MECANISMOS DE SEGURIDAD EN WLANs (5/9) Soluciones a vulnerabilidades de WEP –> WPA (WiFi Protected Acces)
Funcionamiento TKIP: Basado en el algoritmo “Michael” para garantizar la integridad. Genera un bloque de 4 bytes (MIC) a partir de la dirección MAC de origen, de destino, y de los datos. Añade el MIC calculado a la unidad de datos a enviar. Posteriormente los datos se fragmentan y se les asigna un número de secuencia. La mezcla del número de secuencia con la clave temporal, genera la clave que será utilizada para cada fragmento.
MECANISMOS DE SEGURIDAD EN WLANs (6/9) Soluciones a vulnerabilidades de WEP –> WPA (WiFi Protected Acces) Mecanismo de autentificación en WPA ->Estándar 802.1x/EAP Dos modos de autentificación basados en este estándar que dependen de la modalidad en la que opere el punto de acceso. Modalidad red empresarial -> Para redes grandes con considerable infraestructura. Se precisa servidor de autentificación RADIUS. Modalidad de red casera -> Para redes domésticas o de oficina.
MECANISMOS DE SEGURIDAD EN WLANs (7/9) Soluciones a vulnerabilidades de WEP –> WPA (WiFi Protected Acces) Modalidad de red empresarial Funcionamiento: Existencia de tres componentes: Solicitante, Autenticador y Servidor de autenticación (RADIUS) PA crea un puerto lógico para el solicitante. Mientras no se autentique solo permitirá trafico 802.1x/EAP hacia el servidor RADIUS Cliente envía “EAP Start”. Autenticador responde con “EAP Request Identity”. Solicitante responde con “EAP Response”. Autenticador reenvía la petición al servidor RADIUS. Cliente y servidor RADIUS pasarán a comunicarse directamente. Aceptada la autenticación del cliente por el servidor RADIUS el autenticador pasa el puerto asignado al cliente a estado autorizado.
MECANISMOS DE SEGURIDAD EN WLANs (8/9) Soluciones a vulnerabilidades de WEP –> WPA (WiFi Protected Acces) Modalidad de red empresarial
MECANISMOS DE SEGURIDAD EN WLANs (9/9) Soluciones a vulnerabilidades de WEP –> WPA (WiFi Protected Acces) Modalidad de red casera -> Para redes domésticas o de oficina, cuando no se dispone de servidor RADIUS. Solución -> introducir contraseña compartida entre los clientes y el punto de acceso. Utiliza el algoritmo de encriptación TKIP para el cifrado de los datos.
SOLUCIONES ADICIONALES DE PROTECCIÓN Filtrado de direcciones MAC -> Implementado en muchos PA. Medida fiable y apta para entornos pequeños. Redes Privadas Virtuales (VPN) -> Cumplen doble funcionalidad: Autentificación y autorización de todos los clientes inalámbricos. Encriptación de tráfico -> IPSec Limitación de la potencia de emisión de los PA Habilitación PA en modo pasivo -> No proporciona una protección muy robusta pero supone una barrera más a posibles atacantes.
CONSEJOS BÁSICOS PARA UNA RED INALÁMBRICA MÁS SEGURA Habilitar cifrado WEP en el punto de acceso. Elegir claves de 64 bits como mínimo y en formato cadena de texto. Habilitar parámetros de configuración WEP del paso 1 en los clientes. Utilización de claves WEP no triviales y cambiarlas regularmente. No datos personales que puedan ser deducibles. No claves susceptibles de “ataques de diccionario” No utilizar TCP/IP para compartición de archivos e impresoras . Habilitar protocolo alternativo (NetBEUI). Establecer método de autentificación compartida (autentificación por clave compartida) -> En propiedades avanzadas del PA debe aparecer como “Shared Key” Ocultar SSID -> Establecer como falso e parámetro “SSID broadcast” Restricción de acceso únicamente a determinadas tarjetas de red -> Filtrado de direcciones MAC. Limitar potencia de emisión del PA.
| Página siguiente |