You are on page 1of 25

Servicio de Informtica de la UPCT

Despliegue de redes inalmbricas seguras sin necesidad de usar VPN

Elena Alcantud Prez. Josemaria Malgosa Sanahuja. Paco Sampalo Lainz.

Despliegue de redes inalmbricas seguras sin necesidad de usar VPN

Contenidos.
Servicio de Informtica de la UPCT

WEP. Wired Equivalent Privacy Mtodos EAP. EAP-TTLS. Caractersticas Arquitectura de acceso. Elementos de autenticacin. Estructuracin VLAN (802.1Q) Instalacin del servidor. Pasos en la autenticacin. Conclusiones
2

Despliegue de redes inalmbricas seguras sin necesidad de usar VPN

WEP. Wired Equivalent Privacy (I)


Servicio de Informtica de la UPCT
Estndar de encriptacin de flujo opcional implementado en la capa MAC soportada por la mayora de tarjetas de red y puntos de acceso. Encripta la trama 802.11 y su CRC antes de su transmisin empleando un flujo de cifrado RC4. La estacin transmisora emplear un VI diferente para cada trama para dotar de mayor robustez al sistema.
VI (24 bits) GNA 1 GNA 2 Clave 40 bits + Trama en claro
Despliegue de redes inalmbricas seguras sin necesidad de usar VPN

TRAMA CIFRADA

WEP. Wired Equivalent Privacy (II)


Servicio de Informtica de la UPCT

No proporciona ningn mecanismo de intercambio de claves entre estaciones.


Los administradores del sistema y los usuarios emplean normalmente la misma clave durante semanas.

Capturas en red.
Usuarios dentro de la red pueden capturar trfico.

Sniffing.
Usuarios externos pueden capturar trfico cifrado y descifrarlo con herramientas adecuadas.

Despliegue de redes inalmbricas seguras sin necesidad de usar VPN

Alternativas WEP.
Servicio de Informtica de la UPCT

Propuestas de soluciones sobre el WEP actual:


Cifrar la informacin en los niveles superiores (Ipsec, ssh, scp, etc.). Cambiar las claves WEP de cada usuario frecuentemente.

EAP.
Protocolo de autenticacin extensible. IEEE Abril de 2001. Elimina los problemas producidos por el empleo de WEP, ya que las claves cambian en cada sesin. A travs de un servidor RADIUS tambin permite autenticar a los clientes.

Despliegue de redes inalmbricas seguras sin necesidad de usar VPN

Mtodos EAP.
Servicio de Informtica de la UPCT
Mtodo de autenticacin bsico. EAP-MD5. No es apropiado all donde se requiere una seguridad robusta. Transport Layer Security EAP-TLS. Autenticacin muy segura. Reemplaza simples claves por certificados para el cliente y el servidor. Tunneled Transport Layer Security. Extensin de TLS. EAP-TTLS. Desarrollada para sobreponerse a la desventaja en cuanto a la necesidad de poseer un certificado por cliente. Protected Extensible Authentication Protocol. EAP-PEAP. Soporta mtodos EAP a travs del tnel, pero a diferencia de TTLS, no soporta otros mtodos para la negociacin de la autenticacin del cliente. Light Extensible Authentication Protocol. EAP-LEAP. Autenticacin mutua, distribucin de clave de sesin segura y dinmica para cada usuario. Vulnerable ante ataques de diccionario. EAP-SIM Subscriber Identity Module y Authentication and Key EAP-AKA. Agreement Despliegue de redes inalmbricas seguras sin necesidad de usar VPN Se emplean en redes celulares.

EAP-TTLS. Caractersticas de la estructura.


Servicio de Informtica de la UPCT
Las credenciales no son observables en el canal de comunicacin entre el nodo cliente y el proveedor de servicio.
Proteccin contra ataques de diccionario y suplantaciones. Generacin de claves compartidas de sesin entre cliente y servidor Radius, tras la negociacin TLS. El servidor distribuye las claves al punto de acceso para continuar el servicio. Opcionalmente, los cambios de clave dinmicos son configurables en el punto de acceso. Transparencia ante el usuario. Relaciones de seguridad entre dispositivos. Usuario registrado en base de datos, directorio o archivo de usuarios. Punto de acceso y servidor Radius comparten clave de encriptacin (shared secret). Servidor Radius debe realizar consultas a la base de datos empleando un usuario definido para tal objetivo.

Despliegue de redes inalmbricas seguras sin necesidad de usar VPN

EAP-TTLS. Fases.
Servicio de Informtica de la UPCT

A) ESTABLECIMIENTO:

El servidor se autentica ante el cliente.(Incluye su clave pblica). El cliente establece el tnel encriptado con la clave del servidor.

Despliegue de redes inalmbricas seguras sin necesidad de usar VPN

EAP-TTLS. Fases.
Servicio de Informtica de la UPCT

B) TNEL:

Utiliza la capa segura creada en la fase 1 para el intercambio de informacin en la autenticacin del cliente. (login/password)

Despliegue de redes inalmbricas seguras sin necesidad de usar VPN

Consideraciones EAP-TTLS.
Servicio de Informtica de la UPCT
ANONIMATO Y PRIVACIDAD. No transmite el nombre de usuario en claro en la primera peticin de identidad. CONFIANZA EN EL SERVIDOR EAP-TTLS. Mtodos de autenticacin con passwords no susceptibles a ataques de diccionario. COMPROMISO DEL CERTIFICADO DEL SERVIDOR EAP-TTLS. Empleo de mtodos de revocacin de certificados para evitarlo. NEGOCIACIN Y ENCRIPTACIN DEL ENLACE. Negociacin segura de la Cipher suite de datos (sistema de cifrado de la comunicacin) LISTADO DE LAS PREFERENCIAS DEL CIFRADO DE DATOS. Cliente selecciona la del servidor como su primera opcin y la del punto de acceso. Maximizar grado de seguridad.

Despliegue de redes inalmbricas seguras sin necesidad de usar VPN

10

Arquitectura de acceso.
Servicio de Informtica de la UPCT

FIREWALL + NAT + DHCP alumnos PUNTOS DE ACCESO FTP + DHCP nativa CLIENTES DMZ RADIUS PIX LDAP UPCT inicio internos internos

Despliegue de redes inalmbricas seguras sin necesidad de usar VPN

11

Elementos de autenticacin.
Servicio de Informtica de la UPCT
En el proceso de autenticacin participan el servidor Radius, el directorio LDAP y el cliente.
Servidor Radius Freeradius. Software licencia libre. Gestiona el acceso a la red segn el tipo de usuario. Directorio LDAP de Novell. No necesita extensiones para este tipo de consultas. Cliente SecureW2. Cliente EAP-TTLS de licencia libre para Windows XP/2000. Gestiona los certificados y credenciales. (Existen clientes Linux)

El punto de acceso acta de forma transparente en este proceso. SERVIDOR SERVIDOR PUNTO
CLIENTE ACCESO Tnel seguro para autenticacin Tnel seguro para datos
Despliegue de redes inalmbricas seguras sin necesidad de usar VPN

TTLS AAA

AAA/H

RADIUS

LDAP

12

Estructuracin VLAN (802.1Q)


Servicio de Informtica de la UPCT
Se han definido tres VLANs para el servicio inalmbrico mapeadas con los diferentes SSID ( nombre de la red inalmbrica):
SSID inicio VLAN privada con nico permiso de acceso al servidor FTP para descarga del cliente. cliente SSID alumnos VLAN con direccionamiento privado mediante DHCP accediendo a la red externa a travs de un Firewall haciendo NAT. SSID interna VLAN con direcccionamiento pblico para la red interna de la UPCT.

Adems se defini la VLAN nativa o troncal. troncal Mediante atributos del servidor RADIUS se garantiza que cada perfil de usuario pueda acceder nicamente a la VLAN que le corresponda. Configuracin 802.1Q trunking en puntos de acceso Cisco.

Despliegue de redes inalmbricas seguras sin necesidad de usar VPN

13

Instalacin del servidor.


Servicio de Informtica de la UPCT
HARDWARE
Intel Pentium Xeon 3GHz-2Gb RAM-Disco SCSI (RAID1)-Fuente alimentacin redundante. Puede instalarse en cualquier ordenador con S.O. Linux (SuSe 9.0).

SOFTWARE
Instalacin de servidor Radius Freeradius-1.0.1. Cdigo licencia Freeradius-1.0.1 libre.
Instalacin previa de rpm: Openssl, ldap, krb5, gdbm, sasl(lib), pam(lib), iodbc, mysql, postgresql y unixodbc.

Instalacin de Openssl 0.9.7. ( versin posterior):


Creacin de claves privadas y certificados para servidor y root . Generar archivo dh (Diffie-Hellman) para encriptacin.

Generacin arbitraria de archivo random para creacin de claves. Necesitamos archivo de extensiones OID.

Despliegue de redes inalmbricas seguras sin necesidad de usar VPN

14

Instalacin del servidor. Configuracin.


Servicio de Informtica de la UPCT
MDULO EAP-TLS/TTLS
Configuracin de la ubicacin de certificados

Despliegue de redes inalmbricas seguras sin necesidad de usar VPN

15

Instalacin del servidor. Configuracin.


Servicio de Informtica de la UPCT
MDULO LDAP Habilita la consulta al directorio mediante un usuario definido. Configura filtro y atributos a chequear.

Despliegue de redes inalmbricas seguras sin necesidad de usar VPN

16

Instalacin del servidor. Configuracin.


Servicio de Informtica de la UPCT

Fragmento del archivo relacionado con usuarios LDAP.


Despliegue de redes inalmbricas seguras sin necesidad de usar VPN

17

Pasos en la autenticacin. (I)


Servicio de Informtica de la UPCT
credenciales El cliente detecta la red y se abre la ventana de credenciales.
Clientes de la UPCT: autenticacin realizada por LDAP DNI + Contrasea.

Introduccin de credenciales por el cliente.


Despliegue de redes inalmbricas seguras sin necesidad de usar VPN

18

Pasos en la autenticacin. (II)


Servicio de Informtica de la UPCT

Mediante usuario annimo se gestiona la instalacin de certificado

Certificados del servidor a la espera de ser aceptados.


Despliegue de redes inalmbricas seguras sin necesidad de usar VPN

19

Pasos en la autenticacin. (III)


Servicio de Informtica de la UPCT
Usuario instala o acepta temporalmente los certificados. certificados

Certificados instalados.
Despliegue de redes inalmbricas seguras sin necesidad de usar VPN

20

Pasos en la autenticacin. (IV)


Servicio de Informtica de la UPCT
El servidor consulta al LDAP el acceso del cliente a la red.

Consulta del servidor.


Despliegue de redes inalmbricas seguras sin necesidad de usar VPN

21

Pasos en la autenticacin. (V)


Servicio de Informtica de la UPCT
Servidor RADIUS reenva la respuesta. respuesta

Envo de respuesta y claves al punto de acceso


Despliegue de redes inalmbricas seguras sin necesidad de usar VPN

22

Pasos en la autenticacin. (VI)


Servicio de Informtica de la UPCT
Las claves compartidas se depositan en el punto de acceso.

Autenticacin satisfactoria y entrada en red.


Despliegue de redes inalmbricas seguras sin necesidad de usar VPN

23

Conclusiones.
Servicio de Informtica de la UPCT
Sistema inalmbrico seguro:
Comunicaciones cifradas y fiables. Autenticacin robusta de usuarios.

Requisitos:
Adaptacin a la infraestructura de la UPCT ( VLANs). Software en desarrollo y con licencia libre. Gran flexibilidad y posibilidad de aplicar extensiones. Sencillez para los usuarios. Limitacin de uso slo para comunidad UPCT.

Despliegue de redes inalmbricas seguras sin necesidad de usar VPN

24

Ruegos y preguntas.
Servicio de Informtica de la UPCT
Despliegue de redes inalmbricas seguras sin necesidad de usar VPN

25

You might also like