Seguridad en Redes

Inalámbricas
Jorge A. Zárate Pérez
jorge.zarate@itoaxaca.edu.mx
 Contenido
Tener un acercamiento de la seguridad en redes inalámbricas, características,
funcionamiento, especificaciones, recomendaciones e implementar un modelo de
seguridad basado en WAP1 con herramientas GNU.

! ! Introducción
- Hardware
* Chipsets
* Antenas
- Consideraciones
! ! ! - Políticas de Seguridad

! ! Tecnologías
- SSID
- MAC filtering
Lab de etheral
- VPN
- Captive Portal
- WEP
Lab de WEP
- WPA
Lab WPA1

Conclusiones
 Hardware

PCMCIA y CF Wireless Cards

Hay que considerar los siguientes aspectos en las tajetas de los clientes:

1.- El chipset

2.- El nivel de potencia de salida y la posibilidad de ajustarlo

3.- Sensibilidad en la recepción.

4.- Disponibilidad de montaje de antena externa.

5.- Soporte para 802.1x u 802.11i

 Hardware

Los Chipsets
Los chipsets en tajetas 802.11 incluyen por lo regular Prism, Cisco-Aironet, Hermes/
Orinoco, Symbol, Atheros, ARx10. El chipset es importante ya que define la
flexibilidad y funcionalidad de cada tarjeta.

Prism chipset, de Intersil, Inc., es uno de los mas viejos (802.11), y tiene las
siguientes versiones:

Prism I (original 802.11)

Prism II (802.11b)
Prism III (802.11b)
Prism Indigo (802.11a)
Prism GT (802.11b/g)
Prism Duette (802.11a/b)
Prism Nitro (Mejora a las redes 802.11g)
Prism WorldRadio (802.11a, b, d, g, h, i and j )
 Hardware

Es el chip con mayor cantidad de soporte en el mercado, es muy abierto y por

consiguiente es uno de los favoritos de los hackers.

El chipset cisco aironet no es mas que un Prism II con esteroides de ahí que
también sea muy utilizando en el wardrive

El chipset de Hermes, desarrollado por Lucent, ofrece una buena recepción, tienen
un conector para antena exterior, el funcionamiento del chip no es muy abierto por lo
que no ofrece un buen desempeño, y en el caso de linux no tiene una buena
integración con el kernel como lo tienen los chips Prism.

El chipset de Symbol (Spectrum 24t), es uno de los chips utilizados como base para
otros fabricantes tal es el caso de Nortel (Emobolity 4121, 3Com AirConnect, Intel
PRO/Wireless, y las tarjetas Symbol Wireless., ya que el chip set es similar al de las
tarjetas Orinoco, es posible utilizar un driver de este bajo linux.
 Hardware

El chip de Atheros AR5000, es el más usado en los dispositivos 802.11a, Fué el

primero en combinar un "radio-on-a-chip" (RoC), y una interface para
computadora (baseband processor + MAC controller), Soporta el modo turbo
(72Mbs Teóricamente), el hardware se basa en la encriptación a 152 bits o
menos, el consumo de energía es bajo, y es el que se esta utilizando en las
tajetas 802.11a/b/g.
 Hardware
Antenas
Las antenas y amplificadores son parte importante en el diseño. Debemos saber que
tenemos a nuestro alcance, revisando algo de teoria resaltamos 2 aspectos
importantes de estas, la ganancia (“gain” potencia de ampificación) y el beamwidth
(Este lo provee las formas de covertura de la antena).

La polarización de la Antena: Una onda de radio consistente en 2 campos: eléctrico y

magnético. Estos dos campos se disipan en planos perpendiculares. El campo
electromagnetico es la suma de los campos anteriores. El plano eléctrico paralelo a la
antena es llamado plano E, y el plano perpendicular es llamado H, La posición del
plano-E referenciado a la superficie de la tierra, determina la polarización (horizontal
cuando el plano E es paralelo, y vertical cuando es perpendicular a la tierra). La
mayoria de los AP vienen con una polarización vertical ya que la mayoria de las
tarjetas PCMCIA vienen en esta polarización.

La ganancia (gain), es estimado en dBi debido a que es referenciado a iradiaciones

isotropicas.
 Hardware
Tipos de Antenas
Omnidirectional antennas
- Mast mount omni
- Pillar mount omni
- Ground plane omni
- Ceiling mount omni

! ! ! ! Horizontal pattern: 360° beamwidth! ! ! ! ! ! Vertical pattern: 7–80° beamwidth

 Hardware
Semidirectional antennas

- Patch antenna
- Panel antenna
- Sectorized antenna
- Yagi antenna

! ! ! ! ! ! ! ! ! Sectored/Panel-horizontal pattern: 30–180°! ! Sectored/Panel vertical pattern: 6–90

! ! ! ! ! ! ! ! ! ! ! ! Yagi horizontal patter: 30–70°! ! ! ! Yagi vertical pattern: 15–65°! !

!
 Hardware
Highly directional antennas

- Parabolic dish
- Grid antenna

! ! ! ! ! ! ! Horizontal pattern: 5–25° ! ! ! ! ! ! ! Vertical pattern: 5–20°

 Hardware

RF Amplificadores

Los amplificacores proveen una ganacia mayor debido a que inyectan potencia vía
una fuente externa. Los amplificadores hay de 2 tipos, los que amplifican de manera
unidireccional y los bidireccionales. Estos son usados para cubrir mayores distancias
(enlaces punto a punto) o en su defecto cuando la ubicación de APs externos tengan
multiples obstaculos.

El problema del abuso de amplificadores da lugar a ataques de "Man-in-the-middle"

o ataques DoS, ya que ofrece mejores prestaciones a la capa 1 del modelo OSI.

RF Cables y Conectores

Estos determinan en gran parte la calidad de la señal, se estima cerca de un 1dB de

perdida por cada 100 pies, los conectores si son de los baratos pueden disminuir
entre 2 y 3 dB, ahora que si uno de estos componentes esta mal conectado o
dañado la perdida es mayor.
 Consideraciones
Tipos de Obstaculos y Pérdida de Señal

Obstruction Additional Loss (dB) Effective Range

Open space 0 100%

Window (nonmetallic tint) 3 70%

Window (metallic tint) 5-8 50%

Light wall (drywall) 5-8 50%

Medium wall (wood) 10 30%

Heavy wall (15 cm solid core) 15-20 15%

Very heavy wall (30 cm solid

20-25 10%
core)

Floor/ceiling (solid core) 15-20 15%

 Consideraciones
Avisos para Áreas de Acceso (Warchalking)
 Consideraciones
Politica de Seguridad para redes Inalámbricas

El primer elemento para iniciar una infraestructura de seguridad en las redes

inalámbricas es el diseño apropiado de politicas de seguridad.

Aspectos a considerar:

- Aceptación de dispositivos, Registro, Actualización y Monitoreo

- Educación del usuario y Responsabilidad
- Seguridad Física
- Perímetro de Seguridad Física
- Desarrollo de la Red y posicionamiento
- Medidas de Seguridad
- Monitoreo de la Red y Respuesta a Incidentes
- Seguridad en la Red (Logica), Auditoria y estabilidad
 Consideraciones

Existen varias tecnologías 2006

inalámbricas, pero la que se utiliza
más ampliamente es el 802.11b, 2005
debido a que puede ser utilizado en 2004
redes LAN, CAN, MAN.
2003
La flexibilidad de la tecnológia a 2002
permitido el rápido crecimiento de 2001
este estandard, desde su
lanzamiento a tenido una gran 0 10 20 30 40 50
aceptación. Se espera que para el
año 2006 el número de equipos con
este estandard este arriba de los 40
millones de unidades.
 Consideraciones

¿ Porque las redes inalambricas son atractivas para

los hackers ?
1.- Son divertidas
! 2.- Da acceso anómino al atacante, lo que hace difícil el rastreo
! 3.- Debido a los actos ilícitos, el acceso inalámbrico ofrece una vía para preservar
la privacidad.
4.- La facilidad de husmear es la red.
5.- Siempre hay una "oportunidad de"

¿ De quién nos vamos a cuidar ?

