SEGURIDAD en losACCESOS INALÁMBRICOS
a la RED LOCAL
FERNANDO SUÁREZFERNANDO SUÁREZFujitsu España Services, S.A.Fujitsu España Services, S.A.Consultor de Seguridad (Redes)Consultor de Seguridad (Redes)[email protected]@mail.fujitsu.es
TOLEDO27 de octubre de 2004
AGENDA:
Problemas de seguridad con los accesos Wireless
Soluciones: Tecnologías disponibles
-WPA (802.1x-EAP)-IPSec
CABLEADO vs. INALÁMBRICO
1.- Acceso al medio físico2.- Localización de equipos en la red3.- Interceptación del tráfico
DEBILIDADES ESPECÍFICAS del Acceso Inalámbrico:
-Facilidad de obstaculizar las comunicaciones (DoS)-Facilidad de interceptar las comunicaciones
-“Sniffing”-Secuestro de sesiones
-Accesos no autorizados a la red:-Puntos de Acceso inseguros-Puntos de acceso no autorizados-Redes “Ad-Hoc”
-Puntos de Acceso falsificados
¡¡ PERO EL ACCESO INALÁMBRICO TIENE VENTAJAS !!
Donde el cableado no es posibleMobilidadFlexibilidad
¡¡ NECESITAMOS SOLUCIONES !!
Medidas de protección FÍSICA:
-Tipo y ubicación de antenas estudiada paraminimizar fugas-Empleo de materiales opacos a la señal-Equipos inhibidores de señal en zonasque no deben tener cobertura-Restricción de velocidades utilizables-Vigilancia exterior-Herramientas de rastreo de señales-Seguridad en los conmutadores de la red
Las únicas que protegen de los ataques “DoS”
AUTENTICACIÓN Y CIFRADO 802.11
Autenticación (de máquina):Open (SSID)Shared (Clave WEP)
CifradoWEP
¡¡ TOTALMENTE INSEGURO !!
WPA:
1. Autenticación WPA-PSK u 802.1x/EAP2. Cifrado con clave por paquete: TKIP3. Mejoras en el uso del cifrado RC4 (bits/clave y IV)4. “Michael” para control de integridad5. Cifrado AES opcional
Estándar de la industria (Consorcio WIFI)WPA-1 es pre-802.11i (contiene su “núcleo”)WPA-2 es 802.11iWPA-2 es, simplificando, WPA-1 más cifrado AES”
802.1x/EAP
Cliente Autentificador Servidor Autentificación(Solicitante) (Punto de Acceso) (RADIUS)
1. El cliente se asocia con el Punto de Acceso, que bloquea su tráfico2. El cliente presenta credenciales que son autentificadas por RADIUS3. El cliente autentifica al servidor RADIUS (EAP-MD5 no válido!!)4. Cliente y RADIUS derivan clave WEP Unicast (clave inicial TKIP)5. Punto de acceso envía clave WEP broadcast cifrada con WEP unicast6. Punto de acceso y cliente cifran sus comunicaciones
Métodos EAP más comunes en WLAN:
EAP-PEAPCliente y RADIUS abren un túnel TLSEl servidor RADIUS se autentifica con certificado digitalRADIUS autentifica al cliente: MSCHAPv2, etc.
EAP-TLSCliente y RADIUS abren un túnel TLSEl servidor RADIUS se autentifica con certificado digitalEl cliente se autentifica con certificado digital
(Autentifican al usuario y, opcionalmente, la máquina)
Vector de Incialización Clave WEP
Algoritmo RC4
Cadena de bits pseudoaleatoria
Paquete inicial
CIFRADO WEP
XOR Paquete cifrado
Vector de Incialización Clave por paquete
Algoritmo RC4
Cadena de bits pseudoaleatoria
Paquete inicial
CIFRADO TKIP
XOR Paquete cifrado
Vector de Incialización
HASH
Clave WEP Unicast
Consideraciones sobre WPA:
1.- Configurar los clientes con WPA+TKIP obligatorio2.- Atención a requisitos adicionales de la implementación:
Ej.: MicroSoft: “Object Identifier” en certificados3.- Proteger el tráfico RADIUS del Punto de Acceso
¡¡ WPA es suficientemente seguro para la mayoría de las aplicaciones !!
IPSecExtensiones al protocolo IP para proporcionar servicios
de seguridad: Integridad, Autentificación, Confidencialidad, etc
RFCs: 2401 a 2411
Arquitectura de la solución IPSEC
Cliente (soft)
Punto deAcceso
Concentrador deTúneles IPSec
Red Interna
El cliente únicamente puede comunicar con laRed interna a través del túnel establecidoCon el concentrador VPN
• Tráfico cifrado y autenticado paquete a paquete (ESP)• Claves dinámicas con IKE (Diffie-Hellman)• Autentificación IKE de máquina: Pre-share, Certificados• Autentificación adicional del usuario: X-AUTH• IKE “Mode Configuration”: Enlace físico virtual
Características de la solución VPNs IPSec
IPSecDOS MODOS DE FUNCIONAMIENTO:
-modo túnel-modo transporte
DOS PROTOCOLOS:
-ESP (Encapsulating Security Payload)-AH (Authentication Header)
Algoritmos empleados (RFC):
-DES -MD5 (16 bytes)-Triple DES -SHA-1 (20 bytes)-AES -RIMPEMD-(null)
IPSec
IKE
IKE (Internet Key Exchange)-Implementación de ISAKMP con Oackley, SCHEME-Negociación cifrada (DES, 3DES, AES)-Generación e intercambio de claves: Diffie-Hellman-Autentificación:
Clave secreta compartidaAlgoritmos de clave pública (RSA, ElGamal)Certificados digitales (RSA, DSS)
Extensiones: Mode Configuration, DHCP, X-Auth
Consideraciones sobre IPSec:
1.- Impedir los accesos entre clientes (niveles 2 y 3 OSI)2.- Configurar adecuadamente los clientes
¡¡ IPSec es la opción más segura !!
¡¡ MUCHAS GRACIAS !!
FERNANDO SUÁREZFERNANDO SUÁREZFujitsu España Services, S.A.Fujitsu España Services, S.A.Consultor de Seguridad (Redes)Consultor de Seguridad (Redes)Cisco Certified Security ProfessionalCisco Certified Security [email protected]@mail.fujitsu.es