El documento describe diferentes tipos de ataques inalámbricos y medidas de seguridad para redes inalámbricas. Explica que los ataques pueden provenir de atacantes externos o internos a la red, y que la tecnología inalámbrica introduce nuevos riesgos debido a que un atacante externo puede actuar como interno. Luego, resume protocolos como WEP, 802.1X, y EAP-TLS, TTLS y PEAP, destacando sus fortalezas y debilidades para la autenticación y encriptación de
3. Ataque convencional
El ataque convencional puede provenir desde
afuera de la red o desde adentro de la red.
Atacante externo:
Fuera de la red Interna.
Puede ser un empleado o un tercero.
Tiene que pasar el perímetro.
No tiene acceso a recursos críticos.
El impacto de un ataque exitoso es medio / bajo.
4. Ataque convencional
Atacante interno:
Dentro de la red Interna.
Posiblemente sea un empleado.
Tiene acceso a la red interna.
Tiene acceso a recursos críticos.
El impacto de un ataque exitoso es alto.
5. Nuevo paradigma
Atacante Wireless:
Posiblemente sea un tercero.
Si hay firewall tiene que pasar el perímetro.
Si no hay firewall está dentro de la red interna.
Puede tener acceso completo a la red interna y
posiblemente también a recursos críticos.
El impacto negativo de un ataque a recursos
críticos es muy elevado.
Es un atacante externo con las características
particulares de un atacante interno.
8. 8
Puntos débiles
Las acreditaciones del usuario se deben poder
intercambiar con seguridad
Debe ser capaz de asegurar la conexión con la red de
trabajo correcta
9. 9
Puntos débiles
Los datos se deben poder transmitir con seguridad
a través de la utilización apropiada de llaves de cifrado.
13. ¿Que puede hacer un atacante “Wireless”?:
Monitoreo, captura y análisis pasivo de tráfico de red
Conseguir Accesos no autorizados
Robo de información
Actuar como Man in the Middle
Ataques de ARP (modificación de tablas MAC/IP)
Ataques de REPLAY
Inserción de Código Dañino
Robo de Credenciales
Robo de Sesiones y Suplantación de usuario (Hijacking)
Denegación de servicio (DoS)
Riesgos asociados a la tecnología
14. ¿A quienes afecta?
Empresas que tienen Wireless
Sin seguridad
Con la seguridad mínima del estándar 802.11
Sin medidas adicionales de seguridad.
Empresas que desconocen si tienen Wireless
Los dispositivos Wireless cada vez son más baratos.
Un área de la empresa puede implementar Wireless
sin el conocimiento de los responsables de la
tecnología.
Un tercero puede intencionalmente instalar Wireless
para tener acceso “remoto”
Empresas que tienen trabajadores remotos que
utilizan tecnología Wireless en sus hogares
15. Tendencias de seguridad
Prevención:
Políticas corporativas
Seguridad física
Estándar 802.11i
Detección:
Sniffers (analizadores)
Observación física
Buscar símbolos de WarChalking
Detección desde la red cableada
SSID
Ancho de Banda
SSID
SSID
Ancho de Banda
Access
Contact
Clave Símbolo
Nodo
Abierto
Nodo
Cerrado
Nodo
WEP
16. Seguridad: Filtrado por MAC
MAC (Media Access Control Address)
Dirección del hardware originaria del fabricante
Sirve para identificar routers, tarjetas de red, etc...
Crea en cada Access Point una base de datos con las
direcciones MAC de todos los dispositivos conectados
Desventajas:
Se debe repetir en todos los Access Points existentes (puede
ser mucho trabajo y originar errores)
Una vez capturadas por un hacker, pueden entrar a la red
tranquilamente
Si algún usuario pierde o le roban su estación de trabajo,
queda comprometida la seguridad
18. Seguridad: WEP
Sistema de cifrado estándar 802.11
Se implementa en la capa MAC.
Soportada por la mayoría de vendedores de soluciones
inalámbricas.
Cifra los datos enviados a través de las ondas de radio.
Utiliza el algoritmo de cifrado RC4.
19. Seguridad: WEP
Concatena la llave simétrica compartida, de 40 ó 104
bits, de la estación con un vector de inicialización
aleatorio (IV) de 24 bits, esta estructura se denomina
“seed”.
El seed se utiliza para generar un número pseudo-
aleatorio, de longitud igual al payload (datos + CRC), y
un valor de 32 bits para chequear la integridad (ICV).
Esta llave y el ICV, junto con el payload (datos + CRC),
se combinan a través de un proceso XOR que
producirá el texto cifrado.
La trama enviada incluye el texto cifrado, y el IV e ICV
sin cifrar.
21. Seguridad: WEP
DEBILIDADES:
Longitud del vector IV (24 bits): insuficiente.
El IV se repetirá cada cierto tiempo de transmisión
continua para paquetes distintos, pudiéndose averiguar
la llave compartida.
Utilización de llaves estáticas, el cambio de llave se
debe realizar manualmente.
A pesar de todo, WEP ofrece un mínimo de seguridad.
Escuchando 100 Mb de comunicaciones
se puede encontrar la clave:
(usando AirSnort, por ejemplo)
23. Seguridad: 802.1X
Provee un método para la autenticación y
autorización de conexiones a una RED
INALÁMBRICA
Autenticación basada en el usuario; puede usar
credenciales tales como contraseñas o certificados
Utiliza EAP (Extensible Authentication Protocol)
entre la estación móvil y el punto de acceso
Aprovechamiento de protocolos AAA tales como
RADIUS para centralizar Autenticación y
Autorizaciones
24. Seguridad: 802.1X
Protocolo de Autenticación Extensible (EAP)
Los tipos de autenticación EAP proveen de seguridad a las
redes 802.1x:
o Protegen las credenciales
o Protegen la seguridad de los datos
Tipos comunes de EAP:
EAP-TLS, EAP-TTLS, EAP-MD5, EAP-Cisco Wireless
(LEAP), EAP-PEAP
25. Seguridad: VPN 802.1X
PA: Punto de Acceso (Access Point)
~
~
Conexión VPN segura
Conexión VPN segura
Dial-up,
módem
cableado,
DSL o GPRS
Aeropuerto,
hotel, casa
WEP
Encriptado
VLAN
Conexión VPN segura
Red PAPA
ISP Internet
Firewall
Servidor
VPN
Servidor
Archivos
Servidor
VPN
Redempresarialprivada
26. Seguridad: VPN 802.1X
La red Wireless es una red insegura
Los PA se configuran sin WEP
El acceso Wireless es "aislado" de la red de la
empresa por el servidor VPN
Los PA se pueden interconectar creando una Red
Privada Virtual (VLAN)
27. Seguridad: VPN 802.1X
Los servidores VPN proveen:
Autenticación
Cifrado
Los servidores VPN actúan como:
Firewalls
Gateways
de la red interna
28. Seguridad: 802.1X
RADIUS (Remote Autentication Dial-In User Service):
La autenticación se basa en el usuario, en vez de basarse
en el dispositivo
Elimina la necesidad de almacenar información de los
usuarios en cada Access Point de la RED, por tanto es
considerablemente más fácil de administrar y configurar
RADIUS ya ha sido ampliamente difundido para otros tipos
de autenticación en la red de trabajo
29. Seguridad: 802.1X
SERVIDORES RADIUS (RFC 2058)
Función
Recibir pedido de conexión del usuario.
Autenticarlo.
Devolver toda la información de configuración necesaria para que
el cliente acceda a los servicios.
Elementos Básicos
Network Access Server (NAS):
o El cliente de RADIUS envía la información del usuario al
RADIUS correspondiente y actúa al recibir la respuesta.
Seguridad
o Autenticación mediante “Secreto Compartido”.
o Passwords cifrados.
o Soporta diversos métodos de autenticación (PAP,CHAP, etc...)
32. Seguridad: 802.1X – Proceso de autenticación
El usuario Wireless LAN autenticará la red de trabajo para
asegurar que el usuario se conectará a la red correcta.
33. Seguridad: 802.1X – Proceso de autenticación
El servidor de Odyssey o de SBR crea un túnel seguro entre el
servidor y el cliente. El usuario es autenticado a través del túnel
con la utilización del nombre de usuario y contraseña/token
Esto asegura que un usuario autorizado se está conectando
dentro de la red
34. Seguridad: 802.1X – Proceso de autenticación
El servidor de Odyssey o de SBR generará llaves dinámicas
WEP para el cifrado de los datos
Ambas llaves se distribuyen al Access Point y al cliente
35. Seguridad: 802.1X – Proceso de autenticación
Tras la autenticación, Odyssey Server autorizará al Access Point
la apertura de un puerto virtual para el cliente de la Red Wireless
El cliente obtiene su dirección IP (DHCP) y accede a la red
37. Seguridad: RADIUS vs. VPN
Con RADIUS toda la infraestructura Wireless está dentro
del firewall corporativo
Con VPN está fuera del firewall
A medida que crezca el parque de WLAN habrá más
equipos fuera y se necesitarán más servidores VPN
Cuando hay varias sucursales los usuarios de visita en otra
sucursal se pueden autenticar en RADIUS
Con VPN debe saber a que servidor conectarse
Al crecer la población Wireless cada vez el manejo de
VPNs se hace mas complejo y más costoso
38. Seguridad: 802.1x EAP
TIPOS Y DIFERENCIAS
IEEE
EAP
(802.1x)
LEAP
Cisco
TTLS
Funk
Software
PEAP
Cisco
XP (SP1)
TLS
Microsoft
XP/2000 (SP3)
MD5
39. Seguridad: 802.1x EAP-MD5
Basado en Nombre de Usuario y Contraseña
El Nombre de Usuario se envía sin protección
Sujeto a ATAQUES DE DICCIONARIO
EAP-MD5 requiere una clave fija manual WEP y no ofrece
distribución automática de llaves
Sujeto a ataques man-in-the-middle. Sólo autentica el
cliente frente al servidor, no el servidor frente al cliente
40. Seguridad: 802.1x EAP-LEAP
LEAP: EAP-Cisco Wireless
Basado en Nombre de Usuario y Contraseña
Soporta plataformas Windows, Macintosh y Linux
Patentado por Cisco (basado en 802.1x)
El Nombre de Usuario se envía sin protección
La CONTRASEÑA se envía sin protección: sujeto a
ATAQUES DE DICCIONARIO
No soporta One Time Password (OTP)
Requiere LEAP “aware” RADIUS Server.
Requiere Infraestructura Cisco Wireless
41. Seguridad: 802.1x EAP-TLS
EAP-TLS (Microsoft)
Ofrece fuerte autenticación mutua, credenciales de
seguridad y llaves dinámicas
Requiere la distribución de certificados digitales a todos los
usuarios así como a los servidores RADIUS
Requiere una infraestructura de gestión de certificados
(PKI)
Windows XP contiene un cliente EAP-TLS, pero obliga a
los administradores a emplear sólo certificados Microsoft
Intercambio de identidades desprotegido
42. Seguridad: 802.1x EAP-TLS
EAP-TLS: ¿Certificados Cliente?
Son difíciles de gestionar
Debe asignarlos una Autoridad Certificante
Requieren conocimiento/compresión
Requiere que el usuario instale el certificado
Incómodo para establecer múltiples dispositivos, transferir
certificados
Los administradores son reacios a su uso
Adopción limitada a una fecha
6 ciclos entre usuario y autenticador
43. Seguridad: 802.1x EAP-TTLS
Permite a los usuarios autenticarse mediante nombre de
usuario y contraseña, sin pérdida de seguridad
Desarrollado por Funk Software y Certicom
Ofrece fuerte autenticación mutua, credenciales de
seguridad y llaves dinámicas
Requiere que los certificados sean distribuidos sólo a los
servidores RADIUS, no a los usuarios
Compatible con las actuales bases de datos de seguridad
de usuarios, incluidas Windows Active Directory, LDAP,
sistemas Token, SQL, etc.
Soporta CHAP, PAP, MS-CHAP y MS-CHAPv2
44. Seguridad: 802.1x EAP-TTLS
Como funciona EAP-TTLS:
Fase 2 – Autenticación Secundaria
Autenticación Secundaria - (PAP, CHAP, MS-CHAP, EAP)
Configuración del Túnel TLS
Fase 1 – Establecimiento de TLS
45. Seguridad: 802.1x EAP-TTLS
VENTAJAS DE EAP-TTLS
El más sencillo de instalar y gestionar
Seguridad difícil de traspasar
No requiere Certificados Cliente
Autentica de manera segura los usuarios frente a base de
datos Windows
Despliegue contra infraestructuras existentes
Los usuarios se conectan con sus nombres de usuario y
contraseñas habituales
No existe peligro de ataques de diccionario
Parámetros pre-configurados para el cliente WLAN,
facilitando la instalación en los dispositivos WLAN
46. Seguridad: 802.1x EAP-PEAP
Propuesto por Microsoft/Cisco/RSA Security
No requiere Certificados
También utiliza Transport Layer Security (TLS) para
establecer el túnel
Se incluye en SP1 de Windows XP
Se incluye en Windows 2003 Server
47. Seguridad: Comparativa EAP
Tema EAP-MD5
LEAP
(Cisco)
EAP-TLS
(MS)
EAP-TTLS
(Funk)
EAP-PEAP
Solución de
Seguridad Estándar Patente Estándar Estándar Estándar
Certificados-
Cliente No N/A Sí
No
(opcional)
No
(opcional)
Certificados-
Servidor No N/A Sí Sí Sí
Credenciales de
Seguridad Ninguna Deficiente Buena Buena Buena
Soporta
Autenticación
de Base de
Datos
Requiere
Borrar la
Base de
Datos
Active
Directory, NT
Domains
Active
Directory
Act. Dir., NT
Domains,
Token
Systems,
SQL, LDAP
------
Intercambio de
llaves dinámicas No Sí Sí Sí Sí
Autenticación
Mútua No Sí Sí Sí Sí
48. Seguridad: WPA
WPA: WiFi Protected Access
Abril 2003
Más fuerte que WEP
Mejorable a través de nuevas versiones de
software
Uso empresarial y casero
Obligatorio a finales del 2003
Mejoras de Seguridad:
TKIP (Temporal Key Integrity Protocol)
Autenticación de usuarios
49. Seguridad: WPA-TKIP
IV de 48 bits llamado TSC (TKIP Sequence counter)
MIC (Integrity Check de Mensajes)
Encripta checksum con direcciones MAC y los datos
IV / Clave
4 octetos
IV Extendido
4 octetos
Datos
nº octetos
MIC
8 octetos
ICV
4 octetos
CifradoTSC
48 bits
51. Seguridad: WPA2
Fue creado para corregir las vulnerabilidades detectadas
en WPA.
Basado en el estándar 802.11i. Fue ratificado en 2004.
Hay dos Versiones
Enterprise: Server Authentication 802.1x
Personal: AES ó Pre-Shared Key
52. Ataques a la Seguridad
Un ataque rompe una Wi-Fi encriptada en un minuto
El ataque funciona sólo en los antiguos sistemas
WPA que utilizan el algoritmo TKIP.
Científicos japoneses han desarrollado un método
para romper el sistema WPA de cifrado de redes
inalámbricas en aproximadamente un minuto. El
ataque permite leer el tráfico encriptado que se envía
entre los ordenadores y cierto tipo de routers que
utilizan el sistema de cifrado WPA (Wi-Fi Protected
Access).
Los investigadores recomiendan sustituir TKIP por
AES que es un sistema más robusto.
53. Seguridad: WPA2
Se recomienda reemplazar a WPA por WPA2-AES
Usar AES-CCMP (Advanced Encryption Standard –
Counter Mode with Cipher Block Chaining Message
Authentication Code Protocol)
Cumple con los requerimientos de seguridad del gobierno
de USA - FIPS140-2.
WPA2 basado en AES sigue siendo seguro.
54. Seguridad: WPA2
PROCESO DE COMUNICACIÓN SEGURA:
FASE 1: El Access Point y el Cliente acuerdan la Política
de Seguridad (método de autenticación)
FASE 2: Se genera la Master Key.
FASE 3: Se crean la Llaves Temporales.
FASE 4: Todas la llaves generadas en la fase anterior son
usadas por el protocolo CCMP de AES para proveer
Confidencialidad e Integridad.
55. Seguridad: WPA2
WPA2 es inmune contra ataques de:
Man-in-the-Middle
Ataque a la autenticación
Replay
Colisión de llaves
Llaves débiles
Ataque a los paquetes de datos
Fuerza bruta
Diccionario
58. Conclusiones:
Los beneficios de la tecnología son indiscutibles.
Los problemas asociados a la tecnología también lo son.
Aparece una nueva amenaza, el atacante Wireless.
Se tienen que tomar medidas de seguridad adicionales.
Adquirir equipos que soporten el estándar de seguridad
802.11i e implementar WPA 2 con AES.