Archive for the 'Wireless' categoría

AES es cada vez más cerca de la quebrada

30 de julio 2009

En los primeros mensajes que discuten cuál es el problema con WPA y por qué siempre es una mala idea basar un estándar en torno a un único método de cifrado, incluso AES . Bruce Schneier, incluido en su blog hoy con respecto a un nuevo ataque contra el AES . En resumen, el documento que identifica las referencias de cómo reducir drásticamente el número de intentos necesarios para recuperar una clave. Mientras que su actual no es práctico para un hack sótano para realizar el ataque, sus cosas todavía desagradable.

El ataque en cuestión es lo que se conoce como un ataque clave relacionada . Esto requiere que el atacante tenga un cierto nivel de conocimiento del texto asegurada por varias claves relacionadas. En otras palabras, tenemos que saber ya algo de lo que está protegida y dónde buscarlo.

Este es un problema grave cuando se trata de VPN o inalámbricas, ya que lo están utilizando para proteger el tráfico IP. IP utiliza algunos valores muy consistentes:

  • Byte 0 contiene la versión de IP (generalmente 4) y el tamaño de la cabecera IP (normalmente 20 bytes)
  • Byte 1 contiene el tipo de servicio de campo (por lo general no se utilizan para fijar en 0)
  • Bytes 2 y 3 contienen el campo de longitud total (un valor constante para el tráfico de paquetes ARP como si se conoce el sistema operativo)
  • Byte 8 contiene el TTL (un valor consistente en una base por sistema operativo)
  • Bytes 12-15 contienen la dirección IP de origen (un valor constante para cada sistema específico)

Y eso es sólo la cabecera IP ...

Así que cuando la protección del tráfico en la conexión, relacionados con los ataques de clave puede ser particularmente malo porque hay muchos valores repetitivos para trabajar.

Entonces, ¿qué debe hacer? Voy a caer en el mismo consejo que le dio en los posts anteriores he hecho referencia anteriormente. Asegúrese de que tiene más opciones que simplemente un algoritmo de cifrado única, por si acaso las cosas se ponen mucho peor.

No hay comentarios »

Publicado en 1-emergentes , VPN , Wireless

Etiquetas:

Eliminando la necesidad de WPA en la empresa - Parte 2

22 de julio 2009

En mi último post hablé de los problemas con la implementación de WPA en un entorno empresarial. Vamos a retroceder un poco y la lista de por qué proteger las redes inalámbricas:

  • Permitir el acceso sin control puede llevar a un compromiso
  • Es necesaria la autenticación para verificar la persona que se conecta en el
  • Los datos pueden ser inhalados para el cifrado es necesario para la privacidad de los datos

Un razonamiento bastante simple, pero ahora detenernos y considerar por ello que asegurar a los usuarios remotos cuando se conecten desde Internet:

  • Permitir el acceso sin control puede llevar a un compromiso
  • Es necesaria la autenticación para verificar la persona que se conecta en el
  • Los datos pueden ser inhalados para el cifrado es necesario para la privacidad de los datos

Tenga en cuenta las razones son los mismos. Soy grande en el análisis de causa raíz, y la razón por la que muchos de nosotros, aunque salte aros con WPA es que estamos tratando de encajar una clavija cuadrada en un agujero redondo. En otras palabras, en lugar de reconocer que una señal inalámbrica es una entidad controlada por separado, que se esfuerzan mucho para golpear en una solución rápida por lo que se puede confiar en el mismo nivel que los segmentos de cable asegurados tras los muros de nuestras oficinas. No es una sorpresa realmente, teniendo en cuenta que el primer protocolo que nos dieron para garantizar inalámbrica se llama Wired Equivalent Privacy (WEP). Huelga decir que el nombre implica directamente que la conexión inalámbrica se puede hacer para ser tan seguro como un puerto del switch conectado. La historia ha demostrado, y continúa sin embargo demuestran lo contrario.

Considerar el dibujo de la red en la Figura # 1. Tenga en cuenta que tenemos que reconfigurar la red para abordar mejor los problemas que causa raíz con la tecnología inalámbrica. Inalámbrica ya no es considerado como digno de confianza como un puerto del switch conectado. Su tratado de una manera similar a su más cercana zona de seguridad de correspondencia, por Internet. Simplemente cuelgue nuestros puntos de acceso fuera de otro puerto del firewall y aplicar un nivel de seguridad similar.

wireless-vpn

Así que cuando alguien se conecta al punto de acceso, lo que pasa? La conexión se realiza en el claro con ningún habilitado para la seguridad. Sólo tienes que conectar a la adecuada SSID y se van. El servidor DHCP local luego las manos del sistema una dirección IP. En este punto nuestra configuración actúa como cualquier otro no garantizado de la red.

Mira lo que un sistema inalámbrico tiene acceso a embargo. A través del servidor de seguridad, el único punto de acceso permite es la puerta de enlace VPN. Este es el mismo que cuando el usuario se conecta desde Internet. Así que en lugar de tener que confiar en una sola aplicación de seguridad (WPA), con su sola opción para la privacidad de datos (AES), se puede implementar lo que sea que considere apropiado. La robustez y la flexibilidad de SSH , SSL y IPSec todos se convierten en posibilidades de garantizar el flujo de datos. Si bien cada solución es compatible con AES para la privacidad de los datos, se abren una plétora de otros, algunos se sienten mejor, opciones como Blowfish y Twofish .

Pero espera, no podría un atacante conectarse a mi punto de acceso y de perseguir a los ordenadores portátiles que se conectan en el? Por supuesto. Una vez más, esta zona tiene el mismo nivel de seguridad como el Internet para que las mismas reglas se aplican. Piense en su usuario inalámbrico típico sin embargo. Tienden a ser guerreros de la carretera, que también se conectan desde Internet. Esto significa que su sistema ya debe tener el necesario software de VPN y un sistema de servidor de seguridad personal. Así que si el portátil está configurado para conectarse desde Internet, ya está listo para ir en esta configuración inalámbrica también.

Una de las cosas que más me gusta de esta configuración es que no sólo reduce la administración de back-end (no más de gestión WPA), sino que ayudan a tiempo de servicio de apoyo. Los usuarios sólo quieren que su ordenador portátil para trabajar y son más eficaces cuando se puede seguir un proceso coherente. Cuando les decimos que "Realice los pasos A, B, C para conectar desde el Internet, pero los pasos D, entonces E entonces F si usted está en la oficina", algo inevitable se confundirá. Con la configuración anterior que siempre siguen el mismo proceso de conexión, independientemente de su ubicación física.

Dado que ninguna solución de seguridad es perfecto, tiene que haber algunos defectos como todos, ¿verdad? En primer lugar, estamos poniendo una carga ligeramente mayor en el firewall. Las comunicaciones internas entre un sistema inalámbrico y un servidor no implican normalmente el servidor de seguridad, pero ahora lo hace. Este problema podría resolverse fácilmente con un segundo servidor de seguridad sin embargo.

La segunda cuestión es la seguridad relacionados, pero depende de cómo implementar la configuración anterior. En un mundo ideal todos los puntos de acceso estaría conectada a un interruptor aislado clave. La realidad en un entorno de gran tamaño sin embargo, podría requerir el uso de VLAN debido a que los puntos de acceso están geográficamente dispersos unos de otros. El uso de las VLAN se abre la posibilidad de salto de VLAN. Aunque este autor no cree que un atacante podría meterse con DTP a través de un punto de acceso con el fin de obtener el acceso al maletero, es ciertamente posible en un sistema conectado directamente por lo que finalmente alguien más listo que yo pueda entenderlo. En resumen, recordar que esta zona de seguridad tiene el mismo nivel de confianza como el Internet y manejarla en consecuencia. Cierre automático de maquetación o de cualquier otra capacidad de negociación de VLAN que el vendedor ha activado de forma predeterminada.

Por último, los puntos de acceso siguen siendo un problema. Esta solución no hace nada para impedir que un usuario final de la atracción de un punto de acceso de la casa y conectarlo pulg Usted todavía necesita mantener un ojo vigilante para esta actividad. Acerca de la única cosa que esta solución hace por ti es que ya sabes cualquier punto de acceso conectado a la red cableada es pícaro y debe ser abordado.

Espero que esto sea útil!

C

2 comentarios »

Publicado en 3-err , VPN , Wireless

Tags:

Eliminando la necesidad de WPA en la empresa - Parte 1

21 de julio 2009

Muchos de los que aprovechan inalámbrica en un entorno empresarial debidamente implementar encriptación inalámbrica (WEP o WPA), así. Esto no es trivial, ya que requiere un compromiso continuo de tiempo y recursos a fin de mantener la integridad del sistema. Pero, ¿es realmente necesario este gasto, o hay una solución más eficaz disponible que la mayoría de nosotros simplemente pasan por alto?

La necesidad de asegurar correctamente inalámbrica

La mayoría de nosotros reconocer por qué las conexiones inalámbricas deben ser debidamente asegurados. Ejecución de un punto de acceso de toda la abierta es suplicar para tener su red dividida en . Wireless es trivial para olfatear y hay un montón de herramientas disponibles para ayudarle a romper el aparato. Un hack inalámbrica bueno sabe que la proximidad ofrece poca protección. Personalmente he sido capaz de obtener 802,11 trabajo de más de 5 millas. Con las antenas adecuadas , otros han empujado esta tan lejos como 35 millas.

¿Qué pasa con WEP y WPA?

La mayoría de nosotros entender por qué WEP está completamente roto. Si no, Google es tu amigo . Si no entiendo por qué WEP es malo vale la pena el tiempo para hacer la investigación. Es un gran ejemplo de cómo hacer todo mal.

Por lo tanto el protocolo de hoy aceptada para la seguridad inalámbrica es WPA. En el momento de escribir estas líneas, WPA está fallando, pero no completamente roto. Los investigadores han descubierto la manera de llevar a cabo la recuperación de claves en paquetes pequeños . Los vendedores han descubierto la manera de acelerar el proceso de obligar a las teclas bruta . El tamaño recomendado de claves WPA de hoy es de 48 caracteres o más. Esto es demasiado grande para los usuarios finales para recordar lo que, inevitablemente el valor está por escrito, en texto claro, probablemente en varias ubicaciones.

Hay problemas de recursos aquí también. La seguridad inalámbrica es un sistema de toda la infraestructura que necesita ser gestionado. Las claves y credenciales deben ser mantenidos. Incluso si tomamos el camino más fácil e implementar EAP-TTLS todavía tenemos un buen número de componentes para mantenerlos sincronizados. Cuando las cosas van mal, la solución de problemas también puede ser un dolor que a veces puede ser difícil determinar si el problema es la señal inalámbrica, las credenciales o DHCP.

Limitar las opciones de privacidad de datos

Cuando se utiliza WPA, la única opción de privacidad de datos es AES. AES es un estándar NIST , que es ampliamente desplegado. A pesar de que ha sobrevivido a los últimos ocho años sin una mayor vulnerabilidad, los ataques de tiempo se han descubierto, junto con algunas abolladuras en la armadura de AES . Nunca es una buena idea poner todos sus huevos en una canasta. Es por eso que una copia de seguridad de datos de misión crítica o transmitirlo a través de rutas redundantes. Si ocurre lo peor y AES se encuentra que está roto, está completamente manguera hasta que un nuevo protocolo se elige y se incorporan por los vendedores. La solución será sin duda incluyen la sustitución de todos los puntos de acceso, como lo hizo cuando nos mudamos con RC4 en WEP a WPA en AES.

Resumen ejecutivo

Por lo tanto, es absolutamente necesario para proteger las conexiones inalámbricas, pero las opciones disponibles en la actualidad son ya sea un poco mejor que inútil (WEP) o muy engorroso (WPA). Es evidente que necesitamos las posibilidades adicionales que reducen la administración, así como aumentar el número de opciones para la privacidad de los datos. En mi próximo post voy a proponer una posibilidad de que se encuentra inmediatamente viables para su distribución en el entorno empresarial de hoy.

No hay comentarios »

Publicado en 3-err , VPN , Wireless

Tags: