seguridad wifi
DESCRIPTION
Charla impartida por Xavi Campos, de D-Link, en el Curso de Seguidad Informatica de la Universidad de Salamana 2009.TRANSCRIPT
Montar un red Montar un red inalámbrica segura, inalámbrica segura, un reto posibleun reto posible
Xavier CamposProduct Manager Spain & Portugal
www.dlink.es
Salamanca, 9 de Julio 2009.
AGENDA
Usos de las Redes WiFi.
Problemas de Seguridad de las WiFi.
Tipos de Ataque WiFi.
Seguridad en la WiFi.
Demo WPA/WPA2-PSK. Passphrase Inseguro.
¿Cómo securizar una WiFi?
802.1X.
Demo WPA2-EAP.
D-Link Wireless AP Porfolio.
Usos de las Redes Wi-Fi
Proporcionar Conectividad y Movilidad•Empresas
•Campus Universitarios
•Hospitales
Hot-Spots•Hoteles
•Aeropuertos
•Cibercafés
Redes Acceso Público•Municipios wireless
•Transporte Público
•Fonera
Gaming•Consolas
WiFi…el anticonceptivo del Siglo XXI
WiFi…¿es realmente seguro?
El acceso de usuarios no autorizados a nuestra red para robar información o para hacer uso de nuestra conexión a Internet
El área de cobertura inalámbrica excede los
límites de la oficina
Usuario No Autorizado
Red Inalámbrica Detectada!!!Intentando conectar se a la Red…
Conexión existosa a la Red Inalámbrica!!!
PELIGRO!!!
Problemas de Seguridad de las WiFi
“Los Malos” intentan conseguir información importante/confidencial para después poder venderla
Hot-Spot
Usuario A
Punto de Acceso
Usuario A navega por Internet y envía información confidencial
Información Confidencial enviada al AP
“Los Malos” intentan robar la información
INFORMACIÓN CAPTURADA!!!
Man-in-the-Middle / Evil TwinEl atacante recibe todo la información(Passwords, # Tarjeta de Crédito, etc)
PELIGRO!!!
Hacker
Riesgos de las WiFi en Áreas Públicas
Problemas de Seguridad de las WiFi
Tipos de Ataque WiFiAtaques Pasivos•Packet Sniffing
El tráfico de redes inalámbricas puede espiarse con mucha más facilidad que en una LAN.
Basta con disponer de un portátil con una tarjeta inalámbrica y un software para capturar tráfico.
•Análisis de Tráfico El atacante obtiene información examinando el tráfico y sus patrones: a
qué hora se encienden ciertos equipos, cuánto tráfico envían, durante cuánto tiempo,…
Ataques Activos•Suplantación
Utilizando un Sniffer podremos obtener direcciones MAC/ESSID válidos El análisis de tráfico nos ayudará a saber a qué horas debemos
conectarnos suplantando a un usuario u otro. Otra forma consiste en instalar puntos de acceso ilegítimos (rogue) para
engañar a usuarios legítimos para que se conecten a este AP en lugar del autorizado. Ataque Evil Twin.
Tipos de Ataque WiFi
Ataques Activos
•Modificación El atacante borra, manipula, añade o reordena los mensajes transmitidos
(ataque MITM).
•Reactuación Inyectar en la red paquetes interceptados utilizando un Sniffer para repetir
operaciones que habían sido realizadas por el usuario legítimo.
•Denegación de Servicio El atacante puede generar interferencias hasta que se produzcan tantos
errores en la transmisión que la velocidad caiga a extremos inaceptables o la red deje de operar totalmente.
Otros ataques: inundar con solicitudes de autenticación, solicitudes de deautenticación de usuarios legítimos, tramas RTS/CTS para silenciar la red, etc.
WiFi Abiertas.
• Sigue siendo relativamente factible realizar un escaneo en búsqueda de redes inalámbricas accesibles y encontrar redes sin ningún tipo de seguridad aplicada, aunque es cierto que cada vez es menor el número de usuarios que dejan “abiertas” sus redes.
Configurar Filtrado de MAC o Ocultar el SSID. No es suficiente.
• Con un Packet Sniffer (Commview) podemos capturar tráfico y extraer la MAC de clientes válidos o el ESSID de la red, aunque esté oculto.
• Con A-MAC/Etherchange podemos hacer “spoof” de una MAC válida.
Seguridad en las WiFi
Características del Filtrado MAC
• Permite controlar que usuarios pueden conectarse a la Red basándose en la dirección MAC de la tarjeta cliente.
• Raramente se utiliza como único mecanismo de seguridad, ya que es fácilmente hackeable utilizando aplicativos como A-MAC/Etherchange que permiten modificar la MAC de nuestro cliente por una válida.
Lista de direcciones MAC
permitidas
AA
BB
CC
User AMAC: AA
User EMAC: EE
Usuario A intenta conectarse a la red
El AP chequea si la MAC del cliente
está en la lista
La dirección MAC (AA) está
en la lista
Permite que el Usuario A se conecte a la red
Usuario E intenta conectarse a la red
La dirección MAC (EE) no está en la lista
El Usuario E no puede conectarse a la red
Filtrado MAC
Filtrado MAC
MAC Spoofing (EtherChange)
Ocultación SSID
La ocultación del SSID no garantiza que un atacante pueda detectar la red y conectarse a ella, si no hemos aplicado ningún otro mecanismo de seguridad.
Punto de Acceso configurado con WEPUsuario A
Usuario A y Usuario B quieren conectarse a la Red
Envía Petición de Asociación Recibe la Petición
He recibido la Petición,¿Cuál es la Clave?
Envía Petición de Asociación
Usuario B
Clave Compartida = abcQuiero
conectarme a la Red
Quiero conectarme a la Red
Desafío
Clave Compartida = abcClave Compartida = xyz
Respuesta al Desafío Respuesta al Desafío
Key = abc
Usuario A, Password correcto.Usuario autenticado
Password correcto
Password incorrecto
Usuario A conectado a la Red!!!
Usuario B, Password incorrectoPetición Denegada
Petición DenegadaUsuario B no conectado a la Red!!!
Desafío
Key = xyz
➀ ➀
➁ ➁➂ ➂
➃
➄
Wired Equivalent Privacy (WEP)
Como funciona WEP…
Cómo crackear WEP …• Basado en Algoritmo de Encriptación (RC4) / Clave Secreta +IV (de 64 ó 128bits)
• Ataque mediante Airodump+Aireplay+AirCrack. Sólo necesitamos capturar suficientes paquetes (64 bits → ~150.000 IVs / 128 bits → ~500.000 IVs) y aplicar Aircrack para crackear la clave WEP.
Wired Equivalent Privacy (WEP)
Características de WPA/WPA2
• Modo Personal (PSK) – Protege la Red de accesos no autorizados utilizando un Passphrase
• Modo Enterprise (EAP) – Autentica el acceso a la Red de los usuarios mediante un servidor RADIUS
• WPA2 es compatible con WPA, siendo posible comunicar dispositivos que utilicen diferentes métodos de autenticación
• WPA2 es similar a WPA, la principal diferencia es que WPA2 utiliza un sistema de encriptación más avanzado
WPA WPA2
Modo Enterprise (Gran Empresa, Administración, Educación,…)
Autenticación: IEEE 802.1X/EAP
Encriptación: TKIP/MIC
Autenticación: IEEE 802.1X/EAP
Encriptación: AES-CCMP
Modo Personal (Pymes, Casa,…)
Autenticación: PSKEncriptación: TKIP/MIC
Autenticación: PSKEncriptación: AES-CCMP
Wi-Fi Protected Access (WPA/WPA2)
Diferentes métodos de autenticación para diferentes entornos
WPA/WPA2 proporciona un método de autenticación robusto utilizando claves de encriptación dinámicas por usuario, sesión y paquete de datos
La fiabilidad de este método de autenticación reside en la robustez de la Passphrase que utilizemos, ya que existen mecanismos para capturar el handshake y crackear la clave WPA si esta es sencilla.
Punto de Acceso configurado con
WPA/WPA2
Usuario
Solicitud de Asociación Compare the encrypted keyClave Encriptada
Clave Correcta!Permite que el Usuario
se conecte a la red
El cliente se conecta a la Red con éxito
Usuario envía información
Datos + Clave1
Compara la Clave Encriptada
Clave Correcta!Datos Recibidos
Cada vez que el Usuario envía información al AP, los datos se cifrán con una clave dinámica
Wi-Fi Protected Access (WPA/WPA2)
¿Es posible crakear WPA/WPA2-PSK?
Configuramos el Punto de Acceso•WPA2-PSK
•Passphrase Inseguro = ********
Configuramos el Cliente
Commview para WiFi
Commview para WiFi
Cain. 802.11 Captures.
Cain. Ataque Diccionario.
Commview para WiFi
Reconstrucción Sesión TCP
Reconstrucción Sesión TCP
¿CÓMO SECURIZAR UNA WIFI?
SITUACIONES A EVITAR...
¿Cómo securizar una WiFi?
Pasos obligatorios•Cambiar contraseña de Administración del AP
•Modificar el SSID por defecto
•Utilizar encriptación WPA/WPA2-PSK (Passphrase Seguro) ó WPA/WPA2-EAP
Pasos opcionales•Ocultar SSID (deshabilitar el broadcast SSID)
•Configurar Filtrado MAC
•Cambiar las claves de forma regular
•Desactivar DHCP
•Configurar Wireless LAN Scheduler / Apagar el AP cuando no se utilice
•Configurar lista de Rogue APs
•Control de Potencia para cubrir exclusivamente el área que deseamos
http://www.microsoft.com/protect/yourself/password/checker.mspx
¿Cómo elegir un Passphrase Seguro?
802.1X
Protocolo 802.1X
• El protocolo 802.1X es un estándar de control de acceso desarrollado por el IEEE que permite usar diferente mecanismos de autenticación (EAP-PEAP/EAP-TLS/EAP-TTLS/EAP-SIM/…).
• Se basa en el concepto de puerto, visto éste como el punto a través del que se puede acceder a un servicio proporcionado por un dispositivo (en nuestro caso, un Punto de Acceso).
• Antes de que el cliente sea autenticado sólo se deja pasar tráfico EAPOL (Extensible Authentication Protocol over LAN). Una vez el cliente se valida se permite el tráfico normal.
Servidor RADIUS
Punto Acceso
Authenticator
SupplicantUsuario
SupplicantRADIUS Server(Authentication
Server)
Authenticator
(Punto de Acceso)
Port Authorized
Port Unauthorized
EAPOL-Start
EAP-Request/Identity
EAP-Response/Identity RADIUS Access-Request
RADIUS Access-ChallengeEAP-Request/OTP
EAP-Response/OTP RADIUS Access-Request
RADIUS Access-AcceptEAP-Success
EAPOL-Logoff
* OTP (One-Time-Password)
RADIUS Account-Stop
RADIUS Ack
1
2
3
4
5
Autenticación 802.1X
Usuario
Características de un Servidor RADIUS•Protocolo de Autenticación / Autorización / Accounting (AAA) de usuarios de remotos
de forma centralizada
•El Servidor RADIUS almacena los datos de autenticación de los usuarios/clientes de forma local o en una BBDD externa
•RADIUS accounting permite registrar eventos utilizados con fines estadísticos y para monitorización en general de la red.
Beneficios de RADIUS•RADIUS proporciona gestión la autenticación de forma centralizada
(usuarios/passwords)
• Incrementa de forma significativa la seguridad en el acceso a la red. Cuando un usuario intenta conectarse a un Punto de Acceso (cliente RADIUS), éste envía la información de autenticación del usuario al Servidor RADIUS, parando todo tipo de tráfico hasta que el usuario es validado. La comunicación entre el Punto de Acceso y el Servidor de RADIUS está encriptada mediante una clave “Shared Secret”.
Remote Access Dial-Up Service (RADIUS)
Configuración cliente WPA2-EAP
Configuración cliente WPA2-EAP
Instalación Certificado Servidor
D-Link Wireless AP Portfolio
DWL-2100AP Features
Configurable Operation Modes
Access Point WDS with AP WDS AP Repeater AP Client
Connectivity Performance 802.11g wireless standard Up to 108Mbps (Turbo Mode) Wireless Speed Wireless connection to Ethernet network/ servers through 10/100Base-Tx port AP grouping for Load Balancing
Security/ QoS 64/128/152-bit WEP data encryption WPA/WPA2 Personal and Enterprise security with TKIP and AES support User access control MAC address filtering Wireless Station Partition (STA), 802.1Q VLAN tagging and Multiple SSID (Up to 8) for network segmentation WMM (Wi-Fi) Multimedia Certified
Setup/ Management Windows-based AP manager utility Web-based management with SSL Remote management using Telnet or SSH Built-in MIB for SNMP management (SNMPv3) IP address limit for management access System log
DWL-2200AP Features
Configurable Operation Modes
Access Point WDS with AP WDS
Connectivity Performance 802.11g wireless standard 802.3af Power over Ethernet Up to 108Mbps (Turbo Mode) Wireless Speed Wireless connection to Ethernet network/ servers through 10/100Base-Tx port AP grouping for Load Balancing
Security/ QoS 64/128/152-bit WEP data encryption WPA/WPA2 Personal and Enterprise security with TKIP and AES support User access control MAC address filtering Wireless Station Partition (STA), 802.1Q VLAN tagging and Multiple SSID (Up to 4) for network segmentation WMM (Wi-Fi) Multimedia Certified
Setup/ Management Windows-based AP manager utility Web-based management (HTTP) Remote management using Telnet Built-in MIB for SNMP management (SNMPv3) System log
DWL-3200AP Features
Configurable Operation Modes
Access Point WDS with AP WDS
Connectivity Performance 802.11g wireless standard 802.3af Power over Ethernet Up to 108Mbps (Turbo Mode) Wireless Speed
Security/ QoS 64/128/152-bit WEP data encryption WPA/WPA2 Personal and Enterprise security with TKIP and AES support User access control MAC address filtering Wireless Station Partition (STA), 802.1Q VLAN tagging and Multiple SSID (Up to 8) for network segmentation WMM (Wi-Fi) Multimedia Certified Rogue AP detection
Setup/ Management Windows-based AP manager utility Web-based management (HTTP and HTTPS) Remote management using Telnet and SSH Built-in MIB for SNMP management (SNMPv3) System log
DWL-8200AP Features
Configurable Operation Modes
Access Point WDS with AP WDS/Bridge (No AP Broadcasting)
Connectivity Performance 802.11a/g wireless standard Dual-band operation (2.4GHz and 5GHz) Up to 108Mbps (Turbo Mode) Wireless Speed Dual Ethernet ports with 802.3x flow control
Security/ QoS 64/128/152-bit WEP data encryption WPA/WPA2 Personal and Enterprise security with EAP and PSK support WPA PSK/AES over WDS User access control MAC address filtering Wireless Station Partition (STA), 802.1Q VLAN tagging and Multiple SSID (Up to 16) for network segmentation WMM (Wi-Fi) Multimedia Certified Rogue AP detection
Setup/ Management Windows-based AP manager utility Web-based management (HTTP and HTTPS) Remote management using Telnet and SSH Built-in MIB for SNMP management (SNMPv3) System log
DWL-2700AP Features
Configurable Operation Modes
Access Point WDS with AP WDS
Connectivity Performance 802.11g wireless standard 802.3af Power over Ethernet Up to 108Mbps (Turbo Mode) Wireless Speed Dual Ethernet ports with 802.3x flow control Load Balancing Wireless connection to Ethernet network/ servers through 10/100Base-Tx port
Security/ QoS 64/128/152-bit WEP data encryption WPA/WPA2 Personal and Enterprise security with EAP and PSK support WPA PSK/AES over WDS User access control MAC address filtering Wireless Station Partition (STA), 802.1Q VLAN tagging and (up to 8) Multiple SSID for network segmentation WMM (Wi-Fi) Multimedia Certified Rogue AP detection
Setup/ Management Windows-based AP manager utility Web-based management (HTTP and HTTPS) Remote management using Telnet and SSH Built-in MIB for SNMP management (SNMPv3) System log
DAP-2553 Features
Configurable Operation Modes
Access Point WDS with AP WDS/Bridge (No AP Broadcasting)
Connectivity Performance 802.11a/g/n wireless standard Dual-band operation (2.4GHz or 5GHz) Up to 300Mbps Wireless Speed Ethernet port with 802.3x flow control
Security/ QoS 64/128/152-bit WEP data encryption WPA/WPA2 Personal and Enterprise security with EAP and PSK support WPA PSK/AES over WDS User access control MAC address filtering Wireless Station Partition (STA), 802.1Q VLAN tagging and Multiple SSID (Up to 16) for network segmentation WMM (Wi-Fi) Multimedia Certified Rogue AP detection
Setup/ Management Windows-based AP manager utility Web-based management (HTTP and HTTPS) Remote management using Telnet and SSH Built-in MIB for SNMP management (SNMPv3) System log
DAP-2590 Features
Configurable Operation Modes
Access Point WDS with AP WDS/Bridge (No AP Broadcasting)
Connectivity Performance 802.11a/g/n wireless standard Dual-band operation (2.4GHz or 5GHz) Up to 300Mbps Wireless Speed Ethernet port with 802.3x flow control
Security/ QoS 64/128/152-bit WEP data encryption WPA/WPA2 Personal and Enterprise security with EAP and PSK support WPA PSK/AES over WDS User access control MAC address filtering Wireless Station Partition (STA), 802.1Q VLAN tagging and Multiple SSID (Up to 16) for network segmentation WMM (Wi-Fi) Multimedia Certified Rogue AP detection
Setup/ Management Windows-based AP manager utility Web-based management (HTTP and HTTPS) Remote management using Telnet and SSH Built-in MIB for SNMP management (SNMPv3) System log
http://www.dlink.es
