seguridad para la red inalámbrica de un campus universitario
TRANSCRIPT
Seguridad para la Red Inalámbrica
de un Campus Universitario
Seguridad para la Red Inalámbrica
de un Campus Universitario
◄ Redes Wi-Fio Problemas de seguridad
◄Campus UTPLO Situación ActualO Problemas de Seguridad
◄ Requerimientos
◄ Mecanismos de seguridad
◄ 802.1x
◄ Implementación
AGENDAAGENDA
◄ Wi – Fi (Wireless Fidelity)◄802.11 a/b/g, 802.11 b representativo
Redes Wi – Fi (1/2)Redes Wi – Fi (1/2)
ESTÁNDAR DESCRIPCIÓN
802.11 • Estándar WLAN original. • Soporta de 1 a 2 Mbps.
802.11a • Estándar WLAN de alta velocidad en la banda de los 5 GHz. • Soporta hasta 54 Mbps.
802.11b • Estándar WLAN para la banda de 2.4 GHz.• Soporta 11 Mbps
802.11e • Está dirigido a los requerimientos de calidad de servicio para todas las interfaces IEEE WLAN de radio.
802.11f • Define la comunicación entre puntos de acceso para facilitar redes WLAN de diferentes proveedores.
802.11g • Establece una técnica de modulación adicional para la banda de los 2.4 GHz.• Dirigido a proporcionar velocidades de hasta 54 Mbps.
802.11h • Define la administración del espectro de la banda de los 5 GHz para su uso en Europa y en Asia Pacífico.
802.11i • Dirigido a superar la vulnerabilidad actual en la seguridad para protocolos de autenticación y de codificación. El estándar abarca los protocolos 802.1X, TKIP (Protocolo de Llaves Integras –Seguras– Temporales), y AES (Estándar de Encriptación Avanzado). Es un estándar que aún está en proceso de desarrollo, pero parece que el futuro de las WLAN pasa por IEEE 802.11i
◄ Problemas de Seguridado Inexistencia de delimitación física de forma clara
o Puntos de acceso en la red interna desprotegida:
vulnerando seguridad de la compañía
Redes Wi-Fi (2/2)Redes Wi-Fi (2/2)
Man – In-The-MiddleMan – In-The-MiddleWardriving y WarchalkingWardriving y Warchalking
Campus UTPL (1/5)Campus UTPL (1/5)
Control de AccesoControl de Acceso
• Extensión de los Servicios Red LAN
• Acceso Abierto: autenticación a través de un portal cautivo NoCat
TopologíaTopología
• Modo Infraestructura
• 22AP’s
• Vlan’s
UsoUso
TecnologíaTecnología
o 802.11 g
o Cisco Aironet 1200
o Roaming
o Balanceo de Carga
o Alimentación línea de comunicación
o Más de 16 vlans
o Calidad de Servicio
o Seguridad: Encriptación, autentificación
TecnologíaTecnología
o 802.11 g
o Cisco Aironet 1200
o Roaming
o Balanceo de Carga
o Alimentación línea de comunicación
o Más de 16 vlans
o Calidad de Servicio
o Seguridad: Encriptación, autentificación
◄ Situación Actual
Campus UTPL (2/5)Campus UTPL (2/5)◄ Esquema Actual
Campus UTPL (3/5)Campus UTPL (3/5)◄ Estadísticas de Uso
◄Esquema de Seguridad Actual
o Uso de servicio de autenticación poco robusto
o Comunicación entre clientes y AP´s no cifrada
o No se integra a los componentes de Gestión de la Red
o No se definen roles de usuario
o Sujeto a Ataques de Spoofing
o No hay total manejo de datos cifrados
o No adopción de buenas prácticas de seguridad
Campus UTPL (4/5)Campus UTPL (4/5)
• Establecer y reforzar la seguridad de las computadoras laptop y crear un programa de concienciación sobre la importancia de la seguridad.
Bajo
• Garantizar la capacidad para administrar centralmente la instalación, actualizaciones y respuesta de un programa de seguridad. Bajo
• Asegurarse de que toda la configuración de seguridad se mantenga y controle centralmente. Bajo
• Implantar actualizaciones automáticas oportunamente. Bajo• Instalar una tecnología que pueda detectar y bloquear las amenazas
conocidas y desconocidas. Medio• Obtener advertencias sobre las amenazas con antelación para que
haya una mitigación más rápida. Bajo
• Actualizar los sistemas operativos Medio• No permitir el acceso a carpetas y archivos compartidos sin la debida
autorización en nuestros equipos de trabajo. Medio
• Asignar contraseñas lo suficientemente fuertes y no compartirlas. Bajo
• AAA, Autenticación, Autorización y Accounting o manejo de cuentas. Bajowww.sans.org
Campus UTPL (5/5)Campus UTPL (5/5)◄ Prácticas de Seguridad
Funcionales Seguridad• Ofrecer accesos a los servicios tecnológicos• Ofrecer servicio de acceso a la Red Pública• Habilitar el acceso seguro a los recursos informáticos brindando movilidad dentro de las instalaciones • Permitir movilidad sin perder los privilegios de acuerdo a su rol
• Evitar que la información transmitida pueda ser escuchada y capturada.• Evitar modificación de las transmisiones• Impedir el acceso de usuarios no autorizados• Manejar perfiles de usuario y distinción de privilegios• Utilizar sistemas actuales de autenticación• Solución homogénea• Mecanismo de seguridad que no afecte la disponibilidad de la red ni complique la gestión
RequerimientosRequerimientos
Mecanismos de Seguridad(1/5)Mecanismos de Seguridad(1/5)
◄Evitar la difusión del SSID (Service Set Identifier).
◄ Establecer listas de control de acceso por direcciones de MAC (Media Access Control) de los dispositivos que acceden a la red.
◄ Utilizar cifrado en las conexiones inalámbricas.
◄ Segmentar los puntos de acceso inalámbricos en zonas de seguridad administradas por un firewall.
◄ Establecer redes privadas virtuales en las conexiones inalámbricas.
◄ Combinar mecanismo de autenticación a la red y cifrado de datos
◄ Opera en el Nivel 2 , modelo OSI
◄ Usa clave secreta estática para autenticación y protección de datos
◄Se puede detectar el Vector de Inicialización usado para el cifrado
◄ Susceptible a ataques para encontrar la llave de cifrado
◄ Kismet, Aircrack y WepLab
Mecanismos de Seguridad(2/5)Mecanismos de Seguridad(2/5)
Wired Equivalent Privacy (WEP)Wired Equivalent Privacy (WEP)
◄ Basado en el estándar 802.11i
◄ Usa 802.1x como mecanismos de control de acceso
◄ Utiliza el protocolo Temporal Key Integrity Protocol (TKIP)
◄ Función de encriptación llamada Message Integrity Code (MIC)
◄ Estándar en proceso de adopción
◄ 802.11i , se está ratificando
Wi-Fi Protected Access (WPA)Wi-Fi Protected Access (WPA)
Mecanismos de Seguridad(3/5)Mecanismos de Seguridad(3/5)
◄ Estándar para realizar control de acceso a una red
◄ Componentes:
Suplicante
Autenticador o Punto de Acceso
Servidor de Autenticación: RADIUS (RFC 2865, RFC 2866, RFC 3580)
◄ 1X hace referencia al uso de EAP
◄ Costos asociados
◄ Solución escalable
802.1x802.1x
Mecanismos de Seguridad(5/5)Mecanismos de Seguridad(5/5)
◄ Superan las limitaciones de WEP
◄ Son atractivas para entorno inalámbricos
◄ No es transparente el usuario
◄ Implica infraestructura adicional para soporte
◄ No permiten autenticar dispositivos que acceden a la red
Virtual Private Network (VPN)Virtual Private Network (VPN)
Mecanismos de Seguridad(4/5)Mecanismos de Seguridad(4/5)
Flujo de Autenticación
Flujo de Autorización
Cliente de Acceso InalámbricoSuplicante 802.1x
Access Point(Autenticador 802.1x)
Firewall
SEGMENTO DESERVIDORES
Servidor RADIUS
Autenticacion 802.1xServidor de dominio de usuarios (LDAP)
SEGMENTO DEACCESO
INALÁMBRICO
802.1x (1/5)802.1x (1/5)
Cliente de TerceroCliente de TerceroMac OS
Cliente de TerceroCliente de TerceroLinux
Cliente de TerceroCliente de TerceroWindows 9x
Cliente de TerceroCliente nativoWindows XP, 2000,
Vista
EAP-TTLSEAP-TLSSistema
Operativo
Flujo de Autenticación
Flujo de Autorización
Cliente de Acceso InalámbricoSuplicante 802.1x
Access Point(Autenticador 802.1x)
Firewall
SEGMENTO DESERVIDORES
Servidor RADIUS
Autenticacion 802.1xServidor de dominio de usuarios (LDAP)
SEGMENTO DEACCESO
INALÁMBRICO
• Compatibilidad con 802.11 y soporte de cifrado WPA • Capacidad de implementar el servicio de control de acceso 802.1x • Configuración del protocolo 802.1q para vlans.
802.1x (2/5)802.1x (2/5)
Flujo de Autenticación
Flujo de Autorización
Cliente de Acceso InalámbricoSuplicante 802.1x
Access Point(Autenticador 802.1x)
Firewall
SEGMENTO DESERVIDORES
Servidor RADIUS
Autenticacion 802.1xServidor de dominio de usuarios (LDAP)
SEGMENTO DEACCESO
INALÁMBRICO
• Compatibilidad con 802.1x • Soporte de diversos tipos de autenticación EAP (TLS, TTLS, PEAP) • Capacidad de registro (Accounting) • Soporte para el control de acceso en redes inalámbricas • Flexibilidad para validar a los suplicantes mediante varios métodos (Base de datos de usuarios local, directorio de usuarios LDAP, certificados, entre otros)
802.1x (3/5)802.1x (3/5)
Flujo de Autenticación
Flujo de Autorización
Cliente de Acceso InalámbricoSuplicante 802.1x
Access Point(Autenticador 802.1x)
Firewall
SEGMENTO DESERVIDORES
Servidor RADIUS
Autenticacion 802.1xServidor de dominio de usuarios (LDAP)
SEGMENTO DEACCESO
INALÁMBRICO
802.1x (4/5)802.1x (4/5)
Usuario/Contraseña
SSO: UTPLWIFI-SEC
Cliente(IP de la LAN
correspondiente a perfil)
Cliente(IP de la LAN
correspondiente a perfil)
Usuario/Contraseña
SSO: UTPLWIFI-SEC
Access Point(Múltiples VLAN’s)
Access Point(Múltiples VLAN’s)
DHCP(Asignación de direcciones IP)
Servidor RADIUS(AAA, Asignación Dinámica VLAN’s)
Servidor LDAP(Usuarios y Grupos)
1
1
5
2 4 3
802.1x (5/5)802.1x (5/5)
◄ Servidor Radius Freeradius (www.freeradius.org )
o Módulo de Autenticación EAP
o LDAP
◄ Access Point: activar 802.1x
◄ Cliente o suplicante:
o Software de tercero: 802.1x y EAP-TTLS
◄ Políticas y Mejores Prácticas
ImplementaciónImplementación
1. Un componente primordial de las mejores
recomendaciones de seguridad actuales y futuras, por
lo cual su adopción es una práctica que no solo eleva
el nivel de seguridad de las infraestructuras de acceso
inalámbrico actuales, si no que prepara a las
organizaciones para llegar a cumplir con los futuros
estándares de seguridad para la tecnología
inalámbrica.
La implementación de 802.1x en entornos inalámbricos es:
2. Una posibilidad real que las organizaciones pueden llevar a cabo con
su infraestructura tecnológica actual, y que se adecuará, sin mayores
impactos económicos o funcionales, a su crecimiento y modernización.
A pesar de la existencias de nuevas técnicas y dispositivos
innovadores con respecto a la administración de seguridad, se puedan
usar viejas técnicas o soluciones para adaptarse a cada situación. Un
caso particular el uso de soluciones Open Source es un punto
fundamental, pues el trabajo y tiempo ya dedicado a estas tecnologías
brinda cierto nivel de confianza y reduce en gran medida el costo de
desarrollo.
ConclusionesConclusiones
◄ [1] Sampalo Francisco, Despliegue de redes inalámbricas
seguras sin necesidad de usar VPN, 2004
◄ [2] Dennis Fisher. Study Exposes WLAN Security Risks. Marzo 12 de
2003.
◄ [3] Warchalking. http:// www.warchalking.org
◄ [4] Cisco Systems. Cisco Networking Academy Program CCNA.
2004.Cisco
◄ [5] Hill, J. An Analysis of the RADIUS Authentication Protocol. 2001.
InfoGard Laboratories.
ReferenciasReferencias
María Paula Espinosa: [email protected]
Carlos Loayza: [email protected]
Gracias por su atenciónGracias por su atención