607_SeguridadredesWLAN

Seguridad en redes WLANConozca lo esencial para su empresa

Izaskun Pellejero Amaia LestaFernando Andreu

Autores:

COLECCIN GUAS TCNICAS

www.enpresadigitala.net

Sociedad para la Promocin y Reconversin Industrial, s.a.

Prlogo

Seguridad en

redes WLA

N

PRLOGO

Las redes Wi-Fi basadas en los estndares IEEE 802.11 b/g se han hecho muypopulares en los ltimos tiempos. Muchos usuarios han instalado redes Wi-Fi ensus hogares, se ha multiplicado el nmero de hot-spots y numerosas organizacioneshan aadido puntos de acceso Wi-Fi a sus redes cableadas para proporcionara sus empleados un acceso ms sencillo a los datos y servicios corporativos.

Estas redes han proporcionado a los hackers nuevas oportunidades para conseguiracceso no autorizado a los sistemas corporativos y sus datos, favorecido por lascaractersticas especficas tanto del medio de transmisin como del trfico quepor l circula.

Estas limitaciones en la seguridad han conducido al desarrollo de nuevas solucionesde seguridad alternativas a la inicialmente existente (WEP) para proteger a lasredes Wi-Fi y proporcionar a las organizaciones la garanta que necesitan parasus sistemas y datos. El enorme inters que suscita, en general, el tema de laseguridad y ms especficamente en el mbito de las redes Wi-Fi hacen que seaun rea de gran actividad tanto investigadora como de aplicacin.

3

Prlogo

Seguridad en

redes WLA

N4

Es en este marco de inters en el que la presente obra realiza una valiosaaportacin para tcnicos responsables del diseo y gestin de estas redes.Incluye, en primer lugar, la descripcin exhaustiva de los mecanismos de seguridadexistentes para este tipo de redes (PPTP, L2TP, WEP, WPA, IEEE802.11i, WPA2,IPsec VPN, SSL, SSH, HTTPS) as como un estudio comparativo de los mismos;en segundo lugar, contempla una serie de recomendaciones para el diseo delas redes WI-FI en entornos corporativos y posibles implementaciones.

El conjunto constituye una excelente referencia tanto para quienes tienen queenfrentarse en la actualidad a los problemas de securizacin de sus redesWi-Fi como para quienes tienen planes de instalar este tipo de redes en un futuroprximo.

D. Jose Luis Del Val Decano de la Facultad de Ingeniera de la Universidad de Deusto

Agradecimientos

Seguridad en

redes WLA

N

AGRADECIMIENTOS

Este trabajo no podra haber sido realizado sin la ayuda de las instituciones quelo han impulsado: el Gobierno Vasco (a travs de la Agencia de desarrolloempresarial SPRI), el Ministerio de Industria, Turismo y Comercio (a travs delPrograma de Fomento de Investigacin PROFIT) y la iniciativa europea Eureka (atravs del programa de I+D ITEA). Especialmente nos gustara destacar a EnpresaDigitala por la oportunidad que nos ha brindado con esta publicacin, as comoal proyecto ITEA Mobilizing the Internet que nos ha permitido trabajar en estrechacolaboracin con la empresa EADS. Sin estos apoyos, sin duda, hoy no tendranen sus manos esta gua.

Los autores tampoco podramos haber realizado esta gua sin contar con laapuesta de Euskaltel por la generacin de conocimiento, la investigacin y desarrollotecnolgico, como pilar fundamental de su estrategia de disponer de una ofertacompetitiva e innovadora en el mercado. Esta estrategia produce sinergiaspositivas que transcienden el mercado y nuestra organizacin, y se transmiteaguas arriba en la cadena de valor, permitiendo la colaboracin en esta gua dela Universidad del Pas Vasco y de la Universidad de Deusto, a quienes nos gustarafinalmente agradecer su inestimable aportacin.

5

00

Seguridad en

redes WLA

N

ndiceRESUMEN EJECUTIVO..............................................................7

INTRODUCCIN.......................................................................11

DEFINICIONES TILES..................................................................12

MECANISMOS DE SEGURIDAD EN REDES WLAN............................16

4.1 Redes WLAN: Descripcin y funcionamiento bsico................................16

4.2 Mecanismos de seguridad en redes WLAN...........................................18

4.3 Comparativa entre diferentes mecanismos de seguridad.......................21

4.3.1 Autenticacin...........................................................................22

4.3.2 Cifrado....................................................................................25

RECOMENDACIONES DE DISEO PARA ENTORNOSCORPORATIVOS......................................................................29

5.1 Normas de diseo bsicas...................................................................29

5.1.1 Recomendaciones de ingeniera social.........................................29

5.1.2 Recomendaciones de red..........................................................30

5.1.3 Recomendaciones de seguridad..............................................32

5.1.4 Recomendaciones de proteccin fsica de la seal....................35

5.2 Posibles implementaciones.................................................................35

5.2.1 WEP.........................................................................................36

5.2.2 WPA.................................................................................38

5.2.3 Combinacin de WEP y WPA.....................................................40

5.2.4 IEEE 802.11i..........................................................................41

5.2.5 IPSec VPN..........................................................................42

CONCLUSIONES........................................................................46

ACRNIMOS..............................................................................50

REFERENCIAS................................................................................53

6

1

2

3

4

5

6

7

8

01 Resumen Ejecutivo

Seguridad en

redes WLA

N

RESUMEN EJECUTIVO

Segn una encuesta realizada por Intel en mayo de 2004, los empleados seencuentran ms del 32% de su tiempo fuera de su puesto de trabajo, estimndoseque esta cifra se elevar al 42% en los prximos aos.

En este escenario de movilidad, las redes WLAN se han convertido en un elementoclave en el aumento de la productividad de las empresas ofreciendo ventajascomo la movilidad y la flexibilidad de los empleados. Por ello, en la actualidad, unnmero elevado de empresas puede encontrarse analizando la viabilidad de realizarun proceso de actualizacin de sus redes corporativas, introduciendo las redesinalmbricas WLAN como complemento a sus redes de datos cableadas o derea local (tambin conocidas como redes LAN).

Sin embargo, las redes WLAN conllevan una exposicin a ciertos riesgos quedeben ser resueltos de antemano. Estos riesgos provienen del hecho de quetanto el medio de transmisin, el aire, como el trfico enviado pueden seraccedidos por terceros, incluso desde fuera del lmite fsico de la empresa. Estosriesgos se pueden limitar a obtener informacin de la red (son los llamadosataques pasivos) o pueden implicar la modificacin de datos, la creacin de falsosflujos en la transmisin de datos e, incluso, colapsar los servicios que puedeprestar la red (conocidos como ataques activos).

Por lo tanto, la seguridad es un aspecto crtico en una red WLAN, especialmenteen entornos corporativos debido a la confidencialidad de la informacin utilizadaen los mismos.

7

1


Seguridad en

redes WLA

N

Ilustracin 1 La seguridad en una red WLAN es crtica en un entorno corporativo

Los mecanismos de seguridad propios de las redes inalmbricas WLAN eranvulnerables en un primer estadio de la tecnologa, tal y como han demostradonumerosos estudios. En los ltimos aos, se ha realizado un trabajo intenso enesta rea, fruto del cual, en la actualidad si se requiere por la aplicacinempresarial, el nivel de seguridad de las redes inalmbricas WLAN es equivalenteal de las redes cableadas.

Esta gua analiza en detalle los mecanismos de seguridad para redes WLAN, quese resumen a continuacin, y recomienda "buenas prcticas" de implementacin.

Como primera medida de seguridad se recomienda que la red WLAN se encuentrefsicamente separada (mediante Firewalls) de la red LAN de la empresa. Asmismo, debido a la creciente necesidad de movilidad por los empleados nmadaso itinerantes, se recomienda que el mecanismo de seguridad seleccionado paraentorno corporativo sea compatible (en ltima instancia el mismo) con el queutilicen los empleados fuera del lmite fsico de su empresa.

8

Recursos de redcorporativos

AP

AtacanteUsuario

WLAN corporativa


Seguridad en

redes WLA

N

En la actualidad existen diferentes mecanismos de seguridad para redes WLAN,los cuales estn evolucionando continuamente para adaptarse a las necesidadesde seguridad de los usuarios mviles. Estas necesidades de seguridad vienen asu vez impuestas por las vulnerabilidades existentes en los mecanismos deseguridad de las redes WLAN (mecanismos como WEP WPA) as como porla diversidad de ataques conocidos.

Las conclusiones del anlisis de los diferentes mtodos de seguridad y surespuesta a los riesgos pueden ser resumidas de la siguiente manera:

Si se quiere ofrecer la misma solucin de seguridad tanto en entorno empresarialcomo para los empleados fuera del lmite fsico de la oficina, la solucin IPSecVPN es altamente recomendada as como el uso de firewalls que filtren eltrfico de la red de la empresa.

Se pueden combinar el uso de IPSec VPN y soluciones especficas para redesWLAN. En este caso el mecanismo IEEE 802.11i es el nico mecanismoespecfico para redes WLAN cuyo algoritmo de cifrado no ha sido vulnerado,por lo que puede ser considerado como un mecanismo seguro para entornoscorporativos. El inconveniente de esta solucin, es que en el caso de algunosfabricantes es necesario cambiar los puntos de acceso previamente instaladospor unos puntos de acceso que soporten IEEE 802.11i. Adems, actualmentelos dispositivos PDA existentes no son compatibles con el algoritmo de cifradoAES empleado por el mecanismo IEEE 802.11i por falta de capacidad deprocesado.

