La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Seguridad en Redes Wireless Presentador: Ing. Eduardo Tabacman © Copyright 2003 VIRUSPROT, S.L. Todos los derechos reservados.

Presentaciones similares


Presentación del tema: "Seguridad en Redes Wireless Presentador: Ing. Eduardo Tabacman © Copyright 2003 VIRUSPROT, S.L. Todos los derechos reservados."— Transcripción de la presentación:

1 Seguridad en Redes Wireless Presentador: Ing. Eduardo Tabacman © Copyright 2003 VIRUSPROT, S.L. Todos los derechos reservados

2 2 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario Acerca de Virusprot, S.L. Oficina Central: Madrid (España) Fundador: Eduardo Tabacman, Director General Establecida en el año 1999 Equipo con más de 13 años de experiencia en el tema de la Seguridad Informática Actividades principales: –Portal de Seguridad Informática VIRUSPROT.COM (http://www.virusprot.com) –Más de visitas mensuales –Distribución de productos SI –Servicios de asesoramiento y consultoría SI –Desarrollo de seminarios y conferencias SI –Bussiness matching

3 3 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario Portal de Seguridad Wi-Fi W021

4 4 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario The Players IETF – The Internet Engineering Task Force –Grupo auto-organizado –Grupo principal comprometido en el desarrollo de nuevas especificaciones estándares para Internet –http://www.ietf.org IEEE – Institute of Electrical and Electronic Engineers – miembros en 150 países –900 estándares activos –700 en desarrollo –http://www.ieee.org WECA - The Wi-Fi Alliance –Formada en 1999 –Certifica la interoperabilidad de productos WLAN basados en la especificación –http:/www.weca.net 802.1x

5 5 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario Historia de las Redes Wireless Empresariales EstándarVelocidad Banda Frecuencia y 2 Mbps2.4 Ghz a54 Mbps5.15 Ghz b11 Mbps2.4 Ghz g54 Mbps2.4 Ghz iFinales de 2003

6 6 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario Pérdidas de Velocidad Distancia (Metros) Velocidad (Mbps) Obstáculos (paredes/campos magnéticos) Interferencias (cantidad usuarios) V=f(d,o,i) Mbps 4-5 Mbps

7 7 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario Rendimiento Puntos de Acceso – g A B C D EF G Fabricantes Velocidad (Mbps) Fuente: NetworkWorldFusion 24,73 21,55 19,14 18,51 16,23 15,65 15,

8 8 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario Alcance Cliente – Puntos de Acceso g/ A B G C F D E Fabricantes Distancia (Pies) Fuente: NetworkWorldFusion

9 9 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario Puntos Débiles

10 10 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario WarChalking Es la práctica de dibujar en paredes o aceras una serie de símbolos para indicar a otros la proximidad de un acceso inalámbrico ClaveSímbolo Nodo Abierto Nodo Cerrado Nodo WEP Sintaxis V.0.9 SSID Ancho de Banda SSID Ancho de Banda Access Contact Fuente:

11 11 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario Las Raíces del WarChalking Tiene sus antecedentes durante la Gran Depresión del 30 en los Estados Unidos Los desocupados dibujaban símbolos en los edificios para marcar los lugares donde podían conseguir comida La idea fue reflotada 70 años después por los geeks con el fin de marcar hot spots WLAN

12 12 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario WarDriving Técnica difundida donde individuos equipados con material apropiado tratan de localizar en coche puntos wireless Lugar: Barcelona Imagen: Miguel Puchol Puntos rojos protegidos Puntos verdes desprotegidos Foto: O´Reilly Network Estudio WarDriving New York WEP Activado25% WEP Desactivado75% (Julio 2002)

13 13 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario Herramientas para el WarDriving Portátil, PDA u otro dispositivo móvil con tarjeta inalámbrica (PCMCIA) incorporada Antena comprada o casera tipo lata de Pringles o tubo PVC Software de rastreo tipo NetStumbler, Airsnort,... Unidad GPS para fijar las coordenadas exactas en el mapa de la WLAN

14 14 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario Desafíos en la Seguridad de las Redes Inalámbricas (1) - Cualquiera dentro de un radio de 100 metros puede ser un intruso potencial

15 15 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario Desafíos en la Seguridad de las Redes Inalámbricas (2) - Las acreditaciones del usuario se deben poder intercambiar con seguridad - Debe ser capaz de asegurar la conexión con la red de trabajo correcta

16 16 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario Desafíos en la Seguridad de las Redes Inalámbricas (3) - Los datos se deben poder transmitir con seguridad a través de la utilización apropiada de llaves de encriptación

17 17 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario Red Inalámbrica en una Empresa, Ataque Potencial 1

18 18 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario Red Inalámbrica en una Empresa, Ataque Potencial 2

19 19 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario Peligros Denegación de Servicios (DoS) Daño o Robo de Equipos Accesos no Autorizados Robo de Información Inserción de Códigos Dañinos Robo de Credenciales Uso de Internet

20 20 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario Puntos de Acceso Hostiles Prevención –Políticas corporativas –Seguridad física –Estándar 802.1x Detección –Sniffers (analizadores) –Observación física –Buscar símbolos de warchalking –Detección desde la red cableada

21 21 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario

22 22 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario Filtrado de Direcciones MAC MAC (Media Access Control Address) –Direccion del hardware originaria del fabricante –Sirve para identificar routers, tarjetas de red, etc... Crear en cada PA una base de datos de direcciones MAC DESVENTAJAS –Se debe repetir en todos los PAs existentes (puede ser mucho trabajo y originar errores) –Una vez capturadas por un hacker, pueden entrar a la red tranquilamente –Si algún usuario pierde o le roban su estacion, queda comprometida la seguridad

23 23 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario WEP – Introducción Sistema de encriptación estándar Se implementa en la capa MAC Soportada por la mayoría de vendedores de soluciones inalámbricas Cifra los datos enviados a través de las ondas de radio Utiliza el algoritmo de encriptación RC4

24 24 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario WEP – Funcionamiento (1) Concatena la llave simétrica compartida, de 40 ó 104 bits, de la estación con un vector de inicialización aleatorio (IV) de 24 bits, esta estructura se denomina seed El seed se utiliza para generar un número pseudo-aleatório, de longitud igual al payload (datos + CRC), y un valor de 32 bits para chequear la integridad (ICV) Esta llave y el ICV, junto con el payload (datos + CRC), se combinan a través de un proceso XOR que producirá el texto cifrado La trama enviada incluye el texto cifrado, y el IV e ICV sin encriptar

25 25 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario Encriptación WEP Fuente: Cisco

26 26 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario WEP - Debilidades Longitud del vector IV (24 bits) insuficiente El IV se repetirá cada cierto tiempo de transmisión continua para paquetes distintos, pudiendo averiguar la llave compartida Utilización de llaves estáticas, el cambio de llave se debe realizar manualmente A pesar de todo, WEP ofrece un mínimo de seguridad

27 27 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario AirSnort Fuente:

28 28 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario WEP - Carencias Interceptando aproximadamente 100 Mb 1 Gb llaves cada semana son débiles paquetes débiles son suficientes para adivinar un password 15 minutos (128 bits)

29 29 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario Utilidades "Sniffers" para WLANs (1) WEPCrack (http://sourceforge.net) –1ª herramienta de código abierto para romper llaves secretas WEP –Implementación del ataque descrito por Fluhrer, Mantin, y Shamir en el ensayo "Weaknesses in the Key Scheduling Algorithm of RC4" Airsnort (http://airsnort.shmoo.com) –Desarrollada por Shmoo Group para sistemas Linux –Recupera las llaves de cifrado –Monitoriza de manera pasiva las transmisiones y computa la llave de cifrado cuando se han recopilado suficientes paquetes Kismet (http://www.kismetwireless.net) –Sistemas Linux –"Escucha" las señales de radio en el aire –Las unidades GPS, conectadas a notebooks a través de cables en serie, permiten localizar en mapas digitales la ubicación de estas redes

