HCIP Seguridad H12 723 Tecnologías de Seguridad WLAN IV

Última respuesta en. 05, 2020 12:34:59 120 2 1 0

Buenas noches.

La siguiente publicación corresponde a la parte 4 de 5.
En los siguientes enlaces podrás acceder a las primeras 3 partes:

https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-tecnología-de-seguridad-wlan/thread/593422-100233


https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-tecnología-de-seguridad-wlan-ii/thread/593424-100233


https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-tecnología-de-seguridad-wlan-iii/thread/593476-100233



TECNOLOGÍA DE SEGURIDAD WIRELESS LAN (WLAN) IV

Seguridad de Acceso Para el Usuario de la WLAN

 

 

Tecnología de Seguridad WLAN

TECNOLOGIAS DE SEGURIDAD WLAN


·        Una STA accede a la WLAN en secuencia de las siguientes fases:

§  Servicio de Descubrimiento de la WLAN: una STA necesita encontrar una red antes de que pueda usarla. En el campo inalámbrico, el p***eso de identificar las redes existentes den un área específica se llama p***eso de servicio de descubrimiento de WLANs.

 

·        Autenticación del Enlace: este es el punto de inicio para que una STA se conecte a una red inalámbrica. La STA informa a la res sobre su propia identidad. Si la WLAN intenta conectarse a la red, debe pasar la autenticación 802.11

Ø Asociación de la STA: después de que la STA pasa la autenticación de la identidad, se puede conectar a la estación base para obtener derechos de acceso completos a la red. Después de se completa la negociación del enlace, un enlace 802.11 se configura entre el servidor WLAN y el cliente. Si la autenticación de accedo no está habilitada, el cliente WLAN accede a la red. Si la autenticación está habilitada, el servidor WELAN dispara una autenticación de acceso

 

§  Autenticación de Acceso: la autenticación de acceso implementa la identidad de la autenticación para los usuarios de acceso. WLAN soporta autenticación 802.1X, autenticación por dirección MAC, autenticación por llave pre-compartida (PSK) y autenticación por portal (Portal Autentication). La autenticación PSK está dedicada para los usuarios WLAN, y los otro métodos de autenticación puede ser usados para ambos, tanto usuarios alámbricos como inalámbricos.

 

§  Negociación de la llave: la negociación de la llave fortalece la seguridad de la transmisión de datos. Los estándares de la IEEE 802.11i y 802.1X definen la EAPoL que es un mecanismo de negociación de llave para asegurar la seguridad de los datos en las WLANs. Es un mecanismo de saludo de 4 vías usado entre el servidor WLAN y el cliente. La negociación de la llave se usa para encriptar y des encriptar los datos en los enlaces 802.11.

 

§  Encriptación de Datos: la privacidad de los datos en los enlaces inalámbricos se garantiza a través de los protocolos de encriptación. Estos protocolos permiten que solo los usuarios autorizados con llaves validas tengan acceso a los datos y previene que los datos sean robados o falsificados durante la transmisión.

 

 

Conceptos Relacionados a la Autenticación de Acceso en la WLAN

ACRÓNIMO

NOMBRE COMPLETO

WEP

Wired   Equivalent Privacy (Privacidad Equivalente a la Red Cableada)

IV

Initialization   Vector (Vector de Inicialización)

WPA

Wi-Fi   Protected Access (Acceso Protegido a la WI-FI)

EAP

Extensible   Authentication Protocol (Protocolo Extensible de Autenticación)

EAP-TSL

EAP-Transport   Layer Security (EAP-Seguridad Para la Capa de Transporte)

TKIP

Temporal   Key Integrity Protocol (Protocolo Temporal de Llave Integral)

PSK

Pre-Shared Key (Llave Pre Compartida)

CCMP

Counter Mode With CBC-MAC Protocol

AES

Advanced   Encryption Standard (Estándar de Encriptación Avanzada)

 

Sistema de Autenticación de Acceso a la WLAN y Modo de Autenticación

·        WEP, WPA/WPA2, y WAPI son mecanismos de seguridad desarrollados para las WLAN. Los mecanismos incluyen autenticación para la configuración de enlaces inalámbricos, autenticación para acceso a los usuarios, y encriptación de datos para el servicio de transmisión de datos de los usuarios de la WLAN.

 

NIVEL DE   AUTENTICACIÓN DE ACCESO

ALGORÍTMO DE   MECANISMO DE AUTENTICACIÓN

Nivel de Enlace

·           WEP

§  Sistema Abierto

§  PSK

·           WPA/WPA2-PSK

·           WAPI

Nivel de Red

·           802.1X

·           WPA/WPA2-8021.X

·           Portal/WEB

·           WAPIMAC

 

·        Las dos fases en el p***eso de acceso a la WLAN están relacionadas para la autenticación. En otras palabras, las STAs que usan la WLAN deben pasar ambos niveles de autenticación antes de que puedan acceder a la red.

 

·        ¿Por qué se usa el nivel autenticación de enlace? La razón principal es que la WLAN transmite satos sobre señales inalámbricas abiertas, las cuales pueden ser recibidas por cualquier dispositivo que cumpla los requerimientos. Por consiguiente, el emisor y el receptor de las señales inalámbricas deben están autenticados para asegurar la seguridad de los datos. En nivel de autenticación de enlace puede ser considerado como la gran diferencia entre la autenticación de acceso a la WLAN y la autenticación de acceso a la red cableada. Generalmente, el acceso a la red cableada solo requiere autenticación de nivel de red.

 

 

Seguridad de Acceso Para el Usuario

·        La Agile Controller de HUAWEI soporta 4 políticas de seguridad:

§  WEP: sistema de autenticación abierto, autenticación de llave compartida y encriptación WEP.

§  WPA: autenticación PSK, EAP, TKIP y encriptación CCMP

§  WPA2: autenticación PSK, EAP, TKIP y encriptación CCMP

§  WAPI: autenticación PSK, certificado de autenticación y curva elíptica criptográfica (ECC)

 

·        La WLAN está protegida a través de la autenticación de usuario la cual previene  que usuarios no autorizados ingresen a la WLAN y la encriptación de los datos la cual protege la integridad y privacidad de los datos

WEP: Wired Equivalency Privacy

·        La tecnología de seguridad WEP está derivada de la tecnología de encriptación de datos RSA llamada RC4 para que los usuarios reúnan los requisitos necesarios para un alto nivel de ciberseguridad. Es un protocolo de seguridad definido en el estándar 802.11b para las WLAN.

 

·        Modos de autenticación:

§  Sistema de autenticación abierta

§  Autenticación por llave compartida

 

·        WEP usa el algoritmo RC4 , el cual es fácil de quebrar

·        WEP usa llaves estáticas, haciendo que la distribución de las llaves y el mantenimiento sean difícil

·        Después de que la autenticación abierta de WEP se habilita, los usuarios inalámbricos pueden acceder a la red sin autenticación

·        Autenticación WEP abierta + la autenticación por portal pueden ser usadas para el acceso a invitados.

·        No se recomienda WEP para otros escenarios que no sea el mencionado con anterioridad.

·        Una política de seguridad WEP define el mecanismo para la autenticación del enlace y el mecanismo de encriptación de los datos.

 

·        El mecanismo de autenticación del enlace incluye el sistema abierto y la autenticación de la llave compartida.

§  Si se usa el sistema abierto de autenticación, los datos no se encriptan durante la autenticación del enlace. Después de que le usuario está en línea, sus datos pueden ser encriptados o no por WEP, dependiendo esto de la configuración.

 

§  Si se usa la autenticación por llave compartida, el cliente de la WLAN y el servidor completan la negociación de la llave durante la autenticación del enlace. Después de que un usuario está en línea, los datos del usuario son encriptados usando la llave negociada.

 

 

P***eso de Encriptación WEP

§  IV es el vector de inicialización

§  Password es la contraseña

§  KSA= IV + contraseña

§  DATA (datos) están en texto plano

§  CRC-32 el valor del chequeo de la integridad en texto plano

§  PRGA= secuencia clave seudo-aleatoria de RCA (KSA)

§  XOR: or exclusiva

§  Encrypted Data: texto cifrado en encripción

§  El IV y los datos encriptados se envía juntos.

P***ESO DE ENCRIPTACIÓN


P***eso de Encriptación WEP

·        La WI-FI ALLIANCE define WPA como : WPA=802.1X +EAP + TKIP + MIC

§  802.1X se refiere a los estándares de autenticación definidos por la IEEE

§  EAP es un protocolo extendido de autenticación.

§  TKIP es un protocolo de administración de llaves

§  MIC es el acrónimo para Message Integrity Protocol (Protocolo de la Integridad del Mensaje) es usado para checar precisamente, la integridad del mensaje, previniendo que un atacante intercepte, robe o incluso retransmita los paquetes de datos.

 

·        WPA no solo comprende la encriptación del enlace, sino la autenticación de la identidad y el chequeo de la integridad.

