Seguridad en redes inalámbricas(amenazas, protección)

CCNA R&S – 3Escalamiento de redes

Amenazas WLAN

Ataque por Denegación de Servicio (DoS)

Dispositivos mal configurados: los errores de configuración pueden deshabilitar laWLAN. Por ejemplo, un administrador puede modificar accidentalmente unaconfiguración y deshabilitar la red, o un intruso con privilegios de administradorpuede deshabilitar una WLAN intencionalmente.Un usuario malintencionado interfiere en la comunicación inalámbricaintencionalmente: su objetivo es deshabilitar la red inalámbrica por completo o a talpunto que ningún dispositivo legítimo pueda acceder al medio.Interferencia accidental: las WLAN operan en las bandas de frecuencia sin licencia y,por lo tanto, todas las redes inalámbricas, independientemente de las característicasde seguridad, pueden sufrir la interferencia de otros dispositivos inalámbricos. Lainterferencia accidental puede provenir de dispositivos como los hornos demicroondas, los teléfonos inalámbricos, los monitores para bebés, entre otros. Labanda de 2,4 GHz es más proclive a la interferencia que la banda de 5 GHz.

Ataque de Dos

Para minimizar el riesgo de un ataque DoS debido a dispositivos mal configurados oataques malintencionados, proteja todos los dispositivos y las contraseñas, creecopias de seguridad y asegúrese de que todos los cambios de configuración seincorporen fuera del horario de operación.

La interferencia accidental solo ocurre cuando se agrega otro dispositivo inalámbrico.La mejor solución consiste en controlar la WLAN para detectar cualquier problema deinterferencia y abordarlo cuando aparezca. Debido a que la banda de 2,4 GHz es másproclive a la interferencia, la banda de 5 GHz se podría usar en áreas con tendencia ala interferencia. Algunas soluciones de WLAN permiten que los AP ajustenautomáticamente los canales y usen la banda de 5 GHz para compensar lainterferencia. Por ejemplo, algunas soluciones 802.11n/ac/ad se ajustan de maneraautomática para contrarrestar la interferencia.

Ataque de Dos

Ataque de Dos

Las tramas de administración se pueden manipular para crear varios tipos deataque DoS. Los dos tipos de ataques comunes a las tramas de administraciónincluyen lo siguiente:Un ataque de desconexión suplantada:esto ocurre cuando un atacante envíauna serie de comandos de “desasociación” a los clientes inalámbricos dentrode un BSS. Estos comandos hacen que todos los clientes se desconecten. Aldesconectarse, los clientes inalámbricos inmediatamente intentan volver aasociarse, lo que crea un estallido de tráfico. El atacante continúa enviandotramas de desasociación, y el ciclo se repite.Una saturación con CTS: esto ocurre cuando un atacante aprovecha el métodode contienda CSMA/CA para monopolizar el ancho de banda y denegar elacceso de todos los demás clientes inalámbricos al AP. Para lograr esto, elatacante satura repetidamente el BSS con tramas de Listo para enviar (CTS) auna STA falsa. Todos los demás clientes inalámbricos que comparten el mediode RF reciben las CTS y retienen sus transmisiones hasta que el atacante dejade transmitir las tramas CTS.

Ataque de Dos

Para evitar la instalación de AP noautorizados, las organizaciones deben usarsoftware de supervisión para supervisaractivamente el espectro de radio en busca deAP no autorizados.

AP no autorizados

Intrusos inalámbricos (Man-in-the-middle)

Uno de los ataques más sofisticados que un usuario malintencionado puede usar sedenomina “ataque man-in-the-middle” (MITM, intermediario). Existen varias manerasde crear un ataque MITM.Un popular ataque MITM inalámbrico se denomina “ataque con AP de red intrusa”, en elque un atacante introduce un AP no autorizado y lo configura con el mismo SSID que elde un AP legítimo. Las ubicaciones que ofrecen Wi-Fi gratuito, como los aeropuertos, loscafés y los restaurantes, son focos para este tipo de ataque, debido a la autenticaciónabierta.Los clientes que se conectan a una red inalámbrica verían dos AP que ofrecen accesoinalámbrico. Aquellos que están cerca del AP no autorizado detectan la señal másintensa y es más probable que se asocien a este AP de red intrusa. El tráfico de usuariosahora se envía al AP no autorizado, que a su vez captura los datos y los reenvía al APlegítimo. El tráfico de retorno del AP legítimo se envía al AP no autorizado, se captura yse reenvía a la STA desprevenida. El atacante puede robar la contraseña del usuario y suinformación personal, obtener acceso a la red y comprometer el sistema del usuario.

Intrusos inalámbricos

Intrusos inalámbricos

Vencer un ataque MITM depende de la sofisticación de la infraestructura WLAN y lavigilancia de la actividad de monitoreo de red. El proceso comienza con la identificaciónde los dispositivos legítimos en la WLAN. Para hacer esto, se deben autenticar losusuarios. Una vez que se conocen todos los dispositivos legítimos, se puede monitorearla red para detectar los dispositivos o el tráfico anormales.

Las WLAN de empresas que utilizan dispositivos WLAN de tecnología avanzadaproveen herramientas a los administradores que trabajan juntas como un sistema deprevención de intrusión inalámbrica (IPS). Estas herramientas incluyen escáneres queidentifican las redes ad hoc y los AP no autorizados, así como la administración derecursos de radio (RRM), que controla la banda de RF para vigilar la actividad y la cargade AP. Un AP que está más ocupado de lo normal advierte al administrador sobre posibletráfico no autorizado.

Protección WLAN

Autenticación

Cifrado

Para abordar las amenazas relacionadas con mantener alejados a los intrusosinalámbricos y proteger los datos, en un principio se usaron dos características deseguridad:Ocultamiento del SSID: los AP y algunos routers inalámbricos permiten que sedeshabilite la trama de señal del SSID. Los clientes inalámbricos deben identificarmanualmente el SSID para conectarse a la red.Filtrado de direcciones MAC: un administrador puede permitir o denegar el accesoinalámbrico a los clientes de forma manual según la dirección MAC del hardwarefísico.Si bien estas dos características pueden disuadir a la mayoría de los usuarios, larealidad es que ni el ocultamiento del SSID ni el filtrado de direcciones MAC podríandisuadir a un intruso hábil. Los SSID se descubren con facilidad, incluso si los AP nolos transmiten por difusión, y las direcciones MAC se pueden suplantar.

Se introdujeron dos tipos de autenticación con el estándar 802.11 original:

Autenticación de sistema abierto:cualquier cliente inalámbrico se debe poder conectar con facilidad, y este método solo se debe usar en situaciones en las que la seguridad no es motivo de preocupación, como en los lugares que proporcionan acceso gratuito a Internet, como cafés, hoteles y áreas remotas.Autenticación mediante clave compartida:proporciona mecanismos como WEP, WPA o WPA2 para autenticar y cifrar datos entre un cliente y un AP inalámbricos. Sin embargo, la contraseña se debe compartir previamente entre las dos partes para que estas se conecten.

El cifrado se usa para proteger datos. Si un intruso captura datos cifrados, nopodrá descifrarlos durante un período razonable.

El estándar IEEE 802.11i y los estándares WPA y WPA2 de Wi-Fi Alliance usan lossiguientes protocolos de cifrado:Protocolo de integridad de clave temporal (TKIP): es el método de cifrado queusa WPA. Provee apoyo para el equipo WLAN heredado que atiende las fallasoriginales asociadas con el método de encriptación WEP 802.11. Usa WEP, perocifra el contenido de capa 2 mediante TKIP y realiza una comprobación deintegridad de los mensajes (MIC) en el paquete cifrado para asegurar que no sealteró el mensaje.Estándar de cifrado avanzado (AES): es el método de cifrado que usa WPA2. Es elmétodo preferido, ya que se alinea con el estándar del sector IEEE 802.11i. AESrealiza las mismas funciones que TKIP, pero es un método de cifrado más seguro.Usa el protocolo Counter Mode Cipher Block Chaining Message AuthenticationCode Protocol (CCMP), que permite que los hosts de destino reconozcan si sealteraron los bits cifrados y no cifrados.

Nota: siempre que sea posible, elija WPA2 con AES.

WPA y WPA2 admiten dos tipos de autenticación:

Personal: diseñada para las redes domésticas o de oficinas pequeñas; los usuariosse autentican mediante una clave previamente compartida (PSK). Los clientesinalámbricos se autentican con el AP mediante una contraseña previamentecompartida. No se requiere ningún servidor de autenticación especial.

Enterprise (Empresarial): diseñada para las redes empresariales, pero requiere unservidor de servicio de autenticación remota telefónica de usuario (RADIUS). Sibien su configuración es más complicada, proporciona seguridad adicional. Elservidor RADIUS debe autenticar el dispositivo y, a continuación, se debenautenticar los usuarios mediante el estándar 802.1X, que usa el protocolo deautenticación extensible (EAP).

En las redes que tienen requisitos de seguridad más estrictos, se requiere unaautenticación o un inicio de sesión adicionales para otorgar acceso a los clientesinalámbricos. Las opciones del modo de seguridad Enterprise requieren un servidorRADIUS con autenticación, autorización y contabilidad (AAA).

Los campos necesarios para proporcionar al AP la información requerida para contactaral servidor AAA:Dirección IP del servidor RADIUS: esta es la dirección del servidor RADIUS a la que sepuede llegar.Números de puerto UDP: los números de puerto UDP asignados oficialmente son 1812para la autenticación RADIUS y 1813 para la contabilidad RADIUS, pero también puedenfuncionar mediante los números de puerto UDP 1645 y 1646.Clave compartida: se usa para autenticar el AP con el servidor RADIUS.La clave compartida no es un parámetro que se debe configurar en una STA. Solo serequiere en el AP para autenticar con el servidor RADIUS.Nota: no se indica ningún campo de contraseña, debido a que la autenticación y laautorización del usuario propiamente dichas se manejan mediante el estándar 802.1X,que proporciona a los usuarios finales una autenticación centralizada basada enservidores.El proceso de inicio de sesión 802.1X usa EAP para comunicarse con el AP y el servidorRADIUS. El EAP es una estructura para autenticar el acceso a la red. Puede proporcionarun mecanismo de autenticación seguro y negociar una clave privada segura quedespués se puede usar para una sesión de cifrado inalámbrico mediante el cifrado TKIPo AES.

Fin