1 Seguridad en Aplicaciones Wireless – EXPOCOMM 2002 Secure e-Business

Seguridad de Aplicaciones WirelessSeguridad de Aplicaciones Wireless

EXPO COMM Argentina 2002

Andres Gil - Gerente de Servicios de Seguridad Informática

Deloitte & Touche

2 Seguridad en Aplicaciones Wireless – EXPOCOMM 2002 Secure e-Business

Mundo Wireless

Los Riesgos

La Gestión de Seguridad en Plataformas

Wireless

Agenda

Copyright 2002 Deloitte & Touche Argentina (Deloitte & Co. SRL) Prohibida su reproducción total o parcial sin el concentimiento escrito de Deloitte& Co. SRL.

3 Seguridad en Aplicaciones Wireless – EXPOCOMM 2002 Secure e-Business

Mundo WirelessMundo Wireless

h t t p : / / w w w .

4 Seguridad en Aplicaciones Wireless – EXPOCOMM 2002 Secure e-Business

La plataforma Wireless

Las redes Wireless simplifican el acceso a la información y facilitan la comunicación sin la necesidad de tener montada una infraestructura de red física

Mejora la productividad y posibilita la reducción de costos

Ejemplos Acceso remoto (Conexión satelital, teléfonos celulares) Comunicación “on the go” (teléfonos celulares,

dispositivos PDAs y handhelds, laptops) Red LAN

5 Seguridad en Aplicaciones Wireless – EXPOCOMM 2002 Secure e-Business

Los estándares Wireless

LAN(Local Area Network)

WAN (Wide Area Network)

MAN (Metropolitan Area Network)

PDAs, Mobile Phones, cellular

access

Fixed, last mile access

SMB/Enterprise networks

Peer-to-PeerDevice-to-Device

Aplicaciones

LargoMedio-LargoMedio CortoAlcance

10 to 384Kbps22+ Mbps2 to 54+ Mbps< 1MbpsVelocidad

GSM, GPRS,CDMA, 2.5-3G

802.11MMDS, LMDS

802.11a,11b,11gHiperLAN2

BluetoothEstandares

WANMANLANPAN

PAN(Personal Area Network)

6 Seguridad en Aplicaciones Wireless – EXPOCOMM 2002 Secure e-Business

El cambio de paradigma

Redes LAN/WAN con límites claramente definidos

Existen usuarios “Trusted” a quienes se les da acceso a la red, minimizando los accesos remotos

El nuevo modelo

Redes con límites difusos Los usuarios “Trusted” pueden

acceder a la información tanto desde el interior de la red como del exterior

Aumento de la necesidad de asegurar la autenticación de usuarios y la red en si misma de los ataques externos remotos

Acceso Wireless

Información disponible on-line

Acceso Remoto

Extranets

Internet

7 Seguridad en Aplicaciones Wireless – EXPOCOMM 2002 Secure e-Business

Los riesgos Los riesgos

h t t p : / / w w w .

8 Seguridad en Aplicaciones Wireless – EXPOCOMM 2002 Secure e-Business

“Y que puede pasar???”

El acceso al “medio” está liberado!!

Los puntos de acceso Wireless pueden ser fácilmente accedidos desde fuera de la instalación física

El tráfico de la red Wireless puede ser inspeccionado y redireccionado

9 Seguridad en Aplicaciones Wireless – EXPOCOMM 2002 Secure e-Business

La situación de la Seguridad en Wireless La tecnología está en su “infancia”,

especialmente en lo que refiere a seguridad

Los estándares existentes generalmente omiten los aspectos de seguridad, con excepción de la encriptación y la autenticación (no simpre)

Software disponible para vulnerar la seguridad wireless

La mayoría de las instalaciones wireless están inadecuadamente configuradas desde el punto de vista de la seguridad

10 Seguridad en Aplicaciones Wireless – EXPOCOMM 2002 Secure e-Business

IEEE 802.11b - redes Wireless LAN

Estándar publicado a fines de 1999 (complementa al 802.11)

Opera en la banda de 2.4GHz

Permite velocidades de hasta 11 Mbps

Es el estándar más utilizado

11 Seguridad en Aplicaciones Wireless – EXPOCOMM 2002 Secure e-Business

Debilidades de Seguridad en redes 802.11b

Sniffing y War Driving Dado que las redes usualmente son

configuradas por default es posible para cualquier NIC (Network Interfase Card) acceder a la red, incluso detrás de los firewalls

Definición de War Driving: dar vueltas “sniffeando” en la búsqueda de redes wireless inseguras

12 Seguridad en Aplicaciones Wireless – EXPOCOMM 2002 Secure e-Business

Debilidades de Seguridad en redes 802.11b. Cont.

Ejemplos de Mapas de Puntos de Acceso a redes 802.11b

NYC

Los AngelesLondres

Universidad de Kansas

13 Seguridad en Aplicaciones Wireless – EXPOCOMM 2002 Secure e-Business

Debilidades de Seguridad en redes 802.11b. Cont. MAC Address

Si bien se puede controlar el acceso mediante la autorización a MAC addresses específicas, estas direcciones pueden ser “spoofeadas”

Wired Equivalent Privacy (WEP) Es el mecanismo estándar para asegurar confidencialidad en

redes wireless Es vulnerable a ataques pasivos por desencriptación de

tráfico en base a análisis estadístico, y ataques activos mediante la introducción de tráfico desde estaciones de trabajo no autorizadas

Los usuarios de un punto de acceso determinado tienen una misma clave de encriptación

Los Headers de datos viajan desencriptados posibilitando ver el contenido y destinatario de los datos

14 Seguridad en Aplicaciones Wireless – EXPOCOMM 2002 Secure e-Business

WAP - Mobile Wireless

Es un HTTP/HTML adaptado para dispositivos móviles

Consiste de una arquitectura de red, un protocolo, y un lenguaje de programación (Wireless Markup Language - WML)

Web Server

Content

CGIScripts

etc.

WM

L D

ecks

with

WM

L-S

crip

t

WAP GatewayWML Encoder

WMLScriptCompiler

Protocol Adapters

Client

WML

WML-Script

WTAI

Etc.

HTTPWSP/WTP

15 Seguridad en Aplicaciones Wireless – EXPOCOMM 2002 Secure e-Business

Debil manejo de la sesión de usuario Encodeo de la sesión en la URL

Identificación del usuario basada en el WAP Gateway

Es posible atacar a un teléfono conectado, “spoofear” una conexión de otro usuario, o atacar directamente el gateway

Debilidades de seguridad en WAP

16 Seguridad en Aplicaciones Wireless – EXPOCOMM 2002 Secure e-Business

La Gestión de La Gestión de Seguridad en Seguridad en Plataformas Plataformas

WirelessWireless

La Gestión de La Gestión de Seguridad en Seguridad en Plataformas Plataformas

WirelessWireless

h t t p : / / w w w .

17 Seguridad en Aplicaciones Wireless – EXPOCOMM 2002 Secure e-Business

El ciclo continuo de la Seguridad Informática

Gestión deSeguridad

Sustain Security

Assess Risks

Implement Controls

Design Security &

Select Tecnologies

Assess Risks

• Identificación de riesgos de seguridad potenciales

• Evaluación de su impacto

• Priorización de su tratamiento

Design Security & Select Tecnology

• Consideración de alternativas disponibles que se ajusten a la necesidad de cobertura de riesgos

• Diseño hecho con “security in mind”

Implement Controls

• Implementación elementos de control y monitreo

• Implementación de procedimientos de respusta a incidentes

Sustain Security

• Seguimiento de Advisories y Patch Management Process

• Seguimiento de la evolucione de estándares

• Re-evaluación a partir de los resultados del monitoreo

18 Seguridad en Aplicaciones Wireless – EXPOCOMM 2002 Secure e-Business

Lineamientos para la Gestión

La seguridad es un proceso, no un producto o herramienta Considerar las “4 Ps”: Procesos, Procedimientos, Productos

y Personas

Es importante utilizar todas las posibilidades de seguridad y estándares wireless disponibles, pero no descansar totalmente en estas medidas

Establecer un proceso de monitoreo de la seguridad wireless en todos sus puntos

19 Seguridad en Aplicaciones Wireless – EXPOCOMM 2002 Secure e-Business

Lineamientos para la Gestión. Cont.

Las redes wireless deben ser consideradas como redes “untrusted” desde el punto de vista de seguridad, utilizando VPNs en todos los casos en que sea factible

La seguridad de los clientes es importante Distributed Personal Firewalls Políticas y configuraciones de seguridad fuertes para

usuarios finales Control de robo de laptops

20 Seguridad en Aplicaciones Wireless – EXPOCOMM 2002 Secure e-Business

Andres Gil

Gte. de Servicios de Seguridad Informática de Deloitte & Touche

E-mail : angil@deloitte.com.ar

Teléfono: 4320-2779