Escuela Superior de Ingenieros Quinto Ingeniería de Telecomunicación

Redes y Servicios de Radio

2 / 36

1. Introducción

2. Seguridad en redes WiFi

3. El proyecto Eduroam

4. Pruebas realizadas. Problemas encontrados

5. Conclusiones

3 / 36

1. Introducción 2. Seguridad en redes WiFi 3. El proyecto

Eduroam 4. Pruebas realizadas. Problemas encontrados

5. Conclusiones

4 / 36

Conexión a internet de las grandes empresas.

Elección de que esta red sea inalámbrica: Ventajas e inconvenientes.

Necesidad de desplazamiento de sus usuarios entre distintas organizaciones.

Dos partes de estudio diferenciadas:

– Seguridad en Redes WiFi: autenticación y cifrado. Estudio del estado del arte.

– Aplicación de lo anterior: Proyecto Eduroam. Funcionamiento y problemas que presenta.

1. Introducción 2. Seguridad en redes WiFi 3. El proyecto

Eduroam 4. Pruebas realizadas. Problemas encontrados

5. Conclusiones

5 / 36

1. Introducción 2. Seguridad en redes WiFi 3. El proyecto

Eduroam 4. Pruebas realizadas. Problemas encontrados

5. Conclusiones

La Seguridad Métodos de autenticación Autenticación WPA El protocolo EAP EAP-TTLS Métodos de cifrado de datos El cifrado AES

6 / 36

Las redes WiFi proporcionan numerosas ventajas :• Reducción de costes de infraestructura y cableado

• Movilidad y comodidad para los usuarios

Pero también surgen problemas

con respecto a la seguridad: • Problema de autenticación

• Problema de privacidad de los datos

Se debe implementar mecanismos:• Evitar que los usuarios no autorizados accedan a la red

• Ofrecer privacidad y confidencialidad de la comunicación

1. Introducción 2. Seguridad en redes WiFi 3. El proyecto

Eduroam 4. Pruebas realizadas. Problemas encontrados

5. Conclusiones

7 / 36

Autenticación: proceso de verificar y asegurar la identidad de las partes involucradas en una transacción

Impide a un pirata usurpar identidad y modificación

de los datos

Mecanismos de autenticación en redes WiFi :- Autenticación de Red Abierta

- WEP (Wired Equivalent Privacy)

- 802.1x

- WPA/WPA2 (Wifi Protect Access)

1. Introducción 2. Seguridad en redes WiFi 3. El proyecto

Eduroam 4. Pruebas realizadas. Problemas encontrados

5. Conclusiones

8 / 36

WPA: alternativa para mejorar las vulnerabilidades de WEP y adelanto del nuevo estándar WPA2

Principales características de WPA:

- distribución dinámica de claves

- mejora la confidencialidad de WEP

- nuevas técnicas de integridad y autentificación

WPA2 versión de WPA mejorada

Debilidad WPA: los PA aceptan únicamente autenticación y cifrado WPA

1. Introducción 2. Seguridad en redes WiFi 3. El proyecto

Eduroam 4. Pruebas realizadas. Problemas encontrados

5. Conclusiones

9 / 36

EAP (Extensible Authentication Protocol) protocolo de autenticación extendido

En EAP intervienen tres tipos de elementos: - el cliente que solicita acceso

- el PA que sirve de enlace entre el cliente y el servidor de autenticación

- el servidor de autenticación que realiza la comprobación de credenciales

1. Introducción 2. Seguridad en redes WiFi 3. El proyecto

Eduroam 4. Pruebas realizadas. Problemas encontrados

5. Conclusiones

10 / 36

EAP: los mensajes son trasmitidos en claro

No se requiere ningún tipo de autenticación por parte del servidor ni del cliente -> vulnerabilidad a nivel de seguridad

Mejoras del protocolo: se crean canales seguros entre el cliente y el servidor de autenticación

1. Introducción 2. Seguridad en redes WiFi 3. El proyecto

Eduroam 4. Pruebas realizadas. Problemas encontrados

5. Conclusiones

11 / 36

EAP-TTLS (Extensible Authentication Protocol withTunneledTransportLayer Security)

El túnel TLS basado en SSL

Compatible con muchas plataformas

Ofrece un muy buen nivel de seguridad

Utiliza certificados X-509 sólo en el servidor de autenticación

Emplear métodos de autenticación adicionales como PAP y CHAP

Desventaja frente a PEAP: no es soportado

de forma nativa en Microsoft y Cisco

Más seguro que PEAP porque no

difunde el nombre del usuario en el claro

1. Introducción 2. Seguridad en redes WiFi 3. El proyecto

Eduroam 4. Pruebas realizadas. Problemas encontrados

5. Conclusiones

12 / 36

Encriptación: proceso de combinación entre un mensaje y una clave secreta, a través de un algoritmo de encriptación

Objetivo: hacer los datos incomprensibles cuando pasan por la red

Confidencialidad en redes WiFi:

encriptación entre PA y cliente

Algoritmos de encriptación:

* AES* RSA

* WEP* 3DES* SHA* MD5

1. Introducción 2. Seguridad en redes WiFi 3. El proyecto

Eduroam 4. Pruebas realizadas. Problemas encontrados

5. Conclusiones

13 / 36

AES: Advanced Encryption Standard Uno de los mas seguros algoritmos de cifrado Características:

- algoritmo simétrico de cifrado por bloques- destinado para remplazar el algoritmo DES- usa una longitud de bloque de 128 bits, y de clave de 128, 192 o 256 bits- ofrece una gran seguridad, rapidez, y portabilidad

Utilizado en la seguridad de la red WiFi Eduroam de la US

1. Introducción 2. Seguridad en redes WiFi 3. El proyecto

Eduroam 4. Pruebas realizadas. Problemas encontrados

5. Conclusiones

14 / 36

1. Introducción 2. Seguridad en redes WiFi 3. El proyecto

Eduroam 4. Pruebas realizadas. Problemas encontrados

5. Conclusiones

¿Qué es Eduroam? Eduroam en el mundo Organismo regulador en Europa Eduroam en España Tecnologías usadas Seguridad Uso de la red Eduroam en la US Conexión a Eduroam

15 / 36

Definición:- Educational Roaming

- iniciativa a nivel internacional

- objetivo crear un espacio único de movilidad entre las instituciones adscritas al proyecto.

Integrantes:- Instituciones principalmente académicas de ámbito nacional e

internacional.

- Política de uso común.

- Requerimientos tecnológicos.

Objetivos:- Dotar al usuario de conexión a internet y recursos tanto de su

institución origen como de la visitada, en cualquiera de las organizaciones del proyecto Eduroam.

1. Introducción 2. Seguridad en redes WiFi 3. El proyecto

Eduroam 4. Pruebas realizadas. Problemas encontrados

5. Conclusiones

16 / 36

Breve historia:– Surge en 2003 dentro de

Terena (Trans-European Research and Education Networking Association).

– Primeras pruebas enorganizaciones de Los Países Bajos, Finlandia, Portugal, Croacia y Reino Unido.

– Se fue extendiendo por gran parte de la comunidad educativa y de investigación de casi todo el mundo.

Actualmente:– Actualmente es una

confederación.

– Tres confederaciones regionales de Eduroam: Europa, Asia-Pacífico y América

1. Introducción 2. Seguridad en redes WiFi 3. El proyecto

Eduroam 4. Pruebas realizadas. Problemas encontrados

5. Conclusiones

17 / 36

36 federaciones de nivel nacional.

ETLR es controlado por la organización nacional de redes para la investigación y la educación en:– Los Países Bajos (SURFNET)

– Dinamarca (UNI-C)

– Con fondos del proyecto GÉANT (GN3).

Países europeos que han conectado su servidor RADIUS de mayor nivel al servidor RADIUS europeo de mayor nivel (ETLR).

1. Introducción 2. Seguridad en redes WiFi 3. El proyecto

Eduroam 4. Pruebas realizadas. Problemas encontrados

5. Conclusiones

18 / 36

Eduroam ES es una iniciativa englobada en el proyecto RedIRIS.

RedIRIS: red académica y de investigación española. Financiada por el Ministerio de Ciencia e Innovación.

Coordinar a nivel nacional las iniciativas de diversas organizaciones para conseguir un espacio único de movilidad a nivel nacional.

1. Introducción 2. Seguridad en redes WiFi 3. El proyecto

Eduroam 4. Pruebas realizadas. Problemas encontrados

5. Conclusiones

19 / 36

Elementos de la red y su funcionamiento:

802.1X añade funcionalidades a ciertos elementos de la red.

Podemos destacar tres componentes fundamentales:

– Solicitante

– Autenticador

– Servidor de autenticación RADIUS

1. Introducción 2. Seguridad en redes WiFi 3. El proyecto

Eduroam 4. Pruebas realizadas. Problemas encontrados

5. Conclusiones

20 / 36

1. Introducción 2. Seguridad en redes WiFi 3. El proyecto

Eduroam 4. Pruebas realizadas. Problemas encontrados

5. Conclusiones

21 / 36

1. Introducción 2. Seguridad en redes WiFi 3. El proyecto

Eduroam 4. Pruebas realizadas. Problemas encontrados

5. Conclusiones

La información de autenticación se transporta sobre EAP

EAP permite el uso de cualquier método de autenticación: usuario y contraseña, certificados, OTP (One Time Password)…

Tanto el solicitante como en servidor RADIUS deben usar el mismo tipo de EAP. Al dispositivo de control de acceso no le afecta el tipo de EAP utilizado

Se utilizan: TLS, TTLS,

PEAP.

Requisitos en los

elementos de la red.

22 / 36

SEGURIDAD: PROBLEMAS Y MECANISMOS DE 802.1X

– Suplantación de identidad

– Pérdida de credenciales

– Abuso del ancho de banda.

– Abuso de contenidos

– Cualquier cuenta sospechosa o incluso un dominio completo se puede bloquear a cualquier nivel de la arquitectura.

1. Introducción 2. Seguridad en redes WiFi 3. El proyecto

Eduroam 4. Pruebas realizadas. Problemas encontrados

5. Conclusiones

23 / 36

Facilidad de uso a los usuarios finales: Una vez configurada el uso de la red es transparente.

Los usuarios preferían tener más cantidad de avisos visuales.

Desventaja de 802.1X:

– su relativa novedad

– actualmente es necesario un software cliente en la mayoría de las plataformas

Intento de integrar la autenticación 802.1X con otros procesos de autenticación.

1. Introducción 2. Seguridad en redes WiFi 3. El proyecto

Eduroam 4. Pruebas realizadas. Problemas encontrados

5. Conclusiones

24 / 36

SSID MÉTODO DE CONEXIÓN.REQUISITOS

SEGURIDAD CONFIGURACIÓNY CONEXIÓN INICIAL

SIGUIENTES CONEXIONES

QUÉ SE PUEDE HACER

Eduroam WPA2 802.1X Seguro Dependiendo del SO

Automáticas Accesogeneral a los servicios

Se utiliza WPA2 (WiFi Protected Access) en su modalidad Enterprise.

Método de autenticación 802.1X (EAP-TTLS)

Cifrado AES

Usuario: usuario_virtual@us.es

Contraseña: contraseña usuario virtual

1. Introducción 2. Seguridad en redes WiFi 3. El proyecto

Eduroam 4. Pruebas realizadas. Problemas encontrados

5. Conclusiones

25 / 36

Para conectarse a Eduroam en la US es necesario :

- tener una tarjeta inalámbrica y su driver

- que cumplan las normas IEEE 802.11a, 802.11b o 802.11g

- compatibles, tanto la tarjeta como el SO, con WPA

- en el caso de la tarjeta inalámbrica, es posible necesitar actualizar el firmware

- es necesario ser titular de un usuario virtual de la US

- o tener una cuenta de correo electrónico en cualquiera de las instituciones

adheridas a la iniciativa Eduroam

Cualquier dispositivo y cualquier

sistema operativo

Métodos diferentes de configuración

de la conexión de un sistema operativo a otro

1. Introducción 2. Seguridad en redes WiFi 3. El proyecto

Eduroam 4. Pruebas realizadas. Problemas encontrados

5. Conclusiones

26 / 36

Especificaciones de la conexión en la US:

- el SSID de la red inalámbrica de la US es “eduroam”

- para la seguridad el estándar WPA2 Entreprise

- con el método de autenticación 802.1X (EAP-TTLS)

- cifrado AES y método PAP con usuario anónimo externo

- instalación del certificado de seguridad de la US

Configuración del equipo: - una sola vez después, la conexión es automática

- en Windows necesidad de utilizar un software (en la US se utiliza SecureW2)

- SecureW2 permite la verificación del certificado proporcionado por el servidor

- pide al usuario que introduzca su nombre de usuario / contraseña

- crea el túnel entre el servidor Radius y el cliente

Se han hecho pruebas con distintos dispositivos. Problemas...

1. Introducción 2. Seguridad en redes WiFi 3. El proyecto

Eduroam 4. Pruebas realizadas. Problemas encontrados

5. Conclusiones

27 / 36

1. Introducción 2. Seguridad en redes WiFi 3. El proyecto

Eduroam 4. Pruebas realizadas. Problemas encontrados

5. Conclusiones

Dispositivos con Symbian Dispositivos con Android SecureW2 Pruebas realizadas

Imposibilidad de usar muchos modelos con SO Symbian en la red Eduroam de la US.

Modelos bastantes actuales que soportan EAP-TTLS, pero no PAP: N81, N95, E65.

Solución por parte de la US: posibilidad de usar EAP-GTC en lugar de PAP.

Hemos probado esta solución en un Nokia e65 y N95 y no es válida: Bucle al identificarnos.

Nuevos modelos con Symbian que ya soportan PAP: funcionamiento correcto.

28 / 36

1. Introducción 2. Seguridad en redes WiFi 3. El proyecto

Eduroam 4. Pruebas realizadas. Problemas encontrados

5. Conclusiones

29 / 36

La US no proporciona información sobre como conectarnos usando Android.

Android soporta EAP-TTLS, y PAP.

Posibilidad de indicar EAP-TTLS, nombre de usuario y contraseña en el terminal.

NO permite indicar PAP.

Solución: Modificar el fichero wpa_supplicant.confaccediendo como root.

update_config=1ctrl_interface=tiwlan0eapol_version=1ap_scan=1fast_reauth=1

network={ssid="eduroam"key_mgmt=WPA-EAPeap=TTLSanonymous_identity="anonymous@US.ES"identity=”USUARIO@US.ES”password="CONTRASEÑA"priority=2phase2="auth=PAP"

}

1. Introducción 2. Seguridad en redes WiFi 3. El proyecto

Eduroam 4. Pruebas realizadas. Problemas encontrados

5. Conclusiones

30 / 36

Hasta hace poco tiempo:

Actualmente cambio en la licencia 2.x: ya no se puede distribuir libremente en el espacio académico europeo.

Posibilidades:– Pagar por su uso– Buscar alternativas:

Otros clientes libres Cambio método de autenticación

1. Introducción 2. Seguridad en redes WiFi 3. El proyecto

Eduroam 4. Pruebas realizadas. Problemas encontrados

5. Conclusiones

31 / 36

Ordenador con Windows XP/Windows Vista/Windows 7

Ordenador con Mac OSX Leopard / Snow Leopard: En Snow Leopard pequeñas diferencias con lo expuesto en el tutorial.

Nokia N95/E65

En distintos edificios de la US

Con un usuario de otra Universidad (INSA de Lyon)

1. Introducción 2. Seguridad en redes WiFi 3. El proyecto

Eduroam 4. Pruebas realizadas. Problemas encontrados

5. Conclusiones

32 / 36

1. Introducción 2. Seguridad en redes WiFi 3. El proyecto

Eduroam 4. Pruebas realizadas. Problemas encontrados

5. Conclusiones

33 / 36

La seguridad en redes WiFi no se puede descuidar

Necesidad de asegurar la confidencialidad, integridad, autenticidad de los datos

WPA2 y los métodos más recientes de encriptación ofrecen hoy una seguridad bastante eficaz

Continua evolución de las redes inalámbricas

Adaptación de los métodos de seguridad

1. Introducción 2. Seguridad en redes WiFi 3. El proyecto

Eduroam 4. Pruebas realizadas. Problemas encontrados

5. Conclusiones

34 / 36

Eduroam: un espacio mundial único de movilidad WiFi

Una red inalámbrica segura: WPA2 y AES

Organizaciones participantes: de educación e investigación

Múltiples ventajas, se dispone en todo momento de los servicios móviles Eduroam

Los usuarios Eduroam se pueden desplazar entre todas las organizaciones miembros

Profundizar en los aspectos inseguros existentes en las redes WiFi y funcionamiento de Eduroam fuera y dentro de la US

1. Introducción 2. Seguridad en redes WiFi 3. El proyecto

Eduroam 4. Pruebas realizadas. Problemas encontrados

5. Conclusiones

35 / 36

[1] A. Los Santos Aransay, “Seguridad en Wi-Fi”, Universidad de Vigo: Redes Personales y locales, julio 2009.

[2] W. Stallings, “Fundamentos de seguridad en redes”, editorial Pearson Educación, 2ª Edición, ISBN 84-205-4002-1.

[3] Kwang-Hyun Baek, Sean W. Smith, David Kotz, “A Survey of WPA and 802.11i RSN Authentication Protocols”, Dartmouth College Computer Science Technical Report TR2004-524, noviembre 2004.

[4] Linux-Magazine N° 48, Redes Inalámbricas, “Estrategias de seguridad para redes inalámbricas en el aire”, paginas 25-27, marzo 2009.

[5] Alberto Los Santos Aransay, “Seguridad en Wi-Fi”, Universidad de Vigo: REDES PERSONALES Y LOCALES, julio 2009.

[6] Erik Dobbelsteijn, “Inventory of 802.1X-based solutions for inter-NRENs roaming”, Versión 1.2, Mobility Task Force, Terena

[7] Eduroam: http://www.eduroam.org

[8] ReInUS: http://www.eduroam.us.es/

[9]SecureW2: www.securew2.com

36 / 36