Toni Pérez toni.perez (at) uib.es
Introducción Puede ser segura la wifi? Segura si! Alta disponibilidad nunca! Disponibilidad vulnerable a nivel 1 y 2 Seguridad equivalente al cableado Necesario acceso 802.1x/TLS y cifrado AES Pero podremos ser tan estrictos? Os suena: Este cacharro tiene wifi y sólo soporta wep Estos invitados necesitan wifi inmediatamente
Qué estamos securizando? Introducción Un servicio complementario no crítico Complementa al cableado existente, no lo substituye Movilidad en un entorno heterogéneo Simplificar el servicio 802.1X es lo más cómodo una vez configurado Gran diversidad de terminales y versiones Usuarios con diferentes necesidades
Arquitectura segura wifi Despliegue de APs Prevenir el robo de APs Definir vlan de gestión Recomendable sistema centralizado Gestión óptima de canales y potencia Facilidad de despliegue de vlans y ssids Autenticar el AP Certificado del AP Punto protegido con 802.1X
Arquitectura segura wifi Despliegue de APs
Configuraciones extra Arquitectura segura wifi Obligatorio DHCP El controler bloquea IPs estáticas No permitir tráfico entre los usuarios wifi Juegos en red, propagación de bichos varios, etc Problemas: VoIP (streams udp directos) y otros P2P Opcional: Autenticar las tramas de gestión Evitar Deauth Floods Problema de compatibilidad
Arquitectura segura wifi Despliegue de APs
Despliegue de SSIDs Arquitectura segura wifi Minimizar el número de SSIDs: Uno por acceso Vlans dedicadas únicamente a wifi SSID Open-Auth: Portal cautivo Eventos Intranet y manuales de configuración eduroam SSID Eduroam: 802.1x Único para todos los usuarios Segmentar vlans PDI,ALU,etc vía atributos RADIUS Aprovechar los atributos para vpn, lan-802.1x, etc
Autenticar usuarios Arquitectura segura wifi Evitar el uso de PSK: si podemos Un secreto compartido no es un secreto Con wep estamos perdidos Con tkip es más teórico que práctico Fuerza bruta contra la PMK (AES/TKIP)
Autenticar usuarios Arquitectura segura wifi
Autenticar usuarios Arquitectura segura wifi 802.1x-Enterprise Una vez configurado es lo mas práctico Problemas: Gestión y distribución de credenciales El cliente decide si verifica el certificado del servidor Quién se atreve con TLS?
Autenticar usuarios Arquitectura segura wifi Portal cautivo Necesario Eventos Acceso a Intranet y manuales para activar servicio eduroam Terminales no compatibles eduroam Cómo ciframos? Nivel 3: VPN/SSL-VPN? VPN? Ojo! DNS-Tunneling
Arquitectura segura wifi DNS-Tunneling DNS DNS micasa.es Petición DNS: 4500..[..]..03.micasa.es Internet Respuesta en el campo de TXT: 45000...[..]..e6e5 Paquetes IP!!!
Arquitectura segura wifi DNS-Tunneling
NAC Control de admisión NAC Arquitectura segura wifi Difícil con la diversidad de terminales Alguna experiencia:
Capas de análisis/filtrado Arquitectura segura wifi Análisis/bloqueo de anomalías wifi (IDS/IDP) Políticas 802.1x vía atributos Radius Filtros de visibilidad: Firewall Análisis/bloqueo de anomalías IP (IDS/IDP) Gestión de ancho de banda LAN/Internet WIFI
Arquitectura segura wifi Red de Sensores Los APs y los clientes: son sensores Podemos construir sensores (Kismet+OpenWRT) Podemos comprar sensores
Amenazas Localización de amenazas
Amenazas Identificación de usuarios
Amenazas Rouge APs Rouge AP en vlan cableada Bridge: Un AP en la LAN Router: Un router-wifi en la LAN PC de usuario en modo bridge/router router eduroam OpenAuth MiDespacho OpenAuth VLAN cableada
Amenazas Usuario Bridge/Router
Suplantación del Portal cautivo Amenazas Robo de credenciales Usuarios que no verifican el certificado Gran problema: unificar servicios/credenciales (SIR) Captura de tráfico
Amenazas Suplantación de SSIDs
Amenazas Suplantación de SSIDs
Amenazas Suplantación de AP/Radius Robo de credenciales (TTLS/PAP) El usuario decide si verifica o no el certificado Robo de sesiones Es más teórico que práctico
Robo de sesión/credenciales Amenazas Client MitM <- Rogue AP/Client -> AP TTLS Server AAA-H Server EAP/Identity Request EAP/Identity Response (anonymous@realm) Tunnel establishment Tunnel Keys Derived Tunnel Keys Derived EAP-Method in Tunnel EAP/Identity Request EAP/Identity Response (user id@realm) EAP/ Request / Method Challenge EAP/Response/ Method Response EAP/ Success WLAN Session Stolen Tunnel Keys Inner EAP Method Keys Derived & Not used
Amenazas Conexión a vecinos Terminales cableados conectados a vecinos wifi
Amenazas Cifra tráfico hacia el portal Confidencialidad en los accesos vía portal Solución de nivel 3: VPN/SSL-VPN Compatibilidad con todos los terminales?
Amenazas DoS nivel 2 Disponibilidad: nivel 2 DoS a nivel 2: Deauth floods MFP: Management Frame Protection Queremos asegurar la compatibilidad?
Amenazas DoS nivel 1 Disponibilidad: nivel 1 DoS a nivel 1: Jammers o fuentes de ruido 34 APs!!!
Amenazas Localizar fuentes de ruido
Amenazas Localizar fuentes de ruido
Amenazas Localizar fuentes de ruido
Amenazas Consultar/correlar Logs Si estamos aburridos: podemos mirar logs (IDS) Deautenticaciones Inyecciones de tráfico NetStumblers, etc IPS-wifi Activamos la protección activa?
Conclusión Seamos realistas Todo este trabajo Para virtualizar un cable!! Hay frentes más vulnerables y fructíferos Puertas blindadas en paredes de pladur Ojalá la LAN tuviera esta gestión de acceso Exportar la experiencia 802.1x a la LAN
Toni Pérez Sánchez toni.perez (at) uib.es