www.cj-telecom.

com

Redes WiFi. Problemas y

Soluciones.

Carlos A. Pino Carbajal

carlospino@cj-telecom
www.cj-telecom.com
Gerente IT CJ Telecom
D-link Regional Trainer
Trujillo, Octubre 2009.

AGENDA
Usos de las Redes WiFi.
Problemas de Seguridad de las WiFi.
Tipos de Ataque WiFi.
Seguridad en la WiFi.
Demo WPA/WPA2-PSK. Passphrase Inseguro.
Cmo asegurar una WiFi?
802.1X.

Usos de las Redes Wi-Fi

Proporcionar Conectividad y Movilidad
Empresas
Campus Universitarios
Hospitales

Hot-Spots
Hoteles
Aeropuertos
Cibercafs

Redes Acceso Pblico

Municipios wireless
Transporte Pblico
Fonera

Juegos
Consolas

Seguridad en las WiFi

WiFi Abiertas. Seguridad 0.
Filtrado MAC / Ocultacin SSID
WEP (Wired Equivalent Privacy)
WPA/WPA2 (WiFi Protected Access)

Seguridad en las WiFi

WiFi Abiertas.
Sigue siendo relativamente factible realizar un escaneo en bsqueda de redes

inalmbricas accesibles y encontrar redes sin ningn tipo de seguridad aplicada,

aunque es cierto que cada vez es menor el nmero de usuarios que dejan
abiertas sus redes.

Configurar Filtrado de MAC o Ocultar el SSID. No es suficiente.

Con un Packet Sniffer (Commview) podemos capturar trfico y extraer la MAC de
clientes vlidos o el ESSID de la red, aunque est oculto.

Con A-MAC/Etherchange podemos hacer spoof de una MAC vlida.

Filtrado MAC
Caractersticas del Filtrado MAC

Permite controlar que usuarios pueden conectarse a la Red basndose en la

direccin MAC de la tarjeta cliente.

Raramente se utiliza como nico mecanismo de seguridad, ya que es fcilmente

hackeable utilizando aplicativos como A-MAC/Etherchange que permiten modificar

la MAC de nuestro cliente por una vlida.
Permite que el Usuario A se conecte a la red

Usuario A intenta
conectarse a la red

User A
MAC: AA

Usuario E intenta
conectarse a la red

User E
MAC: EE

El Usuario E no puede conectarse a la red

Lista de
direcciones MAC
permitidas
AA
BB
CC

El AP chequea si
la MAC del cliente
est en la lista
La direccin
MAC (AA) est
en la lista
La direccin
MAC (EE) no
est en la lista

Filtrado MAC

MAC Spoofing (EtherChange)

Ocultacin SSID
La ocultacin del SSID no garantiza que un atacante pueda detectar
la red y conectarse a ella, si no hemos aplicado ningn otro
mecanismo de seguridad.

Wired Equivalent Privacy (WEP)

Como funciona WEP
Usuario A y Usuario B quieren conectarse a la Red
Quiero
Quiero conectarme a
conectarme a la
Clave Compartida = abc
la Red
Red
Clave Compartida = abc
Clave Compartida = xyz
Usuario A
Enva Peticin de Asociacin

Punto de Acceso
configurado con WEP
Recibe la Peticin

Desafo

He recibido la Peticin,
Cul es la Clave?

Respuesta al Desafo

Desafo

Enva Peticin de Asociacin

Respuesta al Desafo
Key = xyz

Key = abc
Usuario A conectado a la Red!!!

Usuario B

Usuario A, Password correcto.

Usuario autenticado

Password correcto
Usuario B, Password incorrecto
Peticin Denegada

Password incorrecto

Peticin Denegada
Usuario B no conectado
a la Red!!!

Wired Equivalent Privacy (WEP)

Cmo crackear WEP
Basado en Algoritmo de Encriptacin (RC4) / Clave Secreta +IV (de 64 128bits)
Ataque mediante Airodump+Aireplay+AirCrack. Slo necesitamos capturar

suficientes paquetes (64 bits ~150.000 IVs / 128 bits ~500.000 IVs) y aplicar
Aircrack para crackear la clave WEP.

Wi-Fi Protected Access (WPA/WPA2)

Caractersticas de WPA/WPA2
Modo Personal (PSK) Protege la Red de accesos no autorizados utilizando un

Passphrase
Modo Enterprise (EAP) Autentica el acceso a la Red de los usuarios mediante
un servidor RADIUS
WPA2 es compatible con WPA, siendo posible comunicar dispositivos que utilicen
diferentes mtodos de autenticacin
WPA2 es similar a WPA, la principal diferencia es que WPA2 utiliza un sistema de
encriptacin ms avanzado
WPA

WPA2

Modo Enterprise (Gran

Empresa, Administracin,
Educacin,)

Autenticacin: IEEE
802.1X/EAP
Encriptacin: TKIP/MIC

Autenticacin: IEEE
802.1X/EAP
Encriptacin: AES-CCMP

Modo Personal (Pymes,

Casa,)

Autenticacin: PSK
Encriptacin: TKIP/MIC

Autenticacin: PSK
Encriptacin: AES-CCMP

Diferentes mtodos de
autenticacin para
diferentes entornos

Wi-Fi Protected Access (WPA/WPA2)

WPA/WPA2 proporciona un mtodo de autenticacin robusto utilizando
claves de encriptacin dinmicas por usuario, sesin y paquete de datos
La fiabilidad de este mtodo de autenticacin reside en la robustez de la
Passphrase que utilizemos, ya que existen mecanismos para capturar el
handshake y crakear la clave WPA si esta es sencilla.
Usuario enva informacin

Usuario
Clave Encriptada
Solicitud de Asociacin

Punto de Acceso
configurado con
WPA/WPA2

Clave Correcta!
Permite que el Usuario
se conecte a la red

Compare the encrypted key

El cliente se conecta a la Red con xito

Clave Correcta!
Datos Recibidos

Datos + Clave1
Compara la Clave Encriptada

Cada vez que el Usuario enva informacin al AP, los datos se cifrn con una clave dinmica

Es posible crakear WPA/WPA2-PSK?

Configuramos el Punto de Acceso
WPA2-PSK
Passphrase Inseguro = Barcelona

Configuramos el Cliente

Commview para WiFi

Commview para WiFi

Cain. 802.11 Captures.

Cain. Ataque Diccionario.

Commview para WiFi

Reconstruccin Sesin TCP

Reconstruccin Sesin TCP

Cmo asegurar una WiFi?

Pasos obligatorios
Modificar el SSID por defecto
Cambiar contrasea de Administracin del AP
Utilizar encriptacin WPA/WPA2-PSK (Passphrase Seguro) WPA/WPA2-EAP

Pasos opcionales

Ocultar SSID (deshabilitar el broadcast SSID)

Configurar Filtrado MAC
Cambiar las claves de forma regular
Configurar mximo nmero de usuarios que queremos que se conecten al AP
Desactivar DHCP
Configurar Wireless LAN Scheduler / Apagar el AP cuando no se utilice
Configurar lista de Rogue APs
Control de Potencia para cubrir exclusivamente el rea que deseamos

Cmo elegir un Passphrase Seguro?

http://www.microsoft.com/protect/yourself/password/checker.mspx

802.1X
Protocolo 802.1X
El protocolo 802.1X es un estndar de control de

acceso desarrollado por el IEEE que permite usar

diferente mecanismos de autenticacin (EAP-PEAP/EAPTLS/EAP-TTLS/EAP-SIM/).

Usuario

Supplicant

Se basa en el concepto de puerto, visto ste como el

punto a travs del que se puede acceder a un servicio

proporcionado por un dispositivo (en nuestro caso, un
Punto de Acceso).

Authenticator
Punto Acceso

Antes de que el cliente sea autenticado slo se deja

pasar trfico EAPOL (Extensible Authentication Protocol

over LAN). Una vez el cliente se valida se permite el
trfico normal.

Servidor RADIUS

Autenticacin 802.1X
Supplicant

Authenticator

RADIUS Server
(Authentication
Server)

(Punto de Acceso)
Usuario

EAPOL-Start
1
2
3
4
5

EAP-Request/Identity
EAP-Response/Identity

RADIUS Access-Request

EAP-Request/OTP

RADIUS Access-Challenge

EAP-Response/OTP

RADIUS Access-Request

EAP-Success

RADIUS Access-Accept
Port Authorized

EAPOL-Logoff

RADIUS Account-Stop
RADIUS Ack

Port Unauthorized

* OTP (One-Time-Password)

Remote Auth. Dial-In User Server

(RADIUS)
Caractersticas de un Servidor RADIUS
Protocolo de Autenticacin / Autorizacin / Accounting (AAA) de usuarios de remotos
de forma centralizada
El Servidor RADIUS almacena los datos de autenticacin de los usuarios/clientes de
forma local o en una BBDD externa
RADIUS accounting permite registrar eventos utilizados con fines estadsticos y para
monitorizacin en general de la red.

Beneficios de RADIUS
RADIUS proporciona gestin la autenticacin de forma centralizada

(usuarios/passwords)
Incrementa de forma significativa la seguridad en el acceso a la red. Cuando un
usuario intenta conectarse a un Punto de Acceso (cliente RADIUS), ste enva la
informacin de autenticacin del usuario al Servidor RADIUS, parando todo tipo de
trfico hasta que el usuario es validado. La comunicacin entre el Punto de Acceso y
el Servidor de RADIUS est encriptada mediante una clave Shared Secret.

PEAP Mschap v2

2. AP solo permite conexiones

seguras (802.1x), responde con
un desafo y configura un canal
restringido para que el cliente se
comunique solamente con el
RADIUS server

1. Intento de conexin a la
WLAN (comprobacin del SSID y
credenciales)

1. Conexin del Cliente

2. Autenticacin del Cliente

Autenticacin de Servidor

Intercambio de claves
Distribucin de claves
Autorizacin

4. Cifrado de WLAN (wep, wpa)

4. El punto de acceso une la
conexin de la WLAN del
cliente a la LAN interna, lo que
posibilita que el cliente se
comunique con total libertad con
los sistemas de la red interna

5.

5. En caso de que el cliente

necesitara una direccin IP,
podra solicitar el alquiler de un
protocolo de configuracin
dinmica de host (DHCP) de un
Servidor de la LAN.

3.

3. RADIUS comprueba
credenciales de cliente, en
relacin con el directorio,
comprueba si el cliente cuenta
con los permisos de acceso de
acuerdo al directorio y a las
directivas de acceso remoto
3. Si cliente logra el acceso,
RADIUS transmitir la clave
maestra del cliente al punto de
acceso inalmbrico

2. AP solo permite conexiones seguras

(802.1x), responde con un desafo y
configura un canal restringido para que el
cliente se comunique solamente con el
RADIUS server

EAP-TLS
1. El cliente inalmbrico debe
establecer credenciales con el
servicio de autenticacin antes de
que se establezca el acceso a la
red inalmbrica. Obtendr el
certificado a travs de disco
flexible o por red cableada.

2. El cliente intenta realizar la

autenticacin con el servidor RADIUS a
travs del canal restringido por medio de
802.1X.
1. Inscripcin de Certificados
2. Solicitud de Autenticacin

2. Identificacin del cliente

del cliente

4. Intercambio de claves
3. Autorizacin
5. Cifrado WEP/WPA

4. RADIUS transmitir la clave maestra

del cliente al punto de acceso
inalmbrico. Con ello, el cliente y el punto
de acceso comparten informacin de clave
comn que pueden utilizar para cifrar y
descifrar el trfico de WLAN que se
desplaza entre ellos.
5. El punto de acceso une la conexin
de la WLAN del cliente a la LAN
interna, lo que posibilita que el cliente se
comunique con total libertad con los
sistemas de la red interna

6.

3. RADIUS comprueba credenciales de

cliente, en relacin con el directorio,
comprueba si el cliente cuenta con los
permisos de acceso de acuerdo al
directorio y a las directivas de acceso
remoto, seguidamente, el servidor
RADIUS transmite la decisin al punto de
acceso.
6. En caso de que el cliente
necesitara una direccin IP,
podra solicitar el alquiler de un
protocolo de configuracin
dinmica de host (DHCP) de un
Servidor de la LAN.

Configuracin cliente WPA2-EAP

Configuracin cliente WPA2-EAP

Instalacin Certificado Servidor

Gracias!