13 Desafíos en la Seguridad de las Redes Inalámbricas (1) – Cualquiera dentro de un radio de 100 metrospuede ser un intruso potencial
14 Desafíos en la Seguridad de las Redes Inalámbricas (2) – Las acreditaciones del usuario se deben poder intercambiar con seguridad – Debe ser capaz de asegurar la conexión con la red de trabajo correcta
15 Desafíos en la Seguridad de las Redes Inalámbricas (3) – Los datos se deben poder transmitir con seguridad a través de la utilización apropiada de llaves de encriptación
16 Red Inalámbrica en una Empresa, Ataque Potencial 1
17 Red Inalámbrica en una Empresa, Ataque Potencial 2
18 Peligros Denegación de Servicios (DoS) Daño o Robo de Equipos Accesos no Autorizados Robo de Información Inserción de Códigos Dañinos Robo de Credenciales Uso de Internet
19 Puntos de Acceso Hostiles Prevención Políticas corporativas Seguridad física Estándar 802.1x Detección Sniffers (analizadores) Observación física Buscar símbolos de warchalking Detección desde la red cableada
20 Filtrado de Direcciones MAC MAC (Media Access Control Address) Direccion del hardware originaria del fabricante Sirve para identificar routers, tarjetas de red, etc… Crear en cada PA una base de datos de direcciones MAC DESVENTAJAS Se debe repetir en todos los PAs existentes (puede ser mucho trabajo y originar errores) Una vez capturadas por un hacker, pueden entrar a la red tranquilamente Si algún usuario pierde o le roban su estacion, queda comprometida la seguridad
21 WEP – Introducción Sistema de encriptación estándar 802.11 Se implementa en la capa MAC Soportada por la mayoría de vendedores de soluciones inalámbricas Cifra los datos enviados a través de las ondas de radio Utiliza el algoritmo de encriptación RC4
22 WEP – Funcionamiento (1) Concatena la llave simétrica compartida, de 40 ó 104 bits, de la estación con un vector de inicialización aleatorio (IV) de 24 bits, esta estructura se denomina “seed” El seed se utiliza para generar un número pseudo-aleatório, de longitud igual al payload (datos + CRC), y un valor de 32 bits para chequear la integridad (ICV) Esta llave y el ICV, junto con el payload (datos + CRC), se combinan a través de un proceso XOR que producirá el texto cifrado La trama enviada incluye el texto cifrado, y el IV e ICV sin encriptar
23 Encriptación WEP Fuente: Cisco
24 WEP – Debilidades Longitud del vector IV (24 bits) insuficiente El IV se repetirá cada cierto tiempo de transmisión continua para paquetes distintos, pudiendo averiguar la llave compartida Utilización de llaves estáticas, el cambio de llave se debe realizar manualmente A pesar de todo, WEP ofrece un mínimo de seguridad
25 AirSnort Fuente: http://www.virusprot.com/Nt240821.html
26 WEP – Carencias
Interceptando aproximadamente100 Mb 1 Gb 3.000 llaves cada semana son débiles 2.000 paquetes débiles son suficientes para adivinar un password 15 minutos (128 bits)
27 Utilidades "Sniffers" para WLANs (1) WEPCrack (http://sourceforge.net) 1ª herramienta de código abierto para romper llaves secretas 802.11 WEP Implementación del ataque descrito por Fluhrer, Mantin, y Shamir en el ensayo "Weaknesses in the Key Scheduling Algorithm of RC4" Airsnort (http://airsnort.shmoo.com) Desarrollada por Shmoo Group para sistemas Linux Recupera las llaves de cifrado Monitoriza de manera pasiva las transmisiones y computa la llave de cifrado cuando se han recopilado suficientes paquetes Kismet (http://www.kismetwireless.net) Sistemas Linux "Escucha" las señales de radio en el aire Las unidades GPS, conectadas a notebooks a través de cables en serie, permiten localizar en mapas digitales la ubicación de estas redes
28 Utilidades "Sniffers" para WLANs (2) Ethreal (http://www.ethereal.com) Sistemas Linux NetStumbler (http://www.netstumbler.com) Sistemas Windows Detecta redes que revelan sus SSIDs (Service Set Identifier), que por lo general se transmiten con la configuración predefinida de los routers inalámbricos Airopeek (http://www.wildpackets.com) Sistemas Windows Airmagnet (http://www.airmagnet.com) Corre en Compaq iPaq Wellenreiter (http://www.remote-exploit.org) Detecta PAs y muestra información sobre los mismos
29 Que es 802.1x Provee un método para la autenticación y autorización de conexiones a una RED INALÁMBRICA Autenticación basada en el usuario; puede usar credenciales tales como contraseñas o certificados Utiliza EAP (Extensible Authentication Protocol) entre la estación móvil y el punto de acceso Aprovechamiento de protocolos AAA tales como RADIUS para centralizar autenticación y autorizaciones
30 802.1x trata sobre la seguridad en las Redes Inalámbricas Por qué RADIUS La autenticación se basa en el usuario, en vez de basarse en el dispositivo Elimina la necesidad de almacenar información de los usuarios en cada access point de la RED, por tanto es considerablemente más fácil de administrar y configurar RADIUS ya ha sido ampliamente difundido para otros tipos de autenticación en la red de trabajo Protocolo de Autenticación Extensible (EAP) Los tipos de autenticación EAP proveen de seguridad a las redes 802.1x Protege las credenciales Protege la seguridad de los datos Tipos comunes de EAP EAP-TLS, EAP-TTLS, EAP-MD5, EAP-Cisco Wireless (LEAP), EAP-PEAP
31 Seguridad VPN 802.11
32 Seguridad VPN (1) La red wireless es la red insegura Los PA se configuran sin WEP Acceso wireless es "aislado" de la red de la empresa por el servidor VPN Los PA se pueden interconectar creando una red virtual (VLAN)
33 Seguridad VPN (2) Los servidores VPN proveen: Autenticación Encriptación Los servidores VPN actúan como: Firewalls Gateways De la red interna
34 Servidores RADIUS (RFC 2058)Remote Autentication Dial-In User Service Función Recibir pedido de conexión del usuario Autenticarlo Devolver toda la información de configuración necesaria para que el cliente acceda a los servicios Elementos Básicos Network Access Server (NAS)Cliente de RADIUS – Envía la información del usuario al RADIUS correspondiente y actúa al recibir la respuesta Seguridad Autenticación mediante “Secreto Compartido” Passwords encriptados Soporta diversos métodos de autenticación (PAP,CHAP, etc…)
35 Índice RFCs RADIUSThe Internet Engineering Task Force (IETF) RFC 2058 — Remote Authentication Dial-In User Service (RADIUS) RFC 2059 — RADIUS Accounting RFC 2548 — Microsoft Vendor-Specific RADIUS Attributes RFC 2618 — RADIUS Authentication Client MIB RFC 2619 — RADIUS Authentication Server MIB RFC 2620 — RADIUS Accounting Client MIB RFC 2621 — RADIUS Accounting Server MIB RFC 2809 — Compulsory Tunneling via RADIUS RFC 2865 — Remote Authentication Dial-In User Service (obsoleto RFC 2138; actualizado por RFC 2868) RFC 2866 — RADIUS Accounting (obsoleto RFC 2139; actualizado por RFC 2867) RFC 2867 — RADIUS Accounting Modifications for Tunnel Protocol Support RFC 2868 — RADIUS Attributes for Tunneling Support RFC 2869 — RADIUS Extensions RFC 2882 — NAS Requirements: Extended RADIUS Practices
Fuente: http://www.ietf.org/
36 Entorno RADIUS
37 Red Inalámbrica en una Empresa,la Solución según 802.1x
38 Proceso de Autenticación (1) El usuario Wireless LAN autenticará la red de trabajo Para asegurar que el usuario se conectará a la red correcta
39 Proceso de Autenticación (2) El servidor de Odyssey o de SBR crea un túnel seguro entre el servidor y el cliente. El usuario es autenticado a través del túnel con la utilización del nombre de usuario y contraseña/token Esto asegura que un usuario autorizado se está conectando dentro de la red
40 Proceso de Autenticación (3) El servidor de Odyssey o de SBR generará llaves dinámicas WEP para encriptación de los datos Ambas llaves se distribuyen al access point y al cliente
41 Proceso de Autenticación (4) Tras la autenticación, Odyssey Server autorizará al access point la apertura de un puerto virtual para el cliente de la RED INALÁMBRICA El cliente obtiene su dirección IP (DHCP) y accede a la red
42 802.1x en 802.11 Ethernet Punto de Acceso Servidor Radius Portátil Wireless Acceso Bloqueado Asociación EAPOL-Start EAP-Response/Identity Radius-Access-Challenge EAP-Response (credentials) Radius-Access-Accept EAP-Request/Identity EAP-Request Radius-Access-Request Radius-Access-Request RADIUS EAPOW 802.11 802.11 Associate-Request EAP-Success Acceso Permitido EAPOL-Key (WEP) 802.11 Associate-Response
43 Comparación RADIUS con VPN (1) Con RADIUS toda la infraestructura wireless está dentro del firewall corporativo Con VPN está fuera del firewall A medida que crezca el parque de WLAN habrá más equipos fuera y se necesitarán más servidores VPN (2) Cuando hay varias sucursales los usuariosde visita en otra sucursal se puedenautenticar en RADIUS Con VPN debe saber a que servidor conectarse (3) Al crecer la población wireless cada vez elmanejo de VPNs se hace mas complejo ymás costoso
44 802.1x EAPTipos y Diferencias
45 LEAP (EAP-Cisco Wireless) Basado en Nombre de Usuario y Contraseña Soporta plataformas Windows, Macintosh y Linux Patentado por Cisco (basado en 802.1x) El Nombre de Usuario se envía sin protección La CONTRASEÑA se envía sin protección: sujeto a ATAQUES DE DICCIONARIO (MSCHAP v1 hash – * ftp://ftp.isi.edu/in-notes/rfc2433.txt) No soporta One Time Password (OTP) Requiere LEAP “aware” RADIUS Server. Requiere Infraestructura Cisco Wireless
46 EAP-MD5 Basado en Nombre de Usuario y Contraseña El Nombre de Usuario se envía sin protección Sujeto a ATAQUES DE DICCIONARIO EAP-MD5 requiere una clave fija manual WEP y no ofrece distribución automática de llaves Sujeto a ataques man-in-the-middle. Sólo autentica el cliente frente al servidor, no el servidor frente al cliente
47 EAP-TLS (Microsoft) Ofrece fuerte autenticación mútua, credenciales de seguridad y llaves dinámicas Requiere la distribución de certificados digitales a todos los usuarios así como a los servidores RADIUS Requiere una infraestructura de gestión de certificados (PKI) Windows XP contiene un cliente EAP-TLS, pero obliga a los administradores a emplear sólo certificados Microsoft Intercambio de identidades desprotegido
48 EAP-TLS: ¿Certificados Cliente? Son difíciles de gestionar Debe designarlos una Autoridad Certificadora Requieren conocimiento/compresión Requiere que el usuario establezca el certificado Incómodo para establecer múltiples dispositivos, transferir certificados Los administradores son reacios a su uso Adopción limitada a una fecha 6 ciclos entre usuario y autenticador
49 EAP-TTLS Permite a los usuarios autenticarse mediante nombre de usuario y contraseña, sin pérdida de seguridad Desarrollado por Funk Software y Certicom Ofrece fuerte autenticación mútua, credenciales de seguridad y llaves dinámicas Requiere que los certificados sean distribuidos sólo a los servidores RADIUS, no a los usuarios Compatible con las actuales bases de datos de seguridad de usuarios, incluídas Windows Active Directory, sistemas token, SQL, LDAP, etc. Soporta CHAP, PAP, MS-CHAP y MS-CHAPv2
50 Como funciona EAP-TTLS… Fase 2 – Autenticación Secundaria (Gp:) Autenticación Secundaria – (PAP, CHAP, MS-CHAP, EAP)
Configuración del Túnel TLS Fase 1 – Establecimiento de TLS
51 Las ventajas de EAP-TTLS El más sencillo de instalar y gestionar Seguridad difícil de traspasar No requiere Certificados Cliente Autentica de manera segura los usuarios frente a base de datos Windows Despliegue contra infraestructuras existentes Los usuarios se conectan con sus nombres de usuario y contraseñas habituales No existe peligro de ataques de diccionario Parámetros pre-configurados para el cliente WLAN, facilitando la instalación en los dispositivos WLAN
52 EAP-PEAP Propuesto por Microsoft/Cisco/RSA Security No requiere Certificados También utiliza Transport Layer Security (TLS) para establecer el túnel Se incluye en SP1 de Windows XP Se incluirá en Windows 2003 Server
53 Wi-Fi Protected Access (WPA) Abril 2003 Más fuerte que WEP Mejorable a través de nuevas versiones de software Uso empresarial y casero Obligatorio a finales del 2003 Mejoras de Seguridad TKIP (Temporal Key Integrity Protocol) Autenticación de usuarios
54 TKIP IV de 48 bits llamado TSC (TKIP Sequence counter) MIC (Integrity Check de Mensajes) Encripta checksum con direcciones MAC y los datos
Encriptado TSC 48 bits
55 Requisitos de Funcionalidad para el Método de Autenticación Seguridad para las credenciales Permitir autenticación mutua Llaves de encriptación dinámicas Regeneración de llaves (re-keying) Facilidad de gestión Facilidad y rapidez de implementación
56 WEP y WPA
57 Protocolos de Seguridad Wireless WECA WEP(802.11b) WPA(802.11i) IEEE EAP(802.1x) MD5 LEAPCisco TTLSFunkSoftware PEAPCiscoXP (SP1) TLSMicrosoftXP/2000 (SP3)
58 Comparativa de Protocolos EAP
59 Conclusiones La elección del método de Autenticación es la decisión fundamental La elección del servidor de Autenticación y del software de los clientes Si no existe PKI deseche TLS PEAP no tiene ventajas sobre TTLS
Fuente: 802-11 Wireless Networks
60 ¡¡La Pregunta del Millón!! ¿Qué Método de Autenticación?
