Solucion Taller De Seguridad

SOLUCION TALLER DE SEGURIDAD WLAN 1- Las redes 802.11 utilizan dos métodos de autenticación: Autenticación de sistema abierto y Autenticación con clave compartida. En ambos esquemas, cada cliente móvil (denominado una estación) debe autenticarse ante el punto de acceso. Un nombre más adecuado para la autenticación de sistema abierto sería "ausencia de autenticación", ya que realmente no se lleva a cabo ninguna autenticación: la estación dice "por favor, autentíquenme" y eso es lo que hace el punto de acceso (PA), sin que en este proceso exista un intercambio de credenciales. La autenticación con clave compartida es algo más eficaz (con la excepción de que depende de WEP). La estación solicita la autenticación y el punto de acceso responde con un reto cifrado por WEP. La estación puede descifrar y responder sólo si dispone de la contraseña WEP correcta. En ambos métodos, la estación también debe conocer el identificador del conjunto de servicios (SSID) del PA. Sin embargo, debido a que el PA puede difundir su SSID y a que las estaciones que hablan a ese SSID siempre lo difunden, este comportamiento no es un gran obstáculo para conocer el SSID. En general, este proceso de autenticación no es tan efectivo como sería deseable, pero no se puede hacer mucho respecto a esto directamente. Los pasos que debe realizar son bastante obvios: 1. Active el cifrado WEP. Es mejor algo que nada y sin ello no obtendrá ningún tipo de autenticación en absoluto. 2. Si su PA lo permite, desactive la difusión SSID y convierta su red en una red cerrada. Admitámoslo, esta solución supone complicaciones para los clientes; por ejemplo, Windows XP es muy efectivo a la hora de buscar redes inalámbricas de manera automática, pero no puede buscar automáticamente redes cerradas; en este caso, los usuarios tendrán que introducir manualmente el nombre del SSID. 3. Preste atención a la huella de radio que crea la WLAN. Si puede mantener a los espías y los intrusos fuera del rango de cobertura de la señal, ello ayuda a minimizar el problema de la autenticación (pero no olvide que los intrusos que son inteligentes utilizan una variedad de antenas para recibir señales que provienen de distancias relativamente largas). 4. Complemente la autenticación WLAN con otros medios. Si permite el acceso directo a sus sistemas internos mediante una WLAN, es recomendable que reconsidere ese plan y, quizás, saque la WLAN fuera del servidor de seguridad, lo que exigirá a los usuarios obtener acceso a la red mediante una VPN, de la misma manera que lo harían desde casa. Otra alternativa es asignar un rango de direcciones IP a los clientes WLAN y, a

SOLUCION TALLER DE SEGURIDAD WLAN continuación, aplicar controles de acceso basados en IP en los sitios de su intranet. La mejor manera de reforzar la autenticación WLAN es aumentándola, para lo que es necesario ampliar la compatibilidad con protocolos de autenticación más efectivos. En concreto, el estándar IEEE 802.1x, junto con el protocolo Protected EAP ofrecen una autenticación mucho más segura y seguramente ya dispone de las herramientas necesarias para implementarlos

2- Pese a los importantes avances que 802.11i introduce en la seguridad seguridad Wireless LAN, muchos usuarios están retrasando su adopción por cuestiones de coste, complejidad e interoperatividad. De momento, aseguran tener suficiente con WPA. A lo largo de los últimos meses, han ido apareciendo en el mercado los primeros productos Wireless LAN (WLAN) que implementan el nuevo estándar de seguridad inalámbrica 802.11i, aprobado hace un año por IEEE. Esta especificación ha venido sin duda a resolver uno de los principales inconvenientes que las organizaciones oponían a la introducción de manera indiscriminada de redes inalámbricas en sus organizaciones. El estándar 802.11i elimina muchas de las debilidades de sus predecesores tanto en lo que autenticación de usuarios como a robustez de los métodos de encriptación se refiere. Y lo consigue en el primer caso gracias a su capacidad para trabajar en colaboración con 802.1X, y en el segundo, mediante la incorporación de encriptación Advanced Encryption Standard (AES). Aparte de incrementar de manera más que significativa la seguridad de los entornos WLAN, también reduce considerablemente la complejidad y el tiempo de roaming de los usuarios de un punto de acceso a otro. Sin embargo, según usuarios y analistas, aún siendo incuestionable que a largo plazo el despliegue de 802.11i será inevitable, las empresas deberán sopesar cuidadosamente las ventajas e inconvenientes de la nueva norma. Especialmente, habrán de distanciarse de los discursos de marketing de los suministradores y analizar con la cabeza fría el momento más adecuado para su introducción, sobre todo si ya cuentan con infraestructuras que exijan ser actualizadas al estándar. Hay que tener presente que 802.11i no es un punto y aparte. Se trata básicamente de una evolución de tecnologías anteriores, fundamentalmente de

SOLUCION TALLER DE SEGURIDAD WLAN WPA (Wi-Fi Protected Access), implementado ya hace tiempo por la industria, hasta el punto de que el nuevo estándar todavía se conoce también como WPA2. 3- WPA cifra la información y también comprueba que la clave de seguridad de red no haya sido modificada. Además, WPA autentica a los usuarios con el fin de garantizar que únicamente los usuarios autorizados puedan tener acceso a la red. Existen dos tipos de autenticación WPA: WPA y WPA2. WPA se ha diseñado para trabajar con todos los adaptadores de red inalámbrica, pero es posible que no funcione con enrutadores o puntos de acceso antiguos. WPA2 es más seguro que WPA, pero no funcionará con algunos adaptadores de red antiguos. WPA se ha diseñado para utilizarse con un servidor de autenticación 802.1x, que distribuye claves diferentes a cada usuario. Esto se denomina WPA-Enterprise o WPA2-Enterprise. También se puede usar en el modo de clave previamente compartida (PSK), donde cada usuario recibe la misma frase de contraseña. Esto se denomina WPA-Personal o WPA2-Personal. WEP es un método de seguridad de red antiguo que todavía está disponible para dispositivos antiguos, pero que ya no se recomienda usar. Cuando se habilita WEP, se configura una clave de seguridad de red. Esta clave cifra la información que un equipo envía a otro a través de la red. Sin embargo, la seguridad WEP es relativamente fácil de vulnerar. 4- La IEEE 802.1X es una norma del IEEE para el control de acceso a red basada en puertos. Es parte del grupo de protocolos IEEE 802 (IEEE 802.1). Permite la autenticación de dispositivos conectados a un puerto LAN, estableciendo una conexión punto a punto o previniendo el acceso por ese puerto si la autenticación falla. Es utilizado en algunos puntos de acceso inalámbricos cerrados y se basa en el protocolo de autenticación extensible (EAP– RFC 2284). El RFC 2284 ha sido declarado obsoleto en favor del RFC 3748.

SOLUCION TALLER DE SEGURIDAD WLAN 802.1X está disponible en ciertos conmutadores de red y puede configurarse para autenticar nodos que están equipados con software suplicante. Esto elimina el acceso no autorizado a la red al nivel de la capa de enlace de datos. Algunos proveedores están implementando 802.1X en puntos de acceso inalámbricos que pueden utilizarse en ciertas situaciones en las cuales el punto de acceso necesita operarse como un punto de acceso cerrado, corrigiendo deficiencias de seguridad de WEP. Esta autenticación es realizada normalmente por un tercero, tal como un servidor de RADIUS. Esto permite la autenticación sólo del cliente o, más apropiadamente, una autenticación mutua fuerte utilizando protocolos como EAP-TLS. 5- En seguridad informática, el acrónimo AAA corresponde a un tipo de protocolos

que

realizan

tres

funciones:

Autenticación,

Autorización

y

Contabilización (Authentication, Authorization and Accounting en inglés). La expresión protocolo AAA no se refiere pues a un protocolo en particular, sino a una familia de protocolos que ofrecen los tres servicios citados. AAA se combina a veces con auditoria, convirtiéndose entonces en AAAA. Autenticación La Autenticación es el proceso por el que una entidad prueba su identidad ante otra. Normalmente la primera entidad es un cliente (usuario, ordenador, etc) y la segunda un servidor (ordenador). La Autenticación se consigue mediante la presentación de una propuesta de identidad (vg. un nombre de usuario) y la demostración de estar en posesión de las credenciales que permiten comprobarla. Ejemplos posibles de estas credenciales son las contraseñas, los testigos de un sólo uso (one-time tokens), los Certificados Digitales, ó los números de teléfono en la identificación de llamadas. Viene al caso mencionar que los protocolos de autenticación digital modernos permiten demostrar la posesión de las credenciales requeridas sin necesidad de transmitirlas por la red (véanse por ejemplo los protocolos de desafío-respuesta). Autorización

SOLUCION TALLER DE SEGURIDAD WLAN Autorización se refiere a la concesión de privilegios específicos (incluyendo "ninguno") a una entidad o usuario basándose en su identidad (autenticada), los privilegios que solicita, y el estado actual del sistema. Las autorizaciones pueden también estar basadas en restricciones, tales como restricciones horarias, sobre la localización de la entidad solicitante, la prohibición de realizar logins múltiples simultáneos del mismo usuario, etc. La mayor parte de las veces el privilegio concedido consiste en el uso de un determinado tipo de servicio. Ejemplos de tipos de servicio son, pero sin estar limitado a: filtrado de direcciones IP, asignación de direcciones, asignación de rutas, asignación de parámetros de Calidad de Servicio, asignación de Ancho de banda, y Cifrado. Contabilización La Contabilización se refiere al seguimiento del consumo de los recursos de red por los usuarios. Esta información puede usarse posteriormente para la administración, planificación, facturación, u otros propósitos. La contabilización en tiempo real es aquella en la que los datos generados se entregan al mismo tiempo que se produce el consumo de los recursos. En contraposición la contabilización por lotes (en inglés "batch accounting") consiste en la grabación de los datos de consumo para su entrega en algún momento posterior. La información típica que un proceso de contabilización registra es la identidad del usuario, el tipo de servicio que se le proporciona, cuando comenzó a usarlo, y cuando terminó.

6- La seguridad es un aspecto que cobra especial relevancia cuando hablamos de redes inalámbricas. Para tener acceso a una red cableada es imprescindible una conexión física al cable de la red. Sin embargo, en una red inalámbrica desplegada en una oficina un tercero podría acceder a la red sin ni siquiera estar ubicado en las dependencias de la empresa, bastaría con que estuviese en un lugar próximo donde le llegase la señal. Es más, en el caso de un ataque pasivo, donde sólo se escucha la información, ni siquiera se dejan huellas que posibiliten una identificación posterior. El canal de las redes inalámbricas, al contrario que en las redes cableadas privadas, debe considerarse inseguro. Cualquiera podría estar escuchando la información transmitida. Y no sólo eso, sino que también se pueden inyectar nuevos paquetes o modificar los ya existentes (ataques activos). Las mismas

SOLUCION TALLER DE SEGURIDAD WLAN precauciones que tenemos para enviar datos a través de Internet deben tenerse también para las redes inalámbricas. Conscientes de este problema, el IEEE [1] publicó un mecanismo opcional de seguridad, denominado WEP, en la norma de redes inalámbricas 802.11 [2]. Pero WEP, desplegado en numerosas redes WLAN, ha sido roto de distintas formas, lo que lo ha convertido en una protección inservible. Para solucionar sus deficiencias, el IEEE comenzó el desarrollo de una nueva norma de seguridad, conocida como 802.11i [3], que permitiera dotar de suficiente seguridad a las redes WLAN. El problema de 802.11i está siendo su tardanza en ver la luz. Su aprobación se espera para junio de 2004. Algunas empresas en vistas de que WEP (de 1999) era insuficiente y de que no existían alternativas estandarizadas mejores, decidieron utilizar otro tipo de tecnologías como son las VPNs para asegurar los extremos de la comunicación (por ejemplo, mediante IPSec). La idea de proteger los datos de usuarios remotos conectados desde Internet a la red corporativa se extendió, en algunos entornos, a las redes WLAN. De hecho, como hemos comentado antes, ambos canales de transmisión deben considerarse inseguros. Pero la tecnología VPN es quizás demasiado costosa en recursos para su implementación en redes WLAN. No ajena a las necesidades de los usuarios, la asociación de empresas Wi-Fi [4] decidió lanzar un mecanismo de seguridad intermedio de transición hasta que estuviese disponible 802.11i, tomando aquellos aspectos que estaban suficientemente avanzados del desarrollo de la norma. El resultado, en 2003, fue WPA [5]. Este artículo analiza las características de los mecanismos de seguridad WEP, WPA y WPA2 (IEEE 802.11i). En el momento de escribir estas líneas, WPA2 todavía no ha visto la luz por lo que la documentación relacionada es todavía muy escasa.

Características y funcionamiento de wep WEP (Wired Equivalent Privacy, privacidad equivalente al cable) es el algoritmo opcional de seguridad incluido en la norma IEEE 802.11 [2]. Los objetivos de WEP, según el estándar, son proporcionar confidencialidad, autentificación y control de acceso en redes WLAN [2, §6.1.2]. Estudiamos a continuación las principales características de WEP. WEP utiliza una misma clave simétrica y estática en las estaciones y el punto de acceso. El estándar no contempla ningún mecanismo de distribución automática de claves, lo que obliga a escribir la clave manualmente en cada uno de los elementos de red. Esto genera varios inconvenientes. Por un lado, la clave está

SOLUCION TALLER DE SEGURIDAD WLAN almacenada en todas las estaciones, aumentando las posibilidades de que sea comprometida. Y por otro, la distribución manual de claves provoca un aumento de mantenimiento por parte del administrador de la red, lo que conlleva, en la mayoría de ocasiones, que la clave se cambie poco o nunca. El algoritmo de encriptación utilizado es RC4 con claves (seed), según el estándar, de 64 bits. Estos 64 bits están formados por 24 bits correspondientes al vector de inicialización más 40 bits de la clave secreta. Los 40 bits son los que se deben distribuir manualmente. El vector de inicialización (IV), en cambio, es generado dinámicamente y debería ser diferente para cada trama. El objetivo perseguido con el IV es cifrar con claves diferentes para impedir que un posible atacante pueda capturar suficiente tráfico cifrado con la misma clave y terminar finalmente deduciendo la clave. Como es lógico, ambos extremos deben conocer tanto la clave secreta como el IV. Lo primero sabemos ya que es conocido puesto que está almacenado en la configuración de cada elemento de red. El IV, en cambio, se genera en un extremo y se envía en la propia trama al otro extremo, por lo que también será conocido. Observemos que al viajar el IV en cada trama es sencillo de interceptar por un posible atacante.

WPA WPA (Wi-Fi Protected Access, acceso protegido Wi-Fi) es la respuesta de la asociación de empresas Wi-Fi a la seguridad que demandan los usuarios y que WEP no puede proporcionar. El IEEE tiene casi terminados los trabajos de un nuevo estándar para reemplazar a WEP, que se publicarán en la norma IEEE 802.11i a mediados de 2004. Debido a la tardanza (WEP es de 1999 y las principales vulnerabilidades de seguridad se encontraron en 2001), Wi-Fi decidió, en colaboración con el IEEE, tomar aquellas partes del futuro estándar que ya estaban suficientemente maduras y publicar así WPA. WPA es, por tanto, un subconjunto de lo que será IEEE 802.11i. WPA (2003) se está ofreciendo en los dispositivos actuales. WPA soluciona todas las debilidades conocidas de WEP y se considera suficientemente seguro. Puede ocurrir incluso que usuarios que utilizan WPA no vean necesidad de cambiar a IEEE 802.11i cuando esté disponible. Características de WPA Las principales características de WPA son la distribución dinámica de claves, utilización más robusta del vector de inicialización (mejora de la confidencialidad) y nuevas técnicas de integridad y autentificación. WPA incluye las siguientes tecnologías:

SOLUCION TALLER DE SEGURIDAD WLAN o IEEE 802.1X. Estándar del IEEE de 2001 [10] para proporcionar un control de acceso en redes basadas en puertos. El concepto de puerto, en un principio pensado para las ramas de un switch, también se puede aplicar a las distintas conexiones de un punto de acceso con las estaciones. Las estaciones tratarán entonces de conectarse a un puerto del punto de acceso. El punto de acceso mantendrá el puerto bloqueado hasta que el usuario se autentifique. Con este fin se utiliza el protocolo EAP [11] y un servidor AAA (Authentication Authorization Accounting) como puede ser RADIUS (Remote Authentication Dial-In User Service) [12]. Si la autorización es positiva, entonces el punto de acceso abre el puerto. El servidor RADIUS puede contener políticas para ese usuario concreto que podría aplicar el punto de acceso (como priorizar ciertos tráficos o descartar otros). o EAP. EAP, definido en la RFC 2284 [11], es el protocolo de autentificación extensible para llevar a cabo las tareas de autentificación, autorización y contabilidad. EAP fue diseñado originalmente para el protocolo PPP (Pointto-Point Protocol) [13], aunque WPA lo utiliza entre la estación y el servidor RADIUS. Esta forma de encapsulación de EAP está definida en el estándar 802.1X bajo el nombre de EAPOL (EAP over LAN) [10]. o TKIP (Temporal Key Integrity Protocol). Según indica Wi-Fi, es el protocolo encargado de la generación de la clave para cada trama [4]. o MIC (Message Integrity Code) o Michael. Código que verifica la integridad de los datos de las tramas [4].