UNIVERSIDAD CENTRAL “MARTA ABREU” DE LAS VILLAS FACULTAD DE INGENIERIA ELECTRICA. DEPARTAMENTO DE ELECTRONICA Y TELECOMUNICACIONES Tesis presentada en opción al Título Académico de Máster en Telemática Título: Mecanismos de seguridad para la Red Inalámbrica Local de la Universidad de Cienfuegos. Autor: Ing. Alex González Paz Tutor: MSc. David Beltrán Casanova Cotutor: Dr.C. Ernesto Roberto Fuentes Garí Santa Clara, 2017 “Año 59 de la Revolución” UNIVERSIDAD CENTRAL “MARTA ABREU” DE LAS VILLAS FACULTAD DE INGENIERIA ELECTRICA. DEPARTAMENTO DE ELECTRONICA Y TELECOMUNICACIONES Tesis presentada en opción al Título Académico de Máster en Telemática Título: Mecanismos de seguridad para la Red Inalámbrica Local de la Universidad de Cienfuegos Autor: Ing. Alex González Paz [email protected] Tutor: MSc. David Beltrán Casanova [email protected] Cotutor: Dr.C. Ernesto Roberto Fuentes Garí [email protected] Santa Clara, 2017 “Año 59 de la Revolución” Hago constar que el presente trabajo en Opción al Título Académico de Máster en Ciencias fue realizado en la Universidad Central “Marta Abreu” de Las Villas como parte de la culminación de estudios de Maestría en Telemática, autorizando a que el mismo sea utilizado por la Institución, para los fines que estime conveniente, tanto de forma parcial como total y que además no podrá ser presentado en eventos, ni publicados sin autorización de la Universidad. _____________________ Firma del Autor PENSAMIENTO "El único sistema seguro es aquél que está apagado en el interior de un bloque de hormigón protegido en una habitación sellada rodeada por guardias armados" Gene Spafford DEDICATORIA A mi familia AGRADECIMIENTOS Mis agradecimientos a todos los que de una manera u otra han contribuido al desarrollo de esta tesis, en especial a: A mi tutor David Beltrán Casanova por su valiosa ayuda y guía. A colectivo de Telemática de la Universidad Central de Las Villas que contribuyeron en mi formación profesional entre ellos el Dr. Félix Álvarez Paliza. A mi madre, mi padre y mi hermana que me apoyaron en el desarrollo de este trabajo. Al grupo de administración de la red de la UCF en espacial a Vladimir Carrera. A mi cotutor Roberto Gary Fuentes. RESUMEN Las Redes Inalámbricas han encontrado variedad de escenarios de aplicación por las ventajas que poseen, tanto en el ámbito residencial, como en entornos empresariales y educativos como el de la Universidad de Cienfuegos (UCF). Sin embargo, la seguridad es un aspecto a tener en cuenta en su implementación, ya que el medio de transmisión es el aire por lo que los mecanismos de autenticación y cifrado son necesarios para garantizar la autenticación y la confidencialidad de la información que se transmite en ellas. Es por ello, que en este trabajo se caracterizan las amenazas y los mecanismos de seguridad para redes WLAN, seleccionando WPA2 empresarial; porque al establecer la comparación resulto ser el más seguro de los mecanismos, empleando 802.1X y EAP-PEAP, para permitir acceso seguro a la red WLAN de la UCF ya que se crea un Túnel TLS cifrado; para lo cual se configura el Servicio de Certificados y en su interior el método de autenticación es MSCHAPv2 autenticando a los usuarios con sus credenciales en la red mediante un servidor RADIUS. En este trabajo son propuestas dos variantes para la implementación de los mecanismos seleccionados, una empleando software propietario, que se ha estado utilizando en la UCF para la administración, con el objetivo de dar una solución a corto plazo y más apropiada teniendo en cuenta las características de las infraestructuras de las tecnologías de información propias de la UCF y otra a implementar a largo plazo utilizando herramientas de software libre. Luego, es implementada la variante de software propietario a escala de laboratorio y validada empleando herramientas de seguridad informática como Wifislax. Finalmente, por los resultados obtenidos con la herramienta, se presenta una propuesta de mejoras a la solución planteada. ÍNDICE Introducción .............................................................................................................................. 1 Capítulo 1: Ataques y mecanismos de seguridad en redes WLAN .......................................... 6 1.1 Red de Área Local Inalámbrica (Wireless Local Area Network, WLAN) ......................... 6 1.1.1 Elementos de redes 802.11 .................................................................................. 7 1.1.2 Canales y frecuencias para IEEE 802.11b/g/n ..................................................... 8 1.1.3 Estándares, extensiones y mecanismos de seguridad en IEEE 802.11 ............... 9 1.2 Ataques en redes WLAN ........................................................................................... 10 1.2.1 Ataques Pasivos ................................................................................................. 10 1.2.2 Ataques Activos .................................................................................................. 11 1.3 Mecanismos de Seguridad en redes WLAN .............................................................. 14 1.3.1 Infraestructura Adaptada .................................................................................... 14 1.3.2 Autenticación Abierta .......................................................................................... 15 1.3.3 Filtrado por Direcciones MAC ............................................................................. 15 1.3.4 WEP .................................................................................................................... 15 1.3.5 WPA .................................................................................................................... 17 1.3.6 WPA2 .................................................................................................................. 19 1.3.7 WPS .................................................................................................................... 19 1.3.8 Certificado Digital y Autoridad de Certificación ................................................... 22 1.3.9 SSL y TLS ........................................................................................................... 23 1.3.10 802.1X y EAP .................................................................................................. 23 1.4 Otros Mecanismos de Seguridad Aplicables a Redes WLAN ................................... 29 1.4.1 Red Privada Virtual con Seguridad IP (IPsec VPN) ............................................ 29 1.4.2 Protocolos SSH y HTTPS ................................................................................... 30 1.5 Conclusiones Parciales ............................................................................................. 31 Capítulo 2: Propuesta de Mecanismos de Seguridad para la Red WLAN de la UCF ............. 32 2.1 Estado de la red, problemas que presenta y que se quieren resolver. ......................... 32 2.1.1 Permisos para Usuarios y Perfiles de Usuarios...................................................... 33 2.1.2 Herramientas de Administración de Usuarios y Perfiles ......................................... 34 2.2 Propuesta del Modelo de Arquitectura. ......................................................................... 35 2.3 ¿Por qué no implementar un Portal Cautivo en la Arquitectura Propuesta? ................. 37 2.4 Módulos a Implementar de la Propuesta de Arquitectura. ............................................ 38 2.4.1 Puntos de Acceso Inalámbricos ............................................................................. 40 2.4.2 Servidor de Dominio. .............................................................................................. 41 2.4.3 Servidor de Bases de Datos ................................................................................... 51 2.5 Conclusiones parciales ................................................................................................. 53 Capítulo 3: Evaluación de la arquitectura propuesta .............................................................. 54 3.1 Windows Server 2016 ................................................................................................... 54 3.1.1 Recursos Hardware para la Instalación de Windows Server 2016 ......................... 55 3.2 Instalación del Servidor de Dominio de Active Directory ............................................... 56 3.3 Configuración de los roles para la propuesta de red WLAN de la UCF. ....................... 58 3.3.1 Configuración del Servicio de Certificados de Windows Server 2016 ........................ 60 3.3.2 Configuración de NPS ................................................................................................ 62 3.6 Instalación del Servidor de Bases de Datos Microsoft SQL Server 2016...................... 67 3.7 Definición del almacén de logs del servidor NPS-RADIUS ........................................... 68 3.7.1 Configuración del Servidor de Bases de Datos ...................................................... 68 3.7.2 Configuración de la Base Datos donde se almacenan los logs. ............................. 68 3.8 Configuración de los AP que van a actuar de clientes RADIUS ................................... 71 3.9 Pruebas de conectividad de los clientes Wi-Fi. ............................................................. 72 3.10 Validación de la Solución Propuesta empleando herramientas de seguridad informática. ......................................................................................................................... 73 3.10.1 Validación de la propuesta con la herramienta Wifislax. ...................................... 74 3.11 Propuesta de mejoras ................................................................................................. 79 3.12 Conclusiones parciales ............................................................................................... 81 Conclusiones .......................................................................................................................... 82 Recomendaciones .................................................................................................................. 84 Referencias Bibliográficas ...................................................................................................... 85 Glosario .................................................................................................................................. 95 Anexos ................................................................................................................................... 99 Anexo A. Red de Área Local Inalámbrica (WLAN) .............................................................. 99 Anexo B. Propuesta del Modelo de Arquitectura. ............................................................. 101 Anexo C. Instalación de Windows Server 2016 ................................................................ 102 Anexo D. Instalación de los Roles para la Propuesta. ...................................................... 102 Anexo E. Configuración de NPS ....................................................................................... 105 Anexo F. Instalación del Servidor de Bases de Datos SQL Server 2016 .......................... 106 Anexo G. Configuración de la Base Datos donde se almacenan los logs. ....................... 110 Anexo H. Configuración en los AP que van a actuar de clientes RADIUS. ....................... 110 Anexo I. Pruebas de Conectividad. ................................................................................... 112 Anexo J. Propuesta de Mejoras ........................................................................................ 126