Documente Academic
Documente Profesional
Documente Cultură
2
Porqu la seguridad inalmbrica es un
problema
3
Los ataques pueden venir de muy lejos
Con una antena directiva, un atacante puede entrar a su red desde una distancia considerable, lo que
hace ms difcil detectarlo.
55
Usuarios desprevenidos
War drivers (individuo dedicados
apescar redes desprotegidas)
Fisgones (individuales o corporativos)
Computadores con virus
AP piratas
Usuarios malintencionados
Este cliente inalmbrico puede ver 18 redes, seis de las cuales no usan
cifrado. Sin el cifrado, es muy fcil que los usuarios usen accidentalmente la
red equivocada lo que presenta una posibilidad de filtracin de datos
War Games (1983), protagonizada por Matthew Broderick,
John Wood, and Ally Sheedy
War Games (Juegos de Guerra) es una pelcula clsica que ayud a definir el
concepto de hacker para el pblico general, en 1983.
Matthew Broderick hizo el papel de chico-cerebrito que us su computador
para marcar miles de nmeros telefnicos al azar, anotando aquellos que
respondieron con un tono de MODEM de computador. El proceso de
encontrar computadores a travs de nmeros telefnicos se conoci desde
entonces como guerra de discado.
En 2001, Pete Shipley de San Francisco, automatiz el proceso de manejar un
automvil con una laptop WiFi, registrando AP y correlacionando los datos
con la ubicacin GPS. l acu el trmino war driving haciendo referencia al
clsico film del hacker.
Mapa de war driving en WiGLE.net 10
10
11
12
13
Consideraciones bsicas de seguridad
14
Problemas de
seguridad fsica
15
Redes cerradas
Filtrado MAC
Portales cautivos
Cifrado WEP
Cifrado WPA
Cifrado fuerte de extremo a extremo
(end-to-end)
16
18
19
Portales cautivos
20
Portales cautivos populares
Los siguientes portales cautivos soportan pginas
iniciales (splash pages) bsicas, autenticacin con
RADIUS, contabilidad, tiques pre-pago, y muchas otras
caractersticas.
Coova (http://coova.org/)
Chillispot (http://www.chillispot.info/)
WiFi Dog (http://www.wifidog.org/)
m0n0wall (http://m0n0.ch/wall/)
21
Fisgoneo
Por medio de la escucha pasiva de datos en la red, los usuarios
maliciosos pueden colectar informacin valiosa.
22
El hombre en el medio (man-in-the-middle: MITM)
23
El cifrado ayuda
El cifrado puede ayudar a proteger el trfico de los fisgones.
Algunos AP pueden tratar de aislar los dispositivos de los
clientes
Pero sin una infraestructura de clave pblica (PKI), el cifrado
fuerte slo no brinda proteccin completa ante este tipo de
ataques.
El tnel puede finalizar en Los fisgones pueden ver el trfico
cualquier parte de Internet inalmbrico no cifrado
El trfico inalmbrico se
protege con un tnel cifrado
24
Cifrado bsico
Cifrar informacin es relativamente fcil.
La distribucin de clave es difcil.
La identificacin nica es un reto en conexin
inalmbrica
El cifrado de clave pblica resuelve algunos (pero no
todos) los problemas.
El ataque por hombre en el medio todava es posible
si se usa cifrado sin una infraestructura de clave
pblica (PKI)
Ninguna PKI es completamente segura
25
Fallos de PKI: 2001
http://amug.org/~glguerin/opinion/revocation.html
26
Falla de PKI: 2009
http://www.forospyware.com/t220259.html
27
Cifrado WEP
Parte del estndar 802.11, el WEP (Wired Equivalent Privacy) -
Privacidad Equivalente a Cableado- proporciona cifrado
bsico compartido en la capa dos. WEP trabaja con casi todos los
dispositivos WiFi modernos.
Ventajas:
Es una caracterstica de seguridad estndar soportada por casi todos
los tipos de AP.
Desventajas:
Clave compartida, mltiples fallos de seguridad, mtodos
incompatibles de especificacin de claves, los mantenimientos a largo
plazo de redes grandes son imposibles.
28
Cifrado WPA
WPA2 (802.11i) es ahora el estndar para acceso WiFi ms comn. Usa
autenticacin de puertos 802.1x con el Estndar de Cifrado Avanzado
(Advanced Encryption Standard: AES) para proporcionar autenticacin y
cifrado fuertes.
Ventajas:
Proteccin significativamente ms fuerte que WEP
Estndar abierto
Verificacin de clientes y AP
Buena para redes de campus y oficinas
Desventajas:
Algunos problemas de interoperabilidad de fabricantes, configuracin
compleja, proteccin slo en capa dos.
29
WPA-PSK (clave pre-compartida)
PSK quiere decir en ingls Pre-shared key, (clave pre-compartida). La intencin
de WPA-PSK era proporcionar una solucin WPA tan sencilla como WEP,
pero ms segura.
30
Vulnerabilidades de WPA-TKIP
Nuevos ataques se producen constantemente a medida que se descubren
nuevos mtodos. Esta tcnica puede inyectar paquetes pequeos (como los
de ARP o DNS) en una red WPA-TKIP.
Crackean el sistema de cifrado WPA en 1 minuto
Un grupo de investigadores japoneses han desarrollado un procedimiento
por medio del cual, en slo 60 segundos, pueden vulnerar el cifrado WPA que
se utiliza actualmente en la mayora de las redes inalmbricas. Recordemos
que hacia fines del ao pasado, investigadores ya haban logrado romper este
sistema de cifrado, pero tardaban 15 minutos en lograr su objetivo.
Los investigadores Toshihiro Ohigashi (de la Universidad de Hiroshima) y
Masakatu Morii (de la Universidad de Kobe), publicaron un paper donde dan a
conocer algunos detalles de la forma como logran vulnerar el sistema. Ambos
investigadores realizarn una demostracin prctica de esta vulnerabilidad en
una conferencia que se realizar el prximo 25 de Septiembre en la ciudad de
Hiroshima.
http://www.FayerWayer.com
31
Software de cifrado fuerte
Un buen software de seguridad de extremo a extremo (end-to-end)
debe proporcionar mecanismos fuertes de Autenticacin, Cifrado
y Manejo de Claves.
Por ejemplo:
32
Tneles cifrados
Un cifrado de extremo a extremo brinda proteccin a todo lo
largo hasta el extremo remoto de la conexin.
El trfico inalmbrico se
protege con un tnel cifrado
33
Cifrado SSL
SSL est incorporado a muchos programas de Internet, incluyendo
navegadores web, y clientes de correo electrnico.
34
Tneles SSH
SSH es conocido por proporcionar acceso a la concha (shell) mediante
lnea de comandos, pero es tambin una herramienta de uso general
para tneles TCP y un proxy de cifrado de SOCKS.
35
OpenVPN
VPN abierta es una solucin VPN poderosa compatible con
diferentes plataformas.
36
Otras VPN
IPSec, PPTP, Cisco VPN, etc., proporcionan cifrado fuerte de extremo a
extremo.
Al proveer cifrado y autenticado fuertes las VPN dan seguridad a la hora de
usar redes poco confiables, como hotspots inalmbricos abiertos o Internet.
37
Resumen
38
Gracias por su atencin
39
Ver el captulo 6 del libro para ms detalles sobre los temas tratados.