30 30 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario Utilidades "Sniffers" para WLANs (2) Ethreal (http://www.ethereal.com) –Sistemas Linux NetStumbler (http://www.netstumbler.com) –Sistemas Windows –Detecta redes que revelan sus SSIDs (Service Set Identifier), que por lo general se transmiten con la configuración predefinida de los routers inalámbricos Airopeek (http://www.wildpackets.com) –Sistemas Windows Airmagnet (http://www.airmagnet.com) –Corre en Compaq iPaq Wellenreiter (http://www.remote-exploit.org) –Detecta PAs y muestra información sobre los mismos

31 31 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario Que es 802.1x Provee un método para la autenticación y autorización de conexiones a una RED INALÁMBRICA Autenticación basada en el usuario; puede usar credenciales tales como contraseñas o certificados Utiliza EAP (Extensible Authentication Protocol) entre la estación móvil y el punto de acceso Aprovechamiento de protocolos AAA tales como RADIUS para centralizar autenticación y autorizaciones

32 32 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 802.1x trata sobre la seguridad en las Redes Inalámbricas Por qué RADIUS –La autenticación se basa en el usuario, en vez de basarse en el dispositivo –Elimina la necesidad de almacenar información de los usuarios en cada access point de la RED, por tanto es considerablemente más fácil de administrar y configurar –RADIUS ya ha sido ampliamente difundido para otros tipos de autenticación en la red de trabajo Protocolo de Autenticación Extensible (EAP) –Los tipos de autenticación EAP proveen de seguridad a las redes 802.1x Protege las credenciales Protege la seguridad de los datos Tipos comunes de EAP EAP-TLS, EAP-TTLS, EAP-MD5, EAP-Cisco Wireless (LEAP), EAP-PEAP

33 33 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario Seguridad VPN

34 34 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario Seguridad VPN (1) La red wireless es la red insegura Los PA se configuran sin WEP Acceso wireless es "aislado" de la red de la empresa por el servidor VPN Los PA se pueden interconectar creando una red virtual (VLAN)

35 35 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario Seguridad VPN (2) Los servidores VPN proveen: –Autenticación –Encriptación Los servidores VPN actúan como: –Firewalls –Gateways De la red interna

36 36 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario Servidores RADIUS (RFC 2058) Remote Autentication Dial-In User Service Función –Recibir pedido de conexión del usuario –Autenticarlo –Devolver toda la información de configuración necesaria para que el cliente acceda a los servicios Elementos Básicos –Network Access Server (NAS) Cliente de RADIUS - Envía la información del usuario al RADIUS correspondiente y actúa al recibir la respuesta –Seguridad Autenticación mediante Secreto Compartido Passwords encriptados Soporta diversos métodos de autenticación (PAP,CHAP, etc...)

37 37 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario Índice RFCs RADIUS The Internet Engineering Task Force (IETF) RFC Remote Authentication Dial-In User Service (RADIUS) RFC RADIUS Accounting RFC Microsoft Vendor-Specific RADIUS Attributes RFC RADIUS Authentication Client MIB RFC RADIUS Authentication Server MIB RFC RADIUS Accounting Client MIB RFC RADIUS Accounting Server MIB RFC Compulsory Tunneling via RADIUS RFC Remote Authentication Dial-In User Service (obsoleto RFC 2138; actualizado por RFC 2868) RFC RADIUS Accounting (obsoleto RFC 2139; actualizado por RFC 2867) RFC RADIUS Accounting Modifications for Tunnel Protocol Support RFC RADIUS Attributes for Tunneling Support RFC RADIUS Extensions RFC NAS Requirements: Extended RADIUS Practices Fuente:

38 38 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario Entorno RADIUS

39 39 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario Red Inalámbrica en una Empresa, la Solución según 802.1x

40 40 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario Proceso de Autenticación (1) El usuario Wireless LAN autenticará la red de trabajo –Para asegurar que el usuario se conectará a la red correcta

41 41 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario Proceso de Autenticación (2) –El servidor de Odyssey o de SBR crea un túnel seguro entre el servidor y el cliente. El usuario es autenticado a través del túnel con la utilización del nombre de usuario y contraseña/token –Esto asegura que un usuario autorizado se está conectando dentro de la red

42 42 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario Proceso de Autenticación (3) El servidor de Odyssey o de SBR generará llaves dinámicas WEP para encriptación de los datos – Ambas llaves se distribuyen al access point y al cliente

43 43 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario Proceso de Autenticación (4) Tras la autenticación, Odyssey Server autorizará al access point la apertura de un puerto virtual para el cliente de la RED INALÁMBRICA –El cliente obtiene su dirección IP (DHCP) y accede a la red

44 44 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 802.1x en Ethernet Punto de Acceso Servidor Radius Portátil Wireless Acceso Bloqueado Asociación EAPOL-Start EAP-Response/Identity Radius-Access-Challenge EAP-Response (credentials) Radius-Access-Accept EAP-Request/Identity EAP-Request Radius-Access-Request RADIUS EAPOW Associate-Request EAP-Success Acceso Permitido EAPOL-Key (WEP) Associate-Response

45 45 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario Comparación RADIUS con VPN (1) Con RADIUS toda la infraestructura wireless está dentro del firewall corporativo Con VPN está fuera del firewall A medida que crezca el parque de WLAN habrá más equipos fuera y se necesitarán más servidores VPN (2) Cuando hay varias sucursales los usuarios de visita en otra sucursal se pueden autenticar en RADIUS Con VPN debe saber a que servidor conectarse (3) Al crecer la población wireless cada vez el manejo de VPNs se hace mas complejo y más costoso

46 46 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario Unos se quejan...

47 47 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario...Otros hacen algo...

48 48 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario...y otros, DESCANSAN TRANQUILOS ¡¡USTED DECIDE!! RADIUS

49 49 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario 802.1x EAP Tipos y Diferencias

50 50 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario LEAP (EAP-Cisco Wireless) Basado en Nombre de Usuario y Contraseña Soporta plataformas Windows, Macintosh y Linux Patentado por Cisco (basado en 802.1x) El Nombre de Usuario se envía sin protección La CONTRASEÑA se envía sin protección: sujeto a ATAQUES DE DICCIONARIO (MSCHAP v1 hash - * ftp://ftp.isi.edu/in-notes/rfc2433.txt) No soporta One Time Password (OTP) Requiere LEAP aware RADIUS Server. Requiere Infraestructura Cisco Wireless

51 51 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario EAP-MD5 Basado en Nombre de Usuario y Contraseña El Nombre de Usuario se envía sin protección Sujeto a ATAQUES DE DICCIONARIO EAP-MD5 requiere una clave fija manual WEP y no ofrece distribución automática de llaves Sujeto a ataques man-in-the-middle. Sólo autentica el cliente frente al servidor, no el servidor frente al cliente

52 52 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario EAP-TLS (Microsoft) Ofrece fuerte autenticación mútua, credenciales de seguridad y llaves dinámicas Requiere la distribución de certificados digitales a todos los usuarios así como a los servidores RADIUS Requiere una infraestructura de gestión de certificados (PKI) Windows XP contiene un cliente EAP-TLS, pero obliga a los administradores a emplear sólo certificados Microsoft Intercambio de identidades desprotegido

53 53 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario EAP-TLS: ¿Certificados Cliente? Son difíciles de gestionar Debe designarlos una Autoridad Certificadora Requieren conocimiento/compresión Requiere que el usuario establezca el certificado Incómodo para establecer múltiples dispositivos, transferir certificados Los administradores son reacios a su uso Adopción limitada a una fecha 6 ciclos entre usuario y autenticador

54 54 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario EAP-TTLS Permite a los usuarios autenticarse mediante nombre de usuario y contraseña, sin pérdida de seguridad Desarrollado por Funk Software y Certicom Ofrece fuerte autenticación mútua, credenciales de seguridad y llaves dinámicas Requiere que los certificados sean distribuidos sólo a los servidores RADIUS, no a los usuarios Compatible con las actuales bases de datos de seguridad de usuarios, incluídas Windows Active Directory, sistemas token, SQL, LDAP, etc. Soporta CHAP, PAP, MS-CHAP y MS-CHAPv2

55 55 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario Como funciona EAP-TTLS… Fase 2 – Autenticación Secundaria Autenticación Secundaria - (PAP, CHAP, MS-CHAP, EAP) Configuración del Túnel TLS Fase 1 – Establecimiento de TLS

56 56 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario Las ventajas de EAP-TTLS El más sencillo de instalar y gestionar Seguridad difícil de traspasar No requiere Certificados Cliente Autentica de manera segura los usuarios frente a base de datos Windows Despliegue contra infraestructuras existentes Los usuarios se conectan con sus nombres de usuario y contraseñas habituales No existe peligro de ataques de diccionario Parámetros pre-configurados para el cliente WLAN, facilitando la instalación en los dispositivos WLAN

57 57 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario EAP-PEAP Propuesto por Microsoft/Cisco/RSA Security No requiere Certificados También utiliza Transport Layer Security (TLS) para establecer el túnel Se incluye en SP1 de Windows XP Se incluirá en Windows 2003 Server

58 58 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario Wi-Fi Protected Access (WPA) Abril 2003 –Más fuerte que WEP –Mejorable a través de nuevas versiones de software –Uso empresarial y casero –Obligatorio a finales del 2003 Mejoras de Seguridad –TKIP (Temporal Key Integrity Protocol) –Autenticación de usuarios

59 59 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario TKIP IV de 48 bits llamado TSC (TKIP Sequence counter) MIC (Integrity Check de Mensajes) Encripta checksum con direcciones MAC y los datos IV / Clave 4 octetos IV Extendido 4 octetos Datos nº octetos MIC 8 octetos ICV 4 octetos Encriptado TSC 48 bits

60 60 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario

61 61 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario Requisitos de Funcionalidad para el Método de Autenticación Seguridad para las credenciales Permitir autenticación mutua Llaves de encriptación dinámicas Regeneración de llaves (re-keying) Facilidad de gestión Facilidad y rapidez de implementación

62 62 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario WEP y WPA FunciónWEPWPA EncriptaciónDébil Soluciona debilidades Claves40 bits128 bits ClavesEstáticasDinámicas ClavesDistribución manualAutomática AutenticaciónDébil Fuerte, según 802.1x y EAP

63 63 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario Protocolos de Seguridad Wireless WECA WEP (802.11b) WPA (802.11i) IEEE EAP (802.1x) MD5 LEAP Cisco TTLS Funk Software PEAP Cisco XP (SP1) TLS Microsoft XP/2000 (SP3)

64 64 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario Comparativa de Protocolos EAP TemaEAP-MD5 LEAP (Cisco) EAP-TLS (MS) EAP-TTLS (Funk) EAP-PEAP Solución de Seguridad EstándarPatenteEstándar Certificados- Cliente NoN/ASí No (opcional) Certificados- Servidor NoN/ASí Credenciales de Seguridad NingunaDeficienteBuena Soporta Autenticación de Base de Datos Requiere Borrar la Base de Datos Active Directory, NT Domains Active Directory Act. Dir., NT Domains, Token Systems, SQL, LDAP Intercambio de llaves dinámicas NoSí Autenticación Mútua NoSí

65 65 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario Conclusiones La elección del método de Autenticación es la decisión fundamental La elección del servidor de Autenticación y del software de los clientes Si no existe PKI deseche TLS PEAP no tiene ventajas sobre TTLS Fuente: Wireless Networks

66 66 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario ¡¡La Pregunta del Millón!! ¿Qué Método de Autenticación? ó ¿ ? ¿Qué Servidor de Autenticación? ¿Qué Hardware? - Access Point - Tarjetas Wi-Fi

