8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
1/83
IMPLEMENTACION DE
PROTOCOLOS DE SEGURIDAD
EN REDES WIRELESS
UNIVERSIDAD LATINA DE COSTA RICA
SISTEMAS INALAMBRICOS
PROFESOR: ALFREDO SOLANO
INTEGRANTES
DAVID MORENO CERDAS
DANIEL MORA RETANA
AGOSTO 2014
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
2/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 1
Índice de contenido Índice de contenido ............................................................................................................................1
i. Introducción ...............................................................................................................................2
ii. Propuesta ...................................................................................................................................3iii. Objetivos ................................................................................................................................3
Objetivo General ............................................................................................................................3
Objetivos Específicos ......................................................................................................................3
iv. Metodología ...........................................................................................................................4
v. Paquete Teórico .........................................................................................................................4
Redes Inalámbricas ........................................................................................................................4
Tipos de Redes Inalámbricas ..........................................................................................................4
Wireless Personal Área Network WPAN .....................................................................................4
Wireless Local Área Network WLAN ..........................................................................................4
Wireless Metropolitan Área Network WMAN ............................................................................5
Wireless Wide Area Network WWAN .........................................................................................5
Wi-Fi ...........................................................................................................................................5
vi. Desarrollo .............................................................................................................................30
Dispositivos ..................................................................................................................................30
Prototipo del Proyecto .................................................................................................................31
Etapas de Configuración ...............................................................................................................34
vii. Análisis y resultados obtenidos ............................................................................................76
Análisis de Protocolos con Sniffer ................................................................................................77
viii. Conclusiones ........................................................................................................................78
ix. Índices y Apéndices ..............................................................................................................79
a. Índice de Ilustraciones ..............................................................................................................79
b. Índice de Tablas ........................................................................................................................81
c. Bibliografía ...............................................................................................................................82
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
3/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 2
i. Introducción
Gracias al avance en las últimas décadas, es muy común usar diferentes tipos de medios para tener
conexión a redes de información, podemos citar algunos como lo son las líneas telefónicas, el cablecoaxial, fibra óptica, medios inalámbricos.
Nos enfocaremos en las redes inalámbricas de corto alcance, las más utilizadas a nivel empresarial
y personal, las redes Wi-Fi, que es como conocemos más comúnmente a las redes inalámbricas
locales WLAN (Wireless LAN), hay que tener en cuenta que Wi-Fi es una marca de Wi-Fi Alliance,
anteriormente WECA (Wireless Ethernet Compatibility Alliance), la organización comercial que
adopta, prueba y certifica que los equipos cumplen los estándares 802.11 relacionados a redes
inalámbricas de área local.
Para mostrar una utilidad de este, elegimos un proyecto para ejemplificar tan solo una de las muchas
aplicaciones que se le puede dar, y dando énfasis a la seguridad.
El proyecto trata de que somos miembros de una empresa que vende servicios administrados de
información, enfocados en la seguridad de redes inalámbricas, y utilizaremos la pila de protocolos
disponibles para implementar redes inalámbricas seguras, en este documento encontraremos
muchos acrónimos de protocolos y nos enfocaremos en dar una explicación de su uso y su aplicación
a la creación de redes inalámbricas seguras, hay que tomar en cuenta que ninguna red es 100%
segura, pero mediante las buenas practicas podemos estar muy cerca de ese número.
La empresa se encarga de implementar la seguridad en la red para que los usuarios en vez de
disponer de una clave de acceso a la red, dispongan de un usuario y password y un certificado quelos valide a la red, esto permite el control a nivel de usuario y de aplicación, es más seguro y fácil de
auditar y más difícil de atacar desde el exterior de la red.
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
4/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 3
ii. Propuesta
Por medio de sistemas virtuales y físicos, utilizando la tecnología Wi-Fi y los conceptos de cliente
servidor, se brindaran servicios de alta seguridad por medio de servicios de autenticación por mediode RADIUS, servicios de directorio activo de Microsoft y conectividad segