lunes, 2 de octubre de 2006

Wi-Fi no significa WI-SEC

Seguridad en redes Wireless

La semana pasada hicimos un evento sobre seguridad WLan. En el tratamos sobre los diferentes tipos de redes WLAN, niveles de seguridad y aspectos de configuración.
Se ha hizo incapié en la nueva definición Wi-Fi. La misma NO significa Alta Fidelidad o Fidelidad inalámbrica, si no que es una marca registrada de Wi-FI Alliance, que certifica que los dispositivos de redes wireless soportan WPE, TKIP, WPA y WPA2.
Hoy en día es muy simple romper un cifrado WEP. Requiere de paciencia, ya que en el envío de los paquetes de TCP/IP viaja la semilla que se origina a través de la palabra compartida por ámbos dispositivos. Decimos que requiere paciencia, por que se requiere al menos 100.000 paquetes con el vector de inicialización para que las herramientas de "cracking" (por ejemplo el Aircrack) obtengan el hash.
Que sucede, WPA y WPA2 permiten configurar los dispositivos de manera segura, como por ejemplo TKIP, certificados digitales y servidores de RADIUS que validen al usuario.
Haciendo un análisis en la city (barrido con la portatil en la Ciudad de Córdoba) hemos detectado muchos dispositivos con caracteristicas de wi-fi que están mal configurados, ya que no están usando las caracteristicas de seguridad de los mismos, y los terminan configurando con WEP o WPA con PSK.
Dijimos que WEP es inseguro y más aún WPA con PSK (Pre.Shared.Key) ya que es más simple de violar que el WEP.
Los dispositivos que soporten Wi-Fi deben ser configurados con TKIP (esto permite usar WEP dinámico, cambia solo cada 10000 paquetes), Radius (Un servidor valida al usuario para que este ingrese a la red) o con certificados digitales (Usando AES y Certificados digitales, armamos una VPN entre los dispositivos WLAN).
A parte tengan en cuenta:
1) Desactivar el FRAME BEACON (este hace anuncio y permite que encuentren el dispositivo.
2) El nombre del SSID no debe identificar la empresa o a que se dedica.
3) Utilizar WPA2 como lo comentamos anteriormente.
4) Monitorear el acceso de los recursos.
5) Tratar de filtrar las MCAdress de las placa de red.
6) Tratar de no otorgar un IP dinámico.

Bueno gente, esta son algunas de las recomendaciones. Configurar seguro un dispositivo es muy simple.

Quique Dutra

No hay comentarios.: