Seguridad Avanzada en Redes Wireless

SEGURIDAD AVANZADA EN REDES WIRELESS 802.1x

-,00<$57+859,//$18(9$//(5(1$ (63(&,$/,67$(15('(6<&2081,&$&,21(6'('$726
INDICE
Objetivos y fundamentos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Antecedentes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Situacin actual. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Impacto a futuro. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Determinacion de la solucion ptima . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Filtrado de direcciones MAC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ventajas y desventajas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . WEP (Wired Equivalent Privacy). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ventajas y desventajas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ventajas y desventajas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 802.1x. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cuadro comparativo a nivel de soluciones 802.1x/EAP. . . . . . . . . . . . . . . . . . Ventajas y desventajas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Encriptacin WPA. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ventajas y desventajas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Encriptacin WPA2. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cuadro Comparativo de soluciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Diagrama lgico de una red inalmbrica segura. . . . . . . . . . . . . . . . . . . . . . . . Programas de auditoria para redes inalmbricas. . . . . . . . . . . . . . . . . . . . . . . . Configurando una red wireless con seguridad avanzada. . . . . . . . . . . . . . . . . Configurando una estacin wireless mediante asistente. . . . . . . . . . . . . . . . . Instalacin de entidad certificadora (CA) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Instalacin y configuracin de RADIUS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuracin de los clientes wireless con EAP-TLS.. . . . . . . . . . . . . . . . . . . Bibliografa. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 5 6 6 7 8 8 9 12 13 14 15 19 20 21 23 24 25 27 30 31 39 42 46 52 54
2
JaCkSecurity.com
Autor: Jimmy Villanueva Derechos retenidos por el autor
SEGURIDAD AVANZADA REDES WIRELESS OBJETIVOS Identificar amenazas y vulnerabilidades en la seguridad inalmbrica. Implementar los filtrados MAC, WEP, WPA, EAP. Entender adecuadamente las tcnicas de inspeccin del entorno as como las prcticas de seguridad. Realizar comparativas de diversos tipos de mtodos de seguridad as como el anlisis de sus ventajas y desventajas. FUNDAMENTOS
La falta de seguridad en las redes inalmbricas es un problema que a pesar de su gravedad no ha recibido la atencin debida por parte de la mayor parte de administradores de redes y los responsables de la informacin. Lo grave de esta situacin es que muchos administradores de redes parecen no haberse dado cuenta de las implicaciones negativas de poseer puntos de acceso inalmbrico en la red de una empresa. Es muy comn encontrar redes en las cuales el acceso a Internet se protege adecuadamente con un firewall bien configurado, pero al interior de la red existen puntos de acceso inalmbrico totalmente desprotegidos e irradiando seal hacia el exterior del edificio. Cualquier persona que desde el exterior capte la seal del punto de acceso, tendr acceso a la red de la compaa, con la posibilidad de navegar gratis en la Internet, emplear la red de la compaa como punto de ataque hacia otras redes para luego desconectarse y no ser detectado, robar software y/o informacin, introducir software maligno entre muchas otras cosas. Este trabajo busca presentar las tecnologas existentes para mejorar el nivel de seguridad en las redes inalmbricas 802.11 con sus ventajas, desventajas y escenarios de aplicacin as como la descripcin de nuevas tecnologas en desarrollo para este fin.
3
JaCkSecurity.com
PRINCIPALES TEMAS A TRATAR
El problema de la seguridad en redes inalmbricas. Prcticas conocidas para la localizacin de redes inalmbricas. Tipos de ataques producidos hacia las redes inalmbricas. Protocolos de encriptacin y estndares. Fortalezas y debilidades. Criptografas. Problemas de seguridad / Puntos dbiles. Mtodos de autentificacin. Garantizando la seguridad en una red inalmbrica Mtodos y tecnologas. El uso de EAP-TLS Y EAP-TTLS como variante de EAP en certificados de seguridad. La nueva generacin en seguridad wireless: WPA2

4
JaCkSecurity.com
ANTECEDENTES
La mala configuracin de un acceso inalmbrico es desgraciadamente una cosa muy comn. Un estudio publicado en el 2003 por RSA Security Inc. Encontr que 328 puntos de acceso inalmbrico que se detectaron en el centro de Londres, casi las 2 terceras partes no tenan habilitado el cifrado mediante WEP(Wired Equivalent Protocol). Adems cien de estos puntos de acceso estaban divulgando informacin que permita identificar la empresa a la que pertenecan y 208 tenan la configuracin por default. Las redes inalmbricas son inseguras debido a que su medio de transporte es el aire, por tanto, un elemento primordial a tener en cuenta en este tipo de redes a utilizarse es la encriptacin. En general se utiliza WEP, que es un mecanismo de encriptacin y autenticacin especificado en el estndar IEEE 802.11 para garantizar la seguridad de las comunicaciones entre los usuarios y los puntos de acceso. La clave de acceso estndar es de 40 bits, pero existe otra opcional de 128 bits, y se asigna de forma esttica, tanto para los clientes, que comparten todos el mismo conjunto de cuatro claves predeterminadas, como para los puntos de acceso a la red, lo que genera algunas dudas sobre su eficacia. Con el retraso del nuevo estndar 802.11i y con el fin de resolver el tema de la seguridad, se ha lanzado la certificacin WPA, aunque algunos expertos consideran que esta es slo una solucin momentanea que puede llevar a error debido a que puede crear en el usuario una sensacin de seguridad lo cual no es del todo cierta.
5
JaCkSecurity.com
SITUACION ACTUAL Hoy en da hablar de seguridad inalmbrica no es contradictorio. Los productos wireless ya disponen de protocolos, estndares y herramientas para poder garantizar un nivel de seguridad ms que adecuado para nuestra red. La seguridad ha dejado de ser una opcin y se ha convertido en un requisito indispensable para el desarrollo de empresa, organizacin o incluso hogar. Actualmente se vienen configurando una serie de aspectos para mantener la seguridad en una red del tipo wireless como por ejemplo los siguientes: ACL (Access Control List). SSID (Service Set Identifier). WEP (Wired Equivalent Protocol). WPA (Wi-Fi Protected Access).
IMPACTO AL FUTURO
En los prximos aos, millones de usuarios recorrern el planeta con distintos tipos de dispositivos inalmbricos y miles de hackers, intrusos y varios otros tipos de bribones estarn detrs de la informacin que se transmite entre estos. Ms an, un nmero cada vez mayor de administradores de sistema estarn implementando redes basadas en conexiones inalmbricas, creando as oportunidades adicionales para rastreos y otros tipos de conductas nefastas. Segn Conyard Director de Administracin de Productos Inalmbricos de Symantec Corporation indica lo siguiente "El momento para pensar en la tecnologa inalmbrica y las muchas ventajas que puede aportar a su organizacin es ahora sin embargo, los administradores de las tecnologas inalmbricas tambin deben estar conscientes que la seguridad tiene necesariamente que ser la piedra angular de cualquier implementacin inalmbrica, especialmente cuando est en juego la seguridad de la informacin gubernamental. Si la seguridad no es la primera prioridad, los sistemas inalmbricos terminarn siendo su taln de Aquiles Muchos expertos en seguridad informtica creen que los usuarios mviles y los administradores de sistema de redes inalmbricas encontrarn los mismos tipos de amenazas contra sus sistemas que las existentes contra sus contrapartes conectadas por cable.
6
JaCkSecurity.com
DETERMINACION DE LA SOLUCION OPTIMA
Filtrado de direcciones MAC Este mtodo consiste en la creacin de una tabla de datos en cada uno de los puntos de acceso a la red inalmbrica. Dicha tabla contiene las direcciones MAC (Media Access Control) de las tarjetas de red inalmbricas que se pueden conectar al punto de acceso. Como toda tarjeta de posee una direccin MAC nica y por medio de esta se logra autentificar el equipo.
Este mtodo tiene como ventaja su sencillez por lo cual se puede usar para redes caseras o pequeas. Sin embargo posee muchas desventajas que lo hacen imprctico para uso en redes medianas o grandes:
No escala bien, porque cada vez que desee autorizar o dar de baja a un equipo, es necesario editar las tablas de direcciones de todos los puntos de acceso. Despus de cierto numero de equipos o puntos de acceso, la situacin se torna inmanejable. El formato de una direccin MAC no es amigable (normalmente se escriben con 6 bytes en hexadecimal) lo que puede llevar a cometer errores en la manipulacin de las listas y convertirse en un punto en contra desde el punto de vista de la seguridad. Las direcciones MAC viajan sin cifrar por el aire. Un atacante podra capturar tarjetas MAC de tarjetas matriculadas en la red empleando un sniffer, y luego asignarle una de estas direcciones capturadas a la tarjeta de su computadora, empleando programas tales como Airjack o WellenReiter , entre otros. De este modo, el atacante puede hacerse pasar por un cliente valido. En caso de robo de un equipo inalmbrico, el ladrn dispondr de un equipo que la red reconoce como vlido. En el caso que el elemento robado sea un punto de acceso el problema se hace mas serio, porque el punto de acceso contiene toda la tabla de direcciones vlidas en su memoria de configuracin.
Cabe resaltar y sealar que en este tipo de implementacin el cifrado es prcticamente nulo.
7
JaCkSecurity.com
Ventajas y desventajas con filtrado de direcciones MAC
Ventajas: Establece una seguridad media-baja ya que las tarjetas MAC pueden ser clonadas. Gran sencillez para la administracin de redes pequeas o caseras.
Desventajas: No hay forma de asociar una direccin de MAC a un nombre de usuario, por lo que slo se puede autenticar por identidad de equipo y no por identidad de usuario. Las direcciones MAC viajan sin cifrar por el aire y pueden ser capturadas empleando programas. El formato MAC no es amigable permitiendo errores de manipulacin en las listas. No escala bien ya que se tiene que autorizar o dar de baja a un equipo manipulando las tablas de todos los puntos de acceso. En caso de extravo o robo de la tarjeta inalmbrica se compromete la seguridad de toda la red dando un tiempo prolongado hasta tomar las acciones debidas.
Recursos Necesarios
Hardware Access Point Router Tarjeta de red inalmbrica
Software Windows XP/2000/98 Linux
8
JaCkSecurity.com
Wired Equivalent Privacy (WEP) El algoritmo WEP forma parte de la especificacin 802.11 y se diseo con el fin de proteger los datos que se transmiten en una conexin inalmbrica mediante cifrado. WEP opera a nivel 2 del modelo OSI y es soportado por la gran mayora de fabricantes de soluciones inalmbricas.
El algoritmo WEP cifra de la siguiente manera:
Funcionamiento del algoritmo WEP en modalidad de cifrado. 1. A la trama en claro se le computa un cdigo de integridad (Integrity Check Value, ICV) mediante el algoritmo CRC-32. Dicho ICV se concatena con la trama, y es empleado mas tarde por el receptor para comprobar si la trama ha sido alterada durante el transporte.
2. Se escoge una clave secreta compartida entre emisor y receptor, esta clave puede poseer 40 o 128 bits.
3. Si se empleara siempre la misma clave secreta para cifrar todas las tramas, dos tramas en claro iguales produciran tramas cifradas similares. Para evitar esta eventualidad, se concatena la clave secreta con un nmero aleatorio llamado vector de inicializacin (IV) de 24 bits. El IV cambia con cada trama.
4. La concatenacin de la clave secreta y el IV (conocida como semilla) se emplea como entrada de un generador RC4 de nmeros seudo aleatorios. El generador RC4 es capaz de generar una secuencia seudo aleatoria (o cifra de flujo) tan larga como se desee a partir de la semilla.
5. El generador RC4 genera una cifra de flujo del mismo tamao a la trama a cifrar mas 32 bits (para cubrir la longitud de la trama y el ICV).
9
JaCkSecurity.com
6. Se hace un XOR bit por bit de la trama con la secuencia de clave obtenindose como resultado la trama cifrada.
7. El IV y la trama se transmiten juntos.
8. En el receptor se lleva a cabo el procedimiento de descifrado.
9. Se emplea el IV recibido y la clave secreta compartida para generar la semilla que se utiliz en el transmisor.
10. Un generador RC4 produce la cifra de flujo a partir de la semilla. Si la semilla coincide con la empleada en la transmisin, la cifra de flujo tambin ser indicada a la usada en la transmisin.
11. Se efecta un XOR bit por bit de la cifra de flujo y la trama cifrada, obtenindose de esta manera la trama en claro y el ICV.
12. A la trama en claro se le aplica el algoritmo CRC-32 para obtener un segundo ICV que se compara con el recibido.
Si los dos ICV son iguales, la trama se acepta; en caso contrario se rechaza.
Funcionamiento del algoritmo WEP en modalidad de descifrado. El algoritmo WEP resuelve aparentemente el problema del cifrado de datos entre el emisor y el receptor. Sin embargo existen dos situaciones que hacen que WEP no sea seguro en la manera que es empleado en la mayora de aplicaciones:
La mayora de instalaciones emplea WEP con claves de cifrado estticas (se configura una clave en el punto de acceso y no se la cambia nunca o muy de vez en cuando).
10
JaCkSecurity.com
El IV que se utiliza es de longitud insuficiente (24 bits). Dado que cada trama se cifra con un IV diferente, solamente es cuestin de tiempo para que se agote el espacio de 224 IV distintos. A pesar de no ser problemtico en una red casera con bajo trfico, pero en una red que posea alto trfico se puede agotar el espacio de los IV en mas o menos 5 horas. Si el atacante logra conseguir dos tramas con IV idntico, puede efectuar un XOR entre ellas y obtener los textos en claro de ambas tramas mediante un ataque estadstico. Con el texto en claro de una trama y su respectivo texto cifrado se puede obtener la cifra de flujo, conociendo el funcionamiento el funcionamiento del algoritmo RC4 es posible entonces obtener la clave secreta y descifrar toda la conversacin. Web no ofrece servicio de autentificacin. El cliente no puede autentificar a la red ni al contrario, basta con que el equipo mvil y el punto de acceso compartan la clave WEP para que la comunicacin pueda llevarse a cabo. Existen en este momento diversas herramientas gratuitas para romper la clave secreta de enlaces protegidos con WEP. El primer programa que hizo esto posible fue WepCrack, basado en scripts escritos en lenguaje Perl diseados para analizar un archivo e captura de paquetes de un sniffer. Tambin se encuentra la herramienta AirSnort hace lo mismo, pero integra las funciones de sniffer y a la vez permite obtener las claves por lo tanto es mas completo al usar. Airsnort captura paquetes pasivamente y rompe la clave WEP cuando ha capturado suficiente cantidad de datos. Los tipos de ataques a los que es vulnerable son los llamados por fuerza bruta o ataques por diccionario.
11
JaCkSecurity.com
Wired Equivalent Privacy (WEP) Ventajas: Pueden proporcionar niveles de seguridad todava ms altos. La implantacin de stos y de otros mtodos de autorizacin y encriptacin garantizan que la seguridad en las redes WLAN sea igual o incluso superior a la de las tecnologas LAN convencionales. Es uno de los mas empleados ya que viene como medida de seguridad bsica en las tarjetas inalmbricas. Desventajas: Las claves de cifrado estticas son pocas veces cambiadas permitiendo que el atacante obtenga varias veces el mismo texto de cifrado. No ofrece servicio de autentificacin. Existen varias herramientas que pueden permitir romper la clave secreta. Es probable que el IV que se asigna se repita aproximadamente 5 horas en redes de alto trfico. Nuestro ICV viaja en texto plano hasta el momento en que se realiza el cifrado completo, tiempo suficiente como capturar los paquetes necesarios y atacar la red. Recursos Necesarios Hardware Access Point PC con tarjeta de red inalmbrica
Software Windows XP/2000 Linux
12
JaCkSecurity.com
VPN Una red privada virtual (Virtual Prvate Network, VPN) emplea tecnologas de cifrado para crear un canal virtual privado sobre una red de uso pblico. Las VPN resulta especialmente atractivas para proteger redes inalmbricas, debido a que funcionan sobre cualquier tipo de hardware inalmbrico y superan limitaciones de WEP.
Para configurar una red inalmbrica utilizando las VPN debe comenzarse por asumir que la red inalmbrica es insegura. Esto quiere decir que la parte de la red que maneja el acceso inalmbrico debe estar aislada del resto de la red, mediante el uso de una lista de acceso adecuada en un enrutador o agrupando todos los puertos de acceso inalmbrico en una VLAN si se emplea switching. Dicha lista de acceso y/o VLAN solamente debe permitir el acceso al cliente inalmbrico a los servidores de autorizacin y autentificacin de la VPN. Deber permitirse solo cuando este ha sido debidamente autorizado y autentificado.
Los servidores de VPN se encargan de autentificar y autorizar a los clientes inalmbricos y de cifrar todo el trafico desde y hacia dichos clientes. Dado que los datos se cifran en un nivel superior del modelo OSI, no es necesario emplear WEP en este esquema.
Estructura de una VPN con acceso inalmbrico Seguro
13
JaCkSecurity.com
Virtual Private Network (VPN) Ventajas: Permiten crear canales privados sobre una red de uso pblico aumentando la seguridad y privacidad de la informacin. Funcionan sobre cualquier hardware inalmbrico. No emplean WEP en estos tipos de esquema.
Desventajas:
Alto costo de implementacin. Requiere un servidor exclusivo de autentificacin. Posibles errores en el control de listas de acceso.
Recursos Necesarios
Hardware Access Point. PC con tarjeta de red inalmbrica. Switch o enrutador. Servidor de autentificacin y cifrado de datos.
Software Windows XP/2000. Linux.
14
JaCkSecurity.com
802.1x 802.1x es un protocolo de control de acceso y autentificacin basado en la arquitectura cliente servidor que restringe la conexin de equipos no autorizados a una red. El protocolo fue inicialmente creado por la IEEE para uso en redes de rea local alambradas, pero se ha extendido tambin en las redes inalmbricas. Muchos de los puntos de acceso que se fabrican en la actualidad ya son compatibles con 802.1x.
El protocolo 802.1x involucra tres participantes: El cliente que desea conectarse con la red. El servidor de autorizacin y autentificacin que contiene toda la informacin necesaria para saber cuales equipos y/o usuarios estn autorizados para acceder a la red. 802.1x fue diseado para emplear servidores RADIUS(Remote Authentication Dial In User Service) cuya especificacin esta dada en la RFC 2058. Estos servidores fueron creados para autentificar el acceso a usuarios remotos por conexin va telefnica. Luego por ser tan populares se opt por emplearlos en la autentificacin Lan. El autentificador que es el equipo de red (switch, enrutador, servidor de acceso remoto) que recibe la conexin del suplicante. El autentificador acta como intermediario entre el cliente y el servidor de autenticacin y solamente permite el acceso del suplicante a la red cuando el servidor de autenticacin as lo autoriza.
Sistema de autentificacin 802.1x
15
JaCkSecurity.com
La autentificacin del cliente se lleva a cabo mediante el protocolo EAP(Extensible Authentication Protocol) y el servicio RADIUS de la siguiente manera:
La estacin de trabajo enciende el equipo y activa su interfaz e red o logra enlazarse con un punto de acceso. En ese momento la interfaz de red tiene el acceso bloqueado para el trafico normal y lo nico que admite es el trafico EAPOL(EAP over Lan), que es requerido para efectuar la autentificacin. La estacin de trabajo en un mensaje EAPOLStart al autentificador indicando que desea iniciar el proceso de autentificacin. El autentificador solicita a la estacin que se identifique mediante un EAP Request/Identity. La estacin se identifica mediante un EAP Response/Identity. Una vez recibida la informacin de identidad el auntenticador enva un mensaje RADIUSAccess-Challenge, en el cual enva informacin de un desafo que debe ser resuelto correctamente por el cliente para logra el acceso. Dicho desafi puede ser tan sencillo como una contrasea o involucrar una funcin criptogrfica mas elaborada. El autentificador enva el desafi al cliente en un mensaje EAP/Request. El cliente da respuesta al desafi mediante un mensaje EAP/Response (Credentials) dirigido al autenticador. Este ultimo reenva el desafi al servidor en un mensaje RADIUS-Access-Response. Si toda la informacin de autentificacin es correcta el servidor enva al autentificador un mensaje RADIUS Access Accept que autoriza al autentificador a otorgar acceso completo al cliente sobre el puerto, adems de brindar la informacin inicial necesaria para efectuar la conexin a la red. El autenticador envia un mensaje EAP-Success al cliente y abre el puerto de acuerdo con las instrucciones del servidor RADIUS.
16
JaCkSecurity.com
En el caso del acceso inalmbrico, el servidor RADIUS despacha en el mensaje RADIUS-Access-Accept un juego de claves WEP dinmicas, que se usarn para cifrar la conexin entre el cliente y el punto de acceso. El servidor RADIUS se encarga de cambiar esta clave dinmica peridicamente para evitar obtenciones de clave. Existen varias variantes del protocolo EAP segn la modalidad de autenticacin que se emplee. Se puede hablar de dos grupos de variantes: las que emplean certificados de seguridad y las que utilizan contraseas. Las variantes de EAP que emplean certificados de seguridad son las siguientes: EAP-TLS: Requiere de instalacin de certificados en los clientes y en el servidor. Proporciona autenticacin mutua fuerte (es decir, el servidor autentica al cliente y viceversa) y soporta el uso de claves dinmicas para WEP. La sesin de autenticacin entre el cliente y el autenticador se cifra empleando el protocolo TLS (Transparent Layer substrate). EAP-TTLS: Desarrollada por Funk Software y Certicom. Proporciona servicios similares a EAP-TLS, con la diferencia de que requiere solamente la instalacin de un certificado en el servidor. Esto garantiza la autenticacin fuerte del servidor por parte del cliente; la autenticacin del cliente por parte del servidor se efecta una vez que se establece la sesin TLS, utilizando otro mtodo tal como PAP, CHAP, MS-CHAP MS-CHAP v2. PEAP: Desarrollado por Microsoft, Cisco y RSA Security. Funciona de manera parecida a EAP-TTLS, en el sentido de que solamente requiere de certificado de seguridad en el servidor. Provee proteccin a mtodos ms antiguos de EAP, mediante el establecimiento de un tnel seguro TLS entre el cliente y el autenticador.
17
JaCkSecurity.com
El empleo de certificados permite una autenticacin fuerte entre cliente y servidor, sin embargo posee tambin varias desventajas: La administracin de los certificados de seguridad puede ser costosa y complicada, especialmente en los esquemas donde se necesitan certificados en los clientes y en el servidor. Es necesario comprar los certificados a una autoridad de certificacin (CA) conocida, o montar una CA propia. El dilogo de autenticacin es largo. Esto ocasiona que el proceso sea algo demorado, siendo especialmente molesto para usuarios que tienen que reautenticarse con mucha frecuencia (por ejemplo, usuarios en movimiento que cambien de un punto de acceso a otro). La manipulacin del certificado puede ser engorrosa para el usuario. En muchos casos se elige instalar el certificado en la terminal del usuario, con lo cual, si la terminal es robada y el certificado es el nico nivel de seguridad que se posee, la seguridad de la red estara en riesgo. Otra solucin sera llevar el certificado en una tarjeta inteligente lo que obligara a instalar hardware adicional.
Las variantes EAP que utilizan contraseas son las siguientes:
EAP-MD5: Emplea un nombre de usuario y una contrasea para la autenticacin. La contrasea se transmite cifrada con el algoritmo MD5. Su gran inconveniente consiste en el bajo nivel de seguridad que maneja, ya que es susceptible a ataques de diccionario (un atacante puede ensayar a cifrar mltiples contraseas con MD5 hasta que encuentre una cuyo texto cifrado coincida con la contrasea cifrada capturada anteriormente). Adems, el cliente no tiene manera de autenticar al servidor (no se podra garantizar que el cliente se est conectando a la red adecuada), y el esquema no es capaz de generar claves WEP dinmicas. Por estos problemas, EAP-MD5 ha cado en desuso. LEAP: Esta variante es propietaria de Cisco. Emplea un esquema de nombre de usuario y contrasea, y soporta claves dinmicas WEP. Al ser una tecnologa propietaria, exige que todos los puntos de acceso sean marca Cisco, y que el servidor RADIUS sea compatible con LEAP.
18
JaCkSecurity.com
CUADRO COMPARATIVO A NIVEL DE SOLUCIONES 802.1X/EAP
19
JaCkSecurity.com
802.1x Ventajas: Se basa en un servidor de autenticacin. El RADIUS realizara el juego de claves WEP. Existen protocolos de autenticacin mutua entre cliente y servidor.
Desventajas:
El empleo de certificados puede ser costoso. Generalmente es empleado para empresas grandes por su complejidad. La manipulacin de los certificados lo hace engorrosa Existen protocolos que son dbiles frente a ataques de fuerza bruta o de diccionario.
Recursos Necesarios Hardware Servidor de autenticacin RADIUS(Red Corporativa) Access Point PC con tarjeta de red inalmbrica
20
JaCkSecurity.com
Encriptacin WPA WPA (Wi-Fi Protected Access, acceso protegido Wi-Fi) es la respuesta de la asociacin de empresas Wi-Fi a la seguridad que demandan los usuarios y que WEP no puede proporcionar.
El IEEE tiene casi terminados los trabajos de un nuevo estndar para reemplazar a WEP, que se publicarn en la norma IEEE 802.11i a mediados de 2004. Debido a la tardanza (WEP es de 1999 y las principales vulnerabilidades de seguridad se encontraron en 2001), Wi-Fi decidi, en colaboracin con el IEEE, tomar aquellas partes del futuro estndar que ya estaban suficientemente maduras y publicar as WPA. WPA es, por tanto, un subconjunto de lo que ser IEEE 802.11i. WPA (2003) se est ofreciendo en los dispositivos actuales.
WPA soluciona todas las debilidades conocidas de WEP y se considera suficientemente seguro. Puede ocurrir incluso que usuarios que utilizan WPA no vean necesidad de cambiar a IEEE 802.11i cuando est disponible.
Caractersticas de WPA Las principales caractersticas de WPA son la distribucin dinmica de claves, utilizacin ms robusta del vector de inicializacin (mejora de la confidencialidad) y nuevas tcnicas de integridad y autentificacin.
WPA incluye las siguientes tecnologas:
IEEE 802.1X. Estndar del IEEE de 2001 para proporcionar un control de acceso en redes basadas en puertos. El concepto de puerto, en un principio pensado para las ramas de un switch, tambin se puede aplicar a las distintas conexiones de un punto de acceso con las estaciones. Las estaciones tratarn entonces de conectarse a un puerto del punto de acceso. El punto de acceso mantendr el puerto bloqueado hasta que el usuario se autentifique. Con este fin se utiliza el protocolo EAP y un servidor AAA (Authentication Authorization Accounting) como puede ser RADIUS (Remote Authentication Dial-In User Service). Si la autorizacin es positiva, entonces el punto de acceso abre el puerto. El servidor RADIUS puede contener polticas para ese usuario concreto que podra aplicar el punto de acceso (como priorizar ciertos trficos o descartar otros).
21
JaCkSecurity.com
EAP es el protocolo de autentificacin extensible para llevar a cabo las tareas de autentificacin, autorizacin y contabilidad. EAP fue diseado originalmente para el protocolo PPP (Point-to-Point Protocol), aunque WPA lo utiliza entre la estacin y el servidor RADIUS. Esta forma de encapsulacin de EAP est definida en el estndar 802.1X bajo el nombre de EAPOL (EAP over LAN). TKIP (Temporal Key Integrity Protocol). Segn indica Wi-Fi, es el protocolo encargado de la generacin de la clave para cada trama MIC (Message Integrity Code) o Michael. Cdigo que verifica la integridad de los datos de las tramas.
Mejoras de WPA respecto a WEP WPA soluciona la debilidad del vector de inicializacin (IV) de WEP mediante la inclusin de vectores del doble de longitud (48 bits) y especificando reglas de secuencia que los fabricantes deben implementar. Los 48 bits permiten generar 2 elevado a 48 combinaciones de claves diferentes, lo cual parece un nmero suficientemente elevado como para tener duplicados. El algoritmo utilizado por WPA sigue siendo RC4. La secuencia de los IV, conocida por ambos extremos de la comunicacin, se puede utilizar para evitar ataques de repeticin de tramas (replay).
Para la integridad de los mensajes (ICV), se ha eliminado el CRC-32 que se demostr inservible en WEP y se ha incluido un nuevo cdigo denominado MIC.
Las claves ahora son generadas dinmicamente y distribuidas de forma automtica por lo que se evita tener que modificarlas manualmente en cada uno de los elementos de red cada cierto tiempo, como ocurra en WEP.
Para la autentificacin, se sustituye el mecanismo de autentificacin de secreto compartido de WEP as como la posibilidad de verificar las direcciones MAC de las estaciones por la terna 802.1X / EAP / RADIUS. Su inconveniente es que requiere de una mayor infraestructura: un servidor RADIUS funcionando en la red, aunque tambin podra utilizarse un punto de acceso con esta funcionalidad.
22
JaCkSecurity.com
Modos de funcionamiento de WPA WPA puede funcionar en dos modos:
Con servidor AAA, RADIUS normalmente. Este es el modo indicado para las empresas. Requiere un servidor configurado para desempear las tareas de autentificacin, autorizacin y contabilidad. Con clave inicial compartida (PSK). Este modo est orientado para usuarios domsticos o pequeas redes. No requiere un servidor AAA, sino que se utiliza una clave compartida en las estaciones y punto de acceso. Al contrario que en WEP, esta clave slo se utiliza como punto de inicio para la autentificacin, pero no para el cifrado de los datos.
WPA Ventajas:
Busca subsanar los problemas de la encriptacin WEP. Establece nuevos protocolos para cambiar clave compartida entre AP y cliente cada cierto tiempo. Permite trabajar en dos modalidad casera y corporativa.
Desventajas:
No todas las tarjetas inalmbricas son compatibles con este estndar. Su manejo aun no es altamente conocido. WPA se considera una solucin provisional y no cumple la norma IEEE 802.11i.
Recursos Necesarios Hardware Servidor de autenticacin RADIUS(Red Corporativa) Access Point PC con tarjeta de red inalmbrica compatible con el protocolo WPA
23
JaCkSecurity.com
WPA2 (IEEE 802.11i)
802.11i es el nuevo estndar del IEEE para proporcionar seguridad en redes WLAN. Se espera que est concluido todo el proceso de estandarizacin para mediados de 2004. Wi-Fi est haciendo una implementacin completa del estndar en la especificacin WPA2. Sus especificaciones no son pblicas por lo que la cantidad de informacin disponible en estos momentos es realmente escasa. WPA2 incluye el nuevo algoritmo de cifrado AES (Advanced Encryption Standard), desarrollado por el NIS. Se trata de un algoritmo de cifrado de bloque (RC4 es de flujo) con claves de 128 bits. Requerir un hardware potente para realizar sus algoritmos. Este aspecto es importante puesto que significa que dispositivos antiguos sin suficientes capacidades de proceso no podrn incorporar WPA2.
Para el aseguramiento de la integridad y autenticidad de los mensajes, WPA2 utiliza CCMP (Counter-Mode / Cipher Block Chaining / Message Authentication Code Protocol).
Otra mejora respecto a WPA es que WPA2 incluir soporte no slo para el modo BSS sino tambin para el modo IBSS (redes ad-hoc). En desarrollo
Posibles Recursos Necesarios
Hardware Servidor de autenticacin RADIUS Access Point (autenticador) PC con tarjeta de red inalmbrica compatible con WPA2
24
JaCkSecurity.com
CUADRO COMPARATIVO DE LAS DIFERENTES SOLUCIONES
FILTRADO MAC
Puede ser implementado en sistemas operativos: Windows 98/ME/2000/XP y Linux. Objetivo: Se evita la entrada de trfico no deseado y los accesos no autorizados. Capa en modelo OSI: Trabaja en capa de Enlace.
ENCRIPTACIN WEP
Puede ser implementado en sistemas operativos: Windows 98/ME/2000/XP y Linux. Capa en modelo OSI: Trabaja en capa fsico y enlace. Bits de seguridad: 40-bit WEP,128 bit, 512 bits.
IMPLEMENTACION VPN
Puede ser implementado en sistemas operativos:: Windows 98/ME/2000/XP y Linux. Capa en modelo OSI: Trabaja en capa de enlace. Genera trafico por: PPTP, IPSec, L2TP, direccin MAC
ESTANDAR WPA
Sistemas operativos: Windows 98/ME/2000/XP y Linux. Utiliza los protocolos: EAP-TLS, PEAP, EAP-TTLS para autentificar al usuario. Mtodo de trabajo: Claves dinmicas
ESTANDAR WPA2
Sistemas operativos: Windows 98/ME/2000/XP y Linux. Mtodo de Autenticacin: Utiliza el estndar de encriptacin AES.
25
JaCkSecurity.com
DIAGRAMA LOGICO DE UNA RED INALAMBRICA SEGURA:
Servidor de Autentificacin y Cifrado S.O: Windows 2000 Server Cliente de red Corporativa S.O: Windows Xp IP: 192.168.10.12
Router Punto de Acceso Switch Red Corporativa Cliente de red Corporativa S.O: Windows Xp IP: 192.168.10.11
Cliente Inalmbrico S.O: Windows Xp SP2 IP: 192.168.10.13 Cliente Inalmbrico S.O: Windows Xp SP2 IP: 192.168.10.14
Atacante S.O: Windows Xp Sp2 o Linux Red Hat
Cliente de red Corporativa S.O: Windows Xp IP: 192.168.10.10
****El atacante no podr tener acceso a la red de la empresa debido a que deber estar registrado en el ADS y deber contar con un certificado digital que le permita la validacin del servidor Radius.
26
JaCkSecurity.com
Requerimientos para la implementacin
Computadoras Clientes:
2 Computadoras Pentium IV Memoria RAM 128Mb Windows XP con Service Pack 2 Tarjeta de red inalmbrica
Servidor de autentificacin:
Pentium IV Memoria RAM 256Mb Windows 2003 Server Tarjeta de red
Computadora atacante (demostracin):
Pentium IV Memoria RAM 128Mb Windows XP con Service Pack 2 o Linux con Kernel 2.4 Tarjeta de red inalmbrica Programas de auditoria shareware y freeware para redes Wireless
EQUIPOS DE COMUNICACIN
Access Point con compatibilidad 802.1x Tarjeta de red inalmbrica con compatibilidad 802.1x
27
JaCkSecurity.com
Tabla de especificaciones tcnicas Access Point

(VSHFLILFDFLRQHV
,(((J ,(((E ,((( ,(((~
(VWiQGDUHV
0ESV 0ESV 0ESV 0ESV 0ESV

7DULIDVZLUHOHVV FRQUHWUDVR DXWRPiWLFR
0ESV 0ESV 0ESV 0ESV 0ESV 0ESV 0ESV
;
6HJXULGDG
ELW:(3 :3$DFFHVRSURWHJLGR:L:L)L:(3FRQ7.,30,&,9 H[WHQVLyQDXWHQWLILFDFLyQGRPLQDQWHFRPSDUWLGD
7HFQRORJtD'HOD0RGXODFLyQ
0XOWLSOH[DFLyQ'H'LYLVLyQ'H)UHFXHQFLD2UWKRJRQDO 2)'0
0ESV2)'0(O3RUG%P 0ESV2)'0(O3RUG%P 0ESV2)'0(O3RUG%P 0ESV2)'0(O3RUG%P 0ESV2)'0(O3RUG%P 0ESV2)'0(O3RUG%P

6HQVLELOLGDG'HO5HFHSWRU
0ESV&&.(O3RUG%P 0ESV2)'0(O3RUG%P 0ESV2)'0(O3RUG%P 0ESV&&.(O3RUG%P 0ESV436.(O3RUG%P 0ESV%36.(O3RUG%P
3373
3DVR7KURXJK0XOWL6HVVLRQVGH931
/73 ,36HF
7HOD%DVDGR,QWHUQHW([SORUHUYRPiVDGHODQWH
*HUHQFLD'H'LVSRVLWLYR
1HWVFDSH1DYLJDWRU9RPiVDGHODQWHR-DYDHQEURZVHUV 6HUYLGRU\FOLHQWHGH'+&3
28
JaCkSecurity.com
1$&,21$/FRQHOSDVRGH931FRQYHUVLyQGHGLUHFFLyQGH UHG )LOWUDFLyQGHO0$&

&DUDFWHUtVWLFDV$YDQ]DGDV'HO )LUHZDOO
)LOWUDFLyQGHO,3 )LOWUDFLyQGHO85/ %ORTXHR'HO'RPLQLR (OSURJUDPDU
*DPD6LQKLORV'HOD6HxDO
'HQWUR+DVWDSLHVPHWURV $ODLUHOLEUH+DVWDSLHVPHWURV
*DPD'H)UHFXHQFLD6LQKLORV
*+]D*+]
/D5DGLR7UDQVPLWH(QHUJtD
ORVG%PGHOG%P
7LSR'HOD$QWHQD([WHUQD
6RORUHYpVGHVPRQWDEOH60$
7HPSHUDWXUD'H)XQFLRQDPLHQWR
)D)&D&
+XPHGDG
Pi[LPRGHOQRQFRQGHQVLQJ
6HJXULGDG<(PLVLRQHV
)&&
(QHUJtD (VWDGR
/('
:DQ :/$1&RQH[LyQ6LQKLORV /DQ
/
'LPHQVLRQHV
SXOJDGDVPP SXOJDGDVPP SXOJDGDVPP
: +
3HVR
OEVJ
29
JaCkSecurity.com
Programas de auditoria para redes inalmbricas:
NetStumbler v4.0:
Descripcin: Sniffer de redes inalmbricas. Permite identificar una seal 802.11b y registrar la direccin fsica del punto de acceso (MAC), el nombre de la red, SSID, fabricante, canal en el cual el punto de acceso est escuchando, si realmente tiene habilitado WEP, calidad de seal, relacin de seal-ruido. Adicionalmente presenta la calidad de la seal, siendo mostrada en tiempo real.
Aire v1.0
Descripcin: Software que Al encontrar un punto de acceso inalmbrico, despliega la informacin perteneciente al (timestamp, ESSID, el cauce, el modo, etc) y tiene varias caractersticas tiles como un metro de poder de despliegue hacia otro access point dentro del rango.
AiroPeek NX (Demo)
Descripcin: Analizador experto en tiempo real de WildPackets enfocado a las redes WLAN. AiroPeek NX combina las capacidades del anlisis experto de Wild Packets con la tecnologa del anlisis de WLAN. Permite administracin de cada segmento de su red extendida con capacidades de gran alcance con un diagnstico especfico de la norma 802.11.
Herramienta de red inalmbrica que permite desplegar, asegurar y localizar problemas en su WLAN. Todas las estadsticas del canal WLAN en AiroPeek NX tiene representacin grfica y capacidad de alarmar a consecuencia de eventos. Las caractersticas de representacin grfico en AiroPeek NX permiten recolectar, desplegar, salvar y el analizar cualquier canal, nodo, protocolo, segmento de red o estadstica disponible sobre un perodo del tiempo especificado por el usuario.
30
JaCkSecurity.com
CONFIGURANDO UNA RED WIRELESS CON SEGURIDAD AVANZADA
Ir hacia Mis sitios de red y luego click secundario en las propiedades de Conexiones de red inalmbrica:
Revisar que la opcin Cliente para redes Microsoft este activada as como el Compartir impresoras y archivos para redes Microsoft. Ingresar a la opcin Configurar
31
JaCkSecurity.com
Luego en las Opciones Avanzadas establecer el valor de Modo de Infraestructura como S. Luego establecer el Nombre del cliente de la red wireless y Aceptar.
32
JaCkSecurity.com
En las propiedades de conexiones de red establecer a Usar Windows para establecer configuracin de red inalmbrica colocando un check.
33
JaCkSecurity.com
Realizar doble clic en Mis sitios de red y clic secundario en las propiedades de la red inalmbrica, en la pestaa Asociacin establecer el SSID (Service Set Identifier).
Establecer el cifrado de datos WEP para utilizar este tipo de encriptacin, es muy recomendable si no se tiene dispositivos compatibles con la tecnologa WPA. Cuando se escriben las claves, se dispone de dos opciones determinadas por el nmero de caracteres. La primera pregunta por los caracteres normales ASCII (0-9 y A-Z), 5 o 13 caracteres en el caso de una clave WEP o un nmero comprendido entre 8 y 63 en el caso de una WPA.
La otra opcin disponible consiste en utilizar la nomenclatura hexadecimal (0-9 y A-F). En este caso tendremos que escribir 10 26 caracteres en el caso de la clave WEP (10 para la encriptacin a 64 bits, 26 para que sea a 128 bits) o 64 para una WPA.
34
JaCkSecurity.com
Finalmente realizar clic en el botn Ver redes inalmbricas ubicado en las Propiedades de Conexiones de red inalmbricas.
Imagen de Conexin establecida:
35
JaCkSecurity.com
Configurando cliente wireless mediante el Asistente para configuracin de red Inalmbrica Hacer clic en el botn Siguiente:
36
JaCkSecurity.com
Escoger la opcin Configurar una red manualmente si no se dispone de una unidad flash USB.
Luego hacer clic en el botn Siguiente.
37
JaCkSecurity.com
Estableciendo el nombre SSID y asignando una clave de red automticamente.
38
JaCkSecurity.com
Finalizando la configuracin del Asistente para configuracin de red inalmbrica:
Hacer clic en el botn Finalizar.
39
JaCkSecurity.com
En la ventana de conexiones de red inalmbricas realizar clic en el botn Actualizar lista de redes.
40
JaCkSecurity.com
Observar que la red configurada aparece en estado de Conectado.
41
JaCkSecurity.com
Instalacin de entidad certificadora (CA) Para la instalacin del CA debemos tener un servidor con Windows 2003 Server, si es un controlador de dominio es mejor. Instalar la entidad certificadora, a travs del panel de control mediante Componentes de Windows opcin Certificate Services.
Confirmar que se desea instalar el Servicio de certificado y que no se podr realizar los cambios de nombre ni retirarse del dominio establecido. Aceptar alerta.
42
JaCkSecurity.com
La instalacin de un CA es necesaria para la autentificacin de los usuarios con el servicio RADIUS. Al ser el primer CA en el dominio, escoger la opcin de ser una Entidad emisora raz Independiente.
43
JaCkSecurity.com
Ingresar la informacin de identificacin del CA, esta informacin aparecer en el certificado digital que se bajar posteriormente el Servidor IAS y a los clientes XP.
44
JaCkSecurity.com
Mantener el almacenaje de datos de configuracin establecido por Windows 2003 Server, hacer clic en Siguiente.
Aceptar notificacin que indica que se habilitara lectura de cdigo ASP y finalizar el asistente de instalacin.
45
JaCkSecurity.com
Instalacin y configuracin de RADIUS Ingresar a Componentes de Windows e instalar en la opcin Servicios de red el componente Servicio de Autenticacin de Internet hacer clic en siguiente e instalara el IAS.
Finalizar el Asistente para instalacin de componentes Windows.
46
JaCkSecurity.com
Luego de instalado el servicio IAS se deber configurar para que se establezca la comunicacin con los Access Point. Antes se deber descargar el certificado digital desde el CA. El certificado se descarga desde el servidor CA, hasta el equipo donde tenemos instalado el servicio IAS, de la siguiente manera. Accediendo a la web del servidor: http://servidor/certsrv
47
JaCkSecurity.com
Luego Siguiente y solicitar certificado:
La instalacin del certificado en el Servidor IAS solo se hace una sola vez, despus en cada cliente XP se debe repetir el mismo proceso de instalacin del certificado.
Una vez instalado el certificado digital en el servidor IAS, ahora se configura para que interactu con nuestro access point.
48
JaCkSecurity.com
Configurar un nuevo cliente en este caso ser nuestro access point. En el IAS dar clic derecho en la carpeta clientes y seleccionar nuevo cliente.
Seleccionar nuestro medio de comunicacin ventaja que trae consigo Windows 2003 Server.
49
JaCkSecurity.com
El protocolo ser RADIUS y nuestro Shared secret ser indicado en este panel.
Estableciendo nombre y agregando Poltica:
50
JaCkSecurity.com
Luego establecer las condiciones y hacer clic en Siguiente y finalizar con Ok.
En la pestaa Autenticacin realizar clic al botn Configure:
51
JaCkSecurity.com
Se debe apreciar la siguiente ventana confirmando la correcta instalacin del servidor de autenticacin y el orden de las polticas deben ser 1 para "Remote Access Policy".
Configurando las cuentas de los clientes: Los clientes pueden ser colocados en un mismo grupo de tal manera que puedan ser mas fciles de administrar una vez ya creados.
52
JaCkSecurity.com
En este caso se ha agrupado a los clientes inalmbricos en el grupo Usuarios inalmbricos.
53
JaCkSecurity.com
Configurando Access Point Teniendo instalado el Servidor IAS y configurado cada uno de los clientes Access Point, recin se podr configurar el Access Point.
Ingresar al administrador del dispositivo, luego ingresar el SSID, seguridad 802.1x, la Ip de nuestro servidor radius y el puerto que se utilizara para su comunicacin.
Actualmente la configuracin estara lista para que funcione en la red inalmbrica, la verificacin de la conexin es por medio del Visor de Eventos del Servidor IAS.
En este momento hemos finalizado la implementacin de una red inalmbrica con seguridad avanzada basada en EAP-TLS.
54
JaCkSecurity.com
%,%/,2*5$)$
http://www.microsoft.com/latam/technet/seguridad/articulos.asp http://www.freebsd.org/cgi/man.cgi?query=bridge&sektion=4 http://oriol.joor.net/blog/?itemid=1574 http://terrassawireless.net/modules.php?op=modload&name=News&file=article&sid=51 1&mode=thread&order=0&thold=0 http://www.monografias.com/trabajos14/segur-wlan/segur-wlan.shtml#intro http://www.wifi.com.ar/hotspot.html http://www.adslayuda.com/C54APRA+file-12.html http://www.adslayuda.com http://www.cisco.com/global/ni/ps/cp/wrls/cac/index.shtml#admonred http://www.witopia.net/10things.html http://www.virusprot.com/Charwifi4.html http://jiwire.com/hotspot-locator-laptop.htm http://www.microsoft.com/latam/windowsxp/pro/biblioteca/planning/wirelessan/solutions .asp http://www.pcwla.com/pcwla2.nsf/0/2BCB67A15D04D33000256E83006ABC79 http://www.gui.uva.es/~laertes/nuke/ http://corky.net/2600/wireless-networks/wi-fi-software-tools.shtml#wi-fi-software-toolsfor-windows http://www.pdaexpertos.com/Tutoriales/Comunicaciones/Seguridad_en_redes_inalamb ricas_WiFi.shtml http://airsnort.shmoo.com/windows.html http://www.geocities.com/mpss1230/Radius.html http://www.mailxmail.com/curso/informatica/wifi/capitulo1.htm
http://www.microsoft.com/windowsxp/expertzone/newsgroups/reader.mspx?&gu id=&sloc=enus&dg=microsoft.public.windows.networking.wireless&p=1&tid=6f6dc290-818a48c6-ae05-d06ff12304f8
www.icesi.edu.co/.../publicaciones/contenidos/ sistemas_telematica/3/jamdridseguridad_redes_inalambricas.pdf
55
JaCkSecurity.com
*/26$5,27e&1,&2
ACL. Significa Access Control List, y es el mtodo mediante el cual slo se permite unirse a la red a aquellas direcciones MAC que estn dadas de alta en una lista de direcciones permitidas. CNAC. Significa Closed Network Access Control. Impide que los dispositivos que quieran unirse a la red lo hagan si no conocen previamente el SSID de la misma. Redes CDMA (estndar de telefona mvil estadounidense) y GSM (estndar de telefona mvil europeo y asitico). Son los estndares que usa la telefona mvil empleados alrededor de todo el mundo en sus diferentes variantes. 802.16 son redes que pretenden complementar a las anteriores estableciendo redes inalmbricas metropolitanas (MAN) en la banda de entre los 2 y los 11 Ghz. Estas redes no entran dentro del mbito del presente documento. 802.11b: es la segunda aproximacin de las WN. Alcanza una velocidad de 11 Mbps estandarizada por el IEEE y una velocidad de 22 Mbps por el desdoblamiento de la velocidad que ofrecen algunos fabricantes pero sin la estandarizacin (a da de hoy) del IEEE. Opera dentro de la frecuencia de los 2'4 Ghz. Inicialmente se soportan hasta 32 usuarios por PA. Adolece de varios de los inconvenientes que tiene el 802.11a como son la falta de QoS, adems de otros problemas como la masificacin de la frecuencia en la que transmite y recibe, pues en los 2'4 Ghz funcionan telfonos inalmbricos, teclados y ratones inalmbricos, hornos microondas, dispositivos Bluetooth, lo cual puede provocar interferencias. En el lado positivo est su rpida adopcin por parte de una gran comunidad de usuarios debido principalmente a unos muy bajos precios de sus dispositivos, la gratuidad de la banda que usa y su disponibilidad gratuita alrededor de todo el mundo. 802.11g: Es la tercera aproximacin a las WN, y se basa en la compatibilidad con los dispositivos 802.11b y en el ofrecer unas velocidades de hasta 54 Mbps. A 05/03/2003 se encuentra en estado de borrador en el IEEE, se prev que se estandarice para mediados de 2003. Funciona dentro de la frecuencia de 2'4 Ghz. Dispone de los mismos inconvenientes que el 802.11b adems de los que pueden aparecer por la an no estandarizacin del mismo por parte del IEEE (puede haber incompatibilidades con dispositivos de diferentes fabricantes). Las ventajas de las que dispone son las mismas que las del 802.11b adems de su mayor velocidad. Dispositivos "Tarjetas de red", o TR, que sern los que tengamos integrados en nuestro ordenador, o bien conectados mediante un conector PCMCIA USB si estamos en un porttil o en un slot PCI si estamos en un ordenador de sobremesa. SUBSTITUYEN a las tarjetas de red Ethernet o Token Ring a las que estbamos acostumbrados. Recibirn y enviarn la informacin hacia su destino desde el ordenador en el que estemos trabajando. La velocidad de transmisin / recepcin de los mismos es variable dependiendo del fabricante y de los estndares que cumpla. Dispositivos "Puntos de Acceso", PA, los cuales sern los encargados de recibir la informacin de los diferentes TR de los que conste la red bien para su centralizacin bien para su encaminamiento. COMPLEMENTAN a los Hubs, Switches o Routers, si bien los PAs pueden substituir a los ltimos pues muchos de ellos ya incorporan su funcionalidad. La velocidad de transmisin / recepcin de los mismos es variable, las
56
JaCkSecurity.com
diferentes velocidades que alcanzan varan segn el fabricante y los estndares que cumpla. - OSA vs. SKA. OSA (Open System Authentication), cualquier interlocutor es vlido para establecer una comunicacin con el AP. SKA (Shared Key Authentication) es el mtodo mediante el cual ambos dispositivos disponen de la misma clave de encriptacin, entonces, el dispositivo TR pide al AP autenticarse. El AP le enva una trama al TR, que si ste a su vez devuelve correctamente codificada, le permite establecer comunicacin. - SSID. Significa Service Set IDentifier, y es una cadena de 32 caracteres mximo que identifica a cada red inalmbrica. Los TR(s) deben conocer el nombre de la red para poder unirse a ella. WEP. Significa Wired Equivalet Privacy, y fue introducido para intentar asegurar la autenticacin, proteccin de las tramas y confidencialidad en la comunicacin entre los dispositivos inalmbricos. Puede ser WEP64 (40 bits reales) WEP128 (104 bits reales) y algunas marcas estn introduciendo el WEP256. Es INSEGURO debido a su arquitectura, por lo que el aumentar los tamaos de las claves de encriptacin slo aumenta el tiempo necesario para romperlo.
Jimmy Arthur Villanueva Llerena
americanbios@hotmail.com 57
JaCkSecurity.com

Seguridad Avanzada en Redes Wireless

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Seguridad Avanzada en Redes Wireless

Cargado por

Copyright:

Formatos disponibles

SEGURIDAD AVANZADA EN REDES WIRELESS 802.1x

PRINCIPALES TEMAS A TRATAR

DETERMINACION DE LA SOLUCION OPTIMA

Ventajas y desventajas con filtrado de direcciones MAC

Hardware Access Point Router Tarjeta de red inalmbrica

Software Windows XP/2000/98 Linux

El algoritmo WEP cifra de la siguiente manera:

7. El IV y la trama se transmiten juntos.

8. En el receptor se lleva a cabo el procedimiento de descifrado.

Software Windows XP/2000 Linux

Estructura de una VPN con acceso inalmbrico Seguro

Software Windows XP/2000. Linux.

Sistema de autentificacin 802.1x

Las variantes EAP que utilizan contraseas son las siguientes:

CUADRO COMPARATIVO A NIVEL DE SOLUCIONES 802.1X/EAP

Software Windows XP/2000 Linux

WPA incluye las siguientes tecnologas:

Modos de funcionamiento de WPA WPA puede funcionar en dos modos:

Software Windows XP/2000 Linux

WPA2 (IEEE 802.11i)

Posibles Recursos Necesarios

Software Windows XP/2000 Linux

CUADRO COMPARATIVO DE LAS DIFERENTES SOLUCIONES

DIAGRAMA LOGICO DE UNA RED INALAMBRICA SEGURA:

Atacante S.O: Windows Xp Sp2 o Linux Red Hat

Cliente de red Corporativa S.O: Windows Xp IP: 192.168.10.10

Requerimientos para la implementacin

Pentium IV Memoria RAM 256Mb Windows 2003 Server Tarjeta de red

Computadora atacante (demostracin):

Tabla de especificaciones tcnicas Access Point

0ESV 0ESV 0ESV 0ESV 0ESV

0ESV 0ESV 0ESV 0ESV 0ESV 0ESV 0ESV

ELW:(3 :3$DFFHVRSURWHJLGR:L:L)L :(3FRQ7.,30,&,9 H[WHQVLyQDXWHQWLILFDFLyQGRPLQDQWHFRPSDUWLGD

0ESV2)'0(O3RUG%P 0ESV2)'0(O3RUG%P 0ESV2)'0(O3RUG%P 0ESV2)'0(O3RUG%P 0ESV2)'0(O3RUG%P 0ESV2)'0(O3RUG%P

0ESV&&.(O3RUG%P 0ESV2)'0(O3RUG%P 0ESV2)'0(O3RUG%P 0ESV&&.(O3RUG%P 0ESV436.(O3RUG%P 0ESV%36.(O3RUG%P

1$&,21$/FRQHOSDVRGH931 FRQYHUVLyQGHGLUHFFLyQGH UHG )LOWUDFLyQGHO0$&

)LOWUDFLyQGHO,3 )LOWUDFLyQGHO85/ %ORTXHR'HO'RPLQLR (OSURJUDPDU

'HQWUR+DVWDSLHV PHWURV $ODLUHOLEUH+DVWDSLHV PHWURV

:DQ :/$1 &RQH[LyQ6LQKLORV /DQ 

SXOJDGDV PP SXOJDGDV PP SXOJDGDV PP

Programas de auditoria para redes inalmbricas:

CONFIGURANDO UNA RED WIRELESS CON SEGURIDAD AVANZADA

Imagen de Conexin establecida:

Luego hacer clic en el botn Siguiente.

Estableciendo el nombre SSID y asignando una clave de red automticamente.

Finalizando la configuracin del Asistente para configuracin de red inalmbrica:

Hacer clic en el botn Finalizar.

Observar que la red configurada aparece en estado de Conectado.

Finalizar el Asistente para instalacin de componentes Windows.

Luego Siguiente y solicitar certificado:

Estableciendo nombre y agregando Poltica:

En la pestaa Autenticacin realizar clic al botn Configure:

En este caso se ha agrupado a los clientes inalmbricos en el grupo Usuarios inalmbricos.

Jimmy Arthur Villanueva Llerena

También podría gustarte

0ESV 0ESV 0ESV 0ESV 0ESV

0ESV 0ESV 0ESV 0ESV 0ESV 0ESV 0ESV

ELW:(3 :3$DFFHVRSURWHJLGR:L:L)L:(3FRQ7.,30,&,9 H[WHQVLyQDXWHQWLILFDFLyQGRPLQDQWHFRPSDUWLGD

0ESV2)'0(O3RUG%P 0ESV2)'0(O3RUG%P 0ESV2)'0(O3RUG%P 0ESV2)'0(O3RUG%P 0ESV2)'0(O3RUG%P 0ESV2)'0(O3RUG%P

0ESV&&.(O3RUG%P 0ESV2)'0(O3RUG%P 0ESV2)'0(O3RUG%P 0ESV&&.(O3RUG%P 0ESV436.(O3RUG%P 0ESV%36.(O3RUG%P

1$&,21$/FRQHOSDVRGH931FRQYHUVLyQGHGLUHFFLyQGH UHG )LOWUDFLyQGHO0$&

'HQWUR+DVWDSLHVPHWURV $ODLUHOLEUH+DVWDSLHVPHWURV

:DQ :/$1&RQH[LyQ6LQKLORV /DQ

SXOJDGDVPP SXOJDGDVPP SXOJDGDVPP