Seguridad en Redes Inalámbricas

Transcripción

1 Seguridad en Redes Inalámbricas Autores: Leonardo Uzcátegui Angel Chacon Introducción En la actualidad, gracias a la movilidad y reducción de costos que aporta la tecnología Wi-Fi, han surgido un gran número de redes inalámbricas en oficinas, centros de trabajo y lugares públicos (hot-spots). Sin embargo muchas veces no se tiene en cuenta la vulnerabilidad de estas redes tanto respecto a la privacidad de las comunicaciones como frente a intrusiones en la red. Por tanto, a la hora de afrontar el reto de la movilidad, es imprescindible conocer los diferentes protocolos y mecanismos de seguridad existentes y tomar las medidas adecuadas. Mecanismos de Seguridad Inalámbrica Básicos: Wired Equivalent Privacy (WEP): Se trata del primer mecanismo de seguridad implementado, fue diseñado para ofrecer un cierto grado de privacidad, pero no puede compararse con protocolos de redes más seguros tales como IPSec para la creación de Virtual Private Networks (VPN). WEP cifra los datos que se envían a través de las ondas de radio. WEP utiliza una clave secreta, utilizada para el cifrado de los paquetes antes de su transmisión. El algoritmo utilizado para el cifrado es RC4. Por defecto, WEP está deshabilitado. Open System Authentication: Consiste en autenticar todas las peticiones que se reciben. El principal problema de este mecanismo es que no realiza ninguna comprobación y, además, todas las tramas de gestión son enviadas sin ningún tipo de cifrado, incluso cuando se ha activado WEP. Por lo tanto no ofrece ningún tipo de protección. Access Control List (ACL): Si bien no forma parte del estándar, la mayor parte de los productos dan soporte al mismo. Se utiliza como mecanismo de autenticación la dirección MAC de cada estación, permitiendo el acceso únicamente a aquellas estaciones cuya MAC figura en la lista de control de acceso (ACL). Es muy fácil de violar cambiando la MAC de la estación pirata a una de las autorizadas. Closed Network Access Control: Consiste en impedir que el AP difunda el SSID de la red, como una manera trivial de impedir que las estaciones se conecten. Sólo se permite el acceso a la red a aquellos que hayan averiguado el nombre de la red, o SSID. Éste nombre viene a actuar como contraseña. Firewall: Sistema de defensa basado en la instalación de una "barrera" entre una EsLaRed: WALC 2009 Seguridad en Redes Inalámbricas 1

2 computadora, un AP o un router y la Red por la que circulan todos los datos. Este tráfico es autorizado o denegado por el firewall, (cortafuego) siguiendo instrucciones previamente configuradas. Avanzados: Protocolo de Integridad de Clave Temporal (TKIP): Con este protocolo se pretende resolver algunas de las deficiencias del algoritmo WEP, este protocolo posee un código de integración de mensajes (MIC) el cual cifra el checksum incluyendo las direcciones físicas (MAC) del origen y del destino y los datos en texto claro de la trama protegiendo con esto cualquier ataque por falsificación. Extensible Authentication Protocol with Transport Layer Security (EAP-TLS): Protocolo de autenticación basado en certificados digitales. Ofrece una autenticación fuerte mutua (es decir tanto de la estación como del punto de acceso), credenciales de seguridad y claves de encriptación dinámicas. Requiere la distribución de certificados digitales a todos los usuarios así como a los servidores RADIUS (Remote Authentication Dial In User Service). Virtual Private Network (VPN): Sistema para simular una red privada sobre una pública, como por ejemplo Internet, La idea es que la red pública sea vista desde dentro de la red privada como un cable lógico que une dos o más redes que pertenecen a la red privada. Estándar IEEE 802.1X : Utiliza el protocolo de autenticación extensible (EAP), para autenticar al dispositivo móvil, permitiendo a la Entidad de Autenticación de Puertos (Port Authentication Entity, PAE) un control del proceso de autenticación a la red. Wifi Protected Access (WPA): WPA utiliza el protocolo de integridad de clave temporal (TKIP) para codificar los datos, además Implementa el estándar 802.1x utilizando el protocolo de autenticación extensible (EAP). Wifi Protected Access 2 (WPA2): basado en el estándar de seguridad i cumpliendo con las normas del National Institute of Standards and Technology (NIST) FIPS WPA2 implementa el algoritmo AES a diferencia de WPA que utiliza RC4, sin embargo WPA2 es totalmente compatible con WPA. Desarrollo Práctico Para la realización de está práctica, previamente se instaló y configuró el software de dominio público (GNU) freeradius, ( el cual es una implementación en Linux del sistema de autenticación RADIUS. EsLaRed: WALC 2009 Seguridad en Redes Inalámbricas 2

3 Servidor RADIUS (802.1X - Autentication Server) IP: SSID: Taller1 IP: G: AP ROUTER Auditoria Wireless KISMET Modo: Monitor INTERNET Cliente (802.1X - Supplicant) Cliente (802.1X - Supplicant) Cliente (802.1X - Supplicant) Grupo 1 Grupo 2 Grupo 3 IP: G: IP: G: Fig. 1. Topología de la red para el desarrollo práctico IP: G: También se creó previamente, una Autoridad de Certificación para generar los certificados digitales que se utilizarán en la práctica. Es necesario el uso de certificados digitales para establecer una conexión segura, estos certificados deben de ser confiables, o sea que deben ser validados (firmados) por una autoridad de certificación que actúa como notario, asegurando que el certificado firmado es del ente (persona, equipo, software, etc.) que dice ser; Estos certificados se realizaron utilizando el programa de fuente abierta OpenSSL ( Como ejemplo, la Universidad de los Andes de Venezuela es una autoridad de certificación. La distribución de Linux que se utilizará en la práctica es Wifislax, que viene siendo una metadistribución de Linux basada en Slax y su predecesor BackTrack. Es un live CD el cual puede ser instalable y su principal propósito es la Auditoria de Redes Inalámbricas. De esta distribución utilizaremos una de las mejores herramientas en la detección y auditoria de redes inalámbricas como es el Kismet, el cual es un programa para Linux que permite detectar redes inalámbricas (WLANs) mediante la utilización de tarjetas wireless en los estándar a, b y g. Primera Parte: 802.1x WPA WPA utiliza el protocolo de integridad de clave temporal (TKIP) para codificar los datos, además Implementa el estándar 802.1x utilizando el protocolo de autenticación extensible (EAP). Para disfrutar de las ventajas de seguridad que plantea el estándar 802.1x conjuntamente con WPA es necesario configurar un servidor de autenticación, para este caso, hemos escogido RADIUS. Esta parte de la práctica se divide en tres secciones: la primera configuración del servidor EsLaRed: WALC 2009 Seguridad en Redes Inalámbricas 3

4 RADIUS, la segunda configuración del AP y la tercera la configuración de la Tarjeta Wireless del cliente Servidor Radius AP WRT54G Wireless NIC Servidor de Autenticación Autenticador Supplicant A) Configuración del Servidor de Autenticación NOTA: Esta actividad sólo se llevará a cabo en la estación marcada como Servidor RADIUS en la Fig. 1. El programa ha sido previamente instalado en el sistema Diríjase al archivo de configuración del radius maquina1:~# cd /usr/local/etc/raddb Edite el archivo eap.conf y modifique las entradas marcadas en negritas maquina1:~# vi eap.conf # eap.conf, 2004/10/25 16:54:41 by leonu@ula.ve # eap { default_eap_type = tls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no # Supported EAP-types md5 { # Cisco LEAP leap { # Generic Token Card gtc { auth_type = PAP ## EAP-TLS tls { private_key_password = password del certificado del serv. radius private_key_file = /usr/local/etc/raddb/certs/<nombre>key.pem certificate_file = /usr/local/etc/raddb/certs/<nombre>crt.pem CA_file = /usr/local/etc/raddb/certs/rootca.pem dh_file = /usr/local/etc/raddb/certs/dh random_file = /usr/local/etc/raddb/certs/random EsLaRed: WALC 2009 Seguridad en Redes Inalámbricas 4

5 # fragment_size = 1024 # include_length = yes # check_cert_cn = %{User-Name peap { default_eap_type = tls mschapv2 { NOTA: Cambie <nombre> por el nombre que se le otorgó al certificado que fue creado para el servidor radius. Edite el archivo users maquina1:~# vi users añada una entrada como la siguiente <nombre_maquina> Auth-Type := EAP Donde <nombre_maquina> es el nombre de la máquina marcada como cliente en la Fig. 1 (Grupo1, Grupo2, etc.). Edite el archivo clients.conf maquina1:~# vi clients.conf Agregue las siguientes líneas al final del archivo (cambie las x por la dirección de su red) client x.x/24 { secret = Walc2009 shortname = 802.1x Corremos el demonio del servidor Radius maquina1:~#/usr/local/sbin/radiusd X A Al final del proceso de carga y verificación de configuración que efectúa el demonio deberá aparecer lo siguiente: Module: Instantiated radutmp (radutmp) Listening on authentication *:1812 Listening on accounting *:1813 Listening on proxy *:1814 Ready to process requests. B) Configuración del Autenticador (AP): EsLaRed: WALC 2009 Seguridad en Redes Inalámbricas 5

6 Abra un browser y direcciónelo a la URL que muestra la etiqueta que tiene el AP Linksys WRT54G Ingrese al equipo: Nombre de Usuario: root Password: root Realice un click en Basic Diríjase a la sección Wireless En Wireless Mode: Access Point En B/G Mode: Mixed En SSID: Taller1 Channel: dependerá del Site Survey En Security seleccione la opción WPA Enterprise Encryption: TKIP Shared Key: Es el secreto compartido que utilizan el servidor de autenticación (RADIUS) y el autenticador (el AP) para cifrar su comunicación. El secreto compartido es Walc2009 Radius Server: dirección IP del servidor Radius configurado. (ver Fig. 1). EL puerto habilitado para autenticación Radius por defecto es el Guardar: Una vez copiado todos los datos realizamos un clic en Save, se perderá la conexión hasta que se configure la tarjeta inalámbrica. C) Instalación del Certificado Digital A continuación se describe el proceso de instalación del certificado digital correspondiente a cada grupo. Este procedimiento sólo se llevará a cabo en las estaciones marcadas como Cliente en la Fig. 1. El instructor suministrará a cada grupo el archivo que contiene el certificado digital. Dar un click al archivo cuya extensión es pkcs12 y lleva el nombre de cada grupo. En la ventana que se despliega correspondiente al Asistente para importación de certificados, presionar siguiente y nuevamente siguiente. EsLaRed: WALC 2009 Seguridad en Redes Inalámbricas 6

7 Luego escribir la contraseña para la clave privada. La contraseña para cada grupo corresponde al nombre de cada grupo; es decir, para el grupo1 su contraseña es grupo1 y así sucesivamente para los demás grupos. Luego presionar siguiente y nuevamente siguiente y por último finalizar y tendremos instalado nuestro certificado digital que se encuentra en el almacén de certificados correspondiente. Procedemos a verificar la instalación correcta del certificado. Abrimos nuestro browser o navegador y nos dirigimos a Herramientas - Opciones de internet Contenido Certificados y allí verificamos que la instalación sea correcta. Hacer doble click en el certificado correspondiente y discutir con los Instructores y Compañeros la información que posee dicho certificado D) Configuración del Supplicant: En esta sección vamos a realizar la configuración de la Tarjeta Wireless del cliente. Esta actividad sólo se llevará a cabo en las estaciones marcadas como Cliente en la Fig. 1. El procedimiento descrito a continuación se refiere a la configuración de la tarjeta inalámbrica interna de su computador personal, bajo el sistema operativo Windows Vista. Si su sistema operativo Windows es diferente al descrito anteriormente no debería de tener mayores complicaciones ya que el procedimiento es similar. Realice un clic con el botón derecho de su mouse en el icono correspondiente a la tarjeta inalámbrica, situado en la parte inferior derecha en el escritorio de su computador y diríjase a Centro de redes y recursos compartidos. Luego presione Administrar redes inalámbricas. Agregar y Crear un perfil manualmente Procedemos a ingresar manualmente los datos necesarios para la configuración de nuestra red inalámbrica. Nombre de la Red: Taller1 Tipo de seguridad: WPA Enterprise Tipo de cifrado: TKIP Click en siguiente y luego en cerrar. Luego nos situamos en el nombre de la red que hemos agregado manualmente y se abrirá una nueva ventana y nos dirigimos a la pestaña Seguridad. EsLaRed: WALC 2009 Seguridad en Redes Inalámbricas 7

8 En la pestaña Elija un método de autenticación de red elegimos Tarjeta inteligente u otro certificado y presionamos configuración. En Entidades de certificación raíz de confianza validamos nuestra CA, o Autoridad de Certificación previamente instalada y presionamos aceptar. Aceptar nuevamente Luego es posible que se despliegue una nueva ventana con la finalidad que indiquemos nuestro certificado correspondiente que se instalo anteriormente y presionamos aceptar. Revise el servidor Radius, analice el resultado y coméntelo con sus Instructores y Compañeros. En este momento la comunicación entre el Supplicant y el Autenticador está siendo cifrada utilizando TKIP, por lo que habremos cumplido con los tres objetivos de una comunicación segura: Autenticación, Confidencialidad e Integridad. Segunda Parte: Sniffers Inalámbricos: NOTA:Esta actividad sólo se llevará a cabo en la estación marcada como KISMET en la Fig. 1. En los ambientes conectados a una red de computadoras, la seguridad de los datos y de las comunicaciones depende de tres factores: la autenticación, la confidencialidad y la integridad de los datos. Estos factores son válidos tanto para redes cableadas como para redes inalámbricas. El diseño de los protocolos TCP/IP y las redes construidas usando estos protocolos, como la Internet, hacen difícil proporcionar estos tres factores de seguridad. La ausencia de seguridad apropiada para las transmisiones de datos en las redes IP y más aún en las redes inalámbricas las hacen vulnerables a una variedad de ataques y amenazas. En esta sección se explicará lo relacionado con uno de los mejores programas para verificación de redes inalámbricas de fuente abierta como lo es el Kismet. Kismet es un detector de redes inalámbricas, sniffer y sistema detector de intrusos (IDS), Kismet funciona en todas las tarjetas inalámbricas que soporten el modo Monitor y es capaz de escuchar tráfico de redes a, b y g. Para poder utilizar herramientas de captura de tráfico inalámbricas es necesario colocar la tarjeta en modo Monitor, esto significa que el nodo actúa como un monitor pasivo y sólo recibe paquetes de la red. Por lo general los drivers de las tarjetas inalámbricas no tienen activo el modo Monitor por lo que se hace necesario en algunas ocasiones instalar una corrección a la fuente original de los drivers y compilar éstos de nuevo. EsLaRed: WALC 2009 Seguridad en Redes Inalámbricas 8

9 En nuestro caso gracias a la ayuda que nos proporciona Wifislax y la tarjeta inalámbrica del computador en donde se desarrolla esta parte de la práctica, sólo con un simple comando colocamos la tarjeta en modo promiscuo o monitor. maquina1:~#/iwconfig ath0 mode monitor En este momento tenemos la tarjeta con características de modo Monitor, lo cual significa que podemos utilizar programas tipo sniffers para buscar vulnerabilidades y detectar posibles intrusiones y amenazas a nuestra red. A) Configuración de Kismet: El programa ya viene instalado en la distribución Wifislax. Compruebe cuál es la interfaz inalámbrica maquina1:~# iwconfig Agregue un usuario al sistema (este será el usuario con que se ejecute el programa) maquina1:~# useradd <nombre de maquina> Editamos el archivo de configuración de kismet, (utilice el editor de su preferencia, vim, pico, elvis, etc). Lea cuidadosamente el contenido de este archivo, edite solo los campos necesarios para el funcionamiento del programa. maquina1:~# vi /usr/local/etc/kismet.conf A continuación se muestran los cambios a realizar en el archivo resaltados en negritas # Kismet config file # Most of the "static" configs have been moved to here -- the command line # config was getting way too crowded and cryptic. We want functionality, # not continually reading --help! # Version of Kismet config version= devel.a # Name of server (Purely for organizational purposes) servername=kismet # User to setid to (should be your normal user) suiduser=<escriba el nombre de usuario aquí> # Sources are defined as: # source=cardtype,interface,name[,initialchannel] # Card types and required drivers are listed in the README. EsLaRed: WALC 2009 Seguridad en Redes Inalámbricas 9

10 # The initial channel is optional, if hopping is not enabled it can be used # to set the channel the interface listens on. #source=cisco,eth0,ciscosource # source=prism2_avs,wlan0,newprism2source source=orinoco,eth0,orinoco #Descomente esta línea source=rt2500,wlan0,ralink #Descomente esta línea # An example source line with an initial channel: #source=orinoco,eth0,silver, Cierre el archivo kismet.conf y ejecute el comando kismet en una consola del sistema maquina1:~# kismet La interfaz gráfica de Kismet es muy completa, esta interfaz consta de 3 ventanas y varios paneles de tipo popup. Ventana principal (Network List): aparecen las diversas "Redes" que podemos llegar a ver. Ventana de estadísticas (Info): lleva un conteo de los paquetes recibidos, el tiempo, etc. Ventana de estado (Status): se remarcan los últimos eventos, tales como redes descubiertas, IPs, direcciones MAC, etc Network List Name T W Ch Packts Flags IP Range!Wireless123 A N PostgradoControl A N Fig. 2. Ventana Kismet En la Figura 2 tenemos 2 redes; Wireless123 es el SSID de un AP y "PostgradoControl" es otro SSID descubierto por Kismet. Al lado del nombre (Name) de cada red descubierta podemos encontrar un signo de exclamación (!) un punto (.) o simplemente nada ( ), esto nos indica el tiempo que ha pasado desde que se recibió un paquete en esa red. (!) Indica actividad detectada en los últimos 3 segundos. (.) Indica actividad detectada en los últimos 6 segundos. ( ) No hay actividad. Los colores indican si usan encriptación y, en general, cuán seguro es cada uno. El verde indica encriptación, el amarillo sin encriptación, y el rojo el propio gateway. EsLaRed: WALC 2009 Seguridad en Redes Inalámbricas 10

11 Kismet puede detectar el nombre o SSID de una red wireless que esté oculta, siempre que haya clientes autenticados y asociados a la misma, en ese caso el color del SSID o el nombre de la red será visible y se mostrará en color azul. Si no hay clientes, no se podrá ver el nombre de la red inalámbrica detectada, la podrá observar, pero no será capaz de determinar su nombre de red (SSID). Columna T: Nos indica el modo de funcionamiento del dispositivo Wifi detectado. Dicha bandera, nos ofrecerá diferentes valores como [A] si es un punto de acceso (AP: Acces Point), [H] si está en modo ad-hoc, [G] si es un grupo de redes wireless o [P] si es un dispositivo en modo "probe request" (tarjeta wifi que no está conectada a ningún AP). Columna W: Uso de encriptación: [Y] en caso de usar WEP, [N] si es abierta, [O] si usa otro tipo de encriptación. Columna CH: Muestra el canal a que pertenece la red. Columna Packets: es el conteo de paquetes recibidos de esa red por kismet. IP Range: es el rango de direcciones que abarca la red descubierta Con esta información es posible ubicar redes cercanas y ver la tasa de transferencias de paquetes que recibimos, ubicar el rango de IPp en que trabaja y más importante aún detectar el canal en que está trabajando la red para evitar interferencias y solapamientos entre canales. Sin embargo el hecho de conseguir redes cercanas no significa poder asociarse a éstas, sólo indica que podemos recibir, pero no garantiza que tengamos capacidad para transmitir. Para obtener más ayuda de kismet presione la tecla (H)elp Presionando la tecla (S)ort es posible elegir la opción de orden. Otras opciones: (P)ackets Types Muestra el tipo de paquetes que pasa por la red. Esto es interesante ya que permite determinar si se tratan de NOISE o BEACONS o directamente tráfico recibido de alguna STA (estación). Network Deta(i)ls Información sobre la red, MAC del AP, clientes conectados actualmente, Paquetes recibidos, (diferencia entre paquetes LLC y de datos). (C)lients List Listado de clientes encontrados dentro de la RED, esta opción muestra información interesante, como la calidad de la señal, la dirección MAC, la dirección IP, y el ID del fabricante. EsLaRed: WALC 2009 Seguridad en Redes Inalámbricas 11

12 (D)ump packets Muestra los datos recibidos en formato ASCII. B) Captura de Datos con Kismet: Los participantes que se encuentra en la estación marcada como Cliente en la topología deberán realizar la siguiente tarea: o Abrir un browser (navegador) y apuntarlo a las direcciones que el instructor le informará Los participantes de la estaciones marcadas como KISMET en la topología, pueden observar el tráfico capturado en vivo presionando la tecla d Cuando el instructor lo indique, cierre la sesión de kismet, esto se logra tecleando shift. +q C) Análisis de Logs: Kismet mantiene los logs (bitácoras) en varios archivos declarados en el kismet.conf, cada uno en distinto formato, la opción logtypes del kismet.conf establece los formatos de archivos en que se realiza el log. logtypes=dump,network,csv,xml,weak,cisco,gps dump: archivo en formato crudo (Raw dump) es de mucha utilidad para el estudio del tráfico. network: redes detectadas en texto plano. csv: redes detectadas en texto plano en formato CSV (Comma Separated Values). weak: weak packets (en formato airsnort). cisco: cisco equipment CDP broadcast. xml: En formato XML, tanto para paquetes de red como para paquetes Cisco. gps: Coordenadas de GPS (en caso de que tengamos GPS conectado a la máquina) Revise los logs en formato dump con la siguiente instrucción maquina1:~# tcpdump r Kismet-XX-XX-2009-x.dump more Discutir los resultados con los instructores y sus compañeros. EsLaRed: WALC 2009 Seguridad en Redes Inalámbricas 12