- Los curiosos.
- Consumidores de ancho de banda
- Los verdaderos hackers.
 Consideraciones

Identificación de los Puntos de Penetración

- Encontrar los puntos físicos donde los atacantes puedan tener acceso.

- Detección de redes vecinas.

- Detección de tráfico anormal o frecuencias fuera de rango.

- Identificar según el diseño y configuración los problemas de seguridad y servicio.

 Consideraciones
Aspectos que no se toman en cuenta en redes
corportivas o escolares

! - Administrador de red sin experiencia en redes inalámbricas

- Equipos baratos sin capacidades de seguridad

! - La ausencia de un servicio de autenticación centralizado

! - La ausencia de IDS para redes inalámbricas

- La asencia de politicas de seguridad

- Auditoria nula en los equipos.

 Tecnológias
Tecnologías de seguridad con las que contamos

- SSID (uso por default)

- MAC filtering

- VPN

- Captive Portal

- WEP (Wired equivalent privacy)

- WPA 1 (Wi-Fi Protected Access 802.1x )

- WPA 2 (lo que sera el 802.1i )

 Tecnológias

SSID
El SSID es el mecanismo para identificar redes inalámbricas, que por si solo no
da una protección y en la mayoría de las ocaciones se emplea el de default, un
uso “inteligente“ es eliminar el broadcast del SSID, desafortunadamente es
posible identificar este con herramientas como:

- Kismet (http://www.kismetwireless.com)
- Airtraf
- Gtkskan (http://sourceforge.net/projects/wavelan-tools/)
- WifiScanner (http://sourceforge.net/projects/wifiscanner)
 Tecnológias

MAC filtering

El filtrado por direcciones MAC

permite hacer una lista de equipos
que tienen acceso al AP, o bien
denegar ciertas direcciones MAC,
la principal desventaja radica en
que la direccion MAC de la tarjeta
por lo regular es intercambiable
(clonada), lo que pemite una
obtención de una entrada válida
en el AP.
 Tecnológias

Lab. Ethereal
 Tecnológias

VPN
Algunos AP permiten la configuración de VPN en el equipo, permitiendo que el
usuario que se conecte tenga que autentificarse para poder salir del AP (Navegar),
ademas de ofrece una encriptación de los datos en el tránsito de datos, haciendo
mas difícil el husmeo de tráfico por un tercero.

La desventaja que presenta es que no todos los APs tienen este servicio

La autenticación en la mayoria de los casos no es centralizada y cuando la es, se

tiene acceso a una parte de la red que puede ser utilizada para otro tipo de ataques

Se requiere un software adicional, no todos lo equipos lo soportan.

Existe una gran diversidad de VPN, como: IPSec, L2TP, PPTP, entre otras.

Y puden ser atacados por DoS o ataques de diccionario

 Tecnológias

Captive Portal
Estos permiten dar acceso a un portal donde se autentifica el cliente, dando le acceso
a este equipo por un tiempo determinado o bajo ciertas condiciones.

Este esquema de seguridad no es muy utilizado debido a que debe de estar en el AP

para un mejor funcionamiento.

No todos los AP tienen soporte, los

OpenAP o soluciones opensource
ofrecen estas cualidades.

Puede ser atacado por DoS o ataques

de diccionario

El problema aun sigue ya que el control

de acceso al AP no existe
 Tecnológias

Llaves WEP

Por ser de las primeras propuestas de seguridad en equipos inalambricos, fue

rápidamente rota, el mecanismo ofrece una llave compartida entre el AP y el
equipo.

Tiene la desventaja de compartir previamente la llave.

Es facilmente obtener la llave con herramientas como:

- airsnort
- wepcrack
- dweputils
- wepattack

Estas herramientas necesitan una gran cantidad de tráfico para poder obterner
las llaves, asi que eso puede dar pie a largas horas de espera o bien usar
inyectores de paquetes para acelerar el proceso.
 Tecnológias

Lab. WEP
 WPA

WPA
Que es el 802.1X?

El estandard 802.1X-2001 dice:

"Port-based network access control makes use of the physical access characteristics
of IEEE 802 LAN infrastructures in order to provide a means of authenticating and
authorizing devices attached to a LAN port that has point-to-point connection
characteristics, and of preventing access to that port in cases which the
authentication and authorization fails. A port in this context is a single point of
attachment to the LAN infrastructure." --- 802.1X-2001, page 1."
 WPA

Un cliente wireless debe ser autentificado antes de tener acceso a los recursos de la red
 WPA

Pasos

1 Cuando el cliente wireless pide un recurso de la LAN, el Access

Point pregunta por la identidad. No hay otro tráfico autorizado
excepto el EAP.

El cliente wireless solicita una autentificación (Supplicant), El

Supplicant es el responsable de responder al Autentificador, con el
juego de credenciales válidas.

EAP, es el protocolo que utilizaremos para autentificar

(originalmente usado para accesos dial-up). La identidad será dada
por un PAP o CHAP, recordemos que estos mandan los datos en
limpio, pero el tunnel de TLS permite que los datos vayan seguros.
 WPA

Una vez que la identidad se envió, el proceso de autentificación empieza. El

2 protocolo usando entre el Supplicant y el Autentificador es EAP, o dicho
correctamente EAP encapsulado sobre LAN (EAPOL), El autentificador re-encapsula
el mensaje EAP al formato de Radius y es enviado al servidor de autentificación.

Durante la autentificación, el Autentificador solo reenvia los paquetes entre el

supplicant y el Servidor de Autentificación. Si el Servidor envian un mensaje de éxito
el Autentificador abre el puerto para el supplicant

3 Una vez que la autentifiación fue exitosa, el cliente (supplicant) tiene

acceso a los recursos de la red.
 WPA
802.11i
El nuevo estandart 802.11i ratificado en Junio del 2004, resuelve las debilidades del
WAP. Este es dividido en 3 categorias principales

1 Temporary Key Integrity Protocol (TKIP) es el termino de la solución que resuelve

los problemitas del WEP. TKIP puede ser usado por el equipo con soporte 802.11
(con una actualización del firmware), este provee la integridad y la confidencialidad
requerida.

2 Counter Mode with CBC-MAC Protocol (CCMP) [RFC2610] es un algoritmo de

cryptografico, utiliza AES [FIPS 197] como algoritmo principal, desde ahi podemos
decir que es mayor el consumo de la CPU con respecto a RC4, este requiere un
nuevo hardware asi como dirver con soporte a CCMP.

3 802.1X Port-Based Network Access Control: Este usa tanto TKIP como CCMP,
802.1X para la autentificación.

Adicionalmente hay otro método de encriptación opcional llamado "Wireless Robust

Authentication Protocol" (WRAP) que puede ser usado con CCMP.
 WPA
Administración de Llaves
 WPA
1 Cuando el Supplicant (WN) y el Servidor de Autentificación (AS) autentica, uno de los últimos
! mensajes es enviado por el AS, dando la autentificación exitosa, es el Master Key (MK).
! Después es enviado el MK es conocido únicamente por el WN y el AS. El MK es utilizado
! entre la sesión del WN y el AS.

2 Tanto como el WN como el AS derivan una nueva llave llamada Pairwise Master Key (PMK),
de la llave maestra.

3 La PMK es movido del AS al autentificador (AP). Unicamente el WN y el AS pueden derivar

la PMK, entonces el AP hace el control de acceso en vez del AS. La PMK es fresca y
! simétrica y trabaja entre el WN y el AP

4 PMK y el 4-way handshake es utilizado entre el WN y el AP, para derivar y verificar un

! Pairwise Transient Key (PTK). la PTK es una colección de llaves operacionales.

- Key Confirmation Key (KCK), como su nombre lo indica, es usado para proveer la posesión
de la PMK y enlazar la PMK con el AP.
- Key encryption Key (KEK) es usada para distribuir la Group Transient Key (GTK).
- Temporal Key 1 & 2 (TK1/Tk2) es usada para encriptación de los datos.
 WPA

Herencia de Llaves
 WPA

TSN (WPA) / RSN (WPA2)

La industria no tiene tiempo para esperar por un estándard completo, quieren
resolver los problemas del WEP, asi que ofrecen una Wi-Fi Protected Access (WPA).

WPA no es una solución a largo plazo. Para tener un Seguridad Robusta en Red
(RSN), el hardware debe soportan y usar CCMP. RSN es básicamente CCMP +
802.1X.

TSN = TKIP + 802.1X = WPA(1)

RSN = CCMP + 802.1X = WPA2
 WPA

¿Que es EAP?
Extensible Authentication Protocol (EAP) [RFC 3748] es sólo un protocolo de
transporte optimizado para autentificación no es método en sí.

" [EAP is] an authentication framework which supports multiple authentication

methods. EAP typically runs directly over data link layers such as Point-to-Point
Protocol (PPP) or IEEE 802, without requiring IP. EAP provides its own support for
duplicate elimination and retransmission, but is reliant on lower layer ordering
guarantees. Fragmentation is not supported within EAP itself; however, individual
EAP methods may support this." --- RFC 3748, page 3

Como 802.1X usa EAP, ofrece multiples esquemas de solución, que van desde smart
cards hasta OTP.
 WPA
Mecanismos
!• ! EAP-MD5: MD5-Challenge requiere username/password, y es equivalente al procolo PPP
CHAP.

!• ! Lightweight EAP (LEAP): un username/password combinado con una autentificación a un

Autenticación Server (RADIUS). Leap es un protocolo propietario de cisco.

!• ! EAP-TLS: Crea una sesión TLS con el EAP, entre el supplicant y el Servidor de
Atentificación. Ambos deben tener un certificado válido (x509) y un PKI.
EAP-TTLS: Sets up a encrypted TLS-tunnel for safe transport of authentication data.
Within the TLS tunnel, (any) other authentication methods may be used. Desarrollado por
Funk Software y Meetinghouse, y es un IETF draft actualmente.

!• ! Protected EAP (PEAP): Usa, EAP-TTLS, en un tunel TLS. Desarrollado por Cisco, and
RSA Security, y es un IETF draft actualmente.

!• ! EAP-MSCHAPv2: requiere un username/password, y básicamente es la encapsulación

del MS-CHAP-v2.
 Tecnológias

Ataques al WPA1 (802.1x)

Maneja un la centralización en la administración de accesos en la red wireless no es
del todo la mejor ya que por ser relativamente nueva algunos OS no tienen soporte.
Dentro de sus vulnerabilidades estan:

- EAP-TTLS através del MS-CHAP

- EAP-LEAP:
- Calculando una larga lista de passwords MD4
- Capturando los frames de respuesta
- Calculando los 2 bits del hash de MD4
- Un ataque de diccionario.
- Ataques DoS
! ! - Basado en inundación de frames EAPOL-Start
! ! - Identificación de espacio del EAP ciclico.
- Mandando a los clientes frames prematuros de EAP Success
- Clientes haciendo spoofing de frames EAP fallidos
- Usando frames malformados de EAP.
 Tecnológias

Lab. WPA1
 Conclusiones
-! El problema de la tecnología es la novedad.

-! Es necesario implementar mecanismos de seguridad al menos básicos para tener

cierta confidencialidad.

- No debemos perder de vista que el acceso wireless es solo eso, un acceso, ya

que muchas de las veces dejamos servicios de red activados (cableados) y de
! fácil ubicación.

-! La combinación de más de una tecnología podría ofrecer una mejor seguridad.

-! La administración y monitoreo constante de la infraestructura es indispensable.

-! No olvidar que las cuerdas se rompen por la parte más delgada.

- La comodidad tiene su precio... :-)

Gracias