DEPARTAMENTO DE ELECTRICA Y ELECTRÓNICA REDES Y COMUNICACIÓN DE DATOS

1. ESCUELA POLITÉCNICA DEL EJÉRCITO DEPARTAMENTO DE ELECTRICA Y ELECTRÓNICAREDES Y COMUNICACIÓN DE DATOS “ESTADO DEL ARTE EN LA DETECCIÓN DE INTRUSIONES EN REDES 802.11” Luis Andrés Balseca Guzmán

2. En la actualidad el uso de redes inalámbricas se ha extendido por sus ventajas de movilidad, flexibilidad y productividad. • Se desarrollan a diario mejores estándares en la búsqueda de mayores tasas de transmisión y niveles de seguridad más altos

3. Investigar el estado del arte en la detección de intrusiones en redes 802.11

4. Objetivos específicos • Analizar las vulnerabilidades existentes y comprender los riesgos a los que se encuentran expuestas las redes 802.11. • Determinar las tendencias en la detección de intrusiones en 802.11 en base al estado del arte.

5. Objetivos específicos • Investigar los elementos técnicos más relevantes de los principales sistemas de detección de intrusiones. • Reconocer las posibilidades de la tecnología actual para disminuir los problemas de la detección de intrusiones.

8. Ad-hoc: los dispositivos se conectan directamente entre ellos, sin necesidad de un punto de acceso o AP (Access Point)

9. Infraestructura:: todos los dispositivos realizan la comunicación inalámbrica a través de un punto de acceso o AP.

10. Las redes 802.11 tienen en común todas las capas del modelo OSI, a excepción de la capa MAC y la capa física (PHY), que están optimizadas para la transmisión inalámbrica.

11. Se encarga de describir cómo se empaquetan y verifican los bits de manera que no tengan errores. • Está compuesta por dos subcapas: - Control de enlace lógico (LLC). - Control de acceso al medio (MAC).

12. La información que se emite en una transmisión se denomina trama. Cada trama corresponde a un paquete de datos o paquete de red. En el estándar 802.11 la trama se forma por los siguientes componentes:

13. tramas de control • de datos • y de gestión

17. Actualmente las redes 802.11 se enfrentan a un gran problema que es la seguridad, puesto que el medio de transmisión es el aire y las señales viajan libres, de manera que cualquier individuo equipado con una antena de las características adecuadas podría recibir la señal y analizarla.

18. Servicios

19. Servicios

20. Servicios

23. Las redes 802.11 no pueden ser aseguradas físicamente como las redes cableadas por lo que tiene una mayor vulnerabilidad a los ataques. CLASIFICACIÓN DE LOS ATAQUES • Ataques Pasivos • Ataques Activos

24. Vigilar/Espiar. Es aquel en el que el atacante monitorea el contenido de las transmisiones para descubrir el contenido de la información, se utiliza un dispositivo inalámbrico y un software apropiado denominado Sniffer. • Analizar el Tráfico. Permite al atacante capturar la información transmitida y descubrir datos sobre los parámetros de la comunicación, como el ESSID, contraseñas, Direcciones MAC o IP, etc.

25. La Suplantación. Es un robo de identidad que consiste en hacerse pasar por un usuario autorizado para acceder a la información. • Retransmisión. El atacante se coloca entre el emisor y el receptor, recibe la información y la retransmite, para evitar ser descubierto. • Modificación. Se basa en modificar mensajes legítimos añadiendo o eliminando parte del contenido. • Denegación de Servicio. El atacante impide la utilización normal de las transmisiones Wi-Fi. Estos ataques son muy difíciles de evitar y muy fáciles de realizar.

26. Este ataque se realizará cuando la red objetivo está protegida mediante un mecanismo de Filtrado de Direcciones MAC.

27. Consiste en convencer al cliente (la victima) de que el host que hay en el medio (el atacante) es el AP, y hacer lo contrario con el AP, es decir, hacerle creer al AP que el atacante es el cliente.

28. Mecanismos de Seguridad • Protolos de Cifrado (WEP, WPA, WPA2) • ACL • FIREWALL • CNACL (Closed Network Acces Control) • VPN • POLÍTICAS DE SEGURIDAD • SISTEMAS DE DETECCIÓN DE INTRUSIONES

30. Un Sistema de Detección de Intrusiones o IDS es una herramienta de seguridad encargada de monitorizar los eventos que ocurren en un sistema informático en busca de intentos de intrusión.

31. Detectar ataques y otras violaciones de la seguridad que no son prevenidas por otras medidas de protección. • Documentar el riesgo de la organización • Proveer información útil sobre las intrusiones que se están produciendo

32. Falsos positivos: también conocidos como falsas alarmas. Estos errores ocurren cuando el IDS interpreta el tráfico y las actividades normales como ataques. • Falsos negativos: estos errores ocurren cuando el sistema de detección clasifica la actividad intrusiva como normal, por lo que el ataque pasa desapercibido

34. Ha sido tratada en numerosos trabajos, de los que destacan los de HervéDebar y Stefan Axelsson de ChalmersUniversity of Technology en Suecia.

35. Esta clasificación se basa en el lugar donde el IDS analizará el tráfico. • IDS basados en red (NIDS) - Estos IDS detectan ataques capturando y analizando paquetes de la red. - Generalmente están formados por un conjunto de sensores localizados en varios puntos de la red. Estos sensores monitorean el tráfico realizando análisis local e informando de los ataques que se producen a la consola de gestión • .

36. Ventajas: - Detectan los ataques antes de que lleguen a los terminales permitiendo una respuesta más rápida. - Protegen toda la red en la que están instalados y no sólo en un terminal - No necesitan instalar software adicional en los servidores en producción. • Fácil instalación y actualización por que se ejecutan en un sistema dedicado.

37. Desventajas: - Pueden tener dificultades procesando todos los paquetes en una red grande o con mucho tráfico y pueden fallar en reconocer ataques lanzados durante periodos de tráfico alto. - Pueden generar tráfico en la red. - Ataques con sesiones encriptadas son difíciles de detectar.

38. Los HostIDS están diseñados para monitorear, analizar y dar respuesta a la actividad de un determinado terminal (host). • Su principal característica es que sólo protegen el terminal en el que se ejecutan.

39. Ventajas: • Al tener la capacidad de monitorear eventos locales a un host, pueden detectar ataques que no pueden ser vistos por un IDS basado en red. • - Pueden a menudo operar en un entorno en el cual el tráfico de red viaja cifrado, ya que la fuente de información es analizada antes de que los datos sean cifrados en el host

40. Los IDS pueden ser clasificados en dos grandes grupos, atendiendo al tipo de analizador o procesador de eventos: • Los sistemas basados en uso indebido. • Los sistemas basados en detección de anomalías.

41. Respuestas Pasivas: En este tipo de respuestas se notifica al responsable de seguridad de la organización o al usuario del sistema atacado. • Respuestas Pasivas: Son acciones automáticas que se toman cuando ciertos tipos de intrusiones son detectados

42. Recopilación de información adicional: consiste en incrementar el nivel de sensibilidad de los sensores para obtener más pistas del posible ataque • Cambio del entorno: otra respuesta activa puede ser la de parar el ataque; por ejemplo, en el caso de una conexión TCP se puede cerrar la sesión establecida al atacante.

43. ““Un sistema de detección de intrusiones inalámbrico (WIDS) consiste en un grupo de sensores y una unidad central que trabajan juntos para proporcionar supervisión del espectro inalámbrico” NaujRevilo

44. WIDS centralizado es generalmente la combinación de sensores individuales los cuales recopilan y remiten todos los datos 802.11 a un analizador central, donde los datos son almacenados y procesados. • WIDS distribuido suele incluir uno o más dispositivos que se encargan tanto de la recolección y procesamiento de la información de los IDS.

48. Este estudio se centra en la clasificación por el método de análisis para la detección de intrusiones, donde se tiene a las detecciones de uso indebido y de anomalías.

50. La detección de usos indebidos se puede implementar de las siguientes formas: