29 septiembre 2008

HoneyPots WIFI

Tener una red WIFI es un tema muy delicado, y más si se trata de un entorno corporativo. Como por todos es sabido, las clásicas medidas de protección basadas en filtrado de direcciones MAC son, aparte de tediosas en configurar si el entorno es lo suficientemente grande, inefectivas por completo.

El verdadero reto en un entorno WIFI grande es poder detectar si alguien esta conectado de forma fraudulenta. En ese escenario, se puede configurar una red de HoneyPots WIFI que permitan detectar la presencia de personas conectadas desde fuera del recinto de la organización, ya que lo mas probable es que los accesos malintencionados se produzcan desde fuera del perímetro.

Uno de los puntos claves, y donde realmente se juega el partido, es en la capacidad de optimizar las zonas de cobertura de los Access Points 'legales'. Estrategias para ello hay muchas y obviamente depende del entorno que se pretenda optimizar, no es lo mismo un edificio, que un piso del edificio. En general, un Access Point decente admite el uso de antenas externas, adquiriendo antenas direccionales en vez de las clásicas omnidireccionales, podremos dirigir con bastante precisión el radio de cobertura.

Una vez completada la optimización de la cobertura y teniendo bajo control los posibles 'leaks' (NetStumbler es tu amigo), pasamos a la fase dos que consiste en crear una red paralela de AccessPoint cuya cobertura esté optimizada a la inversa, es decir, que su área de cobertura sea hacia el exterior y a ser posible con poca incidencia interna.

El modelo deseado se puede ver, gráficamente, así (click para ampliar):

Es muy importante que la red Honeynet comparta el mismo essid y el mismo channel de emisión. Es conveniente hacerlo así para que, desde dentro, al estar los honeypots emitiendo en el mismo channel a menor frecuencia, los clientes legítimos siempre conecten a los corporativos y a la inversa, las conexiones externas deben acabar siempre en los honeypots.

Otro punto a destacar es que tanto si se emplea un servidor radius para validar las conexiones WPA o EAP-TLS, en la red HoneyPot debe haber una copia de la base de datos, ya que lo interesante es averiguar que cuenta / certificado digital ha sido comprometido para el acceso malintencionado.

Una vez implementada la infraestructura, solo queda configurar la red Honeynet para que envíe información a un punto central donde se puedan diseñar alarmas en caso de que se produzca un login satisfactorio. Muchos servidores Radius permiten exportar vía syslog la información. En un próximo post recomendaré una estupenda herramienta para realizar correlaciones de este tipo.

5 comments :

Asfasfos dijo...

Jesús, me parece un tema muy interesante la verdad, pero veo un pequeño problema, ¿realmente merece la pena montar todo este fregao para ver si tu seguridad ha sido comprometida? Me explico de otra forma, has comentado el uso de Radius con WPA y certificados, ¿no crees que eso ya es suficiente seguridad? Sinceramente veo muy dificil saltar este tipo de cifrados de seguridad, no te digo que no sea posible (porque seguro que lo es).

Entiendo también que depende de la importancia de los datos en esa red hay que poner mas o menos seguridad, pero yo sinceramente no pondría una red wifi en la que van a ir datos de caracter personal o confidenciales.

Un saludo

P.D: Jesús, si no te importa pondré tu web en enlaces en mi blog :)

Yago Jesus dijo...

Hola compañero, efectivamente WPA2 y especialmente EAP-TLS son sistemas muy robustos y a priori, no 'rompibles'. Los proyectos HoneyPot-WIFI van orientados a entornos bastante grandes donde un portatil se puede perder y con el, las credenciales (llamalo clave, llamalo certificado digital) de acceso. Los proyectos que yo he diseñado de este tipo, han sido para entidades bancarias. Respecto a lo de la web, claro que si, estamos encantados y cualquier sugerencia que tengas, para la web o para los bots, comentanosla

Alexander dijo...

Hola:
Voy a realizar un proyecto de fin de master de investigación sobre honeynets en redes wifi para la detección de posibles ataques, y segun los resultados de mi investigación probar en un entorno real con herramientas ya existenates o desarrollar alguna propia. Por eso me gustaría conocer cual es la web de Jesus y si en ella se habla más de las honeynets. Toda la información que pueda recaudar es importante. Una vez acabado mi proyecto quiza lo publique en un blog o algo parecido, y me encargaré de que el que me ayude conozca la dirección en que lo he colgado.
Muchas gracias

MauroKa dijo...

Hola Alexander,
hiciste tu tesis en WIFI honeypot? tengo ganas de hacer algo al respecto. si tenes algun link o referencia para pasarme te agradeceria.
saludos!

Yago Jesus dijo...

@MauroKa En realidad fue un proyecto empresarial. Hasta donde yo se, el tema de los honeypots wifi es algo muy artesanal, no conozco software ni nada parecido