CAPITULO 3. Propuestas de las configuraciones de seguridad para redes WLAN
3.3. Recomendaciones de configuraciones de seguridad utilizando mecanismos de
802.11i y VPN empleando IPsec
.
Las soluciones de seguridad para redes WLAN, varían en dependencia de las políticas de seguridad que requieran implementar. A continuación se comenzará por las soluciones de más baja seguridad, hasta llegar a las de nivel más alto.
El Filtrado de direcciones MAC constituye el método más elemental y fácil de implementar de los mecanismos de seguridad, se basa en la creación de una tabla de datos en cada uno de los puntos de acceso a la red inalámbrica.
Dicha tabla contiene las direcciones MAC de las tarjetas de red inalámbricas que se pueden conectar al punto de acceso. Como toda tarjeta de red posee una dirección MAC única, se logra autenticar el equipo.
Tiene como ventaja:
1. Su sencillez, por lo cual se puede usar para redes caseras o pequeñas.
Posee muchas desventajas que lo hacen poco práctico para uso en redes medianas o grandes:
1. No es escalable porque cada vez que se desee autorizar o dar baja a un equipo, es necesario editar las tablas de direcciones de los puntos de acceso.
2. El formato de una dirección MAC no es amigable (normalmente se escriben como 6 bytes en hexadecimal), lo que puede llevar a cometer errores en la manipulación de las listas.
3. Las direcciones MAC viajan sin cifrar por el aire. Un atacante podría capturar direcciones MAC de tarjetas matriculadas en la red empleando un sniffer, y luego asignarle una de estas direcciones capturadas a la tarjeta de su computador, empleando programas tales como AirJack o WellenReiter, entre otros. De este modo, el atacante puede hacerse pasar por un cliente válido.
4. En caso de robo de un equipo inalámbrico, el ladrón dispondrá de un dispositivo que la red reconoce como válido.
5. No garantiza la confidencialidad de la información transmitida, ya que no prevé ningún mecanismo de cifrado.
La solución que emplea el mecanismo de seguridad WEP, tiene que ser considerada insegura ya que es un protocolo con numerosas vulnerabilidades probadas. A pesar de ello es recomendable cuando sea la única solución de seguridad a implementar, para evitar dejar la red WLAN abierta y completamente expuesta a posibles ataques. Una vez habilitado el cifrado WEP, se evita que los dispositivos inalámbricos existentes en el entorno se asocien de forma automática a los puntos de acceso, que solo aceptan tráfico con este tipo de cifrado. Tomando en cuenta todo esto, se hace necesario aplicar estrictas medidas de seguridad en los puntos de acceso, para acceder a la red cableada cuando son empleadas estas soluciones.
Cuando se realiza una instalación con este mecanismo se hace necesario que tanto las estaciones como los puntos de acceso dispongan de esta funcionalidad.
La Figura 3.3 muestra la arquitectura de una propuesta de seguridad en la que se utiliza el mecanismo WEP.
Para reforzar la seguridad de la red WLAN en este tipo de propuesta, se recomienda el uso de algún otro tipo de mecanismo adicional como es la solución VPN basada en IPsec; así como el empleo de valores hexadecimales con valores no nulos en los bits de menos peso, en lugar de caracteres ASCII que introducen vulnerabilidades de las que se suelen aprovechar las herramientas de descubrimiento de claves WEP.
Las ventajas y desventajas de esta solución son: Ventajas.
1. Bajo costo
2. Se pueden definir perfiles de usuario que permiten el control de acceso para usuarios internos, tipo empleado e invitados.
Desventajas.
1. Algoritmo de cifrado que emplea ha sido vulnerado 2. La gestión del cambio de clave de cifrado es complicada.
En un orden creciente en cuanto a seguridad se aborda la propuesta correspondiente al mecanismo WPA. En general son varios los elementos claves que componen la arquitectura de este tipo de solución. Un primer elemento está compuesto por el software específico en el dispositivo inalámbrico, este software debe basarse en un tipo de EAP que soporte el tipo de autenticación determinada. Para mayor seguridad la variante de EAP que se seleccione debe proporcionar una autenticación mutua, por lo que no es recomendable que se emplee EAP-MD5. En caso de utilizar EAP-TLS, EAP-TTLS y PEAP es recomendable configurar los usuarios inalámbricos con un certificado de un servidor seguro y evitar que el usuario pueda variar estos parámetros, solo el administrador debe tener privilegios para ello. De esta forma se evitan los ataques “hombre en el medio”. Otro elemento, los puntos de acceso inalámbricos deben soportar WPA y una conexión segura con un servidor RADIUS. Podría tenerse en cuenta la opción de adquirir equipos únicamente compatibles con WPA, ya que este ofrece mecanismos de seguridad mucho más robustos que los utilizados por WEP, en cuanto a la autenticación, integridad y confidencialidad. Al configurar un punto de acceso para aceptar solamente conexiones WPA, este rechazaría las conexiones WEP. Los servidores AAA son claves para este tipo
de arquitectura ya que ofrecen la autenticación de usuario a la red WLAN, es el encargado de generar las llaves dinámicas utilizadas en WPA y enviarlas a los puntos de acceso. Si se utilizan certificados se recomienda que el servidor AAA contraste el estado del certificado del usuario contra una autoridad CRL, ó un servidor OCSP. Es posible llevar a cabo implementaciones con servidores AAA distribuidos para posibilitar reparto de carga así como confiabilidad en la red. En la Figura 3.4 se muestra la arquitectura de una red WLAN que cuenta con un mecanismo de seguridad basado en WPA.
Figura 3.4. Arquitectura de Seguridad con WPA.
Teniendo en cuenta el método de autenticación utilizado pueden ser empelados opcionalmente elementos adicionales como: Servidor PKI; Proporciona certificados X.509 para la autenticación de usuario y de servidor. Necesario en caso de emplearse EAP-TLS, EAP-TTLS y PEAP. Servidor OTP, que proporciona autenticación OTP mediante servidores RADIUS, puede empelarse con PEAP o EAP-TTLS.
Adicionalmente es recomendable proteger el modo EAP empleado (LEAP, PEAP, EAP- TTLS) contra ataques de fuerza bruta. El servidor RADIUS debe bloquear las cuentas de usuario tras una serie de intentos de logueo fallidos. Cuando la cuenta de usuario este bloqueada el usuario no puede ser autenticado (y por lo tanto no puede utilizar la red
WLAN) hasta que no se lleve a cabo una serie de acciones administrativas. Esto permitirá al administrador de la red (y responsable de seguridad) llevar a cabo un análisis de la solución de seguridad empleada y si es necesario mejorarla. Para evitar este riesgo, se puede exigir a los usuarios inalámbricos llevar a cabo autenticación tipo OTP (One Time Password), este tipo de mecanismo es un método de autenticación simple en el que cada contraseña es válida para una única sesión. Un servidor OTP es aquel que genera contraseñas aplicando algoritmos criptográficos. El funcionamiento básico del método OTP consiste en obtener una contraseña de acceso a red válida mediante el envío de un mensaje de texto (SMS) al usuario, será necesario repetir este proceso para conectarse en nuevas ocasiones.
Las principales ventajas y desventajas de este método son: Ventajas.
1. Emplea una solución de seguridad que permite al personal acceder a todos los recursos de la red.
2. Permite definir diferentes perfiles de usuario. Desventajas.
1. Algoritmo de cifrado que emplea ha sido vulnerado.
2. Se aumenta la carga de trabajo del administrador, ya que tiene que configurar el software específico WPA de los dispositivos inalámbricos.
3. Dependiendo del método EAP utilizado requiere el uso de certificados en la parte de usuario.
Combinación de los mecanismos de seguridad WEP y WPA; para instalaciones que dispongan de usuarios y puntos de acceso WEP sería conveniente migrar los puntos de acceso de un mecanismo de seguridad WEP a uno basado en WPA para dotar la red WLAN de un mayor nivel de seguridad. No obstante si no fuera posible llevar a cabo esta migración, es posible un entorno heterogéneo que combine soluciones basadas en WEP y WPA simultáneamente o configurar los puntos de acceso para que trabajen en modo mixto WEP-WPA, de forma que soporten usuarios WPA y WEP.
Solo es posible desplegar una red en modo mixto WEP-WPA, para evitar comprometer la seguridad de la red debido a la vulnerabilidad de WEP no es posible hacerlos en modo mixto WEP-WPA2.
El mecanismo de seguridad basado en IEEE 802.11i emplea los mismos elementos claves de arquitectura que los empleados en una solución WPA, su diferencia radica en que los puntos de acceso deben soportar el estándar IEEE 802.11i. La principal diferencia entre IEEE 802.11i y WPA está en el algoritmo de cifrado utilizado, IEEE 802.11i utiliza AES y WPA al igual que WEP, utiliza RC4. Por lo que existen puntos de accesos que soportan el modo mixto WEP-WPA pero no el modo mixto WEP-IEEE 802.11i.
En la Figura 3.5 se muestra la arquitectura de una red WLAN que cuenta con un mecanismo de seguridad basado en IEEE 802.11i.
Figura 3.5. Arquitectura de Seguridad con IEEE 802.11i.
Las principales ventajas y desventajas de esta solución de seguridad son: Ventajas.
1. Emplea una solución de seguridad que permite al personal acceder a todos los recursos de la red.
2. Permite definir diferentes perfiles de usuario. Desventajas.
1. Los puntos de acceso de determinados fabricantes no soportan la actualización software al mecanismo IEEE 802.11i, en estos casos es necesario el cambio de los puntos de acceso desplegados por otros nuevos que sí soporten IEEE 802.11i. 2. Requiere el uso de certificados en la parte software del dispositivo inalámbrico,
dependiendo del método EAP utilizado.
El uso de VPN IPsec es altamente recomendable para proteger el acceso a red en equipos IEEE 802.11i que tiene solamente WEP como mecanismo de seguridad. Una solución VPN basada en IPsec es compatible con el uso de WPA e IEEE 802.11i. Este tipo de soluciones es recomendable para los casos en que la plantilla de la institución sea itinerante, para proporcionar seguridad al conectarse a Internet o la red de la institución desde otras redes que no sea la propia de la institución.
Dentro de los elementos claves de la arquitectura de una red WLAN en la que se emplea una solución VPN basada en la tecnología IPsec se encuentran los dispositivos inalámbricos que proporciona la conectividad inalámbrica a los puntos de acceso, los software específicos IPsecVPN instalados en el dispositivo inalámbrico, aquí el usuario inicia la sesión VPN a través de este software específico y es el concentrador VPN el encargado de autenticar y validar el acceso del usuario a la red WLAN. El punto de acceso inalámbrico proporciona la conectividad Ethernet a la red corporativa. Si el punto de acceso tiene capacidades de filtrado, se puede filtrar el tráfico para permitir únicamente los protocolos DHCP e IPsec. El gateway/concetrador IPsec VPN autentica y valida a los usuarios inalámbricos, puede realizar también funciones de servidor DHCP para los usuarios inalámbricos. Se recomienda ubicar un Firewall después del concentrador VPN que aplique políticas de seguridad al flujo no cifrado (ver Figura 3.6).
Figura 3.6. Diseño de una Arquitectura de Seguridad basada en VPN IPsec.
Cuando se emplea el mecanismo VPN basado en IPsec se pueden utilizar varios mecanismos de autenticación: Servidor RADIUS, Servidor PKI que proporciona certificados X.509 para la autenticación de usuario servidor, recomendándose que los certificados de usuario sean accesibles solamente mediante hardware protegido con contraseña como por ejemplo smart-cards o llaves USB; servidor OTP que proporciona autenticación OTP mediante servidores RADIUS.
Para establecer los túneles IPsec en lugar de llaves pre-compartidas se recomienda utilizar políticas basadas en certificados. El empleo de llaves pre-compartidas es peligroso ya que si un atacante las obtiene, es difícil detectar que las llaves están comprometidas. Por lo que implica sobrecarga en el mantenimiento al tener que cambiar periódicamente las llaves pre- compartidas. Adicionalmente se recomienda que el concentrador VPN compruebe el estado de los certificados de usuario contra las autoridades CRL ó un servidor de OCSP.
Dentro de las ventajas e inconvenientes de esta solución de seguridad VPN basada en IPsec se encuentran:
Ventajas:
1. Emplea una solución de seguridad que permite al personal acceder a todos los recurso de la red
2. Permite definir diferentes perfiles de usuario.
3. Reutilización de la VPN fuera del entorno institucional. Inconvenientes:
1. Necesidad de un concentrador VPN.
2. Sobrecarga de configuración de usuarios VPN. 3. Excluye a los invitados.
CONCLUSIONES
1 Las herramientas y protocolos de seguridad disponibles hasta este momento para un entorno inalámbrico, no han logrado por sí solos, el nivel de madurez suficiente. Sin embargo, mediante un adecuado análisis se pueden implementar determinadas configuraciones con estos mecanismos, para establecer niveles de seguridad adecuados.
2 La red UCLV cuenta con un proyecto enfocado a potenciar soluciones inalámbricas para integrar áreas del campus universitario, lo que genera una zona de cobertura y un punto de acceso a la LAN universitaria, que es inseguro.
3 Se definen una serie de soluciones de configuraciones de seguridad para controlar el acceso a la WLAN y asegurar el cumplimiento de las políticas de seguridad establecidas.
RECOMENDACIONES
1 Configurar WPA2 con certificados digitales de una gerarquía de llave pública, que se encuentra en estado de propuesta.
2 Evaluar y proponer un sistema de detección de intrusos para redes inalámbricas, que funcione como mecanismo para detectar y contener ataques en este tipo de medio. 3 Continuar la búsqueda e implementación de nuevas soluciones basadas en softwares
libres que puedan ser utilizados como herramientas de apoyo en las soluciones de seguridad.
REFERENCIAS BIBLIOGRÁFICAS
[1] Andreu, Fernando; Pellejero, Izaskun; Lesta, Amaia. (2006), ¨Fundamentos y aplicaciones de seguridad en redes WLAN¨, primera edición, Marcombo S. A, Barcelona, España.
[2] Barajas, Saulo.(2006). ¨Protocolos de seguridad en redes inalámbricas¨. Doctorado en
Tecnologías de las Comunicaciones, Universidad Carlos III de Madrid. Disponible
en: http://www.saulo.net/pub/inv/SegWiFi-art.htm. Consultado Mayo 2008
[3] Borko Furht, (2005), ¨Handbook of wireless local área networks¨, Taylor & Francis
Group, the United States of America
[4] Calderón, O. y V. Quintero, (2004) “Un nuevo aspecto de la movilidad: redes Ad-Hoc - conceptos” en Revista Colombiana de Tecnologías de Avanzada. Volumen 1 No. 3. 2004, Facultad de Ingeniería Electrónica, Universidad de Cauca. [En Línea]. Disponible en: http://www.control-automatico.net/PDF/Revista%203/redes.pdf Consultado Mayo 2008.
[5] Chaparro, Vargas Ramiro Alberto; Mejía Fajardo Marcela, (Diciembre 2006), ¨Análisis de desempeño y evaluación de requerimientos AAA en protocolos de seguridad sobre redes inalámbricas IEEE 802.11¨, Grupo de Investigación WiNET – Universidad Militar Nueva Granada, [email protected], Vol. 16 - No. 2.
[6] Chris Hurley; Brian Baker; Christian Barnes; Tony Bautts; Darren Bonawitz; Randy
Hiser; Jan Kanclirz Jr.; Andy McCullough; Jeffrey A. Wheat, (2006) ¨Securing a
Wireless Network¨, Syngress Publishing, Inc., Distributed by O’Reilly Media, Inc. In the United States and Canada.
[7] Fábrega, Martínez Pedro Pablo; ¨Seguridad en redes Inalámbricas. Una guía básica¨,
Disponible en: http://dns.bdat.net/seguridad_en_redes_inalambricas/ Consultado Mayo 2008.
[8] Fernández G. E., (2007) “Wi-Fi: nuevos estándares en evolución” en Centro de Difusión de Tecnologías CEDITEC ETSIT-UPM. Universidad Politécnica de Madrid.
[En línea] España, disponible en:
[9] Figueroa Domínguez, M. V., y D. Merinto Mateo., (2004) “Soluciones de seguridad en redes inalámbricas” en Astic. [En línea]. España, disponible en:
www.astic.es/SiteCollectionDocuments/Astic/Documentos/Boletic/Boletic%2032/mon o04.pdf . Consultado Mayo 2008.
[10] Garaizar, Pablo; (Jun. 2005). “Seguridad en redes inalámbricas”. Disponible en: http://www.e-ghost.deusto.es/docs/SeguridadWiFiInestable2005.pdf. Consultado Febrero 2008.
[11] González, Noriega Luis de Jesus, (2005). ¨Seguridad en redes inalámbricas para sistemas multimedia en tiempo real¨. Tesis presentada para obtener el grado de maestro en ciencias en la especialidad de Ingeniería Eléctrica, Mexico, DF
[12] González, Gómez Diego, (2003). ¨Sistemas de detección de intrusiones¨, Free Software Foundation.
[13] Grupo de trabajo de IEEE 802.11i: Disponible en: http://grouper.ieee.org/groups/802/11/ Consultado Febrero 2008.
[14] Hecker, B; Laboid, H. (Noviembre 2004). ¨Pre-Authenticated signalling in wireless LANs using 802.1x access control¨, Global Telecomunications Conference, 2004 GLOBECOM 04, pp 2180-2184
[15] Hernándes, Julio Cesar; Sierra, José María; Ribagorda, Arturo; Ramos Benjamín, (Noviembre 2000). ¨Técnicas de detección de Sniffers¨, Revista digital AGORA SIC, Volumen 22, España.
[16] Hernández Barrios, Yasiel., (2007). Diseñó de una Red de Área Local Inalámbrica Jardín Botánico-FIE, Trabajo de Diploma, Departamento de Telecomunicaciones, Facultad de Ingeniería Eléctrica, Universidad Central “Marta Abreu” de Las Villas, Cuba.
[17] Institute of Electrical and Electronic Engineers, (IEEE), Disponible en:
http://www.ieee.org
[19] L. Blunk, J. Vollbrecht, “PPP Extensible Authentication Protocol (EAP)”, RFC 2284, Marzo de 1998.
[20] Leyva, E., (2005). “ Qué es Wi-Fi? Algunas aplicaciones”. Tono. Número 3, 2005, pp. 12-15.
[21] Luther J., (2005). “Una guía de los estándares inalámbricos. El alfabeto 802.11 en
Linux Magazine. No. 4. 2005. [En línea]. España, disponible en: https://www.linux- magazine.es/issue/04/80211.pdf Consultado Marzo 2008
[22] Manual de Usuario, (2005) ZyAir_G3000H Support notes. Consultado Junio 2008 [23] Martínez, Martínez Asier, Noviembre 2006, ¨Técnicas de detección de intrusiones en
redes 802.11¨, Escuela Politécnica Superior de Mondragón, España
[24] Nichols, Randall K; Lekkas, Panos C. (2003), ¨Seguridad para comunicaciones inalámbricas¨, primera edición,McGraw-Hill/Interamericana de España.
[25] NetStumbler - MiniStumbler: Disponible en: http://www.stumbler.net/, Consultado en Mayo 2008
[26] Plan de seguridad informática de la UCLV, (2007), Ministerio de Educación Superior, Universidad Central ¨Marta Abreu¨ de Las Villas. Consultado Junio 2008.
[27] Poveda, Bestart Tania; Villuendas, Martínez Carlos E.
(
Octubre 9, 2007). ¨Seguridad en redes inalámbricas¨, Revista Digital de las tecnologías de la información y las comunicaciones Telemática, Año VI, No 8.[28] Rodrigo, Castro, (Septiembre 2005). ¨Avanzando en la seguridad de las redes WIFI¨,
Boletín de RedIRIS, nº 73, Disponible en: http://www.rediris.es/rediris/boletin/73/enfoque1.pdf, Consultado Febrero 2008. [29] Rodríguez, Vizoso Ernesto, (Octubre 28, 2005). ¨Tecnología de redes inalámbricas¨,
Revista Digital de las tecnologías de la información y las comunicaciones Telemática, Año IV, No 9
[30] Ruiz, José Julio; (2004), ¨Seguridad en redes Wi-Fi inalámbricas¨, Disponible en: http://www.pdaexpertos.com/Tutoriales/Comunicaciones/Seguridad_en_r des_inalambricas_WiFi.shtml/ Consultado mayo 2008
[31] ¨Seguridad en las redes WiFi¨, (2005). Disponible en: http://www.consumer.es/web/es/tecnologia/internet/2005/04/04/140924 php Consultado Marzo 2008.
[32] Vega, Cutiño Ruth.
(
Abril 4, 2003). ¨Accediendo a la red sin cables¨, Revista Digital de las tecnologías de la información y las comunicaciones Telemática, Año I, No 40. [33] WI-FI Alliance. (Jun. 2005). Disponible en: http://www.wi-fi.org/. Consultado febrero2008.
[34] Zyrem, J.; (2006). “IEEE 802.11g Explained” en Forskningsnett.Uninett [En línea].
Disponible en:
http://forskningsnett.uninett.no/wlan/download/WP_IEEE802gExpla_12_06.pdf . Consultado Marzo 2008
ANEXOS
Anexo IEAP Propietario Autenticación del
servidor Autenticación del cliente Generación de claves dinámicas Seguridad de las credenciales Re-autenticación rápida
Tunelado Compatible con WPA Riesgos no mitigados MD5 No No No No No No No No Exposición de identidad Ataque de diccionario Hombre en el medio Secuestro de sesiones
LEAP Sí Password hash Password hash Sí Débil No No Sí Exposición de identidad
Ataque de diccionario
TLS No X.509 certificate X.509 certificate Sí Fuerte Sí No Sí Exposición de identidad
TTLS No X.509 certificate PAP, CHAP, MS-
CHAPv2, any EAP
Sí Fuerte Sí Sí Sí Ataque de diccionario
PEAP No X.509 certificate Cualquier EAP Sí Fuerte Sí Sí Sí Ataque de diccionario
SIM No Pre shared key/
key derivation
Pre shared key/ key derivation
Sí Fuerte Sí No Sí No independencia de la
sesión
Ataques de 64 bits
Tabla 2.2 Comparativa: WEP, WPA, IEEE 802.11i e IPsec VPN
WE P
WPA IEEE 802.11i IPsec VPN
Aut
en
tica
ció
n Autenticación WEP 802.1X+E
AP
802.1X+EAP IKE de máquina, X- AUTH de usuario Pre-Autenticación No No 802.1X (EAPOL) Sí Cif ra d o Negociación del cifrado
No Sí Sí Sí (DES, 3DES, AES)
Cifrado RC4 40- bit o 104- bit TKIP: RC4 128-bit CCMP: AES 128- bit
ESP: DES 56 bit, 3DES 128-bit, AES 168, 128, 192, 256 Vector de inicialización 24 bit
48 bits 48 bits DES-CBC 8 bytes
Integridad de la cabecera No MIC CCM AH Integridad de los datos CRC -32 MIC CCM AH/ESP Protección de respuesta No Fuerza secuencia de IV Fuerza secuencia de IV Sí
Gestión de claves No Basada en
EAP
Basada en EAP IKE (Diffie-Hellmann)