67 67 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario Seguridad Intel Centrino Fuente:

68 68 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario

69 69 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario

70 70 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario Políticas de Seguridad Físicas –Paredes/Vigilancia Laboral –PAs/EM privadas Viajeros frecuentes Observación física –PAs/warchalking

71 71 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario Para viajeros frecuentes

72 72 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario El Futuro PAs más inteligentes Quizás PAs de tipo empresarial Mucho mayor alcance de los Pas Todas las estaciones móviles con Centrino Switches + Radius (appliance) Hot spots en sitios públicos WiFi en todos los hogares Virus para PAs

73 73 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario Nuevas Tecnologías...Nuevas Oportunidades Técnicos especializados en wireless Técnicos especializados en Seguridad wireless

74 74 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario UOC Universidad Oberta de Catalunya Business Case IMPLEMENTACIÓN EXITOSA DE REDES WIRELESS (1) IMPLEMENTACIÓN EXITOSA DE REDES WIRELESS (2)

75 75 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario Primera Solución Multiplataforma para Seguridad de Redes Wireless

76 76 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario Qué es Odyssey Odyssey es una solución de seguridad 802.1x extremo- extremo que permite a los usuarios conectarse de forma segura a una RED INALÁMBRICA. Puede ser fácil y ampliamente desplegada a través de una red de trabajo corporativa Solución completa para REDES INALÁMBRICAS –Asegura la autenticación del cliente así como también de la conexión en si misma Consta de dos componentes: –Odyssey Client – comunica con Odyssey Server (o servidor basado en 802.1x) para establecer una conexión segura –Odyssey Server – SERVIDOR RADIUS basado en protocolos de autenticación para REDES INALÁMBRICAS (MD5, TLS, TTLS, LEAP, PEAP) Disponible como sistema Cliente/Servidor, o individualmente como Servidor o Cliente

77 77 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario Características de Odyssey Odyssey Client se ejecuta bajo Windows 98/ME/2000/XP/CE Administración de certificados basada en servidor (no se requiere certificado del lado-cliente excepto al usar EAP-TLS) Trabaja con cualquier hardware basado en 802.1x Generación de llave dinámica para una seguridad superior: –Llave inicial WEP creada dinámicamente (no más llaves estáticas WEP) –Llaves periódicas de sesión generadas a intervalos configurables La autenticación trabaja frente a bases de datos existentes Active Directory/NT Domain (y nombre de usuario/contraseña existentes)

78 78 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario Odyssey Server Servidor de Autenticación 802.1x Dirigido a la localización de datos corporativos con requerimientos de autenticación para WLAN/802.1x Soporte Multi-plataforma –Windows 2000 y XP Soporte para múltiples tipos EAP –EAP-TLS –EAP-TTLS –EAP-Cisco Wireless (LEAP) –EAP-MD5 –EAP-PEAP Soporte para Autenticación solamente –Autenticación sólo contra Windows Active Directory/NT Domains

79 79 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario Modelos de Servidores RADIUS W532 ProductoFinalidadConectividadPlataforma WIRELESS Windows 2000 y Windows XP WIRELESS Windows NT/2000 Solaris WIRELESS + CABLES Windows NT/2000 Solaris Netware Windows NT/2000 Windows XP Solaris Windows NT/2000 Solaris ODYSSEY RADIUS (SBR) Básico Todo tipo de Usuarios Acceso público Internet Mini (3 PA) Pymes Sucursales Secc. Aisladas Hotspot Enterprise Empresas Global Grandes Empresas Service Provider Proveedores Internet

80 80 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario

81 81 © Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario Le agradecemos su atención. ¿Alguna Pregunta?


Descargar ppt "Seguridad en Redes Wireless Presentador: Ing. Eduardo Tabacman © Copyright 2003 VIRUSPROT, S.L. Todos los derechos reservados."

Presentaciones similares


Anuncios Google