Lista de Control de Acceso (Filtrado MAC)

La mayoría de 802,11 (Wi-Fi), los puntos de acceso permiten al administrador de la red para entrar en una lista de MAC (Media Access Control) se ocupa de que se les permite comunicarse en la red.

Esta funcionalidad, conocida como dirección MAC Filtrados permite al administrador de red para denegar el acceso a cualquier dirección MAC que no esté específicamente permitido en la red. Esto exige que cada nuevo dispositivo de la red tiene su dirección MAC, entró en la base de datos como un dispositivo autorizado.

Por otra parte, más 802,11 (Wi-Fi), tarjetas le permiten configurar la dirección MAC de la tarjeta en el software. Por lo tanto, si usted puede oler la dirección MAC de un nodo de red, es posible unirse a la red usando la dirección MAC de ese nodo.

Propósito de las ACL

Las ACL permiten un control del tráfico de red, a nivel de los routers. Pueden ser parte de una solución de seguridad (junton con otros componentes, como antivirus, anti-espías, firewall, proxy, etc.).

Puntos varios, que se deben recordar

• Una ACL es una lista de una o más instrucciones.
• Se asigna una lista a una o más interfaces.
• Cada instrucción permite o rechaza tráfico, usando uno o más de los siguientes criterios: el origen del tráfico; el destino del tráfico; el protocolo usado.
• El router analiza cada paquete, comparándolo con la ACL correspondiente.
• El router compara la ACL línea por línea. Si encuentra una coincidencia, toma la acción correspondiente (aceptar o rechazar), y ya no revisa los restantes renglones.
• Es por eso que hay que listar los comandos desde los casos más específicos, hasta los más generales. ¡Las excepciones tienen que estar antes de la regla general!
• Si no encuentra una coincidencia en ninguno de los renglones, rechaza automáticamente el tráfico. Consideren que hay un "deny any" implícito, al final de cada ACL.
• Cualquier línea agregada a una ACL se agrega al final. Para cualquier otro tipo de modificación, se tiene que borrar toda la lista y escribirla de nuevo. Se recomienda copiar al Bloc de Notas y editar allí.
• Las ACL estándar (1-99) sólo permiten controlar en base a la dirección de origen.
• Las ACL extendidas (100-199) permiten controlar el tráfico en base a la dirección de origen; la dirección de destino; y el protocolo utilizado.
• También podemos usar ACL nombradas en vez de usar un rango de números. El darles un nombre facilita entender la configuración (y por lo tanto, también facilita hacer correcciones). No trataré las listas nombradas en este resumen.
• Si consideramos sólo el tráfico de tipo TCP/IP, para cada interface puede haber sólo una ACL para tráfico entrante, y una ACL para tráfico saliente.
• Sugerencia para el examen: Se deben conocer los rangos de números de las ACL, incluso para protocolos que normalmente no nos interesan.

Acceso Wi-Fi Protegido (WPA)

Introducción a WPA

WPA (Wi-Fi Protected Access - 1995 - Acceso Protegido Wi-Fi) es un sistema para proteger las redes inalámbricas (Wi-Fi); creado para corregir las deficiencias del sistema previo WEP (Wired Equivalent Privacy - Privacidad Equivalente a Cableado). Los investigadores han encontrado varias debilidades en el algoritmo WEP (tales como la reutilización del vector de inicialización (IV), del cual se derivan ataques estadísticos que permiten recuperar la clave WEP, entre otros).

WPA implementa la mayoría del estándar IEEE 802.11i, y fue creado como una medida intermedia para ocupar el lugar de WEP mientras 802.11i era finalizado. WPA fue creado por "The Wi-Fi Alliance" (La Alianza Wi-Fi), ver http://www.wi-fi.org/.

WPA - Acceso inalámbrico protegido

WAP es una versión "liviana" del protocolo 802.11i que depende de protocolos de autenticación y de un algoritmo de cifrado cerrado: TKIP (Protocolo de integridad de clave temporal) El TKIP genera claves aleatorias y, para lograr mayor seguridad, puede alterar varias veces por segundo una clave de cifrado.
El funcionamiento de WPA se basa en la implementación de un servidor de autenticación (en general un servidor RADIUS) que identifica a los usuarios en una red y establece sus privilegios de acceso. No obstante, redes pequeñas pueden usar una versión más simple de WPA, llamada WPA-PSK, al implementar la misma clave de cifrado en todos los dispositivos, con lo cual ya no se necesita el servidor RADIUS.
El WPA (en su primera construcción) sólo admite redes en modo infraestructura, es decir que no se puede utilizar para asegurar redes punto a punto inalámbricas (modo "ad-hoc").

Seguridad, Ataques WPA TKIP

TKIP es vulnerable a un ataque de recuperación de keystream, esto es, sería posible reinyectar tráfico en una red que utilizara WPA TKIP. Esto es posible por diversas causas, algunas de ellas heredadas de WEP. Entre las causas, cabe destacar la evasión de las medidas anti reinyección de TKIP y se sigue una metolodogía similar a la utilizada en el popular ataque CHOP CHOP sobre el protocolo WEP. La evasión de protección anti reinyección de TKIP es posible debido a los diversos canales que se utilizan en el modo QoS especificado en el estándar 802.11ie, aunque también existe la posibilidad de aplicarlo en redes no QoS.

WPA2

Una vez finalizado el nuevo estándar 802.11i se crea el WPA2 basado en este. WPA se podría considerar de "migración”, mientras que WPA2 es la versión certificada del estándar de la IEEE.
El estándar 802.11i fue ratificado en Junio de 2004.

La alianza Wi-Fi llama a la versión de clave pre-compartida WPA-Personal y WPA2-Personal y a la versión con autenticación 802.1x/EAP como WPA-Enterprise y WPA2-Enterprise.

Los fabricantes comenzaron a producir la nueva generación de puntos de accesos apoyados en el protocolo WPA2 que utiliza el algoritmo de cifrado AES (Advanced Encryption Standard). Con este algoritmo será posible cumplir con los requerimientos de seguridad del gobierno de USA - FIPS140-2. "WPA2 está idealmente pensado para empresas tanto del sector privado cómo del público.

Los productos que son certificados para WPA2 le dan a los gerentes de TI la seguridad de que la tecnología cumple con estándares de interoperatividad" declaró Frank Hazlik Managing Director de la Wi-Fi Alliance. Si bien parte de las organizaciones estaban aguardando esta nueva generación de productos basados en AES es importante resaltar que los productos certificados para WPA siguen siendo seguros de acuerdo a lo establecido en el estándar 802.11i

Seguridad Ataques WPA2

Tanto la versión 1 de WPA, como la denominada versión 2 de WPA, se basan en la transmisión de las autenticaciones soportadas en el elemento de información correspondiente, en el caso de WPA 1, en el tag propietario de Microsoft, y en el caso de WPA2 en el tag estándar 802.11i RSN.

Durante el intercambio de información en el proceso de conexión RSN, si el cliente no soporta las autenticaciones que especifica el AP, será desconectado pudiendo sufrir de esta manera un ataque DoS especifíco a WPA.Además, también existe la posibilidad de capturar el 4way handshake que se intercambia durante el proceso de autenticación en una red con seguridad robusta.

Las claves PSK ( pre compartidas ) son vulnerables a ataques de diccionario ( no así las empresariales, ya que el servidor RADIUS generará de manera aletaoria dichas claves ), existen proyectos libres que utilizan GPUs con lenguajes específicos como CUDA para realizar ataques de fuerza bruta hasta 100 veces más rápido que con computadoras ordinarias.

Privacidad Equivalente al Cableado (WEP)

Definición

WEP significa Privacidad Equivalente a Cableado (Wired Equivalent Privacy). Esta herramienta de seguridad fue publicada por la IEEE en la norma 802.11 en septiembre de 1999 y permaneció intacta por varias revisiones de esta norma. Tal como lo indica su nombre, su objetivo es equiparar el nivel de seguridad de WLAN y LAN.

WEP es un protocolo de cifrado de trama de datos 802.11 que utiliza el algoritmo simétrico RC4 con claves de 64 bits o 128 bits.
El concepto de WEP consiste en establecer una clave secreta de 40 ó 128 bits con antelación. Esta clave debe declararse en cada tarjeta de la red inalámbrica, así como en el punto de acceso de un red en modo infraestructura. La clave se usa para crear un número que parece aleatorio y de la misma longitud que la trama de datos.

Funciones

WEP realiza dos funciones una es cifrado y la otra es autentificación.
Es un hecho conocido el que las transmisiones inalámbricas pueden ser captadas por terceros de forma pasiva. WEP hace que estas transmisiones no tengan sentido para otro que no sea el destinatario, puesto que los mensajes quedan escritos en clave, es decir cifrados.
El problema de que una máquina no deseada forme parte de la red, corresponde al problema de la autentificación. WEP da la opción de liberar el acceso a la red o de si lo restringe mediante el uso de una contraseña.

Vulnerabilidades

Cifrado

Las vulnerabilidades de WEP son variadas y se combinan de distintas formas permitiendo que la seguridad del punto de acceso sea burlada. La debilidad fundamental viene dada por el aprovechamiento del XOR usado en el cifrado. Esta debilidad se traduce en que capturando dos cifrados C1 y C2 y conociendo alguno de los textos planos P1, se puede obtener el texto plano P2 con una simple operación binaria. El texto de algunos mensajes puede ser predicho debido a que en la red hay muchos paquetes circulando que son redundantes. Además se necesita que los 64 bits (vector y clave) usados para el cifrado sean los mismos.
La forma en que WEP se protege de la forma de ataque mencionada es cambiando constantemente el vector de iniciación. Normalmente la forma en que cambia este vector es simplemente sumándole 1 cada vez que un nuevo paquete es transmitido. En si este no es un defecto muy grande, sino que el problema está en que luego de 2^24 el vector inevitablemente se va a repetir, dándose la condición que se desea para el ataque.
La forma común en que se consiguen estos textos conocidos es inyectando tráfico al punto de acceso, de manera que éste responda y se pueda conseguir la información necesaria para conseguir la clave y así descifrar los mensajes transmitidos en la red.

Clave de Acceso

La mayor velocidad a la que se trabaja actualmente, permite que la información sea tanta que tlizando técnica probabilisticas se consiga adivinar la clave de la red y poder acceder a la red de manera pirata. Esto se usa frecuentemente en la actualidad para utilizar Internet Wi-Fi ajeno.

Autentificación de los Mensajes

Otra debilidad que tiene WEP tiene que ver con que se pueden introducir mensajes con errores basándose en la linealidad de XOR y en conocimientos previos de los mensajes que se transmiten, incluso sin conocer la clave de red.

Contramedidas

Para tratar de hacer más segura una red que usa WEP se pueden tomar algunas medidas por parte de la administración. Una medida es colocar los accesos inalámbricos fuera del firewall institucional de modo que los accesos inalámbricos sean considerados como potencialmente riesgosos. Además se puede utilizar VPN (Virtual Private Network) que permite acceso a la red sólo a los clientes autorizados por el administrador y hace que la información transmitida por el aire posea doble encriptación (encriptación WEP y VPN) lo que hace que sea mucho menos exitoso un ataque pasivo y además impide que se pierda ancho de banda valioso por tener intrusos robando recursos de la red.
Otras medidas saludables tienen que ver con metodología para cambiar con frecuencia de uno o algunos pocos días, de modo que crackear la nueva clave diariamente resulte tedioso y desalentador.