcta
41
– El servidor de Odyssey o de SBR crea un túnel seguro
entre el servidor y el cliente. El usuario es autenticado a
través del túnel con la utilización del nombre de usuario y
contraseña/token
– Esto asegura que un usuario autorizado se está
conectando dentro de la red
42
♦ El servidor de Odyssey o de SBR generará llaves

dinámicas WEP para encriptación de los datos
– Ambas llaves se distribuyen al access point y al cliente
43
♦ Tras la autenticación, Odyssey Server autorizará al

access point la apertura de un puerto virtual para el
cliente de la RED INALÁMBRICA
– El cliente obtiene su dirección IP (DHCP) y accede a la red
44
802.1x en 802.11
Wireless
Punto de Acceso
Servidor Radius
Portátil Ethernet
Asociación
Acceso Bloqueado
802.11 Associate-Request 802.11 RADIUS

802.11 Associate-Response
EAPOL-Start EAPOW
EAP-Request/Identity
EAP-Response/Identity Radius-Access-Request
EAP-Request Radius-Access-Challenge
EAP-Response (credentials) Radius-Access-Request
EAP-Success Radius-Access-Accept
EAPOL-Key (WEP) Acceso Permitido
45
¿Por qué Odyssey?
♦ WEP
– Crackeable fácilmente
– No hay autenticación
– No cumple el 802.1x
♦ Cisco
– EAP-LEAP
– Incompatible con el resto de marcas
– Soporta Active Directory/Nt Domains
♦ Microsoft
– EAP-TLS
– Sólo Windows XP
– Requiere certificados en cada cliente
– Soporta sólo Active Directory
♦ Funk Software/Odyssey
– EAP-LEAP/TLS/TTLS/PEAP/WPA
– Compatible con Cisco/Avaya/Buffalo/Orinoco/Enterasys/3com
/Colubris/IBM, etc...
– Soporta Active Directory/Nt Domains/Tokens/SQL/LDAP
46
Enlaces de Interés
♦ Las redes in-alámbricas no tienen porque ser in-seguras
(28/03/03)
http://www.virusprot.com/Nt280341.html
♦ De nuevo: las redes wireless no son seguras (24/08/01)
http://www.viruprot.com/Nt240821.html
♦ White Paper: Conceptos básicos de seguridad en redes
wireless (14/11/02)
http://www.virusprot.com/Whitepap1.html
♦ White Paper: Odyssey, primera solución multiplataforma para
seguridad de redes wireless (16/05/02)
http://www.virusprot.com/Whitepap2.html
♦ Odyssey Client 2.1, redes WLAN seguras (12/05/03)
♦ Funk Software, líder en el mercado de software de seguridad
para WLANs (25/04/03)
♦ Funk Software entre los 15 “startups” WLAN del 2003
(05/02/03)
http://www.virusprot.com/Nt050241.html 47

Seguridad en Redes Wireless PDF

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Seguridad en Redes Wireless PDF

Caricato da

Copyright:

Formati disponibili

Seguridad en Redes

© Copyright 2003 VIRUSPROT, S.L. Todos los derechos reservados infor@virusprot.com

♦ Oficina Central: Madrid (España)

802.11 1 y 2 Mbps 2.4 Ghz

802.11a 54 Mbps 5.15 Ghz

802.11b 11 Mbps 2.4 Ghz

802.11g 54 Mbps 2.4 Ghz

802.11i Finales de 2003

1. Cualquiera dentro de un radio de 100 metros

♦ Es la práctica de dibujar en paredes o aceras

WEP Activado 25%

WEP Desactivado 75%

♦ Sistema de encriptación estándar

♦ Concatena la llave simétrica compartida, de 40

♦ El ICV actúa como checksum, será

♦ Longitud del vector IV (24 bits)

♦ Basado en Nombre de Usuario y Contraseña

♦ Basado en Nombre de Usuario y Contraseña

♦ Desarrollado por Microsoft

♦ Son difíciles de gestionar

♦ Permite a los usuarios autenticarse mediante

Fase 1 – Establecimiento de TLS

Configuración del Túnel TLS

Fase 2 – Autenticación Secundaria

Autenticación Secundaria - (PAP, CHAP, MS-CHAP, EAP)

♦ El más sencillo de instalar y gestionar

♦ Propuesto por Microsoft/Cisco/RSA

Función WEP WPA

Claves 40 bits 128 bits

Claves Estáticas Dinámicas

Claves Distribución manual Automática

MD5 LEAP TLS TTLS PEAP

♦ La elección del método de Autenticación

¿Qué Servidor de Autenticación?

♦ Dirigido a la solución específica de los requerimientos de

♦ El servidor de Odyssey o de SBR generará llaves

♦ Tras la autenticación, Odyssey Server autorizará al

802.11 Associate-Request 802.11 RADIUS

Potrebbero piacerti anche