En el caso de desecharse la opcin de emplear IEEE 802.11i, WPA es elmecanismo a utilizar. El inconveniente de este mecanismo es que su algoritmode cifrado ha sido vulnerado. No obstante aporta mejoras importantes conrespecto a WEP:- Aunque el algoritmo de cifrado haya sido vulnerado es ms complicado

realizar ataques que comprometan la informacin cifrada.

9


Seguridad en

redes WLA

N

- Adems, WPA, al igual que IEEE 802.11i, ofrece gestin dinmica de lasclaves.

Tanto IEEE 802.11i como WPA utilizan autenticacin basada en la combinacinde los protocolos IEEE 802.1x y EAP. Dentro de los numerosos tipos de EAPexistentes, los ms seguros y flexibles son:

- EAP-TLS en el caso de seleccionar autenticacin en la parte cliente basadaen certificado.

- EAP-TTLS y PEAP si se requiere autenticacin mediante nombre deusuario/contrasea. PEAP es compatible con las soluciones de Microsoftpero EAP-TTLS se puede utilizar con mayor nmero de mecanismos deautenticacin.

No obstante, en el caso de que no sea posible la utilizacin de IEEE 802.11ini WPA, siempre es recomendable utilizar WEP antes que transmitir lainformacin sin cifrar.

10

02 Introduccin

Seguridad en

redes WLA

N11

INTRODUCCIN

Las redes inalmbricas se diferencian de las redes cableadas, en la naturalezadel medio que emplean para trasmitir sus datos, es decir, el aire. Las redesWLAN, tambin conocidas como Wi-Fi (en esta gua se har referencia a ellascomo redes WLAN), se han convertido en objetivos interesantes de posiblesataques porque tanto el medio de transmisin (el aire) como el trfico enviadosobre el mismo pueden ser accesibles. Los problemas de seguridad son msrelevantes en entornos corporativos por la confidencialidad de la informacinutilizada en los mismos, dado que sta puede ser accesible fuera del lmite fsicode la organizacin. Por esta razn las redes inalmbricas necesitan mecanismosde seguridad adicionales para garantizar un nivel adecuado de seguridad.

Esta gua tecnolgica recoge recomendaciones sobre los mecanismos deseguridad a utilizar para el diseo de redes inalmbricas WLAN en entornoscorporativos. As mismo, y con el objetivo de aclarar el porqu de los diferentesmecanismos de seguridad, se realiza un resumen de las principales caractersticasde los mtodos y mecanismos de seguridad implementados hasta la fecha paraprotegerse de los mismos.

Esta gua consta de tres grandes bloques: se comienza con un apartado dedefiniciones tiles, en el cual se realiza un resumen de los trminos utilizadosa lo largo de la gua. A continuacin se comparan los diferentes mecanismos deseguridad para redes WLAN existentes y se realiza una comparativa de sucomportamiento frente a ataques. Por ltimo se realizan recomendaciones dediseo para entornos corporativos. Se proponen soluciones basadas en WEP,WPA, IEEE 802.11i, e IPSec VPN para su aplicacin en entornos corporativos.

Para cada escenario de uso se proponen diferentes arquitecturas y niveles deseguridad obtenidos aplicando las mismas.

2

03 Definiciones tiles

Seguridad en

redes WLA

N12

3 DEFINICIONES TILES

Con objeto de facilitar la lectura y familiarizar al lector, se presenta una serie debreves definiciones de conceptos que se emplean a lo largo de la gua.

Punto de acceso inalmbricoDispositivo que se comunica con adaptadores inalmbricos en ordenadoreso PDAs mediante seales de radio y acta como puente entre stos y la redtroncal. El AP es el encargado de coordinar la comunicacin entre los entrenodos inalmbricos que estn conectados a el.

AutenticacinProceso mediante el cual se comprueba la identidad de un usuario o un equipoen la red.

CifradoTratamiento de un conjunto de datos, contenidos o no en un paquete, a fin deimpedir que nadie excepto el destinatario de los mismos pueda leerlos. Sueleemplearse para ello un algoritmo de cifrado y una clave de cifrado.

VPN (Virtual Private Network)Red privada que permite conectar de forma segura a las empresas con otrasoficinas de su organizacin, empleados a distancia, personas con mviles,proveedores, etc.

WEP (Wired Equivalent Privacy)Primer mecanismo de seguridad que se implement bajo el estndar de redesinalmbricas IEEE 802.11x para codificar los datos que se transfieren a travsde una red inalmbrica.


Seguridad en

redes WLA

N13

WPAEstndar desarrollado por la Wi-Fi Alliance, basado en un borrador del estndarIEEE 802.11i, para mejorar el nivel de codificacin existente en WEP as comopara incorporar un mtodo de autenticacin.

IEEE 802.11iEstndar del IEEE que define la encriptacin y la autenticacin para complementar,completar y mejorar la seguridad en redes WLAN proporcionada por WEP.

WPA2Implementacin aprobada por Wi-Fi Alliance interoperable con IEEE 802.11i.El grupo WPA2 de la Wi-Fi Alliance es el grupo de certificacin del estndarIEEE 802.11, para lo cual se basa en las condiciones obligatorias del estndar.

IEEE 802.1xEstndar de nivel 2 para el control de acceso a red. Mediante el empleo depuertos ofrece un marco para una autenticacin superior (basada en unapareja identificador de usuario y contrasea certificados digitales) y distribucinde claves de cifrado.

EAP (Extensible Authentication Protocol)Protocolo de autenticacin para llevar a cabo tareas de AAA que define lascredenciales necesarias para la autenticacin de usuarios. En redes WLANes utilizado junto con el protocolo IEEE 802.1x en la negociacin de la conexinentre el punto de acceso y el usuario de la red WLAN.

IPSecMarco de estndares abiertos para asegurar comunicaciones privadas sobreredes IP.

SSL (Secure Sockets Layer)Estndar que reside entre la capa de redTCP/IP y aplicacin de la pila deprotocolos OSI y permite realizar transacciones seguras entre mquinas.


Seguridad en

redes WLA

N14

SSL VPN (Secure Sockets Layer V irtual Private Network)Redes privadas virtuales que se establecen empleando el protocolo de la capade transporte SSL. Su principal ventaja sobre las otras soluciones VPN existentes(como IPSec VPN) es que no hace falta tener instalado ningn cliente en elterminal de usuario para establecer la conexin segura.

SSH (Secure Shell)Protocolo que sirve para acceder a mquinas remotas usando tcnicas decifrado para que ningn atacante pueda descubrir el usuario y contrasea dela conexin ni lo que se escribe durante toda la sesin.

HTTPS (HyperText Transfer Protocol Secure)Versin segura del protocolo HTTP. Utiliza un cifrado basado en Secure SocketLayer (SSL) para crear un canal cifrado ms apropiado para el trfico deinformacin sensible que el protocolo HTTP.

Espionaje/SurveillanceAtaque que consiste en observar el entorno para recopilar informacinrelacionada con la topologa de la red. Esta informacin puede ser empleadaen posteriores ataques.

Escuchas/Sniffing/EavesdroppingEste ataque tiene como objetivo final monitorizar la red para capturar informacinsensible (por ejemplo, la direccin MAC IP origen y destino, identificadoresde usuario, contraseas, clave WEP, etc) como un paso previo a ataquesposteriores. Un ejemplo de ataque derivado de la realizacin de escuchas esel wardriving.

Ataques de descubrimiento de contraseaEste tipo de ataque trata de descubrir la contrasea que un usuario proporcionapara acceder al sistema o descubrir claves de cifrado de la informacin.

Puntos de acceso no autorizados (Rogue APs)Puntos de acceso inalmbrico que se conectan sin autorizacin a una red


Seguridad en

redes WLA

N15

WLAN existente. Estos puntos de acceso no son gestionados por losadministradores de la red WLAN y es posible que no se ajusten a las polticasde seguridad de la red.

SpoofingAtaque que consiste en emplear un terminal cliente al que se han asociadovalidadores estticos (por ejemplo, la direccin IP) de una red WLAN parasuplantar la identidad de algn miembro de la comunicacin. Ataques derivadosde l son los ataques de secuestro de sesiones y Man in the Middle.

Hombre en el medio (Man in the Middle)El ataque de Hombre en el Medio, tambin conocido como Man in the Middle,se sirve del spoofing para interceptar y selectivamente modificar los datos dela comunicacin para suplantar la identidad de una de las entidades implicadasen la comunicacin.

Secuestro de sesiones (Hijacking)El secuestro de sesiones o hijacking es una amenaza de seguridad que se valedel spoofing, pero sta consiste en tomar una conexin existente entre doscomputadores. Tras monitorizar la red el atacante puede generar trfico queparezca venir de una de las partes envueltas en la comunicacin, robando lasesin de los individuos envueltos.

Denegacin de servicio (DoS)La denegacin de servicio tiene como objetivo inutilizar la red para que otrosusuarios no puedan acceder a ella.

04 Mecanismos de seguridad en redes WLAN

Seguridad en

redes WLA

N16

MECANISMOS DE SEGURIDAD EN REDES WLAN

Antes de comenzar con el anlisis de los diferentes mecanismos de seguridadde las redes WLAN, se realiza una breve descripcin de las redes WLAN y desu funcionamiento bsico.

4.1 REDES WLAN: DESCRIPCIN Y FUNCIONAMIENTO BSICO

Una red WLAN es aquella en la que una serie de dispositivos (PCs, estacionesde trabajo, impresoras, servidores, etc.) se comunican entre s en zonasgeogrficas limitadas sin necesidad de tendido de cable entre ellos.

La tecnologa inalmbrica WLAN se est desarrollando con rapidez ya que ofrecemovilidad al usuario y requiere una instalacin muy sencilla, permitiendo a usuariosde terminales porttiles y trabajadores nmadas o itinerantes acceder a redesde informacin con rapidez y flexibilidad.

Las redes inalmbricas de rea local son un sistema de comunicacin de datosflexible, muy utilizado como alternativa o complemento a la LAN cableada o comouna extensin de sta. Respecto a la red cableada, la red inalmbrica ofrece lassiguientes ventajas:

Movilidad: Informacin en tiempo real en cualquier lugar de la organizacin oempresa para todo usuario de la red. Esta movilidad permite una productividady oportunidad de servicio no proporcionada por las redes cableadas.

Flexibilidad: Permite llegar donde el cable no puede. Las redes WLAN aportana las organizaciones flexibilidad para que sus empleados trabajen en edificiosdiferentes, reorganizar departamentos fcilmente, una vez que los puntos de

4


Seguridad en

redes WLA

N

acceso estn situados estratgicamente en su edificio los usuarios simplementedeben introducir un adaptador en su ordenador y ya estn conectados conlibertad de movimiento.

Adaptabilidad: El cambio de topologa de red es sencillo y trata igual a pequeasy grandes redes. Pudindose ampliar o mejorar con gran facilidad una redexistente.

Reduccin de costes: La instalacin de una red inalmbrica es mucho msbarata que la cableada cuando mayor sea la superficie a cubrir. Con la sencillezy flexibilidad de las redes WLAN las organizaciones pueden ahorrar costes degestin de red relacionados con la adicin, movimiento y cambio garantizandoun corto perodo de amortizacin.

Facilidad de instalacin: Evita obras para tirar cable por muros y techos.

Mayor productividad: Las redes WLAN permiten al empleado trabajar fueradel puesto de trabajo.

El elemento fundamental de la arquitectura de las redes IEEE 802.11 es la celda,la cual se puede definir como el rea geogrfica en la cual una serie de dispositivosse interconectan entre s por un medio areo. En general esta celda estarcompuesta por estaciones y un nico punto de acceso inalmbrico.

Las estaciones inalmbricas son terminales cliente que cuentan con adaptadoresque realizan las funciones de las tarjetas de red ethernet, adaptando las tramasethernet que genera el terminal, a las tramas del estndar inalmbrico yviceversa, posibilitando la transmisin transparente de la informacin. Estosadaptadores pueden estar integrados en el propio terminal cliente o, en casocontrario, tratarse de una tarjeta externa.

El punto de acceso (AP) es el elemento que tiene la capacidad de gestionartodo el trfico de las estaciones inalmbricas y que puede comunicarse conotras celdas o redes. Es a todos los efectos un bridge que comunica los equipos

17


Seguridad en

redes WLA

N

de su celda de cobertura entre s y con otras redes a las cuales estuvieseconectado, haciendo de puente entre las redes cableadas y las inalmbricas.Adems posee funcionalidades para la asignacin de recursos, mediante eluso de tramas "baliza", asignando un canal a las estaciones que se asocianal AP.

En la Ilustracin 2 se muestra el esquema bsico de la arquitectura de una red WLAN.

4.2 MECANISMOS DE SEGURIDAD EN REDES WLAN

El primer paso para asegurar una red WLAN, es conocer cules son los ataquesque este tipo de redes pueden sufrir. stos pueden ser divididos en dos grandesgrupos:

Ataques Pasivos. El principal objetivo del atacante es obtener informacin.Estos ataques suponen un primer paso para ataques posteriores. Algunosejemplos de este tipo de ataques seran el espionaje, escuchas, wardriving ylos ataques para el descubrimiento de contraseas.

18

INTERNET

Punto de acceso WLAN

Usuario

EstacinInhalmbrica


Seguridad en

redes WLA

N

Ataques Activos. Estos ataques implican la modificacin en el flujo de datoso la creacin de falsos flujos en la transmisin de datos. Pueden tener dosobjetivos diferentes: pretender ser alguien que en realidad no se es o colapsarlos servicios que puede prestar la red. Algunos ejemplos de este tipo de ataquesson el spoofing, la instalacin de puntos de acceso no autorizados o RogueAPs, el ataque de Hombre en el medio (Man In The Middle), el secuestro desesiones (Hijacking) y la denegacin de servicio (DOS).

No obstante, al igual que son numerosos los ataques a redes WLAN existentes,tambin lo son los mecanismos de seguridad que se pueden aplicar paraproteger los mismos. Se debe seleccionar aquel que presente el nivel de seguridadexigida, el tipo de servicio deseado y el coste de gestin y mantenimiento de lassoluciones adoptadas. Adems, es importante resaltar que los mecanismos deseguridad para redes WLAN estn evolucionando continuamente para adaptarsea las necesidades de seguridad de los usuarios.

El segundo paso es el conocimiento de los mecanismos de seguridad aplicablesen redes WLAN, as como un anlisis comparativo de aquellos con mayoraplicabilidad en este tipo de redes: WEP (Wired Equivalent Privacy)

Fue el primer mecanismo de seguridad que se implement bajo el estndarde redes inalmbricas IEEE 802.11 para cifrar los datos que se transfierena travs de una red inalmbrica. Es un mecanismo de seguridad bsico delque han sido demostradas numerosas vulnerabilidades.

WPA (Wi-Fi Protected Access)Estndar desarrollado por la Wi-Fi Alliance, basado en un borrador del estndarIEEE 802.11i, para mejorar el nivel de cifrado existente en WEP e incorporaradems un mtodo de autenticacin.

IEEE 802.11iEstndar que define el cifrado y la autentificacin para complementar, completary mejorar la seguridad en redes WLAN proporcionada por WEP.

19


Seguridad en

redes WLA

N

WPA2 (Wi-Fi Protected Access v2)Es la implementacin aprobada por Wi-Fi Alliance interoperable con IEEE802.11i. El grupo WPA2 de Wi-Fi Alliance es el grupo de certificacin delestndar IEEE 802.11i, para lo cual se basa en las condiciones obligatoriasdel mismo. En funcin de la configuracin de un sistema WPA2 sucomportamiento ser similar a la de un sistema WPA o un sistema IEEE802.11i.

La evolucin histrica de estos mecanismos se muestra en la siguiente figura:

Ilustracin 3 Evolucin de los mecanismos de seguridad en redes WLAN

El funcionamiento bsico de estos mecanismos se basa en el cifrado de lainformacin de usuario en el interfaz aire (entre el terminal de usuario y el puntode acceso WLAN). Adems, todos excepto WEP, implican autenticacin deusuario. En el caso del mecanismo WEP la nica autenticacin que se realizaes la autenticacin de terminal, pero no contempla ningn otro modo deautenticacin de usuarios ni de punto de acceso.

Adicionalmente, es posible emplear en redes WLAN soluciones de seguridad yaempleadas en otros tipos de redes (cableada o inalmbrica). As, por ejemplo,mecanismos de seguridad como SSH, HTTPS, SSL, IPSec VPN, PPTP VPN yL2TP VPN son aplicables no slo a redes WLAN sino tambin a otro tipos deredes.

20

WPA2IEEE802.11i

20042003200220012000

WPAWEP


Seguridad en

redes WLA

N

Los protocolos SSL, HTTPS y SSH, no obstante, slo permiten asegurar el trficogenerado por cierto tipo de aplicaciones, por lo que el estudio de estos protocolosqueda fuera del mbito de anlisis de esta gua. As, por ejemplo, el uso conjuntode SSL y HTTPS slo permite asegurar la comunicacin entre dos mquinas, porejemplo, un terminal de usuario y un servidor web de un banco, protegiendo elcontenido de las transacciones entre ambos. En el caso de SSH, este protocolodel nivel de aplicacin emplea tcnicas de cifrado para permitir el acceso amquinas remotas, la copia y el paso de datos de forma segura a travs de uncanal SSH, as como la gestin de claves RSA (Rivest, Shamir y Adelman).

En cuanto a las diferentes soluciones de seguridad para el acceso corporativobasadas en la creacin de VPNs (redes privadas virtuales), en todas ellas estasolucin est formada por un cliente VPN instalado en el terminal de usuario yun concentrador VPN situado en el borde de la red empresarial. Este tipo desolucin realiza un robusto cifrado del trfico generado y recibido por los empleadosdesde y hacia las redes WLAN es un trfico.

Dentro de las diferentes soluciones VPN existentes, las soluciones a nivel deenlace (L2TP, PPTP,) implican la necesidad de que el equipamiento (routers,puntos de acceso, clientes inalmbricos, etc.) soporte protocolos especficos,lo que hace de estas soluciones una alternativa compleja de implementar. Lassoluciones VPN basadas en IPSec (a nivel de red), son una opcin ms sencillade implementar, bien conocida y probada y se considera como un mecanismomuy robusto de seguridad de la red.

4.3 COMPARATIVA ENTRE DIFERENTES MECANISMOS DESEGURIDAD

Una vez conocidos los diferentes mecanismos de seguridad existentes en redesWLAN, se realiza un anlisis comparativo de aquellos con mayor aplicabilidad enredes WLAN.

Con este propsito, en la Tabla 1 se resumen las principales caractersticas deaquellos mecanismos desarrollados especficamente para dotar de seguridad a

21


Seguridad en

redes WLA

N

redes WLAN, como son WEP, WPA, IEEE 802.11i, as como de las solucionesVPN basadas en la tecnologa IPSec.

Los parmetros seleccionados para llevar a cabo la comparativa de los distintosmecanismos de seguridad bajo estudio son por un lado parmetros relacionadoscon la autenticacin y por otro lado parmetros relacionados con el cifrado, loscuales se detallan en los siguientes apartados.

Tabla 1 Comparativa: WEP, WPA, IEEE 802.11i e IPSec VPN

4.3.1 Autenticacin

En cuanto a la autenticacin, en el caso de la autenticacin WEP, el punto deacceso se limita a aceptar nicamente el trfico procedente de terminales deusuario con la clave de cifrado correcta. La autenticacin del resto de mecanismoses ms completa y robusta.

Por un lado, la autenticacin en WPA e IEEE 802.11i se basa en la combinacindel estndar IEEE 802.1x y el Protocolo de Autenticacin Extendida (EAP). Lautilizacin conjunta de ambos permite llevar a cabo la autenticacin mutua extremo

22

WEP WPA 802.11i IPsec VPN

Autenticacin

Cifrado

Otros

IKE de mquina, X-AUTH de usuario802.1X + EAP802.1X + EAPWEPAutenticacin

S802.1X (EAPOL)NoNoPre-autenticacin

S (DES, 3DES, AES)SSNoNegociacin del cifrado

ESP: DES 56-bit, 3DES 168-bit,AES 168, 128, 192, 256

CCMP: AES 128-bitTKIP: RC4 128-bitRC4 40-bit o 104-bitCifrado

DES-CBC 8 bytes48 bits48 bits24 bitsVector de inicializacin

AHCCMMICNoIntegridad de la cabecera

AH/ESPCCMMICCRC-32Integridad de los datos

SFuerza secuencia de IVFuerza secuencia de IVNoProteccin de respuesta

IKE (Diffie-Hellman)Basada en EAPBasada en EAPNoGestin de claves

Diffie-Hellman802.1X (EAP)802.1X (EAP)ManualDistribucin de clave

UsuarioPaquete, sesin y usuarioPaquete, sesin y usuarioRedClave asignada a:

ESPNo necesarioMezclado TKIPConcatenacin de IVClave por paquete

NoS (IBSS)NoNoSeguridad ad-hoc


Seguridad en

redes WLA

N

a extremo entre el usuario y el servidor de autenticacin de la red de maneracentralizada, as como generar claves de cifrado y su distribucin.

El estndar IEEE 802.1x es un estndar para el control de acceso a red de nivel2 basado en puertos que ofrece un marco para una autenticacin superior(basada en una pareja identificador de usuario y contrasea o certificados digitales)y distribucin de claves de cifrado. Pero, IEEE 802.1x no es una alternativa alcifrado, por lo que puede y debe ser usado junto a una tcnica de cifrado medianteel correspondiente algoritmo de cifrado.

Por otro lado, IEEE 802.1x establece una capa o nivel entre la capa de accesoy los diferentes algoritmos de autenticacin que existen hoy en da. IEEE 802.1xtraduce las tramas enviadas por un algoritmo de autenticacin en el formatonecesario para que estas sean entendidas por el sistema de autenticacin queutilice la red. Por lo tanto, IEEE 802.1x no es por si mismo un mtodo deautenticacin y debe emplearse de forma conjunta con protocolos de autenticacinpara llevar a cabo la verificacin de las credenciales de usuario, este protocolopuede ser cualquier tipo de EAP, as como la generacin de las claves de cifrado.

Por su parte, el echo de utilizar EAP de forma conjunta con IEEE 802.1x, permiteque se puedan emplear mltiples esquemas de autenticacin entre los terminalesde usuario y la red, entre los que se incluyen tarjetas de identificacin, Kerberos,RADIUS (Remote Dial-In User Service), contraseas de un solo uso (OTP),autenticacin por clave pblica mediante tarjetas inteligentes, certificados digitalesy otros. Segn el tipo de EAP seleccionado las credenciales necesarias para llevara cabo la autenticacin sern diferentes. Adems, EAP permite la generacin,distribucin y gestin de claves dinmicas. A continuacin se muestra una tablaresumen de las caractersticas ms importantes de los tipos de EAP ms utilizados(Tabla 2).

23


Seguridad en

redes WLA

N24

MD5

LEAP

TLS

TTLS

PEAP

SIM

EAPPropietario Autenticacin

del servidorAutenticacin

de clienteRiesgos nomitigados

Generacin declaves dinmica

Seguridadde las

credenciales

Re-autenticacinrpida

Tunelado Compatiblecon WPA

Exposicin de identidadAtaque de diccionarioMan in the middleSecuestro de sesiones

Exposicin de identidadAtaque de diccionario

Exposicin de identidad

Ataque de diccionario

Ataque de diccionario

No independencia de lasesinAtaques de 64 bits

No

S

No

No

No

No

No

Password hash

X.509 certificate

X.509 certificate

X.509 certificate

Pre-shared key /Key derivation

Password hash

Password hash

X.509 certificate

PAP, CHAP, MS-CHAPv2, anyEAP

Cualquier EAP

Pre-shared key /Key derivation

No

S

S

S

S

S

No

Dbil

Fuerte

Fuerte

Fuerte

Fuerte

No

No

S

S

S

S

No

No

No

S

S

No

No

S

S

S

S

S

Tabla 2 Sntesis EAP

Por otro lado, las soluciones de VPN basadas en IPSec, por su parte, empleanIKE para llevar a cabo la autenticacin de mquina y X-AUTH para la autenticacinde usuario.

Adems, tal y como se muestra en la tabla, slo IEEE 802.11i y soluciones VPNbasadas en IPSec emplean pre-autenticacin. Esta pre-autenticacin permite quelos terminales de usuario puedan iniciar procesos de autenticacin con puntosde acceso prximos antes de completar el proceso de autenticacin con el puntode acceso seleccionado. Por lo tanto, permite a un terminal de usuario autenticarsesimultneamente con diferentes puntos de acceso. En el caso de IEEE 802.11ise establecen conexiones especficas mediante puertos virtuales (similares a losque se estableceran en las LAN cableadas) para enviar el trfico de pre-autenticacin entre el terminal de usuario y el punto de acceso mediante elprotocolo EAPOL (EAP over LAN). Adems de los beneficios que la pre-autenticacinaporta en trminos de seguridad, se consiguen tiempos de latencia ms bajosen situaciones donde los empleados son mviles y reducciones de las prdidasde conectividad con la red, lo cual resulta interesante para aplicaciones VoIP.

De forma independiente a estos mecanismos de seguridad, tambin es posiblellevar a cabo la autenticacin de los usuarios basndose en la direccin fsica delterminal empleado por ellos, esta solucin es conocida como autenticacin pordireccin MAC. Para ello, el acceso a la red es restringido a los clientes cuyasdirecciones MAC estn contenidas en la tabla Listas de Control de Acceso ACL


Seguridad en

redes WLA

N

del sistema, la cual puede estar distribuida en los diferentes puntos de accesoo centralizada en un servidor.

Es importante destacar que este mecanismo no autentica a usuarios en si mismo,si no al interfaz del terminal que se conecta a la red a travs de su direccinfsica, conocida como direccin MAC.

Adems, otro de los inconvenientes de este mecanismo de autenticacin es quepuede ser vulnerado con facilidad. Tal y como se ha demostrado en numerososestudios, es relativamente sencillo asignar una MAC incluida en la ACL a uninterfaz, lo que se conoce como MAC spoofing. Muchas tarjetas permiten cambiarsu direccin MAC, ya se trate slo del valor que su controlador lee y almacenaen memoria, o bien reprogramando la propia tarjeta. Adicionalmente, existenalgunas utilidades que proporcionan funciones y recursos extra y que permiten,por ejemplo, obtener una MAC de determinado fabricante o capturar el trficode terminales conectados a la red para obtener su MAC.

Por ltimo, esta solucin de autenticacin puede resultar compleja de gestionarsi el nmero de terminales aumenta, por lo que no es una solucin escalableaconsejable para grandes empresas.

4.3.2 Cifrado

En cuanto al algoritmo de cifrado, tanto WEP como WPA emplean el algoritmoRC4, el cual ha sido demostrado que es fcilmente vulnerable por cierto tipo deataques. Entre las principales vulnerabilidades del algoritmo destacan la gestinmanual de claves estticas, la corta longitud de las claves secretas en el casodel mecanismo WEP (64 bits o 128 bits), la corta longitud del vector de inicializacin(IV) y una deficiente aleatorizacin de bits. Este es el punto dbil de ambosmecanismos, pero la diferencia en trminos de cifrado entre WEP y WPA radicaen la gestin de claves y el algoritmo de inicializacin, conceptos que se explicanen prximos prrafos.

En IEEE 802.11i/WPA2 y soluciones VPN basadas en IPSec, el cifrado se basaen el empleo del algoritmo AES, mucho ms complejo y que no sufre de losproblemas asociados con RC4 (algoritmo WEP).

25


Seguridad en

redes WLA

N

En cuanto a las claves de cifrado, en el mecanismo de seguridad WEP las clavesde cifrado son asignadas estticamente y de forma manual. Adems, la clavede cifrado WEP es compartida por todos los usuarios del punto de acceso, porlo que si se compromete la clave WEP todas las comunicaciones de los usuariospodran ser atacadas. Adicionalmente, la modificacin de la clave WEP tiene queser realizada manualmente por todos los usuarios, puesto que no existe ningnmtodo de distribucin y gestin de claves WEP. Esto hace que la implementaciny mantenimiento de un sistema de seguridad basado en WEP sea costoso.

En cambio, cuando se emplea WPA, IEEE 802.11i y soluciones VPN basadasen IPSec la gestin de claves es dinmica. Para ello, en WPA la generacin declaves de forma dinmica es realizada por el protocolo TKIP y en IEEE 802.11ipor CCMP. En cuanto a la gestin y distribucin de claves, IEEE 802.11i y WPAemplean IEEE 802.1x conjuntamente con algn mtodo EAP. Las soluciones VPNbasadas en IPSec emplean el protocolo IKE para la gestin y distribucin declaves.

La utilizacin de claves dinmicas conlleva un aumento en la seguridad delsistema al dificultar el descubrimiento de una clave vlida en el mismo y que, encaso de descubrimiento de la clave de cifrado durante un ataque, slo serancomprometidos un nmero limitado de datos, no todos los de la comunicacin.

La implementacin del vector de inicializacin (IV) en el algoritmo WEP tienevarios problemas de seguridad. El vector de inicializacin se utiliza en el procesode cifrado para generar la clave de cifrado de cada paquete. Mediante diferentesmecanismos se consigue que el vector de inicializacin que se utiliza para generarla clave sea diferente por cada paquete. La clave de cifrado RC4 est compuestaentre otros por una clave por paquete (parmetro que es variable) y el vectorde inicializacin. En WEP este vector de inicializacin se enva por el aire en textoplano, sin cifrado alguno y se reutilizan los mismos vectores de inicializacin paracifrar el trfico, por lo que analizando suficientes tramas un intruso no tendramucha dificultad en descifrar la clave secreta.

26


Seguridad en

redes WLA

N

En WPA se pretende resolver este problema mediante el protocolo TKIP (TemporalKey Integrity Protocol). El empleo de TKIP garantiza un vector de inicializacinampliado (doble tamao que en WEP, 48 bits) con reglas de secuencia y la mezclade dicho vector de inicializacin por paquete (ver Ilustracin 4), lo que defiendea la red WLAN de ciertos ataques de clave dbil de WEP.

Ilustracin 4 Generacin dinmica de clave por paquete

En el caso de IEEE 802.11i la tcnica empleada para superar esta vulnerabilidadde WEP es el protocolo CCMP (Counter Mode with CBC-MAC Protocol), en elque se utilizan vectores de inicializacin de la misma longitud que en TKIP, esdecir, 48 bits.

En cuanto a las soluciones VPN basadas en IPSec el vector de inicializacin esun vector DES-CBC de 64 bits.

27

32 bits

Upper IV

16 bits 24 bits 104 bits

MAC Address

Clave por sesin d es un byte para evitar claves dbiles

Lower IV

IV de 48 bits

IV Clave por paqueted IV

Mezclado de claveFase 1

Mezclado de claveFase 2

CLAVE DE CIFRADO RC4


Seguridad en

redes WLA

N

Por otro lado, WEP es el nico de los mecanismos analizados que no ofreceintegridad de cabecera ni proteccin de la respuesta. Todos ofrecen integridadde los datos. No obstante, WEP emplea para ello CRC-32 que se ha demostradoes vulnerable. Este algoritmo fue diseado para detectar errores aleatorios enla transmisin de los mensajes, pero no se trata de un algoritmo robusto comopara evitar ataques maliciosos. Por ello, en los estndares WPA y IEEE 802.11ise ha mejorado la tcnica empleada, en WPA se utiliza MIC y en IEEE 802.11iCCM. Las soluciones VPN basadas en IPSec, por su parte, emplean AH paragarantizar la integridad de la cabecera y AH ESP para garantizar la integridadde los datos.

28

05 Recomendaciones de diseo para entornos corporativos

Seguridad en

redes WLA

N29

La solucin de seguridad en redes WLAN en un entorno corporativo depende delas polticas de seguridad que se quieran implantar. En este apartado se indicanunas pautas a seguir en el diseo de redes WLAN para garantizar unos mnimosen cuanto a su seguridad en un entorno corporativo. No obstante, debe sertenido en cuenta que la utilizacin de excesivas normas de seguridad podrareducir la rapidez y utilidad de la red inalmbrica.

5.1 NORMAS DE DISEO BSICAS

Esta seccin enumera las normas de diseo bsico para dotar de seguridad auna red inalmbrica WLAN.

5.1.1 Recomendaciones de ingeniera social

Educar al personal de la empresa para que no comente informacin sensible(contraseas,..) con sus compaeros o gente desconocida, para que no escribalas contraseas en papel, etc.

Divulgar la informacin crtica (contraseas administrativas,...) al mnimopersonal posible.

Algunos empleados pueden no darse cuenta de que un despliegue WLAN noautorizado (es decir, instalar puntos de acceso no autorizados conectados ala LAN o a la WLAN), puede aumentar los riesgos en la seguridad. Por ello,es conveniente fijar pautas claras que promuevan la cooperacin activa.

RECOMENDACIONES DE DISEO PARA ENTORNOS CORPORATIVOS

5


Seguridad en

redes WLA

N

5.1.2 Recomendaciones de red

Se dividen y agrupan en tres grupos de recomendaciones:

Recomendaciones generales: La implementacin de una red WLAN no debe alterar arquitecturas y

recomendaciones ya existentes en el lugar en el que se va a llevar a cabo eldespliegue. Debe ser hecha respetando las polticas existentes en cuanto aseguridad.

Las redes WLAN no son sustitutivas de las redes LAN. Las redes WLANdeben emplearse para aumentar la flexibilidad y la disponibilidad actuales dela red proporcionando una extensin a la red existente.

Mantener una poltica de contraseas adecuada. El administrador debe prestaratencin a las contraseas. Una contrasea debe ser suficientemente largay contener caracteres no alfanumricos. Una desventaja de este mtodo esque los usuarios tienen dificultades para recordarlas y las escriben en el papelen lugar de memorizarlas.

Realizar inspecciones fsicas peridicas y emplear herramientas de gestin dered para revisar la red rutinariamente y detectar la presencia de puntos deacceso no autorizados (rogue AP).

Utilizar perfiles de usuario que permitan el control de acceso para usuarioscorporativos e invitados.

Recomendaciones de arquitectura de red: Las redes WLAN deben ser asignadas a una subred dedicada y no compartidas

con una red LAN.

Para proteger los servidores del ncleo de red de ataques DoS los serviciosque se desea prestar a los usuarios inalmbricos deben ubicarse en una DMZ(que retransmita estas peticiones de los servicios a los servidores de la

30


Seguridad en

redes WLA

N

empresa. Por lo tanto, es recomendable una red redundante para ofrecer altadisponibilidad).

Cambiar los parmetros por defecto de los equipos.

Comprobar regularmente si hay disponibles nuevas actualizaciones de seguridadpara los equipos y aplicarlos.

Adems de los puntos de acceso inalmbricos, elementos bsicos a emplearen el despliegue de redes WLAN de forma eficiente y segura son los siguientes:

- Switch de capa 2 de capa 3. Proporcionan conectividad Ethernet entrelos puntos de acceso y la red corporativa.

- Firewalls. La red WLAN es considerada insegura, por lo que todo el trficoentre ella y la red corporativa debe ser filtrada. Filtrados especiales debenaplicarse a protocolos, direcciones IP origen y subredes destino.

- Servidor de DHCP. Proporciona la configuracin de IP para los clientesinalmbricos. Su uso se recomienda por razones del escalabilidad.

- Servidor del DNS. Proporciona conectividad de IP a otras mquinas IP.

31


Seguridad en

redes WLA

N

La arquitectura bsica de una red WLAN, teniendo en cuenta las recomendacionesanteriores, se muestra en la siguiente figura:

Ilustracin 5 Arquitectura bsica de una red WLAN

Recomendaciones de protocolos: Inhabilitar cualquier protocolo inseguro y no esencial. Comprobar los protocolos

por defecto proporcionados por el fabricante.

Emplear protocolos seguros de gestin como SSL o SSH cuando sea posible.

5.1.3 Recomendaciones de seguridad

Recomendaciones generales:Siempre que sea posible es recomendable emplear el mecanismo IEEE802.11ien redes WLAN en entornos corporativos. En caso de que no sea posible emplear IEEE 802.11i, una alternativa a utilizar

es WPA. WPA aporta mejoras importantes con respecto a WEP:

32

SUBRED WI-FI DMZ

RED LAN CORPORATIVA

ServidorDNS

Switch

FirewallClientes WEP

ServidorDHCP

WLANAPs


Seguridad en

redes WLA

N

EEE802.11i y WPA utilizan autenticacin basada en la combinacin de IEEE802.1xy EAP. A la hora de seleccionar el tipo de EAP a emplear es conveniente teneren cuenta que los ms seguros y flexibles son:

- EAP-TLS en el caso de seleccionar autenticacin de cliente mediantecertificados.

- EAP-TTLS y PEAP permiten la autenticacin de cliente mediante nombre deusuario/contrasea. PEAP es compatible con las soluciones de Microsoft,pero EAP-TTLS se puede utilizar con mayor nmero de mecanismos deautenticacin.

Cuando no sea posible la utilizacin de IEEE802.11i ni WPA, siempre esrecomendable utilizar WEP.

Emplear Listas de Control de Acceso (ACL) para que el acceso a red searestringido a los clientes cuyas direcciones MAC estn contenidas en la tablaACL, la cual puede estar distribuida en los diferentes puntos de acceso ocentralizada en un servidor. Esta medida es slo recomendable cuando elnmero de usuarios es reducido.

Para aumentar la seguridad de acuerdo a los escenarios de movilidad dedeterminados perfiles de usuarios, el uso de un IPSec VPN es altamenterecomendado as como el uso de firewalls que filtren el trfico entrante en lared de la empresa.

Para evitar los ataques de diccionario o por fuerza bruta contra contraseasse recomienda:

- Llevar a cabo el bloqueo de cuentas de usuario por parte del servidor RADIUStras una serie de intentos de logueo fallidos.

- Escoger contraseas fuertes.

33


Seguridad en

redes WLA

N

- Emplear claves de usuario dinmicas, por ejemplo mediante autenticacinOTP (One Time Password) con PEAP y EAP-TTLS.

- Emplear EAP-TLS.

Recomendaciones de seguridad de los puntos de acceso: Seleccionar puntos de acceso que puedan ser actualizados (firmware y software).

En el caso en que la red WLAN est diseada con puntos de acceso que sepuedan configurar con diferentes modos de seguridad (WEP, WPA, IEEE802.11i), se recomienda configurar la red con un nico modo. Si es necesarioconfigurar los puntos de acceso con diferentes modos de seguridad, esrecomendable agrupar los puntos de acceso utilizando el mismo modo deseguridad en una subred. Por ejemplo, crear una subred para puntos deacceso que empleen WEP y otra para puntos de acceso que empleen WPA.Para facilitar la creacin de subredes, Se recomienda que los puntos de accesotengan la funcionalidad de soporte de mltiples SSIDs. De esta forma, sepueden asociar diferentes polticas de seguridad a diferentes SSIDs de unmismo punto de acceso.

Habilitar el cifrado sobre el trfico enviado por el interfaz areo siempre quesea posible.

Asegurar fsicamente los puntos de acceso, para evitar que personal no deseadotenga acceso a l.

El SSID es el nombre lgico asociado a una red WLAN. Es un valor arbitrariode hasta 32 caracteres y dgitos. Las redes WLAN sern slo accesibles poraquellos terminales asociados al SSID adecuado. Para evitar el acceso porparte de usuarios no deseados es fundamental deshabilitar el broadcast deSSID que, en general, llevan a cabo por defecto los puntos de acceso.

34


Seguridad en

redes WLA

N

Recomendaciones de seguridad de los clientes: Inhabilitar el modo ad-hoc.

Habilitar el cifrado sobre el trfico enviado por el interfaz areo siempre quesea posible.

Se recomienda la instalacin de software de seguridad como antivirus y firewalls.

5.1.4 Recomendaciones de proteccin fsica de la seal

Estudio exhaustivo del tipo y ubicacin de antenas para restringir el rea decobertura radio dentro del rea deseada.

Empleo de materiales opacos en la construccin del edificio para atenuar laseal, y evitar que sta salga fuera del edificio.

Equipos inhibidores de seal en zonas que no se desea tener cobertura.

Herramientas de monitorizacin de la seal radio y de deteccin de puntos deacceso no autorizados (rogue AP).

Vigilancia exterior.

5.2 POSIBLES IMPLEMENTACIONES

Dependiendo del nivel de seguridad exigido y existente en los sistemas deinformacin de la empresa es necesario aplicar medidas especficas de seguridadpara proteger la informacin confidencial de la red cableada ante usuariosinalmbricos no autorizados.

A continuacin, se analizan diferentes soluciones de seguridad para redes WLANutilizando los mecanismos WEP, WPA, IEEE 802.11i e IPSec VPN.

35


Seguridad en

redes WLA

N

5.2.1 WEP

Habilitar el mecanismo WEP es una opcin de seguridad que evita la asociacinautomtica a los puntos de acceso de los terminales inalmbricos existentes enel entorno. Los puntos de acceso con WEP activado nicamente aceptan trficocifrado con WEP.

Las redes WLAN IEEE 802.11x con WEP tienen que ser consideradas comoinseguras puesto que WEP es un mecanismo con numerosas vulnerabilidadesprobadas. Por ello, en una instalacin en que los equipos slo dispongan delmecanismo WEP, es necesario aplicar medidas estrictas de seguridad paraacceder a la red cableada. A pesar de su vulnerabilidad, es recomendable emplearWEP cuando sea la nica solucin de seguridad implementable para evitar dejarla red WLAN abierta y completamente expuesta a posibles ataques.

Los elementos clave para el despliegue de una red WLAN con una solucin deseguridad basada en el mecanismo WEP son los siguientes: Clientes y adaptadores inalmbricos que soporten WEP. Proporcionan

conectividad inalmbrica a los puntos de acceso.

Puntos de acceso inalmbricos que soporten WEP.

36


Seguridad en

redes WLA

N

La Ilustracin 6 muestra la arquitectura de una red WLAN que cuenta con unmecanismo de seguridad basado en WEP en un entorno corporativo.

Ilustracin 6 Arquitectura de seguridad con WEP

Las principales ventajas e inconvenientes de esta solucin de seguridad son lossiguientes:

Pros: Bajo coste.

Fcil de gestionar (si no se cambian las claves).

Se pueden definir perfiles de usuario que permiten el control de acceso parausuarios corporativos e invitados (visitantes).

Contras: El algoritmo de cifrado que emplea ha sido vulnerado.

37

SUBRED WI-FI DMZ

RED LAN CORPORATIVA

ServidorDNS

Switch


ServidorDHCP

WEPAPs


Seguridad en

redes WLA

N

Puesto que WEP es un mecanismo de seguridad que nicamente protege elmedio radio y adems, presenta ciertas vulnerabilidades, para reforzar la seguridadproporcionada a una red WLAN por una solucin WEP, es posible la utilizacinde alguna de las siguientes opciones: Ofrecer a travs de la red WLAN nicamente ciertos servicios, como explorador

web o consulta de correo electrnico, mediante un servidor HTTPS.

Se recomienda complementar la solucin con otros mecanismos de seguridad,una alternativa es utilizar la solucin IPSec VPN. Suponiendo que la plantillade la empresa sea nmada e itinerante, se configura un cliente de IPSec ensus terminales para proporcionar seguridad mxima al conectarse a Interneto a los puntos de acceso de la empresa, dentro y fuera de la misma.

5.2.2 WPA

Los elementos clave de la arquitectura de una solucin propuesta de desplieguede redes WLAN que implementen un mecanismo de seguridad basado en WPAson los siguientes: Adaptador y software inalmbricos en la parte cliente. La solucin debe

estar basada en un tipo de EAP que soporte el tipo de autenticacin adecuado.Para dotar de mayor seguridad a la red, el tipo de EAP debe proporcionar unaautenticacin mutua, por lo tanto, no es recomendable utilizar EAP-MD5.En caso de utilizacin de EAP-TLS, EAP-TTLS y PEAP se recomienda configurarlos clientes inalmbricos con un certificado de un servidor seguro y evitar queel usuario pueda modificar estos parmetros. nicamente el administradordebe tener privilegios para poder modificar el certificado empleado. Si no seconfigura el certificado, los ataques Man in the Middle son posibles.

Puntos de acceso inalmbricos que soporten WPA y una conexin seguracon un servidor RADIUS. Los puntos de acceso se configuran para aceptarsolamente conexiones WPA y rechaza conexiones WEP. En el caso de implementaresta solucin en instalaciones nuevas, podra tenerse en cuenta la opcin deadquirir equipos que nicamente sean compatibles con WPA. WPA ofrecemecanismos de seguridad mucho ms robustos que los utilizados por WEP,

38


Seguridad en

redes WLA

N

en cuanto a la autent icacin, integridad y conf idencia l idad.

Servidor RADIUS. Este es un equipo que no exista en la solucin basada enWEP. El servidor RADIUS proporciona la autenticacin de usuarios para losclientes y los puntos de acceso. Genera las llaves dinmicas de WPA y lasenva a los puntos de acceso. En caso de utilizacin de certificados, serecomienda que el servidor RADIUS contraste el estado del certificado delcliente contra un autoridad CRL (las principales Autoridades Certificadorasinternacionales actualmente son Verising y Thawte) un servidor OCSP.

La Ilustracin 7 muestra la arquitectura de una red WLAN que cuenta con unmecanismo de seguridad basado en WPA en un entorno corporativo.

Ilustracin 7 Arquitectura de seguridad con WPA

En funcin del mtodo EAP de autenticacin utilizado pueden ser empleadosopcionalmente los siguientes elementos adicionales:

39

SUBRED WI-FI DMZ

RED LAN CORPORATIVA

ServidoresRADIUS, DNS

Switch

FirewallClientes WPA

ServidorDHCP

WPAAPs


Seguridad en

redes WLA

N

Servidor PKI. Proporciona certificados X.509 para la autenticacin de usuarioy de servidor. Necesario en caso de emplearse EAP-TLS, EAP-TTLS y PEAP.

Servidor OTP . Proporciona autenticacin OTP mediante servidores RADIUS.Puede emplearse con PEAP o EAP-TTLS.

Adicionalmente, es recomendable proteger el modo EAP empleado (LEAP, PEAP,EAP-TTLS) contra ataques de fuerza bruta. El servidor RADIUS debe bloquearlas cuentas de usuario tras una serie de intentos de logueo fallidos. Cuando lacuenta de usuario est bloqueada el usuario no puede ser autenticado hasta queno se lleva a cabo una serie de acciones administrativas, lo que permite aladministrador llevar a cabo un examen de la seguridad. Para evitar este riesgo,se puede exigir a los usuarios inalmbricos llevar a cabo autenticacin tipo OTP.


Pros: Permite definir diferentes perfiles de usuario.

Contras: El algoritmo de cifrado que emplea ha sido vulnerado.

Sobrecarga de configuracin de clientes WPA, corporativos e invitados.

Dependiendo del mtodo EAP utilizado requiere el uso de certificados en laparte cliente.

5.2.3 Combinacin de WEP y WPA

Para instalaciones que dispongan de clientes y puntos de acceso WEP seraconveniente migrar los equipos WEP a WPA para dotar la red de acceso de unamayor seguridad. No obstante, si no fuera posible llevar a cabo esta migracin,es posible un entorno heterogneo que combine soluciones basadas en WEP y

40


Seguridad en

redes WLA

N

WPA simultneamente o configurar los puntos de acceso para que trabajen enmodo mixto WEP-WPA, de forma que soporten clientes WPA y clientes WEP.

Es importante destacar que, slo es posible desplegar una red en modo mixtoWEP-WPA. Para evitar comprometer la seguridad de la red debido a la vulnerabilidadde WEP no es posible hacerlo en modo mixto WEP-WPA2.

Es recomendable que los puntos de acceso que soporten nicamente WEP y queno sea posible actualizarlos a WPA sean puestos juntos para formar una WEP-WLAN con polticas de seguridad independientes del resto.

En cualquier caso, la consecuencia directa de soportar ambos tipos de clienteses que la seguridad operar en el menor de los niveles de seguridad, el de WEP,comn a ambos dispositivos. Por ello, se recomienda migrar todos los puntosde acceso y clientes a WPA en lugar de mantener un entorno mixto.

5.2.4 IEEE 802.11i

En este apartado se describen las principales caractersticas de una solucin deseguridad basada en IEEE 802.11i.

Los elementos clave de la arquitectura de una solucin de despliegue de redesWLAN que implementen un mecanismo de seguridad basado en IEEE 802.11ison los mismos que los empleados en una solucin WPA/WPA2. La nicadiferencia es que los puntos de acceso deben soportar el estndar IEEE 802.11i.

Una de las principales diferencias entre IEEE 802.11i y WPA se encuentra enel algoritmo de cifrado utilizado, IEEE 802.11i utiliza AES y WPA/WPA2, al igualque WEP, utiliza RC4. Por lo que s que existen puntos de acceso que soportanel modo mixto WEP-WPA, pero no que soportan el modo mixto WEP-IEEE802.11i.

41


Seguridad en

redes WLA

N42

SUBRED WI-FI DMZ

RED LAN CORPORATIVA

ServidoresRADIUS, DNS

Switch

FirewallClientes802.11i

ServidorDHCP

802.11iAPs

La Ilustracin 8 muestra la arquitectura de una red WLAN que cuenta con unmecanismo de seguridad basado en IEEE 802.11i en un entorno corporativo.

Ilustracin 8 Arquitectura de seguridad con WPA


Pros: Algoritmo de cifrado robusto.

Permite definir diferentes perfiles de usuario.

Contras: En algunos fabricantes, requiere el cambio de los puntos de acceso desplegados. Sobrecarga de configuracin de clientes WPA, corporativos e invitados. Dependiendo del mtodo EAP utilizado requiere el uso de certificados en la

parte cliente.


Seguridad en

redes WLA

N

5.2.5 IPSec VPN

La utilizacin de las soluciones VPN basadas en IPSec es especialmenterecomendable en el caso en que la plantilla de la empresa sea nmada e itinerante(es decir, que necesiten el acceso a Intenet, a datos corporativos fuera de laempresa), para proporcionar seguridad al conectarse a Internet o a la red dela empresa desde otras redes.

Adems una solucin VPN basada en IPSec es compatible con el uso de WPAe IEEE 802.11i. Es decir, es posible utilizar la solucin VPN IPsec cuando elempleado se encuentra conectado con WPA o IEEE802.11i.

Por ltimo, para equipos IEEE 802.11 que tienen solamente WEP, el uso de VPNIPSec es altamente recomendable.Los elementos clave de la arquitectura de una red WLAN en la que se empleauna solucin VPN basada en la tecnologa IPSec para asegurar el trfico de datosson los siguientes: Clientes y adaptadores inalmbricos. Proporcionan conectividad inalmbrica

a los puntos de acceso.

Cliente IPSec VPN. Es el extremo del tnel IPSec en el terminal de usuario.El cliente de VPN debe conectarse al concentrador VPN al iniciarse la sesinpor parte del terminal de usuario.

El punto de acceso inalmbrico proporciona conectividad Ethernet a la redcorporativa. Si el punto de acceso tiene capacidades de filtrado, se puedefiltrar el trfico para permitir nicamente los protocolos DHCP e IPSec.

Gateway/concentrador IPSec VPN. Autentica a usuarios inalmbricos ytermina los tneles de IPSec. Puede tambin actuar como servidor DHCP paralos clientes inalmbricos.

Firewall. Se recomienda ubicar un firewall despus del concentrador VPN queaplique polticas de seguridad al flujo no cifrado.

43


Seguridad en

redes WLA

N

La Ilustracin 9 muestra la arquitectura para el empleo de una VPN basada enIPSec como mecanismo de la seguridad para tener acceso a una red corporativa.

Ilustracin 9 Diseo de una arquitectura basada en VPN IPSec

En funcin del mtodo de autenticacin utilizado pueden ser empleados opcionalmentelos siguientes elementos.

Servidor RADIUS. Proporciona la autenticacin de usuario para los clientesinalmbricos que se conectan al gateway/concentrador VPN.

Servidor PKI. Proporciona certificados X.509 para la autenticacin de usuarioy de servidor. Se recomienda que los certificados de cliente sean accesiblessolamente mediante hardware protegido con contrasea como, por ejemplo,smart-cards o llaves USB.

Servidor OTP. Proporciona autenticacin OTP mediante servidores RADIUS.

44

SUBRED WI-FI DMZ

RED LAN CORPORATIVA

ServidoresRADIUS,DNS

Switch

Firewall

Cliente VPNinalmbrico

ServidorDHCP

AP

AP

Tnel VPN VPNGetaway


Seguridad en

redes WLA

N

Se recomienda utilizar polticas basadas en certificados para establecer lostneles IPSec en lugar de llaves pre-compartidas. Emplear llaves pre-compartidases peligroso, porque si un atacante las obtiene, es difcil detectar que las llavesestn comprometidas. Por lo que implica sobrecarga en el mantenimiento alobligar a todos a cambiar las llaves pre-compartidas. Adems, se recomiendaque el concentrador VPN compruebe el estado de los certificados de clientecontra las autoridades CRL (las principales Autoridades Certificadoras internacionalesactualmente son Verisign y Thawte) un servidor de OCSP.

Las principales ventajas e inconvenientes de esta solucin de seguridad VPNbasada en IPSec son los siguientes:

Pros: Emplear una solucin de seguridad que permite al personal acceder a todos

los recursos de la red.

Permite definir diferentes perfiles de usuario.

Reutilizacin de la VPN fuera del entorno corporativo.

Contras: Necesidad de un concentrador VPN.

Sobrecarga de configuracin de clientes VPN.

Excluye a los invitados.

Es una solucin costosa.

45

06 Conclusiones

Seguridad en

redes WLA

N46

CONCLUSIONES

Los mecanismos de seguridad propios de las redes inalmbricas WLAN sonvulnerables desde su nacimiento, tal y como han demostrado numerosos estudios.En los ltimos aos, se ha realizado un trabajo intenso en este rea, fruto delcual en la actualidad el nivel de seguridad de las redes inalmbricas WLAN escomparable al de las redes cableadas.

En la actualidad son mltiples los mecanismos de seguridad existentes quepermiten garantizar la seguridad en las comunicaciones realizadas a travs deredes WLAN. Mecanismos de seguridad como SSH, HTTPS, SSL e IPsec VPNpueden ser empleados con mltiples tecnologas de acceso, incluidas las redesWLAN. No obstante, los protocolos SSH, HTTPS y SSL son slo capaces deasegurar cierto tipo de comunicaciones (gestin remota, trfico web,), por loque no permiten asegurar todo el trfico originado en el terminal de usuario ydirigido al mismo, tal y como sera deseable en una red WLAN. En las redesWLAN tambin es posible llevar a cabo la autenticacin de terminales de usuariobasndose en su direccin fsica o direccin MAC. No obstante, este mecanismode seguridad no implica el envo de cifrado de la informacin y su escalabilidades compleja. Adems, este tipo de autenticacin es fcilmente vulnerable.

Por otro lado, existen mecanismos de seguridad como WEP; WPA, WPA2,IEEE802.11i, que han sido desarrollados de forma especfica para su utilizacinen redes WLAN para intentar paliar las debilidades inherentes a esta tecnologade acceso.

Tras el anlisis realizado en esta gua de los mtodos de seguridad para redesWLAN, se pueden concluir las siguientes recomendaciones:

6

06 Conclusiones

Seguridad en

redes WLA

N

El mecanismo IEEE802.11i es el nico mecanismo especfico para redesWLAN que puede considerarse un mecanismo seguro para entornos corporativos.Sin embargo, en el caso de algunos fabricantes es necesario cambiar los puntosde acceso WLAN previamente instalados por un modelo que soporte IEEE802.11i.Adems, actualmente los dispositivos PDA existentes no son compatibles con elalgoritmo de cifrado AES empleado por el mecanismo IEEE802.11i por falta decapacidad de procesado.

Una alternativa a IEEE802.11i es WPA. WPA aporta mejoras importantes conrespecto a WEP:- Aunque el algoritmo de cifrado haya sido vulnerado slo es posible realizar

ataques que comprometan la informacin cifrada en el modo de operacinWPA personal (WPA-PSK). El modo WPA-Enterprise no ha sido vulnerado.

- Adems, WPA, al igual que IEEE802.11i, ofrece gestin dinmica de lasclaves.

- WPA puede ser empleado en PDAs.

IEEE802.11i y WPA utilizan autenticacin basada en la combinacin deIEEE802.1x y EAP. Dentro de los numerosos tipos de EAP existentes, los msseguros y flexibles son:- EAP-TLS en el caso de seleccionar autenticacin de cliente mediante

certificados.

- EAP-TTLS y PEAP permiten la autenticacin de cliente mediante nombre deusuario/contrasea. PEAP es compatible con las soluciones de Microsoft,pero EAP-TTLS se puede utilizar con mayor nmero de mecanismos deautenticacin.

Cuando no sea posible la utilizacin de IEEE802.11i ni WPA, siempre esrecomendable utilizar WEP antes que transmitir la informacin sin cifrar.

En ltima instancia, si no fuera posible emplear ningn mecanismo de cifrado

47

06 Conclusiones

Seguridad en

redes WLA

N

y si el nmero de clientes de la red WLAN no es elevado, sera recomendablellevar a cabo la autenticacin de los mismos basada en la direccin MAC delterminal. De esta forma, se evitara al menos la asociacin de clientes a lared de manera involuntaria. No obstante, no se debe olvidar que esta solucines recomendable slo para su empleo en entornos con un nmero de terminalesreducido por su compleja escalabilidad y que es una solucin fcilmentevulnerable.

Los mecanismos IEEE 802.11i, WPA y WEP cubren los aspectos de seguridadrequeridos por los usuarios cuando se conectan a la red WLAN corporativa.Si se quiere emplear un nico mecanismo de seguridad en el entorno empresarialy para los empleados itinerantes que se conectan desde fuera de su empresa,la solucin IPsec VPN es recomendada as como el uso de firewalls que filtrenel trfico que entre en la red de la empresa. En funcin del entorno de usose puede combinar el uso de IPsec VPN y soluciones especficas para redesWLAN (WEP, WPA, WPA2, IEEE802.11i).

Se puede concluir, atendiendo a los niveles de seguridad aportados por losdiferentes mecanismos, que se recomienda evitar emplear WEP como mecanismode seguridad en entornos corporativos debido a la vulnerabilidad de su algoritmocifrado. En caso de optar por una solucin basada en WPA es convenienterecordar que, a pesar de la vulnerabilidad de su algoritmo de cifrado, el modode operacin WPA-Enterprise no ha sido vulnerado. Se recomienda usarIEEE802.11i o una solucin VPN basada en IPsec siempre que sea posible.

Por ltimo, como norma bsica de seguridad en entornos corporativos, serecomienda "aislar" la red WLAN de la empresa de su red LAN y ubicar losservidores que gestionen los servicios que se desea prestar a los usuariosinalmbricos en una DMZ (DisMilitarized Zone) que retransmita estas peticionesde los servicios a los servidores de la empresa.

48

06 Conclusiones

Seguridad en

redes WLA

N49

SUBRED WI-FI DMZ

ServidorDNS

Switch


ServidorDHCP

WLANAPs

Mecanismo deseguridad:- WEP- Autentic. por MAC- WPA- IEEE 802 11i- WPA2

RED LAN CORPORATIVA

Mecanismo de seguridad:- Autentic. por MAC- WPA- IEEE 802 11i- WPA2

Servidor de autentic.

Ilustracin 10 Rred WLAN en un entorno corporativo

07 Acrnimos

Seguridad en

redes WLA

N50

ACRNIMOS

AAA Authentication, Authorization, AccountingAES Advanced Encryption StandardAH Authentication HeaderAP Access PointARP Address Resolution ProtocolBSS Basic Service SetBSSID Basic Service Set IdentifierCHAP Challenge Handshake Authentication ProtocolCCM Counter Mode with CBCMACCRC Cyclic Redundancy CheckDHCP Dynamic Host Configuration ProtocolDMZ Demilitarized ZoneDNS Domain Name SystemDoS Denial Of ServiceDS Distribution SystemEAP Extensible Authentication ProtocolEAPOL EAP over LANsEAPOW EAP over WirelessESP IP Encapsulating Security PayloadESS Extended Service SetFTP File Transfer ProtocolHMAC Hash Message Authentication CodesIAPP Inter-Access Point ProtocolIEEE Institute of Electrical and Electronics EngineersIKE Internet Key ExchangeIP Internet ProtocolIETF Internet Engineering Task Force

7

07 Acrnimos

Seguridad en

redes WLA

N

IV Vector de InicializacinIS Information SystemLAN Local Area NetworkLDAP Lightweight Directory Access ProtocolLEAP The Cisco Lightweight EAPMAC Medium Access ControlMIC Message Integrity CheckOSI Open System InterconnectOTP One Time PasswordPAP Password Authentication ProtocolPEAP Protected EAPPIN Personal Identifier NumberPKI Public Key InfrastructureOCSP Online Certificate Status ProtocolQoS Quality of ServiceRADIUS Remote Authentication Dial In User ServiceRAS Remote Access ServicesRSA Rivest, Shamir y AdelmanRSN Robust Security NetworkSA Security AssociationSAD Security Asocciation DatabasesSNMP Simple Network Management ProtocolSSID Service Set IdentifierSTA StationTCP Transmission Control Protocol TKIP Temporal Key Integrity ProtocolTLS Transport Layer SecurityTTLS Tunneled TLSUDP User Datagram ProtocolVLAN Virtual Local Area NetworkVoIP Voice Over IPVPN Red Privada VirtualWAN Wide Area NetworkWEP Wired Equivalent Privacy

51

07 Acrnimos

Seguridad en

redes WLA

N

WLAN Wireless Fidelity known as standard IEEE 802.11bWISP Wireless Internet Service ProviderWLAN Wireless Local Area NetworkWPA WLAN Protected Access

52

08 Referencias

Seguridad en

redes WLA

N53

REFERENCIAS

[1] MTI/PRO/DD/0001: Security of 802.11 WEP protected networks

[2] Brewer, Borisov, et al, "802.11 Security",http://www.isaac.cs.berkeley.edu/isaac/wep-faq.html

[3] Walker, Jesse, "Unsafe at any Key Size: an analysis of the WEP encapsulation,November 2000 "

[4] Fluhrer, Mantin, Shamir, Weaknesses in the Key Scheduling Algorithm ofRC4lr, August 2001.

[5] MTI/PRO/DD/00004/01/01/EN: Security recommendations for wirelessbusiness

[6] http://www.vsantivirus.com/vul-ie-https-ssl.htm

[7] www.proxim.com

[8] http://www.ieee802.org/1/files/public/docs2002/11-02-TBDr0-I-Pre-Authentication.pdf

[9] http://www.tinypeap.com/page8.html

[10] http://www.nowima.net/nowima/modules.php?name=News&file=article&sid=179

[11] http://www.trapezenetworks.com/technology/inbrief/8021Xclients.asp

8

08 Referencias

Seguridad en

redes WLA

N

[12] Deploying Wi-Fi Protected Access (WPA) and WPA2 in the Enterprisede Wi-Fi Alliancehttp://www.wifi.org/membersonly/getfile.asp?f=WFA_02_27_05_WPA_WPA2_White_Paper.pdf

[13] Q&A WPA2 de Wi-Fi Alliance.http://www.wi-fi.org/OpenSection/pdf/WPA2_Q_A.pdf

[14] http://www.wifi.org/OpenSection/ReleaseDisplay.asp?TID=4&ItemID=181&StrYear=2004&strmonth=9

[15] http://www.verisign.es/products/site/faq/ssl_basics.html

[16] http://www.virusprot.com/Nt150451.html

[17] http://www.retronet.com.ar/article.php?story=20040410200835499

[18] http://www.wi-fi.org/membersonly/getfile.asp?f=Whitepaper_Wi-Fi_Enterprise2-6-03.pdf

54

Documents

607_SeguridadredesWLAN