La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

802.11 Seguridad inalámbrica & de Bluetooth Presentador : Fecha:

Presentaciones similares


Presentación del tema: "802.11 Seguridad inalámbrica & de Bluetooth Presentador : Fecha:"— Transcripción de la presentación:

1 Seguridad inalámbrica & de Bluetooth Presentador : Fecha:

2 Audiencia Tomadores de Decisiones de Negocio IP Pro

3 Agenda IEEE Estándar 802.1X Alianza Wi-Fi WPA WPA 2 (802.11i) Bluetooth

4 Soporte de Windows configuración soportada en las siguientes versiones mínimas de Windows: Windows Vista Windows XP SP1 Windows Server® 2003 Windows Server Nombre Código Longhorn

5 802.11Estándar Asociación (descubrimiento) Transmisión de redes inalámbricas Redes inalámbricas ocultas Autenticación Sistema abierto Clave compartida previa Encriptación WEP Técnicas de Seguridad Filtro de dirección MAC Problemas de Seguridad

6 Asociación Descubrimiento del punto de acceso – método de transmisión El punto de acceso (PA) transmite SSID Vista de redes disponibles

7 Red inalámbrica oculta PA requiere configuración para prevenir transmisión de SSID Requiere configuración adicional del cliente SSID debe conocerse El cliente debe investigar para descubrir el PA

8 Seguridad inalámbrica Autenticación Autenticación del sistema abierto Identificación sin autenticación únicamente Usa la dirección MAC del dispositivo como fuente Respuesta de autenticación Solicitud de autenticación Cliente Inalámbrico PA inalámbrico

9 Seguridad Inalámbrica Autenticación Autenticación de clave de acceso compartida Reto del texto en plaintext Usando una opción única de claves compartidas en la especificación original para la encriptación Solicitud de Autenticación Respuesta de autenticación Reto de Plaintext Respuesta con reto encriptado

10 Estándar Encriptación e integridad de datos WEP Usa RC4 ya sea con claves de encriptación de 40 bits o 104 bits Vector de inicialización pequeño (24 bits) Valor de Chequeo de Integridad (ICV) calculado antes de la encriptación Dos claves compartidas Clave de Multicast/global Protege el tráfico de multicast entre el punto de acceso y todos los clientes conectados Clave de sesión Unicast Protege el tráfico unicast entre el cliente y el PA inalámbrico

11 Técnicas de Seguridad Filtrado de Dirección MAC Algunos PAs permiten listas de configuración de direcciones MAC autorizadas Cada dirección MAC permitida debe ser agregada manualmente al Punto de Acceso Las direccios MAC son fácilmente spoofed Solamente brindan protección débil desde un acceso no autorizado

12 Ataques a las redes inalámbricas Ataque de asociación Minimiza el área de cobertura Abandona asociaciones que no han sido autenticadas Ataque de determinación de clave WEP Actualización a 802.1X Actualización a WPA o WPA2 Ataque jalando bits WEP Actualización a WPA o WPA2

13 Debilidades de Seguridad Determinación & distribución de claves WEP no definidas (No escalable) Criptográficamente débil Sin detección de PAs maliciosos o pícaros Sin identificación y autenticación por usuario Sin mecanismo de autenticación, autorización y contabiliad (RADIUS) Sin soporte para autenticación extendida Pesadilla administrativa

14 Agenda IEEE Estándar 802.1X WPA WPA 2 (802.11i) Bluetooth

15 802.1X Estándar Soporte a Windows 802.1X Estándar Características de Seguridad de Acceso Protegido a Wi- Fi Acceso Protegido a Wi-Fi 2 Configuraciones de Seguridad Recomendadas Ataques a redes inalámbricas

16 WPA & WPA2 Soporte de Windows Windows Vista Windows XP SP2 con la actualización del cliente inalámbrico Windows Server nombre código Longhorn

17 Agenda IEEE Estándar 802.1X WPA WPA 2 (802.11i) Bluetooth

18 Características de seguridad WPA WPA contiene mejoras o reemplazos de las siguientes características de seguridad: Autenticación de dos fases Autenticación opcional en 802.1X requerida con WPA IV doblado en tamaño a 48 bits WPA utiliza TKIP o AES para encriptación de datos TKIP mejora la fortaleza críptica WPA requiere introducción doble de clave unicast & multicast Integridad de datos CRC-32 checksum con encriptación WEP reemplazado con un algoritmo más fuerte conocido como Michael TKIP usa IV como marco contable para brindar protección de replay

19 IEEE 802.1X Estándar Elementos de autenticación Solicitante Autenticador Autenticación de Servidor (AS) Cliente (Solicitante) Servidor de Autenticación (RADIUS) WPA-AS.contoso.com Solicitud PPP Respuesta PPP PPP Establecido Solicitud de autenticación (EAP) EAP pasa al RADIUS Validación Autenticación completa Acceso permitido a la red Respuesta RADIUS Autenticador

20 802.1X Autenticación Protocolo de Autenticación Extensible (EAP) EAP Extensión al protocolo de punto a punto (PPP) No es parte de la negociación del enlace PPP Usado durante la conexión como fase de autenticación Diseño modular altamente flexible Soporta tarjeta token, clave de una sola vez, MD5-Challenge, Transport Layer Security (TLS) y otros

21 IEEE 802.1X Estándar Trata muchos de los problemas de seguridad del estándar original X originalmente diseñado para las redes cableadas Ethernet. Toma ventaja del control de acceso a la red basado en puertos en redes switched. Adaptado para brindar control de acceso a redes inalámbricas. Acceso a la red puede ser denegado si la auntenticación falla.

22 802.1X Soluciones de Seguridad Sin detección de PA malicioso Use autenticación mutua Sin identificación y autenticación por usuario Autenticación EAP obliga la autenticación a nivel del usuario Sin mecanismo para la AAA central Use RADIUS para AAA Claves WEP débiles Use EAP-TLS con PKI

23 802.1X Soluciones de Seguridad Sin soporte para autenticación extendida EAP brinda soporte para cualquier método de autenticación Sin soporte para administración de claves EAP-TLS o PEAP-MS-CHAP v2 suportan múltiples métodos de re-incersión de la clave Debilidad criptográfica de WEP WPA (Wi-Fi Protected Access) Interim estándar (802.11i)

24 Agenda IEEE Estándar 802.1X WPA WPA 2 (802.11i) Bluetooth

25 Wi-Fi Protected Access 2 (WPA2) IEEE i reemplaza formalmente WPA2 es una certificación de producto Asegura la compatibilidad con i estándar Para certificación WPA 2, el soporte de AES es requerido AES opcional en WPA Roaming mejorado

26 Configuraciones de Seguridad Recomendadas Implementación en Enterprise WPA2/AES y EAP-TLS WPA2/AES y PEAP-MS-CHAP v2 Implementación en Pequeños y Medianos Negicios WPA/TKIP y EAP-TLS WPA/TKIP y PEAP-MS-CHAP v2 Implementación en un SOHO WPA2/AES & WPA2 con clave pre-compartida WPA/TKIP y WPA con clave pre-compartida WEP con clave WEP estática no recomendada No recomendado WEP y EAP-TLS WEP y PEAP-MS-CHAP v2

27 Agenda IEEE estándar 802.1X WPA WPA 2 (802.11i) Bluetooth

28 ¿Qué es Bluetooth? Descubrimiento & Pareo Autenticación Modos de seguridad Amenazas Recomendaciones de Seguridad

29 ¿Qué es Bluetooth®? Introducido en 1999 Tecnología de radio de bajo poder y corto alcance Usa 2.4GHz No requiere licenciamiento – disponible en todo el mundo Hasta 7 dispositivos en un piconet Tasa de datos máxima 1 Mbps Esquema de encriptación estándar de industria SAFER+ Emplea saltos de frecuencia en amplio espectro de tecnología

30 Bluetooth Descubrimiento & Pareo Topología Maestro/Esclavo El descubrimiento debe ser permitido por el pareo Puede solicitar el ingreso de una clave de acceso/PIN El pareo se completa cuando la Clave de Enlace se ha generado y verificado El descubrimiento puede deshabilitarse después de que el pareo se complete

31 Bluetooth Autenticación Clave de enlace única entre el Maestro y cada esclavo en el piconet Clave de enlace usada para que emita una clave de encriptación Encriptación de 128 bits entre los dispositivos La clave nunca es transmitida sobre el radio de Bluetooth

32 Bluetooth Modos de Seguridad Modo de Seguridad 1: Modo no seguro Dispositivo en modo promiscuo Modo de Seguridad 2: Nivel de servicio forzado Controla el acceso a los servicios y dispositivos Modo de Seguridad 3: Nivel de enlace forzado Provee autenticación y encriptación

33 Bluetooth Amenazas Bluejacking Todos los datos en el dispositivo se hacen disponibles al atacante Bluestumbling/Bluesnarfing Se conecta al dispositivo sin alertar al dueño Bluebugging Crea un perfil en serie – control total del conjunto de comandos AT War-nibbling Mapea la ubicación de los dispositivos que se pueden descubrir Bluesniping Utiliza alta ganancia de la antena para robar datos Estos son solo 6 de más de 20 vulnerabilidades conocidas en diferentes implementaciones de Bluetooth

34 Recomendaciones Apague el Bluetooth cuando no lo necesite El pareo de dispositivos debería realizarse en un área segura Use el PIN práctico más largo Use solamente modos seguros Active la encriptación

35 Recursos Guía paso a paso para implementación segura de Red Inalámbrica para oficina pequeña, oficina de la casa u organización pequeñaGuía paso a paso para implementación segura de Red Inalámbrica para oficina pequeña, oficina de la casa u organización pequeña

36 IEEE i ¿Preguntas?

37

38 Siguen slides extra

39 IEEE 802.1X Estándar Componentes Servidor de Autenticación Verifica los credenciales del Solicitante Puede forzar también una política de seguridad Puede ser un componente del Punto de Acceso Puede estar en un host separado (RADIUS)

40 802.1X Mejoras Módulos de conexión de EAP (TLS, Certificados, smartcard, biométricos) Autenticación por usuario EAP-TLS & RADIUS

41 IEEE 802.1X Estándar Componentes Autenticador Puerto LAN que fuerza la autenticación antes de permitir el acceso a la red Autenticador inalámbrico El puerto LAN lógico en un PA inalámbrico usado para gananr acceso a los recursos de la red PA debe estar en modo de infraestructura Autenticación puede ser local para el PA o via un Servidor de Autenticación

42 IEEE 802.1X Estándar Componentes Entidad de Puerto de Acceso Un puerto LAN es la entidad lógica que soporta el protocolo 802.1X Un PAE puede adoptar los siguientes roles Autenticador Solicitante Ambos

43 IEEE 802.1X Estándar Tipos de puerto Puertos no controlados Los datos pueden pasar a través del PA sin ser autenticados No está permitido en redes que cumplen con 802.1X (cableadas o inalámbricas) Puertos controlados Autenticación forzada de unSolicitante antes de ermitir el acceso Requerido en redes que cumplen con 802.1X 802.1X extiende el estándar de cableado con EAP para el uso con PAs inalámbricos

44 IEEE 802.1X Estándar Componentes Solicitante Un puerto de LAN que solicita acceso a servicios accesibles vía el autenticador Solicitante inalámbrico El puerto de LAN lógico en un adaptador de red local inalámbrica Inicia solicitudes para la autenticación al autenticador Crea la asociación lógica de punto a punto del PA

45 Redes ocultas y Windows Vista Windows Vista investigar s para la redes inalámbricas ocultas Windows Vista avisará al usuario el nombre de la red (SSID) Windows Vista agrega una característica de configuración de red adicional Configurable a la línea de comando con contexto netsh wlan Puede también ser configurada a través de una Política Grupal

46 Otras técnicas de Seguridad Transmisión SSID El PA puede ser configurado para que no transmita el SSID Reducción de que clientes casuales descubran la red Redes ocultas son fácilmente descubiertas vía mensajes de transmisión Puede hacer que la red inalámbrica sea más difícil de utilizar Requiere configuración adicional de cliente


Descargar ppt "802.11 Seguridad inalámbrica & de Bluetooth Presentador : Fecha:"

Presentaciones similares


Anuncios Google