Páginas

lunes, 27 de abril de 2009

Redes - Comunicaciones - Wireless (7)

Para conectar dos redes wireless ubicadas en dos edificios diferentes con un limite de 40 kilometros.
Utilizando dos Bridge y antena direccional.

Los Bridge tienen que estar en el exterior y protegidos de las inclemencias del tiempo.

Tenemos AP's que pueden usarse como Bridge para comunicarse directamente por la radio del AP. Opciones:

Caso a) Usar un AP como un REPETIDOR. (Sistema de distribucion DS). Colocado dentro del rango del primer AP. El AP repetidor esta configurado como cliente. Busca a quien asociarse. Las peticiones las pasa al primer AP. Si el primer AP cae caen todos. Todas las comunicaciones llegaran al Root (primer AP) con la MAC del repetidor, no con la MAC de los NODOS. Por tanto, no sera posible el filtrado MAC. No esta estandarizado. En caso de tener mas de uno conectado al AP repetidor mas de un pc enviara paquetes con la misma mac, porque la mac correspondera a la MAC del repetidor. Cuando los paquetes llegan al Root llegaran con la misma MAC y difetente IP.

Caso b) Dos redes inalambricas que quiero conectar entre si. WDS (sistema de distribucion inalambrica). Cada cliente se conecta a su AP y los dos AP's se conectan entre si. Uno de los AP es un router. los paquetes llegaran con la identidad (MAC) de cada cliente. No se pierde la identidad de los paquetes. Si cae una red la otra continua trabajando. Los dos AP's deben configurarse como WDS, el MODO DE TRABAJO. Un AP root solo conecta con clientes, para conectar ap's entre si cambiamos a WDS. Los AP's deben estar en el mismo CANAL. Baja el rendimiento general de la Red. Es recomendable el mismo SSID. Mismo modelo, misma configuracion, etc. Pueden hacer enlaces con varios.

El modelo LINKSYS WRT54GL utiliza firmware GPL (sabes lo que hace, como lo hace y todo lo que hace), de libre distribucion (estan obligados a publicar el codigo fuente). De esta manera puedo modificar el firmware y tener opciones (como WDS), de las que antes no disponia o utilizar firmware que circula por la red de manera gratuita.

Solucion de problemas (Troubleshosting):
Cuando hay fallas tenemos dos metodos de busqueda. Deductivo e inductivo.

Deductivo. Observacion -> confirmar.
Inductivo. --> observar - extraer un patron - hipotesis --> teoria.
Acotar - restringir por medio de capas. En wireless, los interesan las capas 1,2 y 3.

En la capa 1, (señal), compruebo:
1.- La alimentacion. El ap tiene alimentacion
2.- Comprobacion del cableado (cable que va al AP (UTP) y cable de antena). Comprobador de cables -- cable tester.
3.- Interferencias (inspeccion de sitios).
4.- Compatibilidad de los Standard que los elementos esten trabajando en el mismo standard.
5.- Distancia - Velocidad
6.- Ahorro de energia. Errores de sincronismo. Parametro DTIM.
7.- Modo antena. Por que antena emito (Diversidad).
8.- Modo de trabajdo mal configurado.
9.- Interface activado.

En capa 2:
1.- Drivers (actualizarlos).
2.- Ad-Hoc / infraestructura sobre todo en el cliente.
3.- Seguridad.
4.- Trafico de paquetes. Con los leds. --> WLAN (wireless lan). WAN (internet). Sniffers dentro del propio AP o soft terceros.
5.- Restaurar/restaurar.

En capa 3:
1.- Direccion IP
2.- Gateway. Haciendo pings.
3.- Filtros (filtrado IP), y Firewalls que pueden provocar errores en la Red.
5.- NAT - Routers --> enrutamiento en general. Se comprueba haciendo un DMZ. Abrir DMZ para ese pc, si funciona, algun puerto esta bloqueando el router que algun programa necesita en ese pc. Reset.


SEGURIDAD. (Global).

Teniendo en cuenta las capas OSI
Seguridad por Aplicacion. Capas 5.6.7 (Protocolo de seguridad SH)
Seguridad por IP. Capa 3 (Protocolo IPSEC, paquetes cifrados, modo seguro)
Seguridad Fisica. Capas 1,2.

En nuestro caso, Wireless, nos centraremos en la capa Fisica. Nuestro AP Transporta TRAMAS, no paquetes IP. La seguridad tenemos que verla como algo global.

Seguridad
1.- Perimetral. Quien puede acceder a mi red fisicamente. Hay dos tipos. a) Internet --> a traves de un Router, puede llevar un filtrado de IP como seguridad, (el router = capa 3). Que ip's pasan y que ip's no pasan. b) colocar antes o despues del Router un Firewall, cuya configuracion decidira quien entra y quien sale. Puede ser un ordenador con Linux y firewall por software o un equipo fisico (firewall). c) VPN --> Conexion segura desde el exterior al servidor de mi red. Cuando hablo de Wireless tambien estoy saliendo de los limites fisicos de mi red, por tanto, tengo que hablar de seguridad perimetral.

El firewall limita la entrada desde Internet. Para las conexiones no me sirve configurar el firewall del, por ejemplo, Router de casa.
En la capa Fisica se trabaja con equipos, lo que suceda a partir de aqui es responsabilidad de las capas subsiguientes.

En capa 2 de las redes Wireless trataremos:
Autenticacion. Quien puede conectarse a mi red. El que se conecte este autenticado. Asociarse a mi red
Confidencialidad. Quien puede acceder a mis datos. Si los pqtes son pillados que no puedan leerlos (cifrar los datos).
Integridad. Asegurarme las integridad de los datos. Que nadie puede alterar el contenido de esos datos.

Seguridad Wifi: Lo primero que aparece es el sistema de seguridad
Primera Generacion.

Autenticacion --> SSID -- puede ser oculto y esta basado en SSID requerido o SSID abierto. Hay AP's que no aceptan SSID null. Tambien se utiliza el Filtrado de MAC. Que MAC puede conectarse a mi AP. Aqui entran los programas Spooffing -- utilizados para cambiar la MAC en la trama.
WEP --> se introdujo como sistema de seguridad. Cifrado de 64/128 bits. Puede ser --> OPEN o SHARED KEY. Utiliza un sistema de cifrado llamado RC4 (basado en clave privada y algoritmo CRC-32). Si esta en OPEN podra conectarse, no tiene que saber la clave para entrar pero no podra trabajar, transmitir o recibir. Si hago WEP con SHARED KEY -- cuando pido permiso el AP envia a la estacion un desafio que es una cadena aleatoria, el que recibe esa frase usando la clave WEP tiene que devolver la cadena cifrada y el AP compara el cifrado con uno que el ha hecho, si coincide le AUTENTICA si no coincide no le permitira Autenticarse. El OPEN es mas seguro que el SHARED KEY.

El formato puede ser ASCII o HEXADECIMAL. Cada letra ASCII tiene su equivalente en dos NUMEROS en HEX y cada numero en hex correponde a 8 bits. En la clave de 64 bits solo seran necesarios 40 bits el resto 24 bits los pone el ordenador. En la 128 bits igual solo tendre que poner 104 bits los 24 bits restantes los pone el pc. Por ejemplo, en la de 64 bits ASCII = ABBAD --> Hexadecimal = 4142424144 (8 bits x 5 = 40 bits). ASCII - ABBAD = HEX - 4142424144 sera la correpondiente clave WEP. Cifrado 128 bits. ASCII = ABBADABBADABB --> HEX - 41424241444142424144414242 --> correspondiente a 13 pares de 8 bits c/u = 104 bits.

Un AP sirve para que un equipo inalambrico se conecte a una red cableada. El moden es un dispositivo que permite conectarme a la linea de telefono para conectarme a Internet. La clavija utilizada es la RJ11.

Proceso para conectar a un AP:
1. SSID
2. AUTENTICACION --> conectar el cable
3. ASOCIACION --> conectar el cable
4. KEY WEP --> clave (40 bits + 24 bits - vector de inicalizacion = VI - va cambiando, son diferentes para c/trama)
5. KEY STREM --> clave completa

El emisor (AP), envia primero el IV y luego la trama encriptada. El cliente recibe el IV y la trama que contiene la primera parte de la KEY.
Existe la posibilidad de cambiar la clave manualmente en el AP y el cliente. Capturar sufientes IV's sera suficiente para averigua la clave. Paquetes configurados con el KEYSTREAM (clave completa). Como las posibilidades de combinacion del los IV's son limitados llegara un momento en que se repiten. De los puntos en comun que contienen sacare la clave. IV = 24 bits = 16,000,000 millones de conbinaciones diferentes. Tengo el encriptado y el IV, de estas deduzco la clave.

Inyectando Trafico aumento el trafico en la red. Me interesa la MAC del AP. Otra debilidad del WEP esta en la trama de comprobacion, el sistema que utiliza el destinatario para comprobar que el paquete que me ha enviado esta tal cual me lo han enviado, se utiliza la tecnica del CRC32, añade un dato y con ese dato se hace la comprobacion. Hay programas que varian el dato y el CRC32. Manipular tramas es un ataque con AP falso. MAN IN THE MIDDLE (hombre en el medio) - utilizar tarjetas que pueden trabajar en modo AP, recibir de los clientes y enviar al AP verdadero informacion manipulada.

Driftnet --> Linux -- Revela la informacion de los paquetes que circulan por la red en formato imagen, convierte los unos y ceros en imagenes. Construira con los datos la imagen.

WEP es un sistema de cifrado y autenticacion. Autenticacion solo en un sentido. El cliente no tenia que autenticar el AP.

WPA que no esta standarizado. El WPA2 si que se ha standarizado. En linux nos permite el WPA-SUPLICANT utilizar el WPA. La tarjeta de red tambien debe incluir el soporte a WPA. Es un sistema que utiliza un reconocimiento mutuo, el cliente comprueba el AP y el AP al cliente. Esto impide, por ejemplo, la utilizacion del MAN IN THE MIDDLE.
WPA --> PERSONAL - el propio AP gestiona la seguridad.
--> CORPORATIVA - Necesito de una instalacion extra, GNU-Linux es un Ordenador que lleva la seguridad de los AP's y claves de todos los ordenadores. Se llama SERVIOR LDAP. El servidor tendra una IP y un PASSWORD. Servidores de seguridad externos. El AP tiene que funcionar en LDAP.

WPA AUTENTICAR es autorizar al cliente transmitir.
WPA --> PSK (pre-shared-key) -- utilizado en WPA personal. Utiliza el protocolo TKIP (la forma que tiene de encriptar, metodo de cifrado). TSK con TKIP utiliza clave temporal. Utiliza claves dinamicas. Utiliza una clave para autenticarse y claves diferentes para cifrar. PSK es la clave compartida para autenticarse. Luego utiliza la PMK que es dinamica.

TKIP --> los IV's son de 48 bits. Los ataques de fuerza bruta son los utilizados en el descifrado de claves WPA.
PSK --> utiliza la PHASE (clave), SSID + la longitud SSID, con esos datos se generara una clave de 256 digitos.

En la integridad los WPA utilizan no los CRC (wep), si no una tecnica llamada MIC. Los datos y el comprobante estan protegidos.

WPA:
Empresarial Autenticacion por servidor --> 802.1X/EAP (Servidor LDAP y RAIUS)
Cifrado --> TKIP-MIC

Personal --> Autenticacioon --> PKS
Cifrado TKIP-MIC comprobacion de errores.

WPA2
Servidores --> 802.1X/EAP
AES-CCMP

Personal --> PSK
ACS-CCMD

REPASO...

Wireless --> puente --> Bridge. No estan standarizados.

Los bridge solo pueden conectarse entre si.
Para que un equipo pueda hacer de Bridge y AP a la vez --> AP root - AP Repetidor (AP cliente), este ultimo puede recoger clientes y pasarselos al primero. Deben utilizar el mismo canal.
Segunda opcion utilizando WDS (wireless distribution system). Dos AP's configurados como WDS. los dos Conectan a clientes asocian a clientes y se comunican entre ellos. Deben tener la misma clave de cifrado y el mismo canal.

TROUBLESHOOTING --> diagnostico de problemas. Empezar siempre por lo mas sencillo.
Aislar el error por capas OSI.
Capa 1 --> la señal inalambrica que se transmite.
interferencias. Comprobar con programas de inspecion de sitios (software), un analizador de espectros (detecta las señales de todos los equipos que estan generando señales en la frecuencia 2.4, bluethooh, movil, un lector de codigo de barras conectado a un AP, etc.).
Antenas

Capa 2. Razones por las que no puedes conectar.
Seguridad.
El programa que tenga el control de la tarjeta mejor que sea la utilidad de la misma tarjeta, no el del sistema NO UNiX = no funciona.

Capa 3.
Descativar Firewall
IP

SEGURIDAD - las redes inalambricas por definicion son inseguras.
Diferentes metodos para asegurar mi red inalambrica.
La seguridad en una RED se entiende de forma GLOBAL.
Una red standard normal con vario servidores y estaciones de trabajo, wired, wifi y salida a Internet. Cuando me planteo la seguridad de esta red me la planteo de forma global. La seguridad viene dado por otros factores.
Hay una seguridad orientada para que nadie entre a mi red, routers, AP, pertenecen a la seguridad PERIMETRAL. Los NODOS cableados no.
Seguridad Interior. Derivada de los ataques producidos desde la propia LAN. Todo tiene que estar documentado. Un firewall puede ser un PC con dos tarjetas de red y un programa de Software. Ordenadores expuesto utilizan GNU-Linux por su fiabilidad y seguridad. Proxy es un ordenador que hace de Cache. Al solicitar una pagina de internet permitira almacenarla. Gano en rapidez.

SSID oculto: En las primeras redes la seguridad solo llevaba AP hide (oculto). SSID hide. Va en la cabecera y la cabecera no se encripta.

FILTRADO DE MAC: Impide o permite que cualquier ordenador que yo elija pueda conectar. Las MAC viajan en las cabeceras de la trama (formato txt).

WEP: Para asegurar la confidencialidad, encripto los paquetes. Sistema de clave simetrica estatica, misma clave el cliente y el AP. A la hora de autenticar puede elegir entre sistema OPEN o SHARED KEY. Necesitan saber la clave wep de 64 o 128 bits. Al transmitir CIFRAMOS los paquetes con el sistema RC4. A traves del CRC se puede comprobar si los datos coinciden con los enviados. Es un sistema de seguridad Standarizado. Si yo genero suficiente trafico alguien que este capturando paquetes puede llegar a averiguar la clave. Para solventar esta deficiencia existe la posibilidad de cambiar cada cierto tiempo la clave. Es un sistema totalmente inseguro.

WPA: Nace con caracter temporal. Tiene dos metodos de trabajo:

CORPORATIVO --> Con un administrador LDAP solo necesitare el nombre y la IP del servidor LDAP. Puedo decidir que no entre por clave sino por usuario. En vez de ser atendida por el AP se le pase al SERVIDOR LDAP/EAP. EAP --> Envia el password de manera que sea INDESCIFRABLE, lo que se llama un HASH. El standard utilizado por el servidor LDAP 802.1x, el protocolo que utliza para autenticar una red inalambrica.

PERSONAL --> redes simples WPA - PSK (solo se envia al inicio de la conexion). Pre-shared-key son de 256 bits. Una vez dentro la PSK no se usa. Para la comunicacioin se utiliza la PMK que es dinamica, temporal y puede regularse, en el AP, los segundos de validez de la clave. A nivel de confidencialidad la seguridad es muy alta. Si la clave PSK se descifra con diccionario (fuerza bruta), aunque conecte al AP ese cliente lo que no podra es leer la informacion que circula por la red. AUTENTICAR --> PSK. CIFRA/DESCIFRAR --> PMK. La encriptacion utilizada es la TKIP, clave dinamica utilizada en el WPA.

WPA2 --> 802.11i --> standard de seguridad para redes inalambricas. Como alternativa al TKIP esta el AES, que es otra forma de cifrar. Los clientes deben permitir la tecnologia ya sea WPA o WPA2 y esto dependera del sistemas operativo y de la tarjeta. Que exista compatibilidad. En el AP puedo actualizar el firmware y en el cliente, actualizar el driver de la tarjeta. En el sistema operativo, actualizar el WPA_SUPLICANT.

No hay comentarios:

Publicar un comentario