1 00:00:04,280 --> 00:00:10,840 Hola y bienvenidos a esta grabación sobre una función de WPA3 llamada Protección de balizas. 2 00:00:10,840 --> 00:00:16,720 Hagamos un breve repaso de qué son las balizas. 3 00:00:16,720 --> 00:00:21,360 Los marcos de baliza son marcos de gestión 802.11 y se utilizan para muchas cosas. 4 00:00:21,360 --> 00:00:23,060 por diferentes razones. 5 00:00:23,060 --> 00:00:25,420 Seguramente ya sabes que los utilizan los clientes de redes LAN inalámbricas. 6 00:00:25,420 --> 00:00:27,840 para descubrir la red LAN inalámbrica. 7 00:00:27,840 --> 00:00:31,600 ¿Sabes qué redes SSID hay a mi alrededor y cuáles son sus capacidades? 8 00:00:31,600 --> 00:00:35,740 Dentro de la baliza se indican cosas como qué mecanismos de autenticación son 9 00:00:35,740 --> 00:00:40,140 ¿Qué mecanismos de cifrado se utilizan? ¿Qué canales se utilizan? 10 00:00:40,140 --> 00:00:41,040 Un montón de cosas. 11 00:00:41,040 --> 00:00:43,520 Las balizas están repletas de información. 12 00:00:43,520 --> 00:00:46,960 También ayudan a los clientes de la red LAN inalámbrica a mantener su conexión. 13 00:00:46,960 --> 00:00:48,540 a la red LAN inalámbrica. 14 00:00:48,540 --> 00:00:52,960 Un cliente de red inalámbrica debe poder recibir balizas si, por alguna razón, 15 00:00:52,960 --> 00:00:56,780 ya sea porque el cliente se ha mudado demasiado lejos o porque ha habido un aumento 16 00:00:56,780 --> 00:01:01,280 en interferencias de radiofrecuencia y ya no puede recibir balizas que 17 00:01:01,280 --> 00:01:05,020 Los clientes pueden tener que buscar una red LAN inalámbrica diferente a la que conectarse. 18 00:01:05,020 --> 00:01:09,020 Ahora las balizas se envían en texto plano y sin cifrar, por lo que si realizas una conexión Wi-Fi 19 00:01:09,020 --> 00:01:13,120 Puedes leer los rastros del analizador de paquetes de datos de principio a fin. 20 00:01:13,120 --> 00:01:17,340 Ahora bien, una vez asociadas a una red LAN inalámbrica, podría producirse suplantación de identidad en las balizas. 21 00:01:17,340 --> 00:01:21,580 En ese caso, tienes un punto de acceso no autorizado que está enviando sus antiguas balizas. 22 00:01:21,580 --> 00:01:24,940 El peor escenario posible es tener un punto de acceso que en realidad 23 00:01:24,940 --> 00:01:29,620 suplantando la dirección MAC de su punto de acceso legítimo, pero las balizas 24 00:01:29,620 --> 00:01:33,980 La dirección MAC fraudulenta que está enviando está causando fallos o errores en los clientes. 25 00:01:33,980 --> 00:01:38,720 información. Puede resultar en la disociación de clientes, limitación de velocidad 26 00:01:38,720 --> 00:01:42,900 El cliente, ¿sabes qué pasa si el punto de acceso no autorizado dice: "Oh, solo admito"? 27 00:01:42,900 --> 00:01:46,860 Esta red LAN inalámbrica solo admite un megabit por segundo y eso es todo. 28 00:01:46,860 --> 00:01:50,320 ¡Guau, imagina cómo afectará eso a tu conexión Wi-Fi si empiezas a usarla! 29 00:01:50,320 --> 00:01:53,260 Creer eso y limitar la velocidad a ese nivel. 30 00:01:53,260 --> 00:01:56,420 Incluso puede forzarte a cambiar a un canal diferente enviando un mensaje de error. 31 00:01:56,420 --> 00:01:58,120 Anuncio del cambio. 32 00:01:58,120 --> 00:02:05,100 Por ello, WPA3 añadió protección mediante balizas para reducir algunos de estos riesgos. 33 00:02:05,100 --> 00:02:06,780 Entonces, ¿cómo se protegen? 34 00:02:06,780 --> 00:02:12,540 Bueno, si has visto mi vídeo sobre tramas de gestión protegidas por WPA3, supongo que PMF 35 00:02:12,540 --> 00:02:15,600 El mismo concepto se aplica aquí. 36 00:02:15,600 --> 00:02:19,860 La idea es que no podemos cifrar las balizas, por lo que aún así hay que enviarlas. 37 00:02:19,860 --> 00:02:24,080 en texto plano para que todo el mundo pueda leerlos, incluso los clientes que no lo son. 38 00:02:24,080 --> 00:02:27,320 Aún no está asociada a la red LAN inalámbrica, pero lo estamos considerando. 39 00:02:27,320 --> 00:02:31,800 Por lo tanto, no podemos cifrarlo, pero podemos validar su integridad y autenticación. 40 00:02:31,800 --> 00:02:36,020 del faro añadiendo un código de integridad de mensaje o un MAC. 41 00:02:36,020 --> 00:02:46,800 Ya tenemos el punto de acceso y utilizaremos una llave especial solo para este propósito. 42 00:02:46,800 --> 00:02:48,900 clave temporal la gran TK. 43 00:02:48,900 --> 00:02:54,620 Así como existen otras claves que los puntos de acceso proporcionarán a 44 00:02:54,620 --> 00:03:01,560 los clientes, por ejemplo, la clave temporal del grupo, la IG TK, esos y 45 00:03:01,560 --> 00:03:06,080 Este se transmite en Epos a través del mensaje clave LAN número tres. 46 00:03:06,080 --> 00:03:09,880 Así que tienes que pasar por ese apretón de manos cuádruple para recibir 47 00:03:09,880 --> 00:03:13,760 esta clave. Ahora bien, ¿qué significa esto para los clientes que no están asociados a 48 00:03:13,760 --> 00:03:15,220 ¿Ya tienes la red inalámbrica? 49 00:03:15,220 --> 00:03:18,060 Aun así, podrán recibir esas balizas y analizarlas. 50 00:03:18,060 --> 00:03:20,900 y ver qué hay dentro de ellos, solo hasta que realmente se asocien 51 00:03:20,900 --> 00:03:25,000 a la red inalámbrica y han pasado por el protocolo de enlace Epos sobre LAN. 52 00:03:25,000 --> 00:03:28,300 no podrán analizar ese código de integridad del mensaje y no podrán 53 00:03:28,300 --> 00:03:33,620 para determinar si el punto de acceso es legítimo o no autorizado hasta 54 00:03:33,620 --> 00:03:35,400 Ya han pasado por esa parte. 55 00:03:35,400 --> 00:03:40,320 Esto es solo para garantizar la integridad, no el cifrado, y se comparte entre 56 00:03:40,320 --> 00:03:44,620 Todos los clientes, al igual que la clave temporal del grupo, están asociados con 57 00:03:44,620 --> 00:03:48,880 ese SSID. Ahora bien, para tener esta función, debe tener protegida la red Wi-Fi. 58 00:03:48,880 --> 00:03:51,220 Marcos de gestión activados. 59 00:03:51,220 --> 00:03:55,280 Por lo tanto, no se trata de una función independiente, sino de algo opcional. 60 00:03:55,280 --> 00:03:59,280 pero si lo quieres, ya tienes que estar usando PMF. 61 00:03:59,280 --> 00:04:06,440 Ahora bien, si utilizas Wi-Fi 7 o superior, resulta que la protección de balizas 62 00:04:06,440 --> 00:04:10,220 Al igual que se requieren marcos de gestión protegidos. 63 00:04:10,220 --> 00:04:15,120 Ahora, de hecho, en los marcos de gestión protegidos por WPA3 ya se requiere en 64 00:04:15,120 --> 00:04:19,480 Al menos en los dispositivos Cisco no se puede crear una LAN inalámbrica WPA3 sin tener 65 00:04:19,480 --> 00:04:21,460 marcos de gestión protegidos. 66 00:04:21,460 --> 00:04:25,900 Ahora bien, la protección de balizas como característica secundaria es opcional en 67 00:04:25,900 --> 00:04:30,020 Wi-Fi 6E o inferior es necesario, pero por encima de eso sí que lo tienes. 68 00:04:30,020 --> 00:04:31,560 Ahora bien, ¿cómo lo habilitamos realmente? 69 00:04:31,560 --> 00:04:39,940 Bueno, en la versión 17.15 o posterior, y eso es fundamental aquí si estás 70 00:04:39,940 --> 00:04:42,900 Vamos a hacer esto en el laboratorio, asegúrate de que tu controlador esté... 71 00:04:42,900 --> 00:04:48,640 Si su sistema operativo es 17.15 o superior, verá que al seleccionar WPA3 como su configuración de red, esto es lo que verá. 72 00:04:48,640 --> 00:04:53,720 Ahora habrá una casilla de verificación que puede marcar para el tipo de LAN inalámbrica. 73 00:04:53,720 --> 00:04:56,100 Protección de baliza. 74 00:04:56,100 --> 00:04:59,860 Ahora bien, ¿cómo sabemos realmente si está funcionando, si está haciendo algo? 75 00:04:59,860 --> 00:05:04,840 Si abres el marco de tu baliza, verás aquí, en la sección "Extendido". 76 00:05:04,840 --> 00:05:09,320 capacidades octeto 11, por lo que será como el último octeto bajo extendido 77 00:05:09,320 --> 00:05:13,800 capacidades: si abres eso, verás una bandera establecida en el número uno que dice 78 00:05:13,800 --> 00:05:19,120 Protección de baliza habilitada, sí, es cierto, y luego abajo del todo 79 00:05:19,120 --> 00:05:22,360 Tuve que recortar algunas partes de la baliza, pero en la parte inferior verás 80 00:05:22,360 --> 00:05:27,060 Este elemento adicional se llama elemento de gestión mik y esto en realidad 81 00:05:27,060 --> 00:05:32,120 Contiene el código de integridad del mensaje, por lo que estas dos cosas juntas 82 00:05:32,120 --> 00:05:37,500 Proporcione su confirmación de que la función de protección de balizas está activada. 83 00:05:37,500 --> 00:05:44,420 Ahora realmente no hay forma de ver el verdadero gran TK, al igual que no hay... 84 00:05:44,420 --> 00:05:47,540 forma de ver la clave temporal del grupo porque, aunque se transmita 85 00:05:47,540 --> 00:05:52,260 Desde el punto de acceso al cliente en el mensaje clave número tres de Epos-Rlan 86 00:05:52,260 --> 00:05:56,800 Recuerda que el mensaje clave número tres de Epos-Rlan es en realidad el contenido 87 00:05:56,800 --> 00:06:02,020 están cifrados con la clave de cifrado que se derivó en el mensaje. 88 00:06:02,020 --> 00:06:08,020 Número uno, aquí abajo podemos ver los datos clave de la WPA y esto va 89 00:06:08,020 --> 00:06:14,020 para ser nuestra clave temporal de grupo, posiblemente una iGtk y la gran tk si somos 90 00:06:14,020 --> 00:06:18,960 Haciendo eso también, y todo esto está cifrado con la clave de cifrado. 91 00:06:18,960 --> 00:06:24,420 entre el cliente y el punto de acceso, así que solo algunas reflexiones finales sobre 92 00:06:24,420 --> 00:06:29,700 Por lo tanto, la protección de balizas solo protegerá al cliente del acceso no autorizado. 93 00:06:29,700 --> 00:06:35,000 puntos que intentan suplantar la identidad legítima mediante la duplicación de MAC 94 00:06:35,000 --> 00:06:40,060 punto de acceso si alguien tiene un punto de acceso no autorizado y no lo ha detectado. 95 00:06:40,060 --> 00:06:43,120 Se molestaron en hacerlo, dicen, ¿sabes qué? Voy a insertar un acceso 96 00:06:43,120 --> 00:06:48,720 punto que está anunciando exactamente el mismo SSID que el SSID corporativo y 97 00:06:48,720 --> 00:06:51,760 Voy a dejar mi dirección MAC como está, no la voy a cambiar. 98 00:06:51,760 --> 00:06:56,480 Entonces, recuerda que la protección de balizas no protege contra eso. 99 00:06:56,480 --> 00:07:01,780 Es responsabilidad del cliente decidir a qué punto de acceso va a intentar conectarse. 100 00:07:01,780 --> 00:07:06,880 La unión suele depender de la potencia o la claridad de la señal. 101 00:07:06,880 --> 00:07:12,360 que el punto de acceso tiene en su baliza, así que si mi empresa legítima 102 00:07:12,360 --> 00:07:17,020 Mi punto de acceso está detrás de un par de paredes y la señal eres tú. 103 00:07:17,020 --> 00:07:21,260 Conocen el nivel de acceso de moderado a débil y, de repente, se instala un punto de acceso no autorizado. 104 00:07:21,260 --> 00:07:25,780 Es muy probable que mi cliente esté en la misma habitación que yo. 105 00:07:25,780 --> 00:07:30,000 Intentará conectarse al punto de acceso no autorizado y esta función no funcionará. 106 00:07:30,000 --> 00:07:36,260 Para evitar ese último pensamiento, el antiguo acceso a la aeronáutica de Cisco Wave 2 107 00:07:36,260 --> 00:07:39,420 modelos de puntos y algunos modelos que tienes aquí, lamentablemente no tienen 108 00:07:39,420 --> 00:07:44,180 la capacidad del hardware para admitir la protección de balizas, por lo que si desea 109 00:07:44,180 --> 00:07:46,860 Intenta hacer esto en el laboratorio con tu propio punto de acceso, que tal vez hayas comprado. 110 00:07:46,860 --> 00:07:50,300 Si lo compras en eBay o algo así, asegúrate de no comprar uno de los más antiguos. 111 00:07:50,300 --> 00:07:54,880 Así es, porque no podrás hacerlo, y con esto concluye este video.