Redes WiFi. Problemas y Soluciones.
-
Upload
vlademirss -
Category
Technology
-
view
8.603 -
download
0
Transcript of Redes WiFi. Problemas y Soluciones.
www.cj-telecom.com
Redes WiFi. Problemas y Soluciones.
Carlos A. Pino [email protected] IT – CJ TelecomD-link Regional TrainerTrujillo, Octubre 2009.
AGENDA
Usos de las Redes WiFi.Problemas de Seguridad de las WiFi.Tipos de Ataque WiFi.Seguridad en la WiFi.Demo WPA/WPA2-PSK. Passphrase Inseguro. ¿Cómo asegurar una WiFi?802.1X.
Usos de las Redes Wi-FiProporcionar Conectividad y Movilidad• Empresas• Campus Universitarios• HospitalesHot-Spots• Hoteles• Aeropuertos• CibercafésRedes Acceso Público• Municipios wireless• Transporte Público• FoneraJuegos• Consolas
WiFi Abiertas. Seguridad “0”.
Filtrado MAC / Ocultación SSID
WEP (Wired Equivalent Privacy)
WPA/WPA2 (WiFi Protected Access)
Seguridad en las WiFi
WiFi Abiertas.
• Sigue siendo relativamente factible realizar un escaneo en búsqueda de redes inalámbricas accesibles y encontrar redes sin ningún tipo de seguridad aplicada, aunque es cierto que cada vez es menor el número de usuarios que dejan “abiertas” sus redes.
Configurar Filtrado de MAC o Ocultar el SSID. No es suficiente.
• Con un Packet Sniffer (Commview) podemos capturar tráfico y extraer la MAC de clientes válidos o el ESSID de la red, aunque esté oculto.
• Con A-MAC/Etherchange podemos hacer “spoof” de una MAC válida.
Seguridad en las WiFi
Características del Filtrado MAC• Permite controlar que usuarios pueden conectarse a la Red basándose en la
dirección MAC de la tarjeta cliente.• Raramente se utiliza como único mecanismo de seguridad, ya que es fácilmente
hackeable utilizando aplicativos como A-MAC/Etherchange que permiten modificar la MAC de nuestro cliente por una válida.
Lista de direcciones MAC
permitidas
AABBCC
User AMAC: AA
User EMAC: EE
Usuario A intenta conectarse a la red
El AP chequea si la MAC del cliente
está en la lista
La dirección MAC (AA) está
en la lista
Permite que el Usuario A se conecte a la red
Usuario E intenta conectarse a la red
La dirección MAC (EE) no está en la lista
El Usuario E no puede conectarse a la red
Filtrado MAC
Filtrado MAC
MAC Spoofing (EtherChange)
Ocultación SSIDLa ocultación del SSID no garantiza que un atacante pueda detectar la red y conectarse a ella, si no hemos aplicado ningún otro mecanismo de seguridad.
Punto de Acceso configurado con WEPUsuario A
Usuario A y Usuario B quieren conectarse a la Red
Envía Petición de Asociación Recibe la Petición
He recibido la Petición,¿Cuál es la Clave?
Envía Petición de Asociación
Usuario B
Clave Compartida = abcQuiero
conectarme a la Red
Quiero conectarme a la Red
Desafío
Clave Compartida = abcClave Compartida = xyz
Respuesta al Desafío Respuesta al Desafío
Key = abcUsuario A, Password correcto.
Usuario autenticado
Password correcto
Password incorrecto
Usuario A conectado a la Red!!!
Usuario B, Password incorrectoPetición Denegada
Petición DenegadaUsuario B no conectado a la Red!!!
Desafío
Key = xyz
➀ ➀
➁ ➁➂ ➂
➃
➄
Wired Equivalent Privacy (WEP)Como funciona WEP…
Cómo crackear WEP …• Basado en Algoritmo de Encriptación (RC4) / Clave Secreta +IV (de 64 ó 128bits)• Ataque mediante Airodump+Aireplay+AirCrack. Sólo necesitamos capturar
suficientes paquetes (64 bits → ~150.000 IVs / 128 bits → ~500.000 IVs) y aplicar Aircrack para crackear la clave WEP.
Wired Equivalent Privacy (WEP)
Características de WPA/WPA2
• Modo Personal (PSK) – Protege la Red de accesos no autorizados utilizando un Passphrase
• Modo Enterprise (EAP) – Autentica el acceso a la Red de los usuarios mediante un servidor RADIUS
• WPA2 es compatible con WPA, siendo posible comunicar dispositivos que utilicen diferentes métodos de autenticación
• WPA2 es similar a WPA, la principal diferencia es que WPA2 utiliza un sistema de encriptación más avanzado
WPA WPA2
Modo Enterprise (Gran Empresa, Administración, Educación,…)
Autenticación: IEEE 802.1X/EAP
Encriptación: TKIP/MIC
Autenticación: IEEE 802.1X/EAP
Encriptación: AES-CCMP
Modo Personal (Pymes, Casa,…)
Autenticación: PSKEncriptación: TKIP/MIC
Autenticación: PSKEncriptación: AES-CCMP
Wi-Fi Protected Access (WPA/WPA2)
Diferentes métodos de autenticación para diferentes entornos
WPA/WPA2 proporciona un método de autenticación robusto utilizando claves de encriptación dinámicas por usuario, sesión y paquete de datosLa fiabilidad de este método de autenticación reside en la robustez de la Passphrase que utilizemos, ya que existen mecanismos para capturar el handshake y crakear la clave WPA si esta es sencilla.
Punto de Acceso configurado con
WPA/WPA2
Usuario
Solicitud de Asociación Compare the encrypted keyClave Encriptada
Clave Correcta!Permite que el Usuario
se conecte a la red
El cliente se conecta a la Red con éxito
Usuario envía información
Datos + Clave1Compara la Clave Encriptada
Clave Correcta!Datos Recibidos
Cada vez que el Usuario envía información al AP, los datos se cifrán con una clave dinámica
Wi-Fi Protected Access (WPA/WPA2)
¿Es posible crakear WPA/WPA2-PSK?Configuramos el Punto de Acceso• WPA2-PSK• Passphrase Inseguro = Barcelona
Configuramos el Cliente
Commview para WiFi
Commview para WiFi
Cain. 802.11 Captures.
Cain. Ataque Diccionario.
Commview para WiFi
Reconstrucción Sesión TCP
Reconstrucción Sesión TCP
Pasos obligatorios• Modificar el SSID por defecto• Cambiar contraseña de Administración del AP• Utilizar encriptación WPA/WPA2-PSK (Passphrase Seguro) ó WPA/WPA2-EAP
Pasos opcionales• Ocultar SSID (deshabilitar el broadcast SSID)• Configurar Filtrado MAC• Cambiar las claves de forma regular• Configurar máximo número de usuarios que queremos que se conecten al AP• Desactivar DHCP• Configurar Wireless LAN Scheduler / Apagar el AP cuando no se utilice• Configurar lista de Rogue APs• Control de Potencia para cubrir exclusivamente el área que deseamos
¿Cómo asegurar una WiFi?
http://www.microsoft.com/protect/yourself/password/checker.mspx
¿Cómo elegir un Passphrase Seguro?
802.1XProtocolo 802.1X• El protocolo 802.1X es un estándar de control de
acceso desarrollado por el IEEE que permite usar diferente mecanismos de autenticación (EAP-PEAP/EAP-TLS/EAP-TTLS/EAP-SIM/…).
• Se basa en el concepto de puerto, visto éste como el punto a través del que se puede acceder a un servicio proporcionado por un dispositivo (en nuestro caso, un Punto de Acceso).
• Antes de que el cliente sea autenticado sólo se deja pasar tráfico EAPOL (Extensible Authentication Protocol over LAN). Una vez el cliente se valida se permite el tráfico normal.
Servidor RADIUS
Punto Acceso
Authenticator
SupplicantUsuario
SupplicantRADIUS Server(Authentication
Server)
Authenticator
(Punto de Acceso)
Port Authorized
Port Unauthorized
EAPOL-Start
EAP-Request/Identity
EAP-Response/Identity RADIUS Access-Request
RADIUS Access-ChallengeEAP-Request/OTP
EAP-Response/OTP RADIUS Access-Request
RADIUS Access-AcceptEAP-Success
EAPOL-Logoff
* OTP (One-Time-Password)
RADIUS Account-Stop
RADIUS Ack
1
2
3
4
5
Autenticación 802.1X
Usuario
Características de un Servidor RADIUS• Protocolo de Autenticación / Autorización / Accounting (AAA) de usuarios de
remotos de forma centralizada• El Servidor RADIUS almacena los datos de autenticación de los usuarios/clientes
de forma local o en una BBDD externa• RADIUS accounting permite registrar eventos utilizados con fines estadísticos y
para monitorización en general de la red.
Beneficios de RADIUS• RADIUS proporciona gestión la autenticación de forma centralizada
(usuarios/passwords)• Incrementa de forma significativa la seguridad en el acceso a la red. Cuando un
usuario intenta conectarse a un Punto de Acceso (cliente RADIUS), éste envía la información de autenticación del usuario al Servidor RADIUS, parando todo tipo de tráfico hasta que el usuario es validado. La comunicación entre el Punto de Acceso y el Servidor de RADIUS está encriptada mediante una clave “Shared Secret”.
Remote Auth. Dial-In User Server (RADIUS)
PEAP Mschap v2
1. Conexión del Cliente
2. Autenticación del Cliente Autenticación de Servidor
Intercambio de claves
3.
5.
4. Cifrado de WLAN (wep, wpa)
Distribución de clavesAutorización
1. Intento de conexión a la WLAN (comprobación del SSID y credenciales)
2. AP solo permite conexiones seguras (802.1x), responde con un desafío y configura un canal restringido para que el cliente se comunique solamente con el RADIUS server
3. RADIUS comprueba credenciales de cliente, en relación con el directorio, comprueba si el cliente cuenta con los permisos de acceso de acuerdo al directorio y a las directivas de acceso remoto
3. Si cliente logra el acceso, RADIUS transmitirá la clave maestra del cliente al punto de acceso inalámbrico
4. El punto de acceso une la conexión de la WLAN del cliente a la LAN interna, lo que posibilita que el cliente se comunique con total libertad con los sistemas de la red interna
5. En caso de que el cliente necesitara una dirección IP, podría solicitar el alquiler de un protocolo de configuración dinámica de host (DHCP) de un
Servidor de la LAN.
3. Autorización4. Intercambio de claves
5. Cifrado WEP/WPA
1. Inscripción de Certificados
2. Identificación del cliente 2. Solicitud de Autenticación del cliente
6.
EAP-TLS1. El cliente inalámbrico debe establecer credenciales con el servicio de autenticación antes de que se establezca el acceso a la red inalámbrica. Obtendrá el certificado a través de disco flexible o por red cableada.
2. AP solo permite conexiones seguras (802.1x), responde con un desafío y configura un canal restringido para que el cliente se comunique solamente con el RADIUS server
2. El cliente intenta realizar la autenticación con el servidor RADIUS a través del canal restringido por medio de 802.1X.
3. RADIUS comprueba credenciales de cliente, en relación con el directorio, comprueba si el cliente cuenta con los permisos de acceso de acuerdo al directorio y a las directivas de acceso remoto, seguidamente, el servidor RADIUS transmite la decisión al punto de
acceso.
4. RADIUS transmitirá la clave maestra del cliente al punto de acceso inalámbrico. Con ello, el cliente y el punto de acceso comparten información de clave común que pueden utilizar para cifrar y descifrar el tráfico de WLAN que se desplaza entre ellos.
5. El punto de acceso une la conexión de la WLAN del cliente a la LAN interna, lo que posibilita que el cliente se comunique con total libertad con los sistemas de la red interna
6. En caso de que el cliente necesitara una dirección IP, podría solicitar el alquiler de un protocolo de configuración dinámica de host (DHCP) de un
Servidor de la LAN.
Configuración cliente WPA2-EAP
Configuración cliente WPA2-EAP
Instalación Certificado Servidor
Gracias!