El documento presenta información sobre cómo montar una red inalámbrica segura. Explica los usos comunes de las redes WiFi, los problemas de seguridad asociados y diferentes tipos de ataques. Luego, detalla medidas para mejorar la seguridad, incluyendo el uso de WPA/WPA2, 802.1X y configuraciones seguras. Finalmente, resume los principales productos de puntos de acceso inalámbricos de D-Link.
1. Montar un red
inalámbrica segura,
un reto posible
Xavier Campos
Product Manager Spain & Portugal
xavier.campos@dlink.es
www.dlink.es
Salamanca, 9 de Julio 2009.
2. AGENDA
Usos de las Redes WiFi.
Problemas de Seguridad de las WiFi.
Tipos de Ataque WiFi.
Seguridad en la WiFi.
Demo WPA/WPA2-PSK. Passphrase Inseguro.
¿Cómo securizar una WiFi?
802.1X.
Demo WPA2-EAP.
D-Link Wireless AP Porfolio.
6. Problemas de Seguridad de las WiFi
El acceso de usuarios no
autorizados a nuestra red para
robar información o para hacer
uso de nuestra conexión a
Internet
El área de cobertura
inalámbrica excede los
límites de la oficina
Red Inalámbrica Detectada!!!
Intentando conectar se a la Red…
Usuario No Autorizado
PELIGRO!!! Conexión existosa a la Red
Inalámbrica!!!
7. Problemas de Seguridad de las WiFi
“Los Malos” intentan conseguir información importante/confidencial
para después poder venderla
Hot-Spot
Punto de Acceso PELIGRO!!!
Man-in-the-Middle / Evil Twin
El atacante recibe todo la información
(Passwords, # Tarjeta de Crédito, etc)
Usuario A navega por Internet y
envía información confidencial “Los Malos” intentan
robar la información
Hacker
Información INFORMACIÓN CAPTURADA!!!
Usuario A Confidencial
enviada al AP
Riesgos de las WiFi en Áreas Públicas
8. Tipos de Ataque WiFi
Ataques Pasivos
• Packet Sniffing
El tráfico de redes inalámbricas puede espiarse con mucha más facilidad
que en una LAN.
Basta con disponer de un portátil con una tarjeta inalámbrica y un
software para capturar tráfico.
• Análisis de Tráfico
El atacante obtiene información examinando el tráfico y sus patrones: a
qué hora se encienden ciertos equipos, cuánto tráfico envían, durante
cuánto tiempo,…
Ataques Activos
• Suplantación
Utilizando un Sniffer podremos obtener direcciones MAC/ESSID válidos
El análisis de tráfico nos ayudará a saber a qué horas debemos
conectarnos suplantando a un usuario u otro.
Otra forma consiste en instalar puntos de acceso ilegítimos (rogue) para
engañar a usuarios legítimos para que se conecten a este AP en lugar del
autorizado. Ataque Evil Twin.
9. Tipos de Ataque WiFi
Ataques Activos
• Modificación
El atacante borra, manipula, añade o reordena los mensajes transmitidos
(ataque MITM).
• Reactuación
Inyectar en la red paquetes interceptados utilizando un Sniffer para
repetir operaciones que habían sido realizadas por el usuario legítimo.
• Denegación de Servicio
El atacante puede generar interferencias hasta que se produzcan tantos
errores en la transmisión que la velocidad caiga a extremos inaceptables o
la red deje de operar totalmente.
Otros ataques: inundar con solicitudes de autenticación, solicitudes de
deautenticación de usuarios legítimos, tramas RTS/CTS para silenciar la
red, etc.
10. Seguridad en las WiFi
WiFi Abiertas.
• Sigue siendo relativamente factible realizar un escaneo en búsqueda de redes
inalámbricas accesibles y encontrar redes sin ningún tipo de seguridad aplicada,
aunque es cierto que cada vez es menor el número de usuarios que dejan
“abiertas” sus redes.
Configurar Filtrado de MAC o Ocultar el SSID. No es suficiente.
• Con un Packet Sniffer (Commview) podemos capturar tráfico y extraer la MAC de
clientes válidos o el ESSID de la red, aunque esté oculto.
• Con A-MAC/Etherchange podemos hacer “spoof” de una MAC válida.
11. Filtrado MAC
Características del Filtrado MAC
• Permite controlar que usuarios pueden conectarse a la Red basándose en la
dirección MAC de la tarjeta cliente.
• Raramente se utiliza como único mecanismo de seguridad, ya que es fácilmente
hackeable utilizando aplicativos como A-MAC/Etherchange que permiten modificar
la MAC de nuestro cliente por una válida.
Permite que el Usuario A se conecte a la red
Usuario A intenta
conectarse a la red El Usuario E no puede conectarse a la red
User A Lista de El AP chequea si
MAC: AA direcciones MAC la MAC del cliente
permitidas está en la lista
AA
BB La dirección
Usuario E intenta CC MAC (AA) está
conectarse a la red en la lista
La dirección
MAC (EE) no
User E está en la lista
MAC: EE
14. Ocultación SSID
La ocultación del SSID no garantiza que un atacante pueda
detectar la red y conectarse a ella, si no hemos aplicado ningún
otro mecanismo de seguridad.
15. Wired Equivalent Privacy (WEP)
Como funciona WEP…
Usuario A y Usuario B quieren conectarse a la Red
Quiero Quiero conectarme a
conectarme a la Clave Compartida = abc la Red
Red
Clave Compartida = abc
Clave Compartida = xyz
Punto de Acceso
Usuario A configurado con WEP Usuario B
➀ ➀
Envía Petición de Asociación Recibe la Petición Envía Petición de Asociación
He recibido la Petición,
Desafío ¿Cuál es la Clave? Desafío
➁ ➁
Respuesta al Desafío ➂ ➂ Respuesta al Desafío
Key = abc Key = xyz
Usuario A, Password correcto.
➃ Usuario autenticado
Usuario A conectado a la Red!!!
Password correcto Petición Denegada
➄
Usuario B, Password incorrecto Usuario B no conectado
Petición Denegada a la Red!!!
Password incorrecto
16. Wired Equivalent Privacy (WEP)
Cómo crackear WEP …
• Basado en Algoritmo de Encriptación (RC4) / Clave Secreta +IV (de 64 ó 128bits)
• Ataque mediante Airodump+Aireplay+AirCrack. Sólo necesitamos capturar
suficientes paquetes (64 bits → ~150.000 IVs / 128 bits → ~500.000 IVs) y aplicar
Aircrack para crackear la clave WEP.
17. Wi-Fi Protected Access
(WPA/WPA2)
Características de WPA/WPA2
• Modo Personal (PSK) – Protege la Red de accesos no autorizados utilizando un
Passphrase
• Modo Enterprise (EAP) – Autentica el acceso a la Red de los usuarios mediante
un servidor RADIUS
• WPA2 es compatible con WPA, siendo posible comunicar dispositivos que utilicen
diferentes métodos de autenticación
• WPA2 es similar a WPA, la principal diferencia es que WPA2 utiliza un sistema de
encriptación más avanzado
WPA WPA2
Modo Enterprise (Gran Autenticación: IEEE Autenticación: IEEE Diferentes métodos de
Empresa, Administración, 802.1X/EAP 802.1X/EAP autenticación para
Educación,…) Encriptación: TKIP/MIC Encriptación: AES-CCMP diferentes entornos
Modo Personal (Pymes, Autenticación: PSK Autenticación: PSK
Casa,…) Encriptación: TKIP/MIC Encriptación: AES-CCMP
18. Wi-Fi Protected Access
(WPA/WPA2)
WPA/WPA2 proporciona un método de autenticación robusto utilizando
claves de encriptación dinámicas por usuario, sesión y paquete de datos
La fiabilidad de este método de autenticación reside en la robustez de la
Passphrase que utilizemos, ya que existen mecanismos para capturar el
handshake y crackear la clave WPA si esta es sencilla.
Usuario envía información
Usuario Punto de Acceso Clave Correcta!
configurado con Permite que el Usuario
WPA/WPA2 se conecte a la red
Clave Encriptada
Solicitud de Asociación Compare the encrypted key
El cliente se conecta a la Red con éxito
Clave Correcta!
Datos + Clave1 Datos Recibidos
Compara la Clave Encriptada
Cada vez que el Usuario envía información al AP, los datos se cifrán con una clave dinámica
19. ¿Es posible crakear WPA/WPA2-PSK?
Configuramos el Punto de Acceso
• WPA2-PSK
• Passphrase Inseguro = ********
29. ¿Cómo securizar una WiFi?
Pasos obligatorios
• Cambiar contraseña de Administración del AP
• Modificar el SSID por defecto
• Utilizar encriptación WPA/WPA2-PSK (Passphrase Seguro) ó WPA/WPA2-EAP
Pasos opcionales
• Ocultar SSID (deshabilitar el broadcast SSID)
• Configurar Filtrado MAC
• Cambiar las claves de forma regular
• Desactivar DHCP
• Configurar Wireless LAN Scheduler / Apagar el AP cuando no se utilice
• Configurar lista de Rogue APs
• Control de Potencia para cubrir exclusivamente el área que deseamos
30. ¿Cómo elegir un Passphrase Seguro?
http://www.microsoft.com/protect/yourself/password/checker.mspx
31. 802.1X
• Protocolo 802.1X
• El protocolo 802.1X es un estándar de control de
acceso desarrollado por el IEEE que permite usar
Supplicant
diferente mecanismos de autenticación (EAP-PEAP/EAP- Usuario
TLS/EAP-TTLS/EAP-SIM/…).
• Se basa en el concepto de puerto, visto éste como el
punto a través del que se puede acceder a un servicio
proporcionado por un dispositivo (en nuestro caso, un
Authenticator
Punto de Acceso).
Punto Acceso
• Antes de que el cliente sea autenticado sólo se deja
pasar tráfico EAPOL (Extensible Authentication Protocol
over LAN). Una vez el cliente se valida se permite el
tráfico normal.
Servidor RADIUS
33. Remote Access Dial-Up Service (RADIUS)
Características de un Servidor RADIUS
• Protocolo de Autenticación / Autorización / Accounting (AAA) de usuarios
de remotos de forma centralizada
• El Servidor RADIUS almacena los datos de autenticación de los
usuarios/clientes de forma local o en una BBDD externa
• RADIUS accounting permite registrar eventos utilizados con fines
estadísticos y para monitorización en general de la red.
Beneficios de RADIUS
• RADIUS proporciona gestión la autenticación de forma centralizada
(usuarios/passwords)
• Incrementa de forma significativa la seguridad en el acceso a la red.
Cuando un usuario intenta conectarse a un Punto de Acceso (cliente
RADIUS), éste envía la información de autenticación del usuario al
Servidor RADIUS, parando todo tipo de tráfico hasta que el usuario es
validado. La comunicación entre el Punto de Acceso y el Servidor de
RADIUS está encriptada mediante una clave “Shared Secret”.
38. DWL-2100AP Features
Configurable Operation Access Point
Modes WDS with AP
WDS
AP Repeater
AP Client
Connectivity Performance 802.11g wireless standard
Up to 108Mbps (Turbo Mode) Wireless Speed
Wireless connection to Ethernet network/ servers through 10/100Base-Tx
port
AP grouping for Load Balancing
Security/ QoS 64/128/152-bit WEP data encryption
WPA/WPA2 Personal and Enterprise security with TKIP and AES support
User access control MAC address filtering
Wireless Station Partition (STA), 802.1Q VLAN tagging and Multiple SSID
(Up to 8) for network segmentation
WMM (Wi-Fi) Multimedia Certified
Setup/ Management Windows-based AP manager utility
Web-based management with SSL
Remote management using Telnet or SSH
Built-in MIB for SNMP management (SNMPv3)
IP address limit for management access
System log
39. DWL-2200AP Features
Configurable Operation Access Point
Modes WDS with AP
WDS
Connectivity Performance 802.11g wireless standard
802.3af Power over Ethernet
Up to 108Mbps (Turbo Mode) Wireless Speed
Wireless connection to Ethernet network/ servers through 10/100Base-Tx
port
AP grouping for Load Balancing
Security/ QoS 64/128/152-bit WEP data encryption
WPA/WPA2 Personal and Enterprise security with TKIP and AES support
User access control MAC address filtering
Wireless Station Partition (STA), 802.1Q VLAN tagging and Multiple SSID
(Up to 4) for network segmentation
WMM (Wi-Fi) Multimedia Certified
Setup/ Management Windows-based AP manager utility
Web-based management (HTTP)
Remote management using Telnet
Built-in MIB for SNMP management (SNMPv3)
System log
40. DWL-3200AP Features
Configurable Operation Access Point
Modes WDS with AP
WDS
Connectivity Performance 802.11g wireless standard
802.3af Power over Ethernet
Up to 108Mbps (Turbo Mode) Wireless Speed
Security/ QoS 64/128/152-bit WEP data encryption
WPA/WPA2 Personal and Enterprise security with TKIP and AES support
User access control MAC address filtering
Wireless Station Partition (STA), 802.1Q VLAN tagging and Multiple SSID
(Up to 8) for network segmentation
WMM (Wi-Fi) Multimedia Certified
Rogue AP detection
Setup/ Management Windows-based AP manager utility
Web-based management (HTTP and HTTPS)
Remote management using Telnet and SSH
Built-in MIB for SNMP management (SNMPv3)
System log
41. DWL-8200AP Features
Configurable Operation Access Point
Modes WDS with AP
WDS/Bridge (No AP Broadcasting)
Connectivity Performance 802.11a/g wireless standard
Dual-band operation (2.4GHz and 5GHz)
Up to 108Mbps (Turbo Mode) Wireless Speed
Dual Ethernet ports with 802.3x flow control
Security/ QoS 64/128/152-bit WEP data encryption
WPA/WPA2 Personal and Enterprise security with EAP and PSK support
WPA PSK/AES over WDS
User access control MAC address filtering
Wireless Station Partition (STA), 802.1Q VLAN tagging and Multiple SSID
(Up to 16) for network segmentation
WMM (Wi-Fi) Multimedia Certified
Rogue AP detection
Setup/ Management Windows-based AP manager utility
Web-based management (HTTP and HTTPS)
Remote management using Telnet and SSH
Built-in MIB for SNMP management (SNMPv3)
System log
42. DWL-2700AP Features
Configurable Operation Access Point
Modes WDS with AP
WDS
Connectivity Performance 802.11g wireless standard
802.3af Power over Ethernet
Up to 108Mbps (Turbo Mode) Wireless Speed
Dual Ethernet ports with 802.3x flow control
Load Balancing
Wireless connection to Ethernet network/ servers through 10/100Base-Tx
port
Security/ QoS 64/128/152-bit WEP data encryption
WPA/WPA2 Personal and Enterprise security with EAP and PSK support
WPA PSK/AES over WDS
User access control MAC address filtering
Wireless Station Partition (STA), 802.1Q VLAN tagging and (up to 8) Multiple
SSID for network segmentation
WMM (Wi-Fi) Multimedia Certified
Rogue AP detection
Setup/ Management Windows-based AP manager utility
Web-based management (HTTP and HTTPS)
Remote management using Telnet and SSH
Built-in MIB for SNMP management (SNMPv3)
System log
43. DAP-2553 Features
Configurable Operation Access Point
Modes WDS with AP
WDS/Bridge (No AP Broadcasting)
Connectivity Performance 802.11a/g/n wireless standard
Dual-band operation (2.4GHz or 5GHz)
Up to 300Mbps Wireless Speed
Ethernet port with 802.3x flow control
Security/ QoS 64/128/152-bit WEP data encryption
WPA/WPA2 Personal and Enterprise security with EAP and PSK support
WPA PSK/AES over WDS
User access control MAC address filtering
Wireless Station Partition (STA), 802.1Q VLAN tagging and Multiple SSID
(Up to 16) for network segmentation
WMM (Wi-Fi) Multimedia Certified
Rogue AP detection
Setup/ Management Windows-based AP manager utility
Web-based management (HTTP and HTTPS)
Remote management using Telnet and SSH
Built-in MIB for SNMP management (SNMPv3)
System log
44. DAP-2590 Features
Configurable Operation Access Point
Modes WDS with AP
WDS/Bridge (No AP Broadcasting)
Connectivity Performance 802.11a/g/n wireless standard
Dual-band operation (2.4GHz or 5GHz)
Up to 300Mbps Wireless Speed
Ethernet port with 802.3x flow control
Security/ QoS 64/128/152-bit WEP data encryption
WPA/WPA2 Personal and Enterprise security with EAP and PSK support
WPA PSK/AES over WDS
User access control MAC address filtering
Wireless Station Partition (STA), 802.1Q VLAN tagging and Multiple SSID
(Up to 16) for network segmentation
WMM (Wi-Fi) Multimedia Certified
Rogue AP detection
Setup/ Management Windows-based AP manager utility
Web-based management (HTTP and HTTPS)
Remote management using Telnet and SSH
Built-in MIB for SNMP management (SNMPv3)
System log