Redes Wireless bajo Linux
Ponente: Juan Miguel Taboada Godoy
[email protected] - http://www.centrologic.com
Redes Configuración Asalto Seguridad LinuxAP
Teoría de redes
Configuración de dispositivos
Asalto y Hackers
Seguridad y protección
Ingeniería con LinuxAP
Redes Configuración Asalto Seguridad LinuxAP
Teoría de Redes
Esquema general
Dirección IP
Dirección MAC
Redes Configuración Asalto Seguridad LinuxAP
- Esquema General -
Pesonas:
Nombre
(Ej: Miguel)
Redes:
Nombre de dominio
(Ej: www.globatic.com)
Apellidos
(Ej: de Cervantes y Saavedra)
Dirección IP
(Ej: 212.34.140.103)
DNI
(Ej: 12345678-Z)
Dirección MAC
(Ej: AC:00:31:46:D3:4E)
Redes Configuración Asalto Seguridad LinuxAP
- Dirección IP -
Caracteristicas:
- Única en la red
- Dirección de red: x.y.z.0
- Dirección de broadcast: x.y.z.255
- Máscara de red
- Puerta de enlace
- Ejemplo:
IP: 192.168.1.254
Máscara: 255.255.255.0
Redes Configuración Asalto Seguridad LinuxAP
- Dirección MAC -
Caracteristicas:
- Única “en el mundo”
- Establecida a nivel físico
- Identifica al fabricante y modelo
- Tabla ARP: relaciona IP con MAC
- Ejemplo: 00:92:3E:DF:24:11
Redes Configuración Asalto Seguridad LinuxAP
Configuración de
dispositivos
Configurando el hardware
Configuración física
Configuración lógica
El módulo hostap
Redes Configuración Asalto Seguridad LinuxAP
- Configurando el hardware -
¿Está soportada en Linux?
¿Recompilar el Kernel?
Cargar módulos (opcional)
Comprobar con ndiswrapper
Redes Configuración Asalto Seguridad LinuxAP
- Configuración física -
Obtención de datos:
- ESSID
- Canal
- WEP
- WPA
Wireless-tools (iwconfig):
- iwconfig wlan0 essid any
- iwconfig wlan0 channel 7
- iwconfig wlan0 key “clave_wep”
Redes Configuración Asalto Seguridad LinuxAP
- Configuración lógica -
Obtención de datos:
- IP
- Máscara
- Puerta de enlace
- DNS
Route:
- route del default
- route -n
- route add default gw 192.168.1.254
Ifconfig:
- ifconfig wlan0 up/down
- ifconfig wlan0 192.168.1.32
- ifconfig wlan0 netmask 255.255.255.240
resolv.conf:
- vi /etc/resolv.conf
Redes Configuración Asalto Seguridad LinuxAP
- El módulo HostAP -
Efectos:
- Comportamiento como cliente
- Comportamiento como AP
- Modo WDS soportado (cliente-AP)
Características:
- Sólo chipset PRISM (todas las gamas)
- WEP, WPA y WPA2
- ACL (Listas de acceso)
- Roaming
- Usado por LinuxAP
Redes Configuración Asalto Seguridad LinuxAP
- El módulo HostAP -
Proceso para usarlo:
1) Creamos los módulos (make)
2) Instalamos los módulos (make install)
3) Cargamos los módulos:
- modprobe hostap
- hostap_cs: tarjetas PCMCIA
- hostap_pci: tarjetas PCI
- hostap_plx: adaptadores PLX pci-pcmcia
- hostpa_crypt: módulos de encriptación
Soporte normal en Debian: /etc/networks/interfaces
Tira cómica gracias a:
<Pausa>
Redes Configuración Asalto Seguridad LinuxAP
Asalto y Hackers
Conexión inalámbrica
Control del tráfico
Redes Configuración Asalto Seguridad LinuxAP
- Conexión inalámbrica -
Wavemon
Kismet
AirSnort
Redes Configuración Asalto Seguridad LinuxAP
- Control del tráfico -
tethereal
iptraf
nmap
ethereal
Redes Configuración Asalto Seguridad LinuxAP
Seguridad y protección
Prevención
Mantenimiento
Redes Configuración Asalto Seguridad LinuxAP
- Prevención -
iptables: protege de posibles olvidos
tbfirewall: front-end para iptables (tablas de reglas)
DMZ: Desmilitarized Zone
SSL: usar servicios que soporte conexiones SSL
Túneles seguros: entre máquinas lejanas y distintas redes
Radius: autentificación para acceso a la red
Redes Configuración Asalto Seguridad LinuxAP
- Prevención -
iptables: protege de posibles olvidos
iptables -A INPUT -s 192.168.1.2 -j DROP
iptables -A INPUT -s 80.28.98.53 -d 150.214.40.3 -j ACCEPT
iptables -A OUTPUT -p tcp –sport 80 -j ACCEPT
iptables -A OUTPUT -p tcp –sport 8080 -j DROP
iptables -A PREROUTING -s 192.168.1.0/24 -j MASQUERADE
tbfirewall: front-end para iptables (tablas de reglas)
eth0 icmp 0 3 8 11
eth0 tcp auth ssh ftp ftp-data microsoft-ds
eth0 udp ssh microsoft-ds
eth0 tcp netbios-ns netbios-dgm netbios-ssn
eth0 udp netbios-ns netbios-dgm netbios-ssh
Redes Configuración Asalto Seguridad LinuxAP
- Prevención -
DMZ: Desmilitarized Zone (Zona Desmilitarizada)
Zona desmilitarizada
Intranet
Firewall
Internet
Redes Configuración Asalto Seguridad LinuxAP
- Prevención -
SSL: usar servicios que soporte conexiones SSL
Túneles seguros: entre máquinas lejanas y distintas redes
Redes Configuración Asalto Seguridad LinuxAP
- Prevención -
Radius: autentificación para acceso a la red
1) Intento de acceso a la red
2) Pantalla de autentificación
3) Envío de datos de autentifiación
4) Comprobación de credenciales
5) Creación de reglas de acceso
6) Acceso a la red
Redes Configuración Asalto Seguridad LinuxAP
chkrootkit
- Mantenimiento -
1) apt-get update/upgrade
2) chkrootkit
3) nmap localhost
4) John the Ripper
5) Cisilia
john
cisilia
Redes Configuración Asalto Seguridad LinuxAP
Ingeniería con LinuxAP
Historia
Firmwares
Modelos de Aps
Configuración WEB
Configuración Telnet/SSH
Redes Configuración Asalto Seguridad LinuxAP
- Firmwares : Linux AP 1 -
Distribución de Linux (también llamada OpenAP)
Sólo para algunos Aps
Muchas opciones EXTRAS frente a firmware original
Código libre bajo licencia GNU/GPL
Podemos compilar nuestro propio firmware
Soporta WDS
Redes Configuración Asalto Seguridad LinuxAP
- Firmwares : Linux AP 2 -
Iniciado por Linksys (Cisco Systems)
Linksys viola la GPL
Gracias a la FSF se consiguen las fuentes
Aumenta el rendimiento del AP
Mejora las posibilidades
Soporte de WDS
Ramas del firmware original:
- Satori (Sveasoft)
- OpenWRT
- HyperWRT
- Samadhi2 (Valencia Wireles)
- Busybox
Redes Configuración Asalto Seguridad LinuxAP
- Modelos de APs -
USRobotic USR2450
SMC 2682W
Linksys WRT54G
Redes Configuración Asalto Seguridad LinuxAP
- Configuración WEB -
Interfaz web de WRT54G: fácil de configurar
Redes Configuración Asalto Seguridad LinuxAP
?
?
?
D U D A S
?
?
GRACIAS
Ponente: Juan Miguel Taboada Godoy
[email protected] - http://www.centrologic.com
Comentarios de: Redes Wireless bajo Linux Juan Miguel Taboada Godoy (0)
No hay comentarios