Bajo Windows / Linux, lado del cliente. ¿Cómo puedo asegurarme de que no me estoy conectando a un AP deshonesto?
Bajo Windows / Linux, lado del cliente. ¿Cómo puedo asegurarme de que no me estoy conectando a un AP deshonesto?
Hablando en general
Los MAC son fáciles de falsificar.
WEP se rompe en minutos.
Las implementaciones de WPA / WPA2 no son seguras en todos los enrutadores.
Los ataques de intermediarios de la OMI son casi inevitables
El problema principal es que los datos de control en 802.11x nunca están encriptados.
Debido a que cada autenticación inalámbrica debe comenzar a utilizar la secuencia de control sin cifrar, será vulnerable a un ataque de hombre en el medio.
Para empeorar las cosas, las sesiones 802.11x pueden forzarse fácilmente a desconectarse y volver a autenticarse, por lo que el administrador puede aparecer en cualquier momento de la sesión.
Al utilizar un haz de radio dirigido solo al cliente, es muy difícil para los sistemas de detección de intrusos interceptar este tráfico.
No te preocupes
La solución a esto es dejar de preocuparse por el hombre en el medio en este o aquel punto de acceso.
Simplemente haga una conexión con cualquier punto de acceso, seguro o no.
Ninguno de ellos puede ser de confianza, así que no te molestes.
La solución
En su lugar, use una solución VPN que esté a salvo de los ataques de intermediarios *) . p.ej. SSHv2 en una configuración segura para MITM y conéctese a su punto final utilizando eso.
¿Qué puede hacer el atacante?
Para que su atacante pueda escuchar el flujo de datos hasta el contenido de su corazón, todo lo que puede inferir es la cantidad de datos que está enviando y recibiendo en su computadora portátil (análisis de tráfico) , esto aún es útil, pero Él podría hacer eso de todos modos olfateando silenciosamente el tráfico inalámbrico.
Pero mantenga su computadora portátil segura
Aún tendrá que mantener a un atacante fuera de su computadora portátil, emplear un firewall que solo acepte tráfico de su conexión VPN y nada más. Utilice un sistema operativo seguro.
Beneficios de este enfoque
Su computadora portátil será utilizable fuera de la infraestructura corporativa. Siendo realistas, casi nunca permanecerá dentro de esa cáscara segura y asegurar todos los puntos de acceso con los que desea conectarse es un sueño imposible.
Si configura un servidor proxy para la web y el servidor de correo accesible a través de la conexión VPN, tendrá un uso totalmente seguro de su computadora portátil desde cualquier ubicación.
Para resumir
Con WEP y WPA, los atacantes externos pueden falsificar su punto de acceso inalámbrico.
Con WPA2, independientemente del cifrado utilizado autenticado , los atacantes pueden iniciar un ataque mitm independientemente del esquema de cifrado utilizado. Esto se puede hacer con información privilegiada o malware no confiable en una computadora portátil confiable.
Si bien no hay necesidad de obtener todo el paraniod acerca de esto como D.W. correctamente señalado.
La conclusión es que no hay manera de estar 100% seguro de que no se está conectando a un AP no autorizado.
Ahora solo debes preocuparte por ese iPhone .....
WPA2 tiene un vector de ataque mitm llamado Hole 196, consulte: enlace
*) no son todas las soluciones de VPN y muchas de ellas tienen configuraciones donde una solución que de otra manera es segura todavía está en riesgo, pero hay opciones seguras y si tiene un buen administrador de sistemas es no es difícil de configurar correctamente.
La única forma de estar "seguro" de que te estás conectando donde quieres conectarte es tener una raíz de confianza de antemano, algo compartido con AP como claves simétricas o la clave pública de AP (y confiar en el público La clave le pertenece) o confiar en algún certificado. Si tiene esta raíz de confianza, puede formar una base para confiar en el AP si puede proporcionar garantías de que conoce la clave privada o puede usar la clave compartida.
Además, si el AP usa WPA / WPA2, entonces se usa la autenticación mutua, por lo que puede inferir que es el AP correcto por el hecho de que la autenticación se realiza correctamente o no.
Se alude a la solución en otra respuesta pero no se establece explícitamente. Actualmente, esto solo es posible con WPA / WPA2 Enterprise. Mediante EAP-TLS, tanto el cliente como el servidor de autenticación (es decir, RADIUS) se autentican mediante certificados. Si desea estar seguro de que se está conectando al AP correcto, se requiere una autenticación mutua segura. Dicho esto, este tipo de implementación es raro fuera de la empresa.
Esto es lo que sugiero:
Configure el punto de acceso para usar WPA2-PSK, con una contraseña larga y fuerte, que sea muy difícil de adivinar o romper por la fuerza bruta. (No utilice WEP o WPA, no son lo suficientemente seguros). No le diga a nadie más la contraseña.
Configure su computadora para conectarse a esa red inalámbrica con esa frase de contraseña, y solo esa red inalámbrica. Desactive la conexión automática o elimine todas las demás redes inalámbricas recordadas. (En Windows, puede hacer eso yendo al control de redes y recursos compartidos). Si la conexión se realiza correctamente, creo que tiene bastante seguridad de que está hablando con el punto de acceso real.
Esto parece lo suficientemente bueno para la mayoría de los propósitos. Si necesita alta seguridad, configure una VPN y asegúrese de que todo el tráfico de red que sale de su máquina se canalice a través de la VPN: entonces no le importa qué punto de acceso está atravesando.
Mi consejo general sería que solo se conecte a puntos de acceso WiFi "seguros". Esto requiere que usted y el AP tengan conocimiento de un PSK u otro proceso de autenticación, por el cual su sistema no se conectará al AP de otra manera.
Además (y obviamente) esto tiene el mayor beneficio adicional de asegurarse de que Eve no pueda detectar fácilmente su tráfico inalámbrico.
No puedes y no debes preocuparte por eso.
Si el AP le proporciona conectividad a Internet, debe considerarse con la misma sospecha que cualquier conexión a Internet. Por lo tanto, cualquier información confidencial que se envíe a través de Internet y el punto de acceso debe ser autenticada y encriptada por separado.
Aquí hay algunas mitigaciones
No conectarse según el SSID
Puede configurar las redes WiFi recordadas de muchos clientes para incluir el BSSID del AP. La ventaja de hacerlo es que si su dispositivo detecta el SSID de una red recordada, ni siquiera iniciará una conexión a menos que tenga el BSSID almacenado en la configuración de red recordada de su dispositivo. El inconveniente es que esto matará más formas de roaming WiFi y el BSSID puede ser falsificado. Esto solo es realmente bueno para protegerse contra ataques muy simples o para evitar que su dispositivo intente conectarse cuando se produce una colisión de nombres (como cuando "linksys", "holiday-inn", "starbucks-wifi" o cualquier otra cosa en sus redes recordadas. ).
Usar autenticación de servidor
En WPA2 Enterprise, puede configurar 802.1X para usar un servidor RADIUS para la autenticación, y lo primero que debe hacer en este caso es asegurarse de que su dispositivo cliente esté autentificando el servidor al verificar si tiene un certificado firmado por un CA de confianza. La ventaja de esto es que es una técnica de validación robusta que es extremadamente difícil de socavar. Las desventajas son que primero tiene que intentar una conexión (lo que significa que el AP es al menos consciente de su dispositivo), esto requiere mucha configuración, y puede que esto no esté en su poder si está tratando de validar a alguien. El AP de else y no quieren configurar WPA2 Enterprise.
No confíe en la infraestructura
Aunque no preguntaste, te daré esto gratis. Incluso si se conecta a un AP no autorizado, adapte su comportamiento para ayudar a protegerse contra los ataques MitM. Use un proveedor de VPN como PIA, use tor, use https-everywhere, codifique el DNS de su cliente a un proveedor conocido como 1.1.1.1, elimine todas las cookies de autenticación al cerrar el navegador. Sin embargo, esto sigue siendo una perspectiva arriesgada. Muchas aplicaciones no logran realizar una sólida validación de CA en los puntos finales, existen ataques en los clientes de Windows que pueden exponer sus cookies de autenticación a través de un punto de acceso no autorizado, sslstrip puede redirigirlo a sitios que no son SSL, a menos que use https en todas partes en modo agresivo o en el sitio que utiliza. la conexión para utilizar HSTS (la mayoría no lo hace), o tor o proxy VPN a menudo pueden ser eludidos (generalmente de forma inocente) por las aplicaciones.
Una de las mejores opciones para protegerse contra MitM a nivel de LAN, cuando está usando una computadora portátil, es virtualizar Whonix (o algo que sirva como una puerta de enlace / enrutador VPN) y usar IOMMU para pasar su tarjeta WiFi a que VM. Luego dirija su tráfico al enrutador de Whonix y todo se enviará a través de TOR. Esto elimina en gran medida la evasión de proxy en su cliente y reduce la superficie de ataque de hardware / tarjeta de red. La desventaja, por supuesto, es que, en el otro lado del extremo proxy / VPN, su tráfico es igual de vulnerable a los ataques MitM (sin embargo, tales ataques requieren mucha más sofisticación entre un ISP y un proveedor de servicios). Este tipo de configuración es lo que hace Qubes-OS, pero puede administrarse con un poco de retoques en la mayoría de las distribuciones de Linux. Esto seguramente no será factible en Android o iOS. #NotForTheFaintOfHeart.
Este es un problema común en las conferencias de seguridad a las que he asistido en el pasado. Uno en particular proporcionó a todos los delegados la dirección MAC de AP. Se les indicó a los usuarios que ingresen entradas estáticas en la tabla ARP de su dispositivo para asegurarse de que los AP de Rouge no funcionen.
Para determinar antes de la conexión, puedes usar algo como Kismet / Kismac para identificar el AP.
¿No puedes? Puede estar seguro dentro de un cierto nivel de confianza. El nivel de confianza "seguro" depende de su situación.
Pero para ser más útil, Johan lo ha respondido de manera bastante completa. Creo que la pregunta más importante podría ser "¿Cuáles son las fortalezas relativas de las diversas formas de asegurar sus APs?"
¿Y cuánto esfuerzo se necesita para subvertir los distintos niveles de seguridad de su AP?
Si tiene acceso de root al enrutador inalámbrico, entonces si ejecuta un SSHD, puede verificar la clave ssh almacenada en los "hosts_ conocidos" en el cliente que coincide con el que obtiene cuando se conecta al SSHD en la conexión inalámbrica. enrutador.
Lea otras preguntas en las etiquetas authentication wifi