La Seguridad en las Redes Inalámbricas de Área Local (WLAN) Prof.

Vincenzo Mendillo - UCV
23 de Ocrubre 2008

En Cantv ahora la seguridad es Integral

Agenda
• Fundamentos de las redes locales inalámbricas WLAN • Control de acceso básico mediante SSID y filtros MAC • Encriptación mediante WEP • Ataques a WEP con Aircrack • Nuevos mecanismos de seguridad: WPA, WPA2 y 802.11i • Ataques a WPA-PSK con clave precompartida • WPA-RADIUS para empresas • Seguridad para acceso remoto mediante VPN

La tecnología inalámbrica
Las soluciones inalámbricas para redes locales (WLAN) permiten establecer conexiones sin cables dentro de un sitio (por ejemplo, casa o edificio de oficinas) o en un espacio público como aeropuerto, café, hotel, centro comercial, biblioteca, universidad….

11 para WLAN .Estándares IEEE 802.

El nuevo estándar IEEE 802. Ya se encuentran en venta los nuevos equipos basado en el estándar IEEE 802.11n. . cobertura.11n La tecnología para redes inalámbricas está en rápida evolución. confiabilidad y eficiencia espectral de los sistemas inalámbricos. el cual todavía no ha sido oficialmente aprobado y que ofrecen una velocidad de más de 300 Mbps. utilizando MIMO (Multiple Input Multiple Output). Esta es una sofisticada técnica basada en antenas inteligentes que incrementan la velocidad.

11g 5 GHz (IEEE 802.11) HiperLAN HiperLAN 2 802.11b and 802.11a .4 – 2.4835 GHz 83.IEEE 802.5 MHz (IEEE 802.9 GHz) Extremely Very Low Medium High Very Ultra Super Infrared Visible Ultra.11 usa bandas libres Short Wave Radio FM Broadcast Infrared wireless LAN AM Broadcast Television Audio Cellular (840 MHz) NPCS (1.X-Rays Low Low High High High Light violet 902-928 MHz 26 MHz 2.11) 802.

separados de 5 MHz y solapados entre sí.11b/g se caracterizan por un conjunto de canales de 22 MHz de ancho de banda. .Canales de radio Los sistemas basados en el estándar IEEE 802.

. Consiste de un grupo de equipos que pueden comunicarse entre sí como si estuvieran conectado por cable.Modos de operación En una red inalámbrica WLAN el BSS (Basic Service Set) es el bloque constitutivo fundamental.

donde las estaciones inalámbricas requieren de un punto de acceso (AP) inalámbrico que coordina la comunicación.Modo infraestructura La forma de operación más común de las WLAN es el llamado modo infraestructura. .

Modo infraestructura
En este modo el AP actúa como un puente hacia la red cableada y hacia las estaciones inalámbricas

Modo infraestructura con varios AP

El problema de la inseguridad en WLAN
•Facilidad de interceptar las comunicaciones • Sniffing (captura de tráfico) • Secuestro de sesiones •Facilidad de obstaculizar las comunicaciones •Accesos no autorizados a la red: • Por puntos de acceso abusivos (no autorizados) • Por conexiones directas de equipo a equipo (ad-hoc) • Por puntos de acceso inseguros •Puntos de acceso falsos

al menos en los hotspots de Caracas. el 55% de las redes caraqueñas utiliza WEP (Wired Equivalent Privacy). pero es el menos detectado en el análisis. respectivamente. que es considerado uno de los mecanismos más inseguros. Es tan vulnerable como que a una persona con un nivel medio de conocimientos le bastarían unos 8 minutos para romper el cifrado de 128 bits de WEP. Otros protocolos de cifrado como WPA (Wi-Fi Protected Access) y WPA2 son menos empleados con 39% y 6%.Redes Wi-Fi de Caracas en riesgo 26 de agosto 2007 Según un estudio Kapersky Lab. en las redes capitalinas. . El WPA2 cuenta con la reputación de ser el más seguro.

Redes visibles en Caracas (2008) .

Redes visibles en Caracas (2008) .

Redes visibles en Caracas (2008) .

Los riesgos de la red desprotegida
Si el tráfico inalámbrico no está bien encriptado, puede ser interceptado y espiado por medio de una PC o laptop equipada con tarjeta inalámbrica y que se encuentre dentro o fuera del edificio. El ataque puede ser desde un sitio distante usando antenas direccionales.

Antenas de lata caseras (canatennas)

Antena de lata de casabe
©V. Mendillo, 2006

Cantennas comerciales .

Cantennas comerciales .

WarDriving en New York WEP Activado WEP Desactivado 25% 75% Lugar: Barcelona Puntos rojos protegidos Puntos verdes desprotegidos .War Driving Es la técnica de localizar puntos de acceso inalámbricos mediante automóvil equipado con equipos apropiados.

Equipamiento para War Driving .

Netstumbler para War Driving .

. Se puede acoplar a un receptor geográfico GPS.11a/ b/g de tipo PCI. Corre bajo Windows y requiere una PC equipada con tarjeta 802. PCMCIA o USB.Netstumbler para War Driving Netstumbler es un programa gratuito para la detección y monitoreo de puntos de acceso y redes ad-hoc.

Inssider para War Driving .

Vistumbler para War Driving .

Kismet (bajo Linux) para War Driving Backtrack es un Live-CD de Linux para auditoría de seguridad. Kismet . hacking ético y pruebas de penetración.

Kismet: Redes ordenadas por canal .

AiroPeek: Sniffer inalámbrico .

Captura de contraseñas mediante filtros Tráfico FTP (transferencia de archivo) .

Captura de contraseñas mediante filtros Tráfico HTTP (Correo Web) Tráfico POP (Correo electrónico) .

CommView inalámbrico CommView for WiFi: Sniffer for WiFi .

Ejemplo de captura de credenciales Usuario incauto conectándose a una página Web que requiere contraseña de acceso admin .

Tráfico capturado con CommView root:admin codificado con Base64 .

net/base64.elhacker.htm .http://www.

Robo de señal Wi-Fi a vecinos .

Robo de señal Wi-Fi a vecinos .

Conexión Wireless Client Bridge .

Interrupción de servicio en WLAN • Ataque de Negación de Servicio (DoS) • Jamming (radiointerferencia) • Ataque de hombre en el medio (Man in the Middle) • Ataque de falsificación y envenenamiento de tabla ARP .

Cain & Abel .Ataque con paquetes ARP falsos Ettercap y Cain son 2 de las tantas herramientas que permiten el ataque man-in-the-middle (hombre en el medio) mediante ARP spoofing.

. para averiguar la contraseña del administrador y así reconfigurarlo a su antojo.Penetración de puntos de acceso Un punto de acceso puede ser sometido a ataque de fuerza bruta por parte de intrusos.

Avalancha de ARP Request y ARP Response .Ataque de réplica (replay) Se utiliza con aireplay-ng para crackear WEP Usuario legítimo 1. Reinyecta ARP Request Atacante 4. ARP Request 2. Captura y graba 3.

Algunas medidas de protección • • • • • • Escoger bien el tipo y la ubicación de las antenas para minimizar fugas de la señal Emplear materiales opacos a la señal Usar herramientas de rastreo de señales para descubrir AP abusivos (rogue AP) Aplicar seguridad en los switches de la red y segmentar con VLAN Implantar vigilancia física en exteriores e interiores Efectuar auditoría continuamente .

html .com/defendair.forcefieldwireless.Protección contra fuga de señales http://www.

Rastreo de AP abusivos .

Búqueda de señales interferentes .

defactowireless.Analizador de espectro de bajo costo http://www.com .

Interferencia de hornos de microondas Yellow = current signal Green = average signal Black = peak signal Microwave oven .

Interferencia de teléfonos inalámbricos .

11i. 802. WPA. RADIUS WEP .Soluciones de seguridad para WLAN Filtros MAC. WPA2.

WLAN con mínima seguridad Basta conocer el nombre de la red (SSID) para conectarse y además los datos no se viajan cifrados (pueden ser espiados). .

El SSID es el nombre de la red .

. haciendo así que la red sea prácticamente invisible.¿Qué es el SSID? • El SSID (Service Set Identifier) es una palabra de hasta 32 caracteres que identifica a un Punto de Acceso • No está encriptado • Se puede deshabilitar su difusión (broadcast).

Autenticación abierta + filtro MAC En el AP se especifican las direcciones físicas (MAC Address) de la estaciones inalámbricas a las cuales se les permite el acceso. .

Funcionamiento del filtro MAC .

Ataque de suplantación MAC .

Suplantación de dirección MAC En una laptop o PC se puede hacer fácilmente si el adaptador inalámbrico soporta esa opción. .

Suplantación MAC usando SMAC .

Suplantación MAC usando AMAC .

Protección mediante clave WEP La opción Compartida especifica que se utilizará una clave WEP compartida entre el AP y los usuarios para autenticarse ante la red inalámbrica. . Además el tráfico se encripta con esa clave WEP.

la clave debería ser cambiada. Un empleado puede capturar con un sniffer inalámbrico el tráfico encriptado de los demás empleados y luego descifrarlo. Si algún empleado con conocimiento de la clave es despedido. que es compartida por todos.Inconvenientes de las claves WEP • • • • Las claves deben configurarse estáticamente en todo los equipos. La clave WEP se puede crackear en muy poco tiempo • . ya que conoce la clave WEP. Si la clave WEP es revelada. entonces se debe cambiar la clave en todos los equipos de la red.

Aircrack-ng (next generation) es una versión más poderosa y versátil. logrando así un ataque muy rápido y efectivo. . una vez que suficientes paquetes hayan sido capturados. combinando el método de Korek con el algoritmo Fluhrer-Mantin-Shamir mejorado.Ataque a la clave WEP con Aircrack Aircrack es básicamente una herramienta capaz de encontrar la clave de sistemas de encriptación WEP de 40 bits y 104 bits. Ha sido desarrollada que un experto francés de seguridad informática llamado Christophe Devine.

Pero usando técnicas de deautenticación y de reinyección de paquetes ARP. Esto significa tener que esperar días o semanas si la red tiene poco tráfico.Ataque a la clave WEP con Aircrack El número de paquetes requerido para encontrar la clave varía. pudiendo ser más de 250 mil para una clave de 40 bits y más de 800 mil para una clave de 104 bits. . los paquetes necesarios pueden ser capturados en pocos minutos en condiciones favorables.

Ataque a la clave WEP con Aircrack La colección completa de Aircrack se compone de: • Airodump-ng: programa para la captura de paquetes • Aireplay-ng: programa para la inyección de paquetes • Aircrack-ng: crackeador de claves estáticas WEP y WPA-PSK • Airdecap-ng: desencripta archivos de capturas WEP/WPA • Wzcook-ng: recupera claves WEP de Wireless Zero Configuration (WZC) de Windows. .

Ataque a la clave WEP con Aircrack Con mucho tráfico. la clave WEP es encontrada rápidamente! .

Ataque a la clave WEP con Aircrack .

.Ataque a la clave WEP con Aircrack Aircrack-ng para Linux permite reinyectar los paquetes ARP Request capturados. ya que los drivers de las tarjetas más populares han sido modificados (parcheados) para tal fin.

Compaq y otras).Ataque a la clave WEP con Aircrack Aircrack-ng está preinstalado en Backtrack Live-CD y la versión 3.0 incluye los nuevos drivers parcheados para poder inyectar paquetes en adaptadores difíciles como Broadcom (laptops HP. .

Aireplay-ng para reinyectar ARP Aireplay-ng permite cinco tipos de ataques diferentes: • Ataque 0: Desautenticación • Ataque 1: Falsa autenticación • Ataque 2: Selección interactiva del paquete a enviar • Ataque 3: Reinyección de ARP Request • Ataque 4: Chopchop • Ataque 5: Fragmentación .

Aireplay-ng en acción reinyectando ARP Luego de esperar un rato. ya que de otro modo el punto de acceso no le va a hacer caso a los paquetes ARP reinyectados. aparece un paquete ARP y el tráfico crece espectacularmente debido a la reinyección Este ataque falla si no se autentica primero con un ataque de falsa autenticación. .

ya hay 40000 paquetes. Suficiente para usar aircrack-ng con el modo PTW .Aireplay-ng en acción reinyectando ARP Después de 2 minutos.

La clave WEP de 40 bits es encontrada! .

La clave WEP de 104 bits también! .

WPA. 802. WPA2.11i.Mejora de la seguridad con WPA Filtros MAC. RADIUS WEP .

. • Nuevas técnicas de integridad y autenticación.WPA (Wi-Fi Protected Access) En 2003 Wi-Fi Alliance aprobó un nuevo esquema de seguridad. usando una base de datos centralizada en un servidor RADIUS. con las siguientes carácterísticas. • Clave dinámica por paquete mucho más difícil de averiguar. • Permite el uso de claves individualizadas y no solamente de una única clave compartida por todos.

. Por su simplicidad. WPA puede funcionar en el modo WPAPSK utilizando una clave compartida PSK (Pre-Shared Key) en las estaciones y punto de acceso. este modo es más apropiado para casas o pequeñas redes.WPA-PSK para usuarios domésticos A fin de acomodar las necesidades de usuarios domésticos que no dispongan de servidor RADIUS. y por tal razón también se le llama WPA-Personal. Esta clave puede ser de hasta 63 characteres (504 bits).

abc123abc123 . al igual que la clave WEP. ya que es compartida por todos los usuarios. crea potenciales brechas de seguridad en oficinas y grupos grandes.La clave precompartida PSK La clave PSK. Punto de acceso Estación inalámbrica Ej.

Incluye el nuevo sistema de cifrado AES (Advanced Encryption Standard) junto con un mecanismo de la integridad y autenticidad más robusto llamado CCMP (Counter-Mode / Cipher Block Chaining / Message Authentication Code Protocol) en lugar de MIC.11i es el nuevo estándar del IEEE del año 2004 y es practicamente equivalente a WPA2.11i 802. .Seguridad con WPA2 y 802. La casi totalidad de los productos en el mercado ya lo han incorporado.

WPA y WPA2 en routers inalámbricos Linksys WRT54G/GL .

WPA y WPA2 en routers inalámbricos D-Link DWL-2100AP .

Comparación WEP. WPA y WPA2 WEP Cipher Key Size Key life RC4 40 Bits 24 bit WPA RC4 128-64 48 bit WPA2 AES 128 bit 48 bit Data integrity CRC 32 Michael CCMP Key Management No EAP EAP .

Para montar el ataque. además hay que capturar 2 números aleatorios ANonce y SNonce que aparecen en el protocolo de inicio de la sesión (handshake). lo cual significa por lo general muchísimo tiempo o resulta imposible si la clave es robusta. .Ataque a la clave WPA-PSK Encontrar la clave compartida WPA-PSK de un punto de acceso cualquiera no es tan sencillo como en WEP y se puede hacer mediante un ataque por diccionario.

El nonce en el handshake WPA-PSK .

para así capturar el handshake. .Ataque a la clave WPA-PSK Se puede usar un ataque de desautenticación para forzar la desconexión de un usuario a fin de vuelva a conectarse.

cap es el archivo que contiene la captura del handshake para WPA. Password. .Ataque a WPA-PSK con Aircrack-ng wpa.lst es el diccionario.

Ataque a WPA-PSK con Aircrack-ng .

Ataque a WPA-PSK con Aircrack-ng .

Ataque a WPA-PSK con Aircrack-ng El ataque evidentemente falla cuando la contraseña no está en el diccionario .

Ataque a WPA-PSK con Aircrack-ng Ejemplo de diccionarios disponibles http://www.com/eng/download.shtml .insidepro.

html . Sin embargo.elcomsoft. Al disponerse de 2 tarjetas GTX280. Con tarjetas GeForce 8800M o 9800M es posible hacerlo a una velocidad 10 a 15 veces mayor.com/edpr. Normalmente se necesitarían meses o años para probar todas las combinaciones posibles.Ataque novedoso a WPA-PSK La compañía rusa Elcomsoft ha desarrollado un programa que puede buscar las claves de WPA y WPA2 a una velocidad muy superior a la actual. las claves pueden ser buscadas 100 veces más rápido. el programa de Elcomsoft está diseñado para aprovechar la capacidad de cálculo de las tarjetas gráficas NVIDIA. http://www. utilizadas principalmente para juegos con computadora.

Defensa contra ataques a WPA-PSK La única defensa contra estos tipos de ataque es usar una clave larga para que sea muy grande el número de combinaciones posibles y que la clave no esté en los diccionarios. .

minúsculas.Defensa contra ataques a WPA-PSK Estos son algunos criterios que se recomiendan: • La longitud de la clave debe ser de al menos 10 caracteres. sus familiares.= { } | [ ] \ : " . / • No debe usarse una palabra o nombre común que aparezca en un diccionario. . • La clave debe estar compuesta por una combinación de letras mayúsculas. ' < > ? . preferiblemente más de 20. • No debe haber una relación obvia con el usuario. . dígitos y símbolos especiales como los siguientes: ` ~ ! @ # $ % ^ & * ( ) _ + . el grupo de trabajo. y otras asociaciones parecidas.

RADIUS almacena información de identificación sobre todos los usuarios de la red con contraseñas y perfiles individuales.Seguridad avanzada con WPA-RADIUS El sistema RADIUS (Remote Authentication Dial-In User Service) se utiliza frecuentemente para proporcionar servicios de autenticación. Servidor RADIUS . autorización y contabilidad (AAA). que pueden incluir restricciones de acceso.

. autorización y contabilidad de los usuarios.Seguridad avanzada con WPA-RADIUS                                                                      WPA utiliza EAP (protocolo de autenticación extensible) para llevar a cabo las tareas de autenticación.

Éste es el modo indicado para empresas medianas y grandes y por tal razón también se le llama WPA-Enterprise. Su inconveniente es que requiere de una mayor infraestructura: un servidor principal RADIUS funcionando en la red y otro de respaldo. . ya que hay una clave distinta para cada usuario.Seguridad avanzada con WPA-RADIUS Por supuesto que WPA-RADIUS es mucho más versátil y robusto que WPA-PSK.

pero su tráfico está bloqueado 2. El punto de acceso y el cliente cifran sus comunicaciones . El cliente y RADIUS derivan sus claves maestras 5. El cliente se conecta al Punto de Acceso. El cliente autentica al servidor RADIUS (opcional) 4.Operación de WPA-RADIUS Cliente (Solicitante) Autenticador (Punto de Acceso) Servidor de Autenticación (RADIUS) 1. que son autenticadas por RADIUS 3. El cliente presenta sus credenciales.

• EAP-TLS (Transport Layer Security): • Cliente y RADIUS abren un túnel TLS • El servidor RADIUS se autentica con certificado digital • El cliente además se autentica con certificado digital .Métodos EAP más comunes en WLAN • EAP-PEAP (Protected EAP): • Cliente y RADIUS abren un túnel TLS • El servidor RADIUS se autentica con certificado digital • RADIUS autentica al cliente: (ej. MSCHAPv2).

Proceso de autenticación con EAP-TLS .

EAP-TLS requiere certificados digitales .

Implantación de WPA-RADIUS Sede principal Sede remota .

etc. empleados. VLAN 100 Para visitantes Sin seguridad SSID: “Bienvenido” VLAN 102 Para directivos Seguridad WPA-RADIUS Sin broadcast SSID SSID: “ACME2” VLAN 101 Para empleados WPA2-PSK Sin broadcast SSID SSID: “ACME” . visitantes.).Uso de LAN virtuales (VLAN) La seguridad se puede reforzar con el uso de VLAN de capa 2 para aislar el tráfico de los distintos tipos de usuarios (directivos.

Todo el tráfico viaja encriptado y autenticado. se puede utilizar la solución VPN (Virtual Private Network) que crea un “túnel” seguro entre 2 sitios.Seguridad adicional mediante VPN Como alternativa o complemento a WEP.11i. . WPA y WPA2/ 802.

Seguridad adicional mediante VPN Ejemplo de VPN para usuarios inalámbricos en sitios remotos (hotel. universidad …) . parque. café.

pero complejo . S/MIME): específico de la aplicación En capa 4 (SSL/TSL): Liviano.Distintos tipos de VPN En capa 7 (SSH. pero no muy flexible En capas 2/3 con PPTP: muy popular y sencillo En capa 3 con IPSec: muy seguro.

. las PCs utilizan un tercer nodo denominado "servidor mediador" que ayuda a localizarse entre sí y a levantar el túnel.VPN con Hamachi Hamachi es una solución gratuita para crear túneles VPN entre computadoras mediante UDP. Para establecer la conexión. una vez establecida. aún cuando ellas se encuentren detrás de un firewall o tengan direcciones privadas mediante NAT (Network Address Traslation). La conexión misma es directa y. el tráfico deja de fluir a través del servidor.

Operación de Hamachi .

com E-mail: vmendillo@ieee.blogspot.org . Vincenzo Mendillo http://vmendillo.FIN Concluyó la presentación sobre: Seguridad en Redes Inalámbricas de Área Local (WLAN) ¡¡Muchas gracias por su atención!! Prof.

ing.Aplicaciones.ucv. Operación y Seguridad DURACION: 32 horas FECHA: 14.ve Internet: http://it. 15. Tecnología. 21 y 22 de Noviembre 2008 de 8:00 a 12:00 y de 1:15 a 5:00 Teléfonos: 6053138/3132 E-mail: itfiucv@reacciun.Para aprender más sobre WLAN UNIVERSIDAD CENTRAL DE VENEZUELA FACULTAD DE INGENIERIA COORDINACIÓN DE EXTENSIÓN CURSO: Redes Inalámbricas de Área Local y Personal (Wi-Fi/Bluetooth) .ve .

Sign up to vote on this title
UsefulNot useful