SEGURIDAD en los ACCESOS INALMBRICOS a la RED
SEGURIDAD en los ACCESOS INALÁMBRICOS a la RED LOCAL FERNANDO SUÁREZ Fujitsu España Services, S. A. Consultor de Seguridad (Redes) fsuarez@mail. fujitsu. es TOLEDO 27 de octubre de 2004
AGENDA: Problemas de seguridad con los accesos Wireless Soluciones: Tecnologías disponibles -WPA (802. 1 x-EAP) -IPSec
CABLEADO vs. INALÁMBRICO 1. - Acceso al medio físico 2. - Localización de equipos en la red 3. - Interceptación del tráfico
DEBILIDADES ESPECÍFICAS del Acceso Inalámbrico: -Facilidad de obstaculizar las comunicaciones (Do. S) -Facilidad de interceptar las comunicaciones -“Sniffing” -Secuestro de sesiones -Accesos no autorizados a la red: -Puntos de Acceso inseguros -Puntos de acceso no autorizados -Redes “Ad-Hoc” -Puntos de Acceso falsificados
¡¡ PERO EL ACCESO INALÁMBRICO TIENE VENTAJAS !! Donde el cableado no es posible Mobilidad Flexibilidad ¡¡ NECESITAMOS SOLUCIONES !!
Medidas de protección FÍSICA: -Tipo y ubicación de antenas estudiada para minimizar fugas -Empleo de materiales opacos a la señal -Equipos inhibidores de señal en zonas que no deben tener cobertura -Restricción de velocidades utilizables -Vigilancia exterior -Herramientas de rastreo de señales -Seguridad en los conmutadores de la red Las únicas que protegen de los ataques “Do. S”
AUTENTICACIÓN Y CIFRADO 802. 11 Autenticación (de máquina): Open (SSID) Shared (Clave WEP) Cifrado WEP ¡¡ TOTALMENTE INSEGURO !!
ALTERNATIVAS Para la Autenticación y el cifrado: WPA VPNs (IPSec)
WPA: 1. 2. 3. 4. 5. Autenticación WPA-PSK u 802. 1 x/EAP Cifrado con clave por paquete: TKIP Mejoras en el uso del cifrado RC 4 (bits/clave y IV) “Michael” para control de integridad Cifrado AES opcional Estándar de la industria (Consorcio WIFI) WPA-1 es pre-802. 11 i (contiene su “núcleo”) WPA-2 es 802. 11 i WPA-2 es, simplificando, WPA-1 más cifrado AES”
802. 1 x/EAP Cliente (Solicitante) 1. 2. 3. 4. 5. 6. Autentificador (Punto de Acceso) Servidor Autentificación (RADIUS) El cliente se asocia con el Punto de Acceso, que bloquea su tráfico El cliente presenta credenciales que son autentificadas por RADIUS El cliente autentifica al servidor RADIUS (EAP-MD 5 no válido!!) Cliente y RADIUS derivan clave WEP Unicast (clave inicial TKIP) Punto de acceso envía clave WEP broadcast cifrada con WEP unicast Punto de acceso y cliente cifran sus comunicaciones
Métodos EAP más comunes en WLAN: EAP-PEAP Cliente y RADIUS abren un túnel TLS El servidor RADIUS se autentifica con certificado digital RADIUS autentifica al cliente: MSCHAPv 2, etc. EAP-TLS Cliente y RADIUS abren un túnel TLS El servidor RADIUS se autentifica con certificado digital El cliente se autentifica con certificado digital (Autentifican al usuario y, opcionalmente, la máquina)
CIFRADO WEP Vector de Incialización Clave WEP Algoritmo RC 4 Cadena de bits pseudoaleatoria XOR Paquete inicial Paquete cifrado
CIFRADO TKIP Vector de Incialización Clave por paquete Algoritmo RC 4 Vector de Incialización HASH Clave WEP Unicast Cadena de bits pseudoaleatoria XOR Paquete inicial Paquete cifrado
Consideraciones sobre WPA: 1. - Configurar los clientes con WPA+TKIP obligatorio 2. - Atención a requisitos adicionales de la implementación: Ej. : Micro. Soft: “Object Identifier” en certificados 3. - Proteger el tráfico RADIUS del Punto de Acceso ¡¡ WPA es suficientemente seguro para la mayoría de las aplicaciones !!
IPSec Extensiones al protocolo IP para proporcionar servicios de seguridad: Integridad, Autentificación, Confidencialidad, etc RFCs: 2401 a 2411
Arquitectura de la solución IPSEC Cliente (soft) Red Interna Punto de Acceso Concentrador de Túneles IPSec El cliente únicamente puede comunicar con la Red interna a través del túnel establecido Con el concentrador VPN
Características de la solución VPNs IPSec • Tráfico cifrado y autenticado paquete a paquete (ESP) • Claves dinámicas con IKE (Diffie-Hellman) • Autentificación IKE de máquina: Pre-share, Certificados • Autentificación adicional del usuario: X-AUTH • IKE “Mode Configuration”: Enlace físico virtual
IPSec DOS MODOS DE FUNCIONAMIENTO: -modo túnel -modo transporte DOS PROTOCOLOS: -ESP (Encapsulating Security Payload) -AH (Authentication Header)
IPSec Algoritmos empleados (RFC): -DES -Triple DES -AES -(null) -MD 5 (16 bytes) -SHA-1 (20 bytes) -RIMPEMD
IKE (Internet Key Exchange) -Implementación de ISAKMP con Oackley, SCHEME -Negociación cifrada (DES, 3 DES, AES) -Generación e intercambio de claves: Diffie-Hellman -Autentificación: Clave secreta compartida Algoritmos de clave pública (RSA, El. Gamal) Certificados digitales (RSA, DSS) Extensiones: Mode Configuration, DHCP, X-Auth
Consideraciones sobre IPSec: 1. - Impedir los accesos entre clientes (niveles 2 y 3 OSI) 2. - Configurar adecuadamente los clientes ¡¡ IPSec es la opción más segura !!
¡¡ MUCHAS GRACIAS !! FERNANDO SUÁREZ Fujitsu España Services, S. A. Consultor de Seguridad (Redes) Cisco Certified Security Professional fsuarez@mail. fujitsu. es
- Slides: 22