Académique Documents
Professionnel Documents
Culture Documents
Csar A. Cabrera E. Ingeniero de Sistemas y Computacin UTP Instructor Academia Regional de Networking UTP CCNP en proceso (BSCI) CISCO Certified Networking Associate (CCNA) CISCO Certified Academy Instructor (CCAI) ----- www.cesarcabrera.info ----- Pereira, 2007 ---
Estndar de administracin
Recuperar informacin estadstica Establecer parmetros de funcionamiento Administracin centralizada Modelo de admin. Centralizada Inseguro:
Versin 1 y 2 no encripta contraseas, Versin 3 s. Los dispositivos que lo usan vienen con contraseas por defecto
HTTP FTP/TFTP CDP NTP Pequeos servicios TCP (echo, date, caracteres, etc.) Por qu?: Porque la programacin puede tener debilidades que bajo ataques pueden abrir huecos de acceso.
Acceso transparente:
Seguridad
Seguridad: Vulnerabilidades
Mecanismos previstos por el estndar:
Autenticacin dbil de slo dispositivo: No se autentica el usuario Encripcin de datos dbil: WEP es un mtodo dbil de autenticacin No integridad de mensaje: ICV (Integrity Check Value) es inefectivo para asegurar la integridad de los paquetes.
Seguridad: Vulnerabilidades
Seguridad: amenazas
Clasificacin de las amenazas
No estructuradas/Estructuradas
Segn sean intencionadas y con conocimiento de los sistemas. Segn provengan de personas con autorizacin de acceso o no.
Internas/externas
FBI: 60% a 80% de los reportes de violaciones de seguridad provienen de acceso interno o mal uso.
Seguridad: Ataques
Tipos de ataque
Ataques
Reconocimiento
Recoleccin de informacin de protocolos, servicios y topologa de una red. Usualmente precede un ataque de denegacin de servicio. Herramientas usadas:
Ataques
Acceso
Intrusin sin autorizacin. Permite instalar exploits o robar informacin. Explota contraseas dbiles o no existentes. Explota debilidades conocidas de servicios de la red (HTTP, FTP, SNMP, CDP, and Telnet) Rogue AP WEP: Encriptacin dbil, muchas debilidades bien documentadas (si bien muchas no han salido del laboratorio).
Ataques
DoS: Denial of Service -Denegacin de servicios
Deshabilitar o corromper los servicios. Generar trfico indeseado o interferencia. Reservar recursos no usados a una tasa ms alta de la que se liberan. Ataque ms temido:
No se necesita autorizacin previa, slo una va de acceso. Es fcil de llevar a cabo (cualquier dispositivo a 2.4/5GHz puede ser usado para enviar paquetes de desasociacin).
Mapear los dispositivos a proteger, priorizar, documentar. Provee proceso de auditora Provee un marco general para la implementacin de ms polticas Define claramente lo que se puede o no hacer Ayuda a determinar herramientas y procedimientos Cohesiona a los cuadros directivos y define responsabilidades Define procesos de administracin de violaciones Crea la base para accin legal.
Asegurar
Establecer autenticacin, autorizacin y contabilizacin Definir funciones y ubicacin de Firewalls Definir VPNs Parchar los sistemas contra vulnerabilidades Deteccin de intrusos Auditar, Deteccin de intrusos en tiempo real, validar el aseguramiento inicial Validar efectividad de las polticas: auditora y exploracin de vulnerabilidades Ajustar las polticas y medidas a los riesgos encontrados
Monitorear
Probar
Mejorar
Reomendaciones CISCO
Autentique la administracin de todos los dispositivos Use contraseas difciles de adivinar (un patrn) No deje claves por defecto en ningn dispositivo o protocolo (SNMP) Deshabilite cualquier servicio o protocolo no esencial para la operacin del dispositivo Limite el trfico administrativo a una subred y VLAN Encripte cualquier trfico administrativo Use encriptacin de tramas si es posible.
Filtrado por MAC: Permitir la asociacin slo a las MAC de clientes autorizados
La MAC se puede falsear (phishing). El filtrado por MAC se debe considerar como medida de seguridad complementaria.
WEP
Encripta el contenido para que si es interceptado no sea visible. Es necesario que coincida tanto en la estacin como en el AP. Encriptacin con una clave de 40/128Bits Usa encripcin simtrica (RC4) Las claves son estticas (manuales y no cambian durante la sesin).
Seguridad: Autenticacin
La autenticacin es un proceso administrativo previo al envo de datos. Una vez la estacin se autentica, queda asociada al AP Dos tipos:
Open: Autenticacin en texto plano (sin ecriptar), la estacin se asocia as no coincidan las claves WEP. Shared: Usa las claves WEP para realizar la autenticacin, la asociacin no ocurre si no coinciden las claves WEP.
Seguridad: Autenticacin
Solucin a corto plazo: Mejoras en WEP (WPA/SSN) Solucin a ms largo plazo: 802.11i Seguridad de segunda generacin:
Autenticacin centralizada basada en usuarios WEP Dinmico de 128 bits VPNs Listas de control de acceso
Autenticacin
Basada en dispositivos no en usuarios Estaciones no autentican la infraestructura No se apoya en bases de autenticacin existentes Claves estticas Claves compartidas entre mltiples AP Todos los APs y STAs deben configurarse manualmente
Administracin de claves
La seguridad depende de los requerimientos del cliente: se puede instalar las mejoras de WEP o se puede esperar 802.11i 802.11x:
Permite autenticar contra servidores de autenticacin centralizados Hace parte del estndar 802.11i Usa encriptacin e integridad de trama durante la autenticacin Si la STA no soporta 802.11x debe instalar un supplicant Se usa en la Universidad
TKIP: Usa encriptacin dinmica usando las mismas claves WEP configuradas MIC -Message Integrity Check-: Evita ataques de bitflip, garantizando que el paquete s es enviado por quien dice ser. BKR -Broadcast key rotation-: Evita que se enve un broadcast rotando las claves WEP
802.11x
802.11x
LEAP: Light EAP o CISCO EAP, ideal para entornos Windows con Active Directory. EAP-TLS: Infraestructura y STAs, Usa certificados digitales. PEAP: Infraestructura y STAs, usa certs. EAP-SIM
AES -Advanced Encryption Standards AES es un estndar (FIPS) de Procesamiento de informacin en EUA. Requiere hardware adicional. Sucesor del actual estndar recomendado por NIST -National Institute Standards in Technology-.
Usa IPSec Asegura Confidencialidad, integridad y autenticidad de la informacin en Internet. IPSec tiene procedimientos para establecer tneles a travs de WLANs, por lo tanto se puede filtrar el trfico para permitir slo trfico de VPNs. Filtro: permitir slo IKE/ESP -Encapsulated Security Payload-.
El primer y mnimo elemento de seguridad es vincular VLANs y SSIDs Ventajas de las VLANs:
Segmentacin de la LAN Ms Seguridad Control de Broadcasts Mejor Desempeo Mayor administrabilidad Control de la comunicacin entre VLANs
Bitcora/Registro de eventos
Cada dispositivo es configurable sobre qu eventos registrar y cmo hacerlo. Por defecto: registrar eventos graves en la consola del sistema. Bitcora centralizada con controla de alertas
Syslog
Servidor de registro C/dispositivo se configura para enviar la informacin al servidor (con la IP) Diferentes SW para registro (Pueden registrar SNMP).
Niveles de registro:
Syslog
SNMP
SNMP
SNMP
Se selecciona un AP que sirva de WDS en la red inalmbrica. El WDS Autentica tanto a los dispositivos clientes como a los de infraestructura Se pueden configurar varios como respaldo estableciendo prioridades de servicio
Dispositivo (Appliance) de administracin, monitoreo y seguridad de redes inalmbricas CISCO 1105/1130 Enva verificacin de seguridad a intervalos configurables para detectar vulnerabilidades en toda la red inalmbrica Soporta hasta 2500 Aps Para mercados verticales como servicios financieros, salud, gobierno, educacin y manufactura
Administracin remota por Web usando HTTPS Configuracin de dispositivos basado en plantillas Monitorea las polticas de seguridad y genera alertas cuando hay cambios no autorizados Interopera con aplicaciones de administracin basadas en Syslog y SNMP y genera notificaciones por email Exporta datos en XML, PDF y CSV Administra la actualizacin del firmware de los dispositivos
ACAT: Generacin de archivos de actualizacin para los usuarios. Wavelink Mobile Manager: Aplicacin comercial multivendedor
Administracin Servicio de alertas Agente remoto (Configuracin por plantillas, razonamiento basado en reglas) Servicios remotos (actualizacin y restauracin de firmware) Soporta de 25 a 500 dispositivos de marcas como CISCO, OriNOCO (Agere/Proxim) Symbol, Intel, HP/Compaq, Dell, Avaya y 3e Technologies International