Despliegue de redes inalámbricas seguras sin necesidad de usar VPN
Despliegue de redes inalámbricas
seguras sin necesidad de usar VPN
Elena Alcantud Pérez.
Josemaria Malgosa Sanahuja.
Paco Sampalo Lainz.
Despliegue de redes inalámbricas seguras sin
1
Servicio de Informática de la UPCT
Contenidos.
•
•
•
•
•
•
•
•
•
WEP. Wired Equivalent Privacy
Métodos EAP.
EAP-TTLS. CaracterísticasArquitectura de acceso.
Elementos de autenticación.
Estructuración VLAN (802.1Q)
Instalación del servidor.
Pasos en la autenticación.
Conclusiones
Despliegue de redes inalámbricas seguras sin
2
Servicio de Informática de la UPCT
WEP. Wired Equivalent Privacy
(I)
• Estándar de encriptación de flujo opcional implementado en la
capa MAC soportada por la mayoría de tarjetas de red y puntosde
acceso.
• Encripta la trama 802.11 y su CRC antes de su transmisión
empleando un flujo de cifrado RC4.
• La estación transmisora empleará un VI diferente para cada trama
para dotar de mayor robustez al sistema.
VI (24 bits)
GNA 1
GNA 2
Clave 40 bits
+
TRAMA
CIFRADA
Trama en claro
Despliegue de redes inalámbricas seguras sin
3
Servicio de Informática de la UPCTWEP. Wired Equivalent Privacy
(II)
• No proporciona ningún mecanismo de
intercambio de claves entre estaciones.
Los administradores del sistema y los usuarios emplean
normalmente la misma clave durante semanas.
• Capturas en red.
Usuarios dentro de la red pueden capturar tráfico.
• Sniffing.
Usuarios externos pueden capturar tráfico cifrado y
descifrarlo con herramientasadecuadas.
Despliegue de redes inalámbricas seguras sin
4
Servicio de Informática de la UPCT
Alternativas WEP.
• Propuestas de soluciones sobre el WEP actual:
Cifrar la información en los niveles superiores (Ipsec, ssh,
scp, etc.).
Cambiar las claves WEP de cada usuario frecuentemente.
• EAP.
Protocolo de autenticación extensible. IEEE Abril de
2001.
Elimina los problemasproducidos por el empleo de WEP,
ya que las claves cambian en cada sesión.
A través de un servidor RADIUS también permite
autenticar a los clientes.
Despliegue de redes inalámbricas seguras sin
5
Servicio de Informática de la UPCT
Métodos EAP.
EAP-MD5.
EAP-TLS.
Método de autenticación básico.
No es apropiado allá donde se requiere una seguridad robusta.
Transport LayerSecurity
Autenticación muy segura.
Reemplaza simples claves por certificados para el cliente y el
servidor.
EAP-TTLS.
Tunneled Transport Layer Security. Extensión de TLS.
Desarrollada para sobreponerse a la desventaja en cuanto a la
necesidad de poseer un certificado por cliente.
EAP-PEAP.
Protected Extensible Authentication Protocol.
Soporta métodos EAP a través deltúnel, pero a diferencia de TTLS,
no soporta otros métodos para la negociación de la autenticación del
cliente.
Light Extensible Authentication Protocol.
EAP-LEAP. Autenticación mutua, distribución de clave de sesión segura y
dinámica para cada usuario.
Vulnerable ante ataques de diccionario.
EAP-SIM
EAP-AKA.
Subscriber Identity Module y Authentication and Key
Agreement
Seemplean en redes celulares.
Despliegue de redes inalámbricas seguras sin
6
Servicio de Informática de la UPCT
EAP-TTLS. Características de la
estructura.
• Las credenciales no son observables en el canal de comunicación
entre el nodo cliente y el proveedor de servicio.
Protección contra ataques de diccionario y suplantaciones.
•
Generación de claves compartidas de sesión entrecliente y servidor Radius,
tras la negociación TLS.
El servidor distribuye las claves al punto de acceso para continuar el
servicio.
Opcionalmente, los cambios de clave dinámicos son configurables en el
punto de acceso. Transparencia ante el usuario.
•
Relaciones de seguridad entre dispositivos.
Usuario registrado en base de datos, directorio o archivo de usuarios.
Punto de...
Regístrate para leer el documento completo.