NDICE
Introduccin.. Marco terico... Acceso no autorizado....... Puntos de acceso no autorizado ... Ataques man in the middle... Denegacin de servicios.. Descripcin general del protocolo de seguridad inalmbrico Autenticacin de una lan inalmbrica ............. Encriptacin..... Control de acceso a una lan inalmbrica. Problemas con el radio de acceso..... Problemas con el firmware del AP...... Problemas con la autenticacin y encriptacin........ Conclusin....
3 4 5 5 7 9 12 14 15 19 21 23 24 28
INTRODUCCIN
El proyecto a presentar fue elaborado con la participacin del grupo 605 de la especialidad de informtica de sexto semestre, cursando la materia de manejo de redes, especificando los siguientes tres temas de seguridad inalmbrica: A. Identificacin de amenazas Comunes a la Seguridad Inalmbrica. B. Configuracin de parmetros para el establecimiento de la seguridad y proteccin de dispositivos inalmbricos. C. Identificacin de procedimientos para la resolucin de problemas relacionados con las redes inalmbricas. El grupo fue dividido en siete equipos para poner en prctica e investigar los siguientes temas: Acceso no autorizado. Puntos de acceso no autorizados. Ataque man in the midlee. Denegacin de servicios. Descripcin general del protocolo de seguridad inalmbrica. Autenticacin de una LAN inalmbrica. Encriptacin. Control de acceso a una LAN inalmbrica. Problemas con el radio de acceso. Problemas con el firmware del AP. Problemas con la autenticacin y encriptacin.
El presente manual fue elaborado con la finalidad de identificar y dar a conocer las vulnerabilidades de la red utilizada en los diferentes departamentos del plantel, donde la informacin que resguardan, envan y reciben se encuentran en posibles riesgos de sufrir algn desvo de informacin que podra ser utilizada por personas ajenas a la institucin. Tomando en cuenta que la principal desventaja de una red inalmbrica es el tipo de seguridad, ya que la forma de transmisin es por medio de microondas esparcidas en el aire y dependiendo del tipo de red se determinara el rango de abastecimiento para los usuarios. De esta manera se les ofrece las sugerencias de posibles soluciones para reparar las vulnerabilidades que se encuentran en la red de la institucin educativa. Evitando daos que se pueden causar por no tener la seguridad adecuada a las redes del plantel conalep.
1. Modem situado en la direccin. 2. Punto de acceso situado en servicios escolares. 3. Punto de acceso situado en la biblioteca.
Sniffing Leer credenciales enviadas. (Users, Passwords, Cookies, Ccs) Leer informacin enviada. (Archivos, chat, pginas) Observar el comportamiento del usuario en base al trfico de red. Spoofing El atacante puede enviar datos como si fuera el origen. Realizar operaciones con los datos del cliente. Mostrar pginas falsas. Enviar los datos a un destino diferente.
Como parte de este proyecto fue necesario detectar las reas ms vulnerables de la institucin ante este tipo de ataque por ejemplo; el rea de servicios financieros, donde se hace uso del internet para comunicarse con las oficinas centrales de Metepec, Estado de Mxico, realizar trmites en lnea e intercambiar informacin con los dems planteles del pas, etc... Es posible realizar el ataque man in the middle en esta rea puesto que no se cuenta con la seguridad apropiada para evitarlo, al efectuarse el sniffing, el atacante con las herramientas de ste, puede visualizar el trfico de datos que circula en la red a la que se conecta el jefe de proyecto de servicios financieros, as tambin como las paginas a las que accede, cuentas de usuario y contraseas. Esto representa una grave amenaza para el departamento pues el atacante podra tener el acceso a informacin muy importante del plantel. Una de las principales fallas que se detectaron en la red del plantel son los puntos de acceso que aunque tienen una seguridad WPA2-PSK en las claves que son difciles de descifrar no estn asegurados completamente ante un ataque o modificaciones. Se detect que el nombre y la contrasea de la herramienta de configuracin de uno de los routers es la que trae por defecto, aunque parece un pequeo error, es la entrada perfecta para acceder a toda la red y dejarla vulnerable para hacer ms fcil un ataque man in the middle o cualquier otro ataque hacia la red, una solucin es modificar el usuario y contrasea que trae por defecto y asignarle nuevos caracteres de autenticacin a los que solo el personal administrativo pueda tener acceso. Otra vulnerabilidad que observamos est en la red principal que provee el servicio de conexin a los dems puntos de acceso se encuentra visible, lo que representa una amenaza de un ataque directo a la red principal, la solucin es entrar a la herramienta de configuracin y ocultarla, hacer la configuracin de los equipos del rea administrativa de modo que sea de uso exclusivo. Para reforzar la seguridad de los equipos del rea de servicios financieros ante el ataque man in the middle se sugiere adquirir las herramientas como lo son: Marmita; es un software que se encarga de monitorizar el host por si se encuentra bajo la amenaza de un ataque de este tipo; otra forma de seguridad es cambiar el navegador con el que se conecta a la red, de preferencia que utilice los protocolo SSL (capa de conexin segura) y TLS (seguridad en la capa de transporte) como lo es Mozilla Firefox versin 21.0 o Google Chrome versin 26.0.1410.64 m.
DENEGACIN DE SERVICIO
Un ataque de Denegacin de Servicio (DoS por sus siglas en ingls) se genera mediante la saturacin o sobrecarga de un servicio o recurso, de forma tal que el mismo deja de responder, lo hace en forma intermitente o ms lento que de lo normal.
TIPOS Ataques Lgicos Explotan una caracterstica especfica o un fallo en la implementacin de algn protocolo o aplicacin instalada en la vctima. El objetivo es dejarla sin recursos. Ataques de fuerza bruta o inundacin Generan una gran cantidad de operaciones aparentemente legtimas. Dado que la red intermedia puede transportar una cantidad de trfico mayor que la red vctima, sta ltima se queda sin recursos. Necesitan mayor volumen de trfico que los ataques anteriores.
VULNERABILIDAD: En el plantel Conalep es posible escanear las direcciones IP de los dispositivos de red, conectarse a ellos y realizar un ataque de denegacin de servicio. SOFTWARES: Aqu algunos programas para hacer denegacin de servicio. Adems de que a travs del CMD con un ping sostenido se puede realizar el ataque.
ByteDOS:
LOIC:
HOIC:
10
POSIBLES SOLUCIONES: Teniendo en cuenta que cualquiera puede ser vctima de un DoS (sin importar el tamao de la organizacin o la red), dependiendo de los servicios brindados, los recursos disponibles y las herramientas utilizadas por parte de los atacantes, se podra considerar los siguientes puntos:
Limitar de 50 a 100 el nmero de conexiones desde un origen determinado. Si se trata de un ataque, las conexiones excedentes se eliminarn. Limitar de 5 a 10 el nmero de conexiones realizadas por segundo. Bloquear/Ignorar temporal o definitivamente las direcciones IP identificadas como posibles atacantes.
MTODOS DE SOLUCIN: Se debe revisar la configuracin de Routers y Firewalls para detener IPs invlidas as como tambin el filtrado de protocolos que no sean necesarios. Cabe destacar que es de suma importancia analizar los casos de falsos positivos para llevar a cabo una posible reconfiguracin de este tipo de herramientas. Algunos consejos un poco ms tcnicos que pueden ayudar son:
Limitar el nmero de conexiones concurrentes al servidor. Realizar un monitoreo de las conexiones TCP/UDP que se llevan a cabo en el servidor (permite identificar patrones de ataque).
Posiblemente este tipo de ataques seguirn ocurriendo a lo largo del tiempo. Es por esto que es necesario adoptar medidas preventivas para intentar evitarlos as como tambin contar con los recursos necesarios a la hora de responder en caso de que el ataque fuera exitoso.
11
Mecanismo de seguridad WEP (Wired Equivalent Privacy) obsoleto Se trata de un mecanismo basado en el algoritmo de cifrado RC4, y que utiliza el
algoritmo de chequeo de integridad CRC (Chequeo de Redundancia Cclica). El WEP no protege la conexin por completo sino solamente el paquete de datos. El protocolo no es totalmente intocable, pues ya existen programas capaces de quebrar las claves de criptografa en el caso de que la red sea monitorizada durante un tiempo. Actualmente existen varios ataques y programas para descifrar el WEP. Este mecanismo no es recomendado para garantizar la seguridad de una red.
WPA y WPA2 Pueden trabajar con y sin un servidor de distribucin de llaves. Si no se usa un servidor
de llaves, todas las estaciones de la red usan una llave de tipo PSK (Pre-Shared-Key), en caso contrario se usa habitualmente un servidor IEEE 802.1x. WPA emplea el cifrado de clave dinmico, lo que significa que la clave est cambiando constantemente y hacen que las incursiones en la red inalmbrica sean ms difciles que con WEP. Est considerado como uno de los ms altos niveles de seguridad inalmbricas para su red, es el mtodo recomendado si su dispositivo es compatible con este tipo de cifrado. Las claves se insertan como de dgitos alfanumricos, sin restriccin de longitud, en la que se recomienda utilizar caracteres especiales, nmeros, maysculas y minsculas, y palabras difciles de asociar entre ellas o con informacin personal.
12
La principal diferencia entre ambas es que WPA2 necesita el Estndar avanzado de cifrado (AES) para el cifrado de los datos, mientras que WPA original emplea TKIP. AES aporta la seguridad necesaria para cumplir los mximos estndares de nivel de muchas de las agencias del gobierno federal. Adems WPA2 ser compatible tanto con la versin para la empresa como con la domestica.
13
14
ENCRIPTACION
La encriptacin es el proceso para volver ilegible la informacin que se considera importante. La informacin una vez encriptada slo puede leerse aplicndole una clave. Por qu es importante la encriptacin? En la red se ha detectado que solo el primer punto de acceso (ubicado en la direccin) esta encriptado y los siguientes 2 puntos de acceso (la biblioteca y servicios escolares) no se encuentran bajo la encriptacin, y por lo consiguiente un sniffer (capturador de paquetes) puede descifrar los paquetes de informacin que se envan y reciben a travs de la red. La encriptacin es una medida de seguridad utilizada para almacenar o realizar la transferencia de informacin delicada, en el rea de la biblioteca se encontr un punto de acceso a la red llamado TP-LINK_7CB173, este ser pudo de fcil acceso a su configuracin puesto que an no se ha cambiado el nombre del usuario ni la contrasea y al momento de realizar la autenticacin solo se tuvo que descargar el manual del dispositivo y obtener por medio de este la contrasea y el nombre de usuario que trae automticamente y se encontraron los siguientes datos: NOMBRE DE USUARIO: admin CONTRASEA: admin
15
Una vez obtenida la autenticacin se pudo entrar a la configuracin del punto de acceso ubicado en la biblioteca y as tener el control total del dispositivo.
16
Y es por esta razn por lo que se sugiere que se realice la encriptacin del puntos de acceso TP-LINK_7CB173, este dispositivo cuenta con la funcin de encriptar por 2 tipos: TKIP y AES. En este caso se sugiere que se encripte de modo AES (Advanced Encryption Standard) porque una vez que el archivo est cifrado, usted no tiene que preocuparse acerca de una persona que lea su informacin sensible, como un archivo cifrado es completamente intil sin la contrasea. Simplemente no se puede leer. AES cripta es la herramienta perfecta para cualquier persona que tenga informacin sensible.
17
En el caso del departamento de servicios escolares se encuentra que la informacin puede ser accesible para terceros ya que la seguridad de la red no es del todo segura y la contrasea de la red puede ser desencriptada por algn programa descifrador de claves tipo WPA2 y por consecuencia la informacin puede ser vulnerable para los usuarios que tengan la finalidad de extraer algn tipo de informacin.
18
Al tener acceso no autorizado a la pgina de configuracin de su dispositivo, se cumple con una amenaza de seguridad de los datos del plantel.
19
Al entrar a la pgina de configuracin del dispositivo T.P LINK se puede tener todo el control de la red, adems de hacer modificaciones que afecten a los usuarios que se conecten a esa red. En caso de que la configuracin sea utilizada para fines ilegales se podra observar perdida de informacin. Por estos motivos se le sugiere que el responsable del rea de informtica configure adecuadamente los dispositivos que funcionan como puntos de acceso de las redes establecidas en este plantel educativo. Estableciendo ms seguridad en la red de Servicios Escolares, modificando as la contrasea de la red de un modo ms seguro como WPA2PSK, otra opcin podra ser inhabilitar la visibilidad del nombre de la red para que no puedan corromper la seguridad de la red.
20
PROBLEMAS CON EL RADIO DE ACCESO Radio de acceso: Es la distancia que cubren las ondas de radio de un dispositivo
inalmbrico para permitir el acceso a la red inalmbrica. Las ondas de radio son un tipo de radiacin electromagntica que viaja propagndose por el espacio.
rea de acceso de red Principal red de comunicaciones mviles rea de alcance a travs donde se pueden conectar clientes inalmbricos.
21
22
QUE ES EL FIRMWARE?
Es el encargado de controlarlo para ejecutar correctamente las instrucciones externas. En resumen, un firmware es el software que maneja al hardware.
23
24
25
Elegimos el de deshabilitado
En esta opcin aceptamos y/o validamos los datos de deshabilitados le damos inicio y aceptamos.
26
Los problemas de encriptacin se deben al trfico ininterrumpido de datos durante un tiempo determinado el cual debe ser bastante. Puede surgir un problema de encriptacin cuando al momento de conectarse a la red manualmente la contrasea no es ingresada de manera correcta y esto ocasiona que el equipo de cmputo tenga problemas al momento de conectarse a la red. Hay programas especializados o virus que envan bombas de informacin para poder descifrar las contraseas.
27
CONCLUSIN La seguridad en las redes inalmbricas es un aspecto crtico que no se puede descuidar. Debido a que las transmisiones viajan por un medio no seguro, y cualquier usuario a la red podr tener acceso a ella, se requieren mecanismos que aseguren la confidencialidad de los datos as como su integridad y autenticidad, es por esta razn por la que se llev a cabo el proyecto en el que se determinaron las posibles amenazas que se pueden tener en la red inalmbrica que es utilizada en los departamentos del plantel. Es por ello que despus de identificar las amenazas se aportaron posibles soluciones a los problemas generados, dando a conocer los procedimientos que se llevaron a cabo. Utilizamos diversos software durante el proceso de la prctica y para la solucin de algunos problemas. Se espera que despus de haber identificado las vulnerabilidades el encargado del departamento de informtica tome las medidas necesarias para implementar mecanismos para mejorar la seguridad de la red y as poder tener un control limitado de la informacin almacenada y utilizada en cada departamento.
28