Wifi Segura con D-Link Windows Server 2008 R2

SIMO-DL-04: Wifi Segura con D-Link & Windows
Fran Nogal
fnogal@informatica64.com

¿DÓNDE NOS PUEDES ENCONTRAR?
En el Boletín Técnico Technews: Si deseas recibir el boletín técnico quincenal para estar informado de lo que sucede en el mundo tecnológico
http://www.informatica64.com/boletines.html
En nuestro 10º Aniversario: Informática 64 cumple 10 años y queremos celebrarlo contigo invitándote el día 1 de Octubre al CFO de Getafe donde podrás asistir al evento “Informática 64 Décimo Aniversario & Microsoft HOL Quinto Aniversario” o alguno de los 5HOLs gratuitos que se impartirán.
http://www.informatica64.com/10aniversario/
En el Blog Windows Técnico: dedicado a la plataforma Windows en el que podrás informarte de las novedades y mejoras en sistemas operativos Microsoft.
http://www.windowstecnico.com/
En nuestra Página Web: Lo mejor para estar al día de las actividades de Informática 64. Y desde donde podréis acceder a todos nuestros servicios y actividades.
http://www.informatica64.com

Introducción
Hoy en día, las Wireless LAN se están convirtiendo poco a poco en parte esencial de las redes LAN tradicionales:
Bajos costes de instalación
Disponibilidad
No requiere de software adicional
Movilidad
La implantación se esta realizando a mayor velocidad en los entornos domésticos y PYMES que en las grandes empresas
Este mercado esta menos concienciado de los problema de seguridad

DISEÑO DEL ACCESO INALÁMBRICO (WiFi)
Cuando nos toca diseñar una infraestructura para el acceso inalámbrico a una red, es importante tener en cuenta algunos aspectos básicos de seguridad.
La conexión debe estar protegida mediante autenticación y cifrado de última generación
El tráfico que se genera desde el punto de acceso inalámbrico debe ser controlado en todo momento
No de debe permitir un acceso directo a la LAN desde el punto inalámbrico, ya que se convertiría fácilmente en un agujero de seguridad, saltándose el firewall o control de acceso.
Sólo se debe implantar un acceso inalámbrico en aquellos segmentos de red en donde realmente se necesiten, por ejemplo, acceso para invitados, acceso para dispositivos móviles de gestión de almacenes o toma de pedidos, etc.

DISEÑO DEL ACCESO INALÁMBRICO (WiFi)
Siguiendo estas recomendaciones, podemos diseñar una infraestructura de red con puntos de acceso inalámbrico como se muestra a continuación:

Introducción. Medidas de Seguridad
Medias de seguridad que se pueden aplicar en una red Wireless según el estándar 802.11b
ACL’s basadas en MAC’s: solo permitir la comunicación con el AP a las direcciones MAC que el AP conoce (es necesario añadir las MACs de los cliente que pueden tener acceso a la WLAN en el AP)
No emitir beaconframes
Utilizar cifrado WEP

Funcionamiento. Mecanismos de autenticación
Abierta (Open SystemAuthentication)
Protocolo de autenticación por defecto para 802.11b, este método autentica a cualquier cliente que pide ser autenticado. Es un proceso de autenticación NULO, las tramas se mandan en texto plano aunque esté activado el cifrado WEP.
Clave compartida (Shared Key Authentication)
Este mecanismo utiliza una clave secreta compartida, que conocen cliente y AP.

Debilidades WEP
Características lineales del CRC
Posibilita la modificación de paquetes
MIC independiente de la llave
Posibilita la inyección de paquetes
Tamaño demasiado corto del IV
Posibilita demasiadas repeticiones del mismo, que junto con la debilidad del RC4 permite romper dicho cifrado
Reutilización del IV
Malas implementaciones del protocolo facilitan su ruptura

Funcionamiento. Cifrado WEP

Soluciones Wireless Seguras.
WPA: Certificación de la WI-FI Alliance para las soluciones Wireless que cumplan ciertos requisitos de seguridad. Surgió mientras se trabajaba sobre el estándar IEEE 802.11i
WPA2: Certificación de la WI-FI Alliance para las soluciones Wireless que cumplan los requisitos de seguridad dictados por IEEE 802.11i

Autenticación. 802.1x
Las 4 fases de la autenticación 802.1x

Fase 3: Distribución de claves

Fase 3: Distribución de claves
Derivación de la clave: dos handshake
4-Way Handshake: derivación de la PTK (PairwiseTransient Key) y GTK (GroupTransiet Key)
Group Key handshake: renovación de GTK
PTK se deriva de la PMK, MAC del AP, MAC del cliente y dos nº aleatorios (ANonce y SNonce, generados por el autenticador y el suplicante)
PTK, longitud depende el protocolo de encriptación: 512 bits para TKIP y 384 bits para CCMP. Son varias claves temporales dedicadas

Debilidades
Conociendo PMK, puedes acceder a la red, pero no descifrar paquetes
Clave temporal por usuario y sesión
Capturar paquetes 4-Way-Handshake para conseguir PTK concreta
También se puede obtener GTK del tercer mensaje

Red Wifi Segura con WPA2 Enterprise y AP D-LINK

SIMO(22, 23 y 24 de Septiembre)
Microsoft TechNet: Tour de la innovación, Lanzamiento Windows 7, Windows Server 2008 R2, Exchange server 2010.
Miércoles, 23 de septiembre de 2009 10:00 (Hora de recepción: 9:30)- 17:00 : http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032421471&EventCategory=1&culture=es-ES&CountryCode=ES
Durante los tres días se realizarán HOLs Guiados y Auto guiados
http://technet.microsoft.com/es-es/hol_simo09.aspx
Azlan D-LINK Academy:
5 De Octubre en Madrid, 19 de Octubre en Vigo y 2 de Noviembre en Barcelona.
Mas información en:http://www.informatica64.com/cursoseguridadprofesionales.html
V Edición de la Formación Técnica en Seguridad y Auditoría Informática (FTSAI).
(Formación modular de alto nivel técnico, a partir del 9 de Octubre al 28 de Mayo)
Mas información en: http://www.informatica64.com/cursoseguridadprofesionales.html
Microsoft TechNet HandsonLab (HOLs)
En Madrid y Vizcaya (del 28 de Septiembre al 30 de Octubre)
Mas información en: http://www.microsoft.com/spain/seminarios/hol.mspx
PROXIMOS EVENTOS

Wifi Segura con D-Link Windows Server 2008 R2

by Chema Alonso on Dec 12, 2009

Accessibility

Categories

Tags

Upload Details

Usage Rights

2 Embeds 15

Statistics

Wifi Segura con D-Link Windows Server 2008 R2 — Presentation Transcript

http://www.samuraiblanco.org	9
http://www.slideshare.net	6