1 / 22

SEGURIDAD en los ACCESOS INALÁMBRICOS a la RED LOCAL

SEGURIDAD en los ACCESOS INALÁMBRICOS a la RED LOCAL. TOLEDO 27 de octubre de 2004. FERNANDO SUÁREZ Fujitsu España Services, S.A. Consultor de Seguridad (Redes) fsuarez@mail.fujitsu.es. AGENDA: Problemas de seguridad con los accesos Wireless Soluciones: Tecnologías disponibles

neron
Download Presentation

SEGURIDAD en los ACCESOS INALÁMBRICOS a la RED LOCAL

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. SEGURIDAD en los ACCESOS INALÁMBRICOS a la RED LOCAL TOLEDO 27 de octubre de 2004 FERNANDO SUÁREZ Fujitsu España Services, S.A. Consultor de Seguridad (Redes) fsuarez@mail.fujitsu.es

  2. AGENDA: Problemas de seguridad con los accesos Wireless Soluciones: Tecnologías disponibles -WPA (802.1x-EAP) -IPSec

  3. CABLEADO vs. INALÁMBRICO 1.- Acceso al medio físico 2.- Localización de equipos en la red 3.- Interceptación del tráfico

  4. DEBILIDADES ESPECÍFICAS del Acceso Inalámbrico: • Facilidad de obstaculizar las comunicaciones (DoS) • Facilidad de interceptar las comunicaciones • “Sniffing” • Secuestro de sesiones • Accesos no autorizados a la red: • Puntos de Acceso inseguros • Puntos de acceso no autorizados • Redes “Ad-Hoc” • Puntos de Acceso falsificados

  5. ¡¡ PERO EL ACCESO INALÁMBRICO TIENE VENTAJAS !! Donde el cableado no es posible Mobilidad Flexibilidad ¡¡ NECESITAMOS SOLUCIONES !!

  6. Medidas de protección FÍSICA: -Tipo y ubicación de antenas estudiada para minimizar fugas -Empleo de materiales opacos a la señal -Equipos inhibidores de señal en zonas que no deben tener cobertura -Restricción de velocidades utilizables -Vigilancia exterior -Herramientas de rastreo de señales -Seguridad en los conmutadores de la red Las únicas que protegen de los ataques “DoS”

  7. AUTENTICACIÓN Y CIFRADO 802.11 • Autenticación (de máquina): • Open (SSID) • Shared (Clave WEP) • Cifrado • WEP • ¡¡ TOTALMENTE INSEGURO !!

  8. ALTERNATIVAS Para la Autenticación y el cifrado: WPA VPNs (IPSec)

  9. WPA: • Autenticación WPA-PSK u 802.1x/EAP • Cifrado con clave por paquete: TKIP • Mejoras en el uso del cifrado RC4 (bits/clave y IV) • “Michael” para control de integridad • Cifrado AES opcional • Estándar de la industria (Consorcio WIFI) • WPA-1 es pre-802.11i (contiene su “núcleo”) • WPA-2 es 802.11i • WPA-2 es, simplificando, WPA-1 más cifrado AES”

  10. 802.1x/EAP Cliente Autentificador Servidor Autentificación (Solicitante) (Punto de Acceso) (RADIUS) • El cliente se asocia con el Punto de Acceso, que bloquea su tráfico • El cliente presenta credenciales que son autentificadas por RADIUS • El cliente autentifica al servidor RADIUS (EAP-MD5 no válido!!) • Cliente y RADIUS derivan clave WEP Unicast (clave inicial TKIP) • Punto de acceso envía clave WEP broadcast cifrada con WEP unicast • Punto de acceso y cliente cifran sus comunicaciones

  11. Métodos EAP más comunes en WLAN: • EAP-PEAP • Cliente y RADIUS abren un túnel TLS • El servidor RADIUS se autentifica con certificado digital • RADIUS autentifica al cliente: MSCHAPv2, etc. • EAP-TLS • Cliente y RADIUS abren un túnel TLS • El servidor RADIUS se autentifica con certificado digital • El cliente se autentifica con certificado digital • (Autentifican al usuario y, opcionalmente, la máquina)

  12. CIFRADO WEP Vector de Incialización Clave WEP Algoritmo RC4 Cadena de bits pseudoaleatoria XOR Paquete cifrado Paquete inicial

  13. CIFRADO TKIP Vector de Incialización Vector de Incialización Clave por paquete HASH Algoritmo RC4 Clave WEP Unicast Cadena de bits pseudoaleatoria XOR Paquete cifrado Paquete inicial

  14. Consideraciones sobre WPA: 1.- Configurar los clientes con WPA+TKIP obligatorio 2.- Atención a requisitos adicionales de la implementación: Ej.: MicroSoft: “Object Identifier” en certificados 3.- Proteger el tráfico RADIUS del Punto de Acceso ¡¡ WPA es suficientemente seguro para la mayoría de las aplicaciones !!

  15. IPSec Extensiones al protocolo IP para proporcionar servicios de seguridad: Integridad, Autentificación, Confidencialidad, etc RFCs: 2401 a 2411

  16. Arquitectura de la solución IPSEC Cliente (soft) Red Interna Punto de Acceso Concentrador de Túneles IPSec El cliente únicamente puede comunicar con la Red interna a través del túnel establecido Con el concentrador VPN

  17. Características de la solución VPNs IPSec • Tráfico cifrado y autenticado paquete a paquete (ESP) • Claves dinámicas con IKE (Diffie-Hellman) • Autentificación IKE de máquina: Pre-share, Certificados • Autentificación adicional del usuario: X-AUTH • IKE “Mode Configuration”: Enlace físico virtual

  18. IPSec DOS MODOS DE FUNCIONAMIENTO: -modo túnel -modo transporte DOS PROTOCOLOS: -ESP (Encapsulating Security Payload) -AH (Authentication Header)

  19. IPSec Algoritmos empleados (RFC): -DES -MD5 (16 bytes) -Triple DES -SHA-1 (20 bytes) -AES -RIMPEMD -(null)

  20. IKE IKE (Internet Key Exchange) -Implementación de ISAKMP con Oackley, SCHEME -Negociación cifrada (DES, 3DES, AES) -Generación e intercambio de claves: Diffie-Hellman -Autentificación: Clave secreta compartida Algoritmos de clave pública (RSA, ElGamal) Certificados digitales (RSA, DSS) Extensiones: Mode Configuration, DHCP, X-Auth

  21. Consideraciones sobre IPSec: 1.- Impedir los accesos entre clientes (niveles 2 y 3 OSI) 2.- Configurar adecuadamente los clientes ¡¡ IPSec es la opción más segura !!

  22. ¡¡ MUCHAS GRACIAS !! FERNANDO SUÁREZ Fujitsu España Services, S.A. Consultor de Seguridad (Redes) Cisco Certified Security Professional fsuarez@mail.fujitsu.es

More Related