Redes 2. Clase 15 WLAN WiFi Administracion y Seguridad

Transcripción

1 Redes 2 Clase 15 WLAN WiFi Administracion y Seguridad

2 Infraestructura de un Mundo Inalámbrico Desarrollo de la infraestructura WiFi. Características WiFi Comunicaciones inalámbricas basadas en la especificación IEEE b. Utilizan la banda de uso común (ISM) de 2,4 GHz. No necesita licencia de uso del espectro. Corto alcance omnidireccional ( m.). Modelo de desarrollo Hot Spot. Se colocan emisores WiFi en puntos públicos o privados de una ciudad sobre accesos de hilos (ADSL, Cable) y se da servicio a los alrededores del punto. Modelo de desarrollo Hot City. Sobre la infraestructura de Fibra Óptica (Gigabit Ethernet) se desarrolla una red de dispositivos WiFi para cubrir toda la ciudad.

3 Arquitectura de una Red Inalámbrica Típica Internet 3

4 Arquitectura de una red empresarial 4

5 Arquitectura de una red con elementos móviles 5

6 Redes grandes La infraestructura de red de una corporación típica implica conectar varios WAPs para conformar una gran red inalámbrica que brinde servicios a toda su planta de oficinas e instalaciones. En este caso los WAPs son manejados en conjunto por un Controlador Inalámbrico el cual puede manejar ajustes a la potencia de RF, canales, autenticación y seguridad. Los controladores también pueden combinarse para formar Grupos de Movilidad Inalámbrica para permitir el roaming entre controladores. 6

7 Redes grandes Lightweight Access Point Protocol olwapp es el nombre de un protocolo que permite controlar múltiples puntos de acceso inalámbricos (WAP) al mismo tiempo. Esto permite reducir el tiempo y trabajo asociado a la configuración, monitorización, administración y troubleshooting en redes inalámbrica de gran tamaño en cuanto al número de puntos de acceso (WAPs) Un controlador es instalado en un servidor central, y a través de este controlador se difunden los datos de configuración, operación y mantenimiento a los dispositivos inalámbricos. El servidor también puede seleccionar a un subconjunto de los dispositivos para aplicarles configuraciones específicas de forma simultanea. 7

8 Redes grandes CAPWAP (Control and provisioning of Wireless Access Points) Protocolo de control y aprovisionamiento de los puntos de acceso inalámbricos. Este protocolo está especificado en el RFC5415 y en el IEEE el enlace es provisto en RFC5416 y está basado en LWAPP (Lightweight Access Point Protocol). CAPWAP es un protocolo estándar de interoperación que permite a un controlador manejar en conjunto un grupo de puntos de acceso inalámbricos. Para ello usa los puertos UDP 5246 y

9 WiFi Futuro Gigabit Wi-Fi Se está trabajando en tres estándares IEEE ac, ad y Wireless Gigabit aka WiGig ac, va a usar la banda de 5 Ghz que era usada por a, con largos canales para datos ad y WiGig entregarán velocidades de 6 Gbps, pero en la banda de 60 GHz. Esta es una buena noticia pero con una desventaja, debido a la alta frecuencia el alcance pasa ser de sólo unos pocos metros, dentro de una misma sala. 9

10 Seguridad 10

11 Requerimientos de las redes Funcionales Ofrecer accesos a los servicios tecnológicos Ofrecer servicio de acceso a la Red Pública Habilitar el acceso seguro a los recursos informáticos brindando movilidad dentro de las instalaciones Permitir movilidad sin perder los privilegios de acuerdo a su rol Seguridad Evitar que la información transmitida pueda ser escuchada y capturada. Evitar modificación de las transmisiones Impedir el acceso de usuarios no autorizados Manejar perfiles de usuario y distinción de privilegios Utilizar sistemas actuales de autenticación Solución homogénea Mecanismo de seguridad que no afecte la disponibilidad de la red ni complique la gestión 11

12 Amenazas a la seguridad en Uso ilegítimo del ancho de banda Violación de privacidad Tráfico ofensivo o delictivo por el que somos responsables (AUP) Acceso a recursos restringidos por rangos IP 12

13 Amenazas a la seguridad en Inexistencia de delimitación física de la red de forma clara Puntos de acceso en la red interna desprotegida: vulnerando seguridad de la compañía Empresa 13

14 Amenazas a la seguridad en La posibilidad de que un AP malicioso sea colocado (Rogue AP) y que equipos portátiles se conecten a la red a través de él comprometiendo todo el tráfico de esos equipos Red 14

15 Tipificación de los Ataques a

16 Ataques Pasivos Sniffing El tráfico de redes inalámbricas puede espiarse con mucha más facilidad que en una LAN Basta con disponer de un portátil con una tarjeta inalámbrica El tráfico que no haya sido cifrado, será accesible para el atacante y el cifrado con WEP también Análisis de tráfico El atacante obtiene información por el mero hecho de examinar el tráfico y sus patrones: a qué hora se encienden ciertos equipos, cuánto tráfico envían, durante cuánto tiempo, etc. 16

17 Ataques Pasivos 17

18 Ataques inicialmente pasivos Wardriving 18

19 Herramientas para WarDriving 1) Portátil, PDA u otro dispositivo móvil con tarjeta inalámbrica (PCMCIA) incorporada 2) Tarjeta WiFi 3) Unidad GPS para fijar las coordenadas exactas en el mapa de la WLAN 4) Software de rastreo tipo NetStumbler, Airsnort,... 5) Software para mapas 6) Antena comprada o casera tipo lata de Pringles o tubo PVC 19

20 Ataques inicialmente pasivos Warchalking Esta práctica consiste en hacer un tipo de marca, con tiza, en la que se informa de la disponibilidad de redes inalámbricas, mediante un sencillo código en el que se informa de si está abierta, ancho de banda SSID, etc. 20

21 Ataques Activos Suplantación Mediante un sniffer para hacerse con varias direcciones MAC válidas El análisis de tráfico le ayudará a saber a qué horas debe conectarse suplantando a un usuario u otro Otra forma consiste en instalar puntos de acceso ilegítimos (rogue) para engañar a usuarios legítimos para que se conecten a este AP en lugar del autorizado Modificación El atacante borra, manipula, añade o reordena los mensajes transmitidos 21

22 Ataques Activos Reactuación Inyectar en la red paquetes interceptados utilizando un sniffer para repetir operaciones que habían sido realizadas por el usuario legítimo Denegación de servicio (DOS) El atacante puede generar interferencias hasta que se produzcan tantos errores en la transmisión que la velocidad caiga a extremos inaceptables o la red deje de operar en absoluto. Otros ataques: inundar con solicitudes de autenticación, solicitudes de autenticación de usuarios legítimos, tramas RTS/CTS para silenciar la red, etc. 22

23 Mecanismos de Seguridad Evitar la difusión del SSID (Service Set IDentifier). Establecer listas de control de acceso por direcciones de MAC (Media Access Control) de los dispositivos que acceden a la red. Utilizar cifrado en las conexiones inalámbricas. Segmentar los puntos de acceso inalámbricos en zonas de seguridad administradas por un firewall. Establecer redes privadas virtuales en las conexiones inalámbricas. Combinar mecanismo de autenticación a la red y cifrado de datos 23

24 Mecanismos de Seguridad Wired Equivalent Privacy (WEP) Parte de la especificación original Pensado para proveer Confidencialidad Integridad Autenticidad Aunque no brinda respuestas satisfactorias en ninguna de ellas Opera en el Nivel 2, modelo OSI Usa clave secreta estática para autenticación y protección de datos Se puede detectar el Vector de Inicialización usado para el cifrado Susceptible a ataques para encontrar la llave de cifrado 24

25 Mecanismos de Seguridad - WEP (Problemas) Serias fallas de diseño Cifrado utiliza RC4: Algoritmo seguro, pero presenta una mala implementación Gestión manual de claves Claves de 40 bits muy cortas Initialization Vector (IV) muy corto (24 bits) Aleatorización deficiente 25

26 Mecanismos de Seguridad - WEP Configuración predeterminada débil Los valores por defecto de los fabricantes suelen excluir la seguridad para facilitar el despliegue Autenticación de la estación, no del usuario Se autentica la máquina, no el individuo que está sentado a la máquina Autenticación unidireccional El cliente no autentica al AP, sólo el AP autentica al cliente Posibilidad de ataques de MITM (Man In The Middle) 26

