Upload
roger03
View
1.496
Download
0
Embed Size (px)
Citation preview
ESCUELA SUPERIOR POLITCNICA DEL LITORAL.
Facultad de Ingeniera en Electricidad y Computacin Licenciatura en Sistemas de Informacin "SEGURIDAD EN REDES INALMBRICAS" TPICO DE GRADUACIN Previa a la obtencin del Ttulo de:LICENCIADO EN SISTEMAS DE INFORMACIN
Presentado por: Geannina Jackeline Aguirre Briones ngela Isabel Sanclemente Ordez Laura Alexandra Ureta Arreaga
Guayaquil - Ecuador 2005
Agradecimiento
Al Ing. Albert Espinal Santana Director de Tpico, por su valiosa ayuda y colaboracin para la realizacin de este trabajo.
II
DedicatoriaA mi Dios, porque de l proviene la fortaleza para seguir adelante. A mi familia y todas aquellas personas que con su apoyo incondicional hicieron posible que culmine satisfactoriamente mi carrera profesional. Geannina Aguirre Briones
Agradezco a Dios por darme la vida, a mi mam Linda Celeste por haber brindando amor, comprensin y confianza, a mis hermanos por estar siempre dndome apoyo y demostrarme que con esfuerzo se puede alcanzar las metas propuestas. ngela Sanclemente Ordez
A Dios quien gua mi camino, a mis padres, a mis hermanos y a mis verdaderos amigos que siempre estn conmigo por su apoyo para alcanzar las metas que me he propuesto y especficamente la culminacin de mi carrera. Laura Ureta Arreaga
III
Tribunal
________________________
Ing. Mnica Villavicencio Presidente del Tribunal
________________________
Ing. Albert Espinal Director de Tpico
_________________________
__________________
Ing. Lorena Carl Miembro Principal
Ing. Jaime Lucero Miembro Principal
IV
Declaracin Expresa
La responsabilidad por los hechos, ideas y doctrinas expuesto en este proyecto, nos corresponden exclusivamente; y, el Patrimonio intelectual de la misma a la Escuela Superior Politcnica del Litoral. (Reglamento de Exmenes y Ttulos Profesionales de la ESPOL).-
__________________________
__________________________
Geannina Aguirre Briones
ngela Sanclemente Ordez
__________________________
Laura Ureta Arreaga
V
RESUMEN Las redes inalmbricas proveen a los usuarios de una LAN, acceso a la informacin en tiempo real en cualquier lugar dentro de la empresa. Esta movilidad incluye oportunidades de productividad y servicio que no es posible con una red cableada. La instalacin de una red inalmbrica puede ser tan rpida y fcil, y adems que puede eliminar la posibilidad de pasar cable a travs de paredes y techos. Mientras que la inversin inicial requerida para una red inalmbrica puede ser ms alta que el costo en hardware de una LAN cableada, la inversin de toda la instalacin y el costo del ciclo de vida puede ser significativamente inferior. Los sistemas WLANs pueden ser configurados en una variedad de topologas para satisfacer las necesidades de las instalaciones y aplicaciones especficas. Las configuraciones son muy fciles de cambiar y adems es muy fcil la incorporacin de nuevos usuarios a la red. El presente proyecto tiene como objetivo, dar una visin global del estado de seguridad en las redes inalmbricas, familiarizarse con la terminologa utilizada y los diferentes riegos y tipos de ataques informticos a los cuales esta expuesta, as como tambin introducir niveles bsicos y avanzados de seguridad en la implementacin de una red de este tipo. Se describen los elementos que participan en la solucin as como los protocolos de red y funcionalidades necesarias para garantizar la seguridad de la red inalmbrica.
VI
En el captulo 1, se describen conceptos bsicos de las redes de rea local inalmbricas comnmente llamadas WLAN, se explica su definicin, configuracin, sus aplicaciones, sus ventajas y desventajas con relacin a las redes cableadas.
El captulo 2, se refiere al estudio de las tecnologas utilizadas en las redes inalmbricas.
En el captulo 3, se explican los apartados de la Normalizacin de la IEEE que se relacionan a las redes inalmbricas.
En el captulo 4, se describen las vulnerabilidades o debilidades a las que estn expuestas las redes inalmbricas, en esta parte definimos los diferentes tipos de ataques y como se detectan las redes implementadas en un rea de trabajo.
En el captulo 5, se detallan las metodologas de seguridad que se pueden implementar en una red inalmbrica, as tambin se analizan cada uno de ellos y se brindan consejos para garantizar la seguridad.
En el captulo 6, se definen de manera general los tipos de polticas que se deben considerar cuando se tiene implementada una red inalmbrica.
En el captulo 7, se explica la gestin de seguridad de la red inalmbrica, usando el software Orinoco; adems de herramientas que permiten monitorear la red.
Por ultimo en el captulo 8 se detalla el anlisis de costo beneficio de una red inalmbrica versus una red cableada.
VII
NDICE GENERALRESUMEN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . NDICE GENERAL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . NDICE DE FIGURAS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . NDICE DE TABLAS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . INTRODUCCIN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VI VIII XI XIII XIV
NDICE GENERAL CAPTULO 1 CONCEPTOS Y GENERALIDADES 1.1. DEFINICIN. ........................................................................................................ 1 1.2. CONFIGURACIONES WLAN. ................................................................................ 2 1.2.1. Punto a Punto o Ad-Hoc. ........................................................................... 3 1.2.2. Extensin en celdas bsicas. ....................................................................... 4 1.2.3. Enlace Entre Varias LAN............................................................................ 6 1.3. VENTAJAS Y DESVENTAJAS EN LA UTILIZACIN DE WLANS ............................. 7 1.4. APLICACIONES DE LOS SISTEMAS WLAN EN LA INDUSTRIA. .............................. 8 CAPTULO 2 TECNOLOGAS UTILIZADAS EN LAS REDES INALMBRICAS. 2.1. TECNOLOGAS DE ESPECTRO ENSANCHADO. ..................................................... 10 2.1.1. Tecnologa de Espectro Ensanchado por Secuencia Directa (DSSS). ..... 12 2.1.2. Tecnologa de Espectro Ensanchado por Salto en Frecuencia (FHSS)..... 14 2.2. TECNOLOGA DE INFRARROJOS. ......................................................................... 16
VIII
CAPTULO 3 NORMALIZACIN IEEE PARA REDES INALMBRICAS 3.1. WLAN 802.11. ................................................................................................. 21 3.2. WLAN 802.11B (WI-FI). .................................................................................. 22 3.3. WLAN 802.11A (WI-FI 5). ............................................................................... 23 3.4. WLAN 802.11G. ............................................................................................... 24 3.5. EXTENSIONES DE LA NORMA 802.11. ................................................................ 24 CAPTULO 4 VULNERABILIDADES EN REDES WIRELESS LAN 4.1. DEBILIDADES DE IMPLEMENTACIN EN WIRELESS LAN. .................................. 28 4.1.1. Ataques de escucha/monitorizacin pasiva (eavesdropping).................... 28 4.1.2. Ataques de Intercepcin/Insercin (man-in- the-middle). ........................ 29 4.1.3. Ataques de denegacin de servicio (jam-ming). ....................................... 30 4.1.4. Interferencia y Atenuacin. ....................................................................... 31 4.2. EL PROBLEMA DE LA SEGURIDAD. .................................................................... 32 4.3. LOCALIZANDO REDES INALMBRICAS. ............................................................. 33 4.3.1. Warchalking. ............................................................................................. 33 4.3.2. Wardriving. ............................................................................................... 34 CAPTULO 5 SEGURIDAD BSICA Y AVANZADA EN WIRELESS LAN 5.1. METODOLOGAS DE DEFENSA EN REDES WIRELESS LAN. ................................ 36
IX
5.1.1. Mtodo 1: Filtrado de direcciones MAC. ................................................. 36 5.1.2. Mtodo 2: Wired Equivalent Privacy (WEP)............................................ 38 5.1.3. Mtodo 3: Las VPN. ................................................................................. 44 5.1.4. Mtodo 4: 802.1x. ..................................................................................... 45 5.1.5. Mtodo 5: WPA (Wi-Fi Protected Access)............................................... 52 5.2. ANLISIS DE MTODOS. .................................................................................... 56 5.3. GARANTIZANDO LA SEGURIDAD DE UNA RED INALMBRICA. ........................... 58 5.4. CONSEJOS DE SEGURIDAD. ................................................................................ 59 CAPTULO 6 POLTICAS GENERALES EN REDES WLAN 6.1 TIPOS DE POLTICAS. .......................................................................................... 63 6.1.1. Polticas de Administracin. ..................................................................... 64 6.1.2. Polticas Tcnicas ...................................................................................... 65 6.1.3. Polticas Operacionales ............................................................................. 67 CAPTULO 7 HERRAMIENTAS DE GESTIN 7.1. GENERALIDADES. .............................................................................................. 69 7.2. SEGURIDAD. ...................................................................................................... 70 7.2.1. Seguridad en el Acceso a los datos inalmbricos...................................... 71 7.2.2. Encriptacin de los Datos Inalmbricos. ................................................... 74 7.2.3. Seguridad en la Configuracin de los Puntos de Acceso. ......................... 77
X
7.3. HERRAMIENTAS DE AUDITORIA......................................................................... 82 CAPITULO 8 COSTO Y BENEFICIO DE IMPLEMENTACIN WLAN. 8.1. ANLISIS DE COSTO. ......................................................................................... 91 8.1.1. Costo de Implementacin.......................................................................... 91 8.1.2. Anlisis Comparativo de Costos. .............................................................. 96 8.2. BENEFICIOS WLAN. ......................................................................................... 97 8.3. CONCLUSIN. .................................................................................................. 100
XI
NDICE DE FIGURAS
FIGURA. 1.1. CONFIGURACIN PUNTO A PUNTO O ADHOC. .......................................... 3 FIGURA 1.2. CLIENTE Y PUNTO DE ACCESO. ................................................................... 4 FIGURA 1.3. MLTIPLES PUNTOS DE ACCESO Y ROAMING. ............................................. 5 FIGURA 1.4. USO DE UN PUNTO DE EXTENSIN. .............................................................. 6 FIGURA 1.5. UTILIZACIN DE ANTENAS DIRECCIONALES................................................ 7 FIGURA 2.1. SEAL DE BANDA ANGOSTA VS. SEAL DE ESPECTRO ENSANCHADO. ....... 11 FIGURA 2.2. CODIFICACINMEDIANTE LA SECUENCIA DE BARKER. ............................ 13
FIGURA 2.3. OPERACIN DE 3 CANALES INDEPENDIENTES DSSS. ................................ 14 FIGURA 2.4. MODO DE TRABAJO DE LA TCNICA FHSS................................................ 15 FIGURA 2.5. TRANSRECEPTOR INFRARROJO. ................................................................ 18 FIGURA 2.6. RED LAN CON UNA CLULA INFRARROJA. ............................................... 19 FIGURA 4.1. ACCESO NO AUTORIZADO A UNA RED INALMBRICA. ............................... 33 FIGURA 4.2. WARCHALKING Y SU SIMBOLOGA............................................................ 34 FIGURA 4.3. WARDRIVING. .......................................................................................... 35 FIGURA 5.1. FUNCIONAMIENTO DEL ALGORITMO WEP EN MODALIDAD DE CIFRADO. .. 40 FIGURA 5.2. FUNCIONAMIENTO ALGORITMO WEP EN MODALIDAD DE DESCIFRADO. ... 41 FIGURA 5.3. ESTRUCTURA DE UNA VPN PARA ACCESO INALMBRICO SEGURO. .......... 45
XII
FIGURA 5.4. ARQUITECTURA DE UN SISTEMA DE AUTENTICACIN 802.1X. .................. 46 FIGURA 5.5. DILOGO EAPOL-RADIUS. ................................................................... 48 FIGURA 5.6. ESTRUCTURA DE ENCRIPTACIN DE TKIP. ............................................... 53 FIGURA 5.7. PROCESO DE ENCAPSULACIN TKIP. ....................................................... 54 FIGURA 7.1. CERRANDO LA RED INALMBRICA ............................................................ 72 FIGURA 7.2. CONTROL DE ACCESO POR DIRECCIONES MAC ........................................ 73 FIGURA 7.3. CONFIGURANDO LA ENCRIPTACIN ......................................................... 75 FIGURA 7.4. CONFIGURANDO LA SEGURIDAD SNMP. .................................................. 78 FIGURA 7.5. HERRAMIENTA DE MONITOREO ETHEREAL. .............................................. 85 FIGURA 7.6. HERRAMIENTA DE MONITOREO GETIF. .................................................... 86 FIGURA 7.7. HERRAMIENTA DE MONITOREO NETWORK STUMBLER. ............................ 87 FIGURA 8.1. DISEO DE LA WLAN. ............................................................................. 92 FIGURA 8.2. DISEO DE LA LAN CABLEADA................................................................ 94 FIGURA 8.3. DISEO DE LA WLAN - LAN CABLEADA. ................................................ 96 FIGURA 8.4. GRFICO COMPARATIVO DE COSTO. ......................................................... 97
XIII
NDICE DE TABLAS
TABLA 3.1. NORMA IEEE 802 .................................................................................. 21 TABLA 3.2. EXTENSIONES DE LA NORMA 802.11 ...................................................... 25 TABLA 4.1. INTERFERENCIA Y ATENUACIN ............................................................. 31 TABLA 5.1. CARACTERSTICAS DE SEGURIDAD IEEE 802.11 Y WPA. ....................... 58 TABLA 7.1. SNIFFERS WLAN ................................................................................... 83 TABLA 7.2. SCANNERS WLAN ................................................................................. 86 TABLA 7.3. WEP KEY CRACKERS .............................................................................. 88 TABLA 8.1. COSTO DE IMPLEMENTACIN WLAN ..................................................... 91 TABLA 8.2. COSTO DE IMPLEMENTACIN LAN CABLEADA ....................................... 92 TABLA 8.3. COSTO DE IMPLEMENTACIN WLAN-LAN CABLEADA ......................... 94 TABLA 8.4. RESUMEN COSTO DE IMPLEMENTACIN ................................................. 96
XIV
INTRODUCCINWLAN son las siglas en ingls de Wireless Local Area Network. Es un sistema de comunicacin de datos flexible muy utilizado como alternativa a la LAN cableada o como una extensin de sta.
Las redes inalmbricas de rea local (WLAN) tienen un papel cada vez ms importante en las comunicaciones del mundo de hoy. Debido a su facilidad de instalacin y conexin, se han convertido en una excelente alternativa para ofrecer conectividad en lugares donde resulta inconveniente o imposible brindar servicio con una red cableada. La popularidad de estas redes ha crecido a tal punto que los fabricantes de computadores y motherboards estn integrando dispositivos para acceso a WLAN en sus equipos.
Otra tecnologa de acceso inalmbrico en reas de pequea extensin (WPAN/WLAN Personal Area Network) es la denominada Bluetooth, que aunque pueda parecer competencia directa de las WLAN, es ms bien complementaria a ella. Bluetooth pretende la eliminacin de cables, como por ejemplo todos los que se utilizan para conectar el PC con sus perifricos, o proporcionar un medio de enlace entre dispositivos situados a muy pocos metros, sirviendo tambin como mando a distancia.
XV
Las WLAN tienen su campo de aplicacin especfico, igual que Bluetooth, y ambas tecnologas pueden coexistir en un mismo entorno sin interferirse gracias a los mtodos de salto de frecuencia que emplean. Sus aplicaciones van en aumento y, conforme su precio se vaya reduciendo, sern ms y ms los usuarios que las utilicen, por las innegables ventajas que supone su rpida implantacin y la libertad de movimientos que permiten.
XVI
CAPTULO 1CONCEPTOS Y GENERALIDADES.1.1. Definicin.
Una red de rea local inalmbrica puede definirse, como a una red de alcance local que tiene como medio de transmisin el aire; tambin llamada Wireless LAN (WLAN), es un sistema flexible de comunicaciones que puede implementarse como una extensin o directamente como una alternativa a una red cableada. Este tipo de redes utiliza tecnologa de radiofrecuencia, minimizando as la necesidad de conexiones cableadas.
Las redes WLAN se componen fundamentalmente de dos tipos de elementos, los puntos de acceso y los dispositivos de cliente. Los puntos de acceso actan como un concentrador o hub que reciben y envan informacin va radio a los dispositivos de clientes, que pueden ser de cualquier tipo, habitualmente, un PC o PDA con una
1
tarjeta de red inalmbrica, que se instala en uno de los slots libres o bien se enlazan a los puertos USB de los equipos.
An as, debido a que sus prestaciones son menores en lo referente a la velocidad de transmisin que se sita entre los 2 y los 54 Mbps, frente a los 10 y hasta los 1000 Mbps ofrecidos por una red convencional, las redes inalmbricas son la alternativa ideal para hacer llegar una red tradicional a lugares donde el cableado no lo permite, y en general las WLAN se utilizarn como un complemento de las redes fijas. El uso ms popular de las WLAN implica la utilizacin de tarjetas de red inalmbricas, cuya funcin es permitir al usuario conectarse a la LAN empresarial sin la necesidad de una conexin fsica.
1.2. Configuraciones WLAN.
La complejidad de una red de rea local inalmbrica es variable, dependiendo de las necesidades a cubrir y en funcin de los requerimientos del sistema que se quiera implementar, se pueden utilizar diversas configuraciones de red tales como:
Punto a Punto o Ad-Hoc. Extensin en celdas bsicas. Enlaces entre varias LAN.
2
1.2.1. Punto a Punto o Ad-Hoc.
La configuracin ms bsica es la llamada punto a punto o AdHoc, consiste en una red de dos o ms terminales mviles equipados con la correspondiente tarjeta adaptadora para comunicaciones inalmbricas; en la Figura. 1.1 se muestra un ejemplo. En esta modalidad no existe un dispositivo central encargado de concentrar y coordinar las comunicaciones, sino que cada nodo existente en la red se comunica directamente con los dems y no hay nodo preponderante alguno.
Para que la comunicacin entre estas estaciones sea posible, hace falta que se vean mutuamente de manera directa, es decir, que cada una de ellas est en el rango de cobertura radioelctrica de la otra.
Las redes de tipo ad-hoc son muy sencillas de implementar y no requieren ningn tipo de gestin administrativa. Tambin este tipo es conocido como IBSS (Independent Basic Service Set)
Figura. 1.1. Configuracin punto a punto o AdHoc.
3
1.2.2. Extensin en celdas bsicas.
Para aumentar el alcance de una red del tipo anterior, hace falta la instalacin de un Punto de Acceso. Con este nuevo elemento se dobla el alcance de la red inalmbrica (ahora la distancia mxima permitida no es entre estaciones, sino entre cada estacin y el punto de acceso), en la Figura 1.2 se muestra un ejemplo. Adems, los puntos de acceso se pueden conectar a otras redes, y en particular a una red fija, con lo cual un usuario puede tener acceso desde su terminal mvil a otros recursos. Existen muchas aplicaciones en el mundo real con entre 15 y 50 dispositivos cliente en un solo punto de acceso. Otro trmino con el que se conoce a una red con extensin de celdas bsicas es BSS (Basic Service Set).
Figura 1.2. Cliente y punto de acceso.
Los puntos de acceso tienen un rango finito, del orden de 100m en lugares cerrados y 300m en zonas abiertas. En zonas grandes como por ejemplo un campus universitario o un edificio es probablemente necesario ms de un punto de acceso, tal y como se muestra en la Figura 1.3. La meta es cubrir el rea con clulas que solapen sus reas
4
de modo que los clientes puedan moverse sin cortes entre un grupo de puntos de acceso. Esto es llamado "roaming".
Figura 1.3. Mltiples puntos de acceso y roaming.
Para resolver problemas particulares de topologa, el diseador de la red puede elegir usar un Punto de Extensin (PE) para aumentar el nmero de puntos de acceso a la red, de modo que funcionan como tales pero no estn enganchados a la red cableada como los puntos de acceso, as como se muestra en la Figura 1.4. Los puntos de extensin funcionan como su nombre lo indica: extienden el rango de la red retransmitiendo las seales de un cliente a un punto de acceso o a otro punto de extensin. Los puntos de extensin pueden encadenarse para pasar mensajes entre un punto de acceso y clientes lejanos de modo que se construye un "puente" entre ambos.
5
Figura 1.4. Uso de un punto de extensin.
1.2.3. Enlace Entre Varias LAN.
Uno de los ltimos componentes a considerar en el equipo de una WLAN es la antena direccional. El objetivo de estas antenas direccionales, es el de enlazar redes que se encuentran situadas geogrficamente en sitios distintos tal y como se muestra en la Figura 1.5.
Por ejemplo: se quiere una LAN sin cable a otro edificio a 1 Km. de distancia. Una solucin puede ser instalar una antena en cada edificio con lnea de visin directa. La antena del primer edificio est conectada a la red cableada mediante un equipo maestro. En el segundo edificio se conecta a un equipo esclavo, lo cul permite una conexin sin cable en esta aplicacin.
Es importante considerar que en la implementacin de este tipo de enlaces no es recomendable el uso del estndar 802.11b, ya que ste esta especificado para interiores, y la restriccin con respecto a las distancias superiores a las descritas en el estndar provocaran molestias en la conexin.
6
WLAN
Comm. Tower
Comm . Tower
Red Lan 1
Red Lan 2
Figura 1.5. Utilizacin de antenas direccionales
1.3. Ventajas y Desventajas en la utilizacin de WLANs
Es clara la alta dependencia en los negocios de la redes de comunicacin. Por ello la posibilidad de compartir informacin sin que sea necesario buscar una conexin fsica permite mayor movilidad y comodidad.
As mismo la red puede ser ms extensa sin tener que mover o instalar cables. Respecto a la red tradicional la red sin cable ofrece las siguientes ventajas:
Movilidad: Informacin en tiempo real en cualquier lugar de la organizacin o empresa para todo usuario de la red. El que se obtenga en tiempo real supone mayor productividad y posibilidades de servicio.
Facilidad de instalacin: Evita obras para tirar cable por muros y techos. Flexibilidad: Permite llegar donde el cable no puede.
7
Escalabilidad: El cambio de topologa de red es sencillo y trata igual pequeas y un gran conjunto de redes.
Las redes WLAN tambin, presentan alguna desventaja, o ms bien inconveniente, que es el hecho de la "baja" velocidad que alcanzan, por lo que su xito comercial es ms bien escaso y, hasta que los nuevos estndares no permitan un incremento significativo, no es de prever su uso masivo, ya que por ahora no pueden competir con las LAN basadas en cable.
1.4. Aplicaciones de los Sistemas WLAN en la Industria.Las aplicaciones ms tpicas de las redes de rea local que podemos encontrar actualmente son las siguientes:
Corporaciones: Con WLAN los empleados pueden beneficiarse de una red mvil para el correo electrnico, comparticin de archivos, y visualizacin de web's, independientemente de dnde se ubiquen en la oficina.
Educacin: Las instituciones acadmicas que soportan este tipo de conexin mvil permiten a los usuarios con computadoras de ordenador conectarse a la red de la universidad para intercambio de opiniones en las clases, para acceso a internet, etc.
Finanzas: Mediante una PC porttil y un adaptador a la red WLAN, los representantes pueden recibir informacin desde una base de datos en tiempo real y mejorar la velocidad y calidad de los negocios. Los grupos de auditorias
8
contables incrementan su productividad con una rpida puesta a punto de una red. Cuidado de la salud: WLAN permite obtener informacin en tiempo real, por lo que proporciona un incremento de la productividad y calidad del cuidado del paciente eliminando el retardo en el tratamiento del paciente, los papeles redundantes, los posibles errores de trascripcin, etc. Restaurantes y venta al por menor: Los servicios de restaurantes pueden utilizar WLAN para directamente entrar y enviar los pedidos de comida a la mesa. En los almacenes de ventas al por menor un WLAN se puede usar para actualizar temporalmente registros para eventos especiales. Manufacturacin: WLAN ayuda al enlace entre las estaciones de trabajo de los pisos de la fbrica con los dispositivos de adquisicin de datos de la red de la compaa. Almacenes: En los almacenes, terminales de datos con lectores de cdigo de barras y enlaces con redes WLAN, son usados para introducir datos y mantener la posicin de las paletas y cajas. WLAN mejora el seguimiento del inventario y reduce los costos del escrutinio de un inventario fsico.
9
CAPTULO 2TECNOLOGAS UTILIZADAS EN LAS REDES INALMBRICAS.En esta seccin se describirn dos tipos de tecnologas definidas en el estndar 802.11: inalmbricas existentes
Espectro ensanchado. Infrarrojos.
2.1. Tecnologas de Espectro Ensanchado.
Un sistema de espectro ensanchado, es aquel en el cual la seal transmitida es propagada en una banda de frecuencia amplia, mucho ms de hecho que el mnimo ancho de banda requerido para transmitir la informacin que ser enviada.
10
Las comunicaciones de espectro ensanchado no puede decirse que sean una manera eficiente de utilizar el ancho de banda. Sin embargo, son de utilidad cuando se combinan con los sistemas existentes que ocupan la frecuencia.
La seal de espectro ensanchado, que es propagada en un ancho de banda grande, puede coexistir con seales de banda estrecha aadiendo nicamente un ligero incremento en el ruido de fondo que los receptores de banda estrecha pueden ver. El receptor de espectro ensanchado no ve las seales de banda estrecha, pues est escuchando en un ancho de banda mucho ms amplio.
El comportamiento de la seal de banda ancha con la seal de espectro ensanchado se puede distinguir en la Figura 2.1
Figura 2.1. Seal de banda angosta vs. seal de espectro ensanchado.
11
Existen dos tipos de tecnologas de espectro ensanchado:
Espectro Ensanchado por Secuencia Directa (DSSS). Espectro Ensanchado por Salto en Frecuencia (FHSS).
2.1.1. Tecnologa de Espectro Ensanchado por Secuencia Directa (DSSS).
Esta tcnica, opera en un canal determinado y consiste en representar cada bit de la seal original por mltiples bits en la seal transmitida. Cada bit trasmitido se modula con una secuencia de 11 bits aleatorios (Cdigo de Barker), esta secuencia tiene propiedades matemticas que lo hacen ideal para modular radiofrecuencias. Un ejemplo de la secuencia de Barker podra ser:
+1, -1, +1, +1, -1, +1, +1, +1, -1, -1, -1
En la Figura 2.2, se muestra el aspecto de una seal de dos bits a la cual se le ha aplicado la secuencia de Barker descrita arriba.
DSSS tiene definidos dos tipos de modulaciones a aplicar a la seal resultante (seal de informacin luego de aplicarle la Secuencia de Barker), tal y como especfica el estndar IEEE 802.11: la modulacin DBPSK (Differential Binary Phase Shift Keying), y la modulacin DQPSK (Differential Quadrature Phase Shift Keying), proporcionando unas velocidades de transferencia de 1 y 2 Mbps respectivamente.
12
Bit de Datos 1
Bit de Datos 0 Secuencia de Barker par el bit 1 Secuencia de Barker par el bit 0
Figura 2.2. Codificacin mediante la secuencia de Barker.
Para lograr velocidades de 5.5 y 11 Mbps, la codificacin que se usa es CCK (Complementary Code Keying); en vez de usar el cdigo de Barker, se usan series de secuencias complementarias que cuentan con 64 nicas palabras que pueden usarse.
En contraposicin al Cdigo de Barker, por CCK se pueden representar 6 bits de datos en una sola palabra y no 1 bit de datos por palabra como el Cdigo Barker.
En recepcin, es necesario de realizar el proceso inverso para obtener la seal de informacin original.En el caso de Estados Unidos y de Europa, la tecnologa de espectro ensanchado por secuencia directa (DSSS), opera en el rango que va desde los 2.4 GHz hasta los 2.4835 GHz, es decir, con un ancho de banda total disponible de 83.5 MHz. Este ancho de banda total se divide en 14 canales con un ancho de banda por canal de 5 MHz, de los cuales cada pas utiliza un subconjunto de los mismos segn las normas reguladoras para cada caso particular.
13
En el caso de Ecuador para los equipos Orinoco, se utilizan 11 canales que van desde los 2.412 GHz (canal 1) hasta los 2.462 GHz (canal 11). En topologas de red que contengan varias celdas, ya sean solapadas o adyacentes, los canales pueden operar simultneamente sin apreciarse interferencias en el sistema; si la separacin entre las frecuencias centrales es como mnimo de 25 MHz. Esto significa que de los 83.5 MHz de ancho de banda total disponible, podemos obtener 3 canales independientes, que pueden operar simultneamente en una determinada zona geogrfica sin que aparezca interferencia en un canal procedente del otro, as como se muestra su epracin en la Figura 2.3.
Esta independencia entre canales, permite aumentar la capacidad del sistema de forma lineal con el nmero de puntos de acceso, operando en un canal que no se est utilizando y hasta un mximo de tres canales, como ya se mencion.
Figura 2.3. Operacin de 3 canales independientes DSSS.
2.1.2. Tecnologa de Espectro Ensanchado por Salto en Frecuencia (FHSS).
La tecnologa de espectro ensanchado por salto en frecuencia, consiste en transmitir una parte de la informacin en una determinada frecuencia, durante un intervalo de tiempo llamada dwell time e inferior a 400 ms.
Pasado este tiempo, se cambia la frecuencia de emisin y se sigue transmitiendo a otra frecuencia. De esta manera, cada tramo de informacin se va transmitiendo en
14
una frecuencia distinta durante un intervalo muy corto de tiempo, en la Figura 2.4, se muestra como trabaja dicha tcnica.
80
60 Slots
+0
Frecuenciales 20
0
1
2
3
4 Tiempos
5
6
7
8
Figura 2.4. Modo de trabajo de la tcnica FHSS.
Cada una de las transmisiones a una frecuencia concreta, se realizan utilizando una portadora de banda estrecha que va cambiando (saltando) a lo largo del tiempo. Este procedimiento equivale a realizar una particin de la informacin en el dominio temporal. El orden en los saltos en frecuencia que el emisor debe realizar viene
15
determinado segn una secuencia pseudo aleatoria, que se encuentra definida en unas tablas que tanto el emisor como el receptor deben conocer.
La ventaja de estos sistemas frente a los sistemas DSSS, es que con esta tecnologa podemos tener ms de un punto de acceso en la misma zona geogrfica sin que existan interferencias, si se cumple que dos comunicaciones distintas no utilizan la misma frecuencia portadora en un mismo instante de tiempo. Si se mantiene una correcta sincronizacin de estos saltos entre los dos extremos de la comunicacin, aunque vamos cambiando de canal fsico, con el tiempo se mantiene un nico canal lgico a travs del cual se desarrolla la comunicacin.
Para un usuario externo a la comunicacin, la recepcin de una seal FHSS equivale a la recepcin de ruido impulsivo de corta duracin. El estndar IEEE 802.11 describe esta tecnologa mediante la modulacin en frecuencia FSK (Frequency Shift Keying), y con una velocidad de transferencia de 1Mbps ampliable a 2Mbps, bajo condiciones de operacin ptimas.
2.2. Tecnologa de Infrarrojos.
Una tercera tecnologa definida tambin en el estndar 802.11 y de momento no demasiado utilizada en el mbito comercial para implementar WLANs, es la de
16
infrarrojos. Los sistemas de infrarrojos se sitan en altas frecuencias, justo por debajo del rango de frecuencias de la luz visible. Las propiedades de los infrarrojos son, por tanto, las mismas que tiene la luz visible. De esta forma los infrarrojos no pueden pasar a travs de objetos opacos, pero se pueden reflejar en determinadas superficies.
Las longitudes de onda de operacin se sitan alrededor de los 850-950 nm, es decir, a unas frecuencias de emisin que se sitan entre los 3,15x10e14 Hz y los 3,52x10e14 Hz. Los sistemas que funcionan mediante infrarrojos, se clasifican segn el ngulo de apertura con el que se emite la informacin en el emisor en: Sistemas de corta apertura, de haz dirigido o de visibilidad directa, que funcionan de manera similar a los mandos a distancia de los aparatos de televisin. Esto supone que el emisor y el receptor tienen que estar orientados adecuadamente antes de empezar a transmitirse informacin. Sistemas de gran apertura, reflejados o de difusin, que radian tal y como lo hara un foco; permitiendo el intercambio de informacin en un rango ms amplio.
La Figura 2.5 muestra un transreceptor, que es el que enva el haz de luz infrarroja hacia otro que la recibe. La transmisin de luz se codifica y decodifica en el envo y recepcin en un protocolo de red existente. El sistema tiene un rango de 200 mts.
17
Figura 2.5. Transreceptor infrarrojo. La norma IEEE 802.11, especifica dos modulaciones para esta tecnologa: la modulacin 16 ppm y la modulacin 4 ppm, proporcionando unas velocidades de transmisin de 1 y 2 Mbps respectivamente.
Esta tecnologa, se aplica tpicamente en entornos de interior para implementar enlaces punto a punto de corto alcance, o redes locales en entornos muy localizados como puede ser un aula concreta o un laboratorio, tal y como se muestra en la Figura 2.6.
18
Figura 2.6. Red LAN con una clula Infrarroja.
19
CAPTULO 3NORMALIZACIN IEEE PARA REDES INALMBRICAS.La norma 802 fue desarrollada por el Instituto de Ingenieros Elctricos y Electrnicos (IEEE), y versa sobre la arquitectura de redes de datos LAN (Local Area Network).
Esta norma establece un estndar de tecnologa en el mercado mundial, garantizando que los productos compatibles con la norma 802 sean tambin compatibles entre s. La norma posee muchos apartados, que describen y especifican las distintas funciones que se implementan en una comunicacin de datos de red. Ejemplos de estos apartados se detallan en la Tabla 3.1.
Apartado
Descripcin
20
802.1 802.2 802.4 802.5 802.10 802.11
Describe las funciones de Bridging. Controla el enlace lgico. Mtodo de control de trfico Token-Passing. Mtodo de control de trfico Token-Ring. Seguridad en comunicaciones de datos, etc. Describe y especifica una interfase inalmbrica para comunicaciones de datos compatibles con la Norma IEEE 802. Tabla 3.1. Norma IEEE 802.
Actualmente son cuatro los estndares reconocidos dentro de esta familia; en concreto, la especificacin 802.11 original; 802.11a (evolucin a 802.11 e/h), que define una conexin de alta velocidad basada en ATM; 802.11b, el que goza de una ms amplia aceptacin y que aumenta la tasa de transmisin de datos propia de 802.11 original, y 802.11g, compatible con l, pero que proporciona an mayores velocidades.
3.1. WLAN 802.11.
802.11: Especificacin para 1-2 Mbps en la banda de los 2.4 GHz, usando tcnica de salto de frecuencias (FHSS) o secuencia directa (DSSS).
El 802.11 es una red local inalmbrica que usa la transmisin por radio en la banda de 2.4 GHz, o infrarroja, con regmenes binarios de 1 a 2 Mbit/s. El mtodo de acceso al medio MAC (Media Access Control) es mediante escucha pero sin deteccin de colisin, CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance).
21
La dificultad en detectar la portadora en el acceso WLAN consiste bsicamente en que la tecnologa utilizada es Spread-Spectrum y con acceso por divisin de cdigo (CDMA), lo que conlleva a que el medio radioelctrico es compartido, ya sea por secuencia directa DSSS o por saltos de frecuencia en FHSS. El acceso por cdigo CDMA implica que pueden coexistir dos seales en el mismo espectro utilizando cdigos diferentes, y eso para un receptor de radio implicara que detectara la portadora inclusive con seales distintas de las de la propia red WLAN. Hay que mencionar que la banda de 2,4 GHz est reglamentada como banda de acceso pblica y en ella funcionan gran cantidad de sistemas, entre los que se incluyen los telfonos inalmbricos Bluetooth.
3.2. WLAN 802.11b (Wi-Fi).
Extensin del 802.11 en la banda de 2.4 Ghz, con velocidades de comunicacin de datos de hasta 11 Mbps usando DSSS, tambin conocido como Wi-Fi (Wireless Fidelity).
Un poco ms tarde, en el ao 1999, se aprob el estndar 802.11b, una extensin del 802.11 para WLAN empresariales, con una velocidad de 11 Mbit/s (otras velocidades normalizadas a nivel fsico son: 5,5 - 2 y 1 Mbit/s) , que al igual que Bluetooth y Home RF, tambin emplea la banda de ISM de 2,4 GHz, pero en lugar de una simple modulacin de radio digital y salto de frecuencia (FH/Frequency Hopping), utiliza una modulacin lineal compleja (DSSS). Permite mayor velocidad, pero presenta una
22
menor seguridad, y el alcance puede llegar a los 100 metros, suficientes para un entorno de oficina o residencial.
3.3. WLAN 802.11a (Wi-Fi 5).
Extensin del 802.11 en la banda de 5.8 Ghz, con velocidades de comunicacin de datos 54 Mbps usando modulacin OFDM (Orthogonal Frequency Division Multiplexing).
El IEEE ratific en julio de 1999 el estndar en 802.11a (los productos comerciales comienzan a aparecer a mediados del 2002), que con una modulacin QAM-64 y la codificacin OFDM alcanza una velocidad de hasta 54 Mbit/s en la banda de 5 GHz, menos congestionada y, por ahora, con menos interferencias, pero con un alcance limitado a 50 metros, lo que implica tener que montar ms puntos de acceso que si se utilizase 802.11b para cubrir el mismo rea, con el coste adicional que ello supone.
La banda de 5 GHz que utiliza se denomina UNII (Infraestructura de Informacin Nacional sin Licencia), que en los Estados Unidos est regulada por la FCC, el cual ha asignado un total de 300 MHz, cuatro veces ms de lo que tiene la banda ISM, para uso sin licencia, en tres bloques de 100 MHz, siendo en el primero la potencia mxima de 50 mW, en el segundo de 250 mW, y en el tercero puede llegar hasta 1W, por lo que se reserva para aplicaciones en el exterior.
23
3.4. WLAN 802.11g.
802.11 g: Extensin de 802.11 para proporcionar velocidades de 20-54 Mbps, usando DSSS y OFDM. Es compatible con el 802.11b. Tiene mayor alcance y menor consumo de potencia que el 802.11a.
El IEEE tambin aprob en el ao 2003 en el estndar 802.11g, compatible con el 802.11b, capaz de alcanzar una velocidad doble, es decir hasta 22 Mbit/s o llegar, incluso a 54 Mbit/s, para competir con los otros estndares que prometen velocidades mucho ms elevadas pero que son incompatibles con los equipos 802.11b ya instalados, aunque pueden coexistir en el mismo entorno debido a que las bandas de frecuencias que emplean son distintas. Por extensin, tambin se le llama Wi-Fi.
Como se ve en las especificaciones arriba mencionadas, existe tambin otra subdivisin dentro de la norma 802.11. Es la referida al mtodo de modulacin de los datos. La norma describe los mtodos DSSS (Direct Sequence Spread Spectrum), FHSS (Frequency Hoping Spread Spectrum), Infrared (Orthogonal Frecuency Division Multiplexing). (Infrarrojo) y OFDM
3.5. Extensiones de la Norma 802.11.
Las extensiones de las Norma de describen a continuacin en la Tabla 3.2.
24
Extensin
Descripcin Su objetivo es proporcionar soporte de QoS (Calidad de Servicio) para
802.11e
aplicaciones de redes LAN. Se aplicar a los estndares fsicos a, b y g de 802.11. La finalidad es proporcionar claves de servicio con niveles gestionados de QoS para aplicaciones de datos, voz y video. Su objetivo es la seguridad. Se aplicar a los estndares fsicos a, b y g
802.11i
de 802.11. Proporciona una alternativa a la Privacidad Equivalente Cableada (WEP) con nuevos mtodos de encriptacin y procedimientos de autentificacin. IEEE 802.1x constituye una parte clave de 802.11i. Constituye un complemento al nivel de Control de Acceso al Medio
802.11d
(MAC) en 802.11. para proporcionar el uso, a escala mundial, de las redes WLAN del estndar 802.11 permitir a los Puntos de Acceso comunicar informacin sobre los canales de radio admisibles con niveles de potencia aceptables para los dispositivos de los usuarios. Su objetivo es lograr la interoperabilidad del Punto de Acceso dentro de
802.11f
una red WLAN multiproveedor. El estndar define el registro del Punto de Acceso dentro de una red y el intercambio de informacin entre dichos Punto de Acceso cuando un usuario se traslada desde un punto de acceso a otro. El objetivo es cumplir los reglamentos europeos para redes WLAN a 5 GHz. requieren que los productos tengan control de la potencia de
802.11h
transmisin (TPC) y seleccin de frecuencia dinmica (DFS). El control TPC limita la potencia transmitida al mnimo necesario para alcanzar al usuario ms lejano. DFS selecciona el canal de radio en el Punto de Acceso para reducir al mnimo la interferencia con otros sistemas Ej.: radar. Tabla 3.2. Extensiones de la Norma 802.11.
25
Cabe mencionar que la banda de frecuencia 2.4 Ghz, utilizada por la tecnologa 802.11b, es una banda No Licenciada lo que significa que su uso es libre.
La norma 802.11b, es la que actualmente se comercializa en forma masiva a travs de una gran variedad de productos y aplicaciones. La norma 802.11a est
evolucionando, y se supone que en un futuro cercano tambin ofrecer soluciones econmicas al mercado de datos inalmbricos al igual que el 802.11g.
Resumiendo los conceptos ms relevantes de la norma 802.11b:
Es un estndar internacional en comunicaciones de datos. Tecnologa probada por muchos aos a nivel mundial. Existe gran variedad de productos orientados a distintas aplicaciones. Opera en una banda No Licenciada.
26
CAPTULO 4VULNERABILIDADES EN REDES WIRELESS LAN.Qu es lo que hace que las redes inalmbricas sean ms vulnerables que las redes de cable?
La respuesta es sencilla: desconocimiento de las herramientas de seguridad disponibles para redes inalmbricas. El trmino seguridad inalmbrica no tiene porque ser una expresin contradictoria. De hecho son muchas las personas que piensan que es ms difcil pinchar un cable que el aire. Hoy en da existen las herramientas de seguridad, funciones y protocolos adecuados para proporcionar una adecuada proteccin en las LANs inalmbricas.
27
4.1. Debilidades de Implementacin en Wireless LAN.
Adems de las debilidades propias inherentes, la puesta en prctica de los estndares nunca es ideal, y siempre puede haber defectos y no adhesiones al mismo, hasta en los fabricantes ms prestigiosos.
Existen ataques particulares a redes wireless, que aprovechan algunas de las debilidades comentadas, y que pueden ser agrupados en varias categoras:
4.1.1. Ataques de escucha/monitorizacin pasiva (eavesdropping).
Las redes wireless son especialmente vulnerables a los ataques de monitorizacin, siendo el nico requisito para su realizacin la conectividad, es decir, la posibilidad de acceso al flujo de datos.
El primer paso para poder obtener acceso a un sistema es conseguir una asociacin con el mismo. En las redes que utilizan autenticacin Open System, el proceso es transparente, aumentando su complejidad en los sistemas con autenticacin Shared Key. En estos casos, la autenticacin es posible tras la captura y cracking de cierto nmero de paquetes, existiendo diversas herramientas que facilitan dicha tarea. Tras ello, es posible el acceso y monitorizacin del trfico presente en el entorno como cualquier cliente autenticado. Tambin es posible realizar inyeccin y modificacin de mensajes en este tipo de redes, sin necesidad de descifrar claves, SSID y dems.
