Lección 02Understanding WLAN SecurityRevisiónEl beneficio mas tangible de las Wireless es la Reducción del costo. En adici...
WLAN Security ThreatsEste tópico describe las amenazas mas comunes a los servicios WLAN.Con la reducción de los costos en ...
Un punto de acceso no autorizado podría también estar configurado para proporcionarinformación de usuarios no autorizados,...
Mitigating Security ThreatsEste tópico describe cómo se mitigan las amenazas de seguridad a servicios WLAN.Para asegurar u...
Evolution of WLAN SecurityCasi tan pronto comolas primeras normasse establecieronWLAN, los Hackers comenzarona tratar deex...
Access Point no se anuncia, será más difícil de encontrar para los hackers. Para permitir alcliente el aprendizaje del SSI...
Wireless Client AssociationEste tópico describe el proceso de asociación de clientes inalámbricos.En el proceso de asociac...
How 802.1X Works on WLANsEste tópico describe cómo 802.1X proporciona seguridad adicional a las WLANEl Access Point actúa ...
WPA AND WPA2 ModesEste tópico describe los modos de Wi-Fi Protected Access (WPA) y Wi-Fi ProtectedAccess 2 (WPA2).WPA prop...
Enterprise ModeEs un término utilizado por productos que son probados para interoperar entre los modosde operación de aute...
La Encriptación es el proceso de transformación de la información del texto plano para queno pueda ser leído por nadie exc...
defecto), una clave de 192 bits o clave de 256 bits. El uso de WPA2 con AES esrecomendado en todo momento posible. Esto, s...
Seguridad wlan
Upcoming SlideShare
Loading in …5
×

Seguridad wlan

973 views

Published on

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
973
On SlideShare
0
From Embeds
0
Number of Embeds
280
Actions
Shares
0
Downloads
0
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Seguridad wlan

  1. 1. Lección 02Understanding WLAN SecurityRevisiónEl beneficio mas tangible de las Wireless es la Reducción del costo. En adición alincremento de la productividad, las Wireless LANs (WLANs) incrementa la calidad deltrabajo. Sin embargo, una simple brecha resultante desde un simple acces point inseguropuederesultar muy negativo a la seguridad de una red corporativa y aun puede conducir a laruina a una organización. Esto es muy importante para comprender los riesgos de laseguridad de las WLANs y cómo se pueden reducir estos riesgos.ObjetivosAl completar esta lección, será capaz de describir los aspectos de la seguridad WLAN y lasnuevas formas de incrementar la seguridad WLAN. Esta capacidad incluye el logro de lossiguientes objetivos: Describe las amenazas mas comunes a los servicios WLAN. Describe los métodos de mitigación de las amenazas a la seguridad WLAN. Describe la evolución de la seguridad WLAN. Describe los procesos de asociación de clientes inalámbricos. Describe cómo IEEE 802.1X proporciona seguridad adicional WLAN. Describe los modos de WPA y WPA2.
  2. 2. WLAN Security ThreatsEste tópico describe las amenazas mas comunes a los servicios WLAN.Con la reducción de los costos en los sistemas de IEEE 802.11b/g, esinevitable que loshackerstienen muchasmásredes WLANsin garantíaentre los que elegir. Los incidenteshansido reportadosde personas que utilizanmuchas aplicacionesde código abierto pararecogeryaprovechar las vulnerabilidades de los mecanismos de seguridad del estándar IEEE802.11, Wired Equivalent Privacy (WEP). Sniffersinalámbricospermiten a los ingenierosdered capturarpasivamentelos paquetes de datospara que puedanser examinadosparacorregirproblemas del sistema. Estos mismos sniffers pueden ser utilizados por los hackerspara explotar las debilidades conocidas de la seguridad.“War driving” (Escaneo de señales), originalmente significaba que usando un celular selograba escanear dispositivos y encontrar los números de teléfono para explotar. Wardriving ahora también significa conseguir con un ordenador portátil y una tarjeta cliente802.11b/g para encontrar sistemas 802.11 b/g y explotarlos.Más dispositivos inalámbricos que se venden hoy en dia son WLAN ready. Los usuariosfinalesno suelencambiar la configuración predeterminada o ellos implementan solamenteseguridad WEP, la cual no es óptima para seguridad de redes inalámbricas. Con laactivación de encriptación WEP básica (o, obviamente, con la no encriptación), esposiblerecopilar datosy obtener informaciónsensiblede la red como la información del loginde un usuario, números de cuentas y records personales.Un puntode acceso no autorizadoes un punto deacceso no autorizadoque se conectaa la redcorporativa. Si un punto de acceso no autorizado es programado con la clave WEP correcta,los datos del cliente pueden ser capturados.
  3. 3. Un punto de acceso no autorizado podría también estar configurado para proporcionarinformación de usuarios no autorizados, como las MAC address de clientes (inalámbricos ycableados) o para capturar y espiar paquetes de datos.En el peor de los casos un punto de acceso no autorizado puede estar configurado paraganar el acceso a servidores y archivos. Una simple y comun versión de este punto deacceso no autorizado es una instalación por empleados con autorización. Los puntosdeacceso de los empleadosqueestán destinadospara uso doméstico yse configuran sin ladebida seguridad pueden causar riesgos a la seguridad de la red empresarial.
  4. 4. Mitigating Security ThreatsEste tópico describe cómo se mitigan las amenazas de seguridad a servicios WLAN.Para asegurar una WLAN, se requiere de los siguientes pasos: Autenticación, para asegurar que los clientes y usuarios legítimos accedan a la red via punto de acceso de confianza. Encriptación, para proporcionar privacidad y confidencialidad. Sistemas de Detección de Intrusos (IDSs) y Sistemas de Prevención de Intrusos (IPSs), para proteger de los riesgos de seguridfad y disponibilidad. La solución fundamental para seguridad inalámbrica es la Autenticación y la Encriptación para proteger la transmisión inalámbrica de datos. Estas dos soluciones de seguridad inalámbrica pueden implementarse en grados; sin embargo, ambas se aplican tanto a small office, home office (SOHO) como a redes inalámbricas de empresas grandes. Las redes inalámbricas de las empresas grandes necesitarán de seguridad adicional que es ofrecuida por un monitor IPS. IPSs actuales no solo pueden detectar ataques a las redes inalámbricas, ellos también proveen protección básica contra clientes y puntos de acceso no autorizados. Muchas redes empresariales usan IPSs para protección no del todo contra las amenazas externas, pero principalmente contra puntos de acceso mal intencionados que son instalados por los empleados que desean la movilidad y los beneficios de las wireless.
  5. 5. Evolution of WLAN SecurityCasi tan pronto comolas primeras normasse establecieronWLAN, los Hackers comenzarona tratar deexplotar los puntos débiles. Para hacer frente aesta amenaza, los estándaresevolucionaron para proporcionar una mayor seguridad. Este tópico describe la evolución dela seguridad WLAN.Esta figura muestra la evolución de la seguridad LAN.Inicialmente, la seguridad de 802.11 definía solamente claves WEP estática de 64 bits paraambas encriptación y autenticación. El contenido actual de la clave de 64 bits, 40 bits declave más 24 de vector de inicialización. El método de autenticación no fue potenciado.Autenticación abierta y claves compartidas es soportado. La autenticación abiertapermite laasociaciónde cualquier cliente inalámbrico. La Autenticación de clave compartida permitela autenticación de sólo clientes inalámbricos seleccionados, peroel texto de desafíoseenvíasin cifrar. Esta es la principal razón por la que la autenticación de clave compartida no essegura. Otro problema con elcifrado de clavesWEPes que las llavesestabancomprometidascon el tiempo. Las claves fueron administradas estáticamente y este métodode seguridad no fue escalable para entornos de empresas grandes.Las empresas tratarondecontrarrestaresta debilidadcon técnicas como elfiltrado de direcciones MAC.El SSID es el nombre de la red, parámetro y esquema configurable que el cliente y elAccess point deben compartir. Si el Access Point es configurado para Broadcast su SSID, elcliente que está asociado con el Access Point esta usando el SSID que es advertido por elAccess Point. Un Access Point puede ser configurado para no Broadcast el SSID (llamadoSSID cloaking) para proporcionar un primer nivel de seguridad. La creencia fue que si el
  6. 6. Access Point no se anuncia, será más difícil de encontrar para los hackers. Para permitir alcliente el aprendizaje del SSID del Access Point, 802.11 permiten a los clientesinalámbricos el uso de un valor nulo (es decir,no hay ningún valorintroducido en elcampoSSID), por tanto, se solicita queel puntode acceso difundasu SSID. Sin embargo, estatécnica hace que el esfuerzo de la seguridad sea no efectivo debido a que los hackersnecesitan solamente enviar una cadena nula hasta ellos para encontrar un Access Point. LosAccess Point soportan filtrado usando una MAC address. Lastablassonconstruidasmanualmenteenel punto de accesopara permitira los clientesque sebasan ensu dirección dehardware físico. Sin embargo, las direcciones MAC son fácilmentefalsificadas y el Filtrado MAC address no es considerado una seguridad de futuro.Mientras que las comunidades comenzaron el proceso de mejora de la seguridad WLAN,los clientes de las empresas inalámbricas necesitaban inmediatamente seguridad paraactivar sus despliegues. Impulsado por la demanda de los clientes, Cisco introdujotempranamente mejoras en las propiedades para RC4 basado en encriptación WEP. Ciscoimplementó el Protocolo Temporal de Integración de Claves Cisco (CKIP) claves porpaquete o hashing, y Chequeo de Integridad de Mensaje Cisco (Cisco MIC) para protegerclaves WEP. Cisco también adoptó 802.1X protocolo de autenticación con cable parainalámbrico y claves dinámicas usando Cisco Protocolo de Autenticación Extensivo Ligero(Cisco LEAP) para una base de datos centralizada. Este enfoque esta basado en el IEEE802.11 tarea de grupo i end – to – end trama usando 802.1X y el Protocolo deAutenticación Extensible (EAP) para proporcionar estas mejoras funcionales. Cisco haincorporado 802.1X y EAP en la solución para WLAN, la suite Cisco Wireless Security.Numerosos tipos de EAP están disponibles hoy en dia para autenticación de usuarios sobreredes con cables e inalámbricas.En la actualidad se incluyen los siguientes tipos de EAP: EAP – Cisco Wireless (LEAP) EAP – Transport Layer Security (EAP-TLS) Protected EAP (PEAP) EAP – Tunneled TLS (EAP-TTLS) EAP-Suscriber Identity Module (EAP-SIM)En la Arquitectura Inalámbrica Cisco SAFE, LEAP, EAP-TLS y PEAP fueron probados ydocumentados como protocolos de autenticación EAP mutuos viables para el despliegue delas WLAN.Poco después de la implementación de seguridad inalámbrica Cusco, la Wi-Fi Allianceintrodujo Wi-Fi Protected Access (WPA) como una solución interina. WPA fue unsubconjunto de las experiencias del estándar de seguridad IEEE 802.11i para WLANsutilizando Autenticación 802.1X y mejoras para encriptación WEP. Lo mas nuevo de TKIPtiene implementación de seguridad parecida a las implementaciones que son provistas porCisco (CKIP) pero estas tres implementaciones no son compatibles.Hoy en día, 802.11i ha sido ratificado y los estándares de Encriptación Avanzad (AES) hanreemplazado a WEP como el último y más seguro método de encriptación de datos.Wireless IDSs están disponibles para identificar ataques y proteger las WLAN desde ellas.La Wi-Fi Alliance certifica dispositivos 802.11i bajo Wi-Fi Protected Access 2 (WPA2).
  7. 7. Wireless Client AssociationEste tópico describe el proceso de asociación de clientes inalámbricos.En el proceso de asociación de clientes inalámbricos, el Access Point envía una balizaanunciando uno o mas SSID, tasa de datos y otra información. El cliente escanea todos loscanales y escucha por señales y respuestas desde el Access Point. Se asocia el clientealpunto de accesoque tienela señal más fuerte. Si la señal llegara a decaer, el cliente repite elescaneo para asociarse con otro Access Point. Este proceso es llamado “roaming”. Durantela asociación, el SSID, la MAC address y la configuración de seguridad son enviadas desdeel cliente hacia el Access Point y es comprobado por el Access Point.La asociación de un cliente inalámbrico para un Access Point seleccionado es actualmenteel segundo paso en un proceso de dos pasos. Primero, la autenticación, luego la asociación,debe ocurrir antes de que un cliente 802.11 pueda pasar tráfico a través del Access Point aotro host de la red. La autenticación del cliente en este proceso inicial no es el mismo que elde autenticación de red (que es ingresando un nombre de usuario y password para ganaracceso a la red). La autenticación del cliente es simplemente el primer paso (seguidopor laasociación) entre el cliente inalámbrico y el Access Point y simplemente establece lacomunicación. El estándar 802.11 tiene especificado solamente dos métodos deautenticación: autenticación abierta y autenticación de clave compartida. La autenticaciónabierta es simplemente el intercambio de cuatro paquetes tipo “hello”simplementeconningúnclienteo la verificacióndel punto de accesopara permitirla facilidad de conectividad. Laautenticación de clave compartida usa una clave WEP estática que es conocida entre el cliente y elAccess Point para verificación. Esta misma clave puede ser utilizada para encriptar el paso del datoactual entre clientes inalámbricos y el Access Point.
  8. 8. How 802.1X Works on WLANsEste tópico describe cómo 802.1X proporciona seguridad adicional a las WLANEl Access Point actúa como un autenticador en la frontera de la empresa, permite al clientela asociación utilizando autenticación abierta. El Access Point luego encapsula todo eltráfico que es obligado por el servidor AAA (Autenticación, Autorización y Accounting) yenvía esto al servidor. El resto del tráfico de la red es bloqueado, significa que todos losotros intentos para acceder a los recursos de red son paralizados.Después de recibir el tráfico que es originado por el cliente, el Access Point encapsula estoy lo envía la información al cliente. Aunque el servidor autentica al cliente como un usuarioválido de la red, este proceso permite al cliente para validar al servidor también, asegurandoque el cliente no se logee en un servidor falso.Mientras que una red empresarial utilizará una autenticación centralizada en servidor, lasoficinas pequeñas o los negocios podrían simplemente utilizar el Access Point como unservidor de Autenticación para clientes inalámbricos.
  9. 9. WPA AND WPA2 ModesEste tópico describe los modos de Wi-Fi Protected Access (WPA) y Wi-Fi ProtectedAccess 2 (WPA2).WPA proporciona soporte de autenticación vía 802.1X y clave pre compartida (PSK).802.1X es recomendado para el despliegue de las empresas. WPA proporciona soporte deencriptación vía TKIP. TKIP incluye MIC y claves por paquetes (PPK) via vector deinicialización hashing y rotación de clave de broadcast.WPA2 (estándar 802.11i) usa la misma arquitectura de autenticación, distribución de clavey técnicas de renovación de claves como WPA. Sin embargo, WPA2 agrega mejorencriptación llamada AES-Counter con Protocolo CBC-MAC (AES-CCMP). AES-CCMPusa dos técnicas de criptografías combinadas. Una es el modo de contador y el segundo esCBC-MAC. AES-CCMP proporciona un protocolo de seguridad robusto entre los clientesinalámbricos y los Access Point.Nota: AES es una criptografía cifrada que utiliza una longitud de bloque de 128 bits ylongitud de clave de 128, 192 o 256 bits.Modo Contador es un modo de operación. Modo Contador utiliza un numero que cambiacon cada bloque de texto encriptado. El numero es llamado el Contador. El contador esencriptado con la cifra y el resultado entra en el texto cifrado. El Contador cambia por cadabloque y el texto cifrado no es repetido.Cipher Block Chaining-Message Authentication Code (CBC-MAC) es un método demensaje integral. El método usa bloque cifrado como AES. Cada bloque de texto plano esencriptado con la cifra y luego con una operación AND exclusiva es conducido entre elprimer y segundo bloque encriptado. Una operación XOR es luego corrida entre esteresultado y el tercer bloque, etc.
  10. 10. Enterprise ModeEs un término utilizado por productos que son probados para interoperar entre los modosde operación de autenticación PSK y 802.1X Pprotocolo de Autenticación Extendida(EAP). Cuando 802.1X es usado, una Autenticación, una Autorización y una Accounting(AAA) servidor es requerido para optimizar la autenticación también como clave yadministrador de usuario. El Modo empresarial es dirigido para entornos empresariales.Personal Mode Es un término utilizado para productos que son probados para interoperar solamente en elmodo de operación para autenticación PSK. Esto requiere configuración manual de un PSKsobre el Access Point y los clientes. El usuario se autentica con PSK via un password, ocódigo de identificación sobre ambos la estación cliente y el Access Point. No necesitaservidor de Autenticación. Modo personal esta dirigido a entornos SOHO.
  11. 11. La Encriptación es el proceso de transformación de la información del texto plano para queno pueda ser leído por nadie excepto por quienes tienen la clave. El algortimo que esutilizado para encriptar la información es llamado cipher y el resultado es el texto cifrado.La Encriptación es ahora comunmente usada en la protección de la información enimplementaciones WLAN. La Encriptación es también utilizada para proteger los datos entránsito. Datos en tránsito que pueden ser interceptados y la encriptación es una opción parasu proteción.Las claves WEP fueron la primera solución para encriptar y desencriptar transmisión dedatos WLAN. Varias investigaciones y artículos han resaltado las vulnerabilidadespotenciales de las claves WEP estáticas. Una mejora de las claves WEP estáticas fueron lasclaves WEP dinámicas en combinación con autenticación 802.1X. sin embargo, losHackers tienen accesos a herramientas para conocer claves WEP.Varios mejoramientos para claves WEP fueron proporcionados. Estas mejoras WEP fueronTKIP, soporte para MIC, clave hashing por paquete y rotación de clave Broadcast. TKIP esun conjunto de mejoras de software para WEP basado en RC4. Cisco tiene unaimplementación propia de TKIP para comenzar. Esto fue un tiempo referido como un CiscoTKIP. En el 2002, 802.11i finalizó la especificación para TKIP y la Wi-Fi Alliance anuncióque estaba siendo TKIP un componente de WPA. Cisco TKIP y el WPA TKI ambosincluyen claves por paquetes y chequeo de integridad de mensajes. Una debilidad existe enTKIP, sin embargo, este puede permitir un ataque de desencriptación de paquetessobredeterminadas circunstancias.Una mejora para TKIP es el Estándar de Encriptación Avanzada (AES). AES es unaalternativa potente para la encriptación de algoritmo RC4. AES es un algoritmo deencriptación mas seguro y ha sido estimado y aceptado por el gobierno de USA para laencriptación de ambos tipos de datos clasificados y no clasificados. AES es actualmente elmayor estándar de encriptación y reemplaza a WEP. AES ha sido desarrollado parareemplazar el estándar de encriptación de datos (DES). AES ofrece un largo tamaño declave, mientras que asegura que solamente el acercamiento conocido para desencriptar unmensaje es por un agente externo intruso para probar todas las claves posibles. AES tieneuna clave variable cuya longitud de algoritmo puede especificar una clave de 128 bits (por
  12. 12. defecto), una clave de 192 bits o clave de 256 bits. El uso de WPA2 con AES esrecomendado en todo momento posible. Esto, sin embargo requiere de un mayor consumode recursos y requiere de nuevo hardware comparado con las implementaciones simples deWEP o TKIP.Si un cliente no soporta WPA2 con AES merecido por la edad del hardware o ausencia delos driver compatible, una VPN puede ser una buena solución para seguridad de laconexión del cliente sobre el aire. Seguridad IP (IPsec) y Secuire Sockets Layer (SSL)VPNs proporciona un nivel similar de seguridad como WPA2. IPsec VPNs son losservicios que están definidos dentro de IPsec para asegurar la confidencialidad, integridad yautenticidad de las comunicaciones de datos entre redes públicas, como la Internet.IPsec también tiene una aplicación práctica para asegurar WLANs por revestimiento IPsecen adición para tráfico inalámbrico de texto plano 802.11. IPsec proporciona confiabilidadde tráfico IP , asimismo como autenticación y capacidades antirepetitivas. La confiabilidades conseguida a través de la encriptación usando una variante de DES, llamado Triple DES(3DES) o el nuvo AES.

×