27 WEP Herramientas para descubrir la clave Disponibles gratuitamente Recolectar entre 5 y 10 millones de frames 2 a 6 horas en una red corporativa Semanas en una red doméstica Una vez recolectado tráfico suficiente, romper la clave es cuestión de segundos 27

28 WEP 28

29 Mejoras a partir de WEP WPA2 29

30 Qué es 802.1X Provee un método para la autenticación y autorización de conexiones a una RED INALÁMBRICA Autenticación basada en el usuario; puede usar credenciales tales como contraseñas o certificados Utiliza EAP (Extensible Authentication Protocol) entre la estación móvil y el punto de acceso Aprovechamiento de protocolos AAA tales como RADIUS para centralizar autenticación y autorizaciones AAA Authentication, Authorization, and Accounting 30

31 802.1X trata sobre la seguridad en las Redes Inalámbricas Por qué RADIUS La autenticación se basa en el usuario, en vez de basarse en el dispositivo Elimina la necesidad de almacenar información de los usuarios en cada access point de la RED, por tanto es considerablemente más fácil de administrar y configurar RADIUS ya ha sido ampliamente difundido para otros tipos de autenticación en la red de trabajo Protocolo de Autenticación Extensible (EAP) Los tipos de autenticación EAP proveen de seguridad a las redes 802.1x Protege las credenciales Protege la seguridad de los datos Tipos comunes de EAP EAP-TLS, EAP-TTLS, EAP-MD5, EAP-Cisco Wireless (LEAP), EAP-PEAP 31

32 Arquitectura para la autenticación de usuarios en la red 32

33 Mecanismos de Autenticación en 802.1X 33

34 Mecanismos de Seguridad VPN VPN (Virtual Private Network) Cifrado es extremo a extremo Túneles IPSEC Requiere la instalación de clientes en cada estación No es escalable y no es siempre posible cubrir todas las plataformas (PC, Unix, MAC, PalmOS, etc ) Superan las limitaciones de WEP Son atractivas para entorno inalámbricos No es transparente el usuario Implica infraestructura adicional para soporte No permiten autenticar dispositivos que acceden a la red 34

35 Pasos a Seguir (Basicos) Eliminar todos los valores predeterminados SSID Contraseña de la aplicación de administración (fuerte) Acceso al router desde Internet Activar el cifrado de datos (mínimo 128 bits) Cerrar la red a dispositivos ajenos Desactivar la difusión del SSID Especificar lista de direcciones MAC permitidas 35

36 Pasos a Seguir (Avanzados) Utilizar WPA/WPA2 (no WEP) Autenticar a los usuarios de manera individualizada Segregar el entorno WiFi Protección por FW/VPN/IPS 36

37 Lecturas recomendadas Stallings, W. [2004] Comunicaciones y Redes de Computadores (7ª Edición), Pearson Educación, S.A., Madrid, Capítulo 17. Matthew S. Gast. Configuración y Administración de redes nalámbricas: Redes Wireless Anaya Multimedia Basado en una version original de O Reilly. Sitios web relacionados con la especificación IEEE

38 Material empleado para realizar esta presentación Carlos Vicente. Seguridad en Redes Universitarias Security.ppt María Paula Espinosa, Carlos Loayza. Seguridad para la Red Inalámbrica de un Campus Universitario. Gonzalo Álvarez Marañón y Pedro Pablo Pérez García. Seguridad en redes inalámbricas WiFi Antonio Martinez Mas. RSRD. Redes y Servicios de Radio. 38

39 Materiales empleado para realizar esta presentación Protocolo CAPWAP Lightweight Access Point Protocol or LWAPP. Enterprise-Level Unified Wired and Wireless Access Solution Solutions/Products/WLAN/H3C_WX 6000_Series_Access_Controllers/Detail_Material_List/200904/631010_57_0.htm George Garza. New WiFi Standars coming. September 23,

40 Más información IETF RFC-2284: PPP Extensible Authentication Protocol (EAP) RFC-2869: RADIUS Extensions RFC-2716: PPP EAP TLS Authentication Protocol Wireless LANs: Freedom vs. Security? ( Roadblocks for War Drivers: Stop Wi-Fi from Making Private Networks Public ( Georgia Tech LAWN Project ( Blue Socket ( ReefEdge ( Vernier Networks ( NoCat ( 40