PDF Imprimir

 

Hacking versus Seguridad WiFi


¿Qué tan segura puede ser tu Red?


Desde la aparición de este “Manual Para Hackear una Red WIFi” en la Red, hemos asumido que el problema del “Hacke” existe y se vuelve mas común cada día conforme proliferan las redes inalámbricas a lo largo del país.

Es así que al convertirse este problema en Global y al no tener mas herramientas para protegernos que las suministradas por los fabricantes de nuestros dispositivos, se convierte en una necesidad el saber que tipo de seguridad puedo utilizar en la Red y como configurarla.

Un detalle importante a considerar es que este “Hackeo de la Red” no solo involucra el simple Delito de Robar señal para navegar de forma gratuita, sino que involucra toda la seguridad de la información de tu empresa la que se convierte en vulnerable.


Los Puntos débiles


La instalación de una red inalámbrica wifi presenta diversos desafíos de seguridad y, como sucede muchas veces, varias de sus ventajas y funcionalidades se convierten en puntos débiles muy difíciles de proteger.


Amenazas a solucionar en Redes Inalámbricas WIFI:


· Todos los que estén en un radio de 100 ms. aprox son intrusos potenciales.

· La información se transmite por el aire y, por lo tanto, puede ser "vista" por cualquiera que esté en el radio de 100 ms.

· Nuestros usuarios pueden conectarse equivocadamente (o voluntariamente) a redes que se encuentren abiertas en el radio de 100 ms y esto puede ser muy peligroso para la seguridad de nuestra organización.


Cualquier "vecino" puede captar los login y las contraseñas cuando los

usuarios intentan conectarse


WIFI, el Asesino Silencioso:


Es importante enfatizar que, la información se transmite por ondas de RF que viajan por el aire y es imposible evitar que sean "vistas" o "interceptadas", pues el aire es un medio compartido, público.

Por podemos denominar a wifi, como el "asesino silencioso".

Muchos nos están "escuchando" las 24 horas del día, pero no los vemos.

Algunos acostumbran a pensar, o a decir, que sus sistemas no corren peligro pues no tienen redes wifi en su organización.

Esta aseveración es incorrecta pues, en realidad, los peligros que acabamos de mencionar son de la tecnología Wifi y no de las redes wifi. Aunque en la empresa no existan aún redes inalámbricas wifi, es suficiente que hayan algunos computadores wifi (portátiles ?!) para que nuestros sistemas se tornen más frágiles y vulnerables.

Según numerosas estadísticas existe muy poca conciencia de todas estas amenazas y peligros, por parte de los usuarios de redes inalámbricas wifi. Por ello todas demuestran que más del 60% de las redes wifi en las grandes ciudades del planeta están abiertas totalmente o, en su defecto, muy mal protegidas. Recomendamos leer sobre una práctica muy difundida que es el Warchalking o Wardriving.


Formas de defender tu Red


Filtrado de Direcciones MAC

Es uno de los métodos de protección de redes inalámbricas wifi, más primitivos y menos eficaz que existen pues tiene muchas desventajas y puntos débiles.

El método de Filtrado de Direcciones MAC / MAC Address, consiste en suministrar a cada Punto de Acceso Inalámbrico un listado de las direcciones MAC de los equipos que están autorizados a conectarse a la red. De esta manera los equipos que no figuren en la lista serán rechazados. Las desventajas de este método son las siguientes:

· Si hay muchos Access Points en la organización se producen errores al teclear la dirección MAC repetidamente en todos los Puntos de Acceso. Esto producirá inconvenientes con los usuarios "legales" que son rechazados. Además es muy trabajoso

Tomando en cuenta que la transmisión de la información en Wifi se hace por medio de paquetes. En muchos de estos figura la Mac Address, que generalmente no va encriptada, y obviamente puede ser capturada por un hacker.

Existen programas en Internet que permiten "imitar" y reemplazar esta Dirección MAC. Si esta es capturada por un hacker, toda la seguridad del sistema queda desarticulada.

La Dirección MAC, es una característica del hardware (no del usuario). Si el hardware (PC, PDA, USB, etc.) se pierde o es robado, el que lo encuentre podrá tener libre acceso a la red inalámbrica WIFI pues pasaría el control del filtro.

La idea de los promotores del estándar 802.11b consistía en encriptar el tráfico entre Puntos de Acceso y estaciones móviles y compensar así la falta de seguridad que se obtiene al enviar la información por un medio compartido como es el aire.

Es así como, todos los Puntos de Acceso y dispositivos WIFI incluyen la opción de encriptar las transmisiones con el Protocolo de Encriptación WEP.

¿Cómo Funciona el Mecanismo de Encriptación WEP?

Brevemente diremos que hay que establecer una clave secreta en el Punto de Acceso, que es compartida con los clientes WIFI. Con esta clave, con el algoritmo RC4 y con un Vector de Inicialización (IV) se realiza la encriptación de los datos transmitidos por Radio Frecuencia.

A medida que fué aumentando la difusión de las Redes Inalámbricas WIFI, se fueron detectando graves problemas de seguridad informática en el Protocolo de Encriptación WEP, lo que generó hace unos años muy mala prensa a las redes inalámbricas WIFI.

Resumen de Debilidades del Protocolo WEP

  1. El Vector de Inicialización IV, es demasiado corto pues tiene 24 bits y esto ocasiona que en redes inalámbricas WIFI con mucho tráfico se repita cada tanto.
  2. Hay algunos dispositivos clientes (tarjetas, USB) muy simples que el primer IV que generan es cero y luego 1 y así sucesivamente. Es fácil de adivinar.
  3. Las claves que se utilizan son estáticas y se deben cambiar manualmente. No es fácil modificarlas frecuentemente.
  4. No tiene un sistema de control de secuencia de paquetes. Varios paquetes de una comunicación pueden ser robados o modificados sin que se sepa.

Esta situación generó la aparición de múltiples aplicaciones capaces de crackear la seguridad WEP en poco tiempo.

Según la capacidad de los equipos utilizados y la habilidad del hacker y el tráfico de la red inalámbrica WIFI, se puede tardar desde 15 minutos a un par de horas en descifrar una clave WEP.


Seguridad WIFI: WPA (WIFI PROTECTED ACCESS)


WPA y WPA2, son dos Protocolos de Encriptación que se desarrollaron para solucionar las debilidades detectadas en el protocolo de encriptación WEP.

El nombre de WPA (WIFI Protected Access) que quiere decir en español: Acceso protegido WIFI, es un nombre comercial que promueve la WIFI Alliance. La parte técnica está definida y estipulada en el estándar de seguridad IEEE 802.11i.

La WiFi Alliance, estaba interesada en buscar una rápida solución a los inconvenientes de WEP. Además se buscaba que la solución WPA, funcionara con los Puntos de Acceso y dispositivos WIFI, ya vendidos a miles y miles de usuarios. Por este motivo se decidió desarrollar dos soluciones. Una rápida y temporal que se denominó WPA y otra más definitiva para aplicar en nuevos Puntos de Acceso, y no en los existentes, que se llamó WPA2.

Los Puntos de Acceso existentes hasta ese momento ( 2001/2002 ) ya tenían la capacidad de su hardware ocupada al 90% con diversas funciones, por lo tanto cualquier modificación que se le hiciera al WEP, no podría requerir mucha capacidad de proceso.

Se desarrolló un protocolo temporal denominado TKIP (Temporal Key Integrity Protocol) que es una "envoltura" del WEP y es conocido como WPA. El WPA (primera fase del estándar 802.11i) fue aprobado en Abril de 2003.

Desde Diciembre de 2003 fue declarado obligatorio por la WiFi Alliance. Esto quiere decir que todo Punto de Acceso Inalámbrico que haya sido certificado a partir de esta fecha, ya debe soportar "nativamente" WPA.

Todo Punto de Acceso anterior a Diciembre de 2003 puede soportar "nativamente" sólo WEP.

Importante: Todos los fabricantes miembros de la WiFi Alliance deben poner gratuitamente a disposición de sus clientes un "parche" para actualizar los Puntos de Acceso antiguos de WEP a WPA.

Mejoras a la Seguridad WIFI introducidas en WPA


  1. Se incrementó el Vector de Inicialización (IV) de 24 bits a 48.
  2. Se añadió una función MIC (Message Integrity Check) para controlar la Integridad de los mensajes. Detecta la manipulación de los paquetes.
  3. Se reforzó el mecanismo de generación de claves de sesión.

Existen 2 versiones de WPA, una "home" o "Personal" que es para uso casero y de pymes, y otra más robusta denominada "Enterprise". No vienen activadas por defecto y deben ser activadas durante la configuración. Los Puntos de Acceso antiguos "emparchados" o actualizados de WEP a WPA se vuelven más lentos, generalmente y, si bien aumenta la seguridad, disminuye el rendimiento.

Seguridad WIFI: WPA2 (WIFI PROTECTED ACCESS 2)


WPA2, es el nombre que le dió la WIFI Alliance a la segunda fase del estándar IEEE 802.11i. La seguridad es muchísimo más robusta que la que ofrece WPA. WPA2 ya no se basa en un parche temporal sobre el algoritmo RC4 y, en su lugar, utiliza el algoritmo de encriptación AES - recomendado por el NIST , de los más fuertes y difíciles de crackear en la actualidad. Este algoritmo de encriptación requiere un hardware más robusto, por lo tanto los Puntos de Acceso antiguos no se pueden utilizar con WPA2. Las primeras certificaciones de Puntos de Acceso compatibles con WPA2, se han hecho en Septiembre de 2004. Esto era voluntario, pero WPA2 es requisito obligatorio para todos los productos WIFI, desde Marzo de 2006.

Hay que tener mucho cuidado con productos anteriores a esas fechas, pues no son capaces de soportar WPA2. Por ejemplo, hay muchos PDA o Palm que se utilizan en redes inalámbricas WIFI que no se pueden utilizar con WPA2. Tampoco los computadores portátiles con Centrino de los primeros modelos soportan WPA2.

La implementación de protección que se aplica en el estándar de seguridad Wifi 802.11i, se conoce con el acrónimo CCMP y está basada, como ya se comentó, en el algoritmo de encriptación AES (ver: Rijndael). El cifrado que se utiliza es simétrico de 128 bits - ver: Criptografía Simétrica y Asimétrica - y el Vector de Inicialización (IV) tienen una longitud de 48 bits.

El nuevo estándar exigió cambios en los paquetes que utilizan las redes inalámbricas WIFI para transmitir la información. Por ejemplo en los paquetes de "Beacons" o "Association Request" hubo que incluir datos sobre el tipo de encriptación: WEP, TKIP, CCMP, o sobre el tipo de autenticación: 802.1x (se verá en los próximos capítulos) o contraseña. Esto explica una vez más, porque los Puntos de Acceso y dispositivos Palm o PDA muy antiguos no funcionan con WPA2.

Para finalizar, digamos que al igual que con WPA, existen 2 versiones: "WPA2 Personal" que sólo requiere contraseña y "WPA2 Enterprise" que requiere 802.1x y EAP. En el momento de la configuración se debe estipular cual se va a utilizar.


VPN - Virtual Private Network

Las VPN son una herramienta diseñada para proteger las comunicaciones. Las VPN crean un túnel críptográfico entre 2 puntos. La encriptación se realiza mediante el protocolo IPSec de la IETF.

Cuando se empezó a tomar conciencia de la fragilidad de la seguridad wifi debido a las carencias del protocolo WEP, en algunos sectores se difundió el uso de VPN para reforzar la encriptación, tal como se ve en la figura 10, del archivo Redes-Inalámbricas-Cu rso-Gratis.pdf . Se "tira" un túnel entre el cliente de la red inalámbrica WIFI y el servidor. De esta manera, queda protegida la conexión con IPSec que es un método de encriptación robusto y muy difícil de hackear. En la figura se ve un ejemplo donde se sigue utilizando el protocolo WEP. Esto es opcional, pues WEP no añade seguridad adicional a IPSec.

La utilización de las VPN añade bastante seguridad a las redes inalámbricas pero tiene ciertas desventajas. Una de ellas es la económica pues cada túnel tiene un costo para la empresa y cuando se trata de proteger a cientos o miles de usuarios de una red inalámbrica wifi, las VPN se convierten en extremadamente costosas.

Otro inconveniente es que las VPN han sido pensadas y diseñadas para conexiones "dial-up" punto a punto, pero las redes inalámbricas WIFI transmiten ondas de RF (irradian) por el aire que es un medio compartido, como se explicó en el capítulo de Tecnología WIFI . En la siguiente tabla, se detallan muy brevemente las desventajas de proteger una red inalámbrica wifi con VPN.

 

Desventajas al utilizar VPN en Redes Inalámbricas WIFI

Para un número grande de clientes WIFI, suele ser una solución bastante costosa. Se verán soluciones más baratas.

Ayudaron bastante a mejorar la seguridad WEP, pero ahora que existe WPA y WPA2 no hacen falta

Están diseñadas para proteger a partir de la capa 3 del modelo OSI, pero las redes inalámbricas WIFI (802.11) funcionan en capa 2.

Resumiendo, las VPN pueden ser una buena solución cuando ya están siendo utilizadas en la organización y se necesita proteger a los primeros usuarios de WIFI. En cuanto se masifica la utilización de las redes inalámbricas WIFI, su gestión se complica y los costos aumentan de manera innecesaria.

 

Seguridad WIFI: Estándar IEEE 802.1x

En los primeros años de este siglo, cuando sólo existía la encriptación WEP y antes que fuera desarrollado el estándar de seguridad 802.11i con la encriptación WPA y WPA2, el IEEE comenzó a buscar soluciones que fueran capaces de mejorar la Seguridad Wifi.

El resultado buscado se consiguió adaptando el estándar 802.1x que se había aprobado en 2001 para redes cableadas. En 2004 se finalizó la adaptación para redes inalámbricas WIFI. Este estándar de seguridad en redes se basa en el control de acceso a puertos.

El estándar 802.1x constituye la columna vertebral de la Seguridad WIFI y es imprescindible y muy recomendable su utilización en toda red empresarial que pretenda lograr una seguridad robusta. 802.1x introduce importantes cambios en el esquema de seguridad wifi.

 

Estándar 802.1x: Modificaciones en Seguridad WIFI

Se necesita autenticar a los usuarios antes de conectarse a una red inalámbrica WIFI

La autenticación se realiza con un protocolo conocido como EAP - Extensible Authentication Protocol. Existen varias versiones de EAP:LEAP, TLS, TTLS, PEAP, FAST


La autenticación se realiza mediante un servidor de tipo RADIUS


Es de resaltar, algunos cambios de fundamental importancia: En el esquema de 802.1x, se autentica al usuario y no al dispositivo, como se hacía, por ejemplo en el filtrado de Direcciones MAC (MAC Address).

Esto es muy importante porque impide que se pueda entrar a la red, aún cuando a uno le roben o pierda su laptop o PDA. La otra diferencia importante es que con 802.1x, el Punto de Acceso no puede "autorizar" a nadie el acceso a la red. La función de autorización recae en el servidor RADIUS.


El esquema básico de funcionamiento según se define en el estándar es el siguiente:

En 802.1x el puerto no se abre y no se permite la conexión hasta que el usuario está autenticado.

El estándar define 3 elementos:

Servidor de Autenticación: Es el que verificará las credenciales de los usuarios. Generalmente es un servidor RADIUS.

Autenticador: Es el dispositivo que recibe la información del usuario y la traslada al servidor de autenticación (esta función la cumple el Punto de Acceso)

Suplicante: Es una aplicación "cliente" que suministra la información de las credenciales del usuario al Autenticador. (soft cliente)

Servidor RADIUS

RADIUS es el acrónimo de Remote Authentication Dial In User Service. Sus diversas funciones y características están definidas en varias RFC de la IETF. Algunas de las importantes son: RFC 2058, 2138 y 2548 . Como su nombre lo indica es un servidor que tiene la función de autenticar a los usuarios que se conectan remotamente.

Originalmente estaba pensado para accesos por líneas cableadas, pero cuando se modificó el estándar 802.1x para seguridad WIFI, se adaptó también como herramienta de autenticación para las redes inalámbricas wifi.

El servidor RADIUS cumple varias funciones en la arquitectura de seguridad de una red inalámbrica WIFI, las cuales se detallan a continuación:

 

Funciones del Servidor RADIUS en Redes Inalámbricas WIFI

· Recibir pedido de conexión de los usuarios wifi

· Autenticar a los clientes wifi y luego Autorizar su acceso a la red

· Devolver toda la información de configuración necesaria para que el cliente acceda a la red entre ellas la clave

Para robustecer la seguridad wifi, el servidor RADIUS puede generar claves "dinámicas", es decir que las puede ir cambiando cada tanto. El administrador puede configurar el intervalo

El servidor RADIUS generalmente es un software aunque existen algunos appliance. Las versiones servidor de Windows 2000 y Windows 2003 incluyen un servidor RADIUS, que se denomina IAS - Internet Access Server. Este, como la mayoría de los servidores RADIUS tiene varias limitaciones de plataforma, S.O, etc que se comentarán más adelante.

Como se vió, el servidor RADIUS tiene la función de Autenticar y de Autorizar a los clientes de WIFI.

Los servidores RADIUS más completos incluyen una tercera función que es el Accounting, por eso se denominan "AAA" o "Triple A".

Para finalizar, digamos que en lo que respecta a Seguridad WIFI, los Servidores RADIUS, además de autenticar y autorizar el acceso de usuarios añaden otras ventajas muy relevantes:

A diferencia de las VPN, protegen la capa 2 pues cifran el canal antes que el usuario sea autenticado y reciba su IP. La VPN necesita una dirección IP para autenticar al usuario.

El servidor RADIUS genera claves dinámicamente, lo que mitiga significativamente las deficiencias del protocolo de encriptacion WEP.

Auntenticación EAP (Extensible Authentication ProtocoAl)

Como se vió en el capítulo del Estándar 802.1x, creado para robustecer la seguridad wifi, se utiliza el protocolo EAP para autenticar a los usuarios.

De este se han desarrollado diferentes versiones: EAP-LEAP, EAP-TLS, EAP-TTLS, EAP-PEAP, EAP-FAST.

Esto plantea una gran complicación y, también confusión, entre los profesionales, pues cada una tiene sus limitaciones y, cada una soporta diferentes plataformas. Esto obliga al diseñador de una red inalámbrica wifi, a analizar detenidamente que protocolo EAP se va a utilizar para autenticar con el RADIUS - 802.1x.

En general, todos los protocolos EAP, requieren la existencia de un certificado digital en el servidor RADIUS para asegurar que nos estamos conectando a la red nuestra y no, a una ajena.

1) EAP - LEAP, fue desarrollado y patentado por Cisco y una de sus limitaciones consiste en que requiere infraestructura de Cisco y un RADIUS "LEAP aware", es decir que no se puede utilizar con cualquier servidor RADIUS.

Además, desde mediados de 2003, se sabe que EAP-LEAP es vulnerable a "ataques de diccionario" - Ver: "Cisco Reacciona ante la vulnerabilidad del Protocolo LEAP". Por ello no se aconseja su utilización, dado que existen mecanismos de autenticación más seguros.

2) EAP - TLS, lo desarrolló Microsoft. Una característica del protocolo EAP-TLS, que muchos lo ven como un inconveniente, es que requiere Certificado Digital en cada dispositivo cliente. Por este motivo muchas organizaciones renuncian a utilizarlo. En el caso de las empresas que ya tienen implementado un sistema de PKI, este inconveniente no existe. Otra limitación es que EAP - TLS, sólo soporta las bases de datos de Microsoft como Active Directory, y no soporta SQL ni LDAP. EAP - TLS, es soportado por Windows XP y Windows 2003 y por los últimos service pack de Windows 2000.

3) EAP - TTLS, fue desarrollado por programadores independientes con la idea de crear un protocolo EAP muy flexible. EAP- TTLS, tiene la ventaja de que funciona con todas las plataformas y S.O y es, a su vez, compatible con los otros EAP y con múltiples bases de datos como SQL y LDAP.

4) EAP - PEAP, es un proyecto conjunto de Cisco, Microsoft y RCA. Fue desarrollado para poder suministrar un protocolo más flexible que el EAP - LEAP y que el EAP - TLS.El EAP - PEAP, es muy similar al EAP - TTLS y existen dos versiones similares del mismo pero no iguales, una de Microsoft y otra de Cisco. La versión de Microsoft de EAP - PEAP, está incluida en Windows XP y Windows 2003.

5) EAP - FAST, es un protocolo de autenticación bastante nuevo creado por Cisco. Es presentado como más sencillo que los demás, pero en realidad existen 2 versiones, una "sencilla" y otra muy similar a los otros EAP. La versión sencilla de FAST, no tiene una seguridad muy robusta. Es compatible con EAP - LEAP y fácil de migrar. EAP - FAST, soporta Active Directory y LDAP y utiliza un secreto compartido para las autenticaciones.

En definitiva, es muy importante comprender, que la elección del protocolo de autenticacion EAP, es una de las decisiones claves en la implementación de una red inalámbrica wifi. Esto influirá luego en otros elementos que se empleen en la red wifi.

Fuente: http://www.virusprot.com
 
Banner