Seguridad Inalámbricas

Transcripción

1 Seguridad Inalámbricas Materiales de entrenamiento para instructores de redes inalámbricas version 1.4 by

2 Metas Entender cuáles aspectos de la seguridad de redes WiFi son los más importantes Iniciarse en lo que es el cifrado, cómo opera y de qué manera resuelve algunos problemas de seguridad Entender porqué la distribución de claves es un problema Ser capaz de determinar cuál es la mejor configuración de seguridad para su sistema inalámbrico 2

3 Porqué la seguridad inalámbrica es un problema La conexión inalámbrica es un medio compartido Los atacantes son relativamente anónimos El usuario final a menudo no conoce los riesgos La denegación de servicio es muy simple Los ataque maliciosos automáticos son cada vez más complejos Hay herramientas sofisticados disponibles gratuitamente que permiten atacar las redes 3

4 Los ataques pueden venir de muy lejos 4 Con una antena directiva, un atacante puede entrar a su red desde una distancia considerable, lo que hace más difícil detectarlo.

5 5 5 En esta fotografía, la red inalámbrica bajo ataque está aproximadamente a 10 km de distancia.

6 Los ataques pueden ser completamente indetectables 6 Escucha pasiva,los radios pueden ser configurados para monitorizar todo el tráfico de red. Puesto que el atacante no transmite ningún paquete, el espionaje de este tipo es imposible de detectar.

7 Quién crea los problemas de seguridad? Usuarios desprevenidos War drivers (individuo dedicados apescar redes desprotegidas) Fisgones (individuales o corporativos) Computadores con virus AP piratas Usuarios malintencionados 7 Eavesdropper del inglés puede traducirse como fisgón o espía.

8 Un usuario desprevenido puede accidentalmente escoger la red equivocada sin siquiera notarlo. Puede revelar sin querer información privada (claves, direcciones de correo electrónico, visitas a páginas web, sin percatarse de que pasa algo malo) 8 Este cliente inalámbrico puede ver 18 redes, seis de las cuales no usan cifrado. Sin el cifrado, es muy fácil que los usuarios usen accidentalmente la red equivocada lo que presenta una posibilidad de filtración de datos

9 War Games (1983), protagonizada por Matthew Broderick, John Wood, and Ally Sheedy 9 War Games (Juegos de Guerra) es una película clásica que ayudó a definir el concepto de hacker para el público general, en Matthew Broderick hizo el papel de chico-cerebrito que usó su computador para marcar miles de números telefónicos al azar, anotando aquellos que respondieron con un tono de MODEM de computador. El proceso de encontrar computadores a través de números telefónicos se conoció desde entonces como guerra de discado. En 2001, Pete Shipley de San Francisco, automatizó el proceso de manejar un automóvil con una laptop WiFi, registrando AP y correlacionando los datos con la ubicación GPS. Ël acuñó el término war driving haciendo referencia al clásico film del hacker.

10 Mapa de war driving en WiGLE.net WiGLE.net ha registrado la ubicación de más de 16 millones de hotspots WiFi (redes WiFi accesibles) alrededor del mundo. Los datos fueron recolectados completamente a través del esfuerzo de entusiastas de las redes inalámbricas.

11 AP piratas Un AP puede ser instalado incorrectamente por usuarios legítimos. Alguien puede desear mejor cobertura inalámbrica en su oficina, o puede encontrar las restricciones de seguridad de la red inalámbrica corporativa demasiado difíciles de acatar. Al instalar un AP de consumidor sin permiso, los usuarios pueden exponer la red completa a ataques desde adentro. Además, los espías que intentan captar datos o dañar la red pueden intencionalmente instalar un AP en su red, proporcionando una puerta trasera efectiva. 11 La palabra rogue del inglés puede traducirse como pirata o forajido

12 Fisgones Por medio de una herramienta de monitoreo pasivo (como Kismet), un fisgón puede captar todos los datos de la red desde una gran distancia sin que su presencia se note siquiera 12 La aplicación de monitoreo Etherpeg es un paquete monitor que muestra un collage de gráficas que se envían sin cifrado a través del mundo. Es una especie de navegador Web invertido que muestra lo que está pasando en la pantalla de todos los demás usuarios.

13 Usuarios maliciosos El Supremo alemán culpa a la dueña de una conexión de las descargas realizadas por desconocidos La mujer estaba de vacaciones cuando alguien empleó su red.- El tribunal considera que el acceso no estaba suficientemente protegido EL PAÍS - Barcelona - 12/05/2010 El Tribunal Supremo alemán ha culpado de un delito de omisión a la dueña de una conexión a Internet desprotegida, que un desconocido empleó para descargar música. La descarga de archivos protegidos, punible en Alemania, se produjo mientras la propietaria de la línea de Internet se encontraba de vacaciones, informa Efe. El tribunal ha determinado que el código de acceso a la red de la propietaria fue insuficiente para proteger la línea, para lo que habría sido necesaria una contraseña personalizada. 13

14 Consideraciones básicas de seguridad Seguridad Física: Está bien protegido el equipo? Autenticación: Con quién está realmente hablando? Privacidad: Puede un tercero interceptar la comunicación? Cuántos datos recolecta Ud. sobre sus usuarios? Anonimato: Es deseable que los usuarios permanezcan anónimos? Contabilidad: Están algunos usuarios usando demasiados recursos? Sabe Usted cuándo la red está siendo atacada o está simplemente sobrecargada? 14

15 Problemas de seguridad física 15 La foto de la izquierda muestra un nido de ratas de cableado, que mezcla Ethernet, RF, cables de alimentación y otros cables en un enredo, lo que hace fácil que alguien cause problemas con o sin intención. A la derecha, un armario telefónico abierto, sin candado, al lado de una calle en México.

16 Proteja su red inalámbrica Estas son algunas medidas de seguridad para proteger a los usuarios y a la red inalámbrica: Redes cerradas Filtrado MAC Portales cautivos Cifrado WEP Cifrado WPA Cifrado fuerte de extremo a extremo (end-to-end) 16 Estos métodos se presentan en orden de protección y complejidad crecientes.

17 Redes cerradas Al esconder el SSID (es decir, no anunciarlo en balizas o beacons), se puede evitar que la red sea mostrada en dispositivos de rastreo de redes. Ventajas: Es una característica de seguridad estándar respaldada por casi todos los tipos de AP. Los usuarios indeseables difícilmente van a elegir por accidente una red cerrada de una lista de redes. Desventajas: Los usuarios legítimos deben saber previamente el nombre de la red. Las redes cerradas son difíciles de encontrar en un site survey, sin embargo, las herramientas de monitoreo pasivo las encuentran fácilmente. 17

18 Filtrado MAC Se puede aplicar filtrado de direcciones MAC en el AP para controlar cuáles dispositivos pueden conectarse. Ventajas: Es una característica de seguridad estándar respaldada por casi todos los tipos de AP. Sólo aquellos dispositivos que tengan una dirección MAC estipulada pueden conectarse a su red. Desventajas: Las tablas MAC son engorrosas de mantener. Las direcciones MAC se transmiten sin cifrar (incluso si se usa cifrado WEP), y se pueden copiar y re-usar con facilidad. 18 Las direcciones MAC pueden cambiarse en la mayoría de las tarjetas y sistemas operativos.

19 Portales cautivos Un portal cautivo es un mecanismo de autenticación útil para cafés, hoteles, y otros ambientes donde se provea acceso a usuarios eventuales. Como usa un navegador web para autenticación, los portales cautivos trabajan con casi cualquier laptop y sistema operativo. Los portales cautivos se usan normalmente sobre redes abiertas sin otros métodos de autenticación (como filtros WEP o MAC). Puesto que no proporcionan cifrado fuerte, los portales cautivos no son una buena elección para redes que necesitan restringir el acceso sólo a usuarios confiables. 19

