Giga. No. 4, 2008 - Editorial Universitaria

More documents

Recommendations

Info

34 Mecanismos de seguridad Existen varios mecanismos creados para ofrecer seguridad a estas redes. Entre los más conocidos se ubican los protocolos de encriptación de datos WEP y el WPA para los estándares 802.11, que se encargan de codificar la información transmitida para proteger su confidencialidad. Dichos estándares son proporcionados por los propios dispositivos inalámbricos. Actualmente existe el protocolo de seguridad llamado WPA2 (802.11i), que es una mejora relativa a WPA y el mejor protocolo de seguridad para 802.11 hasta el momento. En cuanto a seguridad para 802.16 (WiMax), hasta ahora contempla el 3DES (Triple Data Encription Standard), pero se prevé que se incorpore AES (Advanced Encryption Standard) cuando se comercialice a gran escala. WEP WEP (Wired Equivalent Privacy) fue concebido como sistema de cifrado para el estándar 802.11. Proporciona cifrado a nivel 2 y se basa en el algoritmo de cifrado RC4. Utiliza claves de 64 bits (40 bits más 24 bits del vector de inicialización IV) o de 128 bits (104 bits más 24 bits del IV). El problema principal con la implementación de este algoritmo es el tamaño de los vectores de inicialización. A pesar de que se pueden generar muchos vectores, la cantidad de tramas que pasan a través de un punto de acceso es muy grande, lo que hace que rápidamente se encuentren dos mensajes con el mismo vector de inicialización, y por tanto, sea fácil determinar la clave. Aumentar los tamaños de las claves de cifrado sólo amplía el tiempo necesario para romperlo. Para penetrar una red se suele utilizar los llamados Packet Sniffers y los WEP Crackers. El procedimiento consiste en capturar la cantidad de paquetes necesaria (dependerá del número de bits de cifrado) mediante la utilización de un Packet Sniffers y luego por un WEP cracker o key cracker se trata de "romper" el cifrado de la red. Un key cracker es un programa que utiliza métodos de ingeniería inversa para procesar los paquetes capturados y descifrar la clave WEP. WPA y WPA2 WPA (Wi-Fi Protected Access-Acceso [GiGA 4 / <strong>2008</strong>] enredados Protegido Wi-Fi) es un sistema para proteger las redes inalámbricas 802.11, creado para corregir las deficiencias del sistema previo WEP. Fue diseñado para utilizar un servidor de autenticación (normalmente un RADIUS), que distribuye claves diferentes a cada usuario (mediante el protocolo 802.1x); sin embargo, también se puede usar en un modo menos seguro de clave precompartida (PSK - Pre-Shared Key) para usuarios de casa o pequeña oficina. La información se cifra utilizando el algoritmo RC4 (debido a que WPA no elimina el proceso de cifrado WEP, sólo lo fortalece), con una clave de 128 bits y un vector de inicialización de 48 bits. Una de las mejoras sobre WEP, es la implementación del Protocolo de Integridad de Clave Temporal (TKIP - Temporal Key Integrity Protocol), que cambia dinámicamente claves a medida que el sistema se utiliza. Cuando esto se combina con un vector de inicialización (IV) mucho más grande, evita los ataques de recuperación de clave vistos anteriormente, a los que es susceptible WEP. Adicional a la autenticación y cifrado, WPA también mejora la integridad de la información cifrada. El chequeo de redundancia cíclica (CRC - Cyclic Redundancy Check) utilizado en WEP es inseguro, ya que es posible alterar la información y actualizar el CRC del mensaje sin conocer la clave WEP. WPA implementa un código de integridad del mensaje (MIC - Message Integrity Code), también conocido como "Michael". Además, WPA incluye protección contra ataques de "repetición" (replay attacks) porque incluye un contador de tramas. El estándar 802.11i, también conocido como WPA2, surge como una versión mejorada de WPA, que emplea el estándar AES (Advanced Encryption Standard) de cifrado por bloques, en lugar del RC4 usado por WPA y WEP. Adicionalmente, WPA2 utiliza al igual que su predecesor, el estándar 802.1x para autenticación. Las armas del atacante A pesar de la opinión de muchos expertos en seguridad, la cantidad de redes totalmente abiertas es increíble, y "totalmente abiertas" se refiere que no utilizan siquiera el protocolo WEP, ni filtros MAC, ni un ESSID cerrado, así como tampoco filtros de protocolos y probablemente tienen una interfaz de gestión del punto de acceso a la que se puede acceder desde la red inalámbrica. Entre los principales motivos de tal situación están la ignorancia y la pereza de usuarios y administradores de redes. Un atacante ante estas redes, sólo tiene tres preocupaciones básicas: la Accesibilidad física a la red, la Conectividad con Internet y la posibilidad (rara) de encontrar trampas señuelos (conocidos como potes de miel o honeypot). Accesibilidad física: Primer problema de un atacante: cómo entrar a una red totalmente abierta si sólo se puede poner debajo de la fachada de la oficina. La solución es bien simple: una antena de alta ganancia. Éstas suelen parecerse a soportes para anuncios y no es nada sospechoso. Incluso si fuera una antena parabólica direccional y el atacante se hace pasar por un estudiante o un ingeniero que busca soluciones a un enlace, nadie lo notaría. Conectividad: Este problema puede evitarse de varias formas. Primeramente mirando el tráfico DHCP en busca de una puerta de enlace o gateway. Existen diversas herramientas que puede solucionar este problema casi de forma automática. Trampas o señuelos: Esta es la parte difícil y requiere de las habilidades del atacante y de su experiencia para saber si "su fruta" está "envenenada". Suponiendo que la red cuente con un poco más de seguridad implementada, el atacante deberá considerar estrategias más agresivas, algunas de las cuales se relacionan a continuación. Violación de ESSID cerrados: Incluso cuando un ESSID (valor del identificador de la red que es necesario conocer de antemano para asociarse a ésta) ha sido declarado como cerrado o no-público, es posible obtener su valor, pues no todas las tramas de administración se deshacen de este indicador, por ejemplo, las tramas de reautenticación y reasociación contienen siempre dicho valor ESSID. Violación de protección mediante Filtrado de Direcciones MAC: Muchos piensan que este método es infalible, pero basta "escuchar" las direcciones MAC durante algún tiempo, esperar que un host se desconecte de la red y asumir su identidad, incluso es posible asumir la identidad MAC de un host víctima mientras está en la
ed (piggybacking) aunque para ello el atacante deba cancelar sus solicitudes ARP para no levantar sospechas. Violación de Filtrado de Protocolo: Esta regla de seguridad es más difícil de violar, generalmente los ataques de este tipo están orientados al protocolo seguro permitido (casi nunca tan seguro como se dice). Por desgracia de los administradores y para bien de los atacantes, muy pocos dispositivos implementan filtrados de protocolos potentes y los que lo hacen tienen elevados costos. Violación del Protocolo WEP: Es el más antiguo para la seguridad de las redes inalámbricas y aún altamente utilizado como mecanismo de seguridad primario. Contra este protocolo se pueden realizar ataques de fuerza bruta, de FMS o ataques FMS mejorados, todos encaminados a violentar el algoritmo RC4 para obtener la clave WEP. Asegurando la red inálambrica Luego de haber llegado aquí y de observar brevemente algunas de las muchas formas en que puede ser violada una red inalámbrica casi seguro Usted desistió de utilizar esta tecnología. Pero no se adelante, las redes inalámbricas sí pueden ser bastante seguras. Toda red puede ser violada, es cierto, pero la seguridad no se basa en la impenetrabilidad, sino en lograr que el punto de ruptura se alcance por muy pocas personas en el mundo, si existe alguna. A continuación se habla de algunos de los principios generales que pueden ser aplicados para elevar el nivel defensi- enredados vo a casi cualquier tipo de red inalámbrica. La clave del éxito: crear una política de seguridad inalámbrica Lo primero para la implementación de una red inalámbrica es desarrollar una adecuada política de acceso. Una red será tan segura como lo sea su miembro más vulnerable, es decir, cada equipo debe ser capaz de soportar la variante de seguridad que usted elija. Si se emplean filtros MAC, la base de datos con todos los clientes MAC debe ser actualizada y verificada a intervalos. O sea, debe llevarse la red a un estado de igualdad que garantice el mismo nivel de seguridad en todas las estaciones. Los usuarios, como principal elemento en la política de seguridad, deben ser educados y formar parte proactiva de dicha seguridad, de forma que ante hechos como por ejemplo la pérdida de un equipo, lo reporten para que se tomen las medidas de exclusión de la red de dicho equipo. Estos deben poseer una adecuada seguridad física que imposibilite su hurto o daño. Los custodios deberán informar sobre cualquier equipo inalámbrico que aparezca y genere una amenaza potencial de ataque. Deben utilizarse potencias adecuadas de transmisión para evitar la radiación a áreas donde no se requiera el uso de la red inalámbrica. La utilización de varios puntos de acceso incrementa el riesgo del ataque tipo "man-in-the-middle" (hombre en el medio). Para evitarlo deben utilizarse diferentes dominios para la red cableada. Si por necesidad varios puntos de acceso estuviesen conectados a un mismo switch, deberán emplearse VLANs y colocar en una misma VLAN todos los puntos de acceso si es posible. Los identificadores de red ESSIDs no deberán aportar ninguna información que revele el más mínimo detalle sobre la red. Los protocolos de seguridad utilizados, si son propietarios como alguna mejora del WEP por ejemplo, deben ser certificados por auditores de seguridad externos. Debe garantizarse una adecuada política de selección de contraseñas y evitarse a toda costa el uso de protocolos no necesarios, así como el empleo de recursos compartidos. La red inalámbrica debe ser monitorizada y comparada contra un comportamiento habitual. Las desviaciones de este comportamiento han de estar documentadas. El despliegue de detectores de intrusos ser realizado, así como el análisis de las alarmas que éstos puedan generar. Claro, no puede faltar en la política la existencia de un equipo de respuestas a las incidencias que esté familiarizado con las regulaciones locales para el manejo de las evidencias. Redes VPN en las capas altas de la red inálambrica Al hacer un análisis del propio nombre VPN (Virtual Private Network) se obtienen tres elementos que de por sí definen su función. El primero Virtual, indica la coexistencia pacífica de dos redes mutuamente excluyen- [GiGA 4 / <strong>2008</strong>] 35
Page 3 and 4: GiGA No. 4 / 2008 Editor Jefe: Lic.
Page 5 and 6: sumario Informática 2009 Un nuevo
Page 7 and 8: Desarrollo de Kaspersky Lab. En est
Page 9 and 10: Electronic Numerical Integrator and
Page 11 and 12: concedió Eckert en 1989 sobre el t
Page 14 and 15: as memorias USB no suelen tener dem
Page 16 and 17: 14 En el número anterior de esta p
Page 18 and 19: 16 CountClipboardFormat Retorna el
Page 21 and 22: A diferencia de lo ocurrido en año
Page 23 and 24: En el directorio sistema del disco
Page 25 and 26: Con el auxilio de Regedit se puede
Page 27 and 28: lizar, pues deberá ser utilizado e
Page 29 and 30: Fig. 6. Cálculos estadísticos con
Page 31 and 32: La tecnología aplicada al ajedrez
Page 33 and 34: Anthony Miles), aunque su rating de
Page 35: Figura 1. Recientemente fue creado
Page 39 and 40: Atajos de teclado para Internet Exp
Page 41 and 42: zos y fuerza brutal creado con téc
Page 43 and 44: de las partidas y luego se colocaba
Page 45 and 46: MSc. Vilma González Pérez vilma@s
Page 47 and 48: Lic. Alexey Caraballo Quevedo, Lic.
Page 49 and 50: D.I. Vianys Zamora Pimentel vianys@
Page 51 and 52: La segunda variante es la exposici
Page 53 and 54: superar las limitaciones del GIF. U
Page 55 and 56: LE HACE MAL A LA COMPUTADORA TENER
Page 57 and 58: estudio constante y de compartir es
Page 59 and 60: John William Mauchly J ohn William
Page 61 and 62: Doble clicK En el cine: batalla leg
Page 63 and 64: Luxology anuncia ImageSynth 2 L uxo
Page 65 and 66: Propiedades del Modem : control mod
Page 67 and 68: ponible para QoS. Estas afirmacione
Page 69 and 70: Un elefante es un ratón con un sis
Page 71: La Corporación Copextel convoca a

Giga. No. 4, 2008 - Editorial Universitaria

Create successful ePaper yourself

Delete template?

Save as template?