La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

WPA + EAP-TLS + FreeRADIUS Daniel Martínez [bucomsec.com] 25 Septiembre'05.

Publicada porJosé Ocanas Modificado hace 9 años

Presentaciones similares

Presentación del tema: "WPA + EAP-TLS + FreeRADIUS Daniel Martínez [bucomsec.com] 25 Septiembre'05."— Transcripción de la presentación:

1 WPA + EAP-TLS + FreeRADIUS Daniel Martínez [bucomsec.com] 25 Septiembre'05

2 WPA + EAP-TLS + FreeRADIUS ● Introducción ● WPA ● EAP-TLS ● FreeRADIUS ● Instalación y configuración ● Clientes ● Vulnerabilidades Contenido

3 WPA + EAP-TLS + FreeRADIUS bucomsec.net ● Manual de instalación disponible en bucomsec.net ● Vamos a aprender a configurar una red wifi de forma segura usando los medios que nos ofrece la tecnología actual:  Infraestructura PKI  WPA  802.1X (EAP-TLS)  RADIUS Introducción

4 WPA + EAP-TLS + FreeRADIUS ● Public Key Infraestructure ● Clave pública ● Clave privada ● Autoridad de Certificación ● OpenSSL power!! Conceptos: PKI

5 WPA + EAP-TLS + FreeRADIUS ● Wireless Protected Access (WPA2 -> 802.11i) ● Mejoras de los protocolos de cifrado ● Soporte protocolo de control de acceso basado en puertos 802.1x Conceptos: WPA

6 WPA + EAP-TLS + FreeRADIUS ● Es un mecanismo estándar para autenticar centralmente estaciones y usuarios. ● Es un estándar abierto que soporta diferentes algoritmos de encriptación. ● Se apoya en el protocolo de autenticación EAP (Extensible Authentication Protocol), aunque en realidad es EAPoL (EAP over LAN) de forma que se puede usar en redes ethernet, 802.11, Token-Ring y FDDI. ● Requiere cliente (Xsupplicant en Linux), Punto de Acceso y servidor de autenticación. ● EAP es soportado por muchos Puntos de Acceso y por HostAP. ● Antes de la autenticación sólo se permite tráfico 802.1X (petición de autenticación). Conceptos: 802.1X

7 WPA + EAP-TLS + FreeRADIUS ● Funciona en capa 2 Conceptos: 802.1X

8 WPA + EAP-TLS + FreeRADIUS ● EAP (Extensible Authentication Protocol) ● EAP-TLS (EAP – Transport Level Security) Autenticación mutua, cifrada y depende de certificados de una CA. Soportado por hostapd. ● EAP-TTLS (EAP Tuneled TLS) No necesita ambos certificados, solo el de el servidor para crear un tunel. ● EAP-MD5 El servidor envia un mensaje desafío al cliente y este contesta con otro mensaje MD5 o no autentica. Fácil de implementar pero menos fiable. ● LEAP (Lightweigth EAP) Implementacion de Cisco, autenticación mutua, permite el uso dinámico de WEP. ● PEAP (Protected EAP): desarrollado por M$, Cisco y RSA, similar a EAP-TTLS Conceptos: EAP

9 WPA + EAP-TLS + FreeRADIUS

10 ● Remote Access Dialin User Service ● Autenticación: Verificar que una entidad es quien dice ser. Suele incluir unas credenciales (usuario/contraseña, certificados, tokens, etc.). ● Autorización: Decidir si la entidad, una vez autenticada, tiene permiso para acceder al recurso. ● Control de Acceso: Conceder el permiso definitivo. ACL. Registro, monitorización, contabilidad e informes. RADIUS: AAA

11 WPA + EAP-TLS + FreeRADIUS ● Es un servicio (servidor) para autenticación remota, estándar de facto. ● Compatible con SNMP. ● Se compone de un servidor y un cliente. ● Admite varios tipos de bases de datos de contraseñas, y usar varios tipos de esquemas de autenticación, por ejemplo PAP y CHAP (se integra prácticamente con cualquier BBDD y SO). ● Algunos incorporan protección contra "sniffing" y ataques activos. ● Permite administración centralizada. ● La Autorización viene definida en el RFC 2865. ● Los servicios de Accounting están disponibles en el RFC 2866. RADIUS: AAA

12 WPA + EAP-TLS + FreeRADIUS ● Esquema de red: Instalación y configuración:

13 WPA + EAP-TLS + FreeRADIUS ● radiusd.conf - Archivo general de configuración de FreeRADIUS. ● eap.conf– Archivo de configuración de las directivas EAP a utilizar. Es un include de radiusd.conf ● clients.conf– Descripción y credenciales de los diferentes dispositivos que consultan al RADIUS. ● users – Archivo donde se especifican las credenciales de los usuarios de la red. Se usa este archivo si no existe otro backend para el almacenamiento de los usuarios. ● secret - es usada para cifrar la comunicación entre el cliente RADIUS (AP) y el servidor RADIUS RADIUS: Configuración

14 WPA + EAP-TLS + FreeRADIUS ● CA.root – Creación de la CA. ● CA.server– Creación de certificados para el servidor (fqdn). ● CA.client– Creación de certificados para cada usuario. No confundir con clients.conf de RADIUS. ● xpextensions – OID para EAP-TLS. ● Copiar archivos root.der (certificado de CA) y.p12 (clave privada y certificado del cliente) RADIUS: Certificados

15 WPA + EAP-TLS + FreeRADIUS AP: Configuración

16 WPA + EAP-TLS + FreeRADIUS Cliente: Configuración ● Linux:  Xsupplicant: http://www.open1x.org/http://www.open1x.org/  AEGIS Client http://www.mtghouse.comhttp://www.mtghouse.com  wpa_supplicant http://hostap.epitest.fi/wpa_supplicanthttp://hostap.epitest.fi/wpa_supplicant ● FreeBSD:  PANA: http://www.opendiameter.org/http://www.opendiameter.org/ ● Mac OS X:  Soporte nativo del sistema.  AEGIS Client http://www.mtghouse.comhttp://www.mtghouse.com

17 WPA + EAP-TLS + FreeRADIUS Cliente: Configuración ● Windows:  Soporte nativo del sistema Windows XP SP2.  WIRE1x: http://wire.cs.nthu.edu.tw/wire1x/http://wire.cs.nthu.edu.tw/wire1x/  AEGIS Client (98/CE/Me/2K/NT4) http://www.mtghouse.comhttp://www.mtghouse.com ● Solaris:  AEGIS Client http://www.mtghouse.comhttp://www.mtghouse.com

18 WPA + EAP-TLS + FreeRADIUS Cliente: Configuración ● Mac OS X (Tiger):  Instalar los certificados de CA y Cliente.  Configuración 802.1x (EAP-TLS):

19 WPA + EAP-TLS + FreeRADIUS Vulnerabilidades: ● Denegación de servicio (EAPOL-Start bombing, etc) ● Ingeniería social para conseguir certificados ● Desde la zona cableada atacar al servidor de certificados

20 WPA + EAP-TLS + FreeRADIUS Preguntas¿?

21 WPA + EAP-TLS + FreeRADIUS Referencias ● Wi-Foo: The secrets of wireless hacking. Andrew A. Vladimirov, Konstantin V. Gavrilenko, Andrei A. Mikhailovsky. http://www.wi- foo.comhttp://www.wi- foo.com ● http://www.freeradius.org/doc/EAPTLS.pdf http://www.freeradius.org/doc/EAPTLS.pdf ● http://www.missl.cs.umd.edu/wireless/eaptls/?tag=missl-802-1 http://www.missl.cs.umd.edu/wireless/eaptls/?tag=missl-802-1 ● http://www.alphacore.net/contrib/nantes-wireless/eap-tls- HOWTO.html http://www.alphacore.net/contrib/nantes-wireless/eap-tls- HOWTO.html ● http://www.fi.infn.it/system/WiFi/802.1X/macosx/ http://www.fi.infn.it/system/WiFi/802.1X/macosx/ ● http://www.dartmouth.edu/~pkilab/greenpass/gp-web- images/internetconnect2.png http://www.dartmouth.edu/~pkilab/greenpass/gp-web- images/internetconnect2.png ● http://www.alphacore.net/spipen/article.php3?id_article=1 http://www.alphacore.net/spipen/article.php3?id_article=1 ● http://oriol.joor.net/blog-dev/?itemid=1574 http://oriol.joor.net/blog-dev/?itemid=1574

22 WPA + EAP-TLS + FreeRADIUS ● Se permite la copia y difusión total o parcial por cualquier medio y la traducción a otros idiomas, siempre que se haga referencia al autor Daniel Martínez = http://www.bucomsec.com y se incluya esta nota. Gracias ;P

Descargar ppt "WPA + EAP-TLS + FreeRADIUS Daniel Martínez [bucomsec.com] 25 Septiembre'05."

Presentaciones similares

WI-FI significa Wireless Fidelity. Es un conjunto de especificaciones de comunicación inalámbrica basados en el estándar 802.11. Estas especificaciones.

WI-FI significa Wireless Fidelity. Es un conjunto de especificaciones de comunicación inalámbrica basados en el estándar Estas especificaciones.
Seguridad para la Red Inalámbrica de un Campus Universitario

Seguridad para la Red Inalámbrica de un Campus Universitario
Espacio común de movilidad

Espacio común de movilidad
1 Logroño, 27 de octubre de 2005JT RedIRIS 2005 Proyecto de implantación de una UPN IEEE 802.1X con autenticación de usuarios basada en tarjeta inteligente.

1 Logroño, 27 de octubre de 2005JT RedIRIS 2005 Proyecto de implantación de una UPN IEEE 802.1X con autenticación de usuarios basada en tarjeta inteligente.
METODOS DE AUTENTICACIÓN

METODOS DE AUTENTICACIÓN
Jorge de Nova Segundo UD4: Instalación y administración de servicios Web Seguridad del protocolo HTTP.

Jorge de Nova Segundo UD4: Instalación y administración de servicios Web Seguridad del protocolo HTTP.
Microsoft Windows Server 2008: “Network Access Protection”

Microsoft Windows Server 2008: “Network Access Protection”
Introducción a servidores

Introducción a servidores
VPN Virtual Private Network Red Privada Virtual.

VPN Virtual Private Network Red Privada Virtual.
Aplicación informática. formando parte de una red. pone sus recursos a disposición de las demás computadoras(clientes) de la red. Maneja información.

Aplicación informática. formando parte de una red. pone sus recursos a disposición de las demás computadoras(clientes) de la red. Maneja información.
Kerberos Practica sobre Kerberos

Kerberos Practica sobre Kerberos
DIRECT ACCESS.

DIRECT ACCESS.
TECNOLOGÍA CITRIX Realizado por: Janis Andrea Goez Vélez Vanesa Cano Garcés Grado 9-A I.E. San Juan Bosco 23 de julio del 2012.

TECNOLOGÍA CITRIX Realizado por: Janis Andrea Goez Vélez Vanesa Cano Garcés Grado 9-A I.E. San Juan Bosco 23 de julio del 2012.
Servidores de acceso remoto:

Servidores de acceso remoto:
Unidad 8 Protocolos y Servicios de Red Nivel 2 Protocolo Ethernet

Unidad 8 Protocolos y Servicios de Red Nivel 2 Protocolo Ethernet
Seguridad en la Red WIFI

Seguridad en la Red WIFI
Protocolos de seguridad en redes inalámbricas Universidad Carlos III de Madrid Protocolos de Comunicaciones para Sistemas Móviles Saulo Barajas 7jun04.

Protocolos de seguridad en redes inalámbricas Universidad Carlos III de Madrid Protocolos de Comunicaciones para Sistemas Móviles Saulo Barajas 7jun04.
DEPARTAMENTO DE ELECTRÓNICA, REDES Y COMUNICACIÓN DE DATOS

DEPARTAMENTO DE ELECTRÓNICA, REDES Y COMUNICACIÓN DE DATOS
Protocolos de Comunicación

Protocolos de Comunicación
Iván Camilo Vásquez Ángel Camelo

Iván Camilo Vásquez Ángel Camelo

Presentaciones similares

Anuncios Google