20 Portales cautivos 20

21 Portales cautivos populares Los siguientes portales cautivos soportan páginas iniciales (splash pages) básicas, autenticación con RADIUS, contabilidad, tiques pre-pago, y muchas otras características. Coova ( Chillispot ( WiFi Dog ( m0n0wall ( 21

22 Fisgoneo Por medio de la escucha pasiva de datos en la red, los usuarios maliciosos pueden colectar información valiosa. Los fisgones pueden ver el tráfico no cifrado de la red e inyectar paquetes, controlando completamente la conexión de la víctima 22

23 El hombre en el medio (man-in-the-middle: MITM) El hombre en el medio controla efectivamente todo lo que el usuario está viendo, y puede grabar y manipular todo el tráfico. Servidor hombre en el medio usuario 23

24 El cifrado ayuda El cifrado puede ayudar a proteger el tráfico de los fisgones. Algunos AP pueden tratar de aislar los dispositivos de los clientes Pero sin una infraestructura de clave pública (PKI), el cifrado fuerte sólo no brinda protección completa ante este tipo de ataques. El túnel puede finalizar en cualquier parte de Internet Los fisgones pueden ver el tráfico inalámbrico no cifrado El tráfico inalámbrico se protege con un túnel cifrado 24

25 Cifrado básico Cifrar información es relativamente fácil. La distribución de clave es difícil. La identificación única es un reto en conexión inalámbrica El cifrado de clave pública resuelve algunos (pero no todos) los problemas. El ataque por hombre en el medio todavía es posible si se usa cifrado sin una infraestructura de clave pública (PKI) Ninguna PKI es completamente segura 25

26 Fallos de PKI: A finales de Enero de 2001, VeriSign entregó por error dos certificados de firmado de código Clase 3 a quien se hacía pasar por representante de Microsoft. Los certificados fueron emitidos a nombre de Microsoft, específicamente a Microsoft Corporation. Después de emitidos los certificados, una inspección rutinaria de VeriSign detectó el error a mediados de marzo, seis semanas más tarde. 26

27 Falla de PKI: En relación a la noticia sobre la vulnerabilidad de certificados CA firmados con MD5 y que comprometen sitios asegurados con SSL, en el blog de Verisign se informa que esa empresa invalidó todos los certificados CA emitidos por ellos que podrían ser objeto del abuso. De esa manera si alguien lograra reproducir el ataque presentado el 30 de Diciembre 2008 en la conferencia C25C3, no podrá llevarlo a cabo con certificados CA de Verisign. 27

28 Cifrado WEP Parte del estándar , el WEP (Wired Equivalent Privacy) - Privacidad Equivalente a Cableado- proporciona cifrado básico compartido en la capa dos. WEP trabaja con casi todos los dispositivos WiFi modernos. Ventajas: Es una característica de seguridad estándar soportada por casi todos los tipos de AP. Desventajas: Clave compartida, múltiples fallos de seguridad, métodos incompatibles de especificación de claves, los mantenimientos a largo plazo de redes grandes son imposibles. Resumen: Use WPA2-PSK en su lugar. 28

29 Cifrado WPA WPA2 (802.11i) es ahora el estándar para acceso WiFi más común. Usa autenticación de puertos 802.1x con el Estándar de Cifrado Avanzado (Advanced Encryption Standard: AES) para proporcionar autenticación y cifrado fuertes. Ventajas: Protección significativamente más fuerte que WEP Estándar abierto Verificación de clientes y AP Buena para redes de campus y oficinas Desventajas: Algunos problemas de interoperabilidad de fabricantes, configuración compleja, protección sólo en capa dos. 29

30 WPA-PSK (clave pre-compartida) PSK quiere decir en inglés Pre-shared key, (clave pre-compartida). La intención de WPA-PSK era proporcionar una solución WPA tan sencilla como WEP, pero más segura. Frase clave de 8 a 64 caracteres. Aunque WPA-PSK es más fuerte que WEP, los problemas persisten. Church of WiFi's WPA2-PSK Rainbow Tables: I millón de contraseñas comunes x SSID comunes. 40 GB de tablas de consulta disponibles en DVD. 30

31 Vulnerabilidades de WPA-TKIP Nuevos ataques se producen constantemente a medida que se descubren nuevos métodos. Esta técnica puede inyectar paquetes pequeños (como los de ARP o DNS) en una red WPA-TKIP. Crackean el sistema de cifrado WPA en 1 minuto Un grupo de investigadores japoneses han desarrollado un procedimiento por medio del cual, en sólo 60 segundos, pueden vulnerar el cifrado WPA que se utiliza actualmente en la mayoría de las redes inalámbricas. Recordemos que hacia fines del año pasado, investigadores ya habían logrado romper este sistema de cifrado, pero tardaban 15 minutos en lograr su objetivo. Los investigadores Toshihiro Ohigashi (de la Universidad de Hiroshima) y Masakatu Morii (de la Universidad de Kobe), publicaron un paper donde dan a conocer algunos detalles de la forma como logran vulnerar el sistema. Ambos investigadores realizarán una demostración práctica de esta vulnerabilidad en una conferencia que se realizará el próximo 25 de Septiembre en la ciudad de Hiroshima. 31

32 Software de cifrado fuerte Un buen software de seguridad de extremo a extremo (end-to-end) debe proporcionar mecanismos fuertes de Autenticación, Cifrado y Manejo de Claves. Por ejemplo: SSL (Secure Socket Layer) SSH (Secure Shell) OpenVPN IPSec (Internet Protocol Security) PPTP (Point-to-Point Tunneling Protocol) 32

33 Túneles cifrados Un cifrado de extremo a extremo brinda protección a todo lo largo hasta el extremo remoto de la conexión. El túnel puede finalizar en cualquier parte de Internet Los fisgones pueden ver el tráfico inalámbrico no cifrado El tráfico inalámbrico se protege con un túnel cifrado 33

34 Cifrado SSL SSL está incorporado a muchos programas de Internet, incluyendo navegadores web, y clientes de correo electrónico. 34

35 Túneles SSH SSH es conocido por proporcionar acceso a la concha (shell) mediante línea de comandos, pero es también una herramienta de uso general para túneles TCP y un proxy de cifrado de SOCKS. Todo el tráfico enviado desde un servidor SSH es no-cifrado SSH capta una conexión TCP en el puerto 3128 del anfitrión local Todo el tráfico web es cifrado por SSH El navegador web usa el puerto 3128 del anfitrión local para su proxy 35

36 OpenVPN VPN abierta es una solución VPN poderosa compatible con diferentes plataformas. Funciona en: Windows Vista/XP/2000, Linux, BSD, Mac OS X SSL/TLS o cifrado de clave compartida VPN para tráfico de capa 2 o capa 3 Robusta y muy flexible: Puede operar sobre TCP, UDP, o incluso SSH! 36

37 Otras VPN IPSec, PPTP, Cisco VPN, etc., proporcionan cifrado fuerte de extremo a extremo. Al proveer cifrado y autenticado fuertes las VPN dan seguridad a la hora de usar redes poco confiables, como hotspots inalámbricos abiertos o Internet. 37

38 Resumen La seguridad es un tema complejo de muchas facetas. Ningún sistema de seguridad es exitoso si le impide a la gente usar la red. Al usar cifrado fuerte de extremo a extremo puede impedir que otros usen esa misma herramienta para atacar su red, y le permite usar con confianza redes poco seguras (desde un AP inalámbrico público hasta la misma Internet). Cuando se aprende a escoger las medidas de seguridad WiFi apropiadas se puede limitar el tipo de ataques a su red, reaccionar ante los problemas y planificar la expansión de la red. 38

39 Gracias por su atención Para más detalles sobre los tópicos presentados en esta charla, vaya al libro Redes Inalámbricas en los Países en Desarrollo, de descarga gratuita en varios idiomas en: 39 Ver el capítulo 6 del libro para más detalles sobre los temas tratados.