Seguridad Inalmbricas

Materiales de entrenamiento para instructores de

redes inalmbricas

version 1.4 by Carlo @ 2011-03-18

 Metas

Entender cules aspectos de la seguridad de redes WiFi

son los ms importantes
Iniciarse en lo que es el cifrado, cmo opera y
de qu
manera resuelve algunos problemas de seguridad
Entender porqu la distribucin de claves es un
problema
Ser capaz de determinar cul es la mejor configuracin
de seguridad para su sistema inalmbrico

2
Porqu la seguridad inalmbrica es un
problema

La conexin inalmbrica es un medio compartido

Los atacantes son relativamente annimos
El usuario final a menudo no conoce los riesgos
La denegacin de servicio es muy simple
Los ataque maliciosos automticos son cada vez
ms complejos
Hay herramientas sofisticados disponibles
gratuitamente que permiten atacar las redes

3
 Los ataques pueden venir de muy lejos

Con una antena directiva, un atacante puede entrar a su red desde una distancia considerable, lo que
hace ms difcil detectarlo.
 55

En esta fotografa, la red inalmbrica bajo ataque est aproximadamente a

10 km de distancia.
 Los ataques pueden ser completamente
indetectables

Escucha pasiva,Los radios pueden ser configurados para monitorizar todo el

trfico de red. Puesto que el atacante no transmite ningn paquete, el
espionaje de este tipo es imposible de detectar.
 Quin crea los problemas de seguridad?

Usuarios desprevenidos
War drivers (individuo dedicados
apescar redes desprotegidas)
Fisgones (individuales o corporativos)
Computadores con virus
AP piratas
Usuarios malintencionados

Eavesdropper del ingls puede traducirse como fisgn o espa.

 Un usuario
desprevenido puede
accidentalmente escoger
la red equivocada sin
siquiera notarlo.
Puede revelar sin querer
informacin privada
(claves, direcciones de
correo electrnico, visitas
a pginas web, sin
percatarse de que pasa
algo malo)

Este cliente inalmbrico puede ver 18 redes, seis de las cuales no usan
cifrado. Sin el cifrado, es muy fcil que los usuarios usen accidentalmente la
red equivocada lo que presenta una posibilidad de filtracin de datos
 War Games (1983), protagonizada por Matthew Broderick,
John Wood, and Ally Sheedy

War Games (Juegos de Guerra) es una pelcula clsica que ayud a definir el
concepto de hacker para el pblico general, en 1983.
Matthew Broderick hizo el papel de chico-cerebrito que us su computador
para marcar miles de nmeros telefnicos al azar, anotando aquellos que
respondieron con un tono de MODEM de computador. El proceso de
encontrar computadores a travs de nmeros telefnicos se conoci desde
entonces como guerra de discado.
En 2001, Pete Shipley de San Francisco, automatiz el proceso de manejar un
automvil con una laptop WiFi, registrando AP y correlacionando los datos
con la ubicacin GPS. l acu el trmino war driving haciendo referencia al
clsico film del hacker.
 Mapa de war driving en WiGLE.net 10

10

WiGLE.net ha registrado la ubicacin de ms de 16 millones de hotspots WiFi

(redes WiFi accesibles) alrededor del mundo. Los datos fueron recolectados
completamente a travs del esfuerzo de entusiastas de las redes
inalmbricas.
 AP piratas

Un AP puede ser instalado incorrectamente por usuarios

legtimos. Alguien puede desear mejor cobertura inalmbrica en su
oficina, o puede encontrar las restricciones de seguridad de la red
inalmbrica corporativa demasiado difciles de acatar.
Al instalar un AP de consumidor sin permiso, los usuarios pueden
exponer la red completa a ataques desde adentro.

Adems, los espas que intentan captar datos o daar la red

pueden intencionalmente instalar un AP en su red, proporcionando
una puerta trasera efectiva.

11

La palabra rogue del ingls puede traducirse como pirata o forajido

 Fisgones
Por medio de una herramienta de monitoreo pasivo (como
Kismet), un fisgn puede captar todos los datos de la red desde
una gran distancia sin que su presencia se note siquiera

12

La aplicacin de monitoreo Etherpeg es un paquete monitor que muestra un

collage de grficas que se envan sin cifrado a travs del mundo. Es una
especie de navegador Web invertido que muestra lo que est pasando en la
pantalla de todos los dems usuarios.
 Usuarios maliciosos
El Supremo alemn culpa a la duea de una conexin de las
descargas realizadas por desconocidos
La mujer estaba de vacaciones cuando alguien emple su
red.- El tribunal considera que el acceso no estaba
suficientemente protegido
EL PAS - Barcelona - 12/05/2010

El Tribunal Supremo alemn ha culpado de un delito de omisin a la duea

de una conexin a Internet desprotegida, que un desconocido emple para
descargar msica. La descarga de archivos protegidos, punible en Alemania, se
produjo mientras la propietaria de la lnea de Internet se encontraba de
vacaciones, informa Efe. El tribunal ha determinado que el cdigo de acceso a
la red de la propietaria fue insuficiente para proteger la lnea, para lo que
habra sido necesaria una contrasea personalizada.

13
Consideraciones bsicas de seguridad

Seguridad Fsica: Est bien protegido el equipo?

Autenticacin: Con quin est realmente hablando?
Privacidad: Puede un tercero interceptar la
comunicacin? Cuntos datos recolecta Ud. sobre sus
usuarios?
Anonimato: Es deseable que los usuarios permanezcan
annimos?
Contabilidad: Estn algunos usuarios usando
demasiados recursos? Sabe Usted cundo la red est
siendo atacada o est simplemente sobrecargada?

14
 Problemas de
seguridad fsica

15

La foto de la izquierda muestra un nido de ratas de cableado, que mezcla

Ethernet, RF, cables de alimentacin y otros cables en un enredo, lo que hace
fcil que alguien cause problemas con o sin intencin.
A la derecha, un armario telefnico abierto, sin candado, al lado de una calle
en Mxico.
 Proteja su red inalmbrica
Estas son algunas medidas de seguridad para proteger a
los usuarios y a la red inalmbrica:

Redes cerradas
Filtrado MAC
Portales cautivos
Cifrado WEP
Cifrado WPA
Cifrado fuerte de extremo a extremo
(end-to-end)

16

Estos mtodos se presentan en orden de proteccin y complejidad

crecientes.
 Redes cerradas
Al esconder el SSID (es decir, no anunciarlo en balizas o
beacons), se puede evitar que la red sea mostrada en dispositivos
de rastreo de redes.
Ventajas:
Es una caracterstica de seguridad estndar respaldada por casi
todos los tipos de AP.
Los usuarios indeseables difcilmente van a elegir por accidente
una red cerrada de una lista de redes.
Desventajas:
Los usuarios legtimos deben saber previamente el nombre de
la red.
Las redes cerradas son difciles de encontrar en un site
survey, sin embargo, las herramientas de monitoreo pasivo las
encuentran fcilmente.
17
 Filtrado MAC

Se puede aplicar filtrado de direcciones MAC en el AP para

controlar cules dispositivos pueden conectarse.
Ventajas:
Es una caracterstica de seguridad estndar respaldada por
casi todos los tipos de AP.
Slo aquellos dispositivos que tengan una direccin MAC
estipulada pueden conectarse a su red.
Desventajas:
Las tablas MAC son engorrosas de mantener.
Las direcciones MAC se transmiten sin cifrar (incluso si se
usa cifrado WEP), y se pueden copiar y re-usar con facilidad.

18

Las direcciones MAC pueden cambiarse en la mayora de las tarjetas y

sistemas operativos.
 Portales cautivos

Un portal cautivo es un mecanismo de autenticacin til para

cafs, hoteles, y otros ambientes donde se provea acceso a
usuarios eventuales.
Como usa un navegador web para autenticacin, los portales
cautivos trabajan con casi cualquier laptop y sistema operativo.
Los portales cautivos se usan normalmente sobre redes abiertas
sin otros mtodos de autenticacin (como filtros WEP o MAC).
Puesto que no proporcionan cifrado fuerte, los portales cautivos
no son una buena eleccin para redes que necesitan restringir el
acceso slo a usuarios confiables.

19
Portales cautivos

20
 Portales cautivos populares
Los siguientes portales cautivos soportan pginas
iniciales (splash pages) bsicas, autenticacin con
RADIUS, contabilidad, tiques pre-pago, y muchas otras
caractersticas.

Coova (http://coova.org/)
Chillispot (http://www.chillispot.info/)
WiFi Dog (http://www.wifidog.org/)
m0n0wall (http://m0n0.ch/wall/)

21
 Fisgoneo
Por medio de la escucha pasiva de datos en la red, los usuarios
maliciosos pueden colectar informacin valiosa.

Los fisgones pueden ver el trfico no cifrado

de la red e inyectar paquetes, controlando
completamente la conexin de la vctima

22
El hombre en el medio (man-in-the-middle: MITM)

El hombre en el medio controla efectivamente todo lo que el

usuario est viendo, y puede grabar y manipular todo el trfico.

Servidor hombre en el medio usuario

23
 El cifrado ayuda
El cifrado puede ayudar a proteger el trfico de los fisgones.
Algunos AP pueden tratar de aislar los dispositivos de los
clientes
Pero sin una infraestructura de clave pblica (PKI), el cifrado
fuerte slo no brinda proteccin completa ante este tipo de
ataques.
El tnel puede finalizar en Los fisgones pueden ver el trfico
cualquier parte de Internet inalmbrico no cifrado

El trfico inalmbrico se
protege con un tnel cifrado

24
 Cifrado bsico
Cifrar informacin es relativamente fcil.
La distribucin de clave es difcil.
La identificacin nica es un reto en conexin
inalmbrica
El cifrado de clave pblica resuelve algunos (pero no
todos) los problemas.
El ataque por hombre en el medio todava es posible
si se usa cifrado sin una infraestructura de clave
pblica (PKI)
Ninguna PKI es completamente segura

25
 Fallos de PKI: 2001
http://amug.org/~glguerin/opinion/revocation.html

A finales de Enero de 2001,VeriSign entreg por error dos certificados de

firmado de cdigo Clase 3 a quien se haca pasar por representante de
Microsoft. Los certificados fueron emitidos a nombre de Microsoft,
especficamente a Microsoft Corporation. Despus de emitidos los
certificados, una inspeccin rutinaria de VeriSign detect el error a mediados
de marzo, seis semanas ms tarde.

26
 Falla de PKI: 2009
http://www.forospyware.com/t220259.html

En relacin a la noticia sobre la vulnerabilidad de

certificados CA firmados con MD5 y que comprometen
sitios asegurados con SSL, en el blog de Verisign se
informa que esa empresa invalid todos los certificados
CA emitidos por ellos que podran ser objeto del abuso.

De esa manera si alguien lograra reproducir el ataque

presentado el 30 de Diciembre 2008 en la conferencia
C25C3, no podr llevarlo a cabo con certificados CA de
Verisign.

27
 Cifrado WEP
Parte del estndar 802.11, el WEP (Wired Equivalent Privacy) -
Privacidad Equivalente a Cableado- proporciona cifrado
bsico compartido en la capa dos. WEP trabaja con casi todos los
dispositivos WiFi modernos.

Ventajas:
Es una caracterstica de seguridad estndar soportada por casi todos
los tipos de AP.

Desventajas:
Clave compartida, mltiples fallos de seguridad, mtodos
incompatibles de especificacin de claves, los mantenimientos a largo
plazo de redes grandes son imposibles.

Resumen: Use WPA2-PSK en su lugar.

28
 Cifrado WPA
WPA2 (802.11i) es ahora el estndar para acceso WiFi ms comn. Usa
autenticacin de puertos 802.1x con el Estndar de Cifrado Avanzado
(Advanced Encryption Standard: AES) para proporcionar autenticacin y
cifrado fuertes.

Ventajas:
Proteccin significativamente ms fuerte que WEP
Estndar abierto
Verificacin de clientes y AP
Buena para redes de campus y oficinas

Desventajas:
Algunos problemas de interoperabilidad de fabricantes, configuracin
compleja, proteccin slo en capa dos.

29
 WPA-PSK (clave pre-compartida)
PSK quiere decir en ingls Pre-shared key, (clave pre-compartida). La intencin
de WPA-PSK era proporcionar una solucin WPA tan sencilla como WEP,
pero ms segura.

Frase clave de 8 a 64 caracteres.

