Detección de intrusos en redes Wireless

Muy buenas a todos,

A través del blog de SecurityByDefault, me llega este post que trata sobre securización en redes Wireless.

Es interesante por que trata sobre una tecnología muy de moda hoy en día, que todo el mundo quiere usar en casa, la empresa, etc.,  por que es muy cómoda, pero casi nunca pensamos en sus implicaciones en la seguridad de nuestros datos. Por lo general, el proceso de añadir seguridad a una red Wireless se centraba en:

• Cambiar la contraseña por defecto del punto de acceso.  Sí, adelante, reíros de este punto… Pero os sorprendería ver la cantidad de routers que sirven como AP (Access Point) que mantienen la contraseña que trae por defecto. ¿Cómo? ¿Qué no será para tanto? Bueno, por un lado en este sitiopodrás encontrar el password de origen de cualquier router.
• Añadir algún tipo de cifrado a la conexión, comúnmente conocido como “poner contraseña a la wifi”. Existen varios protocolos, aunque los más conocidos hoy en día son WEP y WPA2. Aquí los problemas eran varios:
  • WEP, que es el más conocido y difundido, es también el más débil. Hace ya muchos años que se consiguió romper, incluso algunos claves en menos de un un minuto, por lo que no es para nada recomendable su uso.
  • En España, los routers de telefónica traían configurado en sus routers por defecto el protocolo WEP. Por esto está tan difundido por aquí. Además, las claves seguían un patrón, formado, entre otras cosas, por parte de la MAC del router. Con esto, romper una clave WEP de Telefónica era coser y cantar.
  • Por mucho que escojas un método de cifrado del carajo, si la clave que usas para realizar la autenticacion es el nombre de tu perro como que mejor no pones clave… (esto léase elevado a lo absurdo).
  • En entornos enterprise, esto ya se puede complicar si lo integras con un servidor Radius y cosas similares.
• Realizar un filtrado por la dirección MAC. Esto es, configuras en el router todas las MAC de los equipos que pueden conectarse, de forma que “sólo ellos” puedan conectarse.
  • Esto puede llegar a ser in-administrable (imagina un parque sólo con 50 equipos que se conecten por Wireless).
  • Los routers suelen tener un máximo de MAC a configurar.
  • Este método se salta con la minga suplantando la MAC del equipo.
• Además de todo lo anterior, a veces se instala un portal cautivode forma que exista una segunda autenticacion para poder a) salir a Internet b) conectarse a la red c) etc.
  • Suele ser fácil saltarse estos sistemas, aunque depende de su configuración, etc.

Si a esto lo sumamos que “está de moda” salir a la calle e intentar conectarse a las redes Wireless que detectes, así como a la proliferación de herramientas existentes, se puede resumir la situación en, cuanto menos, preocupantes. Sobre el tema de seguridad en redes Wireless se ha escrito mucho, y se seguirá escribiendo, pero se puede resumir en los siguientes puntos:

• Desconocimiento por parte de los usuarios de cómo se configura la seguridad. Esto es común a muchas otras cosas en informática. Yo hice una prueba por Madrid, y con el móvil intentaba localizar redes Wireless libres, sin autenticación ni cifrado ni gaitas, y es sorprendente la de ellas que encontré. Y eso con la potencia que tendría mi móvil… Y no sólo en particulares, sino en empresas, oficinas de la administración pública, etc.
• Las redes Wireless muchas veces se ponen “como un complemento” que viene bien y “mola”. Pero pocas veces se tienen en cuenta las repercusiones en seguridad que puede tener esa decisión. Y hoy en día, simplemente con la LOPD, ya hay que tener cuidadín…
• Los propios empleados de empresas a veces ponen un router Wireless “por comodidad”. Así se puede conectar desde la cafetería, la cocina, etc. No se comunica a sistemas (lógico, por que no dejarían hacerlo), ni se toman medidas, etc. Como se ve, a veces la realidad supera la ficción.

Podría seguir con ejemplos mucho más tiempo, pero haría esto demasiado aburrido. Creo que como chapa evangelizadora y de concienciación es suficiente…

Está claro que tenemos un problema, que se traduce en que tendremos múltiple moscones revoloteando alrededor de nuestras redes Wireless. Intentando capturar tráfico para luego hacer maldades. La pregunta es ¿existe algo que podamos hacer para saber si “alguien” intenta hacer el mal con nuestra red Wireless? Sí, existe. ¿Y barato? También.

LA solución puede pasar por instalar un IDS para la red Wireless. Esto es, un dispositivo con un interfaz Wireless que monitorice el tráico Wireless a su alcance en busca de intrusos no deseados o de comportamientos anómalos.

La forma barata es usando los siguientes elementos:

• Un router Linksys de la familia WRT54.
• ¿Por qué este router? Por que en él se puede instalar OpenWRT, que es una distribución Linux, con todos sus beneficios e inconvenientes.
• ¿Y para qué queremos todo esto? Bueno, sobre el router con OpenWRT se puede instalar Kismet. Kismet puede utilizarse como un IDS para redes Wireless. También podría usarse snort, pero según el objetivo quizás sea como matar moscas a cañonazos.

La idea general de la arquitectura quedaría así (robado vilmente de SecurityByDefault, que a su vez enlaza a otro sitio, etc…):

El router podría estar conectado a la red o detectar trafico Wireless de forma pasiva. Como Kismet tiene una arquitectura del tipo “Cliente-Servidor”, es posible tener varias sondas distribuidas que reporten a un servidor central, que el administrador monitorizará para comprobar las alertas, etc. Así mismo, se pueden configurar alertas por correo electrónico, SMS, etc.

Además, todo esto sería posible integrarlo en la arquitectura de seguridad de un SIM (Security Information Manager). Como buscamos propuestas económicas, mi propuesta sería en este caso OSSIM, que si bien en entornos muy enterprise aún necesita de un repaso, no está nada mal para empezar (y si el proyecto se analiza como debiera y se integran solo aquellos elementos y alertas realmente necesarias, debería ir bastante bien). Pero aquí entramos ya en temas de implantación de Sistemas de Respuestas ante Incidentes de Seguridad y… es otro mundo… que mejor dejamos para otro momento…

Para quien desee profundizar más en seguidad Wireless, puede leer esto de SecurityFocus.

Related posts

• La seguridad interna sí es importante… (1)
• [Guía] Vamos a bastionar… (0)
• Métricas de seguridad (0)
• Convirtiendo Firefox en una máquina de matar… (0)
• [Howto] Reset iptables (0)

Leido 119 veces