ó ¿ ? ¿Qué Servidor de Autenticación? ¿Qué Hardware? – Access Point – Tarjetas Wi-Fi
61 Seguridad Intel Centrino Fuente: http://www.virusprot.com/Nt260641.html
62 Políticas de Seguridad Físicas Paredes/Vigilancia Laboral PAs/EM privadas Viajeros frecuentes Observación física PAs/warchalking
63 Para viajeros frecuentes
64 El Futuro PAs más inteligentes Quizás PAs de tipo empresarial Mucho mayor alcance de los Pas Todas las estaciones móviles con Centrino Switches + Radius (appliance) Hot spots en sitios públicos WiFi en todos los hogares Virus para PAs
65 Nuevas Tecnologías…Nuevas Oportunidades Técnicos especializados en wireless Técnicos especializados en Seguridad wireless
66 UOCUniversidad Oberta de Catalunya Business Case
IMPLEMENTACIÓN EXITOSA DE REDES WIRELESS (1)http://www.virusprot.com/Art43.html IMPLEMENTACIÓN EXITOSA DE REDES WIRELESS (2) http://www.virusprot.com/Art45.html
67 (Gp:) Primera Solución Multiplataformapara Seguridad de Redes Wireless
68 Qué es Odyssey Odyssey es una solución de seguridad 802.1x extremo-extremo que permite a los usuarios conectarse de forma segura a una RED INALÁMBRICA. Puede ser fácil y ampliamente desplegada a través de una red de trabajo corporativa Solución completa para REDES INALÁMBRICAS Asegura la autenticación del cliente así como también de la conexión en si misma Consta de dos componentes: Odyssey Client – comunica con Odyssey Server (o servidor basado en 802.1x) para establecer una conexión segura Odyssey Server – SERVIDOR RADIUS basado en protocolos de autenticación para REDES INALÁMBRICAS (MD5, TLS, TTLS, LEAP, PEAP) Disponible como sistema Cliente/Servidor, o individualmente como Servidor o Cliente
69 Características de Odyssey Odyssey Client se ejecuta bajo Windows 98/ME/2000/XP/CE Administración de certificados basada en servidor (no se requiere certificado del lado-cliente excepto al usar EAP-TLS) Trabaja con cualquier hardware basado en 802.1x Generación de llave dinámica para una seguridad superior: Llave inicial WEP creada dinámicamente (no más llaves estáticas WEP) Llaves periódicas de sesión generadas a intervalos configurables La autenticación trabaja frente a bases de datos existentes Active Directory/NT Domain (y nombre de usuario/contraseña existentes)
70 Odyssey ServerServidor de Autenticación 802.1x Dirigido a la localización de datos corporativos con requerimientos de autenticación para WLAN/802.1x Soporte Multi-plataforma Windows 2000 y XP Soporte para múltiples “tipos” EAP EAP-TLS EAP-TTLS EAP-Cisco Wireless (LEAP) EAP-MD5 EAP-PEAP Soporte para Autenticación solamente Autenticación sólo contra Windows Active Directory/NT Domains
71 Modelos de Servidores RADIUS ODYSSEY RADIUS (SBR) Básico Todo tipo deUsuarios Acceso públicoInternet Mini(3 PA) Pymes Sucursales Secc. Aisladas Hotspot Enterprise Empresas Global GrandesEmpresas ServiceProvider
ProveedoresInternet
| Página siguiente |