Seguridad en Redes
Wireless
Presentador: Ing. Eduardo Tabacman
© Copyright 2003 VIRUSPROT, S.L. Todos los derechos reservados
[email protected]
Acerca de Virusprot, S.L.
 Oficina Central: Madrid (España)
 Fundador:
Eduardo
Tabacman,
Director
General ([email protected])
 Establecida en el año 1999
 Equipo con más de 13 años de experiencia en
el tema de la Seguridad Informática
 Actividades principales:
– Portal de Seguridad Informática VIRUSPROT.COM
(http://www.virusprot.com)
– Más de 60.000 visitas mensuales
– Distribución de productos SI
– Servicios de asesoramiento y consultoría SI
– Desarrollo de seminarios y conferencias SI
– Bussiness matching
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
2
W021
Portal de Seguridad Wi-Fi
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
3
“The Players”
 IETF – The Internet Engineering Task Force
– Grupo auto-organizado
– Grupo principal comprometido en el desarrollo de nuevas
especificaciones estándares para Internet
– http://www.ietf.org
 IEEE – Institute of Electrical and Electronic
Engineers
–
–
–
–
377.000 miembros en 150 países
900 estándares activos
700 en desarrollo
http://www.ieee.org
802.1x
 WECA - The Wi-Fi Alliance
– Formada en 1999
– Certifica la interoperabilidad de productos
WLAN basados en la especificación 802.11
– http:/www.weca.net
802.11
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
4
Historia de las Redes Wireless
Empresariales
Estándar
Velocidad
Banda
Frecuencia
802.11
1 y 2 Mbps
2.4 Ghz
802.11a
54 Mbps
5.15 Ghz
802.11b
11 Mbps
2.4 Ghz
802.11g
54 Mbps
2.4 Ghz
802.11i
Finales de 2003
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
5
Pérdidas de Velocidad
Velocidad
(Mbps)
V=f(d,o,i)
54
20-22 Mbps
11
4-5 Mbps
5
10
50
100
Distancia
(Metros)
 Obstáculos (paredes/campos magnéticos)
 Interferencias (cantidad usuarios)
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
6
Rendimiento
Puntos de Acceso – 802.11 g
Velocidad (Mbps)
54
25
---------------------------------------------------------------------24,73
20
---------------------------------------------------------------------21,55
15
18,51
---------------------------------------------------------------------16,23
15,65
10
----------------------------------------------------------------------
5
----------------------------------------------------------------------
19,14
15,10
A
B
C
D
E
F
G
Fabricantes
Fuente: NetworkWorldFusion
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
7
---------------------------------------------
---------------------------------------------
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
318
B
C
F
D
E
---------------------------------------------
213
350
233
300
256
344
A
200 225 250 275
100
272
315
G
Fabricantes
Alcance
Cliente – Puntos de Acceso 802.11g/802.11
Distancia (Pies)
Fuente: NetworkWorldFusion
8
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
Puntos Débiles
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
9
WarChalking
 Es la práctica de dibujar en paredes o aceras
una serie de símbolos para indicar a otros la
proximidad de un acceso inalámbrico
Sintaxis V.0.9
Clave
Nodo
Abierto
Nodo
Cerrado
Símbolo
SSID
Ancho de Banda
SSID
SSID
Nodo
WEP
Access
Contact
Ancho de Banda
Fuente: www.warchalking.org
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
10
Las Raíces del WarChalking
 Tiene
sus
antecedentes
durante la Gran Depresión
del 30 en los Estados
Unidos
 Los desocupados dibujaban
símbolos en los edificios
para marcar los lugares
donde podían conseguir
comida
 La idea fue reflotada 70
años después por los geeks
con el fin de marcar hot
spots WLAN
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
11
WarDriving
 Técnica difundida donde individuos equipados
con material apropiado tratan de localizar en
coche puntos wireless
Estudio WarDriving New York
WEP Activado
25%
WEP Desactivado
75%
(Julio 2002)
Foto: O´Reilly Network
Lugar: Barcelona
Imagen: Miguel Puchol
Puntos rojos protegidos
Puntos verdes desprotegidos
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
12
Herramientas para el WarDriving
 Portátil,
PDA
u
otro
dispositivo móvil con tarjeta
inalámbrica
(PCMCIA)
incorporada
 Antena comprada o casera
tipo “lata de Pringles” o “tubo
PVC”
 Software de rastreo tipo
NetStumbler, Airsnort,...
 Unidad GPS para fijar las
coordenadas exactas en el
mapa de la WLAN
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
13
Desafíos en la Seguridad de las Redes
Inalámbricas (1)
-
Cualquiera dentro de un radio de 100 metros
puede ser un intruso potencial
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
14
Desafíos en la Seguridad de las Redes
Inalámbricas (2)
-
Las acreditaciones del usuario se deben poder
intercambiar con seguridad
- Debe ser capaz de asegurar la conexión con la
red de trabajo correcta
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
15
Desafíos en la Seguridad de las Redes
Inalámbricas (3)
-
Los datos se deben poder transmitir con
seguridad a través de la utilización apropiada
de llaves de encriptación
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
16
Red Inalámbrica en una Empresa,
Ataque Potencial 1
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
17
Red Inalámbrica en una Empresa,
Ataque Potencial 2
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
18
Peligros







Denegación de Servicios (DoS)
Daño o Robo de Equipos
Accesos no Autorizados
Robo de Información
Inserción de Códigos Dañinos
Robo de Credenciales
Uso de Internet
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
19
Puntos de Acceso Hostiles
 Prevención
– Políticas corporativas
– Seguridad física
– Estándar 802.1x
 Detección
–
–
–
–
Sniffers (analizadores)
Observación física
Buscar símbolos de warchalking
Detección desde la red cableada
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
20
Antes de
que sea
dem asiado
t ar de...
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
21
Filtrado de Direcciones MAC
 MAC (Media Access Control Address)
– Direccion del hardware originaria del fabricante
– Sirve para identificar routers, tarjetas de red, etc...
 Crear en cada PA una base de datos de
direcciones MAC
 DESVENTAJAS
– Se debe repetir en todos los PAs existentes (puede
ser mucho trabajo y originar errores)
– Una vez capturadas por un hacker, pueden entrar a
la red tranquilamente
– Si algún usuario pierde o le roban su estacion, queda
comprometida la seguridad
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
22
WEP – Introducción
 Sistema
de
encriptación
estándar
802.11
 Se implementa en la capa MAC
 Soportada
por
la
mayoría
de
vendedores de soluciones inalámbricas
 Cifra los datos enviados a través de las
ondas de radio
 Utiliza el algoritmo de encriptación RC4
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
23
WEP – Funcionamiento (1)
 Concatena la llave simétrica compartida, de 40
ó 104 bits, de la estación con un vector de
inicialización aleatorio (IV) de 24 bits, esta
estructura se denomina “seed”
 El seed se utiliza para generar un número
pseudo-aleatório, de longitud igual al payload
(datos + CRC), y un valor de 32 bits para
chequear la integridad (ICV)
 Esta llave y el ICV, junto con el payload (datos
+ CRC), se combinan a través de un proceso
XOR que producirá el texto cifrado
 La trama enviada incluye el texto cifrado, y el
IV e ICV sin encriptar
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
24
Encriptación WEP
Fuente: Cisco
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
25
WEP - Debilidades
 Longitud del vector IV (24 bits)
insuficiente
 El IV se repetirá cada cierto tiempo de
transmisión continua para paquetes
distintos, pudiendo averiguar la llave
compartida
 Utilización de llaves estáticas, el cambio
de llave se debe realizar manualmente
 A pesar de todo, WEP ofrece un mínimo
de seguridad
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
26
AirSnort
Fuente: http://www.virusprot.com/Nt240821.html
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
27
WEP - Carencias
 Interceptando aproximadamente
100 Mb
1 Gb
 3.000 llaves cada semana son débiles
 2.000 paquetes débiles son suficientes
para adivinar un password
 15 minutos (128 bits)
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
28
Utilidades "Sniffers" para WLANs (1)
 WEPCrack
(http://sourceforge.net)
– 1ª herramienta de código abierto para romper llaves
secretas 802.11 WEP
– Implementación del ataque descrito por Fluhrer, Mantin, y
Shamir en el ensayo "Weaknesses in the Key Scheduling
Algorithm of RC4"
 Airsnort
(http://airsnort.shmoo.com)
– Desarrollada por Shmoo Group para sistemas Linux
– Recupera las llaves de cifrado
– Monitoriza de manera pasiva las transmisiones y computa
la llave de cifrado cuando se han recopilado suficientes
paquetes
 Kismet
(http://www.kismetwireless.net)
– Sistemas Linux
– "Escucha" las señales de radio en el aire
– Las unidades GPS, conectadas a notebooks a través de
cables en serie, permiten localizar en mapas digitales la
ubicación de estas redes
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
29
Utilidades "Sniffers" para WLANs (2)
 Ethreal
(http://www.ethereal.com)
– Sistemas Linux
 NetStumbler
(http://www.netstumbler.com)
– Sistemas Windows
– Detecta redes que revelan sus SSIDs (Service Set
Identifier), que por lo general se transmiten con la
configuración predefinida de los routers inalámbricos
 Airopeek
(http://www.wildpackets.com)
– Sistemas Windows
 Airmagnet
(http://www.airmagnet.com)
– Corre en Compaq iPaq
 Wellenreiter
(http://www.remote-exploit.org)
– Detecta PAs y muestra información sobre los mismos
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
30
Que es 802.1x
 Provee un método para la autenticación y
autorización de conexiones a una RED
INALÁMBRICA
 Autenticación basada en el usuario; puede
usar credenciales tales como contraseñas o
certificados
 Utiliza
EAP
(Extensible
Authentication
Protocol) entre la estación móvil y el punto de
acceso
 Aprovechamiento de protocolos AAA tales
como RADIUS para centralizar autenticación y
autorizaciones
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
31
802.1x trata sobre la seguridad
en las Redes Inalámbricas
 Por qué RADIUS
– La autenticación se basa en el usuario, en vez de
basarse en el dispositivo
– Elimina la necesidad de almacenar información de los
usuarios en cada access point de la RED, por tanto
es considerablemente más fácil de administrar y
configurar
– RADIUS ya ha sido ampliamente difundido para otros
tipos de autenticación en la red de trabajo
 Protocolo de Autenticación Extensible (EAP)
– Los tipos de autenticación EAP proveen de seguridad
a las redes 802.1x
• Protege las credenciales
• Protege la seguridad de los datos
 Tipos comunes de EAP
• EAP-TLS, EAP-TTLS,
(LEAP), EAP-PEAP
EAP-MD5,
EAP-Cisco
Wireless
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
32
Seguridad VPN 802.11
C on exión V P N segu ra
VLAN
PA
A e rop uerto ,
ho te l, casa
R ed PA
S e rv id o r
VPN
S e rv id o r
VPN
C on exión V P N segu ra
F ire w a ll
ISP
D ial-up,
m ód em
cab lead o,
DSL o G PRS
S e rv id o r
A rch iv o s
In te rne t
C on exión V P N segu ra
R e d em pre saria l p riv ad a
W EP
E n criptad o
~
~
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
33
Seguridad VPN (1)
 La red wireless es la red insegura
 Los PA se configuran sin WEP
 Acceso wireless es "aislado" de la
red de la empresa por el servidor VPN
 Los PA se
pueden interconectar
creando una red virtual (VLAN)
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
34
Seguridad VPN (2)
 Los servidores VPN proveen:
– Autenticación
– Encriptación
 Los servidores VPN actúan como:
– Firewalls
– Gateways
De la red interna
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
35
Servidores RADIUS (RFC 2058)
Remote Autentication Dial-In User Service
 Función
– Recibir pedido de conexión del usuario
– Autenticarlo
– Devolver toda la información de configuración
necesaria para que el cliente acceda a los servicios
 Elementos Básicos
– Network Access Server (NAS)
Cliente de RADIUS - Envía la información del usuario
al
RADIUS correspondiente y actúa al recibir la
respuesta
– Seguridad
• Autenticación mediante “Secreto Compartido”
• Passwords encriptados
• Soporta diversos métodos de autenticación (PAP,CHAP,
etc...)
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
36
Índice RFCs RADIUS
The Internet Engineering Task Force (IETF)














RFC 2058
RFC 2059
RFC 2548
RFC 2618
RFC 2619
RFC 2620
RFC 2621
RFC 2809
RFC 2865
RFC 2138;
RFC 2866
RFC 2867)
RFC 2867
Support
RFC 2868
RFC 2869
RFC 2882
-- Remote Authentication Dial-In User Service (RADIUS)
-- RADIUS Accounting
-- Microsoft Vendor-Specific RADIUS Attributes
-- RADIUS Authentication Client MIB
-- RADIUS Authentication Server MIB
-- RADIUS Accounting Client MIB
-- RADIUS Accounting Server MIB
-- Compulsory Tunneling via RADIUS
-- Remote Authentication Dial-In User Service (obsoleto
actualizado por RFC 2868)
-- RADIUS Accounting (obsoleto RFC 2139; actualizado por
-- RADIUS Accounting Modifications for Tunnel Protocol
-- RADIUS Attributes for Tunneling Support
-- RADIUS Extensions
-- NAS Requirements: Extended RADIUS Practices
Fuente: http://www.ietf.org/
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
37
Entorno RADIUS
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
38
Red Inalámbrica en una Empresa,
la Solución según 802.1x
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
39
Proceso de Autenticación (1)
 El usuario Wireless LAN autenticará la red de trabajo
– Para asegurar que el usuario se conectará a la red correcta
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
40
Proceso de Autenticación (2)
– El servidor de Odyssey o de SBR crea un túnel seguro
entre el servidor y el cliente. El usuario es autenticado a
través del túnel con la utilización del nombre de usuario y
contraseña/token
– Esto asegura que un usuario autorizado se está
conectando dentro de la red
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
41
Proceso de Autenticación (3)
 El servidor de Odyssey o de SBR generará llaves
dinámicas WEP para encriptación de los datos
– Ambas llaves se distribuyen al access point y al cliente
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
42
Proceso de Autenticación (4)
 Tras la autenticación, Odyssey Server autorizará al
access point la apertura de un puerto virtual para el
cliente de la RED INALÁMBRICA
– El cliente obtiene su dirección IP (DHCP) y accede a la red
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
43
802.1x en 802.11
Wireless
Punto de Acceso
Servidor Radius
Portátil
Ethernet
Asociación
Acceso Bloqueado
802.11 Associate-Request
802.11
RADIUS
802.11 Associate-Response
EAPOL-Start
EAPOW
EAP-Request/Identity
EAP-Response/Identity
EAP-Request
EAP-Response (credentials)
Radius-Access-Request
Radius-Access-Challenge
Radius-Access-Request
Radius-Access-Accept
EAP-Success
EAPOL-Key (WEP) Acceso Permitido
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
44
Comparación RADIUS con VPN
(1)
 Con RADIUS toda la infraestructura wireless está dentro
del firewall corporativo
 Con VPN está fuera del firewall
 A medida que crezca el parque de WLAN habrá más
equipos fuera y se necesitarán más servidores VPN
(2)
 Cuando
hay
varias
sucursales
los
usuarios
de
visita
en
otra
sucursal
se
pueden
autenticar en RADIUS
 Con VPN debe saber a que servidor conectarse
(3)
 Al crecer la población wireless cada vez el
manejo de VPNs se hace mas complejo y
más costoso
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
45
Unos se
quejan...
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
46
...Otros hacen algo...
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
47
...y otros, DESCANSAN TRANQUILOS
RADIUS
¡¡USTED DECIDE!!
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
48
802.1x EAP
Tipos y Diferencias
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
49
LEAP (EAP-Cisco Wireless)
 Basado en Nombre de Usuario y Contraseña
 Soporta plataformas Windows, Macintosh y
Linux
 Patentado por Cisco (basado en 802.1x)
 El Nombre de Usuario se envía sin protección
 La CONTRASEÑA se envía sin protección:
sujeto
a
ATAQUES
DE
DICCIONARIO
(MSCHAP v1 hash - * ftp://ftp.isi.edu/in-notes/rfc2433.txt)
 No soporta One Time Password (OTP)
 Requiere LEAP “aware” RADIUS Server.
Requiere Infraestructura Cisco Wireless
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
50
EAP-MD5




Basado en Nombre de Usuario y Contraseña
El Nombre de Usuario se envía sin protección
Sujeto a ATAQUES DE DICCIONARIO
EAP-MD5 requiere una clave fija manual WEP
y no ofrece distribución automática de llaves
 Sujeto a ataques man-in-the-middle. Sólo
autentica el cliente frente al servidor, no el
servidor frente al cliente
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
51
EAP-TLS (Microsoft)
 Ofrece
fuerte
autenticación
mútua,
credenciales de seguridad y llaves dinámicas
 Requiere la distribución de certificados
digitales a todos los usuarios así como a los
servidores RADIUS
 Requiere una infraestructura de gestión de
certificados (PKI)
 Windows XP contiene un cliente EAP-TLS, pero
obliga a los administradores a emplear sólo
certificados Microsoft
 Intercambio de identidades desprotegido
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
52
EAP-TLS: ¿Certificados Cliente?








Son difíciles de gestionar
Debe designarlos una Autoridad Certificadora
Requieren conocimiento/compresión
Requiere que el usuario establezca el
certificado
Incómodo
para
establecer
múltiples
dispositivos, transferir certificados
Los administradores son reacios a su uso
Adopción limitada a una fecha
6 ciclos entre usuario y autenticador
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
53
EAP-TTLS
 Permite a los usuarios autenticarse mediante
nombre de usuario y contraseña, sin pérdida
de seguridad
 Desarrollado por Funk Software y Certicom
 Ofrece
fuerte
autenticación
mútua,
credenciales de seguridad y llaves dinámicas
 Requiere que los certificados sean distribuidos
sólo a los servidores RADIUS, no a los
usuarios
 Compatible con las actuales bases de datos de
seguridad de usuarios, incluídas Windows
Active Directory, sistemas token, SQL, LDAP,
etc.
 Soporta CHAP, PAP, MS-CHAP y MS-CHAPv2
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
54
Como funciona EAP-TTLS…
Fase 1 – Establecimiento de TLS
Configuración del Túnel TLS
Fase 2 – Autenticación Secundaria
Autenticación Secundaria - (PAP, CHAP, MS-CHAP, EAP)
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
55
Las ventajas de EAP-TTLS








El más sencillo de instalar y gestionar
Seguridad difícil de traspasar
No requiere Certificados Cliente
Autentica de manera segura los usuarios
frente a base de datos Windows
Despliegue contra infraestructuras existentes
Los usuarios se conectan con sus nombres de
usuario y contraseñas habituales
No existe peligro de ataques de diccionario
Parámetros pre-configurados para el cliente
WLAN, facilitando la instalación en los
dispositivos WLAN
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
56
EAP-PEAP
 Propuesto
por
Microsoft/Cisco/RSA
Security
 No requiere Certificados
 También utiliza Transport Layer Security
(TLS) para establecer el túnel
 Se incluye en SP1 de Windows XP
 Se incluirá en Windows 2003 Server
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
57
Wi-Fi Protected Access (WPA)
 Abril 2003
– Más fuerte que WEP
– Mejorable a través de nuevas versiones de
software
– Uso empresarial y casero
– Obligatorio a finales del 2003
 Mejoras de Seguridad
– TKIP (Temporal Key Integrity Protocol)
– Autenticación de usuarios
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
58
TKIP
 IV de 48 bits llamado TSC (TKIP
Sequence counter)
 MIC (Integrity Check de Mensajes)
 Encripta checksum con direcciones MAC
y los datos
Encriptado
TSC
IV / Clave
4 octetos
IV Extendido
4 octetos
Datos
nº octetos
MIC
8 octetos
ICV
4 octetos
48 bits
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
59
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
60
Requisitos de Funcionalidad para
el Método de Autenticación
Seguridad para las credenciales
Permitir autenticación mutua
Llaves de encriptación dinámicas
Regeneración de llaves (re-keying)
Facilidad de gestión
Facilidad y rapidez de implementación
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
61
WEP y WPA
Función
WEP
WPA
Encriptación
Débil
Soluciona
debilidades
Claves
40 bits
128 bits
Claves
Estáticas
Dinámicas
Claves
Distribución manual
Automática
Autenticación
Débil
Fuerte, según
802.1x y EAP
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
62
Protocolos de Seguridad Wireless
WECA
IEEE
WEP
EAP
(802.11b)
(802.1x)
WPA
(802.11i)
MD5
LEAP
Cisco
TLS
Microsoft
XP/2000 (SP3)
TTLS
Funk
Software
PEAP
Cisco
XP (SP1)
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
63
Comparativa de Protocolos EAP
EAP-MD5
LEAP
(Cisco)
EAP-TLS
(MS)
EAP-TTLS
(Funk)
EAP-PEAP
Estándar
Patente
Estándar
Estándar
Estándar
CertificadosCliente
No
N/A
Sí
No
(opcional)
No
(opcional)
CertificadosServidor
No
N/A
Sí
Sí
Sí
Credenciales
de Seguridad
Ninguna
Deficiente
Buena
Buena
Buena
Soporta
Autenticación
de Base de
Datos
Requiere
Borrar la
Base de
Datos
Active
Directory,
NT
Domains
Active
Directory
Act. Dir., NT
Domains,
Token
Systems,
SQL, LDAP
------
Intercambio
de llaves
dinámicas
No
Sí
Sí
Sí
Sí
Autenticación
Mútua
No
Sí
Sí
Sí
Sí
Tema
Solución de
Seguridad
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
64
Conclusiones
 La elección del método de Autenticación
es la decisión fundamental
 La
elección
del
servidor
de
Autenticación y del software de los
clientes
 Si no existe PKI
deseche TLS
 PEAP no tiene ventajas sobre TTLS
Fuente: 802-11 Wireless Networks
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
65
¡¡La Pregunta del Millón!!
¿
ó
?
¿Qué Método de Autenticación?
¿Qué Servidor de Autenticación?
¿Qué Hardware?
- Access Point
- Tarjetas Wi-Fi
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
66
Seguridad Intel Centrino
Fuente: http://www.virusprot.com/Nt260641.html
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
67
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
68
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
69
Políticas de Seguridad
 Físicas
– Paredes/Vigilancia
 Laboral
– PAs/EM privadas
 Viajeros frecuentes
 Observación física
– PAs/warchalking
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
70
Para viajeros frecuentes
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
71
El Futuro
 PAs más inteligentes
 Quizás PAs de tipo empresarial
 Mucho mayor alcance de los Pas
 Todas las estaciones móviles
Centrino
 Switches + Radius (appliance)
 Hot spots en sitios públicos
 WiFi en todos los hogares
 Virus para PAs
con
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
72
Nuevas Tecnologías...Nuevas
Oportunidades
 Técnicos especializados en wireless
 Técnicos especializados en Seguridad
wireless
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
73
UOC
Universidad Oberta de Catalunya
Business Case
IMPLEMENTACIÓN EXITOSA DE REDES WIRELESS (1)
http://www.virusprot.com/Art43.html
IMPLEMENTACIÓN EXITOSA DE REDES WIRELESS (2)
http://www.virusprot.com/Art45.html
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
74
Primera Solución Multiplataforma
para Seguridad de Redes Wireless
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
75
Qué es Odyssey
 Odyssey es una solución de seguridad 802.1x extremoextremo que permite a los usuarios conectarse de forma
segura a una RED INALÁMBRICA. Puede ser fácil y
ampliamente desplegada a través de una red de trabajo
corporativa
 Solución completa para REDES INALÁMBRICAS
– Asegura la autenticación del cliente así como también de la
conexión en si misma
 Consta de dos componentes:
– Odyssey Client – comunica con Odyssey Server (o servidor
basado en 802.1x) para establecer una conexión segura
– Odyssey Server – SERVIDOR RADIUS basado en
protocolos de autenticación para REDES INALÁMBRICAS
(MD5, TLS, TTLS, LEAP, PEAP)
 Disponible
como
sistema
Cliente/Servidor,
individualmente como Servidor o Cliente
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
o
76
Características de Odyssey
 Odyssey
Client
se
ejecuta
bajo
Windows
98/ME/2000/XP/CE
 Administración de certificados basada en servidor (no
se requiere certificado del lado-cliente excepto al usar
EAP-TLS)
 Trabaja con cualquier hardware basado en 802.1x
 Generación de llave dinámica para una seguridad
superior:
– Llave inicial WEP creada dinámicamente (no más
llaves estáticas WEP)
– Llaves periódicas de sesión generadas a intervalos
configurables
 La autenticación trabaja frente a bases de datos
existentes Active Directory/NT Domain (y nombre de
usuario/contraseña existentes)
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
77
Odyssey Server
Servidor de Autenticación 802.1x
 Dirigido a la localización de datos corporativos con
requerimientos de autenticación para WLAN/802.1x
 Soporte Multi-plataforma
– Windows 2000 y XP
 Soporte para múltiples “tipos” EAP
– EAP-TLS
– EAP-TTLS
– EAP-Cisco Wireless (LEAP)
– EAP-MD5
– EAP-PEAP
 Soporte para Autenticación solamente
– Autenticación
sólo
contra
Windows
Directory/NT Domains
Active
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
78
W532
Modelos de Servidores RADIUS
RADIUS (SBR)
ODYSSEY
Producto
Finalidad
Básico
Todo tipo de
Usuarios
Mini
(3 PA)
Pymes
Sucursales
Secc. Aisladas
Hotspot
Acceso público
Internet
Enterprise
Empresas
Global
Grandes
Empresas
Service
Provider
Proveedores
Internet
Conectividad
Plataforma
WIRELESS
Windows 2000
y
Windows XP
WIRELESS
Windows NT/2000
Solaris
Windows NT/2000
Solaris
Netware
WIRELESS
+
CABLES
Windows NT/2000
Windows XP
Solaris
Windows NT/2000
Solaris
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
79
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
80
Le agradecemos
su atención.
¿Alguna Pregunta?
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
81
Descargar

Seguridad en Redes Wireless