redes wifi. problemas y soluciones

Download Redes WiFi. Problemas y Soluciones

If you can't read please download the document

Post on 16-Apr-2017

8.591 views

Category:

Technology

0 download

Embed Size (px)

TRANSCRIPT

  • www.cj-telecom.com

  • Redes WiFi. Problemas y Soluciones.

    Carlos A. Pino Carbajalcarlospino@cj-telecomwww.cj-telecom.comGerente IT CJ TelecomD-link Regional TrainerTrujillo, Octubre 2009.

    *

  • AGENDAUsos de las Redes WiFi.Problemas de Seguridad de las WiFi.Tipos de Ataque WiFi.Seguridad en la WiFi.Demo WPA/WPA2-PSK. Passphrase Inseguro. Cmo asegurar una WiFi?802.1X.

    *

  • Usos de las Redes Wi-FiProporcionar Conectividad y Movilidad

    EmpresasCampus UniversitariosHospitalesHot-Spots

    HotelesAeropuertosCibercafsRedes Acceso Pblico

    Municipios wirelessTransporte PblicoFoneraJuegos

    Consolas

    *

  • WiFi Abiertas. Seguridad 0.

    Filtrado MAC / Ocultacin SSID

    WEP (Wired Equivalent Privacy)

    WPA/WPA2 (WiFi Protected Access)

    Seguridad en las WiFi

    *

  • WiFi Abiertas.

    Sigue siendo relativamente factible realizar un escaneo en bsqueda de redes inalmbricas accesibles y encontrar redes sin ningn tipo de seguridad aplicada, aunque es cierto que cada vez es menor el nmero de usuarios que dejan abiertas sus redes.

    Configurar Filtrado de MAC o Ocultar el SSID. No es suficiente.

    Con un Packet Sniffer (Commview) podemos capturar trfico y extraer la MAC de clientes vlidos o el ESSID de la red, aunque est oculto.

    Con A-MAC/Etherchange podemos hacer spoof de una MAC vlida.Seguridad en las WiFi

    *

  • Caractersticas del Filtrado MAC

    Permite controlar que usuarios pueden conectarse a la Red basndose en la direccin MAC de la tarjeta cliente.Raramente se utiliza como nico mecanismo de seguridad, ya que es fcilmente hackeable utilizando aplicativos como A-MAC/Etherchange que permiten modificar la MAC de nuestro cliente por una vlida.

    Usuario A intenta conectarse a la redEl AP chequea si la MAC del cliente est en la listaLa direccin MAC (AA) est en la listaPermite que el Usuario A se conecte a la redUsuario E intenta conectarse a la redLa direccin MAC (EE) no est en la listaEl Usuario E no puede conectarse a la redFiltrado MAC

    Lista de direcciones MAC permitidasAABBCC

    *

  • Filtrado MAC

    *

  • MAC Spoofing (EtherChange)

    *

  • Ocultacin SSIDLa ocultacin del SSID no garantiza que un atacante pueda detectar la red y conectarse a ella, si no hemos aplicado ningn otro mecanismo de seguridad.

    *

  • Usuario A y Usuario B quieren conectarse a la RedEnva Peticin de AsociacinRecibe la PeticinHe recibido la Peticin,Cul es la Clave?Enva Peticin de AsociacinClave Compartida = abcQuiero conectarme a la RedQuiero conectarme a la RedClave Compartida = abcClave Compartida = xyzRespuesta al DesafoRespuesta al DesafoUsuario A, Password correcto.Usuario autenticadoUsuario A conectado a la Red!!!Usuario B, Password incorrectoPeticin DenegadaPeticin DenegadaUsuario B no conectado a la Red!!!Wired Equivalent Privacy (WEP)Como funciona WEP

    *

  • Cmo crackear WEP Basado en Algoritmo de Encriptacin (RC4) / Clave Secreta +IV (de 64 128bits)Ataque mediante Airodump+Aireplay+AirCrack. Slo necesitamos capturar suficientes paquetes (64 bits ~150.000 IVs / 128 bits ~500.000 IVs) y aplicar Aircrack para crackear la clave WEP.

    Wired Equivalent Privacy (WEP)

    *

  • Caractersticas de WPA/WPA2

    Modo Personal (PSK) Protege la Red de accesos no autorizados utilizando un PassphraseModo Enterprise (EAP) Autentica el acceso a la Red de los usuarios mediante un servidor RADIUSWPA2 es compatible con WPA, siendo posible comunicar dispositivos que utilicen diferentes mtodos de autenticacinWPA2 es similar a WPA, la principal diferencia es que WPA2 utiliza un sistema de encriptacin ms avanzadoWi-Fi Protected Access (WPA/WPA2)Diferentes mtodos de autenticacin para diferentes entornos

    WPAWPA2Modo Enterprise (Gran Empresa, Administracin, Educacin,)Autenticacin: IEEE 802.1X/EAPEncriptacin: TKIP/MICAutenticacin: IEEE 802.1X/EAPEncriptacin: AES-CCMPModo Personal (Pymes, Casa,)Autenticacin: PSKEncriptacin: TKIP/MICAutenticacin: PSKEncriptacin: AES-CCMP

    *

  • WPA/WPA2 proporciona un mtodo de autenticacin robusto utilizando claves de encriptacin dinmicas por usuario, sesin y paquete de datosLa fiabilidad de este mtodo de autenticacin reside en la robustez de la Passphrase que utilizemos, ya que existen mecanismos para capturar el handshake y crakear la clave WPA si esta es sencilla.

    Solicitud de AsociacinCompare the encrypted keyClave Correcta!Permite que el Usuario se conecte a la redEl cliente se conecta a la Red con xitoUsuario enva informacinCompara la Clave EncriptadaClave Correcta!Datos RecibidosCada vez que el Usuario enva informacin al AP, los datos se cifrn con una clave dinmicaWi-Fi Protected Access (WPA/WPA2)

    *

  • Es posible crakear WPA/WPA2-PSK?Configuramos el Punto de Acceso

    WPA2-PSKPassphrase Inseguro = Barcelona

    *

  • Configuramos el Cliente

    *

  • Commview para WiFi

    *

  • Commview para WiFi

    *

  • Cain. 802.11 Captures.

    *

  • Cain. Ataque Diccionario.

    *

  • Commview para WiFi

    *

  • Reconstruccin Sesin TCP

    *

  • Reconstruccin Sesin TCP

    *

  • Pasos obligatorios

    Modificar el SSID por defectoCambiar contrasea de Administracin del APUtilizar encriptacin WPA/WPA2-PSK (Passphrase Seguro) WPA/WPA2-EAP

    Pasos opcionales

    Ocultar SSID (deshabilitar el broadcast SSID)Configurar Filtrado MACCambiar las claves de forma regularConfigurar mximo nmero de usuarios que queremos que se conecten al APDesactivar DHCPConfigurar Wireless LAN Scheduler / Apagar el AP cuando no se utiliceConfigurar lista de Rogue APsControl de Potencia para cubrir exclusivamente el rea que deseamosCmo asegurar una WiFi?

    *

  • http://www.microsoft.com/protect/yourself/password/checker.mspx

    Cmo elegir un Passphrase Seguro?

    *

  • 802.1XProtocolo 802.1X

    El protocolo 802.1X es un estndar de control de acceso desarrollado por el IEEE que permite usar diferente mecanismos de autenticacin (EAP-PEAP/EAP-TLS/EAP-TTLS/EAP-SIM/).

    Se basa en el concepto de puerto, visto ste como el punto a travs del que se puede acceder a un servicio proporcionado por un dispositivo (en nuestro caso, un Punto de Acceso).

    Antes de que el cliente sea autenticado slo se deja pasar trfico EAPOL (Extensible Authentication Protocol over LAN). Una vez el cliente se valida se permite el trfico normal.

    Servidor RADIUSPunto AccesoAuthenticatorSupplicant

    *

  • SupplicantRADIUS Server(Authentication Server)Authenticator(Punto de Acceso)

    Port AuthorizedPort UnauthorizedEAPOL-StartEAP-Request/IdentityEAP-Response/IdentityRADIUS Access-RequestRADIUS Access-ChallengeEAP-Request/OTPEAP-Response/OTPRADIUS Access-RequestRADIUS Access-AcceptEAP-SuccessEAPOL-Logoff* OTP (One-Time-Password)RADIUS Account-StopRADIUS Ack12345Autenticacin 802.1X

    *

  • Caractersticas de un Servidor RADIUS

    Protocolo de Autenticacin / Autorizacin / Accounting (AAA) de usuarios de remotos de forma centralizadaEl Servidor RADIUS almacena los datos de autenticacin de los usuarios/clientes de forma local o en una BBDD externaRADIUS accounting permite registrar eventos utilizados con fines estadsticos y para monitorizacin en general de la red.

    Beneficios de RADIUS

    RADIUS proporciona gestin la autenticacin de forma centralizada (usuarios/passwords)Incrementa de forma significativa la seguridad en el acceso a la red. Cuando un usuario intenta conectarse a un Punto de Acceso (cliente RADIUS), ste enva la informacin de autenticacin del usuario al Servidor RADIUS, parando todo tipo de trfico hasta que el usuario es validado. La comunicacin entre el Punto de Acceso y el Servidor de RADIUS est encriptada mediante una clave Shared Secret.Remote Auth. Dial-In User Server (RADIUS)

    *

  • PEAP Mschap v21. Conexin del Cliente2. Autenticacin del ClienteAutenticacin de ServidorIntercambio de claves3.5.1. Intento de conexin a la WLAN (comprobacin del SSID y credenciales)2. AP solo permite conexiones seguras (802.1x), responde con un desafo y configura un canal restringido para que el cliente se comunique solamente con el RADIUS server3. RADIUS comprueba credenciales de cliente, en relacin con el directorio, comprueba si el cliente cuenta con los permisos de acceso de acuerdo al directorio y a las directivas de acceso remoto3. Si cliente logra el acceso, RADIUS transmitir la clave maestra del cliente al punto de acceso inalmbrico4. El punto de acceso une la conexin de la WLAN del cliente a la LAN interna, lo que posibilita que el cliente se comunique con total libertad con los sistemas de la red interna 5. En caso de que el cliente necesitara una direccin IP, podra solicitar el alquiler de un protocolo de configuracin dinmica de host (DHCP) de un Servidor de la LAN.

  • 3. Autorizacin4. Intercambio de claves5. Cifrado WEP/WPA6. EAP-TLS1. El cliente inalmbrico debe establecer credenciales con el servicio de autenticacin antes de que se establezca el acceso a la red inalmbrica. Obtendr el certificado a travs de disco flexible o por red cableada.2. AP solo permite conexiones seguras (802.1x), responde con un desafo y configura un canal restringido para que el cliente se comunique solamente con el RADIUS server2. El cliente intenta realizar la autenticacin con el servidor RADIUS a travs del canal restringido por medio de 802.1X. 3. RADIUS comprueba credenciales de cliente, en relacin con el directorio, comprueba si el cliente cuenta con los permisos de acceso de acuerdo al directorio y a las directivas de acceso remoto, seguidamente, el servidor RADIUS transmite la decisin al punto de acceso.4. RADIUS transmitir la clave maestra