La vulnerabilidad Dragonblood: ¿Es segura su red WiFi?

¡Es temporada de Juego de tronos! Y cualquier cosa que tenga que ver con los dragones me recuerda a Juego de tronos. La vulnerabilidad Dragonblood ha expuesto recientemente la débil seguridad de la norma WPA3. Hace apenas un año que KRACK expuso las debilidades de la norma WPA2. Como respuesta, la Wi-Fi Alliance anunció un sucesor de WPA2 más robusto: WPA3.

Pero, ¿se trató realmente de un sucesor robusto? Aparentemente, no.

WPA3 incorporó la negociación denominada Autenticación Simultánea de Iguales (SAE), que supuso una gran mejora con respecto a WPA2, ya que evita los ataques de diccionario. La familia de negociaciones SAE se conoce como Drangonfly. Esta negociación es susceptible a ataques de partición de contraseñas, que se asemejan a los ataques de diccionario y aprovecha las fugas de canal lateral para recuperar las contraseñas de red.

Según los investigadores Vanhoef y Ronen, que publicaron el documento sobre esta vulnerabilidad, WPA3 presenta graves defectos de diseño que podrían haberse evitado con comentarios de expertos del sector sobre la WiFi segura. Uno de los defectos es que WPA3 no introduce ningún protocolo nuevo, sino que se limita a indicar cuáles de los protocolos existentes deben ser compatibles.

Antecedentes de WPA3

WPA3 mejoró WPA2 utilizando los métodos de seguridad más recientes, desautorizando protocolos heredados obsoletos e implementando el uso de marcos de gestión protegidos (PMF). Se diseñó tomando en cuenta dos tipos de redes: protección para redes domésticas con WPA3-Personal y para redes empresariales con WPA3-Enterprise.

WPA3-Personal ofrece una mayor protección de las contraseñas de red, mientras que WPA3-Enterprise proporciona protocolos de mayor seguridad para las redes empresariales. En redes WPA3-Personal, la negociación SAE consiste en la sustitución de la clave previamente compartida (PSK) en redes WPA2-Personal. WPA3 incluye: selección de contraseñas naturales, facilidad de uso y secreto de reenvío.

¿En qué consiste la negociación Dragonfly?

WPA3-Personal exige compatibilidad con las negociaciones SAE, que consisten en un intercambio de claves de autenticación de contraseñas equilibrado en el que dos endpoints (AP y AP o AP y cliente) almacenan las contraseñas en texto no cifrado. La entrada de la negociación SAE es un secreto previamente compartido y la salida es una clave maestra por pares de alta entropía. Después de esta ejecución, se produce una negociación en cuatro pasos para generar una clave transitoria por pares.

6 maneras en que Dragonblood afecta a su red inalámbrica

  1. Ataque de denegación de servicio (DoS). El mecanismo antiobstrucción de WPA3 que se supone que debe prevenir ataques DoS no los impide. Por tanto, esto puede anular los access points y provocar interrupciones en las redes.
  2. Ataque de degradación. El modo de transición de WPA3 es susceptible a ataques de diccionario. En este modo, un access point compatible con WPA3 puede aceptar conexiones de dispositivos cliente WPA2 y WPA3. Si un atacante realiza un ataque de intermediario para modificar las balizas de un access point compatible con WPA3 para engañar al cliente y hacerle creer que se trata de un access point WPA2, durante la negociación en cuatro pasos WPA2, el cliente detecta la anomalía y detiene la transmisión. Sin embargo, durante la negociación se envían suficientes tramas para que el atacante pueda realizar un ataque de diccionario. Además, los investigadores también descubrieron «ataques de degradación específicos de la implementación cuando un cliente se conecta automáticamente de manera inadecuada a una red exclusiva WPA3 utilizada con anterioridad».
  3. Ataque de negociación de grupo SAE. Los dispositivos cliente pueden priorizar grupos en la negociación SAE según las especificaciones 802.11. Con SAE, cuando un cliente se conecta a un access point, incluye el grupo deseado en la trama de consignación y este proceso continúa. «Lamentablemente, no existe ningún mecanismo que detecte si alguien ha interferido en este proceso. Por ello, resulta irrelevante forzar al cliente a utilizar un grupo diferente: crear simplemente una trama de consignación que indique que el AP no admite el grupo actualmente seleccionado». Esto da lugar a un ataque de degradación. Este método también puede utilizarse para realizar ataques de ampliación.
  4. Ataques de canal lateral basados en tiempo. La negociación SAE es susceptible a ataques de tiempo que filtran información de contraseñas, lo cual podría utilizarse posteriormente en ataques de partición de contraseñas para recuperar la contraseña de la víctima.
  5. Ataques de canal lateral basados en caché. SAE también es susceptible a vulnerabilidades en la implementación de sus algoritmos, lo que podría aprovecharse en ataques de partición de contraseñas para recuperar la contraseña de la víctima.
  6. EAP-PWD. Afecta al protocolo de autenticación ampliable (EAP) admitido en las normas WPA2 y WPA. Los investigadores también «descubrieron graves errores en la mayoría de los productos que implementan EAP-pwd. Estos errores permiten a un adversario suplantar a cualquier usuario y, por tanto, acceder a la red Wi-Fi sin conocer la contraseña del usuario».

Cómo protegerse contra Dragonblood

La vulnerabilidad Dragonblood se puede solucionar con parches de software. Aunque la Wi-Fi Alliance está dando directrices a los proveedores, asegúrese siempre de tener instalados en su red los parches de seguridad más recientes de los fabricantes de dispositivos inalámbricos. Utilice, además, contraseñas seguras en sus redes.

¿La vulnerabilidad Dragonblood afecta a los access points inalámbricos SonicWave?

No. Esta vulnerabilidad no afecta a los access points inalámbricos SonicWall. Los access points SonicWave proporcionan una seguridad inalámbrica superior y una tercera radio específica para análisis de seguridad. Los AP pueden prestar servicios de seguridad avanzados como el entorno aislado Capture Advanced Threat Protection (ATP) y el servicio de filtrado de contenidos (CFS), incluso estando desvinculados de los firewalls. Le ofrece la máxima flexibilidad para gestionar las comunicaciones inalámbricas desde la nube o a través de los firewalls, sin poner en peligro la seguridad.

Más facilidad de planificación, seguridad y gestión de redes wifi desde la nube

El acceso a redes wifi es generalizado, pero no siempre resulta fácil de planificar, implementar, proteger y gestionar, especialmente en el caso de negocios y empresas diseminados.

SonicWall cree que existe un enfoque más sencillo. Nuestros equipos de producto han renovado nuestras soluciones de gestión de redes wifi innovando desde el principio. La prioridad durante todo el proceso era centrarnos en el desarrollo de nuestra tecnología wifi en cuatro ámbitos clave: seguridad, rendimiento, simplicidad e intuición.

Sobre el papel, parecen algo evidente, pero queríamos asegurarnos de que su ejecución coincidiera con la visión: eliminar toda la complejidad sin afectar a la experiencia del usuario final. El resultado de este esfuerzo son cuatro nuevas soluciones inalámbricas de SonicWall:

Gestión intuitiva de redes inalámbricas de próxima generación

Una de las pesadillas permanentes de los administradores de redes es una red incontrolable. A medida que se amplía la red, se cambian las políticas y aumentan las amenazas, suele ser difícil mantener el ritmo.

Detectar un corte de red después de que haya ocurrido (o malware después de que haya entrado en la red) puede ser nefasto. SonicWall le proporciona los instrumentos adecuados para conocer a fondo su red y poder mantener el ritmo de sus necesidades cambiantes.

SonicWall WiFi Cloud Manager es un sistema intuitivo, escalable y centralizado de gestión de redes wifi apto para redes de cualquier envergadura. Gracias a una gestión simplificada, el análisis de la red inalámbrica es más detallado y fácilmente accesible desde cualquier lugar con conexión a Internet. La solución de gestión basada en la nube tiene un diseño fácil de usar y resistente, a la vez que simplifica las capacidades de acceso, control y solución de problemas.

Mediante una nueva interfaz de usuario, es posible acceder a WiFi Cloud Manager a través de SonicWall Capture Security Center para obtener potentes funciones e incorporación simplificada en la nube desde un único panel. La visibilidad y el control centralizados sobre el hardware de redes inalámbricas y por cable de SonicWall reduce la complejidad y la necesidad de sistemas de gestión superpuestos caros y complejos. También es posible implantarlo en diversas regiones para obtener mayor visibilidad de la red en empresas diseminadas.

Para los administradores de redes que se desplazan, SonicWall presenta la aplicación móvil SonicWiFi para configurar y monitorizar la red. Esta aplicación permite incorporar fácilmente los puntos de acceso y configurar la malla de red. Está disponible para iOS y Android.

Seguridad inalámbrica avanzada: con o sin cortafuegos

Las organizaciones, grandes y pequeñas, necesitan soluciones inalámbricas seguras para ampliar la conectividad a sus empleados, clientes e invitados. Los nuevos puntos de acceso inalámbrico SonicWave serie 200 ofrecen un rendimiento y una seguridad de nivel empresarial con el alcance y la fiabilidad de la tecnología 802.11ac Wave 2 a un precio asequible.

Estos puntos de acceso, basados en la seguridad de nueva generación líder del sector, incorporan una tercera radio específica para el análisis de seguridad. De hecho, algunas funciones avanzadas de seguridad como el Servicio de Filtración de Contenidos (CFS) y el servicio de entorno aislado Capture Advanced Threat Protection (ATP) pueden ejecutarse en el propio punto de acceso, lo que permite a las organizaciones mitigar los ciberataques aun sin tener instalados cortafuegos.

Los puntos de acceso SonicWave 200 están disponibles en tres versiones: 231c para interiores, 231o para exteriores y 224w para instalación en pared.

Podrá gestionar docenas e incluso miles de puntos de acceso inalámbrico SonicWave desde cualquier lugar con conexión a Internet a través de la nube o de los cortafuegos, obteniendo así máxima flexibilidad.

SonicWall WiFi Cloud Manager le ofrece un único panel desde el que poder ver toda su red inalámbrica. Los puntos de acceso SonicWave admiten también SonicWall Zero-Touch Deployment, que permite identificar y registrar los puntos de acceso de forma automática. SonicWiFi Mobile App también le permite configurar, gestionar y hacer un seguimiento de su red.

Los puntos de acceso SonicWave aprovechan la tecnología de malla para eliminar la complejidad de la expansión inalámbrica, especialmente en lugares remotos o diseminados. Las redes de malla son fáciles de instalar, su ampliación apenas requiere esfuerzo y su despliegue precisa menos cables y recursos humanos, lo que reduce los costes de instalación. El nuevo soporte de montaje a presión facilita aún más la instalación.

Planifique y despliegue fácilmente sus redes inalámbricas

Los administradores de TI suelen recibir quejas de inestabilidad en la conexión wifi, lo que se traduce en una mala experiencia para los usuarios. Este problema se debe principalmente a que las redes wifi no se diseñan correctamente desde el principio.  La colocación de los puntos de acceso podría ser incorrecta, puede haber barreras de radiofrecuencia o, simplemente, no tienen suficiente capacidad o cobertura.

SonicWall WiFi Planner es una sencilla herramienta de análisis avanzado de centros con redes inalámbricas que le permite optimizar el diseño y la implementación de la red inalámbrica para mejorar la experiencia del usuario.

Esta herramienta permite personalizar la configuración en función del entorno y las necesidades para obtener la máxima cobertura con el menor número de puntos de acceso. Puede evitar las interferencias en su instalación en la medida de lo posible mediante la asignación de canales automáticos.

Gracias a una interfaz de usuario basada en la nube, tendrá flexibilidad para colaborar con equipos en cualquier parte del mundo. Es perfecta para la instalación de nuevos puntos de acceso o para garantizar una excelente cobertura en su red inalámbrica. SonicWall WiFi Planner no tiene coste adicional y es accesible desde WiFi Cloud Manager.

Estos dos productos juntos ofrecen una potente solución inalámbrica y allanan el camino para la siguiente era de la seguridad inalámbrica. Bienvenido al futuro de la seguridad inalámbrica.

Resumen de la solución: Cómo racionalizar y automatizar la gestión de la red inalámbrica

Las soluciones inalámbricas ya no son un lujo, sino una necesidad. Con la adopción de la nube como motor de la transformación digital, disponer de flexibilidad para utilizar una solución inalámbrica gestionada en la nube constituye un elemento fundamental. Hoy día, los usuarios esperan gestionar sus dispositivos inalámbricos desde cualquier lugar y en cualquier momento. Así es como se hace posible.

Capture Client 2.0 ofrece un sistema avanzado de detección de amenazas de puntos finales y respuesta (Endpoint Detection & Response, EDR)

La protección de los puntos finales ha experimentado una gran evolución y ya no se limita al seguimiento de los antivirus. En la actualidad, los puntos finales exigen un proceso sistemático y proactivo de exploración y atenuación de archivos sospechosos o comportamientos sospechosos detectados en dichos puntos.

Con el lanzamiento de SonicWall Capture Client 2.0, las organizaciones controlan de forma activa la solidez de los puntos finales con las capacidades avanzadas de detección de amenazas de puntos finales y respuesta (Endpoint Detection and Response, EDR).

Gracias a estas capacidades de EDR, SonicWall Capture Client permite a los administradores rastrear el origen de las amenazas y los destinos previstos, eliminarlas o ponerlas en cuarentena, si es necesario, y «revertir» los puntos finales al último estado óptimo conocido en caso de infección o peligro.

Capture Client también permite a las organizaciones reducir el malware y limpiar los puntos finales sin desconectarlos manualmente para realizar análisis forenses o crear una nueva imagen del dispositivo, algo que suele ser necesario con las soluciones de antivirus heredadas.

Proteja los puntos finales contra los contratiempos de los empleados con la protección frente a amenazas web

Las opciones de filtrado de contenidos de SonicWall llevan años siendo utilizadas por escuelas, pymes y grandes empresas para bloquear el acceso a contenidos web maliciosos (p. ej., sitios de phishing) o a sitios web «ladrones» de productividad (como las redes sociales), así como para controlar el ancho de banda que recibe una aplicación.

Una parte de esta tecnología, denominada Web Threat Protection (protección frente a amenazas web), se encuentra ahora incluida en Capture Client 2.0. Esta función utiliza el filtrado de contenidos para bloquear el acceso a millones de URL, dominios y direcciones IP maliciosos conocidos. De esta forma, se pueden evitar ataques por correo electrónico de phishing, descargas de archivos maliciosos (p. ej., ransomware) u otras amenazas en línea.

Web Threat Protection proporciona a los administradores una seguridad adicional y hace innecesaria la limpieza de infecciones y/o la «reversión» del equipo al último estado óptimo conocido.

Reducción de la superficie de ataque con el control de dispositivos terminales

¿Sabía que un experimento social realizado recientemente por Google demostró que un 45 % de los USB «perdidos» fueron conectados a dispositivos por las personas que los habían encontrado?

Una práctica habitual y muy efectiva para realizar ataques a empresas, es la «colocación» de USB infectados en una zona de trabajo (p. ej., cafetería, aparcamiento de la empresa, vestíbulo). De hecho, muchos establecimientos minoristas disponen de sistemas de punto de venta (TPV) con puertos de USB expuestos que permiten infectar fácilmente las redes desde numerosas ubicaciones.

Con el fin de evitar eficazmente que dispositivos infectados como USB sean conectados a puntos finales, Capture Client Device Control puede bloquear los dispositivos desconocidos o sospechosos. Los administradores tienen la capacidad de bloquear el acceso de los puntos finales a dispositivos desconocidos hasta que sean autorizados, o de realizar un filtrado de dispositivos «limpios», como impresoras y dispositivos de almacenamiento extraíbles, con el fin de reducir el nivel de amenazas.

Mejores licencias de protección contra las amenazas de los puntos finales para socios y clientes

SonicWall no se ha limitado simplemente a mejorar la estabilidad y funcionalidad del cliente. Durante todo el año pasado, estuvo colaborando con una red mundial de socios y clientes para crear y poner al servicio del cliente unas mejores prácticas comerciales.

Debido al aumento de la demanda, nos complace anunciar que nuestros competitivos códigos SKU de conversión funcionarán como un programa indefinido del que podrán disfrutar los socios acreditados de SonicWall. Los clientes podrán beneficiarse de tres años de cobertura por el precio de dos cuando cambien desde un producto de la competencia.

Asimismo, SonicWall va a prescindir de los códigos SKU de paquetes pedidos anteriormente (y que todavía cuentan con asistencia técnica) para sustituirlos por los códigos SKU agrupados, que llegarán en marzo de 2019. Estos conjuntos de pedidos permiten a un socio solicitar el número exacto de licencias necesarias para su volumen y beneficiarse del correspondiente descuento. Estos conjuntos empiezan con cinco puestos y ofrecen ocho series de descuentos por volumen que llegan hasta 10.000 o más puestos.

Resumen técnico: Atenúe el efecto del ransomware

Capture Client Advanced permite una recuperación rápida y automatizada sin necesidad de proceder a una restauración manual a partir de copias de seguridad ni de crear nuevas imágenes del sistema. Descargue el informe técnico completo para informarse de cómo la restauración de Capture Client puede ayudarle a optimizar la continuidad de las actividades, reducir el impacto financiero y acortar el tiempo medio de reparación.