06 diciembre 2011

Ejemplo de Arquitectura Wireless con WPA2

Como continuación del artículo Seguridad en Redes Wireless, se propone un ejemplo de arquitectura segura para éste tipo de redes.

Antes de nada, se ha disponer de los dispositivos que soporten 802.11i, esto quiere decir que en infraestructuras ya existentes es posible que no tengan esta característica pero en entornos completamente nuevos no deberían de tener ningún problema al respecto.

La mayor parte de los elementos de la infraestructura de LAN Inalámbrica Segura están basados en dispositivos y software Microsoft, pero se puede implementar utilizando otros fabricantes y sistemas operativos, si bien es cierto que puede cambiar la forma de implementación de los mismos, el concepto global será el mismo.

La arquitectura cuenta con los siguientes elementos. Una infraestructura de PKI basada en un Certificate Server, sistema RADIUS, un sistema de Directorio Activo y los elementos Wireless propiamente dichos constituidos por las tarjetas de red inalámbricas (los clientes) y el Punto de Acceso.
En la figura que se muestra a continuación se describen los pasos necesarios para que un cliente se conecte a la red.

(1). El cliente debe tener instalados los certificados propios previo a la asociación con el Punto de Acceso. Esto se puede realizar copiando los certificados manualmente o conectando el cliente al dominio a través de un canal seguro.

(2). El cliente detecta el SSID de la WLAN y lo usa para determinar la configuración correcta y el tipo de credencial que debe utilizarse para esta WLAN específica. El punto de Acceso está configurado para permitir conexiones seguras a través de 802.1x. Cuando el cliente intenta conectarse, el Punto de Acceso le envía el desafío y abre un canal restringido para que se comunique el cliente solamente con el servidor de autenticación (RADIUS). El RADIUS sólo acepta conexiones de un Punto de Acceso de confianza o de otro elemento que haya sido configurado como cliente RADIUS en el IAS. Hay que recordar que la conexión entre el Punto de Acceso y el cliente RADIUS se realizará por un canal seguro.

Formando parte de la negociación EAP-TLS, el cliente establece una sesión de seguridad en la capa de transporte que permite el autenticado entre el cliente y el RADIUS. El tráfico está cifrado y ni tan siquiera el Punto de Acceso tiene “visibilidad” del mismo.

(3). Durante esta fase el RADIUS valida las credenciales del cliente con ayuda del directorio activo (quién transmitirá al RADIUS la información adicional sobre el mismo, entre otras la política de seguridad que aplica sobre el cliente). Una vez validado el cliente por parte del RADIUS, transmite al Punto de Acceso la decisión.

(4). Si la decisión es positiva, el RADIUS transmite la clave maestra (parte de la autenticación EPA-TLS) al Punto de Acceso y con dicha información se crea un canal seguro de transmisión.

(5). El Punto de Acceso conecta el cliente con la Red Interna a través de un canal cifrado.
  • Infraestructura PKI
El primer paso en la implementación de la infraestructura PKI es decidir como se van a emitir y utilizar los certificados dentro de la organización. Esto entra dentro de la directiva de certificados (Certificate Policy) que no es más que un conjunto de normas que definen el funcionamiento de la PKI.

Se deberá decidir que aplicaciones van a utilizar o necesitar certificados dentro de la organización. En este caso se requieren certificados para cada cliente y para el servidor RADIUS. Éstos son los certificados necesarios para implantar la infraestructura de Red Inalámbrica Segura, pero en el futuro puede requerirse certificados para otras aplicación (VPN a través de IPSEC, cifrado de archivos mediante EFS -algo recomendable-, etc.) con lo que la versatilidad del diseño es amplia.

Del mismo modo se deberá decidir el nivel de seguridad de los certificados, puesto que para dar un certificado se recomienda que sea el propio usuario el que se persone para la creación del certificado así como el uso de token de prueba para guardar la clave privada del usuario.

Debido a la criticidad de la entidad emisora raíz (es el punto en el que confían todos los clientes), se recomienda la desconexión de la entidad emisora raíz de la red y así restringir al máximo su acceso. Además como medida complementaria con el objeto de proteger las claves de la entidad es la de utilizar un Módulo de Seguridad por Hardware (HSM).

Como la infraestructura cuenta con una entidad emisora raíz desconectada para poder realizar la operativa de una PKI se crean entidades emisoras subordinadas (dos, en este caso) que son las encargadas de emitir certificados en su nombre. De esta forma las entidades emisoras subordinadas heredan la confiabilidad de la entidad emisora raíz sin exponer la clave de amenazas de seguridad. Esta estructura añade una capa más de seguridad a la entidad emisora raíz y además divide los riesgos entre las entidades emisoras subordinadas.
La implementación de un sistema RADIUS se realiza, en este documento, a través del Servicio de Autenticación de Internet (IAS) de Microsoft. En este caso se utilizará el servicio de AAA (Authentication, Authorization and Accounting) y no el de Proxy, puesto que la infraestructura sólo tiene en cuenta un único servidor RADIUS. Si por cuestiones organizativas se requiriese la implementación de más elementos RADIUS no sería obstáculo para obtener un diseño seguro, similar al desarrollado en este documento.
Se debe preparar el Directorio Activo para implementar la PKI y por tanto se convierte en un elemento importante de la infraestructura. Además se hace necesario para la importación automática de los certificados a los clientes. Para ello se propone instalar los clientes y configurarlos en dominio a través de un canal seguro cableado. De esta forma, el proceso de importación de los certificados se realiza de forma automática.

Consideraciones Finales

Se debería dotar a la infraestructura Wireless con un IPS/IDS Wireless con el fin de detectar posibles ataques, entre los que destacarían ataques de DoS, más complicados de contrarrestar por la propia naturaleza del entorno Wireless. Este entorno se debería aislar y proteger, mediante dispositivos de seguridad tipo cortafuegos, IPSs, antivirus, etc. de la red o entorno corporativo (refiriéndose corporativo al entorno cableado).

Con esta infraestructura se logra dotar al entorno Wireless de las medidas de seguridad necesarias para implementarlo en sistemas con datos confidenciales puesto que se proporciona al entorno capacidades de autenticación y cifrado, mediante el algoritmo de cifrado AES (Advanced Encryption Standard) y añade capacidades de integridad, a través de un código de mensaje denominado MIC (Message Integrity Code).También se ha de comentar que WPA2 es capaz de "contrarrestar" ataques de DoS basados en ataques de repetición, ya que implementa un contador de tramas.

Para finalizar y pese a conocer que por si solas las medidas básicas de seguridad (ocultación de SSID, filtrado por MAC, etc.) no son suficientes, si es recomendable implantarlas en el sistema, como acciones adicionales de seguridad.


El estándar WPA2 está aprobado por el gobierno USA (FIPS140-2) .
Adicionalmente se aconseja un sistema de cifrado de archivos, como EFS. Aprovechando la infraestructura PKI que se ha diseñado para este entorno se puede desarrollar de manera sencilla certificados para el cifrado de los datos de los usuarios. De esta forma se protegen los directorios, ficheros y datos de cada usuario sin añadir una complejidad excesiva a la infraestructura.



----------------------------
Contribución por Ricardo Ramos

2 comments :

Parcpaes dijo...

Y se podría
elevar el nivel de seguridad con NAC darían un ejemplo de cómo funciona

Carlos R Maldonado dijo...

Esta bueno el diseño, pero no debería plantearse un diseño dependiente de una plataforma comercial o un fabricante, como el Directorio Activo de Microsoft, tiene más sentido en la etapa de diseño, especificar una tecnología de Directorio (que puede ser Oracle Directory Server, OpenLDAP, Directorio Activo, etc)