Aunque WPA-PSK es ms fuerte que WEP, los problemas
persisten.
Church of WiFi's WPA2-PSK Rainbow Tables: I milln de
contraseas comunes x 1.000 SSID comunes. 40 GB de tablas
de consulta disponibles en DVD.
http://www.renderlab.net/projects/WPA-tables/

30
 Vulnerabilidades de WPA-TKIP
Nuevos ataques se producen constantemente a medida que se descubren
nuevos mtodos. Esta tcnica puede inyectar paquetes pequeos (como los
de ARP o DNS) en una red WPA-TKIP.
Crackean el sistema de cifrado WPA en 1 minuto
Un grupo de investigadores japoneses han desarrollado un procedimiento
por medio del cual, en slo 60 segundos, pueden vulnerar el cifrado WPA que
se utiliza actualmente en la mayora de las redes inalmbricas. Recordemos
que hacia fines del ao pasado, investigadores ya haban logrado romper este
sistema de cifrado, pero tardaban 15 minutos en lograr su objetivo.
Los investigadores Toshihiro Ohigashi (de la Universidad de Hiroshima) y
Masakatu Morii (de la Universidad de Kobe), publicaron un paper donde dan a
conocer algunos detalles de la forma como logran vulnerar el sistema. Ambos
investigadores realizarn una demostracin prctica de esta vulnerabilidad en
una conferencia que se realizar el prximo 25 de Septiembre en la ciudad de
Hiroshima.
http://www.FayerWayer.com
31
 Software de cifrado fuerte
Un buen software de seguridad de extremo a extremo (end-to-end)
debe proporcionar mecanismos fuertes de Autenticacin, Cifrado
y Manejo de Claves.

Por ejemplo:

SSL (Secure Socket Layer)

SSH (Secure Shell)
OpenVPN
IPSec (Internet Protocol Security)
PPTP (Point-to-Point Tunneling Protocol)

32
 Tneles cifrados
Un cifrado de extremo a extremo brinda proteccin a todo lo
largo hasta el extremo remoto de la conexin.

El tnel puede finalizar en Los fisgones pueden ver el

cualquier parte de Internet trfico inalmbrico no cifrado

El trfico inalmbrico se
protege con un tnel cifrado

33
 Cifrado SSL
SSL est incorporado a muchos programas de Internet, incluyendo
navegadores web, y clientes de correo electrnico.

34
 Tneles SSH
SSH es conocido por proporcionar acceso a la concha (shell) mediante
lnea de comandos, pero es tambin una herramienta de uso general
para tneles TCP y un proxy de cifrado de SOCKS.

Todo el trfico enviado

desde un servidor SSH
es no-cifrado

Todo el trfico web es

SSH capta una conexin cifrado por SSH
TCP en el puerto 3128
del anfitrin local

El navegador web usa el

puerto 3128 del anfitrin
local para su proxy

35
 OpenVPN
VPN abierta es una solucin VPN poderosa compatible con
diferentes plataformas.

Funciona en: Windows Vista/XP/2000, Linux, BSD, Mac OS X

SSL/TLS o cifrado de clave compartida
VPN para trfico de capa 2 o capa 3
Robusta y muy flexible: Puede operar sobre TCP, UDP, o
incluso SSH!

36
 Otras VPN
IPSec, PPTP, Cisco VPN, etc., proporcionan cifrado fuerte de extremo a
extremo.
Al proveer cifrado y autenticado fuertes las VPN dan seguridad a la hora de
usar redes poco confiables, como hotspots inalmbricos abiertos o Internet.

37
 Resumen

La seguridad es un tema complejo de muchas facetas. Ningn

sistema de seguridad es exitoso si le impide a la gente usar la red.

Al usar cifrado fuerte de extremo a extremo puede impedir que

otros usen esa misma herramienta para atacar su red, y le permite
usar con confianza redes poco seguras (desde un AP inalmbrico
pblico hasta la misma Internet).

Cuando se aprende a escoger las medidas de seguridad WiFi

apropiadas se puede limitar el tipo de ataques a su red, reaccionar
ante los problemas y planificar la expansin de la red.

38
 Gracias por su atencin

Para ms detalles sobre los tpicos

presentados en esta charla, vaya al libro
Redes Inalmbricas en los Pases en
Desarrollo, de descarga gratuita en varios
idiomas en:
http://wndw.net/

39

Ver el captulo 6 del libro para ms detalles sobre los temas tratados.