42
SEGURIDAD Arturo González Jaimes

expo.pptx

Embed Size (px)

Citation preview

Presentacin de PowerPoint

SEGURIDADArturo Gonzlez Jaimes La seguridad de una red es el proceso por el que los recursos de informacin digitales son protegidos.

Los objetivos de la seguridad son mantener la integridad, proteger la confidencialidad y garantizar la disponibilidad.

El propsito esencial de la seguridad es proteger los recursos y mantener los procesos de red y empresariales.

Vulnerabilidad de una WLAN Las WLAN son vulnerables a ataques especializados. Muchos de esos ataques explotan los puntos dbiles de la tecnologa por que la seguridad de las WLAN 802.11 es relativamente nueva.

Vulnerabilidad de seguridad 802.11:

Dbil autenticacin, solo del dispositivo: los dispositivos cliente estn autenticados, los usuarios no estn autenticados. Esto permite que los usuarios sin autorizacin accedan a los recursos y ventajas de la red.

Cifrado dbil de los datos. La privacidad equivalente al cableado se ha mostrado ineficaz como medio para cifrar los datos.

No hay integridad del mensaje. El valor de comprobacin de la integridad (ICV Integrity Check Value) tambin se a mostrado ineficaz.

Amenazas WLAN Hay cuatro clases principales de amenazas a la seguridad inalmbrica:

Amenazas no estructuradas.Amenazas estructuradas.Amenazas externas.Amenazas internas.

Ataques contra las WLAN Los mtodos de ataque inalmbrico pueden clasificarse en tres categoras:

Ataques de reconocimiento

Es el descubrimiento y asignacin no autorizados de sistemas, servicios o vulnerabilidades.

Ataques de acceso

En este contexto, el acceso al sistema se refiere a la posibilidad de que un intruso no autorizado obtenga acceso a un dispositivo para el que no dispone de una cuenta o una contrasea.

Entrar o accesar a un sistema para el que no se tiene un acceso autorizado implica normalmente la ejecucin de un script de pirateo o una herramienta que explote una vulnerabilidad conocida del sistema o de la aplicacin que se intenta piratear.Los siguientes son ejemplos de ataques de acceso:

Explotacin de contraseas dbiles o inexistentes.

Explotacin de servicios, como HTTP, FTP, SNMP, CDP, y Telnet.

Ataques de AP falso

La mayora de los clientes se asocia al AP que tiene la seal mas fuerte. Si un AP no autorizado, que normalmente es un AP falso, tiene una seal fuerte, los clientes se asociaran a el. El AP falso tendra acceso al trafico de red de todos los clientes asociados.Ataques contra la WEP

Entre los ataques contra la WEP podemos citar los de volcado de bits(bit flopping), los de repeticin (replay) y los vectores de inicializacin dbiles (IV initalization vector).

Ataques de denegacin del servicio

La denegacin del servicio (DoS, Denial of Service) se da cuando un intruso deshabilita o corrompe redes, sistemas o servicios inalmbricos con la intencin de denegar el servicio a los usuarios autorizados. Los ataques de DoS adoptan muchas formas. En la mayora de los casos, un ataque de este tipo solo implica la ejecucin de un hack, script o herramienta automatizada.

Tecnologas de seguridad bsicas en una WLAN La seguridad WLAN es un proceso continuo construido alrededor de una poltica de seguridad inalmbrica los cuatro pasos de seguridad son:

Paso 1 asegurar. Este paso implementa las soluciones de seguridad WLAN para detener o evitar el acceso a las actividades no autorizadas y para proteger la informacin utilizando lo siguiente:

Autenticacin (802.1x).Encriptacin o cifrado (WEP o AES).Integridad (CRC o MIC)Filtros del trafico.VLAN y VPN.Deshabilitar o asegurara los servicios.Control del are de cobertura inalmbrica.

Paso 2 monitorizar. Este paso implica las siguientes acciones:

detectar violaciones de la poltica de seguridad de la WLAN.

Auditar los sistemas implicados, anotar registros y detectar intrusiones en tiempo real.

Detectar los AP falsos.

Paso 4 Mejorar.

utilizar la informacin de los pasos 3 y 4 para mejorar la implementacin WLAN.

Paso 3 Probar: este paso valida la eficacia de la poltica de seguridad de la WLAN mediante la auditoria del sistema y la bsqueda de vulnerabilidades inalmbricas y cableadas.

Autenticacin y asociacin.La autenticacin abierta y la autenticacin por clave compartida son los dos mtodos que el estndar 802.11 define para que los clientes se conecten a un AP.

Autenticacin abierta.

Ejecuta todo el proceso de autenticacin en texto plano. La autenticacin abierta es bsicamente una autenticacin nula, es decir, no hay ninguna verificacin del usuario o de la maquina.Autenticacin por clave compartida.

Funciona de forma parecida a la autenticacin abierta, excepto por que utiliza el cifrado WEP para el paso de la autenticacin.

La clave compartida requiere que el cliente y el AP tengan la misma clave WEP.

Interoperabilidad.

En la mayora de los AP, incluyendo los cisco, es posible utilizar la autenticacin abierta con o sin una clave WEP. En la interoperabilidad bsica que requiere WEP, AP de cisco de puede configurar utilizando la autenticacin abierta.

El cifrado de los datos debe establecerse a Required, y desactivar TKIP (Protocolo de integracin de clave, Temporal Key Integrity Protocol), MIC (Comprobacin de la integridad del mensaje, Message Integrity Check) y BKR (Rotacin de clave de difusin, Brodcast Key Rotation).Configuracin de la seguridad bsica de una WLAN Tener una poltica de seguridad inalmbrica.

Tener una seguridad fsica fuerte y una instalacin correcta.

Controlar los niveles de potencia, la cobertura de la antena y el tamao de la clula.

Evitar los ajustes predeterminados para las contraseas, los SSID, etc.

Desactivar los protocolos, servicios, la difusin de los SSID.

Utilizar WEP de 128 bits.

Utilizar contraseas solidas.

Utilizar filtros de las capas 2,3 y 4.

Mantener actualizado el firmware.

Administrar los dispositivos a travs de conexiones SSH o SSL.Acceso fsico.

La mayora de los AP inalmbricos son fcilmente accesibles. Normalmente se ubican cerca de los usuarios y fuera de salas cerradas. Esto hace que los AP corran un riesgo especial, pues pueden ser robados y verse comprometidos por usuarios malintencionados.

Acceso de consola.

Las cuentas y los privilegios de administrador deben configurarse correctamente. Si es posible, instale los AP en ubicaciones seguras para evitar el acceso a travs de la consola. En cualquier caso, el puerto de consola debe estar protegido mediante una contrasea.

Telnet/ SSH (Secure Shell, interprete de ordenes segura)

Telnet es un protocolo inseguro y sin cifrar. Si es del todo posible, debera utilizarse SSH para todas las funciones de la interfaz de lnea de comandos. telnet y SSH deben estar protegidos mediante contrasea.

TFTP/FTP

El protocolo trivial de transferencia de archivos (TFTP, Trivial File Transfer Protocol) y el protocolo de transferencia de archivos (FTP, File Transfer Protocol) se utilizan ambos para enviar y recibir archivos a travs de una red. TFTP no permite el uso de contraseas y esta limitado a archivos inferiores a los 16 MB. FTP permite utilizar nombres de usuarios y contraseas, pero sigue siendo un protocolo no cifrado.

SSID

El SSID no debe considerarse una caracterstica de seguridad. Varios AP de una red o subred pueden utilizar los mismos SSID. Los SSID se pueden utilizar en combinacin con las VLAN para permitir a los invitados un acceso limitado.

Es posible configurar hasta 16 SSID en los AP de cisco y asignar diferentes ajustes de configuracin en cada uno.

Todos los SSID se activan al mismo tiempo, es decir, los dispositivos cliente se pueden asociar al AP utilizando cualquiera de los SSID.

Uso de filtros.

El filtrado puede ofrecer una capa adicional de seguridad inalmbrica. Los filtros se pueden crear para filtrar una direccin MAC, el protocolo IP o el puerto IP. Los filtros de protocolo impiden o permiten el uso de protocolos especificos a traves del AP.SNMP

SNMP (protocolo simple de administracin de redes, Simple Network Management Protocol) permite que los programas de administracin de redes vean y cambien la configuracin del equipo. Se puede utilizar para ver los ajustes mediante una solicitud Get o Set.Administracin HTTP/web

La administracin HTTP/web es til, pero su uso en un equipo de red podra debilitar la seguridad de la red.

HTTP debe desactivarse en la pagina services: HTTP-Web Server en una red de produccin. Si se utiliza HTTP, debe estar protegido mediante una contrasea.

HTTP es un protocolo web seguro y seguro que utiliza SSL para proteger la conexin.

Autenticacin de segunda generacin.

Autenticacin de usuarios inalmbricos.

Algunas limitaciones de la WEP son las siguientes:

AutenticacinLa autenticacin esta basada en el dispositivo, no en el usuario.El cliente no autentica la red.Las bases de datos de autenticacin existentes no son niveladas.

Administracin de clave Las claves son estticas.Las claves se comparten entre los dispositivos y los AP.Una limitacin severa de una WLAN con solo WEP es que los usuarios no son autenticados. WPA permite la autenticacin del usuario a travs del protocolo IEEE 802.1x.

802.1x es un protocolo recientemente completado destinado a controlar la entrada en las LAN cableadas e inalmbricas. 802.1x proporciona autenticacin mutua, significa que la red y el usuario comprueban su identidad mutuamente.

Fundamentos de 802.1x802.1x requiere atencin en el cliente, en el AP y en el servidor de autenticacin. 802.1x utiliza un proxy RADIUS para autenticar los clientes en la red. Este dispositivo proxy debe ser un dispositivo como un switch o un AP. Este dispositivo en la capa de acceso.

Protocolos EAPLEAP

Es una tecnologa patentada por cisco que proporciona una solucin WLAN completa. LEAP debe utilizarse cuando solo se requiera un inicio se sesin en el dominio Windows NT o en Active Directory.

LEAP tambin se puede utilizar cuando se necesita una clave WEP dinmica y la autenticacin mutua.

LEAP es el mtodo menos complicado de implementar 802.1x; solo requiere un servidor RADIUS.EAP-TLS

EAP se utiliza cuando se necesitan certificados digitales para la identificacin del usuario. EAP es la mejor solucin cuando ya existe PKI. PKI garantiza que las comunicaciones electrnicas delicadas son privadas y estn protegidas contra el sabotaje.

Los certificados digitales proporcionan un nivel de mayor seguridad en comparacin con los nombres de usuario y contraseas estticos, que es lo que se utiliza en las implementaciones LEAP.

PEAP

Se puede utilizar cuando son necesarios la clave WEP dinmica y la autenticacin mutua. Tambin se puede utilizar EAP-TLS para asegurar el inicio de sesin.MIC

Las claves WEP mas solidas son proporcionadas por las mejores TKIP y MIC. MIC evita los ataques por volcado de los bits en los paquetes cifrados en los paquetes cifrados.

Durante un ataque de este tipo, el intruso intercepta un mensaje cifrado, lo altera ligeramente y lo retransmite. El receptor acepta el mensaje retransmitido como legitimo. El controlador del adaptador cliente y el firmware deben soportar la funcionalidad MIC, y el AP debe activarse MIC.

Algunos de los aspectos mas importantes de MIC son los siguientes:

Protege los tramas de datos WEP del sabotaje.

La MIC esta incluida en la sobrecarga cifrada con WEP, junto con un numero de secuencia para evitar la repeticin.

MIC es pre estndar, as que actualmente es propiedad de cisco. Los dispositivos WLAN de cisco utilizan cisco MIC (CMIC).

Cuando MIC esta completamente definida y sea interoperable, ser una actualizacin software.

BKR

Tambin es una mejora de TKIP.

Protege el trafico de multidifusin del AP ante el hecho de ser saboteado por un cambio dinmico de la clave de cifrado multidifusin. Otros servicios de seguridad empresarialSe pueden utilizar otras tecnologas, productos o servicios de seguridad empresarial para aumentar la seguridad global de la red.

Firewalls VPNSistema de deteccin de instrucciones (IDS, Instrusion Detection System)Monitorizacin Uso de VPN Las VPN IPSec utilizan los servicios definidos en IPSec para garantizar la confidencialidad, integridad y autenticidad de las comunicaciones de datos a travs de las redes, como internet.

Al implementar IPSec en un entorno WLAN, se coloca un cliente IPSec en cada PC conectado a la red inalmbrica.

IPSec proporciona la confidencialidad del trafico IP. Tambin tiene capacidades de autenticacin y antirrepeticin. VLAN Una VLAN es una red conmutada segmentada de forma lgica en funciones, equipos de proyecto o aplicaciones, en lugar de estar dividida fsica o geogrficamente.

Las VLAN se utilizan para configurar la red con ayuda de software, en lugar de hacerlo fsicamente desconectando o moviendo los dispositivos o los cables.rbol de extensin En un entorno WLAN , solo es necesario un rbol de extensin al utilizar puentes inalmbricos. Debe permanecer desactivado para los AP y los repetidores al menos que en la red se den circunstancias especiales.

El algoritmo de rbol de extensin se utiliza para evitar los bucles de puente. Calcula las rutas de red disponibles y cierra las rutas redundantes, de modo que solo existe una ruta entre cualquier par de LAN en la red.Aplicaciones, diseo y preparacin de la inspeccin del emplazamientoUna buena inspeccin ayuda a determinar la viabilidad de la cobertura deseada, la interferencia por radiofrecuencias y las limitaciones de la conectividad cableada.

A la hora de preparar la inspeccin de un emplazamiento, el ingeniero debe considerar muchos factores. Algunas de las mas importantes son las aplicaciones y la infraestructura que una institucin quiere implementar.

El ingeniero del emplazamiento debe ser totalmente consiente de como ha de implementarse la LAN inalmbrica (WLAN) en el sitio.

Inspeccin del emplazamiento Es importante realizar una inspeccin del emplazamiento. Antes de instalar los AP de la WLAN, debe investigar unas cuantas cosas acerca de la instalacin del cliente:

Radiofrecuencia Ubicacin de la instalacin Numero de conexiones que se servirn Rendimiento Cobertura de la WLAN Una buena inspeccin del emplazamiento ayuda a determinar lo siguiente:

Viabilidad de la cobertura deseada Interferencia de radiofrecuencia Ubicaciones optimas para la instalacin Espacio entre AP Limitaciones de la conectividad cableada Consideraciones de la inspeccin del emplazamiento Las siguientes son algunas de las condiciones operativas y ambientales que se deben tener en consideracin:

Velocidades de transmisin. Tipo de antena y ubicacin Entornos fsicos Obstculos Materiales de construccinLnea de visin

El propsito principal de la inspeccin de emplazamientos es colocar los AP e inspeccionar la superposicin adecuada.

Un exceso o un defecto de superposicin puede provocar la interrupcin de la conexin inalmbrica con el cliente.Diseo de una WLAN Los cuatro principales requisitos de diseo de una solucin WLAN son los siguientes:

Alta disponibilidadEscalabilidad Manejabilidad Interoperabilidad