1 / 24

Seguridad para la Red Inalámbrica de un Campus Universitario

Seguridad para la Red Inalámbrica de un Campus Universitario. AGENDA. Redes Wi-Fi Problemas de seguridad Campus UTPL Situación Actual Problemas de Seguridad Requerimientos Mecanismos de seguridad 802.1x Implementación. Redes Wi – Fi (1/2). Wi – Fi (Wireless Fidelity)

eleazar
Download Presentation

Seguridad para la Red Inalámbrica de un Campus Universitario

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Seguridad para la Red Inalámbrica de un Campus Universitario

  2. AGENDA • Redes Wi-Fi • Problemas de seguridad • Campus UTPL • Situación Actual • Problemas de Seguridad • Requerimientos • Mecanismos de seguridad • 802.1x • Implementación

  3. Redes Wi – Fi (1/2) • Wi – Fi (Wireless Fidelity) • 802.11 a/b/g, 802.11 b representativo

  4. Wardriving y Warchalking Man – In-The-Middle Redes Wi-Fi (2/2) • Problemas de Seguridad • Inexistencia de delimitación física de forma clara • Puntos de acceso en la red interna desprotegida: • vulnerando seguridad de la compañía

  5. Topología • Modo Infraestructura • 22AP’s • Vlan’s Tecnología • 802.11 g • Cisco Aironet 1200 • Roaming • Balanceo de Carga • Alimentación línea de comunicación • Más de 16 vlans • Calidad de Servicio • Seguridad: Encriptación, autentificación • Control de Acceso • Extensión de los Servicios Red LAN • Acceso Abierto: autenticación a través de un portal cautivo NoCat Uso Campus UTPL (1/5) • Situación Actual

  6. Campus UTPL (2/5) • Esquema Actual

  7. Campus UTPL (3/5) • Estadísticas de Uso

  8. Campus UTPL (4/5) • Esquema de Seguridad Actual • Uso de servicio de autenticación poco robusto • Comunicación entre clientes y AP´s no cifrada • No se integra a los componentes de Gestión de la Red • No se definen roles de usuario • Sujeto a Ataques de Spoofing • No hay total manejo de datos cifrados • No adopción de buenas prácticas de seguridad

  9. Campus UTPL (5/5) • Prácticas de Seguridad www.sans.org

  10. Requerimientos

  11. Mecanismos de Seguridad(1/5) • Evitar la difusión del SSID (Service Set Identifier). • Establecer listas de control de acceso por direcciones de MAC (Media Access Control) de los dispositivos que acceden a la red. • Utilizar cifrado en las conexiones inalámbricas. • Segmentar los puntos de acceso inalámbricos en zonas de seguridad administradas por un firewall. • Establecer redes privadas virtuales en las conexiones inalámbricas. • Combinar mecanismo de autenticación a la red y cifrado de datos

  12. Wired Equivalent Privacy (WEP) Mecanismos de Seguridad(2/5) • Opera en el Nivel 2 , modelo OSI • Usa clave secreta estática para autenticación y protección de datos • Se puede detectar el Vector de Inicialización usado para el cifrado • Susceptible a ataques para encontrar la llave de cifrado • Kismet, Aircrack y WepLab

  13. Wi-Fi Protected Access (WPA) Mecanismos de Seguridad(3/5) • Basado en el estándar 802.11i • Usa 802.1x como mecanismos de control de acceso • Utiliza el protocolo Temporal Key Integrity Protocol (TKIP) • Función de encriptación llamada Message Integrity Code (MIC) • Estándar en proceso de adopción • 802.11i , se está ratificando

  14. 802.1x Mecanismos de Seguridad(5/5) • Estándar para realizar control de acceso a una red • Componentes: • Suplicante • Autenticador o Punto de Acceso • Servidor de Autenticación: RADIUS (RFC 2865, RFC 2866, RFC 3580) • 1X hace referencia al uso de EAP • Costos asociados • Solución escalable

  15. Virtual Private Network (VPN) Mecanismos de Seguridad(4/5) • Superan las limitaciones de WEP • Son atractivas para entorno inalámbricos • No es transparente el usuario • Implica infraestructura adicional para soporte • No permiten autenticar dispositivos que acceden a la red

  16. Sistema Operativo EAP-TLS EAP-TTLS Windows XP, 2000, Vista Cliente nativo Cliente de Tercero Windows 9x Cliente de Tercero Cliente de Tercero Linux Cliente de Tercero Cliente de Tercero Mac OS Cliente de Tercero Cliente de Tercero 802.1x (1/5) SEGMENTO DE ACCESO INALÁMBRICO Firewall Access Point (Autenticador 802.1x) SEGMENTO DE SERVIDORES Cliente de Acceso Inalámbrico Suplicante 802.1x Flujo de Autenticación Flujo de Autorización Servidor RADIUS Autenticacion 802.1x Servidor de dominio de usuarios (LDAP)

  17. Compatibilidad con 802.11 y soporte de cifrado WPA • Capacidad de implementar el servicio de control de acceso 802.1x • Configuración del protocolo 802.1q para vlans. 802.1x (2/5) SEGMENTO DE ACCESO INALÁMBRICO Firewall Access Point (Autenticador 802.1x) SEGMENTO DE SERVIDORES Cliente de Acceso Inalámbrico Suplicante 802.1x Flujo de Autenticación Flujo de Autorización Servidor RADIUS Autenticacion 802.1x Servidor de dominio de usuarios (LDAP)

  18. Compatibilidad con 802.1x • Soporte de diversos tipos de autenticación EAP (TLS, TTLS, PEAP) • Capacidad de registro (Accounting) • Soporte para el control de acceso en redes inalámbricas • Flexibilidad para validar a los suplicantes mediante varios métodos (Base de datos de usuarios local, directorio de usuarios LDAP, certificados, entre otros) 802.1x (3/5) SEGMENTO DE ACCESO INALÁMBRICO Firewall Access Point (Autenticador 802.1x) SEGMENTO DE SERVIDORES Cliente de Acceso Inalámbrico Suplicante 802.1x Flujo de Autenticación Flujo de Autorización Servidor RADIUS Autenticacion 802.1x Servidor de dominio de usuarios (LDAP)

  19. 802.1x (4/5) SEGMENTO DE ACCESO INALÁMBRICO Firewall Access Point (Autenticador 802.1x) SEGMENTO DE SERVIDORES Cliente de Acceso Inalámbrico Suplicante 802.1x Flujo de Autenticación Flujo de Autorización Servidor RADIUS Autenticacion 802.1x Servidor de dominio de usuarios (LDAP)

  20. 802.1x (5/5) 4 2 5 1 1 3 SSO: UTPLWIFI-SEC Access Point (Múltiples VLAN’s) Usuario/Contraseña DHCP (Asignación de direcciones IP) Cliente (IP de la LAN correspondiente a perfil) SSO: UTPLWIFI-SEC Access Point (Múltiples VLAN’s) Usuario/Contraseña Cliente (IP de la LAN correspondiente a perfil) Servidor RADIUS (AAA, Asignación Dinámica VLAN’s) Servidor LDAP (Usuarios y Grupos)

  21. Implementación • Servidor RadiusFreeradius(www.freeradius.org ) • Módulo de Autenticación EAP • LDAP • Access Point: activar 802.1x • Cliente o suplicante: • Software de tercero: 802.1x y EAP-TTLS • Políticas y Mejores Prácticas

  22. Un componente primordial de las mejores recomendaciones de seguridad actuales y futuras, por lo cual su adopción es una práctica que no solo eleva el nivel de seguridad de las infraestructuras de acceso inalámbrico actuales, si no que prepara a las organizaciones para llegar a cumplir con los futuros estándares de seguridad para la tecnología inalámbrica. Conclusiones La implementación de 802.1x en entornos inalámbricos es: Una posibilidad real que las organizaciones pueden llevar a cabo con su infraestructura tecnológica actual, y que se adecuará, sin mayores impactos económicos o funcionales, a su crecimiento y modernización. A pesar de la existencias de nuevas técnicas y dispositivos innovadores con respecto a la administración de seguridad, se puedan usar viejas técnicas o soluciones para adaptarse a cada situación. Un caso particular el uso de soluciones Open Source es un punto fundamental, pues el trabajo y tiempo ya dedicado a estas tecnologías brinda cierto nivel de confianza y reduce en gran medida el costo de desarrollo.

  23. [1] Sampalo Francisco, Despliegue de redes inalámbricas seguras sin necesidad de usar VPN, 2004 [2] Dennis Fisher. Study Exposes WLAN Security Risks. Marzo 12 de 2003. [3] Warchalking. http:// www.warchalking.org [4] Cisco Systems. Cisco Networking Academy Program CCNA. 2004.Cisco [5] Hill, J. An Analysis of the RADIUS Authentication Protocol. 2001. InfoGard Laboratories. Referencias

  24. Gracias por su atención • María Paula Espinosa: mpespinoza@utpl.edu.ec • Carlos Loayza: ccloayza@utpl.edu.ec

More Related