lunes, 4 de julio de 2011

Wifi: La amenaza invisible

Las redes inalámbricas o redes wifi están presentes en la mayor parte de las organizaciones hoy día. Es más, muchos comercios, hoteles, bares y restaurantes lo ofrecen de forma gratuita a sus clientes. La moda de las redes wifi abiertas pasó y la gran mayoría ya usan protocolos como los WEP (Wired Equivalent Privacy) o WPA/WPA2 (Wi-Fi Protected Access) para proteger el acceso. La gente se siente segura detrás de contraseñas interminables y complejas de números, símbolos, mayúsculas y minúsculas. Pero ¿estamos realmente seguros? ¿Qué pasaría si alguien pudiera travesar esta barrera de protección?

Crackeo de Wifis

Los protocolos más comunes de cifrado wifi son WEP y WPA/WPA2. El algoritmo WEP se rompió hace años. Por eso, obviando los métodos o detalles técnicos, una red wifi WEP con clientes haciendo uso de ella se tardaría desde segundos (claves por defecto de operador), a una hora como máximo en descifrar. Cuando una contraseña WEP es la única barrera de protección a la red interna la organización tiene definitivamente un problema.

Existen métodos para el crackeo de redes WPA/WPA2, aunque dependen en gran medida de la fortaleza y longitud de la contraseña. Es preferible tomar las recomendaciones típicas sobre políticas de contraseñas y cambiarla cada cierto tiempo.

Algunos de los métodos para conseguir contraseñas WPA/WPA2 agilizan el proceso con el uso de clústers y GPUs, ya que el crackeo se puede realizar offline, es decir, fuera del alcance de la red, una vez capturados los datos necesarios (WPA handshake).

Segmentación e independencia

Otros de los factores que debemos analizar son la información, servicios y recursos a los que pueden acceder los usuarios una vez obtienen acceso. Se debe tener en cuenta por dos razones: por los distintos roles de usuarios que pueden acceder a dicha red y por los usuarios no legítimos que puedan obtener la contraseña (crackers, curiosos, antiguos empleados, etc.).

No es lo mismo un Director General de una empresa accediendo por wifi a los archivos confidenciales de una empresa que un empleado externo o un invitado accediendo a internet. Se debe ser riguroso con el control y acceso a las redes y cuidadoso con la asignación de permisos para los distintos roles de usuario.

Cada vez es más importante diseñar una estructura de red que mantenga una arquitectura con dos o más redes separadas o incluso segmentadas internamente a través de redes virtuales VLANs.

Por otro lado, imaginemos por un momento que alguien de forma fraudulenta o un antiguo empleado accede a la red wifi corporativa. ¿Sabemos con seguridad a qué recursos tendría acceso? ¿Se auditan o monitorizan estas acciones de forma regular? ¿Cuándo fue la última vez que se cambió la contraseña de las redes wifi? La contraseña de la red inalámbrica no puede ser nunca la única forma de protección.

Sniffing de tráfico

Todos los datos/paquetes que se envían por redes inalámbricas, pueden ser interceptados por tarjetas en modo monitor. En los protocolos WEP y WPA/WPA2 los datos interceptados están cifrados, pero en el protocolo abierto (sin contraseña), los datos transmitidos pueden ser capturados y leídos tal como son emitidos.

Lo que mucha gente no sabe, es que conociendo la clave de una wifi puede descifrarse el tráfico entre emisores y receptores. La prueba de concepto siempre sorprende, y el nivel de seguridad al que se está expuesto dependerá del protocolo de red usado. Si se usan FTPS, HTTPS, ssh, nuestros datos siempre estarán más seguros que con los protocolos FTP, HTTP o telnet en los que pueden verse en texto plano datos y contraseñas. En resumen, alguien que supiera la contraseña de la red, no sólo podría campar a sus anchas en la red, sino que podría recopilar credenciales de la organización.

Para estas pruebas de concepto, existen programas como Firesheep (addon de Firefox -http://codebutler.github.com/firesheep/) o Faceniff (Aplicación de Android http://faceniff.ponury.net/) que sorprenden por su facilidad de uso, y por los resultados obtenidos. Existen herramientas de uso más complejo que consiguen resultados más sofisticados y exhaustivos .

Medidas de seguridad adicionales

Existen varias medidas complementarias a una simple contraseña:

  • Filtrado de MAC: en grandes entornos puede ser complicado gestionarlo, pero es un método de control simple pero efectivo. Debemos tener en cuenta que existen técnicas sencillas de mac-spoofing (http://www.govannom.org/seguridad/14-wifi-wireless-redes/154-como-hacer-mac-spoofing.html) y también es cierto que algunos Access Point pueden detectar el mac-spoofing. Tal como la contraseña, no puede ser la única medida de seguridad.
  • SSID oculta: Medida que sirve básicamente para evadirse del punto de mira de curiosos. Cualquiera con los conocimientos y herramientas necesarias puede obtener fácilmente el SSID (también conocido como nombre de la red). La seguridad por oscuridad se convierte en un sencillo paso más en el crackeo de la red y más cuando el atacante sabe qué se busca.
  • SSID distinto: Una medida de seguridad sencilla es renombrar la wifi con un SSID que no identifique la empresa.
  • Otras: a medida que crecen las organizaciones, la complejidad de sus redes y la concienciación en la seguridad de la información se usan soluciones más sofisticadas como pueden ser NAC, UAC, Radius o portales cautivos por poner algunos ejemplos. Todas son herramientas que mejoran de forma sustancial la seguridad de las redes inalámbricas.

En Conclusión:

Para evitar la intrusión de usuarios maliciosos y garantizar la confidencialidad de los datos es recomendable seguir las siguientes instrucciones:

  • Las redes wifi deben considerar la encriptación WPA2 preferentemente, con una contraseña compleja y larga (mínimo 12 caracteres).
  • Debe existir una segmentación de red adecuada para los tipos de usuarios que se conectaran a la red inalámbrica.
  • Crear una red de invitados separada de la red interna, para conceder únicamente conexión a internet a los proveedores que lo requieran.
  • No se puede confiar solamente en una contraseña, el uso de más medidas de seguridad es muy recomendable.
  • Monitorizar la red y los equipos conectados a ella, ya sea de forma manual o automatizada para evitar ataques.

Es posible que alguno piense que estas medidas son muy básicas, pero nuestra experiencia nos dice que no siempre se siguen estas recomendaciones. Para ilustrarlo, desde nuestras oficinas, se puede ver una red inalámbrica con el SSID que es el nombre de una organización que utiliza una clave WEP. Esperamos por su bien, que sea una red de invitados bien gestionada. Aunque desafortunadamente, creo que eso sería mucho esperar.

No hay comentarios: