Seguridad en Redes Wireless

Seguridad en Redes Wireless
Presentador: Ing. Eduardo Tabacman © Copyright 2003 VIRUSPROT, S.L. Todos los derechos reservados 2003 © VIRUSPROT, S.L.

Acerca de Virusprot, S.L. Oficina Central: Madrid (España)
Fundador: Eduardo Tabacman, Director General Establecida en el año 1999 Equipo con más de 13 años de experiencia en el tema de la Seguridad Informática Actividades principales: Portal de Seguridad Informática VIRUSPROT.COM ( Más de visitas mensuales Distribución de productos SI Servicios de asesoramiento y consultoría SI Desarrollo de seminarios y conferencias SI Bussiness matching © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario

Portal de Seguridad Wi-Fi
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario

“The Players” 802.1x IETF – The Internet Engineering Task Force 802.11
Grupo auto-organizado Grupo principal comprometido en el desarrollo de nuevas especificaciones estándares para Internet IEEE – Institute of Electrical and Electronic Engineers miembros en 150 países 900 estándares activos 700 en desarrollo WECA - The Wi-Fi Alliance Formada en 1999 Certifica la interoperabilidad de productos WLAN basados en la especificación 802.1x 802.11 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario

Historia de las Redes Wireless Empresariales
Estándar Velocidad Banda Frecuencia 802.11 1 y 2 Mbps 2.4 Ghz 802.11a 54 Mbps 5.15 Ghz 802.11b 11 Mbps 802.11g 802.11i Finales de 2003 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario

Pérdidas de Velocidad Obstáculos (paredes/campos magnéticos)
(Mbps) V=f(d,o,i) 54 20-22 Mbps 11 4-5 Mbps Distancia (Metros) 5 10 50 100 Obstáculos (paredes/campos magnéticos) Interferencias (cantidad usuarios) © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario

Rendimiento Puntos de Acceso – 802.11 g
54 25 24,73 Velocidad (Mbps) 20 21,55 19,14 18,51 15 16,23 15,65 15,10 10 5 A B C D E F G Fabricantes Fuente: NetworkWorldFusion © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario

Alcance Cliente – Puntos de Acceso 802.11g/802.11
344 B 318 G 315 Fabricantes C 272 F 256 D 233 E 213 100 200 225 250 275 300 350 Distancia (Pies) Fuente: NetworkWorldFusion © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario

WarChalking Es la práctica de dibujar en paredes o aceras una serie de símbolos para indicar a otros la proximidad de un acceso inalámbrico Sintaxis V.0.9 Clave Símbolo Nodo Abierto Nodo Cerrado Nodo WEP SSID Ancho de Banda SSID SSID Access Contact Ancho de Banda Fuente: © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 2003 © VIRUSPROT, S.L.

Las Raíces del WarChalking
Seguridad en Redes Wireless Las Raíces del WarChalking Tiene sus antecedentes durante la Gran Depresión del 30 en los Estados Unidos Los desocupados dibujaban símbolos en los edificios para marcar los lugares donde podían conseguir comida La idea fue reflotada 70 años después por los geeks con el fin de marcar hot spots WLAN © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 2003 © VIRUSPROT, S.L.

WarDriving Técnica difundida donde individuos equipados con material apropiado tratan de localizar en coche puntos wireless Estudio WarDriving New York WEP Activado 25% WEP Desactivado 75% (Julio 2002) Lugar: Barcelona Imagen: Miguel Puchol Puntos rojos protegidos Puntos verdes desprotegidos © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario Foto: O´Reilly Network 2003 © VIRUSPROT, S.L.

Herramientas para el WarDriving
Seguridad en Redes Wireless Herramientas para el WarDriving Portátil, PDA u otro dispositivo móvil con tarjeta inalámbrica (PCMCIA) incorporada Antena comprada o casera tipo “lata de Pringles” o “tubo PVC” Software de rastreo tipo NetStumbler, Airsnort,... Unidad GPS para fijar las coordenadas exactas en el mapa de la WLAN © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 2003 © VIRUSPROT, S.L.

Desafíos en la Seguridad de las Redes Inalámbricas (1)
- Cualquiera dentro de un radio de 100 metros puede ser un intruso potencial © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario

- Las acreditaciones del usuario se deben poder intercambiar con seguridad - Debe ser capaz de asegurar la conexión con la red de trabajo correcta © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario

- Los datos se deben poder transmitir con seguridad a través de la utilización apropiada de llaves de encriptación © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario

Red Inalámbrica en una Empresa, Ataque Potencial 1
Seguridad en Redes Wireless Red Inalámbrica en una Empresa, Ataque Potencial 1 A potential hacker sitting outside the building in a car with a PC and a wireless card can easy detect a wireless network. He can use tools freely available on the internet to detect valid MAC addresses, reprogramming his card with such a valid Mac address and get access to your network if this is the only security mechanism in use. He could also launch a dictionary attack to get authorized user names and passwords. Once he gets hold of those credentials, the hacker has access to the network en can, start targeting the servers As he is outside the building, it is pretty easy form to do this without being recognized as a potential intruder. © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 2003 © VIRUSPROT, S.L.

Red Inalámbrica en una Empresa, Ataque Potencial 2
Seguridad en Redes Wireless Red Inalámbrica en una Empresa, Ataque Potencial 2 A hacker could also install a rogue access point outside of the building and configure the SSID as for instance the name of the company he is targeting or something similar. Employees of the company see this new network as a new WLAN and might try to log-on on this rogue access point. The hacker could then prompt them for a username and password which they will give as the employee is believing that he/she is logging on to the correct network. This is a pretty easy way to get hold of somebody's credentials. The employee will only discover that he is logged-on on another network, as soon as he starts for instance his client. This client will of course not find the mail server and the employee might reboot his PC log back on to the normal network and everything will be fine again. The employee might not even report this incident to the network administrator. The hacker can in this case use those credentials to log on to the enterprise network and start targeting the servers or surf on the net. Another possible risk is that while the employee is logged on the rogue access point of a potential hacker, the hacker could install very easy a Trojan horse on the PC of the employee. This Trojan horse could allow the hacker to get access over the internet to the employees PC and to the network of the company when the employee is connected to the corporate network. To avoid those kinds of attack, additional security systems need to be implemented. © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 2003 © VIRUSPROT, S.L.

Peligros Denegación de Servicios (DoS) Daño o Robo de Equipos
Accesos no Autorizados Robo de Información Inserción de Códigos Dañinos Robo de Credenciales Uso de Internet © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario

Puntos de Acceso Hostiles
Prevención Políticas corporativas Seguridad física Estándar 802.1x Detección Sniffers (analizadores) Observación física Buscar símbolos de warchalking Detección desde la red cableada © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario

Filtrado de Direcciones MAC
MAC (Media Access Control Address) Direccion del hardware originaria del fabricante Sirve para identificar routers, tarjetas de red, etc... Crear en cada PA una base de datos de direcciones MAC DESVENTAJAS Se debe repetir en todos los PAs existentes (puede ser mucho trabajo y originar errores) Una vez capturadas por un hacker, pueden entrar a la red tranquilamente Si algún usuario pierde o le roban su estacion, queda comprometida la seguridad © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario

WEP – Introducción Sistema de encriptación estándar 802.11
Se implementa en la capa MAC Soportada por la mayoría de vendedores de soluciones inalámbricas Cifra los datos enviados a través de las ondas de radio Utiliza el algoritmo de encriptación RC4 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario

WEP – Funcionamiento (1)
Concatena la llave simétrica compartida, de 40 ó 104 bits, de la estación con un vector de inicialización aleatorio (IV) de 24 bits, esta estructura se denomina “seed” El seed se utiliza para generar un número pseudo-aleatório, de longitud igual al payload (datos + CRC), y un valor de 32 bits para chequear la integridad (ICV) Esta llave y el ICV, junto con el payload (datos + CRC), se combinan a través de un proceso XOR que producirá el texto cifrado La trama enviada incluye el texto cifrado, y el IV e ICV sin encriptar © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario

Encriptación WEP Fuente: Cisco

WEP - Debilidades Longitud del vector IV (24 bits) insuficiente
El IV se repetirá cada cierto tiempo de transmisión continua para paquetes distintos, pudiendo averiguar la llave compartida Utilización de llaves estáticas, el cambio de llave se debe realizar manualmente A pesar de todo, WEP ofrece un mínimo de seguridad © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario

WEP - Carencias Interceptando aproximadamente 100 Mb 1 Gb
3.000 llaves cada semana son débiles 2.000 paquetes débiles son suficientes para adivinar un password 15 minutos (128 bits) © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario

Utilidades "Sniffers" para WLANs (1)
WEPCrack ( 1ª herramienta de código abierto para romper llaves secretas WEP Implementación del ataque descrito por Fluhrer, Mantin, y Shamir en el ensayo "Weaknesses in the Key Scheduling Algorithm of RC4" Airsnort ( Desarrollada por Shmoo Group para sistemas Linux Recupera las llaves de cifrado Monitoriza de manera pasiva las transmisiones y computa la llave de cifrado cuando se han recopilado suficientes paquetes Kismet ( Sistemas Linux "Escucha" las señales de radio en el aire Las unidades GPS, conectadas a notebooks a través de cables en serie, permiten localizar en mapas digitales la ubicación de estas redes © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario

Utilidades "Sniffers" para WLANs (2)
Ethreal ( Sistemas Linux NetStumbler ( Sistemas Windows Detecta redes que revelan sus SSIDs (Service Set Identifier), que por lo general se transmiten con la configuración predefinida de los routers inalámbricos Airopeek ( Airmagnet ( Corre en Compaq iPaq Wellenreiter ( Detecta PAs y muestra información sobre los mismos © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario

Que es 802.1x Provee un método para la autenticación y autorización de conexiones a una RED INALÁMBRICA Autenticación basada en el usuario; puede usar credenciales tales como contraseñas o certificados Utiliza EAP (Extensible Authentication Protocol) entre la estación móvil y el punto de acceso Aprovechamiento de protocolos AAA tales como RADIUS para centralizar autenticación y autorizaciones EAP are the protocols used to communicate between the wireless LAN adapter, the access points and the authentication server. Several protocols have been defined already like TLS, TTLS, MD5, PEAP and Cisco LEAP. Some of them are standardized, some of them are a proposal for a standard, while some others are proprietary. A radius or AAA server is recommended to authenticate the users. Radius has been widely deployed on remote access users and has a proven record of authentication security. The radius server will also centralize all authentication needs which will lower the cost of ownership substantially. © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 2003 © VIRUSPROT, S.L.

802.1x trata sobre la seguridad en las Redes Inalámbricas
Seguridad en Redes Wireless 802.1x trata sobre la seguridad en las Redes Inalámbricas Por qué RADIUS La autenticación se basa en el usuario, en vez de basarse en el dispositivo Elimina la necesidad de almacenar información de los usuarios en cada access point de la RED, por tanto es considerablemente más fácil de administrar y configurar RADIUS ya ha sido ampliamente difundido para otros tipos de autenticación en la red de trabajo Protocolo de Autenticación Extensible (EAP) Los tipos de autenticación EAP proveen de seguridad a las redes 802.1x Protege las credenciales Protege la seguridad de los datos Tipos comunes de EAP EAP-TLS, EAP-TTLS, EAP-MD5, EAP-Cisco Wireless (LEAP), EAP-PEAP User based authentication (login and password or even a token) instead of device based. (MAC address based) A radius server can centralize all authentication information in one database instead of storing all the information on the access points. (Cost of ownership) The server does support multiple EAP types. This means that different brands of wireless LAN hardware can be mixed on the same network. Even different EAP types can be authenticated on the same server. The same radius server can be used to authenticate wireless LAN users and remote access users (Cost of ownership) © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 2003 © VIRUSPROT, S.L.

Seguridad VPN (1) La red wireless es la red insegura
Los PA se configuran sin WEP Acceso wireless es "aislado" de la red de la empresa por el servidor VPN Los PA se pueden interconectar creando una red virtual (VLAN) © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario

Seguridad VPN (2) Los servidores VPN proveen:
Autenticación Encriptación Los servidores VPN actúan como: Firewalls Gateways De la red interna © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario

Servidores RADIUS (RFC 2058) Remote Autentication Dial-In User Service
Función Recibir pedido de conexión del usuario Autenticarlo Devolver toda la información de configuración necesaria para que el cliente acceda a los servicios Elementos Básicos Network Access Server (NAS) Cliente de RADIUS - Envía la información del usuario al RADIUS correspondiente y actúa al recibir la respuesta Seguridad Autenticación mediante “Secreto Compartido” Passwords encriptados Soporta diversos métodos de autenticación (PAP,CHAP, etc...) © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario

Índice RFCs RADIUS The Internet Engineering Task Force (IETF)
RFC Remote Authentication Dial-In User Service (RADIUS) RFC RADIUS Accounting RFC Microsoft Vendor-Specific RADIUS Attributes RFC RADIUS Authentication Client MIB RFC RADIUS Authentication Server MIB RFC RADIUS Accounting Client MIB RFC RADIUS Accounting Server MIB RFC Compulsory Tunneling via RADIUS RFC Remote Authentication Dial-In User Service (obsoleto RFC 2138; actualizado por RFC 2868) RFC RADIUS Accounting (obsoleto RFC 2139; actualizado por RFC 2867) RFC RADIUS Accounting Modifications for Tunnel Protocol Support RFC RADIUS Attributes for Tunneling Support RFC RADIUS Extensions RFC NAS Requirements: Extended RADIUS Practices Fuente: © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario

Red Inalámbrica en una Empresa, la Solución según 802.1x
Seguridad en Redes Wireless Red Inalámbrica en una Empresa, la Solución según 802.1x The solution on those kinds of attacks is to install an centrally based authentication server like Odyssey or SBR that will authenticate all users logging onto the network prior to allow somebody to come on the network. - This server introduces to concept of mutual authentication (the user will authenticate the network and the network will authenticate the user) to avoid hackers getting access to the corporate LAN. The server will also generate at regular intervals, determined by the network administrator, new dynamic WEP keys that will encrypt all the data transferred between the wireless adapter and the access point. © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 2003 © VIRUSPROT, S.L.

Proceso de Autenticación (1)
Seguridad en Redes Wireless Proceso de Autenticación (1) El usuario Wireless LAN autenticará la red de trabajo Para asegurar que el usuario se conectará a la red correcta When a user wants to log on to the network, the Wireless LAN client will first authenticate the network, to make sure that he is logging on the to right enterprise network. The reason for that is that there could be different companies in the same building using wireless LAN technology or a hacker could install a rogue access point. A lot of those networks might be visible to the client. This authentication is done by use of a certificate (private key ) that is residing on the server. As only the enterprise where the user is part of, has this private key, only this server could present the right information to the client to prove he is logging on to the right network. © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 2003 © VIRUSPROT, S.L.

Seguridad en Redes Wireless Proceso de Autenticación (2) El servidor de Odyssey o de SBR crea un túnel seguro entre el servidor y el cliente. El usuario es autenticado a través del túnel con la utilización del nombre de usuario y contraseña/token Esto asegura que un usuario autorizado se está conectando dentro de la red Once when the user is sure of the right network, using the keys of the certificate, a secure tunnel will be installed between the Odyssey server and the client. Then the server will ask for the username and password of the client to authenticate the client and to make sure he is allowed to get access to the network. As the login name and password are transported through the secure tunnel, they are not visible to any other person sniffing on the wireless traffic. © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 2003 © VIRUSPROT, S.L.

