Seguridade en Redes WiFi
Introducción
As redes WiFi utilizan radiofrecuencia, polo que calqueira pode ter acceso ás comunicacións que se producen na mesma interceptando a información ou interferindo no funcionamento normal da rede. Ademáis, o alcance das redes WiFi non é definido, xa que co equipamento axeitado é posible acceder a redes que aparentemente non son alcanzables.
Para evitar o acceso indiscriminado ás redes WiFi se recurre ao cifrado e a autenticación. Ataques típicos sobre redes WiFi son:
- Ataques Dos
Ataques DoS
Son os máis difíciles de evitar, xa que basta con xerar interferencias para interrumpir a conexión WiFi. Este tipo de ataques son máis problemáticos en entornos críticos, como hospitais ou entornos de monitorización.
</section> <section>
Acceso ás comunicacións
Calqueira co equipamento apropiado poderá acceder ao intercambio de información da rede, polo que as redes WiFi son inherentemente inseguras. Podemos recurrir ao cifrado para garantizar certo grao de privacidade.
</section> <section>
Inxección de Tráfico e Acceso non Autorizado á Rede
Mediante inxección de paquetes na rede é posible modificar o comportamento da mesma e incluso establecer conexións non autorizadas, facilitando por exemplo os ataques MiM
</section>
</section>
<section>
Protección das Redes WiFi
Para protexer unha rede WiFi, é necesario protexer:
- Os Puntos de acceso e controladores
- Os Clientes : Smartphones, ordenadores... etc.
</section>
<section>
Seguridade nos Puntos de Acceso
</section>
<section>
Cifrado e Autenticación
O cifrado pretende protexer o acceso á información que circula pola rede WiFi
A autenticación pretende identificar e restrinxir o acceso a unha rede WiFi realizando comprobacións de identidade.
</section>
<section>
<section>
Sistemas de Cifrado
As redes WiFi abertas permiten o acceso universal á información que circula por elas, polo que se fai necesario o emprego dun sistema de cifrado. Os sistemas de cifrado máis importantes nas redes WiFi son:
- WEP
- WPA
- WPA2
</section>
<section>
WEP
Wired Equivalent Privacy. Este tipo de cifrado ten diversos erros na súa implementación, polo que é altamente inseguro. Emprega unha contrasinal para o cifrado, pero debido a debilidades na implementación é posible obtela rápidamente explorando o intercambio de tráfico. </section> <section>
WPA
WiFi Protected Access. Está deseñado para utilizar un servidor de autenticación 802.1x/EAP, típicamente Radius, aínda que tamén pode empregar chaves precompartidas (PSK).
Pode empregar TKIP (Temporal Key Integrity Protocol) que vai intercambiando aleatoriamente o uso de varias chaves, e utiliza chaves de maior lonxitude que WEP
</section>
<section>
WPA2
WiFi Protected Access 2. É a versión definitiva de WPA, e ten todas as características de esta.
Pode empregar AES (Advanced Encryption Standard) como algoritmo de cifrado, mais moderno e seguro
</section>
</section>
<section>
Ataques ás Redes Wifi
- TKIP é vulnerable á inxección de tráfico, tanto utilizando PSK como 802.1x/EAP
- AES é máis segura, pero é susceptible de ataques DoS, e de diccionario (so PSK), sobre todo co emprego de CUDA.
- WPS (WiFi Protected Setup) introduce varias vulnerabilidades que fan susceptibles de ataque tanto as redes WPA como WPA2 </section> <section>
- Forzar o uso de WPA2/AES ou WPA2-Enterprise (WPA2 con 802.1x/EAP, por exeplo Radius)
- Cambio dos contrasinais por defecto. Os routers das compañías telefónicas utilizan algoritmos de xeración de chaves EAP que poden ser coñecidos.
- Evitar o uso de WPS
- Utilizar algún sistema WIDS/WIPS (Wireless Intrusion Detection/Protection System).
- As redes ocultas non proporcionan seguridade e forzan aos clientes a difundir o nome da rede
- Controlar o alcance da rede WiFi
Recomendacións de Seguridade
</section>
<section>
Seguridade nos Clientes
</section>
<section>
Ataques Comúns
- Ataques ao Driver WiFi e ao Sistema
- Creación de Puntos de Acceso Falsos
- Ataques en Redes Públicas
</section>
<section>
Medidas de Seguridade
- Ter o Driver da tarxeta WiFi e o Sistema Operativo actualizados.
- Desconectar o interface WiFi cando non sexa utilizado
- Non ter no sistema redes ocultas, para evitar o seu anuncio e non facilitar a lista de puntos de acceso a que nos conectamos habitualmente
- Evitar o uso de Redes Públicas si é posible
- Si utilizamos unha Rede Pública, facer uso de unha VPN e de comunicacións SSL/TLS
</section>
<script src="lib/js/head.min.js"></script> <script src="js/reveal.min.js"></script>
<script>
// Full list of configuration options available here: // https://github.com/hakimel/reveal.js#configuration Reveal.initialize({ controls: true, progress: true, history: true, center: true,
theme: Reveal.getQueryHash().theme, // available themes are in /css/theme transition: Reveal.getQueryHash().transition || 'linear', // default/cube/page/concave/zoom/linear/fade/none
// Parallax scrolling // parallaxBackgroundImage: 'https://s3.amazonaws.com/hakim-static/reveal-js/reveal-parallax-1.jpg', // parallaxBackgroundSize: '2100px 900px',
// Optional libraries used to extend on reveal.js dependencies: [ { src: 'lib/js/classList.js', condition: function() { return !document.body.classList; } }, { src: 'plugin/markdown/marked.js', condition: function() { return !!document.querySelector( '[data-markdown]' ); } }, { src: 'plugin/markdown/markdown.js', condition: function() { return !!document.querySelector( '[data-markdown]' ); } }, { src: 'plugin/highlight/highlight.js', async: true, callback: function() { hljs.initHighlightingOnLoad(); } }, { src: 'plugin/zoom-js/zoom.js', async: true, condition: function() { return !!document.body.classList; } }, { src: 'plugin/notes/notes.js', async: true, condition: function() { return !!document.body.classList; } } ] });
</script> </body> </html>