Seguridad Wifi
Descargar como PPT, PDF3 recomendaciones3,185 vistas
El documento presenta información sobre cómo montar una red inalámbrica segura. Explica los usos comunes de las redes WiFi, los problemas de seguridad asociados y diferentes tipos de ataques. Luego, detalla medidas para mejorar la seguridad, incluyendo el uso de WPA/WPA2, 802.1X y configuraciones seguras. Finalmente, resume los principales productos de puntos de acceso inalámbricos de D-Link.
Seguridad Wifi
- 1. Montar un red inalámbrica segura, un reto posible Xavier Campos Product Manager Spain & Portugal xavier.campos@dlink.es www.dlink.es Salamanca, 9 de Julio 2009.
- 2. AGENDA Usos de las Redes WiFi. Problemas de Seguridad de las WiFi. Tipos de Ataque WiFi. Seguridad en la WiFi. Demo WPA/WPA2-PSK. Passphrase Inseguro. ¿Cómo securizar una WiFi? 802.1X. Demo WPA2-EAP. D-Link Wireless AP Porfolio.
- 3. Usos de las Redes Wi-Fi Proporcionar Conectividad y Movilidad • Empresas • Campus Universitarios • Hospitales Hot-Spots • Hoteles • Aeropuertos • Cibercafés Redes Acceso Público • Municipios wireless • Transporte Público • Fonera Gaming • Consolas
- 4. WiFi…el anticonceptivo del Siglo XXI
- 6. Problemas de Seguridad de las WiFi El acceso de usuarios no autorizados a nuestra red para robar información o para hacer uso de nuestra conexión a Internet El área de cobertura inalámbrica excede los límites de la oficina Red Inalámbrica Detectada!!! Intentando conectar se a la Red… Usuario No Autorizado PELIGRO!!! Conexión existosa a la Red Inalámbrica!!!
- 7. Problemas de Seguridad de las WiFi “Los Malos” intentan conseguir información importante/confidencial para después poder venderla Hot-Spot Punto de Acceso PELIGRO!!! Man-in-the-Middle / Evil Twin El atacante recibe todo la información (Passwords, # Tarjeta de Crédito, etc) Usuario A navega por Internet y envía información confidencial “Los Malos” intentan robar la información Hacker Información INFORMACIÓN CAPTURADA!!! Usuario A Confidencial enviada al AP Riesgos de las WiFi en Áreas Públicas
- 8. Tipos de Ataque WiFi Ataques Pasivos • Packet Sniffing El tráfico de redes inalámbricas puede espiarse con mucha más facilidad que en una LAN. Basta con disponer de un portátil con una tarjeta inalámbrica y un software para capturar tráfico. • Análisis de Tráfico El atacante obtiene información examinando el tráfico y sus patrones: a qué hora se encienden ciertos equipos, cuánto tráfico envían, durante cuánto tiempo,… Ataques Activos • Suplantación Utilizando un Sniffer podremos obtener direcciones MAC/ESSID válidos El análisis de tráfico nos ayudará a saber a qué horas debemos conectarnos suplantando a un usuario u otro. Otra forma consiste en instalar puntos de acceso ilegítimos (rogue) para engañar a usuarios legítimos para que se conecten a este AP en lugar del autorizado. Ataque Evil Twin.
- 9. Tipos de Ataque WiFi Ataques Activos • Modificación El atacante borra, manipula, añade o reordena los mensajes transmitidos (ataque MITM). • Reactuación Inyectar en la red paquetes interceptados utilizando un Sniffer para repetir operaciones que habían sido realizadas por el usuario legítimo. • Denegación de Servicio El atacante puede generar interferencias hasta que se produzcan tantos errores en la transmisión que la velocidad caiga a extremos inaceptables o la red deje de operar totalmente. Otros ataques: inundar con solicitudes de autenticación, solicitudes de deautenticación de usuarios legítimos, tramas RTS/CTS para silenciar la red, etc.
- 10. Seguridad en las WiFi WiFi Abiertas. • Sigue siendo relativamente factible realizar un escaneo en búsqueda de redes inalámbricas accesibles y encontrar redes sin ningún tipo de seguridad aplicada, aunque es cierto que cada vez es menor el número de usuarios que dejan “abiertas” sus redes. Configurar Filtrado de MAC o Ocultar el SSID. No es suficiente. • Con un Packet Sniffer (Commview) podemos capturar tráfico y extraer la MAC de clientes válidos o el ESSID de la red, aunque esté oculto. • Con A-MAC/Etherchange podemos hacer “spoof” de una MAC válida.
- 11. Filtrado MAC Características del Filtrado MAC • Permite controlar que usuarios pueden conectarse a la Red basándose en la dirección MAC de la tarjeta cliente. • Raramente se utiliza como único mecanismo de seguridad, ya que es fácilmente hackeable utilizando aplicativos como A-MAC/Etherchange que permiten modificar la MAC de nuestro cliente por una válida. Permite que el Usuario A se conecte a la red Usuario A intenta conectarse a la red El Usuario E no puede conectarse a la red User A Lista de El AP chequea si MAC: AA direcciones MAC la MAC del cliente permitidas está en la lista AA BB La dirección Usuario E intenta CC MAC (AA) está conectarse a la red en la lista La dirección MAC (EE) no User E está en la lista MAC: EE
- 12. Filtrado MAC
- 14. Ocultación SSID La ocultación del SSID no garantiza que un atacante pueda detectar la red y conectarse a ella, si no hemos aplicado ningún otro mecanismo de seguridad.
- 15. Wired Equivalent Privacy (WEP) Como funciona WEP… Usuario A y Usuario B quieren conectarse a la Red Quiero Quiero conectarme a conectarme a la Clave Compartida = abc la Red Red Clave Compartida = abc Clave Compartida = xyz Punto de Acceso Usuario A configurado con WEP Usuario B ➀ ➀ Envía Petición de Asociación Recibe la Petición Envía Petición de Asociación He recibido la Petición, Desafío ¿Cuál es la Clave? Desafío ➁ ➁ Respuesta al Desafío ➂ ➂ Respuesta al Desafío Key = abc Key = xyz Usuario A, Password correcto. ➃ Usuario autenticado Usuario A conectado a la Red!!! Password correcto Petición Denegada ➄ Usuario B, Password incorrecto Usuario B no conectado Petición Denegada a la Red!!! Password incorrecto
- 16. Wired Equivalent Privacy (WEP) Cómo crackear WEP … • Basado en Algoritmo de Encriptación (RC4) / Clave Secreta +IV (de 64 ó 128bits) • Ataque mediante Airodump+Aireplay+AirCrack. Sólo necesitamos capturar suficientes paquetes (64 bits → ~150.000 IVs / 128 bits → ~500.000 IVs) y aplicar Aircrack para crackear la clave WEP.
- 17. Wi-Fi Protected Access (WPA/WPA2) Características de WPA/WPA2 • Modo Personal (PSK) – Protege la Red de accesos no autorizados utilizando un Passphrase • Modo Enterprise (EAP) – Autentica el acceso a la Red de los usuarios mediante un servidor RADIUS • WPA2 es compatible con WPA, siendo posible comunicar dispositivos que utilicen diferentes métodos de autenticación • WPA2 es similar a WPA, la principal diferencia es que WPA2 utiliza un sistema de encriptación más avanzado WPA WPA2 Modo Enterprise (Gran Autenticación: IEEE Autenticación: IEEE Diferentes métodos de Empresa, Administración, 802.1X/EAP 802.1X/EAP autenticación para Educación,…) Encriptación: TKIP/MIC Encriptación: AES-CCMP diferentes entornos Modo Personal (Pymes, Autenticación: PSK Autenticación: PSK Casa,…) Encriptación: TKIP/MIC Encriptación: AES-CCMP
- 18. Wi-Fi Protected Access (WPA/WPA2) WPA/WPA2 proporciona un método de autenticación robusto utilizando claves de encriptación dinámicas por usuario, sesión y paquete de datos La fiabilidad de este método de autenticación reside en la robustez de la Passphrase que utilizemos, ya que existen mecanismos para capturar el handshake y crackear la clave WPA si esta es sencilla. Usuario envía información Usuario Punto de Acceso Clave Correcta! configurado con Permite que el Usuario WPA/WPA2 se conecte a la red Clave Encriptada Solicitud de Asociación Compare the encrypted key El cliente se conecta a la Red con éxito Clave Correcta! Datos + Clave1 Datos Recibidos Compara la Clave Encriptada Cada vez que el Usuario envía información al AP, los datos se cifrán con una clave dinámica
- 19. ¿Es posible crakear WPA/WPA2-PSK? Configuramos el Punto de Acceso • WPA2-PSK • Passphrase Inseguro = ********
- 28. ¿CÓMO SECURIZAR UNA WIFI? SITUACIONES A EVITAR...
- 29. ¿Cómo securizar una WiFi? Pasos obligatorios • Cambiar contraseña de Administración del AP • Modificar el SSID por defecto • Utilizar encriptación WPA/WPA2-PSK (Passphrase Seguro) ó WPA/WPA2-EAP Pasos opcionales • Ocultar SSID (deshabilitar el broadcast SSID) • Configurar Filtrado MAC • Cambiar las claves de forma regular • Desactivar DHCP • Configurar Wireless LAN Scheduler / Apagar el AP cuando no se utilice • Configurar lista de Rogue APs • Control de Potencia para cubrir exclusivamente el área que deseamos
- 30. ¿Cómo elegir un Passphrase Seguro? http://www.microsoft.com/protect/yourself/password/checker.mspx
- 31. 802.1X • Protocolo 802.1X • El protocolo 802.1X es un estándar de control de acceso desarrollado por el IEEE que permite usar Supplicant diferente mecanismos de autenticación (EAP-PEAP/EAP- Usuario TLS/EAP-TTLS/EAP-SIM/…). • Se basa en el concepto de puerto, visto éste como el punto a través del que se puede acceder a un servicio proporcionado por un dispositivo (en nuestro caso, un Authenticator Punto de Acceso). Punto Acceso • Antes de que el cliente sea autenticado sólo se deja pasar tráfico EAPOL (Extensible Authentication Protocol over LAN). Una vez el cliente se valida se permite el tráfico normal. Servidor RADIUS
- 32. Autenticación 802.1X Supplicant Authenticator RADIUS Server (Punto de Acceso) (Authentication Server) Usuario EAPOL-Start EAP-Request/Identity 1 EAP-Response/Identity RADIUS Access-Request 2 EAP-Request/OTP RADIUS Access-Challenge 3 EAP-Response/OTP RADIUS Access-Request 4 EAP-Success RADIUS Access-Accept 5 Port Authorized EAPOL-Logoff RADIUS Account-Stop RADIUS Ack Port Unauthorized * OTP (One-Time-Password)
- 33. Remote Access Dial-Up Service (RADIUS) Características de un Servidor RADIUS • Protocolo de Autenticación / Autorización / Accounting (AAA) de usuarios de remotos de forma centralizada • El Servidor RADIUS almacena los datos de autenticación de los usuarios/clientes de forma local o en una BBDD externa • RADIUS accounting permite registrar eventos utilizados con fines estadísticos y para monitorización en general de la red. Beneficios de RADIUS • RADIUS proporciona gestión la autenticación de forma centralizada (usuarios/passwords) • Incrementa de forma significativa la seguridad en el acceso a la red. Cuando un usuario intenta conectarse a un Punto de Acceso (cliente RADIUS), éste envía la información de autenticación del usuario al Servidor RADIUS, parando todo tipo de tráfico hasta que el usuario es validado. La comunicación entre el Punto de Acceso y el Servidor de RADIUS está encriptada mediante una clave “Shared Secret”.
- 37. D-Link Wireless AP Portfolio
- 38. DWL-2100AP Features Configurable Operation Access Point Modes WDS with AP WDS AP Repeater AP Client Connectivity Performance 802.11g wireless standard Up to 108Mbps (Turbo Mode) Wireless Speed Wireless connection to Ethernet network/ servers through 10/100Base-Tx port AP grouping for Load Balancing Security/ QoS 64/128/152-bit WEP data encryption WPA/WPA2 Personal and Enterprise security with TKIP and AES support User access control MAC address filtering Wireless Station Partition (STA), 802.1Q VLAN tagging and Multiple SSID (Up to 8) for network segmentation WMM (Wi-Fi) Multimedia Certified Setup/ Management Windows-based AP manager utility Web-based management with SSL Remote management using Telnet or SSH Built-in MIB for SNMP management (SNMPv3) IP address limit for management access System log
- 39. DWL-2200AP Features Configurable Operation Access Point Modes WDS with AP WDS Connectivity Performance 802.11g wireless standard 802.3af Power over Ethernet Up to 108Mbps (Turbo Mode) Wireless Speed Wireless connection to Ethernet network/ servers through 10/100Base-Tx port AP grouping for Load Balancing Security/ QoS 64/128/152-bit WEP data encryption WPA/WPA2 Personal and Enterprise security with TKIP and AES support User access control MAC address filtering Wireless Station Partition (STA), 802.1Q VLAN tagging and Multiple SSID (Up to 4) for network segmentation WMM (Wi-Fi) Multimedia Certified Setup/ Management Windows-based AP manager utility Web-based management (HTTP) Remote management using Telnet Built-in MIB for SNMP management (SNMPv3) System log
- 40. DWL-3200AP Features Configurable Operation Access Point Modes WDS with AP WDS Connectivity Performance 802.11g wireless standard 802.3af Power over Ethernet Up to 108Mbps (Turbo Mode) Wireless Speed Security/ QoS 64/128/152-bit WEP data encryption WPA/WPA2 Personal and Enterprise security with TKIP and AES support User access control MAC address filtering Wireless Station Partition (STA), 802.1Q VLAN tagging and Multiple SSID (Up to 8) for network segmentation WMM (Wi-Fi) Multimedia Certified Rogue AP detection Setup/ Management Windows-based AP manager utility Web-based management (HTTP and HTTPS) Remote management using Telnet and SSH Built-in MIB for SNMP management (SNMPv3) System log
- 41. DWL-8200AP Features Configurable Operation Access Point Modes WDS with AP WDS/Bridge (No AP Broadcasting) Connectivity Performance 802.11a/g wireless standard Dual-band operation (2.4GHz and 5GHz) Up to 108Mbps (Turbo Mode) Wireless Speed Dual Ethernet ports with 802.3x flow control Security/ QoS 64/128/152-bit WEP data encryption WPA/WPA2 Personal and Enterprise security with EAP and PSK support WPA PSK/AES over WDS User access control MAC address filtering Wireless Station Partition (STA), 802.1Q VLAN tagging and Multiple SSID (Up to 16) for network segmentation WMM (Wi-Fi) Multimedia Certified Rogue AP detection Setup/ Management Windows-based AP manager utility Web-based management (HTTP and HTTPS) Remote management using Telnet and SSH Built-in MIB for SNMP management (SNMPv3) System log
- 42. DWL-2700AP Features Configurable Operation Access Point Modes WDS with AP WDS Connectivity Performance 802.11g wireless standard 802.3af Power over Ethernet Up to 108Mbps (Turbo Mode) Wireless Speed Dual Ethernet ports with 802.3x flow control Load Balancing Wireless connection to Ethernet network/ servers through 10/100Base-Tx port Security/ QoS 64/128/152-bit WEP data encryption WPA/WPA2 Personal and Enterprise security with EAP and PSK support WPA PSK/AES over WDS User access control MAC address filtering Wireless Station Partition (STA), 802.1Q VLAN tagging and (up to 8) Multiple SSID for network segmentation WMM (Wi-Fi) Multimedia Certified Rogue AP detection Setup/ Management Windows-based AP manager utility Web-based management (HTTP and HTTPS) Remote management using Telnet and SSH Built-in MIB for SNMP management (SNMPv3) System log
- 43. DAP-2553 Features Configurable Operation Access Point Modes WDS with AP WDS/Bridge (No AP Broadcasting) Connectivity Performance 802.11a/g/n wireless standard Dual-band operation (2.4GHz or 5GHz) Up to 300Mbps Wireless Speed Ethernet port with 802.3x flow control Security/ QoS 64/128/152-bit WEP data encryption WPA/WPA2 Personal and Enterprise security with EAP and PSK support WPA PSK/AES over WDS User access control MAC address filtering Wireless Station Partition (STA), 802.1Q VLAN tagging and Multiple SSID (Up to 16) for network segmentation WMM (Wi-Fi) Multimedia Certified Rogue AP detection Setup/ Management Windows-based AP manager utility Web-based management (HTTP and HTTPS) Remote management using Telnet and SSH Built-in MIB for SNMP management (SNMPv3) System log
- 44. DAP-2590 Features Configurable Operation Access Point Modes WDS with AP WDS/Bridge (No AP Broadcasting) Connectivity Performance 802.11a/g/n wireless standard Dual-band operation (2.4GHz or 5GHz) Up to 300Mbps Wireless Speed Ethernet port with 802.3x flow control Security/ QoS 64/128/152-bit WEP data encryption WPA/WPA2 Personal and Enterprise security with EAP and PSK support WPA PSK/AES over WDS User access control MAC address filtering Wireless Station Partition (STA), 802.1Q VLAN tagging and Multiple SSID (Up to 16) for network segmentation WMM (Wi-Fi) Multimedia Certified Rogue AP detection Setup/ Management Windows-based AP manager utility Web-based management (HTTP and HTTPS) Remote management using Telnet and SSH Built-in MIB for SNMP management (SNMPv3) System log