Migracion wep hacia wap - aes
Páginas: 12 (2916 palabras)
Publicado: 16 de marzo de 2011
PLAN DE MEJORAS DE SEGURIDAD DE LA RED INALAMBRICA
OBJETIVO
Incrementar el nivel de seguridad de la red inalámbrica de la empresa, utilizando autenticación de usuario para acceder a la red y encriptación con WPA.
DESCRIPCIÓN
Actualmente la seguridad de la red inalámbrica de la organización está basada en la encriptación de las comunicaciones entre los equipos móviles de los usuarios ylos puntos de acceso (AP) utilizando el protocolo WEP, que consiste en utilizar una clave para cifrar el tráfico de red inalámbrico. Con este modelo de seguridad cualquier estación móvil solamente requiere la clave WEP para conectarse a la red sin ningún método de autenticación.
Recientemente se ha descubierto que el protocolo WEP presenta vulnerabilidades que permiten descifrar la clave WEP yser utilizada por personas ajenas a la empresa para poder conectarse a la red.
Para corregir esta vulnerabilidad se propone modificar la configuración de la red inalámbrica utilizando autenticación de usuarios a través de un servidor RADIUS integrado con el Directorio Activo de Microsoft para acceder a la red y encriptación con WPA para proteger las comunicaciones. Con esta solución secontrola el acceso de los equipos a la red a través del directorio activo y se evita la desencriptación de las comunicaciones inalámbricas.
En algunos casos existirá la necesidad de que coexistan ambas configuraciones de red, por lo que en la migración planteada se utilizará un nuevo identificador re red (SSID) llamado “WSSID”, el identificador utilizado actualmente “XXX”.
El plan de migracióncubre los casos de equipos móviles con sistema operativo Windows XP SP2, para otros casos que se presenten se deberá evaluar en forma particular la configuración. (S.O Windows 2000, Itouch, Iphone, Blackberrys, etc.)
MARCO TEÓRICO
WPA con Radius está basada en la norma IEEE 802.1X que controla el acceso a la conexión lógica de red utilizando la autenticación basada en el usuario.
La idea esque la conexión dependa de ciertas credenciales de usuario que permiten su autenticación, si la autenticación falla, el puerto de red correspondiente no se habilita. Esta norma define tres elementos: el suplicante (usuario con cliente inalámbrico), el autenticador (punto de acceso inalámbrico) y el servidor de autenticación (servidor RADIUS, Remote Authentication Dial-In User Service) paracentralizar autenticación y autorizaciones.
WPA utiliza el protocolo EAP (Extensible Authentication Protocol) para llevar a cabo el intercambio de claves para la autenticación entre el cliente y el servidor RADIUS. Este protocolo soporta múltiples métodos de autenticación, como por ejemplo MS-CHAP, método basado en contraseñas y es el método que se usará en la solución propuesta.
[pic]
Elusuario desea conectarse a la red, solicita acceso al AP, éste fuerza al usuario a mandar un mensaje EAP de identificación, el usuario manda su identidad y el AP reenvía el mensaje al servidor de autenticación, el cual valida las credenciales contra el Directorio Activo. Finalizada y aprobada la autenticación, el servidor envía un mensaje de autorización para aceptar o rechazar la conexión. Si elmensaje es aceptar la conexión, el AP permite la conexión del cliente con la red interna de la empresa, usando la encriptación WPA.
PLAN DE MIGRACIÓN
Creación de políticas y grupos
El directorio activo permite la configuración de las redes inalámbricas de Windows XP SP2 y Vista a través de una política de equipo, que será aplicada a todos los equipos que tengan tarjeta de red inalámbrica.Para el manejo de la autenticación de usuarios se creará un grupo de seguridad en el directorio activo llamado “Usuarios Wireless” cuyos miembros serán los usuarios que tienen permiso de conexión a la red.
Este grupo será utilizado en la configuración del servidor RADIUS con IAS que se mostrará posteriormente.
Para la configuración de red inalámbrica se crearán 2 políticas, una para los...
OBJETIVO
Incrementar el nivel de seguridad de la red inalámbrica de la empresa, utilizando autenticación de usuario para acceder a la red y encriptación con WPA.
DESCRIPCIÓN
Actualmente la seguridad de la red inalámbrica de la organización está basada en la encriptación de las comunicaciones entre los equipos móviles de los usuarios ylos puntos de acceso (AP) utilizando el protocolo WEP, que consiste en utilizar una clave para cifrar el tráfico de red inalámbrico. Con este modelo de seguridad cualquier estación móvil solamente requiere la clave WEP para conectarse a la red sin ningún método de autenticación.
Recientemente se ha descubierto que el protocolo WEP presenta vulnerabilidades que permiten descifrar la clave WEP yser utilizada por personas ajenas a la empresa para poder conectarse a la red.
Para corregir esta vulnerabilidad se propone modificar la configuración de la red inalámbrica utilizando autenticación de usuarios a través de un servidor RADIUS integrado con el Directorio Activo de Microsoft para acceder a la red y encriptación con WPA para proteger las comunicaciones. Con esta solución secontrola el acceso de los equipos a la red a través del directorio activo y se evita la desencriptación de las comunicaciones inalámbricas.
En algunos casos existirá la necesidad de que coexistan ambas configuraciones de red, por lo que en la migración planteada se utilizará un nuevo identificador re red (SSID) llamado “WSSID”, el identificador utilizado actualmente “XXX”.
El plan de migracióncubre los casos de equipos móviles con sistema operativo Windows XP SP2, para otros casos que se presenten se deberá evaluar en forma particular la configuración. (S.O Windows 2000, Itouch, Iphone, Blackberrys, etc.)
MARCO TEÓRICO
WPA con Radius está basada en la norma IEEE 802.1X que controla el acceso a la conexión lógica de red utilizando la autenticación basada en el usuario.
La idea esque la conexión dependa de ciertas credenciales de usuario que permiten su autenticación, si la autenticación falla, el puerto de red correspondiente no se habilita. Esta norma define tres elementos: el suplicante (usuario con cliente inalámbrico), el autenticador (punto de acceso inalámbrico) y el servidor de autenticación (servidor RADIUS, Remote Authentication Dial-In User Service) paracentralizar autenticación y autorizaciones.
WPA utiliza el protocolo EAP (Extensible Authentication Protocol) para llevar a cabo el intercambio de claves para la autenticación entre el cliente y el servidor RADIUS. Este protocolo soporta múltiples métodos de autenticación, como por ejemplo MS-CHAP, método basado en contraseñas y es el método que se usará en la solución propuesta.
[pic]
Elusuario desea conectarse a la red, solicita acceso al AP, éste fuerza al usuario a mandar un mensaje EAP de identificación, el usuario manda su identidad y el AP reenvía el mensaje al servidor de autenticación, el cual valida las credenciales contra el Directorio Activo. Finalizada y aprobada la autenticación, el servidor envía un mensaje de autorización para aceptar o rechazar la conexión. Si elmensaje es aceptar la conexión, el AP permite la conexión del cliente con la red interna de la empresa, usando la encriptación WPA.
PLAN DE MIGRACIÓN
Creación de políticas y grupos
El directorio activo permite la configuración de las redes inalámbricas de Windows XP SP2 y Vista a través de una política de equipo, que será aplicada a todos los equipos que tengan tarjeta de red inalámbrica.Para el manejo de la autenticación de usuarios se creará un grupo de seguridad en el directorio activo llamado “Usuarios Wireless” cuyos miembros serán los usuarios que tienen permiso de conexión a la red.
Este grupo será utilizado en la configuración del servidor RADIUS con IAS que se mostrará posteriormente.
Para la configuración de red inalámbrica se crearán 2 políticas, una para los...
Leer documento completo
Regístrate para leer el documento completo.