diseño e implementación de redes wi-fi...
TRANSCRIPT
![Page 1: Diseño e implementación de redes Wi-Fi segurasopenaccess.uoc.edu/webapps/o2/bitstream/10609/97826/8... · Diseño e implementación de redes Wi-Fi seguras Autor: Rafael César Baldeón](https://reader031.vdocuments.co/reader031/viewer/2022013010/5f60e3a9a9e8000f5d2491df/html5/thumbnails/1.jpg)
Diseño e implementación de redes Wi-Fi seguras
Autor: Rafael César Baldeón Guillama
Tutora: María Isabel March Hermo
Trabajo Fin de Grado (06/2019)
Área: Redes de Computadores
![Page 2: Diseño e implementación de redes Wi-Fi segurasopenaccess.uoc.edu/webapps/o2/bitstream/10609/97826/8... · Diseño e implementación de redes Wi-Fi seguras Autor: Rafael César Baldeón](https://reader031.vdocuments.co/reader031/viewer/2022013010/5f60e3a9a9e8000f5d2491df/html5/thumbnails/2.jpg)
Índice
1. Introducción
2. Redes inalámbricas (Wi-Fi)
3. Seguridad en redes Wi-Fi
4. Medidas adicionales
5. Perfiles de seguridad
6. Recomendaciones generales
7. Casos prácticos
8. Conclusiones
![Page 3: Diseño e implementación de redes Wi-Fi segurasopenaccess.uoc.edu/webapps/o2/bitstream/10609/97826/8... · Diseño e implementación de redes Wi-Fi seguras Autor: Rafael César Baldeón](https://reader031.vdocuments.co/reader031/viewer/2022013010/5f60e3a9a9e8000f5d2491df/html5/thumbnails/3.jpg)
Introducción
o Incremento de redes Wi-Fi en todos los entornos
▪ Fácil instalación, flexibilidad y bajo coste
o Peligros de las redes Wi-Fi
▪ Dispositivos no actualizados (firmware) y vulnerabilidades sin parchear
▪ Uso en sitios públicos de Redes abiertas
▪ Utilización de protocolos de seguridad vulnerables
o Amenazas en Internet
▪ Equipos poco protegidos (aplicaciones de seguridad en el ordenador)
▪ Aumento de ataques sobre Internet (email, webs, etc.)
![Page 4: Diseño e implementación de redes Wi-Fi segurasopenaccess.uoc.edu/webapps/o2/bitstream/10609/97826/8... · Diseño e implementación de redes Wi-Fi seguras Autor: Rafael César Baldeón](https://reader031.vdocuments.co/reader031/viewer/2022013010/5f60e3a9a9e8000f5d2491df/html5/thumbnails/4.jpg)
Redes inalámbricas (Wi-Fi)
Logotipo certificado Wi-Fi
o Organización Wi-Fi Alliance
▪ Marca comercial Wi-Fi (Wireless Fidelity) año 1997
▪ Certificar productos sobre el estándar 802.11
o Interconexión a través de ondas electromagnéticas (sin cables)
![Page 5: Diseño e implementación de redes Wi-Fi segurasopenaccess.uoc.edu/webapps/o2/bitstream/10609/97826/8... · Diseño e implementación de redes Wi-Fi seguras Autor: Rafael César Baldeón](https://reader031.vdocuments.co/reader031/viewer/2022013010/5f60e3a9a9e8000f5d2491df/html5/thumbnails/5.jpg)
Seguridad en redes Wi-Fi
o Protocolos de seguridad actuales
▪ WEP (Año 1997)
▪ WPA/WPA2 (Año 2004/2007)
▪ WPS (Año 2007)
Vulnerable
Vulnerable
Vulnerable
![Page 6: Diseño e implementación de redes Wi-Fi segurasopenaccess.uoc.edu/webapps/o2/bitstream/10609/97826/8... · Diseño e implementación de redes Wi-Fi seguras Autor: Rafael César Baldeón](https://reader031.vdocuments.co/reader031/viewer/2022013010/5f60e3a9a9e8000f5d2491df/html5/thumbnails/6.jpg)
Seguridad en redes Wi-Fi
o Nuevas certificaciones de seguridad (Wi-Fi Alliance)
▪ WPA3 (Personal y Enterprise)
▪ Wi-Fi Enhanced Open
▪ Wi-Fi Easy Connect
![Page 7: Diseño e implementación de redes Wi-Fi segurasopenaccess.uoc.edu/webapps/o2/bitstream/10609/97826/8... · Diseño e implementación de redes Wi-Fi seguras Autor: Rafael César Baldeón](https://reader031.vdocuments.co/reader031/viewer/2022013010/5f60e3a9a9e8000f5d2491df/html5/thumbnails/7.jpg)
Seguridad en redes Wi-Fi
o WPA3-Personal
▪ Sistema SAE (Simultaneous Authentication of Equals)
▪ PMF (Protection Management Frame) obligatorio
Handshake WPA3-Personal
✓ PFS (Perfect Forward Secrecy)
✓ Protección a los ataques de diccionario
▪ Aporta las características de seguridad:
![Page 8: Diseño e implementación de redes Wi-Fi segurasopenaccess.uoc.edu/webapps/o2/bitstream/10609/97826/8... · Diseño e implementación de redes Wi-Fi seguras Autor: Rafael César Baldeón](https://reader031.vdocuments.co/reader031/viewer/2022013010/5f60e3a9a9e8000f5d2491df/html5/thumbnails/8.jpg)
Seguridad en redes Wi-Fi
o WPA3-Enterprise
▪ Herramientas criptográfica mejoradas
▪ Clave 192 bits (Opcional)
▪ PMF Robusto (256 bits)
![Page 9: Diseño e implementación de redes Wi-Fi segurasopenaccess.uoc.edu/webapps/o2/bitstream/10609/97826/8... · Diseño e implementación de redes Wi-Fi seguras Autor: Rafael César Baldeón](https://reader031.vdocuments.co/reader031/viewer/2022013010/5f60e3a9a9e8000f5d2491df/html5/thumbnails/9.jpg)
Seguridad en redes Wi-Fi
o Wi-Fi Enhanced Open
▪ Protocolo OWE (Opportunistic Wireless Encryption)
✓ Protocolo Diffie-Hellman (Intercambio de clave)
Handshake OWE
▪ Envío y recepción de información cifrada
▪ Desarrollado para sustituir las implementaciones de redes abiertas
![Page 10: Diseño e implementación de redes Wi-Fi segurasopenaccess.uoc.edu/webapps/o2/bitstream/10609/97826/8... · Diseño e implementación de redes Wi-Fi seguras Autor: Rafael César Baldeón](https://reader031.vdocuments.co/reader031/viewer/2022013010/5f60e3a9a9e8000f5d2491df/html5/thumbnails/10.jpg)
Seguridad en redes Wi-Fi
o Wi-Fi Easy Connect
▪ Configurador (Lectura de código QR y envío configuración)
▪ Cifrado robusto (Clave pública)
Proceso conexión dispositivos con Easy Connect
▪ Reemplazar protocolo WPS
![Page 11: Diseño e implementación de redes Wi-Fi segurasopenaccess.uoc.edu/webapps/o2/bitstream/10609/97826/8... · Diseño e implementación de redes Wi-Fi seguras Autor: Rafael César Baldeón](https://reader031.vdocuments.co/reader031/viewer/2022013010/5f60e3a9a9e8000f5d2491df/html5/thumbnails/11.jpg)
Medidas adicionales
o Protocolo 802.1X
Control a nivel de puerto mediante autentificación.
o NAC (Network Access Control)
Control de los dispositivos que se conectan a la infraestructura de red.
o WIDS/WIPS
WIDS: Sistema para detectar e informar intrusiones en las redes Wi-Fi
WIPS: Sistema para detectar intrusiones en las redes Wi-Fi, y ejecutar una contramedida.
✓ PEAP: Certificado en el servidor
✓ EAP-TLS: Certificado en cliente y servidor
✓ EAP-TTLS: Certificado en servidor
Conexión EAP Radius
▪ Métodos:
![Page 12: Diseño e implementación de redes Wi-Fi segurasopenaccess.uoc.edu/webapps/o2/bitstream/10609/97826/8... · Diseño e implementación de redes Wi-Fi seguras Autor: Rafael César Baldeón](https://reader031.vdocuments.co/reader031/viewer/2022013010/5f60e3a9a9e8000f5d2491df/html5/thumbnails/12.jpg)
Perfiles de seguridad
▪ SSL-Inspection SSL-Inspection
▪ Firewall
▪ IDS/IPS
▪ Antimalware
▪ Application Control
▪ Web Filtering
▪ Data Loss Prevention
o Sistemas que actúan como medidas de defensa
o Conjuntamente forman un perfil de seguridad
![Page 13: Diseño e implementación de redes Wi-Fi segurasopenaccess.uoc.edu/webapps/o2/bitstream/10609/97826/8... · Diseño e implementación de redes Wi-Fi seguras Autor: Rafael César Baldeón](https://reader031.vdocuments.co/reader031/viewer/2022013010/5f60e3a9a9e8000f5d2491df/html5/thumbnails/13.jpg)
Recomendaciones generales
✓ Adquisición de equipos certificados (Wi-Fi Alliance)
✓ Protocolo conexión seguros para la gestión dispositivos (HTTPS/SSH)
✓ Modificar claves de acceso a los dispositivos
✓ Actualización firmware y aplicar parches de seguridad
✓ Mínima funcionalidad
✓ Definir franjas horarias de uso de la red
o Dispositivos de interconexión
![Page 14: Diseño e implementación de redes Wi-Fi segurasopenaccess.uoc.edu/webapps/o2/bitstream/10609/97826/8... · Diseño e implementación de redes Wi-Fi seguras Autor: Rafael César Baldeón](https://reader031.vdocuments.co/reader031/viewer/2022013010/5f60e3a9a9e8000f5d2491df/html5/thumbnails/14.jpg)
Casos prácticos
▪ Doméstico
▪ Sitios públicos
▪ Corporativos
o Entornos más comunes
o Firewall UTM (Perfiles de seguridad)
![Page 15: Diseño e implementación de redes Wi-Fi segurasopenaccess.uoc.edu/webapps/o2/bitstream/10609/97826/8... · Diseño e implementación de redes Wi-Fi seguras Autor: Rafael César Baldeón](https://reader031.vdocuments.co/reader031/viewer/2022013010/5f60e3a9a9e8000f5d2491df/html5/thumbnails/15.jpg)
Casos prácticos
o Doméstico
Configuración Router
Configuración Cliente
PMF
▪ Configuración de WPA3-Personal
![Page 16: Diseño e implementación de redes Wi-Fi segurasopenaccess.uoc.edu/webapps/o2/bitstream/10609/97826/8... · Diseño e implementación de redes Wi-Fi seguras Autor: Rafael César Baldeón](https://reader031.vdocuments.co/reader031/viewer/2022013010/5f60e3a9a9e8000f5d2491df/html5/thumbnails/16.jpg)
Casos prácticos
o Doméstico
Handshake SAE
▪ Verificar la aplicación del sistema SAE para mejorar la seguridad en el proceso de autenticación.
![Page 17: Diseño e implementación de redes Wi-Fi segurasopenaccess.uoc.edu/webapps/o2/bitstream/10609/97826/8... · Diseño e implementación de redes Wi-Fi seguras Autor: Rafael César Baldeón](https://reader031.vdocuments.co/reader031/viewer/2022013010/5f60e3a9a9e8000f5d2491df/html5/thumbnails/17.jpg)
Casos prácticos
o Doméstico
PMF obligatorio
▪ Aplicación de PMF para proteger las tramas de control y gestión.
![Page 18: Diseño e implementación de redes Wi-Fi segurasopenaccess.uoc.edu/webapps/o2/bitstream/10609/97826/8... · Diseño e implementación de redes Wi-Fi seguras Autor: Rafael César Baldeón](https://reader031.vdocuments.co/reader031/viewer/2022013010/5f60e3a9a9e8000f5d2491df/html5/thumbnails/18.jpg)
Casos prácticos
o Sitios públicos
Configuración Router
Configuración Cliente
PMF
▪ Configuración de Wi-Fi Enhanced Open (OWE).
![Page 19: Diseño e implementación de redes Wi-Fi segurasopenaccess.uoc.edu/webapps/o2/bitstream/10609/97826/8... · Diseño e implementación de redes Wi-Fi seguras Autor: Rafael César Baldeón](https://reader031.vdocuments.co/reader031/viewer/2022013010/5f60e3a9a9e8000f5d2491df/html5/thumbnails/19.jpg)
Casos prácticos
o Sitios públicos
Handshake OWE
▪ Verificar la aplicación del protocolo OWE.
![Page 20: Diseño e implementación de redes Wi-Fi segurasopenaccess.uoc.edu/webapps/o2/bitstream/10609/97826/8... · Diseño e implementación de redes Wi-Fi seguras Autor: Rafael César Baldeón](https://reader031.vdocuments.co/reader031/viewer/2022013010/5f60e3a9a9e8000f5d2491df/html5/thumbnails/20.jpg)
Casos prácticos
o Sitios públicos
Protocolo Diffie-Hellman
Envío de datos
▪ Intercambio de claves públicas.
▪ Envío de datos cifrados (CCMP).
![Page 21: Diseño e implementación de redes Wi-Fi segurasopenaccess.uoc.edu/webapps/o2/bitstream/10609/97826/8... · Diseño e implementación de redes Wi-Fi seguras Autor: Rafael César Baldeón](https://reader031.vdocuments.co/reader031/viewer/2022013010/5f60e3a9a9e8000f5d2491df/html5/thumbnails/21.jpg)
Casos prácticos
o Corporativos
Configuración Router
Configuración Cliente
PMF
128 bits
▪ Configuración de WPA3-Enterprise (128 bits)
Topología WPA3-Enterprise
![Page 22: Diseño e implementación de redes Wi-Fi segurasopenaccess.uoc.edu/webapps/o2/bitstream/10609/97826/8... · Diseño e implementación de redes Wi-Fi seguras Autor: Rafael César Baldeón](https://reader031.vdocuments.co/reader031/viewer/2022013010/5f60e3a9a9e8000f5d2491df/html5/thumbnails/22.jpg)
Casos prácticos
o Perfiles de seguridad
Topología FW UTM Página Principal
▪ Configuración de un Firewall UTM (Endian FW Community Edition)
![Page 23: Diseño e implementación de redes Wi-Fi segurasopenaccess.uoc.edu/webapps/o2/bitstream/10609/97826/8... · Diseño e implementación de redes Wi-Fi seguras Autor: Rafael César Baldeón](https://reader031.vdocuments.co/reader031/viewer/2022013010/5f60e3a9a9e8000f5d2491df/html5/thumbnails/23.jpg)
Casos prácticos
o Perfiles de seguridad
Web Filtering Antivirus
▪ Configuración de WebFiltering (Control de contenidos web)
▪ Configuración de Antivirus (Control de malware)
![Page 24: Diseño e implementación de redes Wi-Fi segurasopenaccess.uoc.edu/webapps/o2/bitstream/10609/97826/8... · Diseño e implementación de redes Wi-Fi seguras Autor: Rafael César Baldeón](https://reader031.vdocuments.co/reader031/viewer/2022013010/5f60e3a9a9e8000f5d2491df/html5/thumbnails/24.jpg)
Casos prácticos
o Perfiles de seguridad
Bloqueo del contenido no permitido Detección de virus
▪ Funcionamiento del sistema WebFiltering (Bloqueo contenido prohibido)
▪ Funcionamiento del sistema Antivirus (Detección y bloqueo de virus)
![Page 25: Diseño e implementación de redes Wi-Fi segurasopenaccess.uoc.edu/webapps/o2/bitstream/10609/97826/8... · Diseño e implementación de redes Wi-Fi seguras Autor: Rafael César Baldeón](https://reader031.vdocuments.co/reader031/viewer/2022013010/5f60e3a9a9e8000f5d2491df/html5/thumbnails/25.jpg)
Conclusiones
o Configurar los siguientes protocolos de seguridad:
▪ WEP/WPA/WPA2 ✓ WPA3
▪ Redes abiertas ✓ Wi-Fi Enhanced Open (OWE)
▪ WPS ✓ Wi-Fi Easy Connect
o Controlar los accesos a Internet con equipos Firewall UTM (Perfiles de seguridad)
o Aplicar las recomendaciones generales en los dispositivos de interconexión
o En entornos corporativos, implantar NAC y sistemas WIDS/WIPS
o Monitorizar las conexiones y el tráfico que circula por la red.
![Page 26: Diseño e implementación de redes Wi-Fi segurasopenaccess.uoc.edu/webapps/o2/bitstream/10609/97826/8... · Diseño e implementación de redes Wi-Fi seguras Autor: Rafael César Baldeón](https://reader031.vdocuments.co/reader031/viewer/2022013010/5f60e3a9a9e8000f5d2491df/html5/thumbnails/26.jpg)
Muchas gracias