220 likes | 358 Views
SEGURIDAD en los ACCESOS INALÁMBRICOS a la RED LOCAL. TOLEDO 27 de octubre de 2004. FERNANDO SUÁREZ Fujitsu España Services, S.A. Consultor de Seguridad (Redes) fsuarez@mail.fujitsu.es. AGENDA: Problemas de seguridad con los accesos Wireless Soluciones: Tecnologías disponibles
E N D
SEGURIDAD en los ACCESOS INALÁMBRICOS a la RED LOCAL TOLEDO 27 de octubre de 2004 FERNANDO SUÁREZ Fujitsu España Services, S.A. Consultor de Seguridad (Redes) fsuarez@mail.fujitsu.es
AGENDA: Problemas de seguridad con los accesos Wireless Soluciones: Tecnologías disponibles -WPA (802.1x-EAP) -IPSec
CABLEADO vs. INALÁMBRICO 1.- Acceso al medio físico 2.- Localización de equipos en la red 3.- Interceptación del tráfico
DEBILIDADES ESPECÍFICAS del Acceso Inalámbrico: • Facilidad de obstaculizar las comunicaciones (DoS) • Facilidad de interceptar las comunicaciones • “Sniffing” • Secuestro de sesiones • Accesos no autorizados a la red: • Puntos de Acceso inseguros • Puntos de acceso no autorizados • Redes “Ad-Hoc” • Puntos de Acceso falsificados
¡¡ PERO EL ACCESO INALÁMBRICO TIENE VENTAJAS !! Donde el cableado no es posible Mobilidad Flexibilidad ¡¡ NECESITAMOS SOLUCIONES !!
Medidas de protección FÍSICA: -Tipo y ubicación de antenas estudiada para minimizar fugas -Empleo de materiales opacos a la señal -Equipos inhibidores de señal en zonas que no deben tener cobertura -Restricción de velocidades utilizables -Vigilancia exterior -Herramientas de rastreo de señales -Seguridad en los conmutadores de la red Las únicas que protegen de los ataques “DoS”
AUTENTICACIÓN Y CIFRADO 802.11 • Autenticación (de máquina): • Open (SSID) • Shared (Clave WEP) • Cifrado • WEP • ¡¡ TOTALMENTE INSEGURO !!
ALTERNATIVAS Para la Autenticación y el cifrado: WPA VPNs (IPSec)
WPA: • Autenticación WPA-PSK u 802.1x/EAP • Cifrado con clave por paquete: TKIP • Mejoras en el uso del cifrado RC4 (bits/clave y IV) • “Michael” para control de integridad • Cifrado AES opcional • Estándar de la industria (Consorcio WIFI) • WPA-1 es pre-802.11i (contiene su “núcleo”) • WPA-2 es 802.11i • WPA-2 es, simplificando, WPA-1 más cifrado AES”
802.1x/EAP Cliente Autentificador Servidor Autentificación (Solicitante) (Punto de Acceso) (RADIUS) • El cliente se asocia con el Punto de Acceso, que bloquea su tráfico • El cliente presenta credenciales que son autentificadas por RADIUS • El cliente autentifica al servidor RADIUS (EAP-MD5 no válido!!) • Cliente y RADIUS derivan clave WEP Unicast (clave inicial TKIP) • Punto de acceso envía clave WEP broadcast cifrada con WEP unicast • Punto de acceso y cliente cifran sus comunicaciones
Métodos EAP más comunes en WLAN: • EAP-PEAP • Cliente y RADIUS abren un túnel TLS • El servidor RADIUS se autentifica con certificado digital • RADIUS autentifica al cliente: MSCHAPv2, etc. • EAP-TLS • Cliente y RADIUS abren un túnel TLS • El servidor RADIUS se autentifica con certificado digital • El cliente se autentifica con certificado digital • (Autentifican al usuario y, opcionalmente, la máquina)
CIFRADO WEP Vector de Incialización Clave WEP Algoritmo RC4 Cadena de bits pseudoaleatoria XOR Paquete cifrado Paquete inicial
CIFRADO TKIP Vector de Incialización Vector de Incialización Clave por paquete HASH Algoritmo RC4 Clave WEP Unicast Cadena de bits pseudoaleatoria XOR Paquete cifrado Paquete inicial
Consideraciones sobre WPA: 1.- Configurar los clientes con WPA+TKIP obligatorio 2.- Atención a requisitos adicionales de la implementación: Ej.: MicroSoft: “Object Identifier” en certificados 3.- Proteger el tráfico RADIUS del Punto de Acceso ¡¡ WPA es suficientemente seguro para la mayoría de las aplicaciones !!
IPSec Extensiones al protocolo IP para proporcionar servicios de seguridad: Integridad, Autentificación, Confidencialidad, etc RFCs: 2401 a 2411
Arquitectura de la solución IPSEC Cliente (soft) Red Interna Punto de Acceso Concentrador de Túneles IPSec El cliente únicamente puede comunicar con la Red interna a través del túnel establecido Con el concentrador VPN
Características de la solución VPNs IPSec • Tráfico cifrado y autenticado paquete a paquete (ESP) • Claves dinámicas con IKE (Diffie-Hellman) • Autentificación IKE de máquina: Pre-share, Certificados • Autentificación adicional del usuario: X-AUTH • IKE “Mode Configuration”: Enlace físico virtual
IPSec DOS MODOS DE FUNCIONAMIENTO: -modo túnel -modo transporte DOS PROTOCOLOS: -ESP (Encapsulating Security Payload) -AH (Authentication Header)
IPSec Algoritmos empleados (RFC): -DES -MD5 (16 bytes) -Triple DES -SHA-1 (20 bytes) -AES -RIMPEMD -(null)
IKE IKE (Internet Key Exchange) -Implementación de ISAKMP con Oackley, SCHEME -Negociación cifrada (DES, 3DES, AES) -Generación e intercambio de claves: Diffie-Hellman -Autentificación: Clave secreta compartida Algoritmos de clave pública (RSA, ElGamal) Certificados digitales (RSA, DSS) Extensiones: Mode Configuration, DHCP, X-Auth
Consideraciones sobre IPSec: 1.- Impedir los accesos entre clientes (niveles 2 y 3 OSI) 2.- Configurar adecuadamente los clientes ¡¡ IPSec es la opción más segura !!
¡¡ MUCHAS GRACIAS !! FERNANDO SUÁREZ Fujitsu España Services, S.A. Consultor de Seguridad (Redes) Cisco Certified Security Professional fsuarez@mail.fujitsu.es