Hola hola hola hola hola Hola hola hola hola hola Hola hola hola Introducció a la Seguretat WiFi EN ENTORNS CORPORATIUS Direcció Operativa de Formació 14/05/2015
2
3
4
01 TEMARI 5
CONTINGUT DEL CURS 1. Introducció i conceptes - Creació de l estàndard - Dispositius utilitzats - Canals i freqüències - Problemàtiques i solucions - Evolució 2. Implantació d una xarxa inalàmbrica - Disseny de la xarxa - SSIDs - Standalone o controladora - Ubicació dels Aps - Estàndards habilitats - Configuració de Seguretat - Manteniment 6
CONTINGUT DEL CURS 3. Seguretat - Riscos - Atacs 4. Eines - Implantació - Manteniment - Seguretat 7
02 INTRODUCCIÓ WIFI toni.haro@segall.es javier.alloza@segall.es 8
WIFI SEGURETAT- INTRODUCCIÓ CREACIÓ D ESTÀNDAR Creat per Wifi Alliance (3com, Lucent, Nokia...) l any 1999 per estandarditzar tecnologies inalàmbriques. Wi-Fi: Wireless Fidelity Primer estàndard 802.11b Amb els anys han aparegut noves normatives que milloren la tecnologia. 9
WIFI SEGURETAT - INTRODUCCIÓ CREACIÓ D ESTÀNDAR Connexió inalàmbrica de dispositius Disseny equivalent a ethernet (802.3) passant a tecnologia inalàmbrica les capes físiques i MAC. Curt abast: aprox. 30 metres interior i 100 metres en exterior (802.11b/g) Capacitat limitada 10
WIFI SEGURETAT - INTRODUCCIÓ DISPOSITIUS UTILITZATS Router inalàmbric Targetes de xarxa Access Point o AP Mòbils Controladora Antenes 11
WIFI SEGURETAT - INTRODUCCIÓ CANALS I FREQÜÈNCIES Freqüències de 2.4 GHz i 5 GHz Separació en canals Límit de potència segons el país (100 mw- 20dbm) Canales para la frecuencia de 2.4 GHz 12
WIFI SEGURETAT - INTRODUCCIÓ CANALS I FREQÜÈNCIES Per augmentar la velocitat de transmissió necessitem canals més amplis Per tenir canals més amplis necessitem freqüències de transmissió més elevades 13
WIFI SEGURETAT - INTRODUCCIÓ CANALS I FREQÜÈNCIES Interferències entre canals: 802.11a/g utilitzen 20 MHz 802.11n utilitzen 40 MHz 802.11ac utilitzen 80 o 160 MHz Interferències amb altres tecnologies com bluetooth o microones, a la banda de 2.4 GHz 14
WIFI SEGURETAT - INTRODUCCIÓ PROBLEMÀTIQUES I SOLUCIONS DIFICULTATS Espai radioelèctric compartit Cobertura limitada i depenent de l entorn Rendiment depenent del número d usuaris connectats Interferències amb altres dispositius wifi inalàmbrics Interferències amb altres equips que generen radiacions SOLUCIONS Augmentar el nombre de punts d accés (AP) per cobrir una zona Ubicar adequadament dels APs Controlar la potència per evitar interferències Escollir bé els canals per evitar interferències Utilitzar antenes directives (amb guanys) 15
WIFI SEGURETAT - INTRODUCCIÓ EVOLUCIÓ Augment significatiu de l ús de xarxes inalàmbriques, que requereix: Més velocitat (canals més amplis més freqüència portadora) Un major nombre de dispositius connectats 16
WIFI SEGURETAT - INTRODUCCIÓ EVOLUCIÓ Per augmentar el rendiment es fa ús de noves tecnologies (beamforming, MIMO) i s augmenta l amplada de banda. 17
WIFI SEGURETAT - INTRODUCCIÓ EVOLUCIÓ Beamforming MIMO 18
WIFI SEGURETAT - INTRODUCCIÓ EVOLUCIÓ La normativa 802.11ac aconsegueix trencar la barrera del gigabit per segon 19
WIFI SEGURETAT - INTRODUCCIÓ EVOLUCIÓ 20
PREGUNTES??? 21
03 IMPLANTACIÓ WIFI toni.haro@segall.es javier.alloza@segall.es 22
WIFI SEGURETAT - IMPLANTACIÓ DISSENY SSIDs Ubicació APs Standalone (Fat APs) o Controladora (Thin APs) Multichannel o Single channel Estàndard, Canals i Potència Seguretat 23
WIFI SEGURETAT - IMPLANTACIÓ DISSENY SSIDs (Service Set IDentifier) Número de la xarxa inalàmbrica Un o diversos SSIDs AP fan broadcast dels SSID 24
WIFI SEGURETAT - IMPLANTACIÓ DISSENY SSIDs (Service Set IDentifier) Mode d operació SSID separats per VLAN El Broadcast es pot deshabilitar 25
WIFI SEGURETAT - IMPLANTACIÓ DISSENY Standalone o Controladora Amb Standalone cada APs funciona de forma independent i autònoma Utilitzat en entorns petits 26
