Wireless
Presentador: Ing. Eduardo Tabacman
infor@virusprot.com
Director
General
Establecida en el ao 1999
Equipo con ms de 13 aos de experiencia en el
Portal
de
Seguridad
Informtica
VIRUSPROT.COM
(http://www.virusprot.com)
Ms de 60.000 visitas mensuales
Distribucin de productos SI
Servicios de asesoramiento y consultora SI
Desarrollo de seminarios y conferencias SI
Bussiness matching
W021
The Players
IETF The Internet Engineering Task Force
Grupo auto-organizado
Grupo principal comprometido en el desarrollo de nuevas
especificaciones estndares para Internet
http://www.ietf.org
IEEE Institute of Electrical and Electronic
Engineers
802.1x
802.11
Velocidad
Banda
Frecuencia
802.11
1 y 2 Mbps
2.4 Ghz
802.11a
54 Mbps
5.15 Ghz
802.11b
11 Mbps
2.4 Ghz
802.11g
54 Mbps
2.4 Ghz
802.11i
Finales de 2003
Prdidas de Velocidad
Velocidad
(Mbps)
V=f(d,o,i)
54
20-22 Mbps
11
4-5 Mbps
10
50
100
Distancia
(Metros)
Rendimiento
Velocidad (Mbps)
54
25
20
15
10
5
--------------------------------------------------------------------- 24,73
--------------------------------------------------------------------21,55
19,14
18,51
---------------------------------------------------------------------16,23
15,65
15,10
-----------------------------------------------------------------------------------------------------------------------------------------A
Fabricantes
Fuente: NetworkWorldFusion
---------------------------------------------
--------------------------------------------300
350
318
272
256
233
213
---------------------------------------------
100
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
344
315
Fabricantes
Alcance
Distancia (Pies)
Fuente: NetworkWorldFusion
Puntos Dbiles
WarChalking
Es la prctica de dibujar en paredes o aceras
Clave
Nodo
Abierto
Nodo
Cerrado
Smbolo
SSID
Ancho de Banda
SSID
SSID
Nodo
WEP
Access
Contact
Ancho de Banda
Fuente: www.warchalking.org
WarDriving
Tcnica difundida donde individuos equipados
25%
WEP Desactivado
75%
(Julio 2002)
Lugar: Barcelona
Imagen: Miguel Puchol
Puntos rojos protegidos
Puntos verdes desprotegidos
PDA
u
otro
dispositivo mvil con tarjeta
inalmbrica
(PCMCIA)
incorporada
Antena comprada o casera
tipo lata de Pringles o tubo
PVC
Software de rastreo tipo
NetStumbler, Airsnort,...
Unidad GPS para fijar las
coordenadas exactas en el
mapa de la WLAN
Peligros
Denegacin de Servicios (DoS)
Dao o Robo de Equipos
Accesos no Autorizados
Robo de Informacin
Insercin de Cdigos Dainos
Robo de Credenciales
Uso de Internet
direcciones MAC
DESVENTAJAS
WEP Introduccin
Sistema
de
encriptacin
estndar
802.11
Se implementa en la capa MAC
Soportada
por
la
mayora
de
vendedores de soluciones inalmbricas
Cifra los datos enviados a travs de las
ondas de radio
Utiliza el algoritmo de encriptacin RC4
Encriptacin WEP
Fuente: Cisco
WEP - Debilidades
Longitud
AirSnort
Fuente: http://www.virusprot.com/Nt240821.html
WEP - Carencias
Interceptando aproximadamente
100 Mb
1 Gb
3.000 llaves cada semana son dbiles
2.000 paquetes dbiles son suficientes
para adivinar un password
15 minutos (128 bits)
Que es 802.1x
Provee un mtodo para la autenticacin y
C o n e x i n V P N s e g u r a
VLAN
W EP
E n c r ip t a d o
PA
A e ro p u e r to ,
h o te l, c a s a
R ed PA
S e r v id o r
A r c h iv o s
S e r v id o r
VPN
S e r v id o r
VPN
C o n e x i n V P N s e g u r a
F ir e w a ll
IS P
D ia l- u p ,
m dem
c a b le a d o ,
D SL o G PR S
In te rn e t
C o n e x i n V P N s e g u r a
De la red interna
Funcin
Recibir pedido de conexin del usuario
Autenticarlo
Devolver toda la informacin de configuracin necesaria
para que el cliente acceda a los servicios
Elementos Bsicos
Network Access Server (NAS)
Seguridad
Autenticacin mediante Secreto Compartido
Passwords encriptados
Soporta diversos mtodos de autenticacin (PAP,CHAP,
etc...)
RFC 2058
RFC 2059
RFC 2548
RFC 2618
RFC 2619
RFC 2620
RFC 2621
RFC 2809
RFC 2865
RFC 2138;
RFC 2866
RFC 2867)
RFC 2867
Support
RFC 2868
RFC 2869
RFC 2882
Entorno RADIUS
802.1x en 802.11
Wireless
Punto de Acceso
Servidor Radius
Porttil
Ethernet
Asociacin
802.11 Associate-Request
Acceso Bloqueado
802.11
RADIUS
802.11 Associate-Response
EAPOL-Start
EAPOW
EAP-Request/Identity
EAP-Response/Identity
EAP-Request
EAP-Response (credentials)
Radius-Access-Request
Radius-Access-Challenge
Radius-Access-Request
Radius-Access-Accept
EAP-Success
EAPOL-Key (WEP) Acceso Permitido
Unos se
quejan...
RADIUS
USTED DECIDE!!
802.1x EAP
Tipos y Diferencias
Linux
Patentado por Cisco (basado en 802.1x)
El Nombre de Usuario se enva sin proteccin
La CONTRASEA se enva sin proteccin:
sujeto a ATAQUES DE DICCIONARIO
(MSCHAP v1 hash - * ftp://ftp.isi.edu/in-notes/rfc2433.txt)
EAP-MD5
Basado en Nombre de Usuario y Contrasea
El Nombre de Usuario se enva sin proteccin
Sujeto a ATAQUES DE DICCIONARIO
EAP-MD5 requiere una clave fija manual WEP y
EAP-TLS (Microsoft)
Ofrece
fuerte
autenticacin
mtua,
credenciales de seguridad y llaves dinmicas
Requiere la distribucin de certificados
digitales a todos los usuarios as como a los
servidores RADIUS
Requiere una infraestructura de gestin de
certificados (PKI)
Windows XP contiene un cliente EAP-TLS, pero
obliga a los administradores a emplear slo
certificados Microsoft
Intercambio de identidades desprotegido
que
el
usuario
establezca
el
certificado
Incmodo
para
establecer
mltiples
dispositivos, transferir certificados
Los administradores son reacios a su uso
Adopcin limitada a una fecha
6 ciclos entre usuario y autenticador
EAP-TTLS
Permite a los usuarios autenticarse mediante
EAP-PEAP
Propuesto
por
Microsoft/Cisco/RSA
Security
No requiere Certificados
Tambin utiliza Transport Layer Security
(TLS) para establecer el tnel
Se incluye en SP1 de Windows XP
Se incluir en Windows 2003 Server
TKIP
IV
TSC
IV / Clave
4 octetos
IV Extendido
4 octetos
Datos
n octetos
MIC
8 octetos
ICV
4 octetos
48 bits
WEP y WPA
Funcin
WEP
WPA
Soluciona
debilidades
Encriptacin
Dbil
Claves
40 bits
128 bits
Claves
Estticas
Dinmicas
Claves
Autenticacin
Distribucin manual
Dbil
Automtica
Fuerte, segn
802.1x y EAP
IEEE
WEP
EAP
(802.11b)
(802.1x)
WPA
(802.11i)
MD5
LEAP
Cisco
TLS
Microsoft
XP/2000 (SP3)
TTLS
Funk
Software
PEAP
Cisco
XP (SP1)
LEAP
(Cisco)
EAP-TLS
(MS)
EAP-TTLS
(Funk)
EAP-PEAP
Estndar
Patente
Estndar
Estndar
Estndar
CertificadosCliente
No
N/A
No
(opcional)
No
(opcional)
CertificadosServidor
No
N/A
Credenciales
de Seguridad
Ninguna
Deficiente
Buena
Buena
Buena
Soporta
Autenticacin
de Base de
Datos
Requiere
Borrar la
Base de
Datos
Active
Directory,
NT
Domains
Active
Directory
Act. Dir., NT
Domains,
Token
Systems,
SQL, LDAP
------
Intercambio
de llaves
dinmicas
No
Autenticacin
Mtua
No
Tema
Solucin de
Seguridad
Conclusiones
La eleccin del mtodo de Autenticacin
es la decisin fundamental
La
eleccin
del
servidor
de
Autenticacin y del software de los
clientes
Si no existe PKI
deseche TLS
PEAP no tiene ventajas sobre TTLS
Fuente: 802-11 Wireless Networks
Qu Mtodo de Autenticacin?
Qu Servidor de Autenticacin?
Qu Hardware?
- Access Point
- Tarjetas Wi-Fi
Copyright 2003 VIRUSPROT, S.L. Prohibida la
66reproduccin
Fuente: http://www.virusprot.com/Nt260641.html
Polticas de Seguridad
Fsicas
Paredes/Vigilancia
Laboral
PAs/EM privadas
Viajeros frecuentes
Observacin fsica
PAs/warchalking
El Futuro
PAs ms inteligentes
Quizs PAs de tipo empresarial
Mucho mayor alcance de los Pas
Todas las estaciones mviles
Centrino
Switches + Radius (appliance)
Hot spots en sitios pblicos
WiFi en todos los hogares
Virus para PAs
con
Nuevas Tecnologas...Nuevas
Oportunidades
Tcnicos especializados en wireless
Tcnicos especializados en Seguridad
wireless
UOC
Business Case
Qu es Odyssey
Odyssey es una solucin de seguridad 802.1x extremo-
Caractersticas de Odyssey
Odyssey
Client
se
ejecuta
bajo
Windows
98/ME/2000/XP/CE
Administracin de certificados basada en servidor (no se
requiere certificado del lado-cliente excepto al usar EAPTLS)
Trabaja con cualquier hardware basado en 802.1x
Generacin de llave dinmica para una seguridad
superior:
Llave inicial WEP creada dinmicamente (no ms llaves
estticas WEP)
Llaves peridicas de sesin generadas a intervalos
configurables
La autenticacin trabaja frente a bases de datos
existentes Active Directory/NT Domain (y nombre de
usuario/contrasea existentes)
Odyssey Server
Servidor de Autenticacin 802.1x
Dirigido a la localizacin de datos corporativos con
EAP-TLS
EAP-TTLS
EAP-Cisco Wireless (LEAP)
EAP-MD5
EAP-PEAP
Soporte para Autenticacin solamente
Autenticacin
slo
contra
Windows
Directory/NT Domains
Active
W532
RADIUS (SBR)
ODYSSEY
Producto
Finalidad
Bsico
Todo tipo de
Usuarios
Mini
(3 PA)
Pymes
Sucursales
Secc. Aisladas
Hotspot
Acceso pblico
Internet
Enterprise
Empresas
Global
Grandes
Empresas
Service
Provider
Proveedores
Internet
Conectividad
Plataforma
WIRELESS
Windows 2000
y
Windows XP
WIRELESS
Windows NT/2000
Solaris
Windows NT/2000
Solaris
Netware
WIRELESS
+
CABLES
Windows NT/2000
Windows XP
Solaris
Windows NT/2000
Solaris
Le agradecemos
su atencin.
Alguna Pregunta?