Seguridad en Redes Wireless

Transcripción

Seguridad en Redes
Wireless
© Copyright 2003 VIRUSPROT, S.L. Todos los derechos reservados
[email protected]
Acerca de Virusprot, S.L.
♦ Oficina Central: Madrid (España)
♦ Fundador:
Eduardo
Tabacman,
Director
General ([email protected])
♦ Establecida en el año 1999
♦ Equipo con más de 12 años de experiencia en
el tema de la Seguridad Informática
♦ Actividades principales:
– Portal de Seguridad Informática VIRUSPROT.COM
(http://www.virusprot.com)
– Más de 50.000 visitas mensuales
– Distribución de productos SI
– Servicios de asesoramiento y consultoría SI
– Desarrollo de seminarios y conferencias SI
– Bussiness matching
2
© Copyright 2003 VIRUSPROT, S.L. Prohibida la reproducción total o parcial de este documento sin el previo consentimiento del propietario
Topología de una Red Inalámbrica
Empresarial
♦ 2 Elementos básicos:
– Estaciones cliente (PCMCIA – adaptador USB)
– Puntos de Acceso (AP)
Red de
Área Local
Puntos
de Acceso
Estaciones
de trabajo
Puntos
de Acceso
100 m
Estaciones
de trabajo
3
Pronóstico Instalaciones Hot Spot en
el Mundo
♦ Punto de Acceso generalmente localizado en lugares
con gran tráfico de público que proporciona servicios
de red inalámbrico de banda ancha a visitantes móviles
210.000
143.000
82.000
30.000
12.000
Fuente:
Gartner Group
2002
2003
2004
2005
2006
4
“The Players”
♦ IETF – The Internet Engineering Task Force
– Grupo auto-organizado
– Grupo principal comprometido en el desarrollo de nuevas
especificaciones estándares para Internet
– http://www.ietf.org
♦ IEEE – Institute of Electrical and Electronic
Engineers
–
–
–
–
377.000 miembros en 150 países
900 estándares activos
700 en desarrollo
http://www.ieee.org
802.1x
♦ WECA - The Wi-Fi Alliance
– Formada en 1999
– Certifica la interoperabilidad de productos
WLAN basados en la especificación 802.11
– http:/www.weca.net
802.11
5
Historia de las Redes Wireless
Estándar
Velocidad
Banda
Frecuencia
802.11
1 y 2 Mbps
2.4 Ghz
802.11a
54 Mbps
5.15 Ghz
802.11b
11 Mbps
2.4 Ghz
802.11g
54 Mbps
2.4 Ghz
802.11i
Finales de 2003
6
Amenaza de Seguridad - Ilustración
7
¿Cuáles son los Desafíos en la
Seguridad de las Redes Inalámbricas?
1. Cualquiera dentro de un radio de 100 metros
puede ser un intruso potencial
2. Las acreditaciones del usuario se deben
poder intercambiar con seguridad
3. Debe ser capaz de asegurar la conexión con
la red de trabajo correcta
4. Los datos se deben poder transmitir con
seguridad a través de la utilización apropiada
de llaves de encriptación
8
WarChalking
♦ Es la práctica de dibujar en paredes o aceras
una serie de símbolos para indicar a otros la
proximidad de un acceso inalámbrico
Sintaxis V.0.9
Clave
Nodo
Abierto
Nodo
Cerrado
Símbolo
SSID
Ancho de Banda
SSID
SSID
Nodo
WEP
Access
Contact
Ancho de Banda
Fuente: www.warchalking.org
9
WarDriving
♦ Técnica difundida donde individuos equipados
con material apropiado tratan de localizar en
coche puntos wireless
Estudio WarDriving New York
WEP Activado
25%
WEP Desactivado
75%
(Julio 2002)
Lugar: Barcelona
Imagen: Miguel Puchol
Puntos rojos protegidos
Puntos verdes desprotegidos
Foto: O´Reilly Network
10
Red Inalámbrica en una Empresa,
Ataque Potencial 1
11
Ataque Potencial 2
12
WEP - Introducción
♦ Sistema
de
encriptación
estándar
802.11
♦ Se implementa en la capa MAC
♦ Soportada
por
la
mayoría
de
vendedores de soluciones inalámbricas
♦ Cifra los datos enviados a través de las
ondas de radio
♦ Utiliza el algoritmo de encriptación RC4
13
WEP – Funcionamiento (1)
♦ Concatena la llave simétrica compartida, de 40
ó 104 bits, de la estación con un vector de
inicialización aleatorio (IV) de 24 bits, esta
estructura se denomina “seed”
♦ El seed se utiliza para generar un número
pseudo-aleatório, de longitud igual al payload
(datos + CRC), y un valor de 32 bits para
chequear la integridad (ICV)
♦ Esta llave y el ICV, junto con el payload (datos
+ CRC), se combinan a través de un proceso
XOR que producirá el texto cifrado
♦ La trama enviada incluye el texto cifrado, y el
IV e ICV sin encriptar
14
WEP – Funcionamiento (2)
♦ El ICV actúa como checksum, será
utilizado por la estación receptora para
recalcularlo y compararlo con la recibida
♦ Si el ICV no concuerda con el ICV
calculado, se descarta la trama e
incluso al emisor de la misma
♦ El IV se utiliza para desencriptar, junto
con la llave simétrica compartida, los
datos y el CRC de la trama
15
WEP - Debilidades
♦ Longitud del vector IV (24 bits)
insuficiente
♦ El IV se repetirá cada cierto tiempo de
transmisión continua para paquetes
distintos, pudiendo averiguar la llave
compartida
♦ Utilización de llaves estáticas, el cambio
de llave se debe realizar manualmente
♦ A pesar de todo, WEP ofrece un mínimo
de seguridad
16
Herramientas para “crackear” WEP
♦ AirSnort
♦ WEPCrack
♦ Interceptando aproximadamente
100 Mb
1 Gb
♦ 3.000 llaves cada semana son débiles
♦ 2.000 paquetes débiles son suficientes
para adivinar un password
17
Que es 802.1x
♦ Provee un método para la autenticación y
autorización de conexiones a una RED
INALÁMBRICA
♦ Autenticación basada en el usuario; puede
usar credenciales tales como contraseñas o
certificados
♦ Utiliza
EAP
(Extensible
Authentication
Protocol) entre la estación móvil y el punto de
acceso
♦ Aprovechamiento de protocolos AAA tales
como RADIUS para centralizar autenticación y
autorizaciones
18
802.1x trata sobre la seguridad
en las Redes Inalámbricas
♦ Por qué RADIUS
– La autenticación se basa en el usuario, en vez de
basarse en el dispositivo
– Elimina la necesidad de almacenar información de los
usuarios en cada access point de la RED, por tanto
es considerablemente más fácil de administrar y
configurar
– RADIUS ya ha sido ampliamente difundido para otros
tipos de autenticación en la red de trabajo
♦ Protocolo de Autenticación Extensible (EAP)
– Los tipos de autenticación EAP proveen de seguridad
a las redes 802.1x
• Protege las credenciales
• Protege la seguridad de los datos
♦ Tipos comunes de EAP
• EAP-TLS, EAP-TTLS,
(LEAP), EAP-PEAP
EAP-MD5,
EAP-Cisco
Wireless
19
la Solución según 802.1x
20
802.1x EAP
Tipos y Diferencias
21
LEAP (EAP-Cisco Wireless)
♦ Basado en Nombre de Usuario y Contraseña
♦ Soporta plataformas Windows, Macintosh y
Linux
♦ Patentado por Cisco (basado en 802.1x)
♦ El Nombre de Usuario se envía sin protección
♦ La CONTRASEÑA se envía sin protección:
sujeto a ATAQUES DE DICCIONARIO (MSCHAP
v1
hash
*
ftp://ftp.isi.edu/innotes/rfc2433.txt)
♦ No soporta One Time Password (OTP)
♦ Requiere LEAP “aware” RADIUS Server.
Requiere Infraestructura Cisco Wireless
22
EAP-MD5
♦
♦
♦
♦
Basado en Nombre de Usuario y Contraseña
El Nombre de Usuario se envía sin protección
Sujeto a ATAQUES DE DICCIONARIO
EAP-MD5 requiere una clave fija manual WEP
y no ofrece distribución automática de llaves
♦ Sujeto a ataques man-in-the-middle. Sólo
autentica el cliente frente al servidor, no el
servidor frente al cliente
23
EAP-TLS
♦ Desarrollado por Microsoft
♦ Ofrece
fuerte
autenticación
mútua,
credenciales de seguridad y llaves dinámicas
♦ Requiere la distribución de certificados
digitales a todos los usuarios así como a los
servidores RADIUS
♦ Requiere una infraestructura de gestión de
certificados (PKI)
♦ Windows XP contiene un cliente EAP-TLS, pero
obliga a los administradores a emplear sólo
certificados Microsoft
♦ Intercambio de identidades desprotegido
24
EAP-TLS: ¿Certificados Cliente?
♦
♦
♦
♦
Son difíciles de gestionar
Debe designarlos una Autoridad Certificadora
Requieren conocimiento/compresión
Requiere que el usuario establezca el
certificado
♦ Incómodo
para
establecer
múltiples
dispositivos, transferir certificados
♦ Los administradores son reacios a su uso
♦ Adopción limitada a una fecha
25
EAP-TTLS
♦ Permite a los usuarios autenticarse mediante
nombre de usuario y contraseña, sin pérdida
de seguridad
♦ Desarrollado por Funk Software y Certicom
♦ Ofrece
fuerte
autenticación
mútua,
credenciales de seguridad y llaves dinámicas
♦ Requiere que los certificados sean distribuidos
sólo a los servidores RADIUS, no a los
usuarios
♦ Compatible con las actuales bases de datos de
seguridad de usuarios, incluídas Windows
Active Directory, sistemas token, SQL, LDAP,
etc.
♦ Soporta CHAP, PAP, MS-CHAP y MS-CHAPv2 26
Como funciona EAP-TTLS…
Fase 1 – Establecimiento de TLS
Configuración del Túnel TLS
Fase 2 – Autenticación Secundaria
Autenticación Secundaria - (PAP, CHAP, MS-CHAP, EAP)
27
Las ventajas de EAP-TTLS
♦
♦
♦
♦
♦
♦
♦
♦
El más sencillo de instalar y gestionar
Seguridad difícil de traspasar
No requiere Certificados Cliente
Autentica de manera segura los usuarios
frente a base de datos Windows
Despliegue contra infraestructuras existentes
Los usuarios se conectan con sus nombres de
usuario y contraseñas habituales
No existe peligro de ataques de diccionario
Parámetros pre-configurados para el cliente
WLAN, facilitando la instalación en los
dispositivos WLAN
28
EAP-PEAP
♦ Propuesto
por
Microsoft/Cisco/RSA
Security
♦ No requiere Certificados
♦ También
utiliza
Transport
Layer
Security (TLS) para establecer el túnel
♦ Se incluye en SP1 de Windows XP
♦ Se incluirá en Windows 2003 Server
29
Comparativa de Protocolos EAP
EAP-MD5
LEAP
(Cisco)
EAP-TLS
(MS)
EAP-TTLS
(Funk)
EAP-PEAP
Estándar
Patente
Estándar
Estándar
Estándar
CertificadosCliente
No
N/A
Sí
No
(opcional)
No
(opcional)
CertificadosServidor
No
N/A
Sí
Sí
Sí
Credenciales
de Seguridad
Ninguna
Deficiente
Buena
Buena
Buena
------
Tema
Solución de
Seguridad
Soporta
Autentificación de Base
de Datos
Requiere
Borrar la
Base de
Datos
Active
Directory,
NT
Domains
Active
Directory
Act. Dir.,
NT
Domains,
Token
Systems,
SQL, LDAP
Intercambio
de llaves
dinámicas
No
Sí
Sí
Sí
Sí
Autenticación Mútua
No
Sí
Sí
Sí
Sí
30
Wi-Fi Protected Access (WPA)
♦ Abril 2003
– Más fuerte que WEP
– Mejorable a través de nuevas versiones de
software
– Uso empresarial y casero
– Obligatorio a finales del 2003
♦ Mejoras de Seguridad
– TKIP (Temporal Key Integrity Protocol)
– Autenticación de usuarios
31
WEP y WPA
Función
WEP
WPA
Encriptación
Débil
Soluciona
debilidades
Claves
40 bits
128 bits
Claves
Estáticas
Dinámicas
Claves
Distribución manual
Automática
Autenticación
Débil
Fuerte, según
802.1x y EAP
32
Protocolos de Seguridad para
Wireless
WECA
IEEE
WEP
EAP
(802.11b)
(802.1x)
WPA
(802.11i)
MD5
LEAP
Cisco
TLS
Microsoft
XP
TTLS
Funk
Software
PEAP
Cisco
XP-SP1
33
Conclusiones
♦ La elección del método de Autenticación
es la decisión fundamental
♦ La
elección
del
servidor
de
Autenticación y del software de los
clientes
♦ Si no existe PKI
deseche TLS
♦ PEAP no tiene ventajas sobre TTLS
Fuente: 802-11 Wireless Networks
34
¡¡La Pregunta del Millón!!
¿
ó
?
¿Qué Método de Autenticación?
¿Qué Servidor de Autenticación?
¿Qué Hardware?
- Access Point
- Tarjetas Wi-Fi
35
Primera Solución Multiplataforma
para Seguridad de Redes Wireless
36
Características de Odyssey
♦ Odyssey
Client
se
ejecuta
bajo
Windows
98/ME/2000/XP/CE
♦ Administración de certificados basada en servidor (no
se requiere certificado del lado-cliente excepto al usar
EAP-TLS)
♦ Trabaja con cualquier hardware basado en 802.1x
♦ Generación de llave dinámica para una seguridad
superior:
– Llave inicial WEP creada dinámicamente (no más
llaves estáticas WEP)
– Llaves periódicas de sesión generadas a intervalos
configurables
♦ La autenticación trabaja frente a bases de datos
existentes Active Directory/NT Domain (y nombre de
usuario/contraseña existentes)
37
Odyssey Server
Servidor de Autenticación 802.1x
♦ Dirigido a la localización de datos corporativos con
requerimientos de autenticación para WLAN/802.1x
♦ Soporte Multi-plataforma
– Windows 2000 y XP
♦ Soporte para múltiples “tipos” EAP
– EAP-TLS
– EAP-TTLS
– EAP-Cisco Wireless (LEAP)
– EAP-MD5
– EAP-PEAP
♦ Soporte para Autenticación solamente
– Autenticación
sólo
contra
Windows
Directory/NT Domains
Active
38
Servidor Steel Belted Radius 4.0
♦ Dirigido a la solución específica de los requerimientos de
autenticación para WLAN/802.1x y requerimientos de
accesos remotos
♦ Soporte multi-plataforma
– Windows 2000, NT, SUN Solaris
– EAP-TLS
– EAP-TTLS
– EAP-Cisco Wireless (LEAP)
– EAP-MD5
– EAP-PEAP (Q2 – 2003)
♦ Soporte para autenticación contra múltiples bases de
datos
– SQL, LDAP, Token Systems, etc…
39
Odyssey Client
Cliente 802.1x
♦ Soporte multi-plataforma
– Windows 2000 y XP
– Windows 98/ME
– Windows CE
♦ Soporte de tarjetas de adaptación WLAN multi-marcas
– Cisco, Agere, Enterasys, entre otras…
– Guía de Compatibilidad en:
http://www.lanprotect.es/indexodyssey.htm
– TLS, TTLS, MD5, Cisco LEAP, PEAP, WPA
– Otros,…
♦ Conecta con cualquier servidor de autenticación 802.1x
40
Proceso de Autenticación (1)
♦ El usuario Wireless LAN autenticará la red de trabajo
– Para asegurar que el usuario se conectará a la red correcta
41
– El servidor de Odyssey o de SBR crea un túnel seguro
entre el servidor y el cliente. El usuario es autenticado a
través del túnel con la utilización del nombre de usuario y
contraseña/token
– Esto asegura que un usuario autorizado se está
conectando dentro de la red
42
♦ El servidor de Odyssey o de SBR generará llaves
dinámicas WEP para encriptación de los datos
– Ambas llaves se distribuyen al access point y al cliente
43
♦ Tras la autenticación, Odyssey Server autorizará al
access point la apertura de un puerto virtual para el
cliente de la RED INALÁMBRICA
– El cliente obtiene su dirección IP (DHCP) y accede a la red
44
802.1x en 802.11
Wireless
Punto de Acceso
Servidor Radius
Portátil
Ethernet
Asociación
Acceso Bloqueado
802.11 Associate-Request
802.11
RADIUS
802.11 Associate-Response
EAPOL-Start
EAPOW
EAP-Request/Identity
EAP-Response/Identity
EAP-Request
EAP-Response (credentials)
Radius-Access-Request
Radius-Access-Challenge
Radius-Access-Request
Radius-Access-Accept
EAP-Success
EAPOL-Key (WEP) Acceso Permitido
45
¿Por qué Odyssey?
♦ WEP
– Crackeable fácilmente
– No hay autenticación
– No cumple el 802.1x
♦ Cisco
– EAP-LEAP
– Incompatible con el resto de marcas
– Soporta Active Directory/Nt Domains
♦ Microsoft
–
–
–
–
EAP-TLS
Sólo Windows XP
Requiere certificados en cada cliente
Soporta sólo Active Directory
♦ Funk Software/Odyssey
– EAP-LEAP/TLS/TTLS/PEAP/WPA
– Compatible
con
Cisco/Avaya/Buffalo/Orinoco/Enterasys/3com
/Colubris/IBM, etc...
– Soporta Active Directory/Nt Domains/Tokens/SQL/LDAP
46
Enlaces de Interés
♦ Las redes in-alámbricas no tienen porque ser in-seguras
(28/03/03)
http://www.virusprot.com/Nt280341.html
♦ De nuevo: las redes wireless no son seguras (24/08/01)
http://www.viruprot.com/Nt240821.html
♦ White Paper: Conceptos básicos de seguridad en redes
wireless (14/11/02)
http://www.virusprot.com/Whitepap1.html
♦ White Paper: Odyssey, primera solución multiplataforma para
seguridad de redes wireless (16/05/02)
http://www.virusprot.com/Whitepap2.html
♦ Odyssey Client 2.1, redes WLAN seguras (12/05/03)
♦ Funk Software, líder en el mercado de software de seguridad
para WLANs (25/04/03)
♦ Funk Software entre los 15 “startups” WLAN del 2003
(05/02/03)
47

Seguridad en Redes Wireless

Transcripción

Documentos relacionados

Índice