Despliegue de redes inalámbricas seguras sin necesidad de usar VPN

1. Despliegue de redes inalámbricas seguras sin necesidad de usar VPN Elena Alcantud Pérez. Josemaria Malgosa Sanahuja. Paco Sampalo Lainz.

2. Contenidos. • WEP. Wired Equivalent Privacy • Métodos EAP. • EAP-TTLS. Características • Arquitectura de acceso. • Elementos de autenticación. • Estructuración VLAN (802.1Q) • Instalación del servidor. • Pasos en la autenticación. • Conclusiones

3. WEP. Wired Equivalent Privacy (I) • Estándar de encriptación de flujo opcional implementado en la capa MAC soportada por la mayoría de tarjetas de red y puntos de acceso. • Encripta la trama 802.11 y su CRC antes de su transmisión empleando un flujo de cifrado RC4. • La estación transmisora empleará un VI diferente para cada trama para dotar de mayor robustez al sistema. TRAMA CIFRADA VI (24 bits) GNA 1 GNA 2 Clave 40 bits + Trama en claro

4. WEP. Wired Equivalent Privacy (II) • No proporciona ningún mecanismo de intercambio de claves entre estaciones. • Los administradores del sistema y los usuarios emplean normalmente la misma clave durante semanas. • Capturas en red. • Usuarios dentro de la red pueden capturar tráfico. • Sniffing. • Usuarios externos pueden capturar tráfico cifrado y descifrarlo con herramientas adecuadas.

5. Alternativas WEP. • Propuestas de soluciones sobre el WEP actual: • Cifrar la información en los niveles superiores (Ipsec, ssh, scp, etc.). • Cambiar las claves WEP de cada usuario frecuentemente. • EAP. • Protocolo de autenticación extensible. IEEE Abril de 2001. • Elimina los problemas producidos por el empleo de WEP, ya que las claves cambian en cada sesión. • A través de un servidor RADIUS también permite autenticar a los clientes.

6. Métodos EAP.

7. EAP-TTLS. Características de la estructura. • Las credenciales no son observables en el canal de comunicación entre el nodo cliente y el proveedor de servicio. • Protección contra ataques de diccionario y suplantaciones. • Generación de claves compartidas de sesión entre cliente y servidor Radius, tras la negociación TLS. • El servidor distribuye las claves al punto de acceso para continuar el servicio. • Opcionalmente, los cambios de clave dinámicos son configurables en el punto de acceso. Transparencia ante el usuario. • Relaciones de seguridad entre dispositivos. • Usuario registrado en base de datos, directorio o archivo de usuarios. • Punto de acceso y servidor Radius comparten clave de encriptación (shared secret). • Servidor Radius debe realizar consultas a la base de datos empleando un usuario definido para tal objetivo.

8. EAP-TTLS. Fases. A) ESTABLECIMIENTO: • El servidor se autentica ante el cliente.(Incluye su clave pública). • El cliente establece el túnel encriptado con la clave del servidor.

9. EAP-TTLS. Fases. B) TÚNEL: • Utiliza la capa segura creada en la fase 1 para el intercambio de información en la autenticación del cliente. (login/password)

10. Consideraciones EAP-TTLS. • ANONIMATO Y PRIVACIDAD. • No transmite el nombre de usuario en claro en la primera petición de identidad. • CONFIANZA EN EL SERVIDOR EAP-TTLS. • Métodos de autenticación con passwords no susceptibles a ataques de diccionario. • COMPROMISO DEL CERTIFICADO DEL SERVIDOR EAP-TTLS. • Empleo de métodos de revocación de certificados para evitarlo. • NEGOCIACIÓN Y ENCRIPTACIÓN DEL ENLACE. • Negociación segura de la “Cipher suite de datos” (sistema de cifrado de la comunicación) • LISTADO DE LAS PREFERENCIAS DEL CIFRADO DE DATOS. • Cliente selecciona la del servidor como su primera opción y la del punto de acceso. Maximizar grado de seguridad.

11. Arquitectura de acceso. FIREWALL + NAT + DHCP alumnos PUNTOS DE ACCESO FTP + DHCP inicio internos nativa internos CLIENTES DMZ PIX UPCT RADIUS LDAP

12. Elementos de autenticación. • En el proceso de autenticación participanel servidor Radius, el directorio LDAP y el cliente. • Servidor Radius Freeradius. Software licencia libre. Gestiona el acceso a la red según el tipo de usuario. • Directorio LDAP de Novell. No necesita extensiones para este tipo de consultas. • Cliente SecureW2. Cliente EAP-TTLS de licencia libre para Windows XP/2000. Gestiona los certificados y credenciales. (Existen clientes Linux) • Elpunto de accesoactúa de formatransparenteen este proceso. CLIENTE PUNTO ACCESO SERVIDOR TTLS AAA SERVIDOR AAA/H RADIUS LDAP Túnel seguro para autenticación Túnel seguro para datos

13. Estructuración VLAN (802.1Q) • Se han definido tres VLAN´s para el servicio inalámbrico mapeadas con los diferentes SSID ( nombre de la red inalámbrica): • SSID “inicio”VLAN privada con único permiso de acceso al servidor FTP para descarga del cliente. • SSID “alumnos” VLAN con direccionamiento privado mediante DHCP accediendo a la red externa a través de un Firewall haciendo NAT. • SSID “interna”VLAN con direcccionamiento público para la red interna de la UPCT. • Además se definió la VLAN nativa o troncal. • Mediante atributos del servidor RADIUS se garantiza que cada perfil de usuario pueda acceder únicamente a la VLAN que le corresponda. • Configuración 802.1Q ‘trunking’ en puntos de acceso Cisco.

14. Instalación del servidor. • HARDWARE • Intel Pentium Xeon 3GHz-2Gb RAM-Disco SCSI (RAID1)-Fuente alimentación redundante. • Puede instalarse en cualquier ordenador con S.O. Linux (SuSe 9.0). • SOFTWARE • Instalación de servidor Radius Freeradius-1.0.1. Código licencia libre. • Instalación previa de rpm: Openssl, ldap, krb5,gdbm, sasl(lib), pam(lib), iodbc, mysql, postgresql y unixodbc. • Instalación de Openssl 0.9.7. ( ó versión posterior): • Creación de claves privadas y certificados para servidor y root. • Generar archivo “dh” (Diffie-Hellman) para encriptación. • Generación arbitraria de archivo “random” para creación de claves. • Necesitamos archivo de extensiones OID.

15. Instalación del servidor. Configuración. • MÓDULO EAP-TLS/TTLS • Configuración de la ubicación de certificados

16. Instalación del servidor. Configuración. • MÓDULO LDAP • Habilita la consulta al directorio mediante un usuario definido. • Configura filtro y atributos a chequear.

17. Instalación del servidor. Configuración. • ARCHIVO “users” Fragmento del archivo relacionado con usuarios LDAP.

18. Pasos en la autenticación. (I) • El cliente detecta la red y se abre laventana de credenciales. • Clientes de la UPCT:autenticación realizada por LDAP  DNI + Contraseña. Introducción de credenciales por el cliente.

19. Pasos en la autenticación. (II) • Mediante usuario anónimo se gestiona la instalación de certificados. Certificados del servidor a la espera de ser aceptados.

20. Pasos en la autenticación. (III) • Usuario instala o acepta temporalmente los certificados. Certificados instalados.

21. Pasos en la autenticación. (IV) • El servidor consulta al LDAP el acceso del cliente a la red. Consulta del servidor.

22. Pasos en la autenticación. (V) • Servidor RADIUS reenvía la respuesta. Envío de respuesta y claves al punto de acceso

23. Pasos en la autenticación. (VI) • Lasclavescompartidas se depositan en elpunto de acceso. Autenticación satisfactoria y entrada en red.

24. Conclusiones. • Sistema inalámbricoseguro: • Comunicaciones cifradas y fiables. • Autenticación robusta de usuarios. • Requisitos: • Adaptación a la infraestructura de la UPCT ( VLAN´s). • Software en desarrollo y con licencia libre. • Gran flexibilidad y posibilidad de aplicar extensiones. • Sencillez para los usuarios. • Limitación de uso sólo para comunidad UPCT.

25. Ruegos y preguntas.