La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Seguridad en Redes Wireless Presentador: Ing. Eduardo Tabacman © Copyright 2003 VIRUSPROT, S.L. Todos los derechos reservados.

Presentaciones similares


Presentación del tema: "Seguridad en Redes Wireless Presentador: Ing. Eduardo Tabacman © Copyright 2003 VIRUSPROT, S.L. Todos los derechos reservados."— Transcripción de la presentación:

1 Seguridad en Redes Wireless Presentador: Ing. Eduardo Tabacman © Copyright 2003 VIRUSPROT, S.L. Todos los derechos reservados

2 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 2 Acerca de Virusprot, S.L. Oficina Central: Madrid (España) Fundador: Eduardo Tabacman, Director General Establecida en el año 1999 Equipo con más de 12 años de experiencia en el tema de la Seguridad Informática Actividades principales: –Portal de Seguridad Informática VIRUSPROT.COM (http://www.virusprot.com) –Más de visitas mensuales –Distribución de productos SI –Servicios de asesoramiento y consultoría SI –Desarrollo de seminarios y conferencias SI –Bussiness matching

3 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 3 Topología de una Red Inalámbrica Empresarial 2 Elementos básicos: –Estaciones cliente (PCMCIA – adaptador USB) –Puntos de Acceso (AP) Red de Área Local Estaciones de trabajo 100 m Estaciones de trabajo Puntos de Acceso Puntos de Acceso

4 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 4 Pronóstico Instalaciones Hot Spot en el Mundo Fuente: Gartner Group Punto de Acceso generalmente localizado en lugares con gran tráfico de público que proporciona servicios de red inalámbrico de banda ancha a visitantes móviles

5 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 5 The Players IETF – The Internet Engineering Task Force –Grupo auto-organizado –Grupo principal comprometido en el desarrollo de nuevas especificaciones estándares para Internet –http://www.ietf.org IEEE – Institute of Electrical and Electronic Engineers – miembros en 150 países –900 estándares activos –700 en desarrollo –http://www.ieee.org WECA - The Wi-Fi Alliance –Formada en 1999 –Certifica la interoperabilidad de productos WLAN basados en la especificación –http:/www.weca.net x

6 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 6 Historia de las Redes Wireless EstándarVelocidad Banda Frecuencia y 2 Mbps2.4 Ghz a54 Mbps5.15 Ghz b11 Mbps2.4 Ghz g54 Mbps2.4 Ghz iFinales de 2003

7 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 7 Amenaza de Seguridad - Ilustración

8 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 8 ¿Cuáles son los Desafíos en la Seguridad de las Redes Inalámbricas? 1.Cualquiera dentro de un radio de 100 metros puede ser un intruso potencial 2.Las acreditaciones del usuario se deben poder intercambiar con seguridad 3.Debe ser capaz de asegurar la conexión con la red de trabajo correcta 4.Los datos se deben poder transmitir con seguridad a través de la utilización apropiada de llaves de encriptación

9 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 9 WarChalking Es la práctica de dibujar en paredes o aceras una serie de símbolos para indicar a otros la proximidad de un acceso inalámbrico ClaveSímbolo Nodo Abierto Nodo Cerrado Nodo WEP Sintaxis V.0.9 SSID Ancho de Banda SSID Ancho de Banda Access Contact Fuente:

10 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 10 WarDriving Técnica difundida donde individuos equipados con material apropiado tratan de localizar en coche puntos wireless Lugar: Barcelona Imagen: Miguel Puchol Puntos rojos protegidos Puntos verdes desprotegidos Foto: O´Reilly Network Estudio WarDriving New York WEP Activado25% WEP Desactivado75% (Julio 2002)

11 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 11 Red Inalámbrica en una Empresa, Ataque Potencial 1

12 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 12 Red Inalámbrica en una Empresa, Ataque Potencial 2

13 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 13 WEP - Introducción Sistema de encriptación estándar Se implementa en la capa MAC Soportada por la mayoría de vendedores de soluciones inalámbricas Cifra los datos enviados a través de las ondas de radio Utiliza el algoritmo de encriptación RC4

14 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 14 WEP – Funcionamiento (1) Concatena la llave simétrica compartida, de 40 o 104 bits, de la estación con un vector de inicialización aleatorio (IV) de 24 bits, esta estructura se denomina seed El seed se utiliza para generar un número pseudo-aleatório, de longitud igual al payload (datos + CRC), y un valor de 32 bits para chequear la integridad (ICV) Esta llave y el ICV, junto con el payload (datos + CRC), se combinan a través de un proceso XOR que producirá el texto cifrado La trama enviada incluye el texto cifrado, y el IV e ICV sin encriptar

15 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 15 WEP – Funcionamiento (2) El ICV actúa como checksum, será utilizado por la estación receptora para recalcularlo y compararlo con la recibida Si el ICV no concuerda con el ICV calculado, se descarta la trama e incluso al emisor de la misma El IV se utiliza para desencriptar, junto con la llave simétrica compartida, los datos y el CRC de la trama

16 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 16 WEP - Debilidades Longitud del vector IV (24 bits) insuficiente El IV se repetirá cada cierto tiempo de transmisión continua para paquetes distintos, pudiendo averiguar la llave compartida Utilización de llaves estáticas, el cambio de llave se debe realizar manualmente A pesar de todo, WEP ofrece un mínimo de seguridad

17 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 17 Herramientas para crackear WEP AirSnort WEPCrack Interceptando aproximadamente 100 Mb 1 Gb llaves cada semana son débiles paquetes débiles son suficientes para adivinar un password

18 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 18 Que es 802.1x Provee un método para la autenticación y autorización de conexiones a una RED INALÁMBRICA Autenticación basada en el usuario; puede usar credenciales tales como contraseñas o certificados Utiliza EAP (Extensible Authentication Protocol) entre la estación móvil y el punto de acceso Aprovechamiento de protocolos AAA tales como RADIUS para centralizar autenticación y autorizaciones

19 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario x trata sobre la seguridad en las Redes Inalámbricas Por qué RADIUS –La autenticación se basa en el usuario, en vez de basarse en el dispositivo –Elimina la necesidad de almacenar información de los usuarios en cada access point de la RED, por tanto es considerablemente más fácil de administrar y configurar –RADIUS ya ha sido ampliamente difundido para otros tipos de autenticación en la red de trabajo Protocolo de Autenticación Extensible (EAP) –Los tipos de autenticación EAP proveen de seguridad a las redes 802.1x Protege las credenciales Protege la seguridad de los datos Tipos comunes de EAP EAP-TLS, EAP-TTLS, EAP-MD5, EAP-Cisco Wireless (LEAP), EAP-PEAP

20 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 20 Red Inalámbrica en una Empresa, la Solución según 802.1x

21 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario x EAP Tipos y Diferencias

22 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 22 LEAP (EAP-Cisco Wireless) Basado en Nombre de Usuario y Contraseña Soporta plataformas Windows, Macintosh y Linux Patentado por Cisco (basado en 802.1x) El Nombre de Usuario se envía sin protección La CONTRASEÑA se envía sin protección: sujeto a ATAQUES DE DICCIONARIO (MSCHAP v1 hash - * ftp://ftp.isi.edu/in- notes/rfc2433.txt) No soporta One Time Password (OTP) Requiere LEAP aware RADIUS Server. Requiere Infraestructura Cisco Wireless

23 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 23 EAP-MD5 Basado en Nombre de Usuario y Contraseña El Nombre de Usuario se envía sin protección Sujeto a ATAQUES DE DICCIONARIO EAP-MD5 requiere una clave fija manual WEP y no ofrece distribución automática de llaves Sujeto a ataques man-in-the-middle. Sólo autentica el cliente frente al servidor, no el servidor frente al cliente

24 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 24 EAP-TLS Desarrollado por Microsoft Ofrece fuerte autenticación mútua, credenciales de seguridad y llaves dinámicas Requiere la distribución de certificados digitales a todos los usuarios así como a los servidores RADIUS Requiere una infraestructura de gestión de certificados (PKI) Windows XP contiene un cliente EAP-TLS, pero obliga a los administradores a emplear sólo certificados Microsoft Intercambio de identidades desprotegido

25 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 25 EAP-TLS: ¿Certificados Cliente? Son difíciles de gestionar Debe designarlos una Autoridad Certificadora Requieren conocimiento/compresión Requiere que el usuario establezca el certificado Incómodo para establecer múltiples dispositivos, transferir certificados Los administradores son reacios a su uso Adopción limitada a una fecha

26 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 26 EAP-TTLS Permite a los usuarios autenticarse mediante nombre de usuario y contraseña, sin pérdida de seguridad Desarrollado por Funk Software y Certicom Ofrece fuerte autenticación mútua, credenciales de seguridad y llaves dinámicas Requiere que los certificados sean distribuidos sólo a los servidores RADIUS, no a los usuarios Compatible con las actuales bases de datos de seguridad de usuarios, incluídas Windows Active Directory, sistemas token, SQL, LDAP, etc. Soporta CHAP, PAP, MS-CHAP y MS-CHAPv2

27 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 27 Como funciona EAP-TTLS… Fase 2 – Autenticación Secundaria Autenticación Secundaria - (PAP, CHAP, MS-CHAP, EAP) Configuración del Túnel TLS Fase 1 – Establecimiento de TLS

28 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 28 Las ventajas de EAP-TTLS El más sencillo de instalar y gestionar Seguridad difícil de traspasar No requiere Certificados Cliente Autentica de manera segura los usuarios frente a base de datos Windows Despliegue contra infraestructuras existentes Los usuarios se conectan con sus nombres de usuario y contraseñas habituales No existe peligro de ataques de diccionario Parámetros pre-configurados para el cliente WLAN, facilitando la instalación en los dispositivos WLAN

29 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 29 EAP-PEAP Propuesto por Microsoft/Cisco/RSA Security No requiere Certificados También utiliza Transport Layer Security (TLS) para establecer el túnel Se incluye en SP1 de Windows XP Se incluirá en Windows 2003 Server

30 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 30 Comparativa de Protocolos EAP TemaEAP-MD5 LEAP (Cisco) EAP-TLS (MS) EAP-TTLS (Funk) EAP-PEAP Solución de Seguridad EstándarPatenteEstándar Certificados- Cliente NoN/ASí No (opcional) Certificados- Servidor NoN/ASí Credenciales de Seguridad NingunaDeficienteBuena Soporta Autentifica- ción de Base de Datos Requiere Borrar la Base de Datos Active Directory, NT Domains Active Directory Act. Dir., NT Domains, Token Systems, SQL, LDAP Intercambio de llaves dinámicas NoSí Autentica- ción Mútua NoSí

31 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 31 Wi-Fi Protected Access (WPA) Abril 2003 –Más fuerte que WEP –Mejorable a través de nuevas versiones de software –Uso empresarial y casero –Obligatorio a finales del 2003 Mejoras de Seguridad –TKIP (Temporal Key Integrity Protocol) –Autenticación de usuarios

32 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 32 WEP y WPA FunciónWEPWPA EncriptaciónDébil Soluciona debilidades Claves40 bits128 bits ClavesEstáticasDinámicas ClavesDistribución manualAutomática AutenticaciónDébil Fuerte, según 802.1x y EAP

33 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 33 Protocolos de Seguridad para Wireless WECA WEP (802.11b) WPA (802.11i) IEEE EAP (802.1x) MD5 LEAP Cisco TTLS Funk Software PEAP Cisco XP-SP1 TLS Microsoft XP

34 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 34 Conclusiones La elección del método de Autenticación es la decisión fundamental La elección del servidor de Autenticación y del software de los clientes Si no existe PKI deseche TLS PEAP no tiene ventajas sobre TTLS Fuente: Wireless Networks

35 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 35 ¡¡La Pregunta del Millón!! ó ¿ ? ¿Qué Método de Autenticación? ¿Qué Servidor de Autenticación? ¿Qué Hardware? - Access Point - Tarjetas Wi-Fi

36 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 36 Enlaces de Interés Las redes in-alámbricas no tienen porque ser in-seguras (28/03/03) De nuevo: las redes wireless no son seguras (24/08/01) White Paper: Conceptos básicos de seguridad en redes wireless (14/11/02) White Paper: Odyssey, primera solución multiplataforma para seguridad de redes wireless (16/05/02) Odyssey Client 2.1, redes WLAN seguras (12/05/03) Funk Software, líder en el mercado de software de seguridad para WLANs (25/04/03) Funk Software entre los 15 startups WLAN del 2003 (05/02/03)

37 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 37 Primera Solución Multiplataforma para Seguridad de Redes Wireless

38 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 38 Características de Odyssey Odyssey Client se ejecuta bajo Windows 98/ME/2000/XP/CE Administración de certificados basada en servidor (no se requiere certificado del lado-cliente excepto al usar EAP-TLS) Trabaja con cualquier hardware basado en 802.1x Generación de llave dinámica para una seguridad superior: –Llave inicial WEP creada dinámicamente (no más llaves estáticas WEP) –Llaves periódicas de sesión generadas a intervalos configurables La autenticación trabaja frente a bases de datos existentes Active Directory/NT Domain (y nombre de usuario/contraseña existentes)

39 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 39 Odyssey Server Servidor de Autenticación 802.1x Dirigido a la localización de datos corporativos con requerimientos de autenticación para WLAN/802.1x Soporte Multi-plataforma –Windows 2000 y XP Soporte para múltiples tipos EAP –EAP-TLS –EAP-TTLS –EAP-Cisco Wireless (LEAP) –EAP-MD5 –EAP-PEAP Soporte para Autenticación solamente –Autenticación sólo contra Windows Active Directory/NT Domains

40 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 40 Servidor Steel Belted Radius 4.0 Dirigido a la solución específica de los requerimientos de autenticación para WLAN/802.1x y requerimientos de accesos remotos Soporte multi-plataforma –Windows 2000, NT, SUN Solaris Soporte para múltiples tipos EAP –EAP-TLS –EAP-TTLS –EAP-Cisco Wireless (LEAP) –EAP-MD5 –EAP-PEAP (Q2 – 2003) Soporte para autenticación contra múltiples bases de datos –SQL, LDAP, Token Systems, etc…

41 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 41 Odyssey Client Cliente 802.1x Soporte multi-plataforma –Windows 2000 y XP –Windows 98/ME –Windows CE Soporte de tarjetas de adaptación WLAN multi-marcas –Cisco, Agere, Enterasys, entre otras… –Guía de Compatibilidad en: Soporte para múltiples tipos EAP –TLS, TTLS, MD5, Cisco LEAP, PEAP, WPA –Otros,… Conecta con cualquier servidor de autenticación 802.1x

42 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 42 Proceso de Autenticación (1) El usuario Wireless LAN autenticará la red de trabajo –Para asegurar que el usuario se conectará a la red correcta

43 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 43 Proceso de Autenticación (2) –El servidor de Odyssey o de SBR crea un túnel seguro entre el servidor y el cliente. El usuario es autenticado a través del túnel con la utilización del nombre de usuario y contraseña/token –Esto asegura que un usuario autorizado se está conectando dentro de la red

44 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 44 Proceso de Autenticación (3) El servidor de Odyssey o de SBR generará llaves dinámicas WEP para encriptación de los datos – Ambas llaves se distribuyen al access point y al cliente

45 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 45 Proceso de Autenticación (4) Tras la autenticación, Odyssey Server autorizará al access point la apertura de un puerto virtual para el cliente de la RED INALÁMBRICA –El cliente obtiene su dirección IP (DHCP) y accede a la red

46 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario x en Ethernet Punto de Acceso Servidor Radius Portátil Wireless Asociación Acceso Bloqueado EAPOL-Start EAP-Response/Identity Radius-Access-Challenge EAP-Response (credentials) Radius-Access-Accept EAP-Request/Identity EAP-Request Radius-Access-Request RADIUS EAPOW Associate-Request EAP-Success Acceso Permitido EAPOL-Key (WEP) Associate-Response

47 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 47 ¿Por qué Odyssey? WEP –Crackeable fácilmente –No hay autenticación –No cumple el 802.1x Cisco –EAP-LEAP –Incompatible con el resto de marcas –Soporta Active Directory/Nt Domains Microsoft –EAP-TLS –Sólo Windows XP –Requiere certificados en cada cliente –Soporta sólo Active Directory Funk Software/Odyssey –EAP-LEAP/TLS/TTLS/PEAP/WPA –Compatible con Cisco/Avaya/Buffalo/Orinoco/Enterasys/3com /Colubris/IBM, etc... –Soporta Active Directory/Nt Domains/Tokens/SQL/LDAP

48 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 48 Le agradecemos su atención. ¿Alguna Pregunta?


Descargar ppt "Seguridad en Redes Wireless Presentador: Ing. Eduardo Tabacman © Copyright 2003 VIRUSPROT, S.L. Todos los derechos reservados."

Presentaciones similares


Anuncios Google