www.cj-telecom.com

Redes WiFi. Problemas y Soluciones.

Carlos A. Pino Carbajalcarlospino@cj-telecomwww.cj-telecom.comGerente IT – CJ TelecomD-link Regional TrainerTrujillo, Octubre 2009.

AGENDA

Usos de las Redes WiFi.Problemas de Seguridad de las WiFi.Tipos de Ataque WiFi.Seguridad en la WiFi.Demo WPA/WPA2-PSK. Passphrase Inseguro. ¿Cómo asegurar una WiFi?802.1X.

Usos de las Redes Wi-FiProporcionar Conectividad y Movilidad• Empresas• Campus Universitarios• HospitalesHot-Spots• Hoteles• Aeropuertos• CibercafésRedes Acceso Público• Municipios wireless• Transporte Público• FoneraJuegos• Consolas

WiFi Abiertas. Seguridad “0”.

Filtrado MAC / Ocultación SSID

WEP (Wired Equivalent Privacy)

WPA/WPA2 (WiFi Protected Access)

Seguridad en las WiFi

WiFi Abiertas.

• Sigue siendo relativamente factible realizar un escaneo en búsqueda de redes inalámbricas accesibles y encontrar redes sin ningún tipo de seguridad aplicada, aunque es cierto que cada vez es menor el número de usuarios que dejan “abiertas” sus redes.

Configurar Filtrado de MAC o Ocultar el SSID. No es suficiente.

• Con un Packet Sniffer (Commview) podemos capturar tráfico y extraer la MAC de clientes válidos o el ESSID de la red, aunque esté oculto.

• Con A-MAC/Etherchange podemos hacer “spoof” de una MAC válida.

Seguridad en las WiFi

Características del Filtrado MAC• Permite controlar que usuarios pueden conectarse a la Red basándose en la

dirección MAC de la tarjeta cliente.• Raramente se utiliza como único mecanismo de seguridad, ya que es fácilmente

hackeable utilizando aplicativos como A-MAC/Etherchange que permiten modificar la MAC de nuestro cliente por una válida.

Lista de direcciones MAC

permitidas

AABBCC

User AMAC: AA

User EMAC: EE

Usuario A intenta conectarse a la red

El AP chequea si la MAC del cliente

está en la lista

La dirección MAC (AA) está

en la lista

Permite que el Usuario A se conecte a la red

Usuario E intenta conectarse a la red

La dirección MAC (EE) no está en la lista

El Usuario E no puede conectarse a la red

Filtrado MAC

Filtrado MAC

MAC Spoofing (EtherChange)

Ocultación SSIDLa ocultación del SSID no garantiza que un atacante pueda detectar la red y conectarse a ella, si no hemos aplicado ningún otro mecanismo de seguridad.

Punto de Acceso configurado con WEPUsuario A

Usuario A y Usuario B quieren conectarse a la Red

Envía Petición de Asociación Recibe la Petición

He recibido la Petición,¿Cuál es la Clave?

Envía Petición de Asociación

Usuario B

Clave Compartida = abcQuiero

conectarme a la Red

Quiero conectarme a la Red

Desafío

Clave Compartida = abcClave Compartida = xyz

Respuesta al Desafío Respuesta al Desafío

Key = abcUsuario A, Password correcto.

Usuario autenticado

Password correcto

Password incorrecto

Usuario A conectado a la Red!!!

Usuario B, Password incorrectoPetición Denegada

Petición DenegadaUsuario B no conectado a la Red!!!

Desafío

Key = xyz

➀ ➀

➁ ➁➂ ➂

➃

➄

Wired Equivalent Privacy (WEP)Como funciona WEP…

Cómo crackear WEP …• Basado en Algoritmo de Encriptación (RC4) / Clave Secreta +IV (de 64 ó 128bits)• Ataque mediante Airodump+Aireplay+AirCrack. Sólo necesitamos capturar

suficientes paquetes (64 bits → ~150.000 IVs / 128 bits → ~500.000 IVs) y aplicar Aircrack para crackear la clave WEP.

Wired Equivalent Privacy (WEP)

Características de WPA/WPA2

• Modo Personal (PSK) – Protege la Red de accesos no autorizados utilizando un Passphrase

• Modo Enterprise (EAP) – Autentica el acceso a la Red de los usuarios mediante un servidor RADIUS

• WPA2 es compatible con WPA, siendo posible comunicar dispositivos que utilicen diferentes métodos de autenticación

• WPA2 es similar a WPA, la principal diferencia es que WPA2 utiliza un sistema de encriptación más avanzado

WPA WPA2

Modo Enterprise (Gran Empresa, Administración, Educación,…)

Autenticación: IEEE 802.1X/EAP

Encriptación: TKIP/MIC

Autenticación: IEEE 802.1X/EAP

Encriptación: AES-CCMP

Modo Personal (Pymes, Casa,…)

Autenticación: PSKEncriptación: TKIP/MIC

Autenticación: PSKEncriptación: AES-CCMP

Wi-Fi Protected Access (WPA/WPA2)

Diferentes métodos de autenticación para diferentes entornos

WPA/WPA2 proporciona un método de autenticación robusto utilizando claves de encriptación dinámicas por usuario, sesión y paquete de datosLa fiabilidad de este método de autenticación reside en la robustez de la Passphrase que utilizemos, ya que existen mecanismos para capturar el handshake y crakear la clave WPA si esta es sencilla.

Punto de Acceso configurado con

WPA/WPA2

Usuario

Solicitud de Asociación Compare the encrypted keyClave Encriptada

Clave Correcta!Permite que el Usuario

se conecte a la red

El cliente se conecta a la Red con éxito

Usuario envía información

Datos + Clave1Compara la Clave Encriptada

Clave Correcta!Datos Recibidos

Cada vez que el Usuario envía información al AP, los datos se cifrán con una clave dinámica

Wi-Fi Protected Access (WPA/WPA2)

¿Es posible crakear WPA/WPA2-PSK?Configuramos el Punto de Acceso• WPA2-PSK• Passphrase Inseguro = Barcelona

Configuramos el Cliente

Commview para WiFi

Commview para WiFi

Cain. 802.11 Captures.

Cain. Ataque Diccionario.

Commview para WiFi

Reconstrucción Sesión TCP

Reconstrucción Sesión TCP

Pasos obligatorios• Modificar el SSID por defecto• Cambiar contraseña de Administración del AP• Utilizar encriptación WPA/WPA2-PSK (Passphrase Seguro) ó WPA/WPA2-EAP

Pasos opcionales• Ocultar SSID (deshabilitar el broadcast SSID)• Configurar Filtrado MAC• Cambiar las claves de forma regular• Configurar máximo número de usuarios que queremos que se conecten al AP• Desactivar DHCP• Configurar Wireless LAN Scheduler / Apagar el AP cuando no se utilice• Configurar lista de Rogue APs• Control de Potencia para cubrir exclusivamente el área que deseamos

¿Cómo asegurar una WiFi?

http://www.microsoft.com/protect/yourself/password/checker.mspx

¿Cómo elegir un Passphrase Seguro?

802.1XProtocolo 802.1X• El protocolo 802.1X es un estándar de control de

acceso desarrollado por el IEEE que permite usar diferente mecanismos de autenticación (EAP-PEAP/EAP-TLS/EAP-TTLS/EAP-SIM/…).

• Se basa en el concepto de puerto, visto éste como el punto a través del que se puede acceder a un servicio proporcionado por un dispositivo (en nuestro caso, un Punto de Acceso).

• Antes de que el cliente sea autenticado sólo se deja pasar tráfico EAPOL (Extensible Authentication Protocol over LAN). Una vez el cliente se valida se permite el tráfico normal.

Servidor RADIUS

Punto Acceso

Authenticator

SupplicantUsuario

SupplicantRADIUS Server(Authentication

Server)

Authenticator

(Punto de Acceso)

Port Authorized

Port Unauthorized

EAPOL-Start

EAP-Request/Identity

EAP-Response/Identity RADIUS Access-Request

RADIUS Access-ChallengeEAP-Request/OTP

EAP-Response/OTP RADIUS Access-Request

RADIUS Access-AcceptEAP-Success

EAPOL-Logoff

* OTP (One-Time-Password)

RADIUS Account-Stop

RADIUS Ack

1

2

3

4

5

Autenticación 802.1X

Usuario

Características de un Servidor RADIUS• Protocolo de Autenticación / Autorización / Accounting (AAA) de usuarios de

remotos de forma centralizada• El Servidor RADIUS almacena los datos de autenticación de los usuarios/clientes

de forma local o en una BBDD externa• RADIUS accounting permite registrar eventos utilizados con fines estadísticos y

para monitorización en general de la red.

Beneficios de RADIUS• RADIUS proporciona gestión la autenticación de forma centralizada

(usuarios/passwords)• Incrementa de forma significativa la seguridad en el acceso a la red. Cuando un

usuario intenta conectarse a un Punto de Acceso (cliente RADIUS), éste envía la información de autenticación del usuario al Servidor RADIUS, parando todo tipo de tráfico hasta que el usuario es validado. La comunicación entre el Punto de Acceso y el Servidor de RADIUS está encriptada mediante una clave “Shared Secret”.

Remote Auth. Dial-In User Server (RADIUS)

PEAP Mschap v2

1. Conexión del Cliente

2. Autenticación del Cliente Autenticación de Servidor

Intercambio de claves

3.

5.

4. Cifrado de WLAN (wep, wpa)

Distribución de clavesAutorización

1. Intento de conexión a la WLAN (comprobación del SSID y credenciales)

2. AP solo permite conexiones seguras (802.1x), responde con un desafío y configura un canal restringido para que el cliente se comunique solamente con el RADIUS server

3. RADIUS comprueba credenciales de cliente, en relación con el directorio, comprueba si el cliente cuenta con los permisos de acceso de acuerdo al directorio y a las directivas de acceso remoto

3. Si cliente logra el acceso, RADIUS transmitirá la clave maestra del cliente al punto de acceso inalámbrico

4. El punto de acceso une la conexión de la WLAN del cliente a la LAN interna, lo que posibilita que el cliente se comunique con total libertad con los sistemas de la red interna

5. En caso de que el cliente necesitara una dirección IP, podría solicitar el alquiler de un protocolo de configuración dinámica de host (DHCP) de un

Servidor de la LAN.

3. Autorización4. Intercambio de claves

5. Cifrado WEP/WPA

1. Inscripción de Certificados

2. Identificación del cliente 2. Solicitud de Autenticación del cliente

6.

EAP-TLS1. El cliente inalámbrico debe establecer credenciales con el servicio de autenticación antes de que se establezca el acceso a la red inalámbrica. Obtendrá el certificado a través de disco flexible o por red cableada.

2. AP solo permite conexiones seguras (802.1x), responde con un desafío y configura un canal restringido para que el cliente se comunique solamente con el RADIUS server

2. El cliente intenta realizar la autenticación con el servidor RADIUS a través del canal restringido por medio de 802.1X.

3. RADIUS comprueba credenciales de cliente, en relación con el directorio, comprueba si el cliente cuenta con los permisos de acceso de acuerdo al directorio y a las directivas de acceso remoto, seguidamente, el servidor RADIUS transmite la decisión al punto de

acceso.

4. RADIUS transmitirá la clave maestra del cliente al punto de acceso inalámbrico. Con ello, el cliente y el punto de acceso comparten información de clave común que pueden utilizar para cifrar y descifrar el tráfico de WLAN que se desplaza entre ellos.

5. El punto de acceso une la conexión de la WLAN del cliente a la LAN interna, lo que posibilita que el cliente se comunique con total libertad con los sistemas de la red interna

6. En caso de que el cliente necesitara una dirección IP, podría solicitar el alquiler de un protocolo de configuración dinámica de host (DHCP) de un

Servidor de la LAN.

Configuración cliente WPA2-EAP

Configuración cliente WPA2-EAP

Instalación Certificado Servidor

Gracias!