WIFI SEGURETAT - IMPLANTACIÓ DISSENY Multichannel o Singlechannel Amb Multichannel es cobreix la superfície amb cel les en diferents canals Objectiu: minimitzar les interferències entre cel les 27
WIFI SEGURETAT - IMPLANTACIÓ DISSENY Multichannel o Singlechannel Amb Multichannel podem tenir forats en la cobertura o interferències entre les cel les. 28
WIFI SEGURETAT - IMPLANTACIÓ DISSENY Multichannel o Singlechannel Amb Singlechannel tots els APs emeten en el mateix canal. Hi ha un 100% de potència per AP. A cada usuari se li dóna el servei AP òptim. 29
WIFI SEGURETAT - IMPLANTACIÓ DISSENY Multichannel o Singlechannel El Singlechannel permet diverses capes de cobertura (Channel Layering). Cada capa pot donar diferents nivells de servei. 30
WIFI SEGURETAT - IMPLANTACIÓ DISSENY Multichannel o Singlechannel Els nous estàndards Wifi requereixen canals més amplis. Per el Wifi 802.11ac i 160 MHz no es disposa dels 3 canals necessaris. 31
WIFI SEGURETAT - IMPLANTACIÓ DISSENY UBICACIÓ DELS APs Ha de permetre cobrir completament l àrea a la qual se li dóna servei Tenir en compte l entorn (materials, interferències...) Tenir en compte les connexions per AP Procurar tenir cobertura per cable fins els APs 32
WIFI SEGURETAT - IMPLANTACIÓ DISSENY UBICACIÓ DELS APs Les prestacions disminueixen exponencialment amb la distància. 33
WIFI SEGURETAT - IMPLANTACIÓ DISSENY UBICACIÓ DELS APs Considerar fonts d interfícies en la freqüència utilitzada. Per2.4 GHz: microones, bluetooth, APs de xarxes alienes... 34
WIFI SEGURETAT - IMPLANTACIÓ DISSENY ESTÀNDARDS HABILITATS Quants més estàndards estan suportats pitjor és el rendiment Utilitzar canals lliures Tenir en compte la regulació del país Regular els canals i la potència per evitar interferències entre els nostres APs En cas d utilitzar Singlechannel cal separar els estàndards per capes 35
WIFI SEGURETAT - IMPLANTACIÓ CONFIGURACIÓ DE SEGURETAT Autentificació/xifrat (WEP, WPA, WPA2) PSK/Radius (empresarial) Client Isolation/ ACLs Firmware actualitzat Filtro MAC, DHCP, SSID ocult WPS VPN 36
WIFI SEGURETAT - IMPLANTACIÓ CONFIGURACIÓ DE SEGURETAT WPA2>WPA>WEP>oberta WEP Open System (només xifrat) Key Shared WPA (TKIP), WPA2 (AES-CCMP) PSK (Pre Shared Key) Radius (EAP 802.1x) 37
WIFI SEGURETAT - IMPLANTACIÓ CONFIGURACIÓ DE SEGURETAT PSK Clau compartida per a totes les sessions Atacable quan està offline Radius Requereix d un servidor d autentificació/autorització Hi ha una clau única per sessió Permet el bloqueig Serveix per entorns empresarials 38
WIFI SEGURETAT - IMPLANTACIÓ CONFIGURACIÓ DE SEGURETAT Client Isolation No permet la comunicació entre clients Layer 2 o InterAP 39
WIFI SEGURETAT - IMPLANTACIÓ CONFIGURACIÓ DE SEGURETAT ACLs (Access Control List) Permeten o deneguen el tràfic de capa 3 Es pot especificar el protocol IP, port... 40
WIFI SEGURETAT - IMPLANTACIÓ CONFIGURACIÓ DE SEGURETAT SSID Schedule Permet limitar l horari de connexió 41
WIFI SEGURETAT - IMPLANTACIÓ CONFIGURACIÓ DE SEGURETAT Portal Cautivo Permet controlar l accés a un servei 42
WIFI SEGURETAT - IMPLANTACIÓ CONFIGURACIÓ DE SEGURETAT Mesures complementàries: Filtre MAC DHCP SSID ocult 43
WIFI SEGURETAT - IMPLANTACIÓ CONFIGURACIÓ DE SEGURETAT WPS (Wifi Protected Setup) Orientat a facilitar la connexió Hi ha diversos sistemes: PIN (obligatori per la certificació) PBC (obligatori per la certificació en APs) NFC USB És un sistema vulnerable 44
WIFI SEGURETAT - IMPLANTACIÓ CONFIGURACIÓ DE SEGURETAT VPN (Virtual Private Network) És l opció més segura però és complexa d implementar Els APs es poden configurar sense autentificació o combinar ambdós sistemes de seguretat Un cop associat només es pot iniciar una connexió VPN 45
WIFI SEGURETAT - IMPLANTACIÓ MANTENIMENT Identificació i mitigació d interferències Detecció d intrusions Hardware en bon estat Actualització Firmware 46
PREGUNTES??? 47
04 RISCOS toni.haro@segall.es javier.alloza@segall.es 48
WIFI SEGURETAT - RISCOS RISCOS L accés inalàmbric permet la mobilitat i l accés a la xarxa de tot tipus de dispositius (PCs, impresores, mòbils, tablets, càmeres...) Aquesta millora en la connectivitat té com a contrapartida un augment dels riscos en la seguretat. 49
WIFI SEGURETAT - RISCOS RISCOS Impossibilitat de controlar la cobertura dels APs Intrusió de xarxa (ús no autoritzat) Intercepció de dades (Sniffers) Fake APs (Man-in-the-Middle) Tracking d Usuaris Denegació de servei Configuració inadequada... 50
WIFI SEGURETAT - RISCOS RISCOS La cobertura dels APs no és precisa. És important controlar la potència i l abast de la nostra xarxa inalàmbrica. El límit legal és 100mW però existeixen dispositius amb més potència. Piggy-back: ús no autoritzat de xarxes alienes. Wardriving: cerca i registre de les xarxes d una zona mitjançant un vehicle. 51
WIFI SEGURETAT - RISCOS RISCOS L ús no autoritzat d una xarxa és habitual degut a l existència d una multitud de xarxes obertes o amb autentificació dèbil. Els motius solen ser: Obtenir un accés a Internet gratuït Atacar els equips de la xarxa Atacar equips remots des de la xarxa Interceptar el tràfic de dades 52
WIFI SEGURETAT - RISCOS RISCOS Intercepció de dades _ Connectar-se a xarxes públiques és un dels riscos de seguretat Xarxes Obertes: Fake AP Sniffers Phishing Solució: xifrat (web, correu,...) vpn 53
WIFI SEGURETAT - RISCOS RISCOS Fake APs Punt d accés fals Imita a un AP real (SSID) Obté passwords (Phishing, caffe-latte,...) Atacs Man-in-the-Middle Connexió automàtica dels dispositius 54
WIFI SEGURETAT - RISCOS RISCOS MAC identifica a l usuari El seguiment del dispositiu/usuari No és necessari connectar-se al AP (Probe request). Solució: MAC spoofing. 55
WIFI SEGURETAT - RISCOS RISCOS És molt fàcil realitzar un atac de denegació de servei (DoS) a una xarxa Wifi. Es coneix com Wifi Jamming. S envien infinits paquets de desautentificació. Pot bloquejar tota la xarxa o a un client en concret. L atacant utilitza un dispositiu amb alta potència. If you can t hack it, DoS it 56
WIFI SEGURETAT - RISCOS RISCOS Les configuracions inadequades són un risc de seguretat: Configuracions per defecte Eines automatitzades que obtenen les claus Pocs canvis regulars de les claus Desactualitzacions del firmware 57
WIFI SEGURETAT RISCOS EXEMPLES D ATACS Atac a protocol WEP Atac a protocol WPS 58
PREGUNTES??? 59
05 EINES toni.haro@segall.es javier.alloza@segall.es 60
WIFI SEGURETAT - EINES IMPLANTACIÓ Els escaners proporcionen informació dels APs SSID Canals Potència Protocols de Seguretat Ubicació (GPS) 61
WIFI SEGURETAT - EINES IMPLANTACIÓ Un analitzador espectral permet examinar les ones radioelèctriques que utilitza el Wifi Tràfic Ocupació Potència Interferències... 62
WIFI SEGURETAT - EINES IMPLANTACIÓ Site Planning Previ a la implantació Partint dels plans de la instal lació Té llibreries de materials Indica el número òptim de APs i la seva ubicació Es complementa amb anàlisis de cobertura 63
WIFI SEGURETAT - EINES IMPLANTACIÓ Site Survey (estudi de cobertura) Previ o posterior a la implantació Es recorren les instal lacions monotoritzant la cobertura Permet localitzar problemes: Forats en la cobertura Interferències 64
WIFI SEGURETAT - EINES MANTENIMENT Test de rendiment Rendiment real d una instal lació Proporciona informació important: Bitrate de baixada i pujada Paquets perduts Retards 65
WIFI SEGURETAT - EINES MANTENIMENT Sniffer (packet analyzer) Intercepta el tràfic d una xarxa Paquets presentats de forma clara Requereix treballar en mode monitor Eina molt versàtil 66
WIFI SEGURETAT - EINES SEGURETAT Pentesting Auditories de les xarxes wifi Distribucions linux especialitzades Apps per a Android (inclús en Google Play) i iphone (a Cydia mitjançant jailbreak) 67
WIFI SEGURETAT - EINES SEGURETAT 68
PREGUNTES??? 69
70