Seguridad en Redes Wireless Proceso de Autenticación (3) El servidor de Odyssey o de SBR generará llaves dinámicas WEP para encriptación de los datos Ambas llaves se distribuyen al access point y al cliente When the credentials of the user are correct, the Odyssey server will generate Dynamic WEP keys for the access point and the wireless adapter card that will be used to encrypt all the data send over the air. The network administrator has the possibility to configure the server in such a way that new WEP keys are generated at a predefined interval (example every 10 minutes) to ensure maximum security. The reason for changing WEP keys at a regular interval is to avoid hackers acquiring enough data send over to air to be able derive the keys from the encrypted data. The length of the keys generated depend on the functionality of the access points. (40 bit or 128 bit keys) The network administrator can also configure the server in such a way that users roaming from one access point to other can automatically or manually re-authenticate. © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 2003 © VIRUSPROT, S.L.

Seguridad en Redes Wireless Proceso de Autenticación (4) Tras la autenticación, Odyssey Server autorizará al access point la apertura de un puerto virtual para el cliente de la RED INALÁMBRICA El cliente obtiene su dirección IP (DHCP) y accede a la red Only after this process, the server will authorize the access point to open a virtual port to the wireless LAN client. Only now, the client can launch a DHCP request for an IP address and get access to the enterprise network. All data will be encrypted by using dynamic WEP keys and those keys will be changed a regular interval defined by the network administrator. This whole authentication process is completely invisible for the user. The only actions he needs to take is to select the wireless LAN he wants to connect to and introduce his username and password when prompted for it. © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 2003 © VIRUSPROT, S.L.

802.1x en Wireless Punto de Acceso Servidor Radius Portátil Ethernet Asociación Acceso Bloqueado Associate-Request 802.11 RADIUS Associate-Response EAPOL-Start EAPOW EAP-Request/Identity EAP-Response/Identity Radius-Access-Request EAP-Request Radius-Access-Challenge EAP-Response (credentials) Radius-Access-Request EAP-Success Radius-Access-Accept EAPOL-Key (WEP) Acceso Permitido © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 2003 © VIRUSPROT, S.L.

Comparación RADIUS con VPN
(1) Con RADIUS toda la infraestructura wireless está dentro del firewall corporativo Con VPN está fuera del firewall A medida que crezca el parque de WLAN habrá más equipos fuera y se necesitarán más servidores VPN (2) Cuando hay varias sucursales los usuarios de visita en otra sucursal se pueden autenticar en RADIUS Con VPN debe saber a que servidor conectarse (3) Al crecer la población wireless cada vez el manejo de VPNs se hace mas complejo y más costoso © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario

...y otros, DESCANSAN TRANQUILOS
RADIUS ¡¡USTED DECIDE!! © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario

802.1x EAP Tipos y Diferencias

LEAP (EAP-Cisco Wireless)
Basado en Nombre de Usuario y Contraseña Soporta plataformas Windows, Macintosh y Linux Patentado por Cisco (basado en 802.1x) El Nombre de Usuario se envía sin protección La CONTRASEÑA se envía sin protección: sujeto a ATAQUES DE DICCIONARIO (MSCHAP v1 hash - * ftp://ftp.isi.edu/in-notes/rfc2433.txt) No soporta One Time Password (OTP) Requiere LEAP “aware” RADIUS Server. Requiere Infraestructura Cisco Wireless © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario

EAP-MD5 Basado en Nombre de Usuario y Contraseña
El Nombre de Usuario se envía sin protección Sujeto a ATAQUES DE DICCIONARIO EAP-MD5 requiere una clave fija manual WEP y no ofrece distribución automática de llaves Sujeto a ataques man-in-the-middle. Sólo autentica el cliente frente al servidor, no el servidor frente al cliente © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario

EAP-TLS (Microsoft) Ofrece fuerte autenticación mútua, credenciales de seguridad y llaves dinámicas Requiere la distribución de certificados digitales a todos los usuarios así como a los servidores RADIUS Requiere una infraestructura de gestión de certificados (PKI) Windows XP contiene un cliente EAP-TLS, pero obliga a los administradores a emplear sólo certificados Microsoft Intercambio de identidades desprotegido © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario

EAP-TLS: ¿Certificados Cliente?
Son difíciles de gestionar Debe designarlos una Autoridad Certificadora Requieren conocimiento/compresión Requiere que el usuario establezca el certificado Incómodo para establecer múltiples dispositivos, transferir certificados Los administradores son reacios a su uso Adopción limitada a una fecha 6 ciclos entre usuario y autenticador © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario

EAP-TTLS Permite a los usuarios autenticarse mediante nombre de usuario y contraseña, sin pérdida de seguridad Desarrollado por Funk Software y Certicom Ofrece fuerte autenticación mútua, credenciales de seguridad y llaves dinámicas Requiere que los certificados sean distribuidos sólo a los servidores RADIUS, no a los usuarios Compatible con las actuales bases de datos de seguridad de usuarios, incluídas Windows Active Directory, sistemas token, SQL, LDAP, etc. Soporta CHAP, PAP, MS-CHAP y MS-CHAPv2 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario

Como funciona EAP-TTLS…
Fase 1 – Establecimiento de TLS Configuración del Túnel TLS Fase 2 – Autenticación Secundaria Autenticación Secundaria - (PAP, CHAP, MS-CHAP, EAP) © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario

Las ventajas de EAP-TTLS
El más sencillo de instalar y gestionar Seguridad difícil de traspasar No requiere Certificados Cliente Autentica de manera segura los usuarios frente a base de datos Windows Despliegue contra infraestructuras existentes Los usuarios se conectan con sus nombres de usuario y contraseñas habituales No existe peligro de ataques de diccionario Parámetros pre-configurados para el cliente WLAN, facilitando la instalación en los dispositivos WLAN © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario

EAP-PEAP Propuesto por Microsoft/Cisco/RSA Security
No requiere Certificados También utiliza Transport Layer Security (TLS) para establecer el túnel Se incluye en SP1 de Windows XP Se incluirá en Windows 2003 Server © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario

Wi-Fi Protected Access (WPA)
Abril 2003 Más fuerte que WEP Mejorable a través de nuevas versiones de software Uso empresarial y casero Obligatorio a finales del 2003 Mejoras de Seguridad TKIP (Temporal Key Integrity Protocol) Autenticación de usuarios © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario

TKIP IV de 48 bits llamado TSC (TKIP Sequence counter) MIC (Integrity Check de Mensajes) Encripta checksum con direcciones MAC y los datos TSC Encriptado IV / Clave 4 octetos IV Extendido 4 octetos Datos nº octetos MIC 8 octetos ICV 4 octetos 48 bits © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 2003 © VIRUSPROT, S.L.

Requisitos de Funcionalidad para el Método de Autenticación
Seguridad para las credenciales Permitir autenticación mutua Llaves de encriptación dinámicas Regeneración de llaves (re-keying) Facilidad de gestión Facilidad y rapidez de implementación © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario

Soluciona debilidades
WEP y WPA Función WEP WPA Encriptación Débil Soluciona debilidades Claves 40 bits 128 bits Estáticas Dinámicas Distribución manual Automática Autenticación Fuerte, según 802.1x y EAP © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario

Protocolos de Seguridad Wireless
WECA IEEE WEP (802.11b) EAP (802.1x) WPA (802.11i) MD5 LEAP Cisco TLS Microsoft XP/2000 (SP3) TTLS Funk Software PEAP Cisco XP (SP1) © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario

Comparativa de Protocolos EAP
Tema EAP-MD5 LEAP (Cisco) EAP-TLS (MS) EAP-TTLS (Funk) EAP-PEAP Solución de Seguridad Estándar Patente Certificados-Cliente No N/A Sí No (opcional) Certificados-Servidor Credenciales de Seguridad Ninguna Deficiente Buena Soporta Autenticación de Base de Datos Requiere Borrar la Base de Datos Active Directory, NT Domains Active Directory Act. Dir., NT Domains, Token Systems, SQL, LDAP ------ Intercambio de llaves dinámicas Autenticación Mútua © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario

Conclusiones La elección del método de Autenticación es la decisión fundamental La elección del servidor de Autenticación y del software de los clientes Si no existe PKI deseche TLS PEAP no tiene ventajas sobre TTLS Fuente: Wireless Networks © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario

¿ ? ¡¡La Pregunta del Millón!! ó ¿Qué Método de Autenticación?
¿Qué Servidor de Autenticación? ¿Qué Hardware? - Access Point - Tarjetas Wi-Fi © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario

Políticas de Seguridad
Físicas Paredes/Vigilancia Laboral PAs/EM privadas Viajeros frecuentes Observación física PAs/warchalking © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario

Para viajeros frecuentes

El Futuro PAs más inteligentes Quizás PAs de tipo empresarial
Mucho mayor alcance de los Pas Todas las estaciones móviles con Centrino Switches + Radius (appliance) Hot spots en sitios públicos WiFi en todos los hogares Virus para PAs © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario

Nuevas Tecnologías...Nuevas Oportunidades
Técnicos especializados en wireless Técnicos especializados en Seguridad wireless © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario

UOC Universidad Oberta de Catalunya
Business Case IMPLEMENTACIÓN EXITOSA DE REDES WIRELESS (1) IMPLEMENTACIÓN EXITOSA DE REDES WIRELESS (2) © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario

Primera Solución Multiplataforma para Seguridad de Redes Wireless

Qué es Odyssey Odyssey es una solución de seguridad 802.1x extremo-extremo que permite a los usuarios conectarse de forma segura a una RED INALÁMBRICA. Puede ser fácil y ampliamente desplegada a través de una red de trabajo corporativa Solución completa para REDES INALÁMBRICAS Asegura la autenticación del cliente así como también de la conexión en si misma Consta de dos componentes: Odyssey Client – comunica con Odyssey Server (o servidor basado en 802.1x) para establecer una conexión segura Odyssey Server – SERVIDOR RADIUS basado en protocolos de autenticación para REDES INALÁMBRICAS (MD5, TLS, TTLS, LEAP, PEAP) Disponible como sistema Cliente/Servidor, o individualmente como Servidor o Cliente © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario

Características de Odyssey
Odyssey Client se ejecuta bajo Windows 98/ME/2000/XP/CE Administración de certificados basada en servidor (no se requiere certificado del lado-cliente excepto al usar EAP-TLS) Trabaja con cualquier hardware basado en 802.1x Generación de llave dinámica para una seguridad superior: Llave inicial WEP creada dinámicamente (no más llaves estáticas WEP) Llaves periódicas de sesión generadas a intervalos configurables La autenticación trabaja frente a bases de datos existentes Active Directory/NT Domain (y nombre de usuario/contraseña existentes) © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario

Odyssey Server Servidor de Autenticación 802.1x
Dirigido a la localización de datos corporativos con requerimientos de autenticación para WLAN/802.1x Soporte Multi-plataforma Windows 2000 y XP Soporte para múltiples “tipos” EAP EAP-TLS EAP-TTLS EAP-Cisco Wireless (LEAP) EAP-MD5 EAP-PEAP Soporte para Autenticación solamente Autenticación sólo contra Windows Active Directory/NT Domains © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario

Modelos de Servidores RADIUS
W532 Modelos de Servidores RADIUS Producto Finalidad Conectividad Plataforma WIRELESS Windows 2000 y Windows XP Windows NT/2000 Solaris WIRELESS + CABLES Windows NT/2000 Solaris Netware Windows NT/2000 Windows XP Solaris Todo tipo de Usuarios Básico ODYSSEY Pymes Sucursales Secc. Aisladas Mini (3 PA) Acceso público Internet Hotspot Enterprise Empresas Grandes Empresas RADIUS (SBR) Global Service Provider Proveedores Internet © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario

Le agradecemos su atención. ¿Alguna Pregunta? © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 2003 © VIRUSPROT, S.L.

Seguridad en Redes Wireless

Presentaciones similares

Presentación del tema: "Seguridad en Redes Wireless"— Transcripción de la presentación:

Presentaciones similares

Sobre el proyecto

Feedback

Iniciar la sesión

Autorizarse a través de una red social:

Seguridad en Redes Wireless

Presentaciones similares

Presentación del tema: "Seguridad en Redes Wireless"— Transcripción de la presentación:

Presentaciones similares

Sobre el proyecto

Feedback