Difference between revisions of "Metodologia/en"

From OWISAM
Jump to: navigation, search
(Página creada con «{| border="1" ! style="background:#efefef;width: 150px;" | '''Type of analysis''' ! style="background:#efefef;" | '''Details of each type of analysis''' |- !align="cent...»)
(Página creada con «=== Restrictions === It is important to clarify whether the audit of a Wi-Fi infrastructure is restricted in scope. The restrictions of tests can also come defined by sever...»)
Line 24: Line 24:
  
  
=== Restricciones ===
+
=== Restrictions ===
Es importante clarificar si la auditoría de una infraestructura Wi-Fi tiene restricciones en el alcance. Las restricciones de las pruebas también puede venir definidas por varios ámbitos:
+
It is important to clarify whether the audit of a Wi-Fi infrastructure is restricted in scope. The restrictions of tests can also come defined by several areas:
  
  

Revision as of 23:21, 13 May 2018

Other languages:
English • ‎español

Introduction

When raising a wireless security patch, you should use the most appropriate approach to meet customer needs, focusing the audit to the infrastructure requirements.

Types of analysis

Each approach has its advantages and disadvantages, and each one gives a different perspective from the point of view of security. Therefore, depending on customer needs, there are several approaches to testing. This approaches can be:

Type of analysis Details of each type of analysis
Black box This analysis starts from a complete lack of knowledge by the auditor, of the networks, devices and security mechanisms deployed. It is the right approach to get an overview of the security status of the organization, especially if it is the first work of its kind, and to simulate an attack by a third party.
White box In a white box analysis, the scope of the review (ESSIDs, BSSIDs,..) has been clearly identified, as well as the deployed security mechanisms. It is the right approach when you want to evaluate the security of specific devices or to analyze the evolution in security after applying technical changes.
Gray box The gray box analysis is a mixed approach between the two previous approaches. Its main goal is to reduce the time required for the process of gathering information or to guide the security analyst on how to approach the analysis tests.


Restrictions

It is important to clarify whether the audit of a Wi-Fi infrastructure is restricted in scope. The restrictions of tests can also come defined by several areas:


Restricciones Descripción de las restricciones establecidas
Área geográfica El alcance puede estar definido para aquellas redes y dispositivos ubicados en un área geográfica concreta, como por ejemplo una oficina. En este escenario es muy importante asegurarse de que los dispositivos a analizar (clientes, puntos de acceso,..) realmente pertenecen a la organización y se debe verificar su ubicación física antes de iniciar las pruebas.
ESSID Se identifica una o varias redes Wi-Fi en base a su nombre. Se debe prestar especial atención cuando el alcance se define haciendo uso de nombres de redes con SSID genéricos, sobre todo cuando existe confluencia de redes de terceros.
BSSID La identificación de la dirección MAC de los dispositivos y redes a verificar permite centrar las pruebas sobre los dispositivos del cliente obviando el resto de ruido de la red.
Pruebas de fuerza bruta Se debe definir si dentro de las pruebas se habilita al auditor a realizar pruebas de verificación masiva de usuarios y contraseñas contra los mecanismos de autenticación (radius, portal cautivo,.) y en qué condiciones para evitar bloquear cuentas de usuario o realizar una denegación de servicio de forma colateral.
Ataques de Denegación de servicio Identificación de qué pruebas están permitidas en este ámbito y que dispositivos deben ser excluidos para no afectar al servicio.
Ventana horaria Puede ser necesario que las pruebas se realicen dentro de un marco horario concreto, como por ejemplo un horario de oficina, o que puedan continuar fuera del horario laboral para no impactar a las operaciones diarias.
Análisis activo Una revisión de seguridad inalámbrica se considera revisión activa cuando el auditor está autorizado a interactuar con los dispositivos incluidos en el alcance. Un análisis pasivo se centra en identificar e inventariar dispositivos, en generar mapas de cobertura inalámbrica y en identificar la ubicación de los dispositivos.
Análisis del perímetro Puede ser necesario considerar la realización de pruebas de análisis y ataques desde el exterior del perímetro de la organización.
Visibilidad de las pruebas Se puede establecer que las pruebas se realicen de tal modo que pasen inadvertidas por parte del personal de la empresa. En este escenario, el uso de dispositivos embebidos , tablets o móviles puede ser recomendable para evitar hacer uso de dispositivos aparatosos.


Consideraciones al inicio de la auditoría

Autorización del trabajo

Antes de iniciar un análisis de seguridad inalámbrica, es necesario contar con una acreditación u orden de trabajo firmado por la empresa a la que se va a realizar el trabajo. Este documento debe identificar de forma clara y concisa los siguientes elementos:

  1. Nombre de la empresa (cliente).
  2. Persona de contacto.
  3. Teléfono de contacto.
  4. Persona o empresa que realiza el análisis.
  5. Duración temporal.
  6. Ventana horaria.


En determinados escenarios, como por ejemplo las revisiones de seguridad en edificios de oficinas, en centros comerciales o en zonas de seguridad donde están ubicados organismos sensibles (agencias gubernamentales, aeropuertos,..), puede ser necesario solicitar la autorización de terceros antes de realizar el análisis.


Almacenamiento de información

Como norma general, no se deben almacenar paquetes de información (paquetes data) de una red inalámbrica hasta que no se garantice que la captura de datos se realiza contra dispositivos incluidos dentro del alcance del análisis y se está autorizado para registrar esa información. La captura indiscriminada de información de terceros puede poner en riesgo la privacidad de los usuarios y puede estar prohibido por la normativa de protección de datos del país.

Si el almacenamiento de las cabeceras de los paquetes data resulta relevante, estos pueden ser almacenados sobre-escribiendo los bytes de datos con ceros. Si no se dispone de ningún método técnico para evitar el almacenamiento de esta información, se debe eliminar dicha información en cuanto exista posibilidad, preferiblemente antes de integrar la información analizada en sistemas de procesamiento masivo de datos.

Interacción con los dispositivos

Al inicio de cualquier análisis de seguridad en redes inalámbricas, todas las pruebas realizadas deben ser pasivas, basadas en la monitorización y recopilación de información. No se deben realizar pruebas intrusivas ni interactuar con dispositivos de comunicaciones mediante el envío de paquetes mientras no se identifique claramente que el dispositivo con el que se va a interactuar está claramente definido en el alcance y estamos autorizados para realizar pruebas sobre él.


Ganancia y antenas

Se debe referenciar en todo momento el tipo de dispositivo utilizado en las pruebas de análisis y la ganancia de señal. Es especialmente relevante si se desea generar mapas de cobertura de la red. El uso de diferentes tipos de antenas (omnidireccional, direccional,..) debe quedar reflejado en el análisis.


Potencia de transmisión y frecuencias utilizadas

Se debe verificar que los parámetros operativos de los dispositivos de análisis entran dentro de los límites definidos por la normativa de uso del espacio radioeléctrico del país donde se realizan las pruebas de análisis.


Emisión de interferencias

Se debe evitar, en la medida de lo posible la generación de ruido o interferencias durante las pruebas, para asegurar la mejor cobertura y evitar la corrupción de información para su análisis. Se recomienda deshabilitar los dispositivos Bluetooth así como las interfaces de red Wireless que no se encuentren en uso.


Duración de las pruebas

Puede ser necesario que determinadas pruebas continúan a lo largo de varias horas. Se debe asegurar, al inicio de las pruebas, si se hace uso de dispositivos portátiles que existan fuentes de alimentación redundantes (baterías extra, SAI,..) o baterías de alta capacidad.

Fases del análisis

Un análisis de seguridad Wi-Fi consta de 7 fases bien diferenciadas:

  1. Planificación: Es en esta fase se realizan todos los pasos previos al análisis técnico.
  2. Recopilación de información: Análisis pasivo de dispositivos.
  3. Identificación de dispositivos: Extracción de información relevante de la infraestructura.
  4. Ataques: Identificación de debilidades en los dispositivos Wi-Fi.
  5. Acceso a la red: Análisis e interacción con la infraestructura.
  6. Pruebas sobre normativa y directivas: Verificación del cumplimiento de los controles normativos existentes.
  7. Generación de resultados: Generación de informes, análisis final de evidencias y clasificación de riesgos.


La visión general de este análisis se puede ver a continuación.

Metodologia owisam


Planificación

Recopilación de información

Identificación de dispositivos

Ataques

Acceso a la red

Pruebas sobre normativa y directivas

Generación de resultados