28
Cmo utilizar esta posibilidad queda a la imaginacin de cada cual. La implementacin prctica de los ataques de escucha se conoce como wardriving (con su evolucin de drive-in hacking), y consiste en localizar e identificar puntos de acceso a lo largo del territorio. Carreteras, calles, aeropuertos, palacios de congresos cualquier ubicacin puede ser rastreada. Adicionalmente, existen programas que pueden trabajar de forma conjunta con un receptor GPS (Global Positioning System), lo que permite localizar de manera muy precisa (latitud, longitud, datos adicionales como SSID) la ubicacin de distintos Puntos de Acceso.
4.1.2. Ataques de Intercepcin/Insercin (man-in- the-middle).
Los entornos que operan sobre el protocolo 802.11b facilitan la captura y redireccin de sesiones, ya que una estacin que transmite no es capaz de detectar la presencia de estaciones adyacentes con la misma direccin MAC o IP.
Esto permite que se lleve a cabo un ataque de secuestro de sesin mediante el uso de dos estaciones hostiles diferentes, por ejemplo. En el inicio del ataque, la estacin legtima (L) se encuentra conectada con el Punto de Acceso. La primera estacin hostil (H1) adopta la misma direccin MAC e IP que el cliente L. Entonces la segunda estacin hostil (H2) comienza a enviar gran cantidad de trfico, saturando las conexiones de L. La consecuencia de esta saturacin es que H1 recibira cada vez mas cantidad de trfico legtimo enviado por el PUNTO DE ACCESO hacia L, dado que los buffer de recepcin de L estaran llenos constantemente, consiguiendo finalmente suplantar H1 a L. Sencillo.
29
Algo ms complicado son los ataques de suplantacin de Puntos de Acceso. Para ello, y basndose en las deficiencias de autenticacin de Puntos de Acceso del protocolo y de sus implementaciones, es posible colocar un Punto de Acceso ms cercano al usuario con los mismos datos de configuracin de red. En este caso, los clientes se conectan al Punto de Acceso intruso, permitiendo al elemento hostil la captura y redireccin del trfico de red de los usuarios legtimos. Este ataque se conoce como evil-twin, y aunque la incidencia es baja actualmente, se prev su incremento en el futuro.
4.1.3. Ataques de denegacin de servicio (jam-ming).
Por las caractersticas propias del medio, es sencillo realizar ataques que afecten a la disponibilidad en los entornos wireless. Dichos ataques pueden ser abordados desde varios enfoques, siendo los ms sencillos aquellos que utilizan un dispositivo de radiofrecuencia (RF) de alta potencia para generar interferencias, lo que prevendra que el usuario legitimo pudiera utilizar el servicio.
Esto es consecuencia de la implementacin de la capa MAC de 802.11b, que no transmitir mientras detecte otra actividad de RF. Dentro de los dispositivos de RF de alta potencia podemos clasificar a los hornos microondas.
Para evitar las colisiones inherentes al protocolo CSMA/CD, el estndar utiliza paquetes de reserva de bandas de tiempo (RST) a los que el Punto de Acceso contesta
30
(CTS), obligando al resto de estaciones a no transmitir durante el intervalo definido en CTS. Otro tipo factible de DOS, probado en entornos de laboratorio, se produce cuando una estacin hostil enva mediante spoofing de forma ininterrumpida tramas CTS con los datos de origen (MAC e IP) del Punto de Acceso, y desemboca en una paralizacin gradual de las comunicaciones de la red.
4.1.4. Interferencia y Atenuacin.
Debido a la naturaleza de la tecnologa de radio, las seales de radio frecuencia pueden desvanecerse o bloquearse por materiales medioambientales. La inspeccin nos ayudar a identificar los elementos que afecten negativamente a la seal inalmbrica, algunos elementos y su grado de interferencia se muestra en la Tabla 4.1.
Material Madera Vidrio Yeso Ladrillo Hojas Agua Papel Vidrio con plomo Metal Tabiques Ventanas
Ejemplo
Interferencia Baja Baja Baja Media Media Alta Alta Alta Muy Alta
Paredes interiores Paredes interiores y exteriores rboles y plantas Lluvia Rollos de papel Ventanas Vigas, armariosTabla 4.1. Interferencia y Atenuacin.
31
Debido a que las redes inalmbricas operan en un espectro de frecuencias utilizado por otras tecnologas, pueden existir interferencias que pueden afectar negativamente al rendimiento. Las tecnologas que pueden producir interferencias son las siguientes:
Bluetooth. Hornos Microondas. Algunos telfonos DECT inalmbricos. Otras redes WLAN.
4.2. El Problema de la Seguridad.
El acceso sin necesidad de cables, la razn que hace tan populares a las redes inalmbricas, es a la vez el problema ms grande de este tipo de redes en cuanto a seguridad se refiere.
Cualquier equipo que se encuentre a 100 metros o menos de un punto de acceso, podra tener acceso a la red inalmbrica. Por ejemplo, si varias empresas tienen sede en un mismo edificio, y todas ellas poseen red inalmbrica, el equipo de un empleado podra encontrarse en cierto momento en el rea de influencia de dos o ms redes diferentes, y dicho empleado podra conectarse (intencionalmente o no) a la red de una compaa que no es la suya. An peor, como las ondas de radio pueden salir del edificio, cualquier persona que posea un equipo mvil y entre en el rea de influencia de la red, podra conectarse a la red de la empresa.
32
En la Figura 4.1, se muestra como un vehculo que contenga el equipo necesario puede recibir las ondas de frecuencia de la red inalmbrica, y si no se han tomado las medidas necesarias de seguridad puede ingresar a la red sin ningn inconveniente.
Figura 4.1. Acceso no autorizado a una red inalmbrica.
4.3. Localizando Redes Inalmbricas.
4.3.1. Warchalking.
El warchalking, que consiste en caminar por la calle con un computador porttil dotado de una tarjeta WLAN, buscando la seal de puntos de acceso. Cuando se encuentra uno, se pinta con tiza un smbolo especial en la acera o en un muro, indicando la presencia del punto de acceso y si tiene configurado algn tipo de seguridad o no.
33
De este modo, otras personas pueden conocer la localizacin de la red y hacer uso de esta. Dicha simbologa se muestra en la Figura 4.1.
Lets Warchark Key ssid Open Node bandwidth ssid 1.0 ssid 2.wire.less.dk Symbol
Close Node
b
Wep Node
Wbandwidth
access contact
Figura 4.2. Warchalking y su simbologa. 4.3.2. Wardriving. El wardriving, propio para localizar puntos de acceso inalmbrico desde un automvil. Para este fin se necesita de un computador porttil con una tarjeta WLAN, una antena adecuada (que se puede elaborar fcilmente con una lata de conservas) un GPS para localizar los puntos de acceso en un mapa, y software para deteccin de redes inalmbricas, que se consigue libremente en Internet.
34
Figura 4.3. Wardriving.
En la Figura 4.3 se observa a la izquierda el equipo necesario (computador, y lata que simula antena); a la derecha, el GPS (Global Positioning System) que es un sistema satelitario basado en seales de radio que indica la ubicacin de redes inalmbricas. Una vez localizada una red inalmbrica, una persona podra llevar a cabo dos tipos de ataques:
Ingresar a la red y hacer uso ilegtimo de sus recursos. Configurar un punto de acceso propio, orientando la antena de tal modo que los computadores que son clientes legtimos de la red atacada se conecten a la red del atacante. Una vez hecho esto, el atacante podra robar la informacin de dichos computadores, instalarles software maligno o daar la informacin.
35
CAPTULO 5SEGURIDAD BSICA Y AVANZADA EN WIRELESS LAN.5.1. Metodologas de Defensa en Redes Wireless LAN.
Existen varios mtodos para lograr la configuracin segura de una red inalmbrica; cada mtodo logra un nivel diferente de seguridad y presenta ciertas ventajas y desventajas. Se har a continuacin una presentacin de cada uno de ellos.
5.1.1. Mtodo 1: Filtrado de direcciones MAC.
Este mtodo consiste en la creacin de una tabla de datos en cada uno de los puntos de acceso a la red inalmbrica. Dicha tabla contiene las direcciones MAC (Media Access Control) de las tarjetas de red inalmbricas que se pueden conectar al punto de acceso. Como toda tarjeta de red posee una direccin MAC nica, se logra autenticar el equipo.
36
Este mtodo tiene como ventaja su sencillez, por lo cual se puede usar para redes caseras o pequeas. Sin embargo, posee muchas desventajas que lo hacen imprctico para uso en redes medianas o grandes:
No escala bien, porque cada vez que se desee autorizar o dar de baja un equipo, es necesario editar las tablas de direcciones de todos los puntos de acceso. Despus de cierto nmero de equipos o de puntos de acceso, la situacin se torna inmanejable.
El formato de una direccin MAC no es amigable (normalmente se escriben como 6 bytes en hexadecimal), lo que puede llevar a cometer errores en la manipulacin de las listas.
Las direcciones MAC viajan sin cifrar por el aire. Un atacante podra capturar direcciones MAC de tarjetas matriculadas en la red empleando un sniffer, y luego asignarle una de estas direcciones capturadas a la tarjeta de su computador, empleando programas tales como AirJack 6 o WellenRei-ter, entre otros. De este modo, el atacante puede hacerse pasar por un cliente vlido.
En caso de robo de un equipo inalmbrico, el ladrn dispondr de un dispositivo que la red reconoce como vlido. En caso de que el elemento robado sea un punto de acceso el problema es ms serio, porque el punto de acceso contiene toda la tabla de direcciones vlidas en su memoria de configuracin.
37
Debe notarse adems, que este mtodo no garantiza la confidencialidad de la informacin transmitida, ya que no prev ningn mecanismo de cifrado.
5.1.2. Mtodo 2: Wired Equivalent Privacy (WEP).
El nivel ms bsico de seguridad para redes inalmbricas es WEP, o Wired Equivalent Privacy, una caracterstica estndar de todas las redes LAN inalmbricas certificadas con la norma Wi-Fi. WEP, creado por el Instituto de Ingenieros en Electricidad y Electrnica (IEEE), ha sido diseado para proporcionar un nivel de seguridad, prevenir posibles escuchas de la informacin y proteger la red mediante la encriptacin de todos los datos que se enven de forma inalmbrica
El algoritmo WEP forma parte de la especificacin 802.11, y se dise con el fin de proteger los datos que se transmiten en una conexin inalmbrica mediante cifrado. WEP opera a nivel 2 del modelo OSI y es soportado por la gran mayora de fabricantes de soluciones inalmbricas.
El algoritmo WEP cifra de la siguiente manera (Ver Figura 5.1):
A la trama en claro se le computa un cdigo de integridad (Integrity Check Value, ICV) mediante el algoritmo CRC-32. Dicho ICV se concatena con la trama, y es empleado ms tarde por el receptor para comprobar si la trama ha sido alterada durante el transporte.
38
Se escoge una clave secreta compartida entre emisor y receptor. Esta clave puede poseer 40 128 bits.
Si se empleara siempre la misma clave secreta para cifrar todas las tramas, dos tramas en claro iguales produciran tramas cifradas similares. Para evitar esta eventualidad, se concatena la clave secreta con un nmero aleatorio llamado vector de inicializacin (IV) de 24 bits. El IV cambia con cada trama.
La concatenacin de la clave secreta y el IV (conocida como semilla) se emplea como entrada de un generador RC4 de nmeros seudo aleatorios. El generador RC4 es capaz de generar una secuencia seudo aleatoria (o cifra de flujo) tan larga como se desee a partir de la semilla.
El generador RC4 genera una cifra de flujo, del mismo tamao de la trama a cifrar ms 32 bits (para cubrir la longitud de la trama y el ICV).
Se hace un XOR bit por bit de la trama con la secuencia de clave, obtenindose como resultado la trama cifrada.
El IV y la trama se transmiten juntos.
Vector de inicializacin (IV)
IV Semilla GNSACifra de flujo
Texto cifrado
Clave secreta Texto en claroAlgoritmo de integridad Cdigo de integridad (ICV)
Mensaje
39
Figura 5.1. Funcionamiento del algoritmo WEP en modalidad de cifrado.
En el receptor se lleva a cabo el proceso de descifrado (Ver Figura 5.2):
Se emplean el IV recibido y la clave secreta compartida para generar la semilla que se utiliz en el transmisor.
Un generador RC4 produce la cifra de flujo a partir de la semilla. Si la semilla coincide con la empleada en la transmisin, la cifra de flujo tambin ser idntica a la usada en la transmisin.
Se efecta un XOR bit por bit de la cifra de flujo y la trama cifrado, obtenindose de esta manera la trama en claro y el ICV.
A la trama en claro se le aplica el algoritmo CRC-32 para obtener un segundo ICV, que se compara con el recibido.
Si los dos ICV son iguales, la trama se acepta; en caso contrario se rechaza.
Clave secretaCifra de Flujo SemillaGNSA
Trama en claro ICV Algoritmo de integridad
IVOK ICV
Trama cifradaGNSA = Generador de nmeros seudo-aleatorios Mensaje
ICV=ICV
40
Figura 5.2. Funcionamiento algoritmo WEP en modalidad de descifrado.
El algoritmo WEP resuelve aparentemente el problema del cifrado de datos entre emisor y receptor. Sin embargo, existen dos situaciones que hacen que WEP no sea seguro en la manera que es empleado en la mayora de aplicaciones:
La mayora de instalaciones emplea WEP con claves de cifrado estticas (se configura una clave en el punto de acceso y no se la cambia nunca, o muy de vez en cuando). Esto hace posible que un atacante acumule grandes cantidades de texto cifrado con la misma clave y pueda intentar un ataque por fuerza bruta.
WEP no es en absoluto una solucin de cifrado extremo a extremo, sino que slo cubre el segmento wireless de la comunicacin.
El IV que se utiliza es de longitud insuficiente (24 bits). Dado que cada trama se cifra con un IV diferente, solamente es cuestin de tiempo para que se agote el espacio de 224 IV distintos. Esto no es problemtico en una red casera con bajo trfico, pero en una red que posea alto trfico se puede agotar el espacio de los IV en ms o menos 5 horas. Si el atacante logra conseguir dos tramas con IV idntico, puede efectuar un XOR entre ellas y obtener los
41
textos en claro de ambas tramas mediante un ataque estadstico. Con el texto en claro de una trama y su respectivo texto cifrado se puede obtener la cifra de flujo; conociendo el funcionamiento del algoritmo RC4 es posible entonces obtener la clave secreta y descifrar toda la conversacin. WEP no ofrece servicio de autenticacin. El cliente no puede autenticar a la red, ni al contrario; basta con que el equipo mvil y el punto de acceso compartan la clave WEP para que la comunicacin pueda llevarse a cabo.
Existen en este momento diversas herramientas gratuitas para romper la clave secreta de enlaces protegidos con WEP. El primer programa que hizo esto posible fue WEPCrack, que consiste en una serie de scripts escritos en lenguaje Perl diseados para analizar un archivo de captura de paquetes de un sniffer. La herramienta AirSnort9 hace lo mismo, pero integra las funciones de sniffer y rompedor de claves, y por lo tanto es ms fcil de usar. Airsnort captura paquetes pasivamente, y rompe la clave WEP cuando ha capturado suficientes datos.
Los mecanismos de seguridad que ofrece el protocolo 802.11b pueden ser clasificados en las siguientes categoras:
Autenticacin. Cuando se desea establecer una comunicacin entre dos dispositivos, debe primero establecerse una asociacin. Para ello el cliente solicita la autenticacin y el Punto de Acceso responde identificando el tipo
42
de autenticacin presente en la red. Posteriormente, el cliente procede con la autenticacin y, si es satisfactoria, se lleva a cabo la asociacin.
El primer paso para poder autenticar un cliente en una red wireless es el conocimiento del SSID (Service Set Identifier), que funciona de forma similar al concepto de comunidad en SNMP, es decir, para obtener acceso al sistema es necesario conocer el SSID.
El estndar 802.11b plantea dos posibles formas de autenticacin:
Open System: Es el mecanismo de autenticacin por defecto, y permite que cualquier estacin se una al sistema tras la negociacin de los parmetros de red necesarios, es decir, se utiliza autenticacin NULA, en la que cualquier dispositivo puede obtener acceso a la red. Shared Key: Se lleva a cabo mediante un mecanismo de desafo/respuesta cifrado, siendo necesario durante el proceso que ambas estaciones posean una clave comn (autenticacin simtrica). Para que una red 802.11b pueda utilizar este tipo de autenticacin, debe emplear el protocolo WEP.
Confidencialidad. La confidencialidad en las redes wireless se obtiene mediante el uso de WEP como protocolo de cifrado.
Control de Acceso. Cuando est activada la autenticacin shared key, todos los paquetes deben estar correctamente cifrados, siendo descartados en caso
43
contrario. Otra forma complementaria de control de acceso y autenticacin se apoya en filtrado de trfico por direcciones MAC en los puntos de acceso. Integridad de datos. WEP utiliza un simple CRC32 (Cdigo de Redundancia Cclica) para asegurar la integridad de los datos, siendo insuficiente la utilidad y eficiencia de este control.
5.1.3. Mtodo 3: Las VPN.
Una red privada virtual (Virtual Private Network, VPN) emplea tecnologas de cifrado para crear un canal virtual privado sobre una red de uso pblico. Las VPN resultan especialmente atractivas para proteger redes inalmbricas, debido a que funcionan sobre cualquier tipo de hardware inalmbrico y superan las limitaciones de WEP.
Para configurar una red inalmbrica utilizando las VPN, debe comenzarse por asumir que la red inalmbrica es insegura. Esto quiere decir que la parte de la red que maneja el acceso inalmbrico debe estar aislada del resto de la red, mediante el uso de una lista de acceso adecuada en un enrutador, o agrupando todos los puertos de acceso inalmbrico en una VLAN si se emplea switching. Dicha lista de acceso y/o VLAN solamente debe permitir el acceso del cliente inalmbrico a los servidores de autorizacin y autenticacin de la VPN.
44
Deber permitirse acceso completo al cliente, slo cuando ste ha sido debidamente autorizado y autenticado. La Figura 5.3 muestra la estructura de la red con la utilizacin de VPN.
Figura 5.3. Estructura de una VPN para acceso inalmbrico seguro.
Los servidores de VPN se encargan de autenticar y autorizar a los clientes inalmbricos, y de cifrar todo el trfico desde y hacia dichos clientes.
Dado que los datos se cifran en un nivel superior del modelo OSI, no es necesario emplear WEP en este esquema.
5.1.4. Mtodo 4: 802.1x.
802.1x es un protocolo de control de acceso y autenticacin basado en la arquitectura cliente/servidor, que restringe la conexin de equipos no autorizados a una red. El protocolo fue inicialmente creado por la IEEE para uso en redes de rea local cableadas, pero se ha extendido tambin a las redes inalmbricas. Muchos de los puntos de acceso que se fabrican en la actualidad ya son compatibles con 802.1x.
45
El protocolo 802.1x involucra tres participantes (Ver Figura 5.4):
El suplicante, o equipo del cliente, que desea conectarse con la red. El servidor de autorizacin/autenticacin, que contiene toda la informacin necesaria para saber cules equipos y/o usuarios estn autorizados para acceder a la red. 802.1x fue diseado para emplear servidores RADIUS (Remote Authentication Dial-In User Service), cuya especificacin se puede consultar en la RFC 2058. Estos servidores fueron creados inicialmente para autenticar el acceso de usuarios remotos por conexin va telefnica; dada su popularidad se opt por emplearlos tambin para autenticacin en las LAN.
El autenticador, que es el equipo de red (switch, enrutador, servidor de acceso remoto, etc.) que recibe la conexin del suplicante. El autenticador acta como intermediario entre el suplicante y el servidor de autenticacin, y solamente permite el acceso del suplicante a la red cuando el servidor de autenticacin as lo autoriza.
Figura 5.4. Arquitectura de un sistema de autenticacin 802.1x.
46
La autenticacin del cliente se lleva a cabo mediante el protocolo EAP (Extensible Authentication Protocol) y el servicio RADIUS, de la siguiente manera (Ver Figura 5.5):
El proceso inicia cuando la estacin de trabajo se enciende y activa su interfaz de red (en el caso alambrado) o logra enlazarse o asociarse con un punto de acceso (en el caso inalmbrico). En ese momento, la interfaz de red tiene el acceso bloqueado para trfico normal, y lo nico que admite es el trfico EAPOL (EAP over LAN), que es el requerido para efectuar la autenticacin.
La estacin de trabajo enva un mensaje EAPOL-Start al autenticador, indicando que desea iniciar el proceso de autenticacin.
El autenticador solicita a la estacin que se identifique, mediante un mensaje EAP-Request/ Identity.
La estacin se identifica mediante un mensaje EAP-Response/ Identity. Una vez recibida la informacin de identidad, el autenticador enva un mensaje RADIUS-Access-Request al servidor de autenticacin, y le pasa los datos bsicos de identificacin del cliente.
El servidor de autenticacin responde con un mensaje RADIUS AccessChallenge, en el cual enva informacin de un desafo que debe ser correctamente resuelto por el cliente para lograr el acceso. Dicho desafo puede ser tan sencillo como una contrasea, o involucrar una funcin
47
criptogrfica ms elaborada. El autenticador enva el desafo al cliente en un mensaje EAP-Request. El cliente da respuesta al desafo mediante un mensaje EAP-Response (Credentials) dirigido al autenticador. Este ltimo reenva el desafo al servidor en un mensaje RADIUS-Access-Response. Si toda la informacin de autenticacin es correcta, el servidor enva al autenticador un mensaje RADIUS-Access-Accept, que autoriza al
autenticador a otorgar acceso completo al cliente sobre el puerto, adems de brindar la informacin inicial necesaria para efectuar la conexin a la red. El autenticador enva un mensaje EAP-Success al cliente, y abre el puerto de acuerdo con las instrucciones del servidor RADIUS.
