Amenazas
Uso ilegítimo del ancho de banda Violación de privacidad Tráfico ofensivo o delictivo por el que somos responsables (AUP) Acceso a recursos restringidos por rangos IP
WEP Wired Equivalent Privacy Parte de la especificación 802.11 original Pensado para proveer Confidencialidad Integridad Autenticidad No es satisfactorio en ninguna de ellas
WEP Serias fallas de diseño Cifrado utiliza RC4 Algoritmo seguro, pero mala implementación Gestión manual de claves Claves de 40 bits muy cortas Initialization Vector (IV) muy corto (24 bits) Aleatorización deficiente Chequeo de Integridad con CRC Puede fácilmente generarse un mensaje distinto que produzca la misma secuencia Lo ideal es un hash (Ej: MD5)
WEP Herramientas para descubrir la clave Disponibles gratuitamente Recolectar entre 5 y 10 millones de frames 2 a 6 horas en una red corporativa Semanas en una red doméstica Una vez recolectado tráfico suficiente, romper la clave es cuestión de segundos
AirSnort http://airsnort.shmoo.com Tarjetas Aironet, Orinoco y Prism2 Versión de Windows en Alpha
Nuevos desarrollos Aprender de los errores: Necesidad de un esquema más flexible 802.1x Control de acceso a puertos (capa 2) IEEE tomó EAP (del IETF) y lo adaptó para redes locales Evolucionando hacia 802.1i en entorno wireless Cliente ya incluido en Windows XP Paso intermedio: WPA
EAP Extensible Authentication Protocol Estándar del IETF (RFC-2284) Inicialmente para PPP (enlaces dial-up), pero puede operar sobre cualquier protocolo de capa de enlace (802.3, 802.11, etc) Realmente una envoltura No especifica el método de autenticación, de ahí lo de “extensible”
EAP-Radius RFC-2869 Define modificaciones para RADIUS que permiten su utilización dentro de EAP Radius ya es muy utilizado para autenticación de dial-up via PPP EAPOL/EAPOW (EAP over LANs/Wireless) (Gp:) Estación (Gp:) Access-Point (Gp:) Servidor Radius (Gp:) EAPOW (Gp:) EAP-Radius
EAP-TLS TLS: Transport Layer Security Es SSL hecho estándar por el IETF También una envoltura: Permite negociar algoritmos En este caso no utilizado al nivel de transporte Puede utilizarse dentro de EAP Implementa esquema PKI Utilización de algoritmos de clave pública para negociación de clave secreta Permite autenticación en ambos sentidos Necesidad de gestión de certificados!
LEAP Lightweight EAP Desarrollado por Cisco Buscando una solución al problema de distribución de certificados Intercambio de claves WEP utilizando passwords Problema: Propiedad de Cisco Actualmente licenciando su uso a varios fabricantes
PEAP y TTLS También evitan la utilización de certificados de cliente Sí utilizan certificados para autenticar la red wireless Proceso en dos pasos: Autenticar el servidor y negociar claves de cifrado para crear un túnel Utilizar el túnel para negociar la autenticación del cliente
802.11i Implementación de 802.1x con cifrado AES Pero las tarjetas 802.11b más viejas no contienen el algoritmo AES Por eso se incluyó la alternativa de TKIP (Temporal Key Integrity Protocol) También basado en RC4, pero con implementación corregida: Clave de 128 bits IV de 48 bits Las claves no son permanentes sino que se pueden negociar Nuevo algoritmo para control de integridad
| Página siguiente |