Este documento describe cómo implementar una red WiFi segura utilizando un punto de acceso D-Link y autenticación Windows 802.1x. Explica los problemas de seguridad del estándar WEP y recomienda el uso de WPA2 con autenticación 802.1x para cifrar el tráfico y derivar claves de forma segura entre el punto de acceso y los clientes. También proporciona información sobre próximos eventos de formación sobre seguridad de redes inalámbricas.

1. SIMO-DL-04: Wifi Segura con D-Link & Windows Fran Nogal fnogal@informatica64.com

2. ¿DÓNDE NOS PUEDES ENCONTRAR? En el Boletín Técnico Technews: Si deseas recibir el boletín técnico quincenal para estar informado de lo que sucede en el mundo tecnológico http://www.informatica64.com/boletines.html En nuestro 10º Aniversario: Informática 64 cumple 10 años y queremos celebrarlo contigo invitándote el día 1 de Octubre al CFO de Getafe donde podrás asistir al evento “Informática 64 Décimo Aniversario & Microsoft HOL Quinto Aniversario” o alguno de los 5HOLs gratuitos que se impartirán. http://www.informatica64.com/10aniversario/ En el Blog Windows Técnico: dedicado a la plataforma Windows en el que podrás informarte de las novedades y mejoras en sistemas operativos Microsoft. http://www.windowstecnico.com/ En nuestra Página Web: Lo mejor para estar al día de las actividades de Informática 64. Y desde donde podréis acceder a todos nuestros servicios y actividades. http://www.informatica64.com

3. Introducción Hoy en día, las Wireless LAN se están convirtiendo poco a poco en parte esencial de las redes LAN tradicionales: Bajos costes de instalación Disponibilidad No requiere de software adicional Movilidad La implantación se esta realizando a mayor velocidad en los entornos domésticos y PYMES que en las grandes empresas Este mercado esta menos concienciado de los problema de seguridad

4. DISEÑO DEL ACCESO INALÁMBRICO (WiFi) Cuando nos toca diseñar una infraestructura para el acceso inalámbrico a una red, es importante tener en cuenta algunos aspectos básicos de seguridad. La conexión debe estar protegida mediante autenticación y cifrado de última generación El tráfico que se genera desde el punto de acceso inalámbrico debe ser controlado en todo momento No de debe permitir un acceso directo a la LAN desde el punto inalámbrico, ya que se convertiría fácilmente en un agujero de seguridad, saltándose el firewall o control de acceso. Sólo se debe implantar un acceso inalámbrico en aquellos segmentos de red en donde realmente se necesiten, por ejemplo, acceso para invitados, acceso para dispositivos móviles de gestión de almacenes o toma de pedidos, etc.

5. DISEÑO DEL ACCESO INALÁMBRICO (WiFi) Siguiendo estas recomendaciones, podemos diseñar una infraestructura de red con puntos de acceso inalámbrico como se muestra a continuación:

6. Introducción. Medidas de Seguridad Medias de seguridad que se pueden aplicar en una red Wireless según el estándar 802.11b ACL’s basadas en MAC’s: solo permitir la comunicación con el AP a las direcciones MAC que el AP conoce (es necesario añadir las MACs de los cliente que pueden tener acceso a la WLAN en el AP) No emitir beaconframes Utilizar cifrado WEP

7. Funcionamiento. Mecanismos de autenticación Abierta (Open SystemAuthentication) Protocolo de autenticación por defecto para 802.11b, este método autentica a cualquier cliente que pide ser autenticado. Es un proceso de autenticación NULO, las tramas se mandan en texto plano aunque esté activado el cifrado WEP. Clave compartida (Shared Key Authentication) Este mecanismo utiliza una clave secreta compartida, que conocen cliente y AP.

8. Debilidades WEP Características lineales del CRC Posibilita la modificación de paquetes MIC independiente de la llave Posibilita la inyección de paquetes Tamaño demasiado corto del IV Posibilita demasiadas repeticiones del mismo, que junto con la debilidad del RC4 permite romper dicho cifrado Reutilización del IV Malas implementaciones del protocolo facilitan su ruptura

9. Funcionamiento. Cifrado WEP

10. Soluciones Wireless Seguras. WPA: Certificación de la WI-FI Alliance para las soluciones Wireless que cumplan ciertos requisitos de seguridad. Surgió mientras se trabajaba sobre el estándar IEEE 802.11i WPA2: Certificación de la WI-FI Alliance para las soluciones Wireless que cumplan los requisitos de seguridad dictados por IEEE 802.11i

11. Autenticación. 802.1x Las 4 fases de la autenticación 802.1x

12. Fase 3: Distribución de claves

13. Fase 3: Distribución de claves Derivación de la clave: dos handshake 4-Way Handshake: derivación de la PTK (PairwiseTransient Key) y GTK (GroupTransiet Key) Group Key handshake: renovación de GTK PTK se deriva de la PMK, MAC del AP, MAC del cliente y dos nº aleatorios (ANonce y SNonce, generados por el autenticador y el suplicante) PTK, longitud depende el protocolo de encriptación: 512 bits para TKIP y 384 bits para CCMP. Son varias claves temporales dedicadas

14. Debilidades Conociendo PMK, puedes acceder a la red, pero no descifrar paquetes Clave temporal por usuario y sesión Capturar paquetes 4-Way-Handshake para conseguir PTK concreta También se puede obtener GTK del tercer mensaje

15. Red Wifi Segura con WPA2 Enterprise y AP D-LINK

16. SIMO(22, 23 y 24 de Septiembre) Microsoft TechNet: Tour de la innovación, Lanzamiento Windows 7, Windows Server 2008 R2, Exchange server 2010. Miércoles, 23 de septiembre de 2009 10:00 (Hora de recepción: 9:30)- 17:00 : http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032421471&EventCategory=1&culture=es-ES&CountryCode=ES Durante los tres días se realizarán HOLs Guiados y Auto guiados http://technet.microsoft.com/es-es/hol_simo09.aspx Azlan D-LINK Academy: 5 De Octubre en Madrid, 19 de Octubre en Vigo y 2 de Noviembre en Barcelona. Mas información en:http://www.informatica64.com/cursoseguridadprofesionales.html V Edición de la Formación Técnica en Seguridad y Auditoría Informática (FTSAI). (Formación modular de alto nivel técnico, a partir del 9 de Octubre al 28 de Mayo) Mas información en: http://www.informatica64.com/cursoseguridadprofesionales.html Microsoft TechNet HandsonLab (HOLs) En Madrid y Vizcaya (del 28 de Septiembre al 30 de Octubre) Mas información en: http://www.microsoft.com/spain/seminarios/hol.mspx PROXIMOS EVENTOS