La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Universidad de Deusto Facultad de Ingenieria Seguridad en redes Wi-Fi Universidad de Deusto......... Nuevos protocolos de seguridad en redes Wi-Fi Pablo.

Publicada porAgustín Segura Naranjo Modificado hace 8 años

Presentaciones similares

Presentación del tema: "Universidad de Deusto Facultad de Ingenieria Seguridad en redes Wi-Fi Universidad de Deusto......... Nuevos protocolos de seguridad en redes Wi-Fi Pablo."— Transcripción de la presentación:

1 Universidad de Deusto Facultad de Ingenieria Seguridad en redes Wi-Fi Universidad de Deusto......... Nuevos protocolos de seguridad en redes Wi-Fi Pablo Garaizar Sagarminaga garaizar@eside.deusto.es

2 Universidad de Deusto Facultad de Ingenieria Seguridad en redes Wi-Fi Universidad de Deusto......... Soluciones de seguridad WiFi Soluciones “antiguas”: – WEP: 64 bit 128 bit 256 bit – Shared Key Authentication – Filtros por IP o por MAC – Ocultar ESSID ¡TODAS VULNERABLES!

3 Universidad de Deusto Facultad de Ingenieria Seguridad en redes Wi-Fi Universidad de Deusto......... Soluciones de seguridad WiFi Soluciones actuales: – Portales cautivos – 802.1x – WPA (WEP2) – 802.11i (WPA 2)

4 Universidad de Deusto Facultad de Ingenieria Seguridad en redes Wi-Fi Universidad de Deusto......... Portales Cautivos Sistema de validación de clientes para nodos wireless. Según el tipo de usuario asigna ancho de banda y da acceso a servicios diferentes. Basado normalmente en “tokens” temporales gestionados por HTTP-SSL (443/TCP).

5 Universidad de Deusto Facultad de Ingenieria Seguridad en redes Wi-Fi Universidad de Deusto......... Portales Cautivos NoCat:

6 Universidad de Deusto Facultad de Ingenieria Seguridad en redes Wi-Fi Universidad de Deusto......... Portales Cautivos NoCat, Características: – Autenticación segura basada en SSL (navegador). – Autoriza mediante usuario contraseña. – Informa de la entrada y salida del usuario en la red. – Añade la implementación de QoS por usuarios y grupos.

7 Universidad de Deusto Facultad de Ingenieria Seguridad en redes Wi-Fi Universidad de Deusto......... Portales Cautivos NoCat, Modos de funcionamiento: – Captive Portal (Portal Cautivo): Captura las peticiones de usuarios a una web. Comprueba las credenciales del usuario y máquina contra una base de datos. Login obligatorio para el usuario. Mantiene la sesión mientras está autenticado.

8 Universidad de Deusto Facultad de Ingenieria Seguridad en redes Wi-Fi Universidad de Deusto......... Portales Cautivos NoCat, Modos de funcionamiento: – Passive Portal: Como Captive pero se usa cuando hay un Firewall entre el AP y el gateway NoCat. – Open Portal: Simplemente muestra una web con las condiciones de uso, no requiere credenciales.

9 Universidad de Deusto Facultad de Ingenieria Seguridad en redes Wi-Fi Universidad de Deusto......... Portales Cautivos NoCat, Componentes: – NoCat Auth: Servicio de autenticación. – NoCat Gateway: Servicio de redirección y firewall. – Auth Database: Fichero propio (MD5), Base de Datos, Ldap, Radius, PAM, Samba, IMAP. – Access Point.

10 Universidad de Deusto Facultad de Ingenieria Seguridad en redes Wi-Fi Universidad de Deusto......... Portales Cautivos NoCat, Proceso de autenticación: 1. El cliente se asocia con un AP y le asigna una IP. 2. El AP reenvía las peticiones al gateway. 3. El gateway redirige a la página de login del Auth Server: iptables -t nat -A PREROUTING -s 10.10.21.0/24 -p tcp --dport 80 –j REDIRECT -d 10.10.21.2 --to-port 443 4. La conexión es autenticada vÌa SSL.

11 Universidad de Deusto Facultad de Ingenieria Seguridad en redes Wi-Fi Universidad de Deusto......... Portales Cautivos NoCat, Proceso de autenticación: 1. El Auth Server pide usuario y contraseña al cliente (via SSL) y la comprueba con la Auth Database. 2. Los mensajes de autorización van firmados con PGP/GnuPG, el gateway utiliza la clave pública del Auth Server. 3. Si la autenticación ha sido satisfactoria, el gateway redirige el tráfico a la LAN y/o Internet.

12 Universidad de Deusto Facultad de Ingenieria Seguridad en redes Wi-Fi Universidad de Deusto......... Portales Cautivos NoCat, Proceso de autenticación:

13 Universidad de Deusto Facultad de Ingenieria Seguridad en redes Wi-Fi Universidad de Deusto......... Portales Cautivos NoCat, Necesidades del cliente: – Navegador (Mozilla, Netscape, Opera, Galeon, Konqueror o MSIE) con soporte SSL. Independiente del SO. No necesita plugins. Tarjeta wireless. Cuenta de acceso (para Captive Mode).

14 Universidad de Deusto Facultad de Ingenieria Seguridad en redes Wi-Fi Universidad de Deusto......... Portales Cautivos NoCat, Inconvenientes: – Comunicación no cifrada (por defecto). – Implementar VPN: el cliente necesita software específico. – Spoofing y hi-jacking mientras dura el token temporal.

15 Universidad de Deusto Facultad de Ingenieria Seguridad en redes Wi-Fi Universidad de Deusto......... Soluciones de seguridad WiFi Mejoras con nuevos protocolos: – Control de acceso al medio: autenticación. Tecnologías y estándares: – 802.1x. – EAP y derivados. – RADIUS. – Seguridad de los datos: cifrado. Tecnologías y estándares: – AES. – CCMP. – Michael.

16 Universidad de Deusto Facultad de Ingenieria Seguridad en redes Wi-Fi Universidad de Deusto......... 802.1x Mecanismo estándar para autenticar centralmente estaciones y usuarios. No es específico de redes inalámbricas, originariamente se pensó para cableadas. Estándar abierto, soporta diferentes algoritmos de encriptación. Proporciona la base para un control de acceso a nivel superior (EAP).

17 Universidad de Deusto Facultad de Ingenieria Seguridad en redes Wi-Fi Universidad de Deusto......... 802.1x Authenticator/EtherNAS (e.g. Access Point or Bridge) Supplicant Enterprise or ISP Network Semi-Public Network / Enterprise Edge AuthenticationServer RADIUS EAP Over Wireless (EAPOW) EAP over LAN (EAPOL) EAP Over RADIUS PAE PAE EtherCPE SupplicantNon-802.1X

18 Universidad de Deusto Facultad de Ingenieria Seguridad en redes Wi-Fi Universidad de Deusto......... 802.1x EAP: – Extensible Authentication Protocol. – Proporciona un método flexible y ligero de control de acceso a nivel de enlace. No depende de IP. ACK/NAK. Puede trabajar sobre cualquier capa de enlace. No asume una capa física segura.

19 Universidad de Deusto Facultad de Ingenieria Seguridad en redes Wi-Fi Universidad de Deusto......... 802.1x EAP:

20 Universidad de Deusto Facultad de Ingenieria Seguridad en redes Wi-Fi Universidad de Deusto......... 802.1x EAP: – Descrito en el RFC2284. – 4 tipos de mensajes: Petición (Request Identity): usado para el envío de mensajes del punto de acceso al cliente. Respuesta (Identity Response): usado para el envío de mensajes del cliente al punto de acceso. Éxito (Success): enviado por el punto de acceso para indicar que el acceso está permitido. Fallo (Failure): enviado por el punto de acceso para el rechazo del acceso.

21 Universidad de Deusto Facultad de Ingenieria Seguridad en redes Wi-Fi Universidad de Deusto......... 802.1x EAP: – Requiere cliente (Xsuplicant), Punto de Acceso y servidor de autenticación. – EAP es soportado por muchos Puntos de Acceso y por HostAP – Antes de la autenticación sólo se permite tráfico 802.1X (petición de autenticación).

22 Universidad de Deusto Facultad de Ingenieria Seguridad en redes Wi-Fi Universidad de Deusto......... 802.1x

23 Universidad de Deusto Facultad de Ingenieria Seguridad en redes Wi-Fi Universidad de Deusto......... 802.1x Protocolos de autenticación basados en EAP: – LEAP: CISCO, basado en user/pass. – EAP-MD5: user/pass en MD5. – EAP-TLS: certificados digitales en todos los clientes. – EAP-TTLS: user/pass con túnel cifrado, certificados en el backend. – EAP-PEAP: user/pass con túnel cifrado, estándar en Windows XP SP2 (PEAP+MSCHAPv2). – EAP-SIM: SIM de un móvil, PIN = pass. –...

24 Universidad de Deusto Facultad de Ingenieria Seguridad en redes Wi-Fi Universidad de Deusto......... 802.1x EAP-TLS

25 Universidad de Deusto Facultad de Ingenieria Seguridad en redes Wi-Fi Universidad de Deusto......... 802.1x EAP-TLS, vulnerabilidades: – Fase de identificación: el cliente manda el mensaje EAP-Identity sin cifrar: Un atacante podría ver la identidad del cliente que está tratando de conectarse. – Envío de la aceptación/denegación de la conexión (EAP-Success/EAP-Failure hacia el autenticador) sin cifrar: Puede ser enviado por un atacante que se haga pasar por el servidor de autenticación.

26 Universidad de Deusto Facultad de Ingenieria Seguridad en redes Wi-Fi Universidad de Deusto......... 802.1x EAP-PEAP, corrige vulnerabilidades en EAP-TLS: proceso en dos fases: – Fase 1: obtención de un canal seguro “genérico”. Esta fase puede realizarla cualquier atacante. – Fase 2: autenticación a través de ese canal seguro. El atacante no tiene autenticación válida, por lo que no le sirve el canal seguro creado anteriormente.

27 Universidad de Deusto Facultad de Ingenieria Seguridad en redes Wi-Fi Universidad de Deusto......... 802.1x EAP-PEAP, proceso en dos fases:

28 Universidad de Deusto Facultad de Ingenieria Seguridad en redes Wi-Fi Universidad de Deusto......... 802.1x Radius: – Remote Access Dial In User Access. – Soporta autenticación, autorización y contabilidad de los accesos a red. – Estándar muy utilizado en ISPs. – Microsoft apuesta por RADIUS para la autenticación de usuarios remotos.

29 Universidad de Deusto Facultad de Ingenieria Seguridad en redes Wi-Fi Universidad de Deusto......... 802.1x Radius:

30 Universidad de Deusto Facultad de Ingenieria Seguridad en redes Wi-Fi Universidad de Deusto......... WPA Apareció como solución provisional a la aprobación final de 802.11i (WPA2). También conocido como WEP2. Distribución dinámica de claves: – duración limitada (TKIP). IV más robusto: – 48 bits, minimizando la reutilización de claves. Técnicas de integridad y autenticación: – MIC o Michael

31 Universidad de Deusto Facultad de Ingenieria Seguridad en redes Wi-Fi Universidad de Deusto......... WPA Incluye, parcialmente: – 802.1X: Control de Acceso por puerto. Solo permite tráfico EAP hasta autenticación. – EAP Autenticación: – Estación. – Servidor de autenticación (RADIUS). – TKIP – MIC Integridad de los datos.

32 Universidad de Deusto Facultad de Ingenieria Seguridad en redes Wi-Fi Universidad de Deusto......... WPA TKIP (Temporal Key Integrity Protocol) – Sigue empleando RC4, pero sin compartir la clave entre todos los clientes. – Cambio de clave cada 10.000 paquetes aproximadamente. – Solamente requiere una actualización de firmware. – ¡Solución temporal! Hasta la llegada de 802.11i. – Información sobre el estado del proyecto: http://grouper.ieee.org/groups/802/11/Reports/tgi_update.htm

33 Universidad de Deusto Facultad de Ingenieria Seguridad en redes Wi-Fi Universidad de Deusto......... WPA TKIP, Mejoras: – Enhanced IV (EIV): Incremento de 32 bits en el IV, dejando un byte (dummybyte) para evitar IVs débiles (48 bits de IV). – TKIP Secuence Counter (TSC): El IV como número de secuencia. Si un IV ha sido recibido previamente, se descarta. Evita reply-attacks.

34 Universidad de Deusto Facultad de Ingenieria Seguridad en redes Wi-Fi Universidad de Deusto......... WPA TKIP, Enhanced IV (EIV):

35 Universidad de Deusto Facultad de Ingenieria Seguridad en redes Wi-Fi Universidad de Deusto......... WPA Ventajas: – Vectores de Inicialización (EIV): 48 bits de longitud. Reglas de Secuencia especificadas. – ICV (Integrity Check Value): Se elimina la comprobación por CRC32. Se utiliza algoritmo MIC. – Sustitución de mecanismo autenticación: Antes: WEP, MAC... Ahora: 802.1X, EAP, RADIUS.

36 Universidad de Deusto Facultad de Ingenieria Seguridad en redes Wi-Fi Universidad de Deusto......... WPA Implementación: – Empresas: WPA-Enterprise. Servidor RADIUS. – Usuarios Domésticos: WPA-Personal. También conocido como WPA-PSK (Pre-Shared Key): Clave inicial compartida para autenticación (PSK).

37 Universidad de Deusto Facultad de Ingenieria Seguridad en redes Wi-Fi Universidad de Deusto......... WPA Debilidades: – El sistema utilizado por WPA para el intercambio de información utilizada para la generación de claves es débil. – Claves preestablecidas “inseguras” (WPA-PSK): Sujetas a ataques de diccionario: – cowpatty – wpa_crack No es necesario captura de gran cantidad de tráfico: solo capturamos el intercambio de claves.

38 Universidad de Deusto Facultad de Ingenieria Seguridad en redes Wi-Fi Universidad de Deusto......... 802.11i Aprobado por el IEEE y aceptado por Wi-Fi Alliance en Sept 2004. También conocido como WPA2, aunque no es exacto (WPA2 es cifrado únicamente). Utiliza algoritmo AES con claves de 128 bits: – ¡Requiere nuevo hardware! Nuevo sistema de Integridad. – CCMP. Soporte para redes ad-hoc. Compatible con WPA.

39 Universidad de Deusto Facultad de Ingenieria Seguridad en redes Wi-Fi Universidad de Deusto......... 802.11i Requerimiento de nuevo hardware: – Se precisa un nuevo chip en las tarjetas para la criptografía necesaria de este protocolo (AES). – Atheros ya lo incluye en sus tarjetas

40 Universidad de Deusto Facultad de Ingenieria Seguridad en redes Wi-Fi Universidad de Deusto......... 802.11i Gestión de claves: – Dos tipos de claves: PKH: – Pairwise Key Hierarchy. – Del AP al cliente, punto a punto. GKH: – Group Key Hierarchy. – Del AP a todos los clientes: broadcasting.

41 Universidad de Deusto Facultad de Ingenieria Seguridad en redes Wi-Fi Universidad de Deusto......... 802.11i PKH:

42 Universidad de Deusto Facultad de Ingenieria Seguridad en redes Wi-Fi Universidad de Deusto......... 802.11i GKH:

43 Universidad de Deusto Facultad de Ingenieria Seguridad en redes Wi-Fi Universidad de Deusto......... Comparativa

44 Universidad de Deusto Facultad de Ingenieria Seguridad en redes Wi-Fi Universidad de Deusto......... 802.1x, 802.11i, WPA Implementación en GNU/Linux: – hostapd, demonio de HostAP. – Cliente: WPA_supplicant. Xsupplicant (http://www.open1x.org). – RADIUS: FreeRADIUS.

45 Universidad de Deusto Facultad de Ingenieria Seguridad en redes Wi-Fi Universidad de Deusto......... Referencias Presentaciones y trabajos de Irontec, PoF, Dmescal, Tony F. Díaz, Santiago Estepa y Arturo Martínez, Ricardo Galli, Cisco Networks, Lucent, Avaya, Intel. Todas las imágenes son propiedad de sus respectivos dueños.

Descargar ppt "Universidad de Deusto Facultad de Ingenieria Seguridad en redes Wi-Fi Universidad de Deusto......... Nuevos protocolos de seguridad en redes Wi-Fi Pablo."

Presentaciones similares

WI-FI significa Wireless Fidelity. Es un conjunto de especificaciones de comunicación inalámbrica basados en el estándar 802.11. Estas especificaciones.

WI-FI significa Wireless Fidelity. Es un conjunto de especificaciones de comunicación inalámbrica basados en el estándar Estas especificaciones.
Seguridad para la Red Inalámbrica de un Campus Universitario

Seguridad para la Red Inalámbrica de un Campus Universitario
Espacio común de movilidad

Espacio común de movilidad
Seguridad en la Red WIFI

Seguridad en la Red WIFI
Protocolos de seguridad en redes inalámbricas Universidad Carlos III de Madrid Protocolos de Comunicaciones para Sistemas Móviles Saulo Barajas 7jun04.

Protocolos de seguridad en redes inalámbricas Universidad Carlos III de Madrid Protocolos de Comunicaciones para Sistemas Móviles Saulo Barajas 7jun04.
Seguridad inalámbrica & de Bluetooth

Seguridad inalámbrica & de Bluetooth
Como Instalar Un Access Point 2419

Como Instalar Un Access Point 2419
Vulnerabilidades WEP en redes 802.11a/b/g David Reguera García.

Vulnerabilidades WEP en redes a/b/g David Reguera García.
WPA + EAP-TLS + FreeRADIUS Daniel Martínez [bucomsec.com] 25 Septiembre'05.

WPA + EAP-TLS + FreeRADIUS Daniel Martínez [bucomsec.com] 25 Septiembre'05.
Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral

Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral
Lissette Oteiza María Angélica Seguel Saul Gajardo

Lissette Oteiza María Angélica Seguel Saul Gajardo
Taller: Ing. Luis Alberto Ortiz Configuración de Redes Wi-Fi Nivel Inicial.

Taller: Ing. Luis Alberto Ortiz Configuración de Redes Wi-Fi Nivel Inicial.
Inseguridad en redes Wireless Antonio Bernier Moreno Victor M. Vega García Diego Martínez Lomas.

Inseguridad en redes Wireless Antonio Bernier Moreno Victor M. Vega García Diego Martínez Lomas.
Servicios y Servidores de Autenticación

Servicios y Servidores de Autenticación
SEGURIDAD EN LA RED CORPORATIVA:. SEGURIDAD EN LAS COMUNICACIONES INALÁMBRICAS.

SEGURIDAD EN LA RED CORPORATIVA:. SEGURIDAD EN LAS COMUNICACIONES INALÁMBRICAS.
Seguridad en Redes Universitarias

Seguridad en Redes Universitarias
Octubre de 2006 Seguridad en Wireless ¿Cuáles son los riesgos de seguridad de las redes inalámbricas y de qué maneras pueden reducirse/solucionarse estos.

Octubre de 2006 Seguridad en Wireless ¿Cuáles son los riesgos de seguridad de las redes inalámbricas y de qué maneras pueden reducirse/solucionarse estos.
Seguridad en Redes Wireless. Agenda  Introducción, conceptos y funcionamiento de redes Wireless  Seguridad en 802.11  Ataques típicos a redes Wireless.

Seguridad en Redes Wireless. Agenda  Introducción, conceptos y funcionamiento de redes Wireless  Seguridad en  Ataques típicos a redes Wireless.
La Autenticación IEEE 802.1X en conexiones inalámbricas.

La Autenticación IEEE 802.1X en conexiones inalámbricas.
¿Qué es una red? Una red es la unión de dos o más ordenadores de manera que sean capaces de compartir recursos, ficheros, directorios, discos, programas,

¿Qué es una red? Una red es la unión de dos o más ordenadores de manera que sean capaces de compartir recursos, ficheros, directorios, discos, programas,

Presentaciones similares

Anuncios Google