Seguridad en Redes Seguridad en Redes WirelessWireless

David Cervigón LunaDavid Cervigón LunaMicrosoft IT Pro EvangelistMicrosoft IT Pro Evangelistdavidce@microsoft.comdavidce@microsoft.comhttphttp://://blogs.technet.comblogs.technet.com//davidcervigondavidcervigon

AgendaAgenda

Introducción, conceptos y funcionamiento de Introducción, conceptos y funcionamiento de redes Wirelessredes Wireless

Seguridad en 802.11Seguridad en 802.11 Ataques típicos a redes Wireless basadas en Ataques típicos a redes Wireless basadas en

802.11802.11 Técnologías Wireless Seguras: WPA, WPA2, Técnologías Wireless Seguras: WPA, WPA2,

802.11i802.11i Cómo montar una red Wireless SeguraCómo montar una red Wireless Segura

IntroducciónIntroducción

Hoy en día, las Wireless LAN se están convirtiendo Hoy en día, las Wireless LAN se están convirtiendo poco a poco en parte esencial de las redes LAN poco a poco en parte esencial de las redes LAN tradicionales:tradicionales: Bajos costes de instalaciónBajos costes de instalación DisponibilidadDisponibilidad No requiere de software adicionalNo requiere de software adicional MovilidadMovilidad

La implantación se esta realizando a mayor La implantación se esta realizando a mayor velocidad en los entornos domésticos y PYMES velocidad en los entornos domésticos y PYMES que en las grades empresasque en las grades empresas

Este mercado esta menos concienciado de los Este mercado esta menos concienciado de los problema de seguridadproblema de seguridad El aire es un medio inseguro.El aire es un medio inseguro. Los estándares iniciales tienen muchos problemas de Los estándares iniciales tienen muchos problemas de

seguridad.seguridad.

Introducción: IEEE 802.11Introducción: IEEE 802.11

Estándar de la IEEE: Opera en frecuencias de 2.4 a 5 Estándar de la IEEE: Opera en frecuencias de 2.4 a 5 GHzGHz

802.11:802.11: 1 a 2 Mbps a 2.4GHz1 a 2 Mbps a 2.4GHz

802.11a:802.11a: 54 Mbps a 5GHz54 Mbps a 5GHz

802.11b:802.11b: 11Mbps a 2.4GHz11Mbps a 2.4GHz 802.11g802.11g: : 54 Mbps a 2.4GHz54 Mbps a 2.4GHz

Además: Además: d (d (Cambios deCambios de MACMAC), e (), e (QoSQoS), j (), j (JapónJapón), n (), n (x4, x8x4, x8) ...) ...

Cada fabricante implementa sus propias soluciones para Cada fabricante implementa sus propias soluciones para mejorar el rendimiento en la transferencia de datos. (108 mejorar el rendimiento en la transferencia de datos. (108 Mbps)Mbps)

IntroducciónIntroducción

ComponentesComponentes Routers/Gateways, Puntos de acceso (AP), RepetidoresRouters/Gateways, Puntos de acceso (AP), Repetidores

– Equivalente al HUB de la tecnología ETHERNET. Equivalente al HUB de la tecnología ETHERNET. – Ojo, no es un Switch por lo que los usuarios comparten el ancho Ojo, no es un Switch por lo que los usuarios comparten el ancho

de banda total.de banda total. Adaptadores WIFIAdaptadores WIFI: PC Cards, PCI, Integradas, USB....: PC Cards, PCI, Integradas, USB.... Antenas:Antenas: unidireccionales y omnidireccionales unidireccionales y omnidireccionales

Modos de funcionamientoModos de funcionamiento Modo “AD-HOC”:Modo “AD-HOC”: los clientes se comunican directamente entre los clientes se comunican directamente entre

ellos. Solamente los clientes dentro de un rango de transmisión ellos. Solamente los clientes dentro de un rango de transmisión definido pueden comunicarse entre ellos. definido pueden comunicarse entre ellos.

Modo “INFRASTUCTURE”:Modo “INFRASTUCTURE”: cada cliente envía toda sus cada cliente envía toda sus comunicaciones a una estación central o punto de acceso (Access comunicaciones a una estación central o punto de acceso (Access Point – AP). Este AP actúa como un bridge ethernet y reenvía las Point – AP). Este AP actúa como un bridge ethernet y reenvía las comunicaciones a la red apropiada, ya sea una red cableada u otra comunicaciones a la red apropiada, ya sea una red cableada u otra red inalámbrica.red inalámbrica.

Conceptos: DefinicionesConceptos: Definicioneshttp://www.wi-fi.org/OpenSection/glossary.asphttp://www.wi-fi.org/OpenSection/glossary.asp

Frecuencia: Frecuencia: de 2 a 5 GHz (Radio)de 2 a 5 GHz (Radio)

Canal: Canal: Una porción del espectro de radiofrecuencias que Una porción del espectro de radiofrecuencias que usan los dispositivos para comunicarse. El uso de usan los dispositivos para comunicarse. El uso de diferentes canales ayuda a reducir interferenciasdiferentes canales ayuda a reducir interferencias

BSSID (Basic Service Set Identifier):BSSID (Basic Service Set Identifier): Dirección única Dirección única que identifica al Router/AP que crea la red wireless. Tiene que identifica al Router/AP que crea la red wireless. Tiene formato de MAC address formato de MAC address

ESSID (Extended Service Set Identifier):ESSID (Extended Service Set Identifier): Nombre único Nombre único de hasta 32 caracteres para identificar a la red wireless. de hasta 32 caracteres para identificar a la red wireless. Todos los componentes de la misma red WLAN deben Todos los componentes de la misma red WLAN deben usar el mismo.usar el mismo.

SSID (Service Set Identifier):SSID (Service Set Identifier): Equivalente a ESSID Equivalente a ESSID

Conceptos: Funcionamiento (I)Conceptos: Funcionamiento (I)

Descubrimiento:Descubrimiento: La estación ha de conocer la La estación ha de conocer la existencia del PA al que conectarse.existencia del PA al que conectarse. Descubrimiento Pasivo:Descubrimiento Pasivo: Espera recibir la Espera recibir la

señal de PAseñal de PA Descubrimiento Activo:Descubrimiento Activo: La estación lanza La estación lanza

tramas a un PA determinado y espera una tramas a un PA determinado y espera una respuestarespuesta

Autenticación:Autenticación: La estación ha de autenticarse La estación ha de autenticarse para conectarse a la redpara conectarse a la red

Asociación:Asociación: La estación ha de asociarse para La estación ha de asociarse para poder intercambiar datos con otras.poder intercambiar datos con otras.

Cifrado:Cifrado: Protección de los datos que se envían Protección de los datos que se envían a través de la red.a través de la red.

Descubrimiento PasivoDescubrimiento Pasivo

Nodo Punto AccesoBeacon

¿Coincide el SSID? Association Req

El PA aceptaal Nodo.

Association Resp

El Nodo se Asocia

Descubrimiento ActivoDescubrimiento Activo

Nodo Punto AccesoProbe Req

¿Coincide el SSID?Probe Resp

Coincide el SSID Association Req

El PA aceptaal Nodo.

Association Resp

El Nodo se Asocia

Conceptos: Funcionamiento (II)Conceptos: Funcionamiento (II)

Tipos de tramas WirelessTipos de tramas Wireless Tramas de Gestión:Tramas de Gestión:

• Ayudan al las estaciones a localizar y asociarse a PA Ayudan al las estaciones a localizar y asociarse a PA disponibles.disponibles.

• Se transmiten igual que las demás pero no se envía a las Se transmiten igual que las demás pero no se envía a las capas superiores. Nivel 2capas superiores. Nivel 2

• Tramas Baliza o “Beacon Frames” envían:Tramas Baliza o “Beacon Frames” envían:o Sincronización horariaSincronización horaria

o Anchos de banda, canal, tipo de señal, etc..Anchos de banda, canal, tipo de señal, etc..

o SSIDSSID

• Las redes que no emiten el SSID en las BFs se denominan Las redes que no emiten el SSID en las BFs se denominan “redes cerradas” (Requieren Descubrimiento Activo)“redes cerradas” (Requieren Descubrimiento Activo)

Tramas de Control: Usadas para el control de acceso al medio.Tramas de Control: Usadas para el control de acceso al medio. Tramas de Datos: Usadas para la transmisión de los datosTramas de Datos: Usadas para la transmisión de los datos

Seguridad en IEEE 802.11Seguridad en IEEE 802.11

Inciso:Inciso: Autenticación, Cifrado, Firmado Autenticación, Cifrado, Firmado

AutenticaciónAutenticación Open System AuthenticationOpen System Authentication

Shared Key Authentication (WEP)Shared Key Authentication (WEP)

Ambos permiten autenticación por filtrado de MACAmbos permiten autenticación por filtrado de MAC

Encriptación e Integridad de datosEncriptación e Integridad de datos

WEP (Wired Equivalent Privacy)WEP (Wired Equivalent Privacy) • Usa un algoritmo RC4 de cifrado con claves de 40-bit o 104-bitUsa un algoritmo RC4 de cifrado con claves de 40-bit o 104-bit

• Calcula un ICV de 32-bit a partir de los datos a enviarCalcula un ICV de 32-bit a partir de los datos a enviar

• Genera un IV de 24-bit Genera un IV de 24-bit

¡Se usa el mismo secreto compartido tanto para ¡Se usa el mismo secreto compartido tanto para autenticar (en el desafío/respuesta) como para autenticar (en el desafío/respuesta) como para encriptar!encriptar!

Cifrado y descifrado WEPCifrado y descifrado WEP

Cifrado

Descifrado

DEMO: DEMO:

Configuración insegura de una Configuración insegura de una infraestructura Wirelessinfraestructura Wireless

Disección de un Ataque a Redes Wireless Disección de un Ataque a Redes Wireless 802.11802.11

Uso de herramientas para obtener el SSID oculto y tipo de cifradoUso de herramientas para obtener el SSID oculto y tipo de cifrado El cliente DEBE enviar el SSID para asociarseEl cliente DEBE enviar el SSID para asociarse Hay información disponible en las Beacon FramesHay información disponible en las Beacon Frames

Uso de Sniffers para averiguar canales de emisión y los BSSID y Uso de Sniffers para averiguar canales de emisión y los BSSID y MAC address de clientes válidos:MAC address de clientes válidos: El aire es de libre accesoEl aire es de libre acceso WEP cifra la información a nivel 3 (IP).WEP cifra la información a nivel 3 (IP).

Uso de herramientas que capturan tráfico de red y derivan la clave Uso de herramientas que capturan tráfico de red y derivan la clave WEP a partir de una cantidad suficiente del mismoWEP a partir de una cantidad suficiente del mismo El IV se repite y va sin cifrarEl IV se repite y va sin cifrar

Uso de Sniffers para descifrar el trafico y averiguar direcciones Uso de Sniffers para descifrar el trafico y averiguar direcciones válidas, enrutadores, ver datos, etc.válidas, enrutadores, ver datos, etc.

Configuramos los parámetros del cliente de red Wireless con los Configuramos los parámetros del cliente de red Wireless con los datos recogidos y nos asignamos una MAC válida con una datos recogidos y nos asignamos una MAC válida con una herramienta de spoofingherramienta de spoofing

La raíz de los problemas de 802.11La raíz de los problemas de 802.11

La clave WEP es compartida entre todos los clientesLa clave WEP es compartida entre todos los clientes

No se contempla la forma de distribuirla ni su cambio en el No se contempla la forma de distribuirla ni su cambio en el tiempo.tiempo.

¡El estándar 802.11 especifica que cambiar el IV en cada ¡El estándar 802.11 especifica que cambiar el IV en cada paquete es opcional!. Y cada fabricante es libre de gestionarlo paquete es opcional!. Y cada fabricante es libre de gestionarlo como quiera.como quiera.

Reutilización del IVReutilización del IV El IV es de 24-bit -> se repite cada 16.777.216 tramas!El IV es de 24-bit -> se repite cada 16.777.216 tramas!

Debilidad de RC4Debilidad de RC4

El ICV es un CRC32 independiente del secreto compartidoEl ICV es un CRC32 independiente del secreto compartido Conocido el texto de una trama puede sacarse el de cualquiera sin Conocido el texto de una trama puede sacarse el de cualquiera sin

conocer la clave WEP (bit-flipping)conocer la clave WEP (bit-flipping)

Más en: Más en: http://http://www.isaac.cs.berkeley.eduwww.isaac.cs.berkeley.edu//isaacisaac//wepwep--faq.htmlfaq.html

Crackearlas es “trivial”Crackearlas es “trivial”

Así es que con 802.11...Así es que con 802.11...

““Rogue APs”.Rogue APs”. DoS, ataques por Asociación/Disociación.DoS, ataques por Asociación/Disociación. Fácil monitorización.Fácil monitorización. No extensible a otros métodos de autenticación.No extensible a otros métodos de autenticación.

Imposible autenticar por usuario o equipoImposible autenticar por usuario o equipo

No extensible a otros métodos de gestión de la No extensible a otros métodos de gestión de la clave compartidaclave compartida

Hay que implementar nuevos mecanismos de Hay que implementar nuevos mecanismos de AutenticaciónAutenticación, , CifradoCifrado y y FirmadoFirmado

DEMO: DEMO:

“Crackeando” una clave WEP“Crackeando” una clave WEP

Tecnologías Wireless SegurasTecnologías Wireless Seguras

Soluciones Wireless SegurasSoluciones Wireless SegurasWPA y WPA2WPA y WPA2

WPA:WPA: Certificación de la Certificación de la WI-FI AllianceWI-FI Alliance para las soluciones Wireless que cumplan para las soluciones Wireless que cumplan ciertos requisitos de seguridad. Surgió ciertos requisitos de seguridad. Surgió mientras se trabajaba sobre el estándar mientras se trabajaba sobre el estándar IEEE802.11iIEEE802.11i

WPA2:WPA2: Certificación de la Certificación de la WI-FI AllianceWI-FI Alliance para las soluciones Wireless que cumplan para las soluciones Wireless que cumplan los requisitos de seguridad dictados por los requisitos de seguridad dictados por IEEE 802.11iIEEE 802.11i

Cambios requeridos por WPA y WPA2 Cambios requeridos por WPA y WPA2 (IEEE802.11i)(IEEE802.11i) AutenticaciónAutenticación

WPA y WPA2:WPA y WPA2:• Open System Authentication para la asociaciónOpen System Authentication para la asociación

• Para la autenticación mutua y del usuario:Para la autenticación mutua y del usuario:

o Enterprise Enterprise 802.1X802.1X sobre 802.11sobre 802.11

o Personal Personal PSK (Pre-Shared Key) PSK (Pre-Shared Key) ¡Ojo!¡Ojo! CifradoCifrado e e Integridad de DatosIntegridad de Datos

WPA: WPA: TKIPTKIP (Temporary Key Integrity Protocol) (Temporary Key Integrity Protocol)

WPA2: WPA2: AESAES (Advanced Encryption Standard), aka Counter (Advanced Encryption Standard), aka Counter Mode Cipher Block Chaining-Message Authentication Code (CBC-Mode Cipher Block Chaining-Message Authentication Code (CBC-MAC) protocol (CCMP)MAC) protocol (CCMP)

Autenticación 802.1XAutenticación 802.1X

802.1X surge como un método de autenticación 802.1X surge como un método de autenticación de “puertos” en redes LANde “puertos” en redes LAN

Implementa un Protocolo de Autenticación Implementa un Protocolo de Autenticación Extensible (EAP) Extensible (EAP) Nivel 2 Nivel 2 EAP fue diseñado originalmente para ser usado en EAP fue diseñado originalmente para ser usado en

PPP y adaptado por 802.1X para ser encapsulado y PPP y adaptado por 802.1X para ser encapsulado y enviado en redes LAN o Wirelessenviado en redes LAN o Wireless

No tiene seguridad “built-in”. Los protocolos de No tiene seguridad “built-in”. Los protocolos de autenticación deben implementar sus propios métodos autenticación deben implementar sus propios métodos de seguridad. El método de autenticación es elegido de seguridad. El método de autenticación es elegido por los equipos durante la negociación de forma por los equipos durante la negociación de forma transparente al APtransparente al AP

Roles de los “Puertos” en una Roles de los “Puertos” en una Autenticación 802.1xAutenticación 802.1x

Los puertosLos puertos ControladosControlados evitan el acceso del cliente a la LAN evitan el acceso del cliente a la LAN hasta que no se han autenticado correctamentehasta que no se han autenticado correctamente

Los puertos Los puertos no controladosno controlados permiten al cliente contactar permiten al cliente contactar directamente con el servidor de autenticacióndirectamente con el servidor de autenticación

SuplicantSuplicante e (cliente)(cliente)

Servidor de Servidor de autenticaciautenticaci

ónón

(RADIUS)(RADIUS)DirectorDirector

ioio

AutenticadoAutenticador r (AP)(AP)

Métodos de Autenticación (EAP)Métodos de Autenticación (EAP)

EAP nos permite elegir entre virtualmente cualquier EAP nos permite elegir entre virtualmente cualquier método de autenticación que queramos implementarmétodo de autenticación que queramos implementar TLS: Transport Layer Security (certificados de cliente y servidor)TLS: Transport Layer Security (certificados de cliente y servidor) IKE: Internet Key ExchangeIKE: Internet Key Exchange Kerberos Kerberos Otros (MD5, LEAP, etc.)Otros (MD5, LEAP, etc.)

PEAP: Protected Extensible Authentication Protocol. Evita PEAP: Protected Extensible Authentication Protocol. Evita que la conversación EAP vaya sin cifrarque la conversación EAP vaya sin cifrar Genera un canal TLS usando el certificado del servidor RADIUSGenera un canal TLS usando el certificado del servidor RADIUS Posteriormente podemos implementar de nuevo un método EAP de Posteriormente podemos implementar de nuevo un método EAP de

autenticación mutuaautenticación mutua• MS-CHAP v2 (usuario y contraseña)MS-CHAP v2 (usuario y contraseña)

• TLS (certificados de cliente y servidor)TLS (certificados de cliente y servidor)

Arquitectura 802.1xArquitectura 802.1x

TLSTLSTLSTLSGSS_APIGSS_APIKerberosKerberos

GSS_APIGSS_APIKerberosKerberos PEAPPEAPPEAPPEAPIKEIKEIKEIKEMD5MD5MD5MD5

EAPEAPEAPEAP

PPPPPPPPPPPP 802.3802.3802.3802.3 802.5802.5802.5802.5 802.11802.11802.11802.11 Otras…Otras…Otras…Otras…

CapaCapaMétodosMétodos

CapaCapaMétodosMétodos

CapaCapaEAPEAP

CapaCapaEAPEAP

Capa Capa FísicaFísicaCapa Capa FísicaFísica

MS-C

HA

Pv2

MS-C

HA

Pv2

MS-C

HA

Pv2

MS-C

HA

Pv2

TLS

TLS

TLS

TLS

Secu

rIDSecu

rIDSecu

rIDSecu

rID

Ejemplo de Autenticación PEAP-MS-CHAP v2Ejemplo de Autenticación PEAP-MS-CHAP v2

Cliente Punto Acceso IAS

Asociación

Establecimiento de canal seguro TLS (PEAP)

Autenticación MS-CHAP V2

Resultado Autenticación

Desasociación

Acceso Permitido

802.1x aplicado a redes Wireless 802.11802.1x aplicado a redes Wireless 802.11

Evita la aparición de Rogue APs usando Evita la aparición de Rogue APs usando autenticación mutua.autenticación mutua.

Evita accesos no autorizados autenticando tanto Evita accesos no autorizados autenticando tanto a los usuarios como a sus equipos.a los usuarios como a sus equipos.

Produce una PMK (Pairwise Master Key) Produce una PMK (Pairwise Master Key) de 256-bit por de 256-bit por cada sesióncada sesión para para cada cada cliente.cliente. Se transmite en el mensaje Se transmite en el mensaje EAPOL-KeyEAPOL-Key

Mas detalles sobre su funcionamiento en: Mas detalles sobre su funcionamiento en: http://www.microsoft.com/technet/community/columns/cableguy/http://www.microsoft.com/technet/community/columns/cableguy/

cg0402.mspxcg0402.mspx

802.1X sobre 802.11802.1X sobre 802.11

Cliente APServidor de

autenticación

Asociación 802.11Asociación 802.11

EAPOL-startEAPOL-start

EAP-request/EAP-request/identityidentity

EAP-response/identityEAP-response/identity RADIUS-access-requestRADIUS-access-request

EAP-requestEAP-request RADIUS-access-RADIUS-access-challengechallenge

EAP-response EAP-response (Credenciales)(Credenciales)

RADIUS-access-requestRADIUS-access-request

EAP-successEAP-success RADIUS-access-acceptRADIUS-access-accept

¡Acceso Permitido!¡Acceso Permitido!

EAPOL-key (PMK)EAPOL-key (PMK)

¡Que ¡Que voy!voy!

Calculando Calculando mi clave... mi clave...

(Master (Master Key)Key)

Vamos a Vamos a calcular la calcular la

clave de este clave de este chico...chico...

(Master Key)(Master Key)

AccessoAccessobloqueadobloqueado

Generación de las claves de cifradoGeneración de las claves de cifrado

Cliente Punto Acceso IAS

MK (Master Key)MK (Master Key)MK (Master Key)MK (Master Key) MK (Master Key)MK (Master Key)MK (Master Key)MK (Master Key)

PMK PMK (Pairwise Master Key)PMK PMK (Pairwise Master Key) PMK PMK (Pairwise Master Key)PMK PMK (Pairwise Master Key) PMKPMK (Pairwise Master Key)PMKPMK (Pairwise Master Key)

PTK PTK (Pairwise temp. Key))PTK PTK (Pairwise temp. Key)) PTK PTK (Pairwise Temp. Key)PTK PTK (Pairwise Temp. Key)

GTK GTK (Group temp. Key)GTK GTK (Group temp. Key) GTK GTK (Group temp. Key)GTK GTK (Group temp. Key)

4 claves para cifradoUNICAST

2 claves para cifradoMulticast/Broadcast

TKIP (Temporary Key Integrity Protocol)TKIP (Temporary Key Integrity Protocol)

El IV dobla su tamaño respecto a WEP (48-bit)El IV dobla su tamaño respecto a WEP (48-bit) Utiliza 6 claves distintas entre Punto de Acceso y Utiliza 6 claves distintas entre Punto de Acceso y cadacada Cliente Wireless Cliente Wireless

• 4 para tráfico Unicast, de 128-bit4 para tráfico Unicast, de 128-bito Data encryption key: Para cifrar tramas Unicast.Data encryption key: Para cifrar tramas Unicast.o Data integrity key: Para el MIC de las tramas Unicast.Data integrity key: Para el MIC de las tramas Unicast.o EAPOL-Key encryption key: Para cifrar los mensajes EAPOL-Key.EAPOL-Key encryption key: Para cifrar los mensajes EAPOL-Key.o EAPOL-Key integrity key: Para el MIC de los mensajes EAPOL-Key.EAPOL-Key integrity key: Para el MIC de los mensajes EAPOL-Key.

• 2 para tráfico broadcast y/o multicast.2 para tráfico broadcast y/o multicast. Las claves se recalculan para cada paquete con una función de mezclado Las claves se recalculan para cada paquete con una función de mezclado

Michael:Michael: Provee de integridad y “antireplay”Provee de integridad y “antireplay” Calcula un “Message Integrity Code” (MIC) de 8 bytesCalcula un “Message Integrity Code” (MIC) de 8 bytes Estos 8 bytes se introducen entre los datos y los 4 Bytes del ICV de la trama 802.11Estos 8 bytes se introducen entre los datos y los 4 Bytes del ICV de la trama 802.11 Se cifra junto con los datos y el ICVSe cifra junto con los datos y el ICV

Mas información en:Mas información en: http://www.microsoft.com/technet/community/columns/cableguy/cg1104.mspxhttp://www.microsoft.com/technet/community/columns/cableguy/cg1104.mspx

AESAES

Counter Mode Cipher Block Chaining-Message Authentication Code Counter Mode Cipher Block Chaining-Message Authentication Code (CBC-MAC) protocol (CCMP)(CBC-MAC) protocol (CCMP) o “Rijndael” ( o “Rijndael” (Joan Daemen y Vincent Joan Daemen y Vincent Rijmen).Rijmen).

Algoritmo de cifrado por bloques que permite claves de 128, 196 y 256 Algoritmo de cifrado por bloques que permite claves de 128, 196 y 256 bits.bits.

Protocolo sustituto de DES como estándar de cifrado por el NIST.Protocolo sustituto de DES como estándar de cifrado por el NIST.

Al igual que TKIP usa las 6 claves derivadas de la PMK obtenida en el Al igual que TKIP usa las 6 claves derivadas de la PMK obtenida en el mensage EAPOL-Key de la autenticación.mensage EAPOL-Key de la autenticación.

Es el algoritmo de cifrado más seguro que podemos utilizar en redes Es el algoritmo de cifrado más seguro que podemos utilizar en redes WLAN. WLAN.

Mas información en:Mas información en: http://http://www.microsoft.comwww.microsoft.com/technet//technet/communitycommunity//columnscolumns//cableguycableguy/cg0805./cg0805.

mspxmspx

Otras opciones interesantesOtras opciones interesantes

PMK CachingPMK Caching Cliente y Radius mantienen en cache la PMK.Cliente y Radius mantienen en cache la PMK.

Pre-AutenticaciónPre-Autenticación El cliente se pre-autentica con Puntos de Acceso dentro de su alcance.El cliente se pre-autentica con Puntos de Acceso dentro de su alcance.

Esto permite:Esto permite: Fast Roaming a otros AP.Fast Roaming a otros AP. Fast Reconnect a un AP al que ya hemos estado conectados.Fast Reconnect a un AP al que ya hemos estado conectados. Deben ser activadas tanto en el cliente como en el RADIUS.Deben ser activadas tanto en el cliente como en el RADIUS.

Limite de tiempo de sesión Limite de tiempo de sesión Forzar la re-autenticación del cliente cada cierto tiempo.Forzar la re-autenticación del cliente cada cierto tiempo.

• Obtendremos una nueva PMK de la que derivar nuevas claves.Obtendremos una nueva PMK de la que derivar nuevas claves. Deben especificarse los siguientes atributos Radius.Deben especificarse los siguientes atributos Radius.

• Session TimeoutSession Timeout• Termination Action = “Radius-Request”Termination Action = “Radius-Request”

Ver:Ver: http://technet2.microsoft.com/WindowsServer/en/Library/2a041150-42f9-4a60-ab18-6de8ab231ee71033.mspx http://technet2.microsoft.com/WindowsServer/en/Library/2a041150-42f9-4a60-ab18-6de8ab231ee71033.mspx http://www.microsoft.com/technet/security/topics/cryptographyetc/peap_5.mspx http://www.microsoft.com/technet/security/topics/cryptographyetc/peap_5.mspx http://support.microsoft.com/kb/893357 http://support.microsoft.com/kb/893357

RESUMEN:RESUMEN:

AcuerdoAcuerdoEstándar Estándar WirelessWireless

Estándar Estándar AutenticaciónAutenticación

Métodos Métodos AutenticaciónAutenticación

Cifrado/Cifrado/FirmadoFirmado

Wireless Wireless OriginalOriginal 802.11802.11 - - 

OpenOpenWEPWEP

SharedShared

Mundo RealMundo Real 802.11802.11 802.1x802.1x

EAP-TLSEAP-TLS WEPWEP

PEAP-TLSPEAP-TLS TKIPTKIP

PEAP-MS-CHAP-v2PEAP-MS-CHAP-v2 AESAES

WPAWPA 802.11802.11 802.1x802.1x

EAP-TLSEAP-TLS

TKIPTKIPPEAP-TLSPEAP-TLS

PEAP-MS-CHAP-v2PEAP-MS-CHAP-v2

WPA2WPA2 802.11i802.11i 802.1x802.1x

EAP-TLSEAP-TLS

AESAESPEAP-TLSPEAP-TLS

PEAP-MS-CHAP-v2PEAP-MS-CHAP-v2

RECOMENDACIONES (de mas a menos RECOMENDACIONES (de mas a menos seguras):seguras):

Empresa:Empresa:1.1. WPA2: AES y PEAP-TLSWPA2: AES y PEAP-TLS

2.2. WPA2: AES y PEAP-MS-CHAP v2WPA2: AES y PEAP-MS-CHAP v2

3.3. WPA: TKIP y PEAP-TLSWPA: TKIP y PEAP-TLS

4.4. WPA: TKIP y PEAP-MS-CHAP v2WPA: TKIP y PEAP-MS-CHAP v2

SOHO (Small Office, Home Office)SOHO (Small Office, Home Office)1.1. WPA2: AES y secreto compartidoWPA2: AES y secreto compartido

2.2. WPA: TKIP y secreto compartidoWPA: TKIP y secreto compartido

DEMO: DEMO: Implantación de una red Wireless Implantación de una red Wireless SeguraSegura

Servidor W2K3Certificate Authority

IAS (Radius)

Punto de AccesoWPA

802.1x

Windows XP SP1Windows 2003

SP1

PasosPasos

1.1. Configurar puntos de accesoConfigurar puntos de acceso

2.2. Agrupar usuarios y máquinasAgrupar usuarios y máquinas

3.3. Configurar IAS (RADIUS)Configurar IAS (RADIUS)1.1. Dar de alta los AP como clientesDar de alta los AP como clientes

2.2. Configurar la política de accesoConfigurar la política de acceso

4.4. Definir políticas WirelessDefinir políticas Wireless

5.5. Definir políticas para obtención de Definir políticas para obtención de certificadoscertificados

REFERENCIASREFERENCIAS

http://http://www.microsoft.comwww.microsoft.com//spainspain/servidores/windowsserver2003//servidores/windowsserver2003/technologiestechnologies//networkingnetworking//wifiwifi//default.aspxdefault.aspx

IEEE 802.11 Wireless LAN IEEE 802.11 Wireless LAN SecuritySecurity withwith Microsoft Windows XP Microsoft Windows XP StepStep-by--by-StepStep GuideGuide forfor SettingSetting Up Up SecureSecure Wireless Access in a Wireless Access in a TestTest LabLab Enterprise Deployment Enterprise Deployment ofof SecureSecure 802.11 802.11 NetworksNetworks UsingUsing

Microsoft Windows Microsoft Windows ConfiguringConfiguring Windows XP IEEE 802.11 Wireless Windows XP IEEE 802.11 Wireless NetworksNetworks forfor thethe HomeHome andand

SmallSmall Business Business TroubleshootingTroubleshooting Windows XP IEEE 802.11 Wireless Access Windows XP IEEE 802.11 Wireless Access http://http://www.wiwww.wi--fi.orgfi.org//OpenSectionOpenSection//index.aspindex.asp Configuring Wireless Settings Using Windows Server 2003 Group Configuring Wireless Settings Using Windows Server 2003 Group

PolicyPolicy TKIP: Wi-Fi Protected Access Data Encryption and IntegrityTKIP: Wi-Fi Protected Access Data Encryption and Integrity AES: Wi-Fi Protected Access 2 Data Encryption and IntegrityAES: Wi-Fi Protected Access 2 Data Encryption and Integrity http://blogs.technet.com/davidcervigon http://blogs.technet.com/davidcervigon

¿PREGUNTAS?¿PREGUNTAS?

David Cervigón LunaDavid Cervigón LunaMicrosoft IT Pro EvangelistMicrosoft IT Pro Evangelistdavidce@microsoft.comdavidce@microsoft.comhttp://blogs.technet.com/davidcervigonhttp://blogs.technet.com/davidcervigon