LABORATORIO Nº 3 CONFIGURACIÓN AVANZADAS DE REDES INALÁMBRICA I) OBJETIVO: El objetivo de esta experiencia es proporcionar al alumno las habilidades que le permitan incrementar la seguridad instalaciones de redes inalámbricas y su correspondiente autoría. II) PRERREQUISITOS: Laboratorio Nº 1 III) MATERIAL PARA UTILIZAR: - Estación de trabajo Windows XP - NIC Wireless - Puntos de Acceso IV) PROGRAMA: Seguridad en Wireless Tema A: Bloqueo del SSID Tema B: Configuración Wireless en Linux Tema C: Wireless MAC Filter Tema D: Seguridad Wireless con encriptación WEP, WPA Tema F: Configuración Insegura de una infraestructura Wireless. Ing. Hernán Nina Hanco -1- Tema A: Bloqueo del SSID Siendo uno de los datos que es necesario para poder conectar a nuestra red es importante no estar divulgándolo de manera tan evidente. Incluso sería necesario cambiarle el nombre, puesto que los programas habituales de búsqueda de redes son capaces de identificar la marca del router, y por tanto se puede deducir el nombre por defecto. Para el caso particular cambiar y desactivar SSID Broadcast (Difusión). Esto lo haremos en el menú Configuration, Ports, Wireless. En ESSID, pondremos otro diferente al definido por defecto. • En Block Unspecified SSID pondremos true. • Para guardar los cambios, pulsar Apply. Ahora, para agregar un nuevo puesto a nuestra red wireless tendremos que introducir a mano en cada uno de los aparatos el nombre de la red (ESSID). Ing. Hernán Nina Hanco -2- Tema B: Configuración Wireless en Linux Para el caso que no exista los controladores puedes utilizar la aplicación “ndiswrapper” y el archivo de información del controlador *.inf de Windows. Para poder configurar de forma correcta nuestra conexión Wireless debemos contar con datos sobre la red Wireless a utilizar. Los datos son nombre de red ESSID, clave WEB Key para el ingreso y tipo de red (IP disponible, o IP automática). El comando “iwconfig” permite configurar las Redes Wireless en Linux y lo utilizamos de la siguiente manera: El procedimiento es el siguiente: Activamos el modo Managed # iwconfig wlan0 mode Managed Ingresamos la contraseña de la red (omitimos si no sabemos lo que es) # iwconfig wlan0 key restricted XXXXXXXX Y para terminar la configuración levantamos la red # iwconfig wlan0 essid ESSID (modificando ESSID por el nombre adecuado) # ifconfig wlan0 up (levantamos propiamente la red) De esta manera si nuestro access point realiza la gestión de un servidor DHCP (IP Dinámicas) nosotros obtendremos una IP dentro del rango establecido por el concentrador de esta manera. # dhcpdcp wlan0 Si no tenemos configuración automática haremos la configuración manual con ifconfig Tema C: Filtrado de direcciones MAC (Wireless MAC Filter) Cada tarjeta de red posee una dirección MAC (Media Access Control), que en teoría es única para cada una de ellas. Está formada por 48 bits que se suelen representar mediante dígitos hexadecimales que se agrupan en seis parejas (cada pareja se separa de otra mediante dos puntos ":" o mediante guiones "-"). Por ejemplo, una dirección MAC podría ser E1:B1:CF:3D:4A:AA . Normalmente viene impresa en la tarjeta de red, aunque también se puede consultar mediante el comando ipconfig /all en ms-dos. Ing. Hernán Nina Hanco -3- Al activar el filtrado de direcciones MAC del AP, estamos autorizando el acceso al AP únicamente de las tarjetas de red que introduzcamos su MAC en la lista. Para el caso: Iremos al menú Configuration, Wireless Mac Filter. Ahora iremos introduciendo las direcciones MAC de las NIC Wireless de nuestra red Una vez confeccionada la lista debemos activar el filtrado. Para el Caso: Habrá que ir a Configuration, Ports, Wireless y colocar el desplegable Mac Address Auth en la opción Blacklist. Pulsamos en el botón Apply inferior y vamos a Save config para hacer que los cambios sean definitivos. Ing. Hernán Nina Hanco -4- Ing. Hernán Nina Hanco -5- Tema D: Seguridad Wireless con encriptación WEP, WPA Encriptar la conexión wireless es protegerla mediante una clave, de manera que sólo los ordenadores cuya configuración coincida con la del AP tengan acceso. Es necesaria para mantener segura nuestra red frente a los intrusos. El proceso consiste en dos pasos: • • Configurar la encriptación en el AP. Configurar la encriptación en la tarjeta de red wireless de cada ordenador. El AP soporta 2 tipos de encriptación: • WEP (Wired Equivalent Privacy) o Privacidad Equivalente a Cableado. Nos ofrece dos niveles de seguridad, encriptación a 64 o 128 bit. La encriptación usa un sistema de claves. La clave de la tarjeta de red del ordenador debe coincidir con la clave del AP. • WPA (Wireless Protected Access) Ofrece dos tipos de seguridad, con servidor de seguridad y sin servidor. Este método se basa en tener una clave compartida de un mínimo de 8 caracteres alfanuméricos para todos los puestos de la red (Sin servidor) o disponer de un cambio dinámico de claves entre estos puestos (Con servidor). Es una opción más segura, pero no todos los dispositivos wireless lo soportan. Seguridad a 64-bit WEP El AP usa encriptación WEP para proteger la transmisión de datos, con dos modos diferentes, 64 y 128 bits. Para el Caso: Para activarla iremos al desplegable Wep Encription y elegiremos el modo 64bit. Ing. Hernán Nina Hanco -6- Al hacerlo se activarán las casillas inferiores para introducir las claves, cosa que haremos manualmente. Debemos utilizar las casillas correspondientes a Mode64. El hecho de que haya cuatro casillas para introducir otras tantas claves es por si queremos ir cambiando de claves en el ordenador. Las claves consisten en 10 dígitos hexadecimales separados por guiones en grupos de 2. En principio vamos a utilizar sólo la primera. Para activar pulsamos en Apply. En ese momento, si estamos conectados por wireless se producirá la encriptación de la transmisión inalámbrica y perderemos la conexión. Ahora debemos introducir las mismas claves en los ordenadores, para lo cual tendremos que usar su software específico, pondremos un ejemplo usando una tarjeta Conceptronic: Ing. Hernán Nina Hanco -7- Sguridad 128-bit WEP Es similar a la anterior, sólo que usa una clave más larga y, por tanto, se supone que es más segura. Para activarla iremos al desplegable Wep Encription y elegiremos el modo 128bit. Debemos utilizar las casillas correspondientes a Mode128. Las claves consisten ahora en 26 dígitos hexadecimales separados por guiones (en grupos de 2). Otra vez en el ejemplo sólo usaremos la primera de las 4 que permite el router. Para activar pulsamos en Apply. En ese momento, si estamos conectados por wireless se producirá la encriptación de la transmisión inalámbrica y perderemos la conexión hasta que configuremos la encriptación en los ordenadores con el software específico de la tarjeta inalámbrica de cada uno. Poniendo el ejemplo con la misma tarjeta que en el caso anterior: Ing. Hernán Nina Hanco -8- Seguridad WPA-PSK (no server) Técnicamente, WPA-PSK (Wi-Fi Protected Access Pre-Shared Key) significa "Acceso protegido de fidelidad inalámbrica con Clave previamente compartida". La encriptación usa una autenticación de clave previamente compartida con cifrado TKIP (Temporal Key Integrity Protocol, Protocolo de integridad de clave temporal), denominado en adelante WPA-PSK/TKIP. Según la descripción de Microsoft, WPA-PSK proporciona una sólida protección mediante codificación para los usuarios domésticos de dispositivos inalámbricos. Por medio de un proceso denominado "cambio automático de claves", conocido asimismo como TKIP (protocolo de integridad de claves temporales), las claves de codificación cambian con tanta rapidez que un pirata informático es incapaz de reunir suficientes datos con la suficiente rapidez como para descifrar el código. (Pondremos lo de "incapaz" entre comillas, por si las moscas). Para configurarla, hay que dar algunos pasos más que en el caso del cifrado WEP. La configuración de estas opciones de encriptación es recomendable hacerlas mediante cable ethernet, ya que es bastante posible que perdamos la conexión inalámbrica en alguno de los pasos (dependiendo del orden en que los ejecutemos). Supongamos que estamos en ese caso. En primer lugar, si teníamos activado WEP, debemos quitarlo, para ello seleccionamos en el desplegable Wep Encryption el modo disabled. Seleccionamos en los menús WPA y WPAEnable PSK la opción true. Pulsaremos el botón Apply de la parte inferior. Aquí ya habremos perdido la conexión inalámbrica, pero aún no hemos terminado de configurar el modo WPA. La siguiente operación la realizamos en el menú Configuration, WPA. Introduciremos la clave, que puede llegar a tener una longitud de entre 8 y 63 caracteres. Ing. Hernán Nina Hanco -9- Pulsamos el botón Change para que utilice la clave a partir de este momento. Por último iremos al menú Configuration, 802.1x, donde activaremos el campo Auth Control Enable, colocando su valor en true. Pulsando el botón Change de la parte inferior habremos terminado de configurar el router para las opciones WPA-PSK. NOTA: Si queremos retornar a un cifrado WEP no debemos olvidar restablecer el valor del campo Auth Control Enable del menú 802.1x a false. Una vez configurada la tarjeta inalámbrica del mismo modo, el ordenador debe recuperar la conexión con el router. Ing. Hernán Nina Hanco - 10 - TEMA E: Configuración Insegura de una infraestructura Wireless 1. Determinando el chipset de nuestra tarjeta. Chipset Atheros Atmel Broadcom Centrino b Centrino b/g Supported by airodump YES 802.11b YES 802.11g UNTESTED YES PARTIAL (ipw2100 driver doesn't discard corrupted ackets) YES Centrino a/b/g ipw3945 with ipwrawng . Cisco Aironet, YES Hermes I YES NdisWrapper Prism2/3 Never YES PrismGT FullMAC YES SoftMAC: NOT YET YES (rt2500 / rt2570 / rt61 / rt73 driver) Ralink RTL8180 RTL8187L Yes TI(ACX100/ACX111) YES YES (driver patching required to view power levels) YES . ZyDAS1201 . ZyDAS 1211B YES YES Others (Marvel) UNKNOWN Ing. Hernán Nina Hanco - 11 - Supported by aireplay YES (driver patching required) UNTESTED IN PROGRESS (Forum thread) No fragmentation attack support NO NO (firmware drops most packets) ipw2200inject No fragmentation attack support. NO, but YES for drivers but very problematic NO (firmware issue) NO (firmware corrupts the MAC header) Never YES (PCI and CardBus only, driver patching required) NOTE: Prism2/3 does not support shared key authentication and the fragmentation attack. There is a critical bug and this chipset is not currently recommended. It may even affect other kernel versions. YES (driver patching recommended) YES, see rt2500, rt2570, rt61 and rt73. Also see Ralink chipset comments later on this pager for important concerns UNSTABLE (driver patching required) YES (driver patching recommended for injection and required to view power levels) YES (driver patching required) No fragmentation attack support Partially (See patch for details) Partially (See patch for details). Atheros has acquired Zydas and renamed this chipset to AR5007UG NO Utilizar Kismet Seleccionar la Red Ing. Hernán Nina Hanco - 12 - Información de Red Ing. Hernán Nina Hanco - 13 - Utilizando Aircrak Ing. Hernán Nina Hanco - 14 - Aircrak Windows Ing. Hernán Nina Hanco - 15 - Ing. Hernán Nina Hanco - 16 - Ing. Hernán Nina Hanco - 17 -