Professional Documents
Culture Documents
com
AGENDA
Usos de las Redes WiFi.
Problemas de Seguridad de las WiFi.
Tipos de Ataque WiFi.
Seguridad en la WiFi.
Demo WPA/WPA2-PSK. Passphrase Inseguro.
Cmo asegurar una WiFi?
802.1X.
Hot-Spots
Hoteles
Aeropuertos
Cibercafs
Juegos
Consolas
Filtrado MAC
Caractersticas del Filtrado MAC
Usuario A intenta
conectarse a la red
User A
MAC: AA
Usuario E intenta
conectarse a la red
User E
MAC: EE
Lista de
direcciones MAC
permitidas
AA
BB
CC
El AP chequea si
la MAC del cliente
est en la lista
La direccin
MAC (AA) est
en la lista
La direccin
MAC (EE) no
est en la lista
Filtrado MAC
Ocultacin SSID
La ocultacin del SSID no garantiza que un atacante pueda detectar
la red y conectarse a ella, si no hemos aplicado ningn otro
mecanismo de seguridad.
Punto de Acceso
configurado con WEP
Recibe la Peticin
Desafo
He recibido la Peticin,
Cul es la Clave?
Respuesta al Desafo
Desafo
Respuesta al Desafo
Key = xyz
Key = abc
Usuario A conectado a la Red!!!
Usuario B
Password correcto
Usuario B, Password incorrecto
Peticin Denegada
Password incorrecto
Peticin Denegada
Usuario B no conectado
a la Red!!!
suficientes paquetes (64 bits ~150.000 IVs / 128 bits ~500.000 IVs) y aplicar
Aircrack para crackear la clave WEP.
Passphrase
Modo Enterprise (EAP) Autentica el acceso a la Red de los usuarios mediante
un servidor RADIUS
WPA2 es compatible con WPA, siendo posible comunicar dispositivos que utilicen
diferentes mtodos de autenticacin
WPA2 es similar a WPA, la principal diferencia es que WPA2 utiliza un sistema de
encriptacin ms avanzado
WPA
WPA2
Autenticacin: IEEE
802.1X/EAP
Encriptacin: TKIP/MIC
Autenticacin: IEEE
802.1X/EAP
Encriptacin: AES-CCMP
Autenticacin: PSK
Encriptacin: TKIP/MIC
Autenticacin: PSK
Encriptacin: AES-CCMP
Diferentes mtodos de
autenticacin para
diferentes entornos
Usuario
Clave Encriptada
Solicitud de Asociacin
Punto de Acceso
configurado con
WPA/WPA2
Clave Correcta!
Permite que el Usuario
se conecte a la red
Datos + Clave1
Compara la Clave Encriptada
Cada vez que el Usuario enva informacin al AP, los datos se cifrn con una clave dinmica
Configuramos el Cliente
Pasos opcionales
802.1X
Protocolo 802.1X
El protocolo 802.1X es un estndar de control de
Usuario
Supplicant
Authenticator
Punto Acceso
Servidor RADIUS
Autenticacin 802.1X
Supplicant
Authenticator
RADIUS Server
(Authentication
Server)
(Punto de Acceso)
Usuario
EAPOL-Start
1
2
3
4
5
EAP-Request/Identity
EAP-Response/Identity
RADIUS Access-Request
EAP-Request/OTP
RADIUS Access-Challenge
EAP-Response/OTP
RADIUS Access-Request
EAP-Success
RADIUS Access-Accept
Port Authorized
EAPOL-Logoff
RADIUS Account-Stop
RADIUS Ack
Port Unauthorized
* OTP (One-Time-Password)
Beneficios de RADIUS
RADIUS proporciona gestin la autenticacin de forma centralizada
(usuarios/passwords)
Incrementa de forma significativa la seguridad en el acceso a la red. Cuando un
usuario intenta conectarse a un Punto de Acceso (cliente RADIUS), ste enva la
informacin de autenticacin del usuario al Servidor RADIUS, parando todo tipo de
trfico hasta que el usuario es validado. La comunicacin entre el Punto de Acceso y
el Servidor de RADIUS est encriptada mediante una clave Shared Secret.
PEAP Mschap v2
1. Intento de conexin a la
WLAN (comprobacin del SSID y
credenciales)
Autenticacin de Servidor
Intercambio de claves
Distribucin de claves
Autorizacin
5.
3.
3. RADIUS comprueba
credenciales de cliente, en
relacin con el directorio,
comprueba si el cliente cuenta
con los permisos de acceso de
acuerdo al directorio y a las
directivas de acceso remoto
3. Si cliente logra el acceso,
RADIUS transmitir la clave
maestra del cliente al punto de
acceso inalmbrico
EAP-TLS
1. El cliente inalmbrico debe
establecer credenciales con el
servicio de autenticacin antes de
que se establezca el acceso a la
red inalmbrica. Obtendr el
certificado a travs de disco
flexible o por red cableada.
del cliente
4. Intercambio de claves
3. Autorizacin
5. Cifrado WEP/WPA
6.
Gracias!