Seguridad de una LAN Inalámbrica

Se describen las amenazas para las LAN inalámbricas (tipos de ataques). También se describe los mecanismos de seguridad de una LAN inalámbrica (autenticación y cifrado).

1. Amenazas de WLAN

Las dificultades para mantener segura una red conectada por cable se multiplican con una red inalámbrica. La seguridad debe ser una prioridad para cualquiera que utilice o administre redes.

Una WLAN está abierta a cualquier persona dentro del alcance de un AP con las credenciales correspondientes para asociarse a él. Con una NIC inalámbrica y conocimientos de técnicas de decodificación, un atacante no tendrá que entrar físicamente al espacio de trabajo para obtener acceso a una WLAN.

Las personas ajenas a la empresa, los empleados insatisfechos e incluso otros empleados, involuntariamente, pueden generar los ataques. Las redes inalámbricas son específicamente vulnerables a varias amenazas, incluido lo siguiente:

• Intrusos inalámbricos
• Aplicaciones no autorizadas
• Intercepción de datos
• Ataques DoS

1.1. Ataque de DoS

Los ataques DoS inalámbricos pueden ser el resultado de lo siguiente:

• Dispositivos mal configurados: los errores de configuración pueden deshabilitar la WLAN. Por ejemplo, un administrador puede modificar accidentalmente una configuración y deshabilitar la red, o un intruso con privilegios de administrador puede deshabilitar una WLAN intencionalmente.
• Un usuario malintencionado interfiere en la comunicación inalámbrica intencionalmente: su objetivo es deshabilitar la red inalámbrica por completo o a tal punto que ningún dispositivo legítimo pueda acceder al medio.
• Interferencia accidental: las WLAN operan en las bandas de frecuencia sin licencia y, por lo tanto, todas las redes inalámbricas, independientemente de las características de seguridad, pueden sufrir la interferencia de otros dispositivos inalámbricos.

La interferencia accidental puede provenir de dispositivos como los hornos de microondas, los teléfonos inalámbricos, los monitores para bebés, entre otros. La banda de 2,4 GHz es más proclive a la interferencia que la banda de 5 GHz.

Para minimizar el riesgo de un ataque DoS debido a dispositivos mal configurados o ataques malintencionados, proteja todos los dispositivos y las contraseñas, cree copias de seguridad y asegúrese de que todos los cambios de configuración se incorporen fuera del horario de operación.

La interferencia accidental solo ocurre cuando se agrega otro dispositivo inalámbrico.

La mejor solución consiste en controlar la WLAN para detectar cualquier problema de interferencia y abordarlo cuando aparezca. Debido a que la banda de 2,4 GHz es más proclive a la interferencia, la banda de 5 GHz se podría usar en áreas con tendencia a la interferencia.

En la ilustración, se muestra cómo un teléfono inalámbrico o incluso un horno de microondas pueden interferir con la comunicación WLAN.

1.2. Ataques DoS a las tramas de administración

Si bien es poco probable, un usuario malintencionado podría iniciar intencionalmente un ataque DoS mediante bloqueadores de RF que producen interferencia accidental.

Es más probable que intenten manipular las tramas de administración para consumir los recursos del AP y mantener los canales demasiado ocupados como para admitir el tráfico de usuarios legítimos.

Las tramas de administración se pueden manipular para crear varios tipos de ataque DoS. Los dos tipos de ataques comunes a las tramas de administración incluyen lo siguiente:

• Un ataque de desconexión suplantada: esto ocurre cuando un atacante envía una serie de comandos de “desasociación” a los clientes inalámbricos dentro de un BSS.

Estos comandos hacen que todos los clientes se desconecten. Al desconectarse, los clientes inalámbricos inmediatamente intentan volver a asociarse, lo que crea un estallido de tráfico. El atacante continúa enviando tramas de desasociación, y el ciclo se repite.

• Una saturación con CTS: esto ocurre cuando un atacante aprovecha el método de contienda CSMA/CA para monopolizar el ancho de banda y denegar el acceso de todos los demás clientes inalámbricos al AP. Para lograr esto, el atacante satura repetidamente el BSS con tramas de Listo para enviar (CTS) a una STA falsa. Todos los demás clientes inalámbricos que comparten el medio de RF reciben las CTS y retienen sus transmisiones hasta que el atacante deja de transmitir las tramas CTS.

En la Imagen 3, se muestra cómo un cliente inalámbrico y un AP usan CSMA/CA normalmente para acceder al medio.

En la Imagen 4, se muestra cómo un atacante satura con CTS al enviar este tipo de tramas a un cliente inalámbrico falso.

Todos los demás clientes ahora deben esperar la duración especificada en la trama CTS. Sin embargo, el atacante continúa enviando tramas CTS; por lo tanto, los demás clientes esperan indefinidamente. El atacante ahora controla el medio.

1.2.1. Soluciones

Para mitigar muchos de estos ataques, Cisco desarrolló una variedad de soluciones, incluida la característica de protección de tramas de administración (MFP) de Cisco, que también proporciona protección proactiva y completa contra la suplantación de tramas y dispositivos.

El comité del IEEE 802.11 también lanzó dos estándares en relación con la seguridad inalámbrica.

• El estándar 802.11i, que se basa en la característica MFP de Cisco, especifica los mecanismos de seguridad para las redes inalámbricas.
• El estándar de protección de tramas de administración 802.11w aborda el problema de la manipulación de estas tramas.

1.3. Puntos de acceso no autorizados

Un AP no autorizado es un AP o un router inalámbrico que:

• Se conectó a una red empresarial sin autorización explícita o en contra de la política de la empresa.

Cualquier persona con acceso a las instalaciones puede instalar (malintencionadamente o no) un router inalámbrico económico que puede permitir el acceso a los recursos de red protegidos.

• Un atacante lo conectó o habilitó para capturar datos de clientes, como las direcciones MAC de los clientes (inalámbricos y cableados), o para capturar y camuflar paquetes de datos, obtener acceso a los recursos de la red o iniciar un ataque man-in-the-middle (intermediario).

Para evitar la instalación de AP no autorizados, las organizaciones deben usar software de supervisión para supervisar activamente el espectro de radio en busca de AP no autorizados. En el ejemplo de la captura de pantalla del software de administración de redes Cisco Prime Infrastructure de la ilustración, se muestra un mapa de RF en el que se identifica la ubicación de un intruso con una dirección MAC suplantada.

1.4. Ataque man-in-the-middle

Uno de los ataques más sofisticados que un usuario malintencionado puede usar se denomina “ataque man-in-the-middle” (MITM, intermediario). Existen varias maneras de crear un ataque MITM.

Un popular ataque MITM inalámbrico se denomina “ataque con AP de red intrusa“, en el que un atacante introduce un AP no autorizado y lo configura con el mismo SSID que el de un AP legítimo. Las ubicaciones que ofrecen Wi-Fi gratuito, como los aeropuertos, los cafés y los restaurantes, son focos para este tipo de ataque, debido a la autenticación abierta.

• Los clientes que se conectan a una red inalámbrica verían dos AP que ofrecen acceso inalámbrico.
• Aquellos que están cerca del AP no autorizado detectan la señal más intensa y es más probable que se asocien a este AP de red intrusa.
• El tráfico de usuarios ahora se envía al AP no autorizado, que a su vez captura los datos y los reenvía al AP legítimo.
• El tráfico de retorno del AP legítimo se envía al AP no autorizado, se captura y se reenvía a la STA desprevenida.
• El atacante puede robar la contraseña del usuario y su información personal, obtener acceso a la red y comprometer el sistema del usuario.

Por ejemplo, en la Imagen 6 (Gif), un usuario malintencionado está en la Cafetería de Juan y desea capturar el tráfico de los clientes inalámbricos desprevenidos. El atacante lanza un software que le permite a su computadora portátil convertirse en un AP de red intrusa con el mismo SSID y el mismo canal que el router inalámbrico legítimo.

Un usuario ve dos conexiones inalámbricas disponibles, pero elige el AP no autorizado y se asocia a este. El atacante captura los datos del usuario y los reenvía al AP legítimo, que a su vez dirige el tráfico de retorno al AP de red intrusa. El AP de red intrusa captura el tráfico de retorno y reenvía la información al usuario desprevenido.

1.4.1. Lidiando un ataque MITM

Vencer un ataque MITM depende de la sofisticación de la infraestructura WLAN y la vigilancia de la actividad de monitoreo de red. El proceso comienza con la identificación de los dispositivos legítimos en la WLAN.

Para hacer esto, se deben autenticar los usuarios. Una vez que se conocen todos los dispositivos legítimos, se puede monitorear la red para detectar los dispositivos o el tráfico anormales.

Las WLAN de empresas que utilizan dispositivos WLAN de tecnología avanzada proveen herramientas a los administradores que trabajan juntas como un sistema de prevención de intrusión inalámbrica (IPS).

Estas herramientas incluyen escáneres que identifican las redes ad hoc y los AP no autorizados, así como la administración de recursos de radio (RRM), que controla la banda de RF para vigilar la actividad y la carga de AP. Un AP que está más ocupado de lo normal advierte al administrador sobre posible tráfico no autorizado.

2. Protección de WLAN

Sin medidas de seguridad estrictas, instalar una WLAN equivale a colocar puertos Ethernet en todas partes, incluso en exteriores.

Para abordar las amenazas relacionadas con mantener alejados a los intrusos inalámbricos y proteger los datos, en un principio se usaron dos características de seguridad:

1. Ocultamiento del SSID: los AP y algunos routers inalámbricos permiten que se deshabilite la trama de señal del SSID. Los clientes inalámbricos deben identificar manualmente el SSID para conectarse a la red.
2. Filtrado de direcciones MAC: un administrador puede permitir o denegar el acceso inalámbrico a los clientes de forma manual según la dirección MAC del hardware físico.

Si bien estas dos características pueden disuadir a la mayoría de los usuarios, la realidad es que ni el ocultamiento del SSID ni el filtrado de direcciones MAC podrían disuadir a un intruso hábil.

Los SSID se descubren con facilidad, incluso si los AP no los transmiten por difusión, y las direcciones MAC se pueden suplantar. La mejor manera de proteger una red inalámbrica es usar sistemas de autenticación y cifrado, como se muestra en la Imagen 7.

Se introdujeron dos tipos de autenticación con el estándar 802.11 original:

1. Autenticación de sistema abierto: cualquier cliente inalámbrico se debe poder conectar con facilidad, y este método solo se debe usar en situaciones en las que la seguridad no es motivo de preocupación, como en los lugares que proporcionan acceso gratuito a Internet, como cafés, hoteles y áreas remotas.
2. Autenticación mediante clave compartida: proporciona mecanismos como WEP, WPA o WPA2 para autenticar y cifrar datos entre un cliente y un AP inalámbricos. Sin embargo, la contraseña se debe compartir previamente entre las dos partes para que estas se conecten.

2.1. Métodos de autenticación mediante clave compartida

Como se muestra en la Imagen 8, existen tres técnicas de autenticación mediante clave compartida:

• Privacidad equiparable a la de redes cableadas (WEP)
• Acceso protegido Wi-Fi (WPA)
• IEEE 802.11i/WPA2

Ya no se recomienda WEP. Se comprobó que las claves WEP compartidas presentan errores y, por lo tanto, no se lo debe usar nunca. Para contrarrestar la debilidad de las claves WEP compartidas, el primer enfoque de las empresas fue probar técnicas, como el ocultamiento de los SSID y el filtrado de las direcciones MAC. Se comprobó que estas técnicas también son demasiado débiles.

Luego de las debilidades de una seguridad basada en WEP, hubo un período de medidas de seguridad interinas. Los proveedores como Cisco, que quieren responder a la demanda de mejor seguridad, desarrollaron sus propios sistemas y, al mismo tiempo, ayudaron con la evolución del estándar 802.11i. En el camino hacia 802.11i, se creó el algoritmo de cifrado TKIP, que se unió al método de seguridad WPA de Wi-Fi Alliance.

Las redes inalámbricas modernas siempre deben usar el estándar 802.11i/WPA2. WPA2 es la versión Wi-Fi de 802.11i y, por lo tanto, los términos WPA2 y 802.11i se suelen usar de manera indistinta.

 

2.2. Métodos de cifrado

El cifrado se usa para proteger datos. Si un intruso captura datos cifrados, no podrá descifrarlos durante un período razonable.

El estándar IEEE 802.11i y los estándares WPA y WPA2 de Wi-Fi Alliance usan los siguientes protocolos de cifrado:

• Protocolo de integridad de clave temporal (TKIP): es el método de cifrado que usa WPA.

Provee apoyo para el equipo WLAN heredado que atiende las fallas originales asociadas con el método de encriptación WEP 802.11. Usa WEP, pero cifra el contenido de capa 2 mediante TKIP y realiza una comprobación de integridad de los mensajes (MIC) en el paquete cifrado para asegurar que no se alteró el mensaje.

• Estándar de cifrado avanzado (AES): es el método de cifrado que usa WPA2.

Es el método preferido, ya que se alinea con el estándar del sector IEEE 802.11i. AES realiza las mismas funciones que TKIP, pero es un método de cifrado más seguro. Usa el protocolo Counter Mode Cipher Block Chaining Message Authentication Code Protocol (CCMP), que permite que los hosts de destino reconozcan si se alteraron los bits cifrados y no cifrados.

Debido a la vulnerabilidad de WPA2, WiFi Alliance anunció que en el 2018 será lanzado WPA 3. Puede leer sobre algunas mejoras para la WLAN en este enlace.

2.3. Autenticación de un usuario doméstico

WPA y WPA2 admiten dos tipos de autenticación:

• Personal: diseñada para las redes domésticas o de oficinas pequeñas; los usuarios se autentican mediante una clave previamente compartida (PSK). Los clientes inalámbricos se autentican con el AP mediante una contraseña previamente compartida. No se requiere ningún servidor de autenticación especial.
• Enterprise (Empresarial): diseñada para las redes empresariales, pero requiere un servidor de servicio de autenticación remota telefónica de usuario (RADIUS).

Si bien su configuración es más complicada, proporciona seguridad adicional. El servidor RADIUS debe autenticar el dispositivo y, a continuación, se deben autenticar los usuarios mediante el estándar 802.1X, que usa el protocolo de autenticación extensible (EAP).

2.4. Autenticación en la empresa

En las redes que tienen requisitos de seguridad más estrictos, se requiere una autenticación o un inicio de sesión adicionales para otorgar acceso a los clientes inalámbricos.

Las opciones del modo de seguridad Enterprise requieren un servidor RADIUS con autenticación, autorización y contabilidad (AAA).

Estos campos son necesarios para proporcionar al AP la información requerida para contactar al servidor AAA:

• Dirección IP del servidor RADIUS: esta es la dirección del servidor RADIUS a la que se puede llegar.
• Números de puerto UDP: los números de puerto UDP asignados oficialmente son 1812 para la autenticación RADIUS y 1813 para la contabilidad RADIUS, pero también pueden funcionar mediante los números de puerto UDP 1645 y 1646.
• Clave compartida: se usa para autenticar el AP con el servidor RADIUS.

La clave compartida no es un parámetro que se debe configurar en una STA. Solo se requiere en el AP para autenticar con el servidor RADIUS.

El proceso de inicio de sesión 802.1X usa EAP para comunicarse con el AP y el servidor RADIUS. El EAP es una estructura para autenticar el acceso a la red. Puede proporcionar un mecanismo de autenticación seguro y negociar una clave privada segura que después se puede usar para una sesión de cifrado inalámbrico mediante el cifrado TKIP o AES.