HCIP Seguridad H12 723 Tecnología de Seguridad WLAN III

58 0 0 0

Buenas noches a todos.

Continuando con este tema, les entrego la parte 3 de 5. Visiten las primeras dos partes en los siguientes enlaces:

https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-tecnología-de-seguridad-wlan/thread/593422-100233


https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-tecnología-de-seguridad-wlan-ii/thread/593424-100233


TECNOLOGÍA DE SEGURIDAD WIRELESS LAN (WLAN) III

Principios de Sistema WIDS y WIPS

 

 

Tecnología de Seguridad WLAN

·        La seguridad de la WLAN comprende la seguridad frontera, seguridad de acceso del usuario y servicios de seguridad.

 

·        Seguridad Perimetral: una red del tipo 802.11 está sujeta a amenazas provenientes de usuarios de APs no autorizados, redes Ad Hoc y ataques DoS. Un sistema de detección de intrusos para la red inalámbrica (WIDS) puede detectar usuarios y APs no autorizados. Un sistema de prevención de intrusos para la red inalámbrica (WIPS) puede proteger la red de una empresa contra accesos no autorizados de dispositivos o redes móviles.

 

·        Seguridad de Acceso del Usuario: autenticación del enlace, autenticación de acceso y encriptación de los datos son usados para asegurar la validez y la seguridad del acceso del usuario en las redes inalámbricas.

 

·        Servicio de Seguridad: este elemento protege los servicios de datos de usuarios autorizados que están siendo interceptados por usuarios no autorizados durante la transmisión.

 

·        WIDS: este elemento o característica puede detectar dispositivos enemigos, ataques e intrusiones en las redes inalámbricas. Los dispositivos que puede ser detectados incluyen  APs, puentes inalámbricos, clientes enemigos terminales Ad Hoc y APs en el mismo canal.

 

·        WIPS: este elemento o característica es una extensión de WIDS y brinda protección más allá, protegiendo a las WLAN y a los usuarios de accesos no autorizados y provee defensa contra ataques a los sistemas de la red. WIPS desconecta  a los usuarios autorizados de los APs enemigos y desconecta terminales de usuarios no autorizados y dispositivos Ad Hoc de la WLAN, defendiendo contra dispositivos enemigos

 

·        WIDS/WIPS:

§  Detecta dispositivos  “air interface”, clasifica los tipos de riesgo y ayuda a administrar a los usuarios de la air interface service security.

Ø Previene que los usuarios construyan redes por ellos mismos.

Ø Defiende contra espionaje de SSIDs para prevenir que los usuario de conecten a redes inseguras , por consiguiente evitando así la fuga de datos privados

§  Detecta los ataques del tipo Flood para mejorar el servicio de seguridad del AP

§  Previene ataques de fuerza bruta para asegurar la seguridad de la contraseña del usuario.

 

·        Las tecnologías de WIDS y WIPS aseguran la red inalámbrica, reducen a interferencia de dispositivos no autorizados y protegen a los usuarios de ataques maliciosos, entregando una mejor experiencia

 

 

Vista Conjunta de la Función de WIDS y WIPS

·        WIDS

§  WIDS monitorea el estado de operación de las redes y los sistemas de acuerdo con las políticas de seguridad, analiza las actividades del usuario y determina el tipo de eventos de intrusión para detectar redes no autorizadas..

 

·        WIPS

§  WIPS monitorea las redes inalámbricas en tiempo real  para detectar eventos de intrusión y proveer una defensa activa y advertir sobre comportamientos de ataque.

 

·        Con el rápido desarrollo de las técnicas de ataque, las WLAN están enfrentando más y más amenazas de seguridad. Las malas configuraciones de los APs pueden resultar en secuestros de sesiones y ataques DoS en las WLAN. Las WLAN son atacadas con frecuencia no solo porque estén implementadas en la arquitectura TCP/IP tradicional de las redes cableadas, sino también porque los estándares 802.1 del IEEE tienen sus propias vulnerabilidades.

 

·        Una red 802.11 enfrenta amenazas de APs enemigos, redes Ad Hoc y ataques DoS. Los dispositivos enemigos atentan contra las redes inalámbricas de una manera más severa que otros ataques. Para detectar y defender a las WLAN de estos ataques de una manera más efectiva, WIDS y WIPS pueden detectar ataques maliciosos e intrusiones en las WLAN en etapas tempranas, ayudando a los administradores de la res a encontrar riesgos potenciales. De este modo, las medidas preventivas pueden ser tomadas a tiempo para proteger a las WLAN de los ataques.

 

 

Modo de Operación de un AP

·        la identificación de un dispositivo enemigo en una red WLAN puede implementar monitoreo de la red entera. Monitorear los APs de manera periódica puede permitir el escuchar las tramas inalámbricas para detectar dispositivos enemigos

 

·        Antes de configurar la identificación de un dispositivo enemigo en un AP, se debe de configurar el modo de trabajo. Existen dos modos:

 

§  Normal: el radio trabaja en modo normal

Ø Si la interface de escaneo del aire está deshabilitada, el radio transmite servicios básicos de WLAN.

Ø Si la interface de escaneo del aire está habilitada, el radio provee funciones de monitoreo adicionalmente a las funciones del servicio WLAN básico. Las funciones de monitoreo pueden afectar los servicios WLAN.

 

§  Monitor: el modo monitor no provee servicios básicos de WLAN. Solo provee servicios WLAN con funciones de monitoreo, tales como WIDS, análisis de espectro y ubicación de STA

 

 

Identificación de Dispositivos Enemigos

·        Cuando un AP trabaja en modo monitor escanea los canales, escucha las tramas 802.11 enviadas por los dispositivos inalámbricos que le rodean, determina el tipo de dispositivo inalámbrico e identifica los dispositivos enemigos de acuerdo al p***eso de detección del AP y al p***eso definido por el cliente

§  Dispositivos Monitoreados

§  AP enemigo

§  Cliente Enemigo

§  Terminal Ad hoc

§  Puente inalámbrico

DISPIOSITCIOVOS ENEMIGOS


P***eso de Determinación de un Dispositivo Enemigo

·        La AC extrae la información de las entradas del vecino reportadas por los APs uno por uno y ejecuta las siguientes criterios para el tipo de dispositivo:

§  Validez del AP: APs pueden ser clasificados basados en la dirección MAC, SSID o la lista blanca de OUI. Los APs que no estén administrados por  la AC y que no puedan ser clasificados por dirección MAC, SSID o la lista blanca OUI son considerados APs enemigos.

 

§  Validez del Cliente:  clientes asociados con APs enemigos son clientes enemigos

 

§  Validez de un Puente Inalámbrico: misma identificación que un AP.

 

§  Ad hoc: todos los dispositivos Ad hoc son dispositivos enemigos.

 

§  NOTA: si una AC determina que un AP es un AP enemigo, disparará una alarma y la enviará a la plataforma de administración de la red a través de una trap de SNMP. La AC no dispara alarmas de dispositivos enemigos por otro tipo de dispositivos no autorizados.

 

·        Clasificación de Dispositivos por Seguridad:

§  Dispositi****utorizado: no está administrado por al AC y no presenta riesgos de seguridad.

 

§  Dispositivo Enemigo: no está administrado por la AC y puede presentar un riesgo para la seguridad

 

§  Dispositivo Interferente: indica que está trabajando en el mismo canal que otro AP

P***ESO DET DIS ENE


Flujograma de determinación para dispositivos Enemigos

 

 

Contramedidas Para Dispositivos Enemigos

·        La función WIPS soporta contramedidas para APs enemigos, clientes enemigos y dispositivos Ad hoc.

CONTRAMEDIDAS


·        Defensa Contra Dispositivos Enemigos: se puede configurar una lista negra para prevenir el acceso de APs o clientes enemigos.

 

·        Contramedida Para AP Enemigo: cuando se detecta un AP, el AP monitor envía una trama del tipo des autenticación falsa en modo broadcast o unicast que contiene la dirección MAC del AP enemigo, para prevenir que los clientes inalámbricos se asocien a este AP.

 

·        Contramedida Para Clientes Enemigos y Dispositivos Ad hoc: cuando se detecta un cliente enemigo o un dispositi****d hoc, un AP monitor envía una trama de des autenticación falsa del tipo unicast con el BSSID y la dirección MAC del cliente o dispositi****d hoc, para prevenir el acceso del cliente enemigo o desconectar el dispositi****d hoc de la WLAN.

 

·        Los AP monitores toman contramedidas de manera periódica en dispositivos enemigos usando la configuración en modo probado

 

 

Otras Funciones de WIDS y WIPS

·        Detección de ataques Flooding a través de WIDS

§  Mecanismo de detección del Ataque: un monitor AP monitorea el tráfico de Cada STA. Cuando la frecuencia del tráfico del STA excede el umbral configurado, al AP considera que la STA está iniciando un ataque Flood y envía una alarma hacia la AC. Si la función de lista negra dinámica está habilitada, la STA atacante se agrega a la lista negra y el AP descarta todos los paquetes enviados por esta STA para proteger la WLAN

 

·        Detección de ataques de espionaje a través de WIDS

§  Espiar tramas incluye los siguientes tipos

Ø Trama broadcast de des asociación

Ø Trama broadcast de des autenticación

§  Mecanismo de  Detección del Ataque: después de que un AP recibe una trama de broadcast de des autenticación, checa si la MAC origen de la trama es su propia dirección MAC. Si es así, la WLAN está bajo el ataque de espionaje del tipo des asociación o des autenticación. El AP manda entonces una alarma a la AC

 

·        Detección de ataque WEAK IV a través de WIDS

§  Mecanismo de detección del Ataque: un AP identifica el IV en cada paquete WEP. Cuando detecta un paquete que contiene un IV débil, el AP envía una alarma hacia la AC, para alertar al usuario que deben de usarse otras políticas de seguridad para prevenir que las STAs usen IV débiles para encriptación

 

·        Evita el ataque de fuerza bruta para evitar el quiebre de contraseñas PSK

 

 

P***eso de WIDS Para la Detección de un Ataque

·        Después de recibir la información de un dispositi****tacante reportado por el AP, la AC agrega el dispositi**** la lista de dispositivos  atacantes y colecta las estadísticas de los tipos de ataque y trampas basado en el campo “attack type”. Los elementos en  la lista de dispositivos atacantes están ordenandos por tiempo. Después de que el número de elementos alcanza el límite superior, el nuevo elemento anula los elementos existentes.

·        Información de Estadísticas: después de recibir el WIDS de ataque proveniente del AP, la AC colecta las estadísticas del número de tipos de ataque y el número de ataques.

 

·        Traps: las traps pueden ser enviadas a través de una detección de ataque Flood y ataque de espionaje. La información de la alarma incluye la dirección MAC del AP atacante, la dirección MAC del dispositi****tacante, canal y tipo de ataque. Está soportada la supresión de alarma.

 

·        Si una AC detecta un ataque Flood, o un ataque de fuerza bruta que intenta quebrar la contraseña PSK y la función de la lista negra dinámica está habilitada, la AC agrega el dispositi**** la lista y entrega la información del dispositi****l AP correspondiente. Después, el AP descarta los paquetes que provienen de este dispositivo. Si un dispositi****tacante está asociado con un AP, el AP necesita desasociarse del dispositi****tacante. De manera activa, el AP provee una interface de des asociación. La AC necesita mantener entradas en la lista negra y un mecanismo de tiempo para estas entradas. Después de que la lista negra expira, la AC necesita entregar una instrucción hacia el AP para eliminar la lista negra. Un dispositi****tacante puede ser detectado por diferentes APs. Por consiguiente, la lista dinámica necesita ser asociada con la lista de los APs que detectaron tal dispositivo. El mecanismo de tiempo toma efecto para cada AP específico. Si la AC entrega un mensaje de eliminación hacia un AP incorrecto, la lista dinámica no será eliminada. Para prevenir este problema, la AC y el AP deben usar el mismo mecanismo de tiempo para la lista negra.

P***ESO DEFINCION DE ATAQUE


P***eso para definir un ataque por medio de WIDS.

 

WIDS/WIPS: Planeación de AP monitores

·        El AP monitor se recomienda en las áreas claves de vigilancia.

·        Los AP híbridos están recomendados en áreas comunes de vigilancia.

·        Es recomendable que la proporción de APs normales y Monitores AP sea 3:1


PLANEACION DE APS MONITORES



Tecnología de Autenticación de AP

·        Para mejorar la seguridad del AP, una AC puede autenticar a los APs que intentan conectarse a la red. La AC de HUAWEI soporta los siguientes tipos de autenticación:

§  Autenticación por Dirección MAC: controla el acceso de los APs usando una lista configurada de direcciones MAC. Este el método por defecto para la autenticación de APs

 

§  Autenticación por  Número de Serie: controla el acceso del AP usando una lista configurada de números de serie.

 

§  No Autenticación: acepta la petición de acceso de cualquier AP. Esto es, los AP no son autenticados.

 

·        Autenticación Libre por Lista Blanca. También se puede configurar una lista blanca para permitir el acceso de ciertos APs. Los siguientes tipos de lista blanca pueden ser configurados.

§  Lista Blanca de AP: cuando los APs con implementados en una red cableada, un lista blanca de AP puede ser configurada para permitir que APs específicos se conecten a la red sin necesidad de autenticación.

 

§  Lista Blanca WDS: En un sistema WDS una lista blanca puede ser configurada en la raíz y en los APs de en medio para aceptar las peticiones de conexión de los APs inferiores sin autenticación.

§  Lista Blanca en Malla: en una red de malla, una lista de malla puede ser configurada en el portal de malla del AP para permitir el acceso de los nodos dentro de la malla.


Terminamos aquí con esta parte del tema. Comparte, comenta y no olvides dar click en "útil" (♥)

  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión