Seguridade en Redes WiFi: Diferenzas entre revisións
Sen resumo de edición |
|||
(Non se amosan 9 revisións do historial feitas polo mesmo usuario.) | |||
Liña 4: | Liña 4: | ||
Para evitar o acceso indiscriminado ás redes WiFi se recurre ao cifrado e a autenticación. Ataques típicos sobre redes WiFi son: |
Para evitar o acceso indiscriminado ás redes WiFi se recurre ao cifrado e a autenticación. Ataques típicos sobre redes WiFi son: |
||
;Ataques Dos: Son os máis difíciles de evitar, xa que basta con xerar interferencias para interrumpir a conexión WiFi. Este tipo de ataques son máis problemáticos en entornos críticos, como hospitais ou entornos de monitorización, polo que o seu uso nestes entornos está desaconsellado. |
;Ataques Dos: Son os máis difíciles de evitar, xa que basta con xerar interferencias para interrumpir a conexión WiFi. Este tipo de ataques son máis problemáticos en entornos críticos, como hospitais ou entornos de monitorización, polo que o seu uso nestes entornos está desaconsellado. |
||
;Acceso ás comunicacións: Nas redes WiFi e difícil asegurar a privacidade pola súa natureza de rede de difusión. Calqueira co equipamento propiado poderá acceder ao intercambio de información da rede, polo que as redes WiFi son inherentemente inseguras. Podemos recurrir ao cifrado para garantizar certo grao de privacidade. |
|||
;Acceso ás comunicacións: |
|||
;Inxección de Tráfico e Acceso non Autorizado á Rede: Mediante inxección de paquetes na rede é posible modificar o comportamento da mesma e incluso establecer conexións non autorizadas, facilitando por exemplo os ataques ''MiM''. Un equipo unha vez conectado a rede pode levar a cabo todo tipo de ataques como envenenamento ARP. |
|||
<p>Calqueira co equipamento apropiado poderá acceder ao intercambio de información da rede, polo que as redes WiFi son inherentemente inseguras. Podemos recurrir ao cifrado para garantizar certo grao de privacidade.</p> |
|||
</section> |
|||
<section> |
|||
<h2>Inxección de Tráfico e Acceso non Autorizado á Rede</h2> |
|||
<p>Mediante inxección de paquetes na rede é posible modificar o comportamento da mesma e incluso establecer conexións non autorizadas, facilitando por exemplo os ataques <b>MiM</b></p> |
|||
</section> |
|||
</section> |
|||
Para unha correcta protección das redes WiFi será necesario protexer tanto os clientes como os puntos de acceso, sendo estes últimos de importancia crítica. |
|||
<!-- Example of nested vertical slides --> |
|||
<section> |
|||
<h2>Protección das Redes WiFi</h2> |
|||
<p> |
|||
Para protexer unha rede WiFi, é necesario protexer: |
|||
<ul> |
|||
<li>Os Puntos de acceso e controladores</li> |
|||
<li>Os Clientes : Smartphones, ordenadores... etc. |
|||
</ul> |
|||
</p> |
|||
</section> |
|||
<section> |
|||
<h2>Seguridade nos Puntos de Acceso</h2> |
|||
</section> |
|||
<section> |
|||
<h2>Cifrado e Autenticación</h2> |
|||
<p> |
|||
O <u><b>cifrado</b></u> pretende protexer o acceso á información que circula pola rede WiFi |
|||
</p> |
|||
<p> |
|||
A <u><b>autenticación</b></u> pretende identificar e restrinxir o acceso a unha rede WiFi realizando comprobacións de identidade. |
|||
</p> |
|||
</section> |
|||
=Seguridade nos Puntos de Acceso= |
|||
<section> |
|||
Nas redes WiFi abertas, calqueira co equipamento axeitado pode formar parte da rede, e polo tanto realizar todo tipo de ataaques (DoS, MiM, envenenamento ARP e DNS ...). Polo tanto, nos puntos de acceso é moi importante o sistema de cifrado e o sistema de autenticación. |
|||
<section> |
|||
<h2>Sistemas de Cifrado</h2> |
|||
<p> |
|||
As redes WiFi abertas permiten o acceso universal á información que circula por elas, polo que se fai necesario o emprego dun sistema de cifrado. Os sistemas de cifrado máis importantes nas redes WiFi son: |
|||
<ul> |
|||
<li>WEP</li> |
|||
<li>WPA</li> |
|||
<li>WPA2</li> |
|||
<ul> |
|||
</p> |
|||
</section> |
|||
<section> |
|||
<h2>WEP</h2> |
|||
<p><i>Wired Equivalent Privacy</i>. Este tipo de cifrado ten diversos erros na súa implementación, polo que é altamente inseguro. Emprega unha contrasinal para o cifrado, pero debido a debilidades na implementación é posible obtela rápidamente explorando o intercambio de tráfico. |
|||
</section> |
|||
<section> |
|||
<h2>WPA</h2> |
|||
<p><i>WiFi Protected Access</i>. Está deseñado para utilizar un servidor de autenticación <b>802.1x/EAP</b>, típicamente <b>Radius</b>, aínda que tamén pode empregar chaves precompartidas (<b>PSK</b>).</p> |
|||
<p>Pode empregar <b>TKIP (<i>Temporal Key Integrity Protocol</i>)</b> que vai intercambiando aleatoriamente o uso de varias chaves, e utiliza chaves de maior lonxitude que WEP</p> |
|||
</section> |
|||
<section> |
|||
<h2>WPA2</h2> |
|||
<p><i>WiFi Protected Access 2</i>. É a versión definitiva de WPA, e ten todas as características de esta.</p> |
|||
<p>Pode empregar <b>AES (<i>Advanced Encryption Standard</i>)</b> como algoritmo de cifrado, mais moderno e seguro</p> |
|||
</section> |
|||
</section> |
|||
O '''cifrado''''pretende protexer o acceso á información que circula pola rede WiFi. |
|||
<section> |
|||
A '''autenticación''' pretende identificar e restrinxir o acceso a unha rede WiFi realizando comprobacións de identidade. |
|||
<h2>Ataques ás Redes Wifi</h2> |
|||
<ul> |
|||
<li><b>TKIP</b> é vulnerable á inxección de tráfico, tanto utilizando PSK como 802.1x/EAP</li> |
|||
<li><b>AES</b> é máis segura, pero é susceptible de ataques DoS, e de diccionario (so PSK), sobre todo co emprego de CUDA.</li> |
|||
<li><b>WPS (<i>WiFi Protected Setup</i>)</b> introduce varias vulnerabilidades que fan susceptibles de ataque tanto as redes WPA como WPA2</li> |
|||
</section> |
|||
==Sistemas de Cifrado== |
|||
<section> |
|||
Existen básicamente dous tipos de sistemas de cifrado e dous tipos de autenticación, aínda que hoxe en día a elección lóxica está únicamente no sistema de autenticación. |
|||
<h2>Recomendacións de Seguridade</h2> |
|||
<ul> |
|||
<li>Forzar o uso de WPA2/AES ou WPA2-Enterprise (WPA2 con 802.1x/EAP, por exeplo <i>Radius</i>)</li> |
|||
<li>Cambio dos contrasinais por defecto. Os routers das compañías telefónicas utilizan algoritmos de xeración de chaves EAP que poden ser coñecidos.</li> |
|||
<li>Evitar o uso de <i>WPS</i></li> |
|||
<li>Utilizar algún sistema WIDS/WIPS (<i>Wireless Intrusion Detection/Protection System</i>). |
|||
<li>As redes ocultas non proporcionan seguridade e forzan aos clientes a difundir o nome da rede</li> |
|||
<li>Controlar o alcance da rede WiFi</li> |
|||
</ul> |
|||
</section> |
|||
===WEP ''(Wired Equivalent Privacy)''=== |
|||
<section> |
|||
O cifrado WEP emprega o algoritmo de cifrado '''RC4''' cunha contrasinal como método de autenticación (o que esté en posesión do contrasinal, ten autorización de acceso). Na implementación do algorimto ''RC4'' se cometeron diversos erros, polo que é altamente inseguro. Mediante a exploración do tráfico de rede ([[wikipedia:WarDriving|WarDriving]]) é posible obter o contrasinal de acceso. |
|||
<h2>Seguridade nos Clientes</h2> |
|||
{{boxinfo|Nunca se debe empregar cifrado WEP para protexer unha rede WiFi}} |
|||
</section> |
|||
===WPA ''(WiFi Protected Access)''=== |
|||
Está deseñado para utilizar un servidor de autenticación [[wikipedia:Extensible_Authentication_Protocol|802.1x/EAP]], típicamente [[wikipedia:RADIUS|Radius]], aínda que tamén pode empregar chaves precompartidas ('''PSK''') de maior lonxitude que as empregadas por ''WEP''. O sistema que emprega ''EAP'' se denomina '''WPA Enterprise''', mentras que o que emprega ''PSK'' se denomina '''WPA Personal'''. |
|||
<section> |
|||
<h2>Ataques Comúns</h2> |
|||
<ul> |
|||
<li>Ataques ao Driver WiFi e ao Sistema</li> |
|||
<li>Creación de Puntos de Acceso Falsos</li> |
|||
<li>Ataques en Redes Públicas</li> |
|||
</ul> |
|||
</section> |
|||
''WPA'' é un protocolo de transición, que rematou no máis moderno e aconsellado ''WPA2''. |
|||
<section> |
|||
<h2>Medidas de Seguridade</h2> |
|||
<ul> |
|||
<li>Ter o Driver da tarxeta WiFi e o Sistema Operativo actualizados.</li> |
|||
<li>Desconectar o interface WiFi cando non sexa utilizado</li> |
|||
<li>Non ter no sistema redes ocultas, para evitar o seu anuncio e non facilitar a lista de puntos de acceso a que nos conectamos habitualmente</li> |
|||
<li>Evitar o uso de Redes Públicas si é posible</li> |
|||
<li>Si utilizamos unha Rede Pública, facer uso de unha VPN e de comunicacións SSL/TLS</li> |
|||
</ul> |
|||
</section> |
|||
</div> |
|||
</div> |
|||
''WPA'' pode empregar o algoritmo '''TKIP''' ''(Temporal Key Integrity Protocol)'', que consiste no intercambio aleatorio entre o uso de varias chaves, dificultando os ataques as contrasinais, aínda que a implementación ten algúns defectos que o fan vulnerable. |
|||
<script src="lib/js/head.min.js"></script> |
|||
<script src="js/reveal.min.js"></script> |
|||
===WPA2 ''(WiFi Protected Access 2)''=== |
|||
<script> |
|||
É a versión definitiva de WPA, e ten todas as características de ésta. Implementa un novo algoritmo denominado '''AES''' ''(Advanced Encryption Standard)'' moito máis seguro que os existentes ata o momento. A versión con PSK (AES ou TKIP) se denomina '''WPA2 Personal''' e a versión empregando ''EAP'' '''WPA2 Enterprise'''. |
|||
=== Configuración de WPA2 Enterprise. Servidor Radius === |
|||
// Full list of configuration options available here: |
|||
** Autenticacion e Autorizacion |
|||
// https://github.com/hakimel/reveal.js#configuration |
|||
** Configuración |
|||
Reveal.initialize({ |
|||
** Configuración de Puntos de Acceso |
|||
controls: true, |
|||
*** Punto de acceso con hostapd |
|||
progress: true, |
|||
history: true, |
|||
center: true, |
|||
==Ataques ás Redes Wifi== |
|||
theme: Reveal.getQueryHash().theme, // available themes are in /css/theme |
|||
Os ataques ás redes WiFi, dependen do sistema de cifrado que utilice a rede. Cada sistema ten as súas propias debilidades: |
|||
transition: Reveal.getQueryHash().transition || 'linear', // default/cube/page/concave/zoom/linear/fade/none |
|||
*As redes abertas son altamente inseguras. Todo o mundo poderá examinar o noso tráfico e estaremos expostos a suplantacións de DNS, envenenamentos de ARP... etc. |
|||
// Parallax scrolling |
|||
*'''WEP''' é completamente insegura, xa que en poucos minutos é posible obter a chave de acceso. |
|||
// parallaxBackgroundImage: 'https://s3.amazonaws.com/hakim-static/reveal-js/reveal-parallax-1.jpg', |
|||
*'''TKIP''' é vulnerable á inxección de tráfico, tanto utilizando PSK como 802.1x/EAP. |
|||
// parallaxBackgroundSize: '2100px 900px', |
|||
*'''AES''' é máis segura, pero é susceptible de ataques DoS, e de diccionario (so PSK), sobre todo co emprego de [[wikipedia:CUDA|CUDA]]. |
|||
*O uso de '''WPS''' ''(WiFi Protected Setup)'' introduce varias vulnerabilidades que fan susceptibles de ataque tanto as redes ''WPA'' como ''WPA2''. |
|||
===Recomendacións de Seguridade=== |
|||
// Optional libraries used to extend on reveal.js |
|||
Para ter un mínimo de seguridade nunha rede WiFi é prudente seguir algunhas recomendacións: |
|||
dependencies: [ |
|||
{ src: 'lib/js/classList.js', condition: function() { return !document.body.classList; } }, |
|||
{ src: 'plugin/markdown/marked.js', condition: function() { return !!document.querySelector( '[data-markdown]' ); } }, |
|||
{ src: 'plugin/markdown/markdown.js', condition: function() { return !!document.querySelector( '[data-markdown]' ); } }, |
|||
{ src: 'plugin/highlight/highlight.js', async: true, callback: function() { hljs.initHighlightingOnLoad(); } }, |
|||
{ src: 'plugin/zoom-js/zoom.js', async: true, condition: function() { return !!document.body.classList; } }, |
|||
{ src: 'plugin/notes/notes.js', async: true, condition: function() { return !!document.body.classList; } } |
|||
] |
|||
}); |
|||
*Forzar o uso de '''WPA2/AES''' ou '''WPA2-Enterprise'''. En entornos empresariais é altamente aconsellable o uso de WPA2-Enterprise pola sua maior seguridade e posibilidades de control de acceso que ofrece. |
|||
</script> |
|||
*Cambio dos contrasinais por defecto. Os routers das compañías telefónicas utilizan algoritmos de xeración de chaves que moitas veces son de dominio público, ou que poden ser coñecidos, polo que é fácil descubrir a chave correspondente ao noso router. |
|||
</body> |
|||
*Evitar o uso de '''WPS''' |
|||
</html> |
|||
*Evitar o uso de ESSID ocultos. As redes ocultas non proporcionan seguridade e forzan aos clientes a difundir o nome da rede, o que pode facelos vulnerables a puntos de acceso falsos. |
|||
*Utilizar algún sistema '''WIDS/WIPS''' ''(Wireless Intrusion Detection/Protection System)''. |
|||
*Controlar o alcance da rede WiFi |
|||
=Seguridade nos Clientes= |
|||
Normalmente os clientes levan sempre encendido o interface WiFi, o que fai o equipo vulnerable a diversos tipos de ataque. Os máis habituais son: |
|||
;Ataques ao Driver WiFi e ao Sistema: E posible aproveitar fallas do driver WiFi e/ou do sistema operativo mediante paquetes WiFi especialmente preparados, polo que é necesario ter sempre actualizado, tanto o driver como o sistema. |
|||
;Creación de Puntos de Acceso Falsos: Os clientes gardan normalmente unha lista das redes ás que se conectan habitualmente. O sistema cando detecta unha de estas redes conectará o equipo de xeito automático. Si por algún medio é posible saber o nome das redes as que se conecta un equipo, se pode preparar un punto de acceso falso que o cliente tomará como unha rede habitual, e dende ahí lanzar ataques máis efectivos. Si o noso sistema se conecta a redes ocultas, emitirá o nome da rede oculta á que se desexa conectar, co que a vulnerabilidade e moito maior. |
|||
;Ataques en Redes Públicas: As redes WiFi públicas son altamente inseguras, xa que calqueira pode formar parte de elas. De particular peligro son os suplantamentos de DNS. Se poden paliar en parte os problemas mediante o uso de '''VPN''' ou de túneis '''SSH/SSL'''. |
|||
==Medidas de Seguridade== |
|||
Os clientes WiFi deberían tomar as seguintes medidas mínimas de seguridade: |
|||
*Ter o Driver da tarxeta WiFi e o Sistema Operativo actualizados. |
|||
*Desconectar o interface WiFi cando non sexa utilizado. |
|||
*Non ter no sistema redes ocultas, para evitar o seu anuncio e non facilitar a lista de puntos de acceso a que nos conectamos habitualmente. |
|||
*Evitar o uso de Redes Públicas si é posible. |
|||
*Si utilizamos unha Rede Pública, facer uso dunha '''VPN'' ou de comunicacións ''SSL/TLS''. |
|||
==Presentacion== |
|||
[http://slides.iesrodeira.com/redeswifi.html Podes ver a presentación de este tema] |
Revisión actual feita o 27 de xaneiro de 2017 ás 07:33
Introducción
As redes WiFi utilizan radiofrecuencia, polo que calqueira pode ter acceso ás comunicacións que se producen na mesma interceptando a información ou interferindo no funcionamento normal da rede. Ademáis, o alcance das redes WiFi non é definido, xa que co equipamento axeitado é posible acceder a redes que aparentemente non son alcanzables.
Para evitar o acceso indiscriminado ás redes WiFi se recurre ao cifrado e a autenticación. Ataques típicos sobre redes WiFi son:
- Ataques Dos
- Son os máis difíciles de evitar, xa que basta con xerar interferencias para interrumpir a conexión WiFi. Este tipo de ataques son máis problemáticos en entornos críticos, como hospitais ou entornos de monitorización, polo que o seu uso nestes entornos está desaconsellado.
- Acceso ás comunicacións
- Nas redes WiFi e difícil asegurar a privacidade pola súa natureza de rede de difusión. Calqueira co equipamento propiado poderá acceder ao intercambio de información da rede, polo que as redes WiFi son inherentemente inseguras. Podemos recurrir ao cifrado para garantizar certo grao de privacidade.
- Inxección de Tráfico e Acceso non Autorizado á Rede
- Mediante inxección de paquetes na rede é posible modificar o comportamento da mesma e incluso establecer conexións non autorizadas, facilitando por exemplo os ataques MiM. Un equipo unha vez conectado a rede pode levar a cabo todo tipo de ataques como envenenamento ARP.
Para unha correcta protección das redes WiFi será necesario protexer tanto os clientes como os puntos de acceso, sendo estes últimos de importancia crítica.
Seguridade nos Puntos de Acceso
Nas redes WiFi abertas, calqueira co equipamento axeitado pode formar parte da rede, e polo tanto realizar todo tipo de ataaques (DoS, MiM, envenenamento ARP e DNS ...). Polo tanto, nos puntos de acceso é moi importante o sistema de cifrado e o sistema de autenticación.
O cifrado'pretende protexer o acceso á información que circula pola rede WiFi. A autenticación pretende identificar e restrinxir o acceso a unha rede WiFi realizando comprobacións de identidade.
Sistemas de Cifrado
Existen básicamente dous tipos de sistemas de cifrado e dous tipos de autenticación, aínda que hoxe en día a elección lóxica está únicamente no sistema de autenticación.
WEP (Wired Equivalent Privacy)
O cifrado WEP emprega o algoritmo de cifrado RC4 cunha contrasinal como método de autenticación (o que esté en posesión do contrasinal, ten autorización de acceso). Na implementación do algorimto RC4 se cometeron diversos erros, polo que é altamente inseguro. Mediante a exploración do tráfico de rede (WarDriving) é posible obter o contrasinal de acceso.
WPA (WiFi Protected Access)
Está deseñado para utilizar un servidor de autenticación 802.1x/EAP, típicamente Radius, aínda que tamén pode empregar chaves precompartidas (PSK) de maior lonxitude que as empregadas por WEP. O sistema que emprega EAP se denomina WPA Enterprise, mentras que o que emprega PSK se denomina WPA Personal.
WPA é un protocolo de transición, que rematou no máis moderno e aconsellado WPA2.
WPA pode empregar o algoritmo TKIP (Temporal Key Integrity Protocol), que consiste no intercambio aleatorio entre o uso de varias chaves, dificultando os ataques as contrasinais, aínda que a implementación ten algúns defectos que o fan vulnerable.
WPA2 (WiFi Protected Access 2)
É a versión definitiva de WPA, e ten todas as características de ésta. Implementa un novo algoritmo denominado AES (Advanced Encryption Standard) moito máis seguro que os existentes ata o momento. A versión con PSK (AES ou TKIP) se denomina WPA2 Personal e a versión empregando EAP WPA2 Enterprise.
Configuración de WPA2 Enterprise. Servidor Radius
- Autenticacion e Autorizacion
- Configuración
- Configuración de Puntos de Acceso
- Punto de acceso con hostapd
Ataques ás Redes Wifi
Os ataques ás redes WiFi, dependen do sistema de cifrado que utilice a rede. Cada sistema ten as súas propias debilidades:
- As redes abertas son altamente inseguras. Todo o mundo poderá examinar o noso tráfico e estaremos expostos a suplantacións de DNS, envenenamentos de ARP... etc.
- WEP é completamente insegura, xa que en poucos minutos é posible obter a chave de acceso.
- TKIP é vulnerable á inxección de tráfico, tanto utilizando PSK como 802.1x/EAP.
- AES é máis segura, pero é susceptible de ataques DoS, e de diccionario (so PSK), sobre todo co emprego de CUDA.
- O uso de WPS (WiFi Protected Setup) introduce varias vulnerabilidades que fan susceptibles de ataque tanto as redes WPA como WPA2.
Recomendacións de Seguridade
Para ter un mínimo de seguridade nunha rede WiFi é prudente seguir algunhas recomendacións:
- Forzar o uso de WPA2/AES ou WPA2-Enterprise. En entornos empresariais é altamente aconsellable o uso de WPA2-Enterprise pola sua maior seguridade e posibilidades de control de acceso que ofrece.
- Cambio dos contrasinais por defecto. Os routers das compañías telefónicas utilizan algoritmos de xeración de chaves que moitas veces son de dominio público, ou que poden ser coñecidos, polo que é fácil descubrir a chave correspondente ao noso router.
- Evitar o uso de WPS
- Evitar o uso de ESSID ocultos. As redes ocultas non proporcionan seguridade e forzan aos clientes a difundir o nome da rede, o que pode facelos vulnerables a puntos de acceso falsos.
- Utilizar algún sistema WIDS/WIPS (Wireless Intrusion Detection/Protection System).
- Controlar o alcance da rede WiFi
Seguridade nos Clientes
Normalmente os clientes levan sempre encendido o interface WiFi, o que fai o equipo vulnerable a diversos tipos de ataque. Os máis habituais son:
- Ataques ao Driver WiFi e ao Sistema
- E posible aproveitar fallas do driver WiFi e/ou do sistema operativo mediante paquetes WiFi especialmente preparados, polo que é necesario ter sempre actualizado, tanto o driver como o sistema.
- Creación de Puntos de Acceso Falsos
- Os clientes gardan normalmente unha lista das redes ás que se conectan habitualmente. O sistema cando detecta unha de estas redes conectará o equipo de xeito automático. Si por algún medio é posible saber o nome das redes as que se conecta un equipo, se pode preparar un punto de acceso falso que o cliente tomará como unha rede habitual, e dende ahí lanzar ataques máis efectivos. Si o noso sistema se conecta a redes ocultas, emitirá o nome da rede oculta á que se desexa conectar, co que a vulnerabilidade e moito maior.
- Ataques en Redes Públicas
- As redes WiFi públicas son altamente inseguras, xa que calqueira pode formar parte de elas. De particular peligro son os suplantamentos de DNS. Se poden paliar en parte os problemas mediante o uso de VPN ou de túneis SSH/SSL.
Medidas de Seguridade
Os clientes WiFi deberían tomar as seguintes medidas mínimas de seguridade:
- Ter o Driver da tarxeta WiFi e o Sistema Operativo actualizados.
- Desconectar o interface WiFi cando non sexa utilizado.
- Non ter no sistema redes ocultas, para evitar o seu anuncio e non facilitar a lista de puntos de acceso a que nos conectamos habitualmente.
- Evitar o uso de Redes Públicas si é posible.
- Si utilizamos unha Rede Pública, facer uso dunha 'VPN ou de comunicacións SSL/TLS.