Figura 5.5. Dilogo EAPOL-RADIUS.
48
En el caso del acceso inalmbrico, el servidor RADIUS despacha en el mensaje RADIUS-Access-Accept un juego de claves WEP dinmicas, que se usarn para cifrar la conexin entre el cliente y el punto de acceso. El servidor RADIUS se encarga de cambiar esta clave dinmica peridicamente (por ejemplo, cada cinco minutos), para evitar el ataque de rompimiento de la clave descrito en la seccin referente a WEP.
Existen varias variantes del protocolo EAP, segn la modalidad de autenticacin que se emplee. Se puede hablar de dos grupos de variantes: las que emplean certificados de seguridad, y las que utilizan contraseas.
Las variantes de EAP que emplean certificados de seguridad son las siguientes:
EAP-TLS: Requiere de instalacin de certificados en los clientes y en el servidor. Proporciona autenticacin mutua fuerte (es decir, el servidor autentica al cliente y viceversa) y soporta el uso de claves dinmicas para WEP. La sesin de autenticacin entre el cliente y el autenticador se cifra empleando el protocolo TLS (Transparent Layer Substrate).
EAP-TTLS: Desarrollada por Funk Software y Certicom. Proporciona servicios similares a EAP-TLS, con la diferencia de que requiere solamente la instalacin de un certificado en el servidor. Esto garantiza la autenticacin fuerte del servidor por parte del cliente; la autenticacin del cliente por parte
49
del servidor se efecta una vez que se establece la sesin TLS, utilizando otro mtodo tal como PAP, CHAP, MS-CHAP MS-CHAP v2.
PEAP: Desarrollado por Microsoft, Cisco y RSA Security. Funciona de manera parecida a EAPTTLS, en el sentido de que solamente requiere de certificado de seguridad en el servidor. Provee proteccin a mtodos ms antiguos de EAP, mediante el establecimiento de un tnel seguro TLS entre el cliente y el autenticador.
El empleo de certificados permite una autenticacin fuerte entre cliente y servidor, sin embargo posee tambin varias desventajas:
La administracin de los certificados de seguridad puede ser costosa y complicada, especialmente en los esquemas donde se necesitan certificados en los clientes y en el servidor. Es necesario comprar los certificados a una autoridad de certificacin (CA) conocida, o montar una CA propia.
El dilogo de autenticacin es largo. Esto ocasiona que el proceso sea algo demorado, siendo especialmente molesto para usuarios que tienen que reautenticarse con mucha frecuencia (por ejemplo, usuarios en movimiento que cambien de un punto de acceso a otro).
La manipulacin del certificado puede ser engorrosa para el usuario. En muchos casos se elige instalar el certificado en la terminal del usuario, con lo cual, si la terminal es robada y el certificado es el nico nivel de seguridad que se posee, la seguridad de la red estara en riesgo. Otra solucin sera llevar
50
el certificado en una tarjeta inteligente (smart card), lo que obligara a instalar hardware adicional en las terminales para leer dichas tarjetas.
Las variantes de EAP que utilizan contraseas son las siguientes:
EAP-MD5: Emplea un nombre de usuario y una contrasea para la autenticacin. La contrasea se transmite cifrada con el algoritmo MD5. Su gran inconveniente consiste en el bajo nivel de seguridad que maneja, ya que es susceptible a ataques de diccionario (un atacante puede ensayar a cifrar mltiples contraseas con MD5 hasta que encuentre una cuyo texto cifrado coincida con la contrasea cifrada capturada anteriormente). Adems, el cliente no tiene manera de autenticar al servidor (no se podra garantizar que el cliente se est conectando a la red adecuada), y el esquema no es capaz de generar claves WEP dinmicas. Por estos problemas, EAP-MD5 ha cado en desuso.
LEAP: Esta variante es propietaria de Cisco. Emplea un esquema de nombre de usuario y contrasea, y soporta claves dinmicas WEP. Al ser una
tecnologa propietaria, exige que todos los puntos de acceso sean marca Cisco, y que el servidor RADIUS sea compatible con LEAP. EAP-SPEKE: Esta variante emplea el mtodo SPEKE (Simple Passwordauthenticated Exponential Key Exchange), que permite verificar que tanto cliente como servidor comparten una informacin secreta (en este caso, una
51
contrasea) a travs de un medio inseguro. Se ha comprobado que el mtodo es muy seguro, aun con contraseas cortas. Ofrece proteccin contra ataques de diccionario, as como el servicio de autenticacin mutua sin necesidad de certificados. Muchos proveedores lo implementan por ser un mtodo de autenticacin robusto y sencillo.
5.1.5. Mtodo 5: WPA (Wi-Fi Protected Access).
WPA es un estndar propuesto por los miembros de la Wi-Fi Alliance (que rene a los grandes fabricantes de dispositivos para WLAN) en colaboracin con la IEEE. Este estndar busca subsanar los problemas de WEP, mejorando el cifrado de los datos y ofreciendo un mecanismo de autenticacin.
Para solucionar el problema de cifrado de los datos, WPA propone un nuevo protocolo para cifrado, conocido como TKIP (Temporary Key Integrity Protocol). Este protocolo se encarga de cambiar la clave compartida entre punto de acceso y cliente cada cierto tiempo, para evitar ataques que permitan revelar la clave. TKIP ampla la longitud de la clave de 40 a 128 bits. Igualmente se mejoraron los
algoritmos de cifrado de trama y de generacin de los IVs, con respecto a WEP. El protocolo TKIP est compuesto por los siguientes elementos:
Un cdigo de integracin de mensajes (MIC), encripta el checksum incluyendo las direcciones fsicas (MAC) del origen, del destino y los datos en
52
texto claro de la trama 802.11. Esta medida protege contra los ataques por falsificacin. Contramedidas para reducir la probabilidad de que un ataque pueda aprender o utilizar una determinada llave. Utilizacin de un IV (vector de inicializacin) de 48 bits llamada TSC (TKIP Squense Counter) para protegerse contra ataques por repeticin, descartando los paquetes recibidos fuera de orden.
La estructura de encriptacin TKIP propuesta por 802.11i sera la siguiente:
EncryptedIV / KeyID 4 octets Extended IV 4 octets Data n octets MIC 8 octets ICV 4 octets
Figura 5.6. Estructura de encriptacin de TKIP.
La utilizacin del TSC extiende la vida til de la llave temporal y elimina la necesidad de redecodificar la llave temporal durante una sola asociacin. Pueden intercambiar 2 paquetes utilizado una sola llave temporal antes de ser rehusada.48
El proceso de encapsulacin TKIP se muestra a continuacin:
53
Temporal Key Transmitter Address
Phase 1 Key Mixing
Per Packet Key
RC4Key WEP IVEncryted MSDUs WEP Encapsulation
TKIP Sequence Counter MIC KeySource Address + Destination Address + MSDU Plaintext Plaintext MSDU & MIC Plaintext MSDU
MIC
Fragmentation
Figura 5.7. Proceso de encapsulacin TKIP.
Se combinan en dos fases la llave temporal, la direccin del emisor y el TSC para la obtencin de una llave de 128 bits por paquete, dividiendo en una llave RC4 de 104 bits y en una IV de 24 bits para su posterior encapsulacin WEP.
El MIC final se calcula sobre la direccin fsica origen y destino y el MSDU (MAC Service Data Unit o texto plano de los datos en la trama 802.11) despus de ser segmentado por la llave MIC y TSC.
La funcin MIC utiliza una funcin hash unidireccional, si es necesario, el MSDU se fragmenta incrementando el TSC para cada fragmento antes de la encriptacin WEP.
En la desencriptacin se examina el TSC para asegurar que el paquete recibido tiene el valor TSC mayor que el anterior. Sino el paquete de descartar para prevenir posibles ataques por repeticin. Despus de que el valor del MIC sea calculado
54
basado en el MSDU recibido y desencriptado, el valor calculado del MIC se compara con el valor recibido.
Segn la complejidad de la red, un punto de acceso compatible con WPA puede operar en dos modalidades:
1. Modalidad de red empresarial: Para operar en esta modalidad se requiere de la existencia de un servidor RADIUS en la red. El punto de acceso emplea entonces 802.1x y EAP para la autenticacin, y el servidor RADIUS suministra las claves compartidas que se usarn para cifrar los datos. 2. Modalidad de red casera, o PSK (Pre-Shared Key): WPA opera en esta modalidad cuando no se dispone de un servidor RADIUS en la red. Se requiere entonces introducir una contrasea compartida en el punto de acceso y en los dispositivos mviles. Solamente podrn acceder al punto de acceso los dispositivos mviles cuya contrasea coincida con la del punto de acceso. Una vez logrado el acceso, TKIP entra en funcionamiento para garantizar la seguridad del acceso. Se recomienda que las contraseas empleadas sean largas (20 o ms caracteres), porque ya se ha comprobado que WPA es vulnerable a ataques de diccionario si se utiliza una contrasea corta.
La norma WPA data de abril de 2003, y es de obligatorio cumplimiento para todos los miembros de la Wi-Fi Alliance a partir de finales de 2003. Segn la Wi-Fi
55
Alliance, todo equipo de red inalmbrica que posea el sello Wi-Fi Certified podr ser actualizado por software para que cumpla con la especificacin WPA.
5.2. Anlisis de Mtodos.
La seguridad en las redes inalmbricas es una necesidad, dadas las caractersticas de la informacin que por ellas se transmite. Sin embargo, la gran cantidad de las redes inalmbricas actualmente instaladas no tienen configurada seguridad alguna, o poseen un nivel de seguridad muy dbil, con lo cual se est poniendo en peligro la confidencialidad e integridad de dicha informacin.
Existen diversas soluciones para mejorar la seguridad en las redes inalmbricas. Su implementacin depende del uso que se vaya a dar a la red (casera o empresarial), de si es una red ya existente o una nueva, y del presupuesto del que se disponga para implantarla, entre otros factores.
La restriccin de acceso mediante direcciones MAC es insuficiente para cualquier red, dado el gran nmero de herramientas disponibles libremente para cambiar la direccin MAC de una tarjeta cualquiera.
El mtodo mediante WEP con clave esttica es el mnimo nivel de proteccin que existe. En una red casera puede ser suficiente; en una corporativa, el uso de WEP est
56
formalmente desaconsejado, por la facilidad con la que se pueden romper las claves WEP en un entorno de alto trfico.
El uso de las VPN es una alternativa interesante cuando ya se tiene una red inalmbrica, y no se posee hardware inalmbrico que soporte el protocolo 802.1x.
Requiere de la instalacin de software especializado en los clientes inalmbricos, y de un servidor o una serie de servidores que manejen las tareas de cifrado de datos, autenticacin y autorizacin de acceso.
La alternativa de 802.1x y EAP es la adecuada si los equipos de la red inalmbrica se pueden actualizar, o si se va a montar una red nueva. Puede usarse la solucin de WEP con clave dinmica, o la de WPA; ambas ofrecen un excelente grado de proteccin.
Finalmente, todo mecanismo de proteccin de informacin en una red debe estar enmarcado dentro de una poltica de seguridad adecuada. El seguimiento de una poltica consistente evita que las medidas de proteccin se vuelvan un obstculo para el trabajo habitual con los sistemas de informacin, y garantiza la calidad y confidencialidad de la informacin presente en los sistemas de la empresa.
En la Tabla 5.1. se resumen las caractersticas 802.11 y WPA antes mencionadas.
57
CaractersticasSistema (Algoritmo) de cifrado
802.11
WPA
WEP (RC4)
TKIP (RC4)
Longitud Cifrado Generacin clave Gestin de claves
40 bits Esttica: la misma para todos los dispositivos Manual en cada
128 bits Dinmica: por usuario, por sesin, por paquete Automtica gestionada por 802.1x/EAP
Distribucin clave dispositivo.
Entorno
Definido por 802.11 Abierta clave
802.1x/EAP
EAP-TLS, PEAP, EAPTTLS (autentifican al usuario)
Autenticacin Mtodo
compartida (autentifica el equipo)
Tabla 5.1. Caractersticas de seguridad IEEE 802.11 y WPA.
5.3. Garantizando la Seguridad de una Red Inalmbrica.
Para poder considerar una red inalmbrica como segura, debera cumplir con los siguientes requisitos:
Las ondas de radio deben confinarse tanto como sea posible. Esto es difcil de lograr totalmente, pero se puede hacer un buen trabajo empleando antenas
58
direccionales y configurando adecuadamente la potencia de transmisin de los puntos de acceso. Debe existir algn mecanismo de autenticacin en doble va, que permita al cliente verificar que se est conectando a la red correcta, y a la red constatar que el cliente est autorizado para acceder a ella. Los datos deben viajar cifrados por el aire, para evitar que equipos ajenos a la red puedan capturar datos mediante escucha pasiva.
5.4. Consejos de Seguridad.
Para que un intruso se pueda meter a nuestra red inalmbrica tiene que ser nodo o usuario, pero el peligro radica en poder escuchar nuestra transmisin. Vamos a dar unos pequeos consejos para poder estar ms tranquilos con nuestra red inalmbrica.
1. Haga ms sencilla la seguridad: Integre las polticas inalmbricas y las de cable. La seguridad inalmbrica no es una infraestructura de red aparte cuyos procedimientos o protocolos son completamente distintos. Desarrolle una poltica de seguridad que combine tanto seguridad inalmbrica como seguridad para la red de cable, para impulsar las ventajas de gestin y de ahorro de costos. Por ejemplo, integrando la peticin de nombre de usuario y contrasea para todos los usuarios que accedan a la red ya sea mediante infraestructura de cable o inalmbrica.
59
2. Situar el punto de acceso en el lugar adecuado: Comience con lo ms bsico: en la configuracin de la red de su empresa, asegrese de que los puntos de acceso estn fuera de su firewall perimetral en el caso de que su solucin inalmbrica no cuente con los sistemas de encriptacin y autenticacin requeridos, de esta manera su firewall perimetral controlar los accesos. Adems se debe cambiar las claves por defecto cuando instalemos el software del Punto de Acceso 3. Utilizar una direccin MAC para evitar ataques: Utilizar una direccin MAC basada en ACLs (Access Control Lists) har que slo los dispositivos registrados puedan acceder a la red. El filtro mediante direcciones MAC es como aadir otro cerrojo a la puerta principal, y cuantos ms obstculos encuentre un hacker, ms rpidamente desistir en sus intenciones de intrusin a nuestra red. 4. Administrar su nombre de red: Todas las redes inalmbricas tienen asignado por defecto un nombre de red o SSID (Service Set Identifier). Cmbielo, inmediatamente, por un cdigo alfanumrico. Si su organizacin puede encargarse de la administracin de la red, cambie del SSID de forma regular, e inutilice la funcin de reconocimiento automtico de la contrasea en su ordenador, para evitar que el SSID sea identificado fcilmente. 5. Impulsar los servidores RADIUS existentes: Los usuarios remotos de las compaas ms grandes son a veces autenticados para utilizar la red a travs de un servidor RADIUS (Remote Authentication Dial-In User Service). Los
60
directores de TI pueden integrar las redes LAN inalmbricas en la infraestructura RADIUS ya establecida para hacer ms sencilla su gestin. Esto no slo hace posible la autenticacin inalmbrica, sino que adems asegura que los usuarios de la red inalmbrica siguen el mismo proceso de y aprobaciones que los usuarios remotos. 6. Instalar el Protocolo de seguridad WEP: WEP (Wired Equivalent Privacy) es el protocolo de seguridad inalmbrico del estndar 802.11b. Se ha diseado para proporcionar proteccin mediante encriptacin de datos al tiempo en que se transmite la informacin, exactamente igual que se hace en las redes de cable. Slo tiene que instalarlo, habilitarlo y cambiar de forma inmediata la clave WEP, ya que aparecer una por defecto. Lo ideal es que genere sus claves WEP de forma dinmica cuando un usuario se identifique, haciendo que la clave de acceso a la red inalmbrica sea diferente para cada usuario y en cada ocasin, de esta manera se consigue una mejor proteccin. 7. VPN: Si cada opcin de seguridad es un impedimento que un hacker debe salvar (cambiar el SSID, habilitar filtros mediante direcciones MAC y generar claves WEP de forma dinmica) una red privada virtual o VPN es una cmara acorazada. Las VPN ofrecen un nivel ms de seguridad basado en la creacin de un tnel seguro entre el usuario y la red. 8. No todas las Redes Inalmbricas son iguales: Mientras que 802.11b es un protocolo estndar y todos los equipos que lleven la acreditacin Wi-Fi operan con la misma funcionalidad base, no todos los dispositivos inalmbricos han
61
sido creados de la misma manera. Wi-Fi asegura interoperabilidad, mientras que los productos de muchos fabricantes no incluyen prestaciones avanzadas de seguridad. 9. No permita que cualquier usuario avanzado configure su red inalmbrica: La configuracin de una WLAN es lo suficientemente sencilla como para que no haga falta que el personal tcnico instale los puntos de acceso en su propio departamento, sin pararse a pensar demasiado en el aspecto de la seguridad. Antes debe analizarse la red regularmente, con herramientas de deteccin de intrusos para evitar que la red pueda convertirse en un punto potencial susceptible de ser atacado por un hacker. Por tanto, se debe establecer una poltica que restrinja que las WLANs puedan ser implementadas sin el desarrollo y aprobacin del administrador de la red. 10. Utilizar opciones no compatibles, si nuestra red es de una misma marca podemos escoger esta opcin para tener un punto mas de seguridad, esto har que nuestro posible intruso tenga que trabajar con un modelo compatible al nuestro.
62
CAPTULO 6POLTICAS GENERALES EN REDES WLAN.Las polticas de seguridad documentadas permiten a una organizacin definir arquitecturas aceptables para la aplicacin y uso de tecnologas inalmbricas.
Un programa de conocimiento de seguridad ayuda que los usuarios establezcan una buena prctica de la seguridad para prevenir ataques ya que entendiendo el valor de los recursos orgnicos y el nivel de proteccin requerido es posible habilitar ms soluciones inalmbricas rentables que proporcionan un seguridad. el nivel apropiado de
6.1 Tipos de Polticas.
La definicin de polticas va a depender de cada empresa, de manera general las hemos clasificado de la siguiente forma:
63
Polticas de Administracin. Polticas Tcnicas. Polticas de Operacin.
6.1.1. Polticas de Administracin.
1. Desarrolle polticas de seguridad dirigidas al uso de tecnologa inalmbrica, incluyendo el 802.11. 2. Asegurar que los usuarios en la red tengan el conocimiento de la seguridad y los riesgos asociados con la tecnologa inalmbrica. 3. Realizar una valoracin de riesgo para conocer el valor de los recursos que necesitan proteccin. 4. Asegure que el cliente NIC y Punto de Acceso tengan las licencias respectivas para actualizar los parches de seguridad cuando ellos ya estn disponibles. 5. Realizar las valoraciones de seguridad regularmente y en intervalos aleatorio para entender la red inalmbrica totalmente. 6. Asegurar los lmites y alrededores del permetro del edificio. 7. Controlar los accesos fsicos al edificio y otras reas por ejemplo con el uso de identificaciones, lectores de tarjetas de asistencia, etc. 8. Realice un completo estudio del sitio para establecer la posible ubicacin de los Puntos de Acceso.
64
9. Se debe contar con un completo inventario de todos los Puntos de Acceso y dispositivos inalmbricos. 10. Asegurar que las redes inalmbricas no se usen hasta que se cumplan con las polticas de seguridad. 11. Localizar los Puntos de Acceso en el interior del edificio en lugar de en las paredes exteriores y lugares cercanos a las ventanas. 12. Colocar los Puntos de Acceso en las reas aseguradas para prevenir el acceso fsico y la manipulacin por parte de usuarios desautorizados.
6.1.2. Polticas Tcnicas
1. Realizar las pruebas a los Puntos de Acceso para determinar la magnitud precisa de los lmites de la red inalmbrica. 2. Asegrese que los Puntos de Acceso estn apagados cuando ellos no se usan por ejemplo, los fines de semana. 3. Para restablecer la funcin en los Puntos de Acceso slo se realizar por un grupo de personas autorizadas. 4. Restaure los Puntos de Acceso a las ltimas escenas de seguridad despus de que se restablezca la funcin. 5. Cambie el SSID predefinido en los Puntos de Acceso. 6. Desactive la transmisin que SSID ofrece para al cliente. 7. Valide que el SSID no refleje el nombre de la empresa, la divisin, departamento, la calle, productos, etc.
65
8. Asegurar que los canales de los Puntos de Acceso esta por lo menos a cinco canales diferentes de cualquier otro de las redes inalmbricas cercanas para prevenir la interferencia. 9. Cambiar todos los parmetros predeterminados. 10. Desactive todo los protocolos inseguros que no son esenciales en los Puntos de Acceso. 11. Habilitar todas las seguridades que ofrecen los productos WLAN, incluso la autenticacin criptogrfica y la privacidad que ofrece WEP. 12. Asegrese que el tamao de encriptacin sea de por lo menos 128 bits o tan grande como sea posible. 13. Remplace peridicamente las claves. 14. Instale un firewall propiamente configurado entre la infraestructura cableada y la red inalmbrica (Punto de Acceso o hub a otros Puntos de Acceso). 15. Instale software antivirus en los clientes inalmbricos. 16. Instale un firewall personalizado en todos los clientes inalmbricos. 17. Desactive los archivos compartidos en los clientes inalmbricos. 18. Despliegue las listas de control de acceso MAC. 19. Considere instalacin de Switches en lugar de los hubs para la conectividad de los Puntos deAcceso. 20. Despliegue las IPsec basadas en VPN la tecnol
