Académique Documents
Professionnel Documents
Culture Documents
11
Carlos Vicente
cvicente@ns.uoregon.edu
Amenazas
Uso ilegtimo del ancho de banda Violacin de privacidad Trfico ofensivo o delictivo por el que somos responsables (AUP) Acceso a recursos restringidos por rangos IP
WEP
WEP
Gestin manual de claves Claves de 40 bits muy cortas Initialization Vector (IV) muy corto (24 bits) Aleatorizacin deficiente
Puede fcilmente generarse un mensaje distinto que produzca la misma secuencia Lo ideal es un hash (Ej: MD5)
WEP
AirSnort
http://airsnort.shmoo.com
Nuevos desarrollos
Necesidad de un esquema ms flexible Control de acceso a puertos (capa 2) IEEE tom EAP (del IETF) y lo adapt para redes locales Evolucionando hacia 802.1i en entorno wireless Cliente ya incluido en Windows XP Paso intermedio: WPA
802.1x
EAP
Estndar del IETF (RFC-2284) Inicialmente para PPP (enlaces dial-up), pero puede operar sobre cualquier protocolo de capa de enlace (802.3, 802.11, etc) Realmente una envoltura
EAP-Radius
RFC-2869
Define modificaciones para RADIUS que permiten su utilizacin dentro de EAP Radius ya es muy utilizado para autenticacin de dial-up via PPP EAPOL/EAPOW (EAP over LANs/Wireless)
Access-Point Servidor
Estacin
Radius EAP-Radius
EAPOW
EAP-TLS
Es SSL hecho estndar por el IETF Tambin una envoltura: Permite negociar algoritmos
LEAP
Lightweight EAP
PEAP y TTLS
Tambin evitan la utilizacin de certificados de cliente S utilizan certificados para autenticar la red wireless Proceso en dos pasos:
Autenticar el servidor y negociar claves de cifrado para crear un tnel Utilizar el tnel para negociar la autenticacin del cliente
802.11i
Pero las tarjetas 802.11b ms viejas no contienen el algoritmo AES Por eso se incluy la alternativa de TKIP (Temporal Key Integrity Protocol)
Clave de 128 bits IV de 48 bits Las claves no son permanentes sino que se pueden negociar
WPA
Wi-Fi protected Access Es bsicamente 802.11i con la opcin TKIP (RC4) Promovido por la Wi-Fi alliance (www.wi-fi.org)
Otras opciones
Tneles IPSEC
No escalable y no siempre posible cubrir todas las plataformas (PC, Unix, MAC, PalmOS, etc)
Volumen de usuarios
Variedad de sistemas operativos Usuarios con poco nivel de familiaridad con tecnologas
Wireless Gateways
Caso UO:
~20,000 estudiantes ~200 access points y creciendo Variedad de sistemas operativos Claves en claro no permitidas
Cobertura 802.11 en UO
UO Wireless Gateway
Linux (con iptables) Apache con SSL Bind ISC DHCP Cliente Radius CGI scripts en Perl y C
UO Wireless Gateway
Red del campus/ Internet
Subred 802.11
Cliente
UO Wireless Gateway
El usuario abre el navegador y escribe una direccin La mquina hace una peticin DNS El WG responde con su propia direccin para cualquier nombre
UO Wireless Gateway
La estacin recibe la direccin y hace una peticin HTTP El servidor web del WG recibe la peticin y devuelve una pgina de login
UO Wireless Gateway
UO Wireless Gateway
Una vez autenticado el usuario via Radius, el WG agrega una entrada en iptables permitiendo la direccin MAC de la estacin Cmo evitar que la tabla crezca indefinidamente?
El WG enva pings cada x minutos para mantener la tabla al da Tambin los leases de DCHP expiran en un tiempo relativamente corto El usuario puede ir a la pgina de inicio y hacer un logout explcitamente
Principales limitaciones
Algunos sistemas operativos permiten cambiar la direccin MAC La estacin puede comunicarse dentro de la subred inalmbrica an sin estar autenticado
Wireless Gateways
Soluciones Comerciales
Funcionalidad distribuda (Connect Server, Edge Controller, etc) Posibilidad de separar en subredes Movilidad
Muchas ms funciones
Establece tneles IP/IP para mantener direcciones Autorizacin, Accounting, etc. Interfaz web, DB backend
NoCat (http://nocat.net)
Dos componentes:
Ms informacin
IETF
RFC-2284: PPP Extensible Authentication Protocol (EAP) RFC-2869: RADIUS Extensions RFC-2716: PPP EAP TLS Authentication Protocol
(http://www.networkmagazine.com/showArticle.jhtml?articleId=108 18265)
Roadblocks for War Drivers: Stop Wi-Fi from Making Private Networks Public
Georgia Tech LAWN Project
(http://www.networkmagazine.com/showArticle.jhtml?articleId=870 3478)