Seguridad de los Recursos de Información – GSI732 Carmen R. Cintrón Ferrer © , Derechos Reservados
Módulos Introducción Principios de seguridad Tecnologías de seguridad Redes inalámbricas y usuarios móviles Entorno del comercio-e Implantación de programas de seguridad Perspectivas sociales y futuras Referencias
Componentes básicos de las redes Tecnología inalámbrica Tipos de redes inalámbricas Ventajas y desventajas Riesgos de redes inalámbricas Issues de seguridad Consideraciones finales Módulo Redes inalámbricas y usarios móviles
Redes Componentes básicos Equipos o servicios a compartir Amplitud o distancia Medio(s) de conexión Medio(s) de distribución Protocolos de comunicación Controles de acceso y seguridad Herramientas para proteger transmisión *
Tecnología inalámbrica Teléfonos celulares PDA’s Notebooks Estaciones o periferales (WNIC’s) Puntos de contacto o conexión (WPA) Puntos de distribución Protocolos de comunicación (WAP) Medios transmisión (GSM)
Redes inalámbricas (Tipos) Personales (10 metros/ 1-2Mbps) Locales (1-3millas/ 11-54Mbps): Estándares – x Ventajas Limitaciones Amplias (GSM)
Red Inalámbrica * *
Redes inalámbricas (Ventajas) Bajo costo Fácil instalación de WLAN’s Fácil ampliación Red alámbrica Integración de equipo móvil (PDA’s/Celulares) Amplio acceso y acceso en movimiento
Redes inalámbricas (Desventajas) Riesgos de seguridad Alto costo de administración Dificultad para regular usuarios/servicios Capacidad limitada de ancho de banda Punto de vulnerabilidad - Red alámbrica Punto de congestión – Red alámbrica
Redes inalámbricas (Riesgos) Fácil acceso a WAP’s (“war drivers”) Fácil instalación de WLAN’s (“Rogue WAP’s”) Fácil acceso a servicios-servidores (OSA/WEP) Capacidad limitada y de fácil congestión (“Radiowave congestion”) Impostura (“MAC spoofing/ session hijacking”) Interceptación (“eavesdropping/traffic monitoring”) Capacidad limitada para encifrar datos (WEP)
Redes Inalábricas Issues de seguridad Confidencialidad: Basada en códigos de encifrado WEP Inicialmente están inactivos Basado en código RC4 Utiliza vector (IV) de 24 bits Patrón identifcable en red con mucho tráfico SW para descifrar código disponible Carece de “key management” Reemplazo “key” requiere cambiarla en todos los equipos que utilizan la redW
Redes Inalábricas Issues de seguridad (2) Accesibilidad: DoS posible mediante SYN flood, smurf, … Saturación de tráfico impide a la red atender reclamos válidos de servicio DoSing – “jam the radio waves” – interrumpe las transmisiones y hace la red inaccesible Factor de riesgo: requiere cercanía física Distributed DoS: puede venir desde Internet vía cualquier conexión en la red
Redes Inalábricas Issues de seguridad (3) Integridad: Layer 1 utiliza Direct Sequence Spread Spectrum Mode (DSSS) para radiotransmit Escudriñar la red (“Scanning”) ¿Legal o inmoral? Scanners disponibles: Airmagnet – Sniffer wireless – AiroPeeks – Wireless security auditor – sss.ibm.com Netstumbler – Kismet –
Seguridad Redes inalámbricas Instalar WAP lejos de perímetro externo Cambiar el SSID preasignado (“scramble”) Activar WEP encifrar transmisión (128b) Instalar VPN o VLAN Establecer sistema autenticar usuarios (Radius) Instalar WLAN como red separada Integrar WLAN al LAN/WAN via Firewall Controlar las instalaciones de WLAN’s Filtrar Mac Addresses Escudriñar uso del WLAN
Ejercicio Redes Inalámbricas Describa la red inalámbrica institucional Identifique los principales riesgos ¿Cómo reduciría el impacto de éstos? ¿Cuál es el futuro de las redes inalámbricas?
Otras Consideraciones Integrar la tecnología con cautela Tomar medidas de seguridad prescritas Asumir que el WLAN es abierto e inseguro Integrar consideraciones de WLAN’s a las políticas y controles seguridad vigentes Adiestrar usuarios en la organización Mantenerse al día de los cambios WiFi
Consideraciones futuras Incremento en ancho de banda WLAN Mejores opciones para autenticar usuarios Métodos encifrar WEP más seguros Proliferación de conexiones inalámbricas Diversidad de equipos/periferales WiFi WiFi llegó para quedarse (i.e. e-correo)
Preguntas
Referencias Tanenbaum, Computer Networks Maiwald, Network Security Proctor & Byrnes, The secure enterprise Schenk, Wireless LAN Deployment Gast, Seven security problems of Wireless Wireless Privacy: An Oxymoron (April 26, 2001) Bolles, Wireless (In)security: Are your networks snoop-proof? (CIO Insight July 2002) Trilling, How to tighten loose security in wireless networks? (Computerworld Feb.12,2003) daCruz, Safe networking computing (Columbia U., Sep 2001) McHugh,Christie & Allen, The role of intrusion detection systems (IEEE Software, Sep/Oct 2000) Allen, et als., Improving the security of Networked systems (STSC Crosstalk Oct, 2000)
Referencias SANS Institute - various EDUCAUSE Evolving Technologies Committee: Overview of Security (Oct 2002) EDUCAUSE Mid-Atlantic Regional Conference: Measuring the success of wireless CERT: Internet Security Issues (May 2000) CERT: Security of the Internet (1997) CERT: Home computing security (2002) CERT: Organized crime and cyber-crime (2002)
Glosario de términos Tecnología inalámbrica Access point (AP/WAP) Bluetooth (Personal wireless LAN) Dynamic frecuency selection/dynamic channel selection (DFS/DCS) Extensible authentication protocol (EAP) Global system for mobile communications (GSM) Wireless Access Protocol (WAP) Wireless LAN (WLAN – x) Wireless Transport layer security (WTLS) Wired equivalent privacy (WEP) Wireless Ethernet compatibility alliance (WECA)
Glosario de términos Tecnología inalámbrica (2) “Spoofing” “Hijacking session” Basic Service Set (BSS) Open systems authentication (OSA) Service set identifier (SSID) Shared key authentication (SKA) Virtual private network (VPN) High Performance Radio LAN (HIPERLAN) Integrity Check Vector (ICV) Initialization Vector (IV) Medium Access Control (MAC)
Arquitectura de seguridad