Herramientas de usuario
master_cs:secom:tm2_v2
Diferencias
Muestra las diferencias entre dos versiones de la página.
| Ambos lados, revisión anteriorRevisión previaPróxima revisión | Revisión previa | ||
| master_cs:secom:tm2_v2 [2026/05/26 20:41] – thejuanvisu | master_cs:secom:tm2_v2 [2026/05/26 21:39] (actual) – thejuanvisu | ||
|---|---|---|---|
| Línea 138: | Línea 138: | ||
| - El rango de un AP es de entre 20 y 500 metros, soportando entre 15 y 250 usuarios dependiendo de la tecnología. Múltiples AP pueden soportar la transferencia de un AP a otro según el usuario se mueve de un área a otra. Un AP inalámbrico puede monitorizar el movimiento de un cliente a través de su dominio y permitir o denegar trafico o clientes. | - El rango de un AP es de entre 20 y 500 metros, soportando entre 15 y 250 usuarios dependiendo de la tecnología. Múltiples AP pueden soportar la transferencia de un AP a otro según el usuario se mueve de un área a otra. Un AP inalámbrico puede monitorizar el movimiento de un cliente a través de su dominio y permitir o denegar trafico o clientes. | ||
| - Puentes LAN en exteriores: Point-to-multipoint bridge, conecta lans en diferentes edificios. Alternativa econímica a comprar cables de fibra óptica. | - Puentes LAN en exteriores: Point-to-multipoint bridge, conecta lans en diferentes edificios. Alternativa econímica a comprar cables de fibra óptica. | ||
| - | - Red Point-to-Point (ad hoc): | + | - Red Point-to-Point (ad hoc): Una WLAN puede ser utilizada como una red stand-alone en cualquier lugar para enlazar varios equipos si tener que contruir o extender redes cableadas. En topología Point to Point, los dispositivos cliente dentro de una celda se comunican directamente entre ellos, no hay AP, los nodos deben estar en el mismo rango de transmisión. |
| + | - Redes Inalámbricas multisalto: | ||
| + | - Mobile ad hoc network (MANET): Propone una arquitecutra plana donde cada nodo inalámbiroc tiene capacidades de enrutado, extendiendo el rango de sus transmisiones más allá de su propio rango de cobertura. Enrutado en capa de red | ||
| + | - Mesh Wireless Network (IEEE 802.11s): Introduce una jerarquía en la arquitectura de red inalámbrica con la implementación de nodos mesh, routers troncales estacionarios, | ||
| + | |||
| + | ==== Seguridad WLAN ==== | ||
| + | * Amenazas de seguridad: | ||
| + | * Interferencia en el medio inalámbrico: | ||
| + | * Escucha de comunicaciones: | ||
| + | * Uso de recursos no autorizados | ||
| + | * Ataques de engaño: Robo de credenciales fingiendo ser un AP, redes abiertas sin seguridad. | ||
| + | * Técnicas de ataque en WLANs | ||
| + | * Ataques con marcos de gestión: Si los los marcos de gestión no están ni cifrados ni tienen protección de integridad, cualquiera puede falsificarlos. Esto puede ser usado para implementear ataques MitM o DoS. | ||
| + | * Ataques Replay: Se captura un marco y se reenvía tal como es. Puede ser usado para ganar acceso no autorizado a la red | ||
| + | * MAC spoofing: Se cambia la dirección MAC del atacante para hacerse pasar por un punto ce acceso autorizado o un STA. | ||
| + | * Denegación de servicio: Para prevenir que los usuarios autorizados puedan acceder a los recursos de red. | ||
| + | * Crackeo offline de claves de cifrado o contraseñas: | ||
| + | * Man in the Middle: Se introduce una estación malintencionada entre otras 2, interceptando el tráfico entre estas sin interrumpir la comunicación, | ||
| + | |||
| + | === Ataque Man in the Middle en WLANs === | ||
| + | * El MitM trata de pasar desapercibido. Este ataque se puede utilizar para esichar, recolectar credenciales, | ||
| + | * Si el atacante está coenctado a la misma wifi en la que se encuentra la víctima, puede simplemente impersonar algunos servicios. | ||
| + | * Si un atacante, sin credenciales de acceso, esta conectado via ethernet al sistema de distribución detrás del AP, puede usar varias técnicas antes mecionadas. | ||
| + | * Otra técnica es suplantar el AP original o tratar de tumbar el AP original e impersonarlo en un canal diferente (Evil Twin) | ||
| + | * Contramedidas: | ||
| + | * Si el atacante está dentro de la red es difícil de detectar, se puede usar un IDS o IPS. | ||
| + | * No usar redes abiertas | ||
| + | * Evitar conexiones automáticas a redes inalámbricas | ||
| + | * Usar métodos de autenticación robustos como WPA-Enterprise | ||
| + | * Usar sistema secundario de autenticación y tecnología de cifrado siempre que sea posible. | ||
| + | |||
| + | === Contramedidas Oficiales === | ||
| + | * Wired Equivalent Privacy (WEP): De las peores soluciones de seguridad que existen | ||
| + | * Wi-Fi Proteccted Access (WPA): Solución tempora para parchear el desastre que fue WEP. | ||
| + | * IEEE 802.11i y WPA2: Estandar actual | ||
| + | * WPA3: Oficialmente lanzado en 2018 | ||
| + | |||
| + | === Contramedidas específicas === | ||
| + | * Control de acceso | ||
| + | * Deshabilitar SSID | ||
| + | * Filtrar direcciones MAC | ||
| + | * Autenticación usando una clave común (WPA/2/3) | ||
| + | * PSK: Pre Shared Key (WPA/2) | ||
| + | * SAE: Simultaneous Authentication of Equals (WPA/ | ||
| + | * dot1x: Autenticación usando un servidor AAA (WPA/ | ||
| + | * Autenticación usando portal captivo | ||
| + | * Deshabilitar WPS PIN mode en el AP | ||
| + | * Comunicaciones de datos con confidencialidad y autenticación | ||
| + | * Temporal key Integrity Protocol (TKIP) y " | ||
| + | * AES-CCMP: AES (Advanced Encryption Standard) CTR (Counter mode) con CBC-MAC (Cipher Block Chaining Message Authentication Code) Protocol (IEEE 802.11i y WPA2) | ||
| + | |||
| + | ==== Robust Security Network Association (RSNA) ==== | ||
| + | El estandar IEEE 802.11i intruduce este concepto como el tipo de asociación usada por un apr de estaciones si el proceso para establecer autenticación o asociación entre ellos incluye el 4-Way Handshake o Fast Transition Protcol. Durante el 4-way handshake ambas estaciones se demuestran la una a la otra que han sido configuradas con la misma Pair Master Key (PMK) la cual es material criptográfico primodial del cual las claves de cifrado se van a derivar. | ||
| + | |||
| + | === Pre-RSNA === | ||
| + | * Autenticación de la estación | ||
| + | * Sistema abierto: No hay auntenticación, | ||
| + | * Clave compartida: | ||
| + | * El AP envía un mensaje en plano (Challenge) que es cifrado por STA usando la clave wep compartida. Tras recibir el challenge cifrado, el AP cifra el original una vez y lo compara. | ||
| + | * No hay auntenticación del dispositivo, | ||
| + | * Cifrado WEB | ||
| + | * RC4 Stream Cipher | ||
| + | |||
| + | === RSNA === | ||
| + | * Autenticación: | ||
| + | * 802.1x usando EAP y un servidor de autenciación, | ||
| + | * PSK (PreShared Key): 4-way handshake que solo prueba que se conoce el PSK (WPA/ | ||
| + | * Integridad y mecanismos de cifrado | ||
| + | * mandatorio: CMP/AES y MIC | ||
| + | * AES require hardware especial ausente en tarjetas de red antiguas | ||
| + | * Opcioional: TKIP y " | ||
| + | * Solo recomendado para parchear equipamiento pre-RSNA | ||
| + | * Procedimientos para el establecimiento y gestión de claves dinamicas temporales. | ||
| + | * El 4-way handshake provee de: | ||
| + | * Nuevo integridad temporal y claves de cifrado cada vez que una estación se conecta a la red. Las claves temporales deben ser renovadas cada poco | ||
| + | * Diferentes claves de intergridad/ | ||
| + | * El AP gestiona una clave de cifrado temporal y una clave de integridad temporal por estación, para tráfico unicast y un grupo de claves temporales para transmisiones broadcast/ | ||
| + | * Todas las calves son definidas del PMK | ||
| + | |||
| + | * si la autenticación 802.1X es activada, el la fase de 4-way handshake también es ejecutada inmediatamente depués del diálogo entre el suplicante y el servidor de autenticación | ||
| + | |||
| + | ==== Mecanismo de autenticación EAP basado en TLS ==== | ||
master_cs/secom/tm2_v2.1779828095.txt.gz · Última modificación: 2026/05/26 20:41 por thejuanvisu · Actualmente bloqueado por: thejuanvisu
Herramientas de la página
