802.11 Seguridad inalámbrica & deBluetooth

Presentador :

Fecha:

Audiencia

• Tomadores de Decisiones de Negocio • IP Pro

Agenda

• IEEE 802.11 Estándar• 802.1X• Alianza Wi-Fi• WPA• WPA 2 (802.11i)• Bluetooth

802.11 Soporte de Windows

• 802.11 configuración soportada en las siguientes versiones mínimas de Windows:• Windows Vista™• Windows XP SP1• Windows Server® 2003• Windows Server Nombre Código “Longhorn”

802.11Estándar

• Asociación (descubrimiento)• Transmisión de redes inalámbricas • Redes inalámbricas ocultas

• Autenticación• Sistema abierto• Clave compartida previa

• Encriptación• WEP

• Técnicas de Seguridad • Filtro de dirección MAC

• Problemas de Seguridad

802.11 AsociaciónDescubrimiento del punto de acceso – método de transmisión• El punto de acceso (PA) transmite SSID• Vista de redes disponibles

Red inalámbrica oculta

• PA requiere configuración para prevenir transmisión de SSID

• Requiere configuración adicional del cliente • SSID debe conocerse

• El cliente debe investigar para descubrir el PA

802.11 Seguridad inalámbricaAutenticación

• Autenticación del sistema abierto• Identificación sin autenticación únicamente• Usa la dirección MAC del dispositivo como fuente

Respuesta de autenticación

Solicitud de autenticación

Cliente Inalámbrico PA inalámbrico

802.11 Seguridad InalámbricaAutenticación

• Autenticación de clave de acceso compartida• Reto del texto en plaintext• Usando una opción única de claves compartidas en la

especificación original para la encriptación

Solicitud de Autenticación

Respuesta de autenticación

Reto de Plaintext

Respuesta con reto encriptado

802.11 EstándarEncriptación e integridad de datos

• WEP • Usa RC4 ya sea con claves de encriptación de 40 bits o 104 bits• Vector de inicialización pequeño (24 bits)• Valor de Chequeo de Integridad (ICV) calculado antes de la

encriptación • Dos claves compartidas

• Clave de Multicast/global• Protege el tráfico de multicast entre el punto de acceso y todos los

clientes conectados• Clave de sesión Unicast

• Protege el tráfico unicast entre el cliente y el PA inalámbrico

Técnicas de SeguridadFiltrado de Dirección MAC

• Algunos PAs permiten listas de configuración de direcciones MAC autorizadas

• Cada dirección MAC permitida debe ser agregada manualmente al Punto de Acceso

• Las direccios MAC son fácilmente “spoofed”• Solamente brindan protección débil desde un acceso no autorizado

Ataques a las redes inalámbricas

• Ataque de asociación • Minimiza el área de cobertura• Abandona asociaciones que no han sido autenticadas

• Ataque de determinación de clave WEP• Actualización a 802.1X• Actualización a WPA o WPA2

• Ataque jalando bits WEP• Actualización a WPA o WPA2

802.11 Debilidades de Seguridad

• Determinación & distribución de claves WEP no definidas (No escalable)

• Criptográficamente débil • Sin detección de PAs maliciosos o pícaros• Sin identificación y autenticación por usuario • Sin mecanismo de autenticación, autorización

y contabiliad (RADIUS)• Sin soporte para autenticación extendida• Pesadilla administrativa

Agenda

• IEEE 802.11 Estándar• 802.1X• WPA• WPA 2 (802.11i)• Bluetooth

802.1X Estándar

• Soporte a Windows• 802.1X Estándar• Características de Seguridad de Acceso Protegido a Wi-

Fi• Acceso Protegido a Wi-Fi 2• Configuraciones de Seguridad Recomendadas• Ataques a redes inalámbricas

WPA & WPA2 Soporte de Windows

• Windows Vista™• Windows XP SP2 con la actualización del cliente

inalámbrico • Windows Server nombre código “Longhorn”

Agenda

• IEEE 802.11 Estándar• 802.1X• WPA• WPA 2 (802.11i)• Bluetooth

Características de seguridad WPA

• WPA contiene mejoras o reemplazos de las siguientes características de seguridad:• Autenticación de dos fases

• Autenticación opcional en 802.1X requerida con WPA• IV doblado en tamaño a 48 bits• WPA utiliza TKIP o AES para encriptación de datos

• TKIP mejora la fortaleza críptica • WPA requiere introducción doble de clave unicast & multicast• Integridad de datos

• CRC-32 checksum con encriptación WEP reemplazado con un algoritmo más fuerte conocido como Michael

• TKIP usa IV como marco contable para brindar protección de “replay”

IEEE 802.1X Estándar Elementos de autenticación

• Solicitante• Autenticador• Autenticación de Servidor (AS)

Cliente (Solicitante)

Servidor de Autenticación (RADIUS)

WPA-AS.contoso.com

• Solicitud PPP• Respuesta PPP

• PPP Establecido

• Solicitud de autenticación (EAP)• EAP pasa al RADIUS

• Validación

• Autenticación completa• Acceso permitido a la red

• Respuesta RADIUS

• Autenticador

802.1X AutenticaciónProtocolo de Autenticación Extensible (EAP)

• EAP• Extensión al protocolo de punto a punto (PPP)• No es parte de la negociación del enlace PPP • Usado durante la conexión como fase de autenticación• Diseño modular altamente flexible • Soporta tarjeta token, clave de una sola vez, MD5-Challenge,

Transport Layer Security (TLS) y otros

IEEE 802.1X Estándar

• Trata muchos de los problemas de seguridad del 802.11 estándar original.• 802.1X originalmente diseñado para las redes

cableadas Ethernet.• Toma ventaja del control de acceso a la red

basado en puertos en redes switched. • Adaptado para brindar control de acceso a redes

inalámbricas. • Acceso a la red puede ser denegado si la

auntenticación falla.

802.1X Soluciones de Seguridad

• Sin detección de PA malicioso• Use autenticación mutua

• Sin identificación y autenticación por usuario• Autenticación EAP obliga la autenticación a

nivel del usuario• Sin mecanismo para la AAA central

• Use RADIUS para AAA • Claves WEP débiles

• Use EAP-TLS con PKI

802.1X Soluciones de Seguridad

• Sin soporte para autenticación extendida • EAP brinda soporte para cualquier método de

autenticación• Sin soporte para administración de claves

• EAP-TLS o PEAP-MS-CHAP v2 suportan múltiples métodos de re-incersión de la clave

• Debilidad criptográfica de WEP• WPA (Wi-Fi Protected Access) • Interim estándar (802.11i)

Agenda

• IEEE 802.11 Estándar• 802.1X• WPA• WPA 2 (802.11i)• Bluetooth

Wi-Fi Protected Access 2 (WPA2™)

• IEEE 802.11i reemplaza formalmente 802.11• WPA2 es una certificación de producto

• Asegura la compatibilidad con 802.11i estándar

• Para certificación WPA 2, el soporte de AES es requerido• AES opcional en WPA

• Roaming mejorado

Configuraciones de Seguridad Recomendadas

• Implementación en Enterprise • WPA2/AES y EAP-TLS• WPA2/AES y PEAP-MS-CHAP v2

• Implementación en Pequeños y Medianos Negicios • WPA/TKIP y EAP-TLS• WPA/TKIP y PEAP-MS-CHAP v2

• Implementación en un SOHO• WPA2/AES & WPA2 con clave pre-compartida• WPA/TKIP y WPA con clave pre-compartida • WEP con clave WEP estática no recomendada

• No recomendado• WEP y EAP-TLS• WEP y PEAP-MS-CHAP v2

Agenda

• IEEE 802.11 estándar• 802.1X• WPA• WPA 2 (802.11i)• Bluetooth

Bluetooth

• ¿Qué es Bluetooth?• Descubrimiento & Pareo• Autenticación• Modos de seguridad • Amenazas• Recomendaciones de Seguridad

¿Qué es Bluetooth®?

• Introducido en 1999• Tecnología de radio de bajo poder y corto alcance

Usa 2.4GHz • No requiere licenciamiento – disponible en todo el mundo

• Hasta 7 dispositivos en un piconet• Tasa de datos máxima 1 Mbps• Esquema de encriptación estándar de industria

SAFER+• Emplea saltos de frecuencia en amplio espectro de

tecnología

BluetoothDescubrimiento & Pareo

• Topología Maestro/Esclavo• El descubrimiento debe ser permitido

por el pareo• Puede solicitar el ingreso de una clave

de acceso/PIN• El pareo se completa cuando la Clave

de Enlace se ha generado y verificado • El descubrimiento puede deshabilitarse

después de que el pareo se complete

BluetoothAutenticación

• Clave de enlace única entre el Maestro y cada esclavo en el piconet

• Clave de enlace usada para que emita una clave de encriptación• Encriptación de 128 bits entre los dispositivos• La clave nunca es transmitida sobre el radio de

Bluetooth

BluetoothModos de Seguridad

• Modo de Seguridad 1: Modo no seguro • Dispositivo en modo promiscuo

• Modo de Seguridad 2: Nivel de servicio forzado • Controla el acceso a los servicios y dispositivos

• Modo de Seguridad 3: Nivel de enlace forzado • Provee autenticación y encriptación

BluetoothAmenazas

• Bluejacking• Todos los datos en el dispositivo se hacen disponibles al

atacante • Bluestumbling/Bluesnarfing

• Se conecta al dispositivo sin alertar al dueño• Bluebugging

• Crea un perfil en serie – control total del conjunto de comandos AT

• War-nibbling• Mapea la ubicación de los dispositivos que se pueden descubrir

• Bluesniping• Utiliza alta ganancia de la antena para robar datos

Estos son solo 6 de más de 20 vulnerabilidades conocidas en diferentes implementaciones

de Bluetooth

Recomendaciones

• Apague el Bluetooth cuando no lo necesite • El pareo de dispositivos debería realizarse en

un área segura• Use el PIN práctico más largo• Use solamente modos seguros• Active la encriptación

Recursos

• Guía paso a paso para implementación segura de Red Inalámbrica para oficina pequeña, oficina de la casa u organización pequeña

IEEE 802.11i

• ¿Preguntas?

Siguen slides extra

IEEE 802.1X EstándarComponentes

• Servidor de Autenticación• Verifica los credenciales del Solicitante• Puede forzar también una política de

seguridad • Puede ser un componente del Punto de

Acceso• Puede estar en un host separado (RADIUS)

802.1X Mejoras

• Módulos de conexión de EAP (TLS, Certificados, smartcard, biométricos)

• Autenticación por usuario• EAP-TLS & RADIUS

IEEE 802.1X EstándarComponentes

• Autenticador• Puerto LAN que fuerza la autenticación antes

de permitir el acceso a la red• Autenticador inalámbrico

• El puerto LAN lógico en un PA inalámbrico usado para gananr acceso a los recursos de la red

• PA debe estar en modo de infraestructura• Autenticación puede ser local para el PA o via

un Servidor de Autenticación

IEEE 802.1X EstándarComponentes

• Entidad de Puerto de Acceso• Un puerto LAN es la entidad lógica que

soporta el protocolo 802.1X• Un PAE puede adoptar los siguientes roles

• Autenticador• Solicitante• Ambos

IEEE 802.1X EstándarTipos de puerto

• Puertos no controlados • Los datos pueden pasar a través del PA sin ser

autenticados• No está permitido en redes que cumplen con 802.1X

(cableadas o inalámbricas)

• Puertos controlados • Autenticación forzada de unSolicitante antes de

ermitir el acceso• Requerido en redes que cumplen con 802.1X

• 802.1X extiende el estándar de cableado con EAP para el uso con PAs inalámbricos

IEEE 802.1X EstándarComponentes

• Solicitante• Un puerto de LAN que solicita acceso a

servicios accesibles vía el autenticador• Solicitante inalámbrico

• El puerto de LAN lógico en un adaptador de red local inalámbrica

• Inicia solicitudes para la autenticación al autenticador

• Crea la asociación lógica de punto a punto del PA

Redes ocultas y Windows Vista™

• Windows Vista™ “investigar s” para la redes inalámbricas ocultas

Windows Vista™ avisará al usuario el nombre de la red (SSID)

• Windows Vista™ agrega una característica de configuración de red adicional

• Configurable a la línea de comando con contexto netsh wlan

• Puede también ser configurada a través de una Política Grupal

Otras técnicas de Seguridad Transmisión SSID

• El PA puede ser configurado para que no transmita el SSID

• Reducción de que clientes casuales descubran la red

• Redes ocultas son fácilmente descubiertas vía mensajes de transmisión

• Puede hacer que la red inalámbrica sea más difícil de utilizar

• Requiere configuración adicional de cliente