 

·        De acuerdo con lo que previamente la se ha visto, WEP usa el algoritmo RC4 para la encriptación del enlace. Las llaves en diferentes paquetes son similares o incluso duplicadas, y la verificación de los datos no está encriptada. WPA ha hecho grandes mejoras en este aspecto. En lugar del algoritmo RC4 usado en WEP, WPA usa los protocolos TKIP y MIC para asegurar la encriptación del enlace y el chequeo de la integridad de los datos.

 

 

Comparación Entre WPA y WPA2

·        WPA usa TKIP/MIC como protocolo de encriptación. WPA2 usa AES-CCMP, el cual provee mayor seguridad.

MODO   DE APLICACIÓN

WPA

WPA2

Modo de   aplicación Empresarial

Autenticación de identidad: IEEE 802.1X/EAP

Autenticación de identidad: IEEE 802..1X/EAP

Encriptación: TKIP/MIC

Encriptación: AES-CCMP

Modo de   aplicación SOHO/Personal

Autenticación de Identidad: PSK

Autenticación de Identidad: PSK

Encriptación: TKIP/MIC

Encriptación: AES-CCMP

 

·        AES-CCMP: Estándar Avanzado de Encriptación- Modo de Contadores con Cifrado-bloqueo encadenado al mensaje.

·        AES-CCMP es el protocolo de seguridad inalámbrica más avanzado orientado al público. CCMP provee las funciones de  encriptación, autenticación y el chequeo de la integridad y anti-reenvío.

·        CCMP usa el algoritmo encriptación AES de 128-bit para implementar confidencialidad. Otros componentes del protocolo CCMP son usados para implementar los otros tres tipos de servicios. Basado en Counter-Mode/CBC-MAC (CCM), CCMP usa la el algoritmo de encriptación AES. Por consiguiente AES-CCMP también se le llama AES-CCM

 

 

WAPI: WLAN Authentication and Privacy Infraestructure (Autenticación de la WLAN y Privacidad de la Infraestructura)

·        Composición de WAPI

§  WLAN Authentication Infraestructure (WAI): es usado para autenticar la identidad y la administración de las llaves.

 

§  WLAN Privacy Infraestructureture (WPI): es usado para la encriptación y verificación de los datos y protección contra ataques de reenvío.

 

 

·        Ventajas de WPI:

§  Autenticación Bidireccional de Identidad

§  Certificado Digital de Credencial de Identidad

§  Protocolos de Autenticación Completa

 

·        Precauciones de WAPI: las terminales en algunos países pi¿odrían no soportar el estándar WAPI

 

·        WAPI es un estándar Chino nacional para las WLAN, el cual fue desarrollado basado en el estándar de la IEEE 802.11. WAPI provee alta seguridad, mas que WEP y WPA y consiste en las siguientes partes: WAI y WPI

 

·        En marzo del 2006, ISO pasó el estándar 802.11i de encripción y rechazó la propuesta WAPI. En junio del 2009, el gobierno Chino reenvio la aplicación para el estándar. Los participantes, incluyendo la representación de EEUU, acordaron en usar WAPI como un estándar independiente para lso mecanismos de seguridad de acceso a las WLAN. De cualquier modo, el noviembre 21 del 2011, el gobierno Chino revocó la aplicación y OSI canceló el proyecto WAPI. Por consiguiente, WAPI es válido solo *****ombre y rara vez se implementa en redes.

 

 

Comparación Entre Varios Modos de Seguridad De Acceso

SEGURIDAD DE ACCESO

SERVIDOR DE   AUTENTICACION

SERVIDOR DE   CERTIFICADO

CONVENIENCIA DE   IMPLEMENTACION

IMPLEMENTACION DE   SEGURIDAD

WEP

N/A

N/A

Alto

Bajo

WPA/WPA2 (PSK)

N/A

N/A

Alto

Medio

WPA/WPA2 (EAP)

Requerido

PEAP   (opcional)

EAP-TLS   y EAPTTLS (requerido

Medio

Alto

WAPI

Requerido

Requerido

Medio

Alto

 

 

Otros Métodos Para Proteger la Seguridad de las WLAN

·        Pueden ser usado con la seguridad de acceso

§  STA lista negra y lista blanca

§  Aislamiento de usuarios

§  Autenticación por dirección MAC

§  Autenticación por Portal WEB

§  Técnicas de anti-espionaje, tales como DHCP snooping DAI e IPSG.



Finalizamos aquí con esta parte del tema. Espero tuscometarios y dudas. No olvides dar clicl en "util" ()

  • x
  • convención:

NACA4412
Publicado 2020-1-5 12:34:59 Útil(0) Útil(0)
Buen aporte
  • x
  • convención:

Marban
Marban Publicado 2020-1-5 21:19
Gracias @NACA4412 puede visitar mi perfil mas consultar más información  

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión