802.11 Seguridad inalámbrica & deBluetooth
Presentador :
Fecha:
Audiencia
• Tomadores de Decisiones de Negocio • IP Pro
Agenda
• IEEE 802.11 Estándar• 802.1X• Alianza Wi-Fi• WPA• WPA 2 (802.11i)• Bluetooth
802.11 Soporte de Windows
• 802.11 configuración soportada en las siguientes versiones mínimas de Windows:• Windows Vista™• Windows XP SP1• Windows Server® 2003• Windows Server Nombre Código “Longhorn”
802.11Estándar
• Asociación (descubrimiento)• Transmisión de redes inalámbricas • Redes inalámbricas ocultas
• Autenticación• Sistema abierto• Clave compartida previa
• Encriptación• WEP
• Técnicas de Seguridad • Filtro de dirección MAC
• Problemas de Seguridad
802.11 AsociaciónDescubrimiento del punto de acceso – método de transmisión• El punto de acceso (PA) transmite SSID• Vista de redes disponibles
Red inalámbrica oculta
• PA requiere configuración para prevenir transmisión de SSID
• Requiere configuración adicional del cliente • SSID debe conocerse
• El cliente debe investigar para descubrir el PA
802.11 Seguridad inalámbricaAutenticación
• Autenticación del sistema abierto• Identificación sin autenticación únicamente• Usa la dirección MAC del dispositivo como fuente
Respuesta de autenticación
Solicitud de autenticación
Cliente Inalámbrico PA inalámbrico
802.11 Seguridad InalámbricaAutenticación
• Autenticación de clave de acceso compartida• Reto del texto en plaintext• Usando una opción única de claves compartidas en la
especificación original para la encriptación
Solicitud de Autenticación
Respuesta de autenticación
Reto de Plaintext
Respuesta con reto encriptado
802.11 EstándarEncriptación e integridad de datos
• WEP • Usa RC4 ya sea con claves de encriptación de 40 bits o 104 bits• Vector de inicialización pequeño (24 bits)• Valor de Chequeo de Integridad (ICV) calculado antes de la
encriptación • Dos claves compartidas
• Clave de Multicast/global• Protege el tráfico de multicast entre el punto de acceso y todos los
clientes conectados• Clave de sesión Unicast
• Protege el tráfico unicast entre el cliente y el PA inalámbrico
Técnicas de SeguridadFiltrado de Dirección MAC
• Algunos PAs permiten listas de configuración de direcciones MAC autorizadas
• Cada dirección MAC permitida debe ser agregada manualmente al Punto de Acceso
• Las direccios MAC son fácilmente “spoofed”• Solamente brindan protección débil desde un acceso no autorizado
Ataques a las redes inalámbricas
• Ataque de asociación • Minimiza el área de cobertura• Abandona asociaciones que no han sido autenticadas
• Ataque de determinación de clave WEP• Actualización a 802.1X• Actualización a WPA o WPA2
• Ataque jalando bits WEP• Actualización a WPA o WPA2
802.11 Debilidades de Seguridad
• Determinación & distribución de claves WEP no definidas (No escalable)
• Criptográficamente débil • Sin detección de PAs maliciosos o pícaros• Sin identificación y autenticación por usuario • Sin mecanismo de autenticación, autorización
y contabiliad (RADIUS)• Sin soporte para autenticación extendida• Pesadilla administrativa
Agenda
• IEEE 802.11 Estándar• 802.1X• WPA• WPA 2 (802.11i)• Bluetooth
802.1X Estándar
• Soporte a Windows• 802.1X Estándar• Características de Seguridad de Acceso Protegido a Wi-
Fi• Acceso Protegido a Wi-Fi 2• Configuraciones de Seguridad Recomendadas• Ataques a redes inalámbricas
WPA & WPA2 Soporte de Windows
• Windows Vista™• Windows XP SP2 con la actualización del cliente
inalámbrico • Windows Server nombre código “Longhorn”
Agenda
• IEEE 802.11 Estándar• 802.1X• WPA• WPA 2 (802.11i)• Bluetooth
Características de seguridad WPA
• WPA contiene mejoras o reemplazos de las siguientes características de seguridad:• Autenticación de dos fases
• Autenticación opcional en 802.1X requerida con WPA• IV doblado en tamaño a 48 bits• WPA utiliza TKIP o AES para encriptación de datos
• TKIP mejora la fortaleza críptica • WPA requiere introducción doble de clave unicast & multicast• Integridad de datos
• CRC-32 checksum con encriptación WEP reemplazado con un algoritmo más fuerte conocido como Michael
• TKIP usa IV como marco contable para brindar protección de “replay”
IEEE 802.1X Estándar Elementos de autenticación
• Solicitante• Autenticador• Autenticación de Servidor (AS)
Cliente (Solicitante)
Servidor de Autenticación (RADIUS)
WPA-AS.contoso.com
• Solicitud PPP• Respuesta PPP
• PPP Establecido
• Solicitud de autenticación (EAP)• EAP pasa al RADIUS
• Validación
• Autenticación completa• Acceso permitido a la red
• Respuesta RADIUS
• Autenticador
802.1X AutenticaciónProtocolo de Autenticación Extensible (EAP)
• EAP• Extensión al protocolo de punto a punto (PPP)• No es parte de la negociación del enlace PPP • Usado durante la conexión como fase de autenticación• Diseño modular altamente flexible • Soporta tarjeta token, clave de una sola vez, MD5-Challenge,
Transport Layer Security (TLS) y otros
IEEE 802.1X Estándar
• Trata muchos de los problemas de seguridad del 802.11 estándar original.• 802.1X originalmente diseñado para las redes
cableadas Ethernet.• Toma ventaja del control de acceso a la red
basado en puertos en redes switched. • Adaptado para brindar control de acceso a redes
inalámbricas. • Acceso a la red puede ser denegado si la
auntenticación falla.
802.1X Soluciones de Seguridad
• Sin detección de PA malicioso• Use autenticación mutua
• Sin identificación y autenticación por usuario• Autenticación EAP obliga la autenticación a
nivel del usuario• Sin mecanismo para la AAA central
• Use RADIUS para AAA • Claves WEP débiles
• Use EAP-TLS con PKI
802.1X Soluciones de Seguridad
• Sin soporte para autenticación extendida • EAP brinda soporte para cualquier método de
autenticación• Sin soporte para administración de claves
• EAP-TLS o PEAP-MS-CHAP v2 suportan múltiples métodos de re-incersión de la clave
• Debilidad criptográfica de WEP• WPA (Wi-Fi Protected Access) • Interim estándar (802.11i)
Agenda
• IEEE 802.11 Estándar• 802.1X• WPA• WPA 2 (802.11i)• Bluetooth
Wi-Fi Protected Access 2 (WPA2™)
• IEEE 802.11i reemplaza formalmente 802.11• WPA2 es una certificación de producto
• Asegura la compatibilidad con 802.11i estándar
• Para certificación WPA 2, el soporte de AES es requerido• AES opcional en WPA
• Roaming mejorado
Configuraciones de Seguridad Recomendadas
• Implementación en Enterprise • WPA2/AES y EAP-TLS• WPA2/AES y PEAP-MS-CHAP v2
• Implementación en Pequeños y Medianos Negicios • WPA/TKIP y EAP-TLS• WPA/TKIP y PEAP-MS-CHAP v2
• Implementación en un SOHO• WPA2/AES & WPA2 con clave pre-compartida• WPA/TKIP y WPA con clave pre-compartida • WEP con clave WEP estática no recomendada
• No recomendado• WEP y EAP-TLS• WEP y PEAP-MS-CHAP v2
Agenda
• IEEE 802.11 estándar• 802.1X• WPA• WPA 2 (802.11i)• Bluetooth
Bluetooth
• ¿Qué es Bluetooth?• Descubrimiento & Pareo• Autenticación• Modos de seguridad • Amenazas• Recomendaciones de Seguridad
¿Qué es Bluetooth®?
• Introducido en 1999• Tecnología de radio de bajo poder y corto alcance
Usa 2.4GHz • No requiere licenciamiento – disponible en todo el mundo
• Hasta 7 dispositivos en un piconet• Tasa de datos máxima 1 Mbps• Esquema de encriptación estándar de industria
SAFER+• Emplea saltos de frecuencia en amplio espectro de
tecnología
BluetoothDescubrimiento & Pareo
• Topología Maestro/Esclavo• El descubrimiento debe ser permitido
por el pareo• Puede solicitar el ingreso de una clave
de acceso/PIN• El pareo se completa cuando la Clave
de Enlace se ha generado y verificado • El descubrimiento puede deshabilitarse
después de que el pareo se complete
BluetoothAutenticación
• Clave de enlace única entre el Maestro y cada esclavo en el piconet
• Clave de enlace usada para que emita una clave de encriptación• Encriptación de 128 bits entre los dispositivos• La clave nunca es transmitida sobre el radio de
Bluetooth
BluetoothModos de Seguridad
• Modo de Seguridad 1: Modo no seguro • Dispositivo en modo promiscuo
• Modo de Seguridad 2: Nivel de servicio forzado • Controla el acceso a los servicios y dispositivos
• Modo de Seguridad 3: Nivel de enlace forzado • Provee autenticación y encriptación
BluetoothAmenazas
• Bluejacking• Todos los datos en el dispositivo se hacen disponibles al
atacante • Bluestumbling/Bluesnarfing
• Se conecta al dispositivo sin alertar al dueño• Bluebugging
• Crea un perfil en serie – control total del conjunto de comandos AT
• War-nibbling• Mapea la ubicación de los dispositivos que se pueden descubrir
• Bluesniping• Utiliza alta ganancia de la antena para robar datos
Estos son solo 6 de más de 20 vulnerabilidades conocidas en diferentes implementaciones
de Bluetooth
Recomendaciones
• Apague el Bluetooth cuando no lo necesite • El pareo de dispositivos debería realizarse en
un área segura• Use el PIN práctico más largo• Use solamente modos seguros• Active la encriptación
Recursos
• Guía paso a paso para implementación segura de Red Inalámbrica para oficina pequeña, oficina de la casa u organización pequeña
IEEE 802.11i
• ¿Preguntas?
Siguen slides extra
IEEE 802.1X EstándarComponentes
• Servidor de Autenticación• Verifica los credenciales del Solicitante• Puede forzar también una política de
seguridad • Puede ser un componente del Punto de
Acceso• Puede estar en un host separado (RADIUS)
802.1X Mejoras
• Módulos de conexión de EAP (TLS, Certificados, smartcard, biométricos)
• Autenticación por usuario• EAP-TLS & RADIUS
IEEE 802.1X EstándarComponentes
• Autenticador• Puerto LAN que fuerza la autenticación antes
de permitir el acceso a la red• Autenticador inalámbrico
• El puerto LAN lógico en un PA inalámbrico usado para gananr acceso a los recursos de la red
• PA debe estar en modo de infraestructura• Autenticación puede ser local para el PA o via
un Servidor de Autenticación
IEEE 802.1X EstándarComponentes
• Entidad de Puerto de Acceso• Un puerto LAN es la entidad lógica que
soporta el protocolo 802.1X• Un PAE puede adoptar los siguientes roles
• Autenticador• Solicitante• Ambos
IEEE 802.1X EstándarTipos de puerto
• Puertos no controlados • Los datos pueden pasar a través del PA sin ser
autenticados• No está permitido en redes que cumplen con 802.1X
(cableadas o inalámbricas)
• Puertos controlados • Autenticación forzada de unSolicitante antes de
ermitir el acceso• Requerido en redes que cumplen con 802.1X
• 802.1X extiende el estándar de cableado con EAP para el uso con PAs inalámbricos
IEEE 802.1X EstándarComponentes
• Solicitante• Un puerto de LAN que solicita acceso a
servicios accesibles vía el autenticador• Solicitante inalámbrico
• El puerto de LAN lógico en un adaptador de red local inalámbrica
• Inicia solicitudes para la autenticación al autenticador
• Crea la asociación lógica de punto a punto del PA
Redes ocultas y Windows Vista™
• Windows Vista™ “investigar s” para la redes inalámbricas ocultas
Windows Vista™ avisará al usuario el nombre de la red (SSID)
• Windows Vista™ agrega una característica de configuración de red adicional
• Configurable a la línea de comando con contexto netsh wlan
• Puede también ser configurada a través de una Política Grupal
Otras técnicas de Seguridad Transmisión SSID
• El PA puede ser configurado para que no transmita el SSID
• Reducción de que clientes casuales descubran la red
• Redes ocultas son fácilmente descubiertas vía mensajes de transmisión
• Puede hacer que la red inalámbrica sea más difícil de utilizar
• Requiere configuración adicional de cliente