COLEGIO NACIONAL DE EDUCACIN PROFESIONAL TCNICA 158

MANUAL DE ALTERNATIVAS DE IDENTIFICACIN DE AMENAZAS COMUNES A LA SEGURIDAD INALMBRICA.

ELABORADO POR EL GRUPO 605 P.T.B. INFORMTICA

NDICE

Introduccin.. Marco terico... Acceso no autorizado....... Puntos de acceso no autorizado ... Ataques man in the middle... Denegacin de servicios.. Descripcin general del protocolo de seguridad inalmbrico Autenticacin de una lan inalmbrica ............. Encriptacin..... Control de acceso a una lan inalmbrica. Problemas con el radio de acceso..... Problemas con el firmware del AP...... Problemas con la autenticacin y encriptacin........ Conclusin....

3 4 5 5 7 9 12 14 15 19 21 23 24 28

INTRODUCCIN
El proyecto a presentar fue elaborado con la participacin del grupo 605 de la especialidad de informtica de sexto semestre, cursando la materia de manejo de redes, especificando los siguientes tres temas de seguridad inalmbrica: A. Identificacin de amenazas Comunes a la Seguridad Inalmbrica. B. Configuracin de parmetros para el establecimiento de la seguridad y proteccin de dispositivos inalmbricos. C. Identificacin de procedimientos para la resolucin de problemas relacionados con las redes inalmbricas. El grupo fue dividido en siete equipos para poner en prctica e investigar los siguientes temas: Acceso no autorizado. Puntos de acceso no autorizados. Ataque man in the midlee. Denegacin de servicios. Descripcin general del protocolo de seguridad inalmbrica. Autenticacin de una LAN inalmbrica. Encriptacin. Control de acceso a una LAN inalmbrica. Problemas con el radio de acceso. Problemas con el firmware del AP. Problemas con la autenticacin y encriptacin.

El presente manual fue elaborado con la finalidad de identificar y dar a conocer las vulnerabilidades de la red utilizada en los diferentes departamentos del plantel, donde la informacin que resguardan, envan y reciben se encuentran en posibles riesgos de sufrir algn desvo de informacin que podra ser utilizada por personas ajenas a la institucin. Tomando en cuenta que la principal desventaja de una red inalmbrica es el tipo de seguridad, ya que la forma de transmisin es por medio de microondas esparcidas en el aire y dependiendo del tipo de red se determinara el rango de abastecimiento para los usuarios. De esta manera se les ofrece las sugerencias de posibles soluciones para reparar las vulnerabilidades que se encuentran en la red de la institucin educativa. Evitando daos que se pueden causar por no tener la seguridad adecuada a las redes del plantel conalep.

ACCESO NO AUTORIZADO Y PUNTO DE ACCESO NO AUTORIZADO

El acceso no autorizado a un sistema informtico, consiste en acceder de manera indebida, sin autorizacin o contra derecho a un sistema de tratamiento de la informacin, con el fin de obtener una satisfaccin de carcter intelectual por el desciframiento de los cdigos de acceso o passwords, no causando daos inmediatos y tangibles en la vctima, o bien por la voluntad de indagar o divertirse de su autor. Un punto de acceso no autorizado, es la red ya elegida para entrar ilcitamente ,el punto ms dbil es la biblioteca, ponen en peligro la seguridad de la red inalmbrica y dejarla completamente expuesta. IDENTIFICACIN DEL PROBLEMA En la direccin del plantel conalep #158 se encuentra establecido el mdem que emite las seales hacia el punto de acceso, est situado en el rea de servicios escolares y ste se conecta de forma cableada al punto de acceso que se encuentra en la biblioteca. El tercer punto de acceso, es ms accesible para los alumnos ya que es una zona donde ellos realizan tareas, teniendo como resultado la contrasea. Ya obtenida la contrasea es ms vulnerable acceder al segundo Access point adquiriendo la documentacin importante que manejan en dicha reas. ALTERNATIVA DE SOLUCIN Una alternativa de solucin que se puede implementar en este caso es instalar un mdem diferente en cada rea del plantel, es decir, un en la direccin y uno para las dems reas administrativas, as como tambin uno solo exclusivamente para los alumnos del plantel aunque esta situacin implementara un mayor gasto para la institucin, en nuestro punto de vista es mejor invertir en seguridad informtica, que correr el riesgo de perder informacin que afecte a la escuela. Una segunda solucin es configurar el mdem y situarlo en un canal diferente al que ya trae por default. Al mismo tiempo ocultar la red para que los alumnos del plantel y terceras personas no puedan visualizarla.

PLANTEL CONALEP 158

1. Modem situado en la direccin. 2. Punto de acceso situado en servicios escolares. 3. Punto de acceso situado en la biblioteca.

MAN IN THE MIDDLE

En este tema se darn a conocer las formas en que una red de rea local inalmbrica (WLAN) puede ser vulnerable ante un ataque man in the middle (Hombre en medio) que se refiere a la existencia de alguien en medio de la comunicacin, entre el origen y el destino. El atacante puede observar, interpretar, modificar y retransmitir la informacin que circula en la red existente lo que da origen a los siguientes posibles ataques:

Sniffing Leer credenciales enviadas. (Users, Passwords, Cookies, Ccs) Leer informacin enviada. (Archivos, chat, pginas) Observar el comportamiento del usuario en base al trfico de red. Spoofing El atacante puede enviar datos como si fuera el origen. Realizar operaciones con los datos del cliente. Mostrar pginas falsas. Enviar los datos a un destino diferente.

Como parte de este proyecto fue necesario detectar las reas ms vulnerables de la institucin ante este tipo de ataque por ejemplo; el rea de servicios financieros, donde se hace uso del internet para comunicarse con las oficinas centrales de Metepec, Estado de Mxico, realizar trmites en lnea e intercambiar informacin con los dems planteles del pas, etc... Es posible realizar el ataque man in the middle en esta rea puesto que no se cuenta con la seguridad apropiada para evitarlo, al efectuarse el sniffing, el atacante con las herramientas de ste, puede visualizar el trfico de datos que circula en la red a la que se conecta el jefe de proyecto de servicios financieros, as tambin como las paginas a las que accede, cuentas de usuario y contraseas. Esto representa una grave amenaza para el departamento pues el atacante podra tener el acceso a informacin muy importante del plantel. Una de las principales fallas que se detectaron en la red del plantel son los puntos de acceso que aunque tienen una seguridad WPA2-PSK en las claves que son difciles de descifrar no estn asegurados completamente ante un ataque o modificaciones. Se detect que el nombre y la contrasea de la herramienta de configuracin de uno de los routers es la que trae por defecto, aunque parece un pequeo error, es la entrada perfecta para acceder a toda la red y dejarla vulnerable para hacer ms fcil un ataque man in the middle o cualquier otro ataque hacia la red, una solucin es modificar el usuario y contrasea que trae por defecto y asignarle nuevos caracteres de autenticacin a los que solo el personal administrativo pueda tener acceso. Otra vulnerabilidad que observamos est en la red principal que provee el servicio de conexin a los dems puntos de acceso se encuentra visible, lo que representa una amenaza de un ataque directo a la red principal, la solucin es entrar a la herramienta de configuracin y ocultarla, hacer la configuracin de los equipos del rea administrativa de modo que sea de uso exclusivo. Para reforzar la seguridad de los equipos del rea de servicios financieros ante el ataque man in the middle se sugiere adquirir las herramientas como lo son: Marmita; es un software que se encarga de monitorizar el host por si se encuentra bajo la amenaza de un ataque de este tipo; otra forma de seguridad es cambiar el navegador con el que se conecta a la red, de preferencia que utilice los protocolo SSL (capa de conexin segura) y TLS (seguridad en la capa de transporte) como lo es Mozilla Firefox versin 21.0 o Google Chrome versin 26.0.1410.64 m.

DENEGACIN DE SERVICIO
Un ataque de Denegacin de Servicio (DoS por sus siglas en ingls) se genera mediante la saturacin o sobrecarga de un servicio o recurso, de forma tal que el mismo deja de responder, lo hace en forma intermitente o ms lento que de lo normal.

TIPOS Ataques Lgicos Explotan una caracterstica especfica o un fallo en la implementacin de algn protocolo o aplicacin instalada en la vctima. El objetivo es dejarla sin recursos. Ataques de fuerza bruta o inundacin Generan una gran cantidad de operaciones aparentemente legtimas. Dado que la red intermedia puede transportar una cantidad de trfico mayor que la red vctima, sta ltima se queda sin recursos. Necesitan mayor volumen de trfico que los ataques anteriores.

VULNERABILIDAD: En el plantel Conalep es posible escanear las direcciones IP de los dispositivos de red, conectarse a ellos y realizar un ataque de denegacin de servicio. SOFTWARES: Aqu algunos programas para hacer denegacin de servicio. Adems de que a travs del CMD con un ping sostenido se puede realizar el ataque.

ByteDOS:

LOIC:

HOIC:

10

POSIBLES SOLUCIONES: Teniendo en cuenta que cualquiera puede ser vctima de un DoS (sin importar el tamao de la organizacin o la red), dependiendo de los servicios brindados, los recursos disponibles y las herramientas utilizadas por parte de los atacantes, se podra considerar los siguientes puntos:

Limitar de 50 a 100 el nmero de conexiones desde un origen determinado. Si se trata de un ataque, las conexiones excedentes se eliminarn. Limitar de 5 a 10 el nmero de conexiones realizadas por segundo. Bloquear/Ignorar temporal o definitivamente las direcciones IP identificadas como posibles atacantes.

MTODOS DE SOLUCIN: Se debe revisar la configuracin de Routers y Firewalls para detener IPs invlidas as como tambin el filtrado de protocolos que no sean necesarios. Cabe destacar que es de suma importancia analizar los casos de falsos positivos para llevar a cabo una posible reconfiguracin de este tipo de herramientas. Algunos consejos un poco ms tcnicos que pueden ayudar son:

Limitar el nmero de conexiones concurrentes al servidor. Realizar un monitoreo de las conexiones TCP/UDP que se llevan a cabo en el servidor (permite identificar patrones de ataque).

Posiblemente este tipo de ataques seguirn ocurriendo a lo largo del tiempo. Es por esto que es necesario adoptar medidas preventivas para intentar evitarlos as como tambin contar con los recursos necesarios a la hora de responder en caso de que el ataque fuera exitoso.

11

DESCRIPCIN GENERAL DEL PROTOCOLO DE SEGURIDAD INALMBRICO.

La seguridad es el punto dbil de las redes inalmbricas, pues la seal se propaga por el aire en todas las direcciones y puede ser captada a una cierta distancia. Esto hace que las redes inalmbricas sean vulnerables a ser interceptadas. Un protocolo de seguridad define las reglas que gobiernan estas comunicaciones, diseadas para que el sistema pueda soportar ataques de carcter malicioso. A continuacin se explica brevemente en qu consisten los principales mecanismos que intentan o ayudan a garantizar la privacidad, integridad y confidencialidad de la transmisin, los cuales son WEP, WPA Y WPA2.

Mecanismo de seguridad WEP (Wired Equivalent Privacy) obsoleto Se trata de un mecanismo basado en el algoritmo de cifrado RC4, y que utiliza el

algoritmo de chequeo de integridad CRC (Chequeo de Redundancia Cclica). El WEP no protege la conexin por completo sino solamente el paquete de datos. El protocolo no es totalmente intocable, pues ya existen programas capaces de quebrar las claves de criptografa en el caso de que la red sea monitorizada durante un tiempo. Actualmente existen varios ataques y programas para descifrar el WEP. Este mecanismo no es recomendado para garantizar la seguridad de una red.

WPA y WPA2 Pueden trabajar con y sin un servidor de distribucin de llaves. Si no se usa un servidor

de llaves, todas las estaciones de la red usan una llave de tipo PSK (Pre-Shared-Key), en caso contrario se usa habitualmente un servidor IEEE 802.1x. WPA emplea el cifrado de clave dinmico, lo que significa que la clave est cambiando constantemente y hacen que las incursiones en la red inalmbrica sean ms difciles que con WEP. Est considerado como uno de los ms altos niveles de seguridad inalmbricas para su red, es el mtodo recomendado si su dispositivo es compatible con este tipo de cifrado. Las claves se insertan como de dgitos alfanumricos, sin restriccin de longitud, en la que se recomienda utilizar caracteres especiales, nmeros, maysculas y minsculas, y palabras difciles de asociar entre ellas o con informacin personal.

12

La principal diferencia entre ambas es que WPA2 necesita el Estndar avanzado de cifrado (AES) para el cifrado de los datos, mientras que WPA original emplea TKIP. AES aporta la seguridad necesaria para cumplir los mximos estndares de nivel de muchas de las agencias del gobierno federal. Adems WPA2 ser compatible tanto con la versin para la empresa como con la domestica.

13

AUTENTICACIN DE UNA LAN INALMBRICA

La autenticacin es el proceso de intento de verificar la identidad digital del remitente de una comunicacin como una peticin para conectarse. El remitente siendo autenticado puede ser una persona que usa un ordenador, un ordenador por s mismo o un programa del ordenador. En un web de confianza, "autenticacin" es un modo de asegurar que los usuarios son quin ellos dicen que ellos son - que el usuario que intenta realizar funciones en un sistema es de hecho el usuario que tiene la autorizacin para hacer as. MTODOS DE AUTENTICACIN Los mtodos de autenticacin estn en funcin de lo que utilizan para la verificacin y estos se dividen en tres categoras: Sistemas basados en algo conocido. Ejemplo, un Passwords (Unix). Sistemas basados en algo posedo. Ejemplo, una tarjeta de identidad, una tarjeta inteligente(Smartcard). Sistemas basados en una caracterstica fsica del usuario o un acto involuntario del mismo: Ejemplo, verificacin de voz, de escritura, de huellas, de patrones oculares.

14

ENCRIPTACION
La encriptacin es el proceso para volver ilegible la informacin que se considera importante. La informacin una vez encriptada slo puede leerse aplicndole una clave. Por qu es importante la encriptacin? En la red se ha detectado que solo el primer punto de acceso (ubicado en la direccin) esta encriptado y los siguientes 2 puntos de acceso (la biblioteca y servicios escolares) no se encuentran bajo la encriptacin, y por lo consiguiente un sniffer (capturador de paquetes) puede descifrar los paquetes de informacin que se envan y reciben a travs de la red. La encriptacin es una medida de seguridad utilizada para almacenar o realizar la transferencia de informacin delicada, en el rea de la biblioteca se encontr un punto de acceso a la red llamado TP-LINK_7CB173, este ser pudo de fcil acceso a su configuracin puesto que an no se ha cambiado el nombre del usuario ni la contrasea y al momento de realizar la autenticacin solo se tuvo que descargar el manual del dispositivo y obtener por medio de este la contrasea y el nombre de usuario que trae automticamente y se encontraron los siguientes datos: NOMBRE DE USUARIO: admin CONTRASEA: admin

15

Una vez obtenida la autenticacin se pudo entrar a la configuracin del punto de acceso ubicado en la biblioteca y as tener el control total del dispositivo.

16

Y es por esta razn por lo que se sugiere que se realice la encriptacin del puntos de acceso TP-LINK_7CB173, este dispositivo cuenta con la funcin de encriptar por 2 tipos: TKIP y AES. En este caso se sugiere que se encripte de modo AES (Advanced Encryption Standard) porque una vez que el archivo est cifrado, usted no tiene que preocuparse acerca de una persona que lea su informacin sensible, como un archivo cifrado es completamente intil sin la contrasea. Simplemente no se puede leer. AES cripta es la herramienta perfecta para cualquier persona que tenga informacin sensible.

17

En el caso del departamento de servicios escolares se encuentra que la informacin puede ser accesible para terceros ya que la seguridad de la red no es del todo segura y la contrasea de la red puede ser desencriptada por algn programa descifrador de claves tipo WPA2 y por consecuencia la informacin puede ser vulnerable para los usuarios que tengan la finalidad de extraer algn tipo de informacin.

18

CONTROL DE ACCESO A UNA LAN INALMBRICA

Con esto hacemos referencia a que los encargados correspondientes de la seguridad de su red, deben llevar un buen control respecto a la configuracin de sus dispositivos que funcionan como puntos de acceso, para evitar los accesos no autorizados por otro personal ajeno a la institucin. Ubicacin de los puntos de acceso en la institucin, relacionado con la imagen del croquis el plantel.(PAG. El punto ms vulnerable en la imagen anterior, es la red de la biblioteca, teniendo como dispositivo un T.P LINK, al cual se puede acceder a la pgina de configuracin con la direccin I.P 192.168.1.253. Obteniendo esta informacin en la pgina oficial del dispositivo.

Al tener acceso no autorizado a la pgina de configuracin de su dispositivo, se cumple con una amenaza de seguridad de los datos del plantel.

19

Al entrar a la pgina de configuracin del dispositivo T.P LINK se puede tener todo el control de la red, adems de hacer modificaciones que afecten a los usuarios que se conecten a esa red. En caso de que la configuracin sea utilizada para fines ilegales se podra observar perdida de informacin. Por estos motivos se le sugiere que el responsable del rea de informtica configure adecuadamente los dispositivos que funcionan como puntos de acceso de las redes establecidas en este plantel educativo. Estableciendo ms seguridad en la red de Servicios Escolares, modificando as la contrasea de la red de un modo ms seguro como WPA2PSK, otra opcin podra ser inhabilitar la visibilidad del nombre de la red para que no puedan corromper la seguridad de la red.

20

PROBLEMAS CON EL RADIO DE ACCESO Radio de acceso: Es la distancia que cubren las ondas de radio de un dispositivo
inalmbrico para permitir el acceso a la red inalmbrica. Las ondas de radio son un tipo de radiacin electromagntica que viaja propagndose por el espacio.

rea de acceso de red Principal red de comunicaciones mviles rea de alcance a travs donde se pueden conectar clientes inalmbricos.

IDENTIFICACIN DEL PROBLEMA

Existen causas que pueden generar problemas, en la radio frecuencia de la red una de las cuales son: La configuracin incorrecta de canales Interferencia con otros dispositivos En el plantel se identifica que los puntos de acceso establecidos en diversos departamentos se encuentran en lugares no aptos para la transmisin de microondas. Es por esta razn que la intensidad de la red no abastece a todos los usuarios y genera problemas de trfico de datos. Otra razn por la cual la intensidad de seal es interrumpida o no se transmite a una buena intensidad es que existen paredes que obstaculizan el medio de transmisin.

21

SOLUCIN DEL PROBLEMA

Dicha interferencia puede ser moderada con un buen planeamiento. Distancia apropiada entre canales. Ubicar los dispositivos en lugares despejados de paredes. Alejar los dispositivos de aparatos electrnicos.

RELEVAMIENTOS DEL SITIO

Consiste en Analizar el sitio en su contexto. Existen dos tipos de Relevamiento: Relevamiento manual: Es una evaluacin de sitio que involucra la inspeccin del rea con el objetivo de identificar temas potenciales que pueden tener un impacto en la red. Relevamiento asistido por utilidades: Existen herramientas sofisticadas que le permiten entrar a un plano de planta de las instalaciones. Puede entonces iniciar un registro de las caractersticas RF (radio de frecuencia) del sitio, que luego se muestran en el plano de planta, a medida que se mueve a travs de las instalaciones con su computadora porttil inalmbrica. Los siguientes programas nos ayudan a hacer un relevamiento para darle solucin a los problemas que se nos presente.

StumbVerter Airmagnet Survey Profesional Cisco Aironet Site Survey Utility

22

PROBLEMAS CON EL FIRMWARE DEL AP (ACCES POINT)

QUE ES EL FIRMWARE?
Es el encargado de controlarlo para ejecutar correctamente las instrucciones externas. En resumen, un firmware es el software que maneja al hardware.

PROBLEMA CON EL FIRMWARE

*Dificultad de establecer o mantener una conexin de red de Productos inalmbricos. *Problemas para las transferencias de datos. *Las caractersticas de seguridad no est disponible o no funcionan correctamente. *Actualizar constantemente el firmware

SOLUCIONES PARA EL FIRMWARE

Nosotros consideramos algunas alternativas de solucin, que podra poner en prctica en los equipos de cmputo que se encuentran en los departamentos del plantel en donde se utiliza informacin de suma importancia. *Solucionador de Windows. *Reinstalando. *Cambiando Wireless net. *Que sea compatible cliente y punto de acceso. *Actualizar el firmware de todos los equipos de cmputo.

23

PROBLEMAS CON LA AUTENTICACIN Y ENCRIPTACIN

Estos problemas suelen ocurrir frecuentemente por configuraciones incorrectas por parte del usuario ya que el punto de acceso espera un tipo de configuracin correcta y si el usuario ofrece una configuracin incorrecta, es aqu cuando la autenticacin falla. Una solucin es utilizar la misma clave del punto de acceso. Cuando se presenta un problema con la autenticacin podemos resolverlo con los siguientes pasos: INICIO

Buscamos la opcin SERVICES.MSC y la elegimos

24

Seleccionamos A SERVICES BROWSER y le damos clic derecho en propiedades

25

Aparece una ventana de la opcin que vamos a elegir el tipo de inicio

Elegimos el de deshabilitado

En esta opcin aceptamos y/o validamos los datos de deshabilitados le damos inicio y aceptamos.

26

El proceso general de autenticacin consta de los siguientes pasos:

1. El usuario solicita acceso a un sistema. 2. El sistema solicita al usuario que se autentique. 3. El usuario aporta la clave que le identifican y permiten verificar la autenticidad de la clave. 4. El sistema valido segn sus reglas si la clave aportada es suficiente para dar acceso al usuario o no.

Los problemas de encriptacin se deben al trfico ininterrumpido de datos durante un tiempo determinado el cual debe ser bastante. Puede surgir un problema de encriptacin cuando al momento de conectarse a la red manualmente la contrasea no es ingresada de manera correcta y esto ocasiona que el equipo de cmputo tenga problemas al momento de conectarse a la red. Hay programas especializados o virus que envan bombas de informacin para poder descifrar las contraseas.

27

CONCLUSIN La seguridad en las redes inalmbricas es un aspecto crtico que no se puede descuidar. Debido a que las transmisiones viajan por un medio no seguro, y cualquier usuario a la red podr tener acceso a ella, se requieren mecanismos que aseguren la confidencialidad de los datos as como su integridad y autenticidad, es por esta razn por la que se llev a cabo el proyecto en el que se determinaron las posibles amenazas que se pueden tener en la red inalmbrica que es utilizada en los departamentos del plantel. Es por ello que despus de identificar las amenazas se aportaron posibles soluciones a los problemas generados, dando a conocer los procedimientos que se llevaron a cabo. Utilizamos diversos software durante el proceso de la prctica y para la solucin de algunos problemas. Se espera que despus de haber identificado las vulnerabilidades el encargado del departamento de informtica tome las medidas necesarias para implementar mecanismos para mejorar la seguridad de la red y as poder tener un control limitado de la informacin almacenada y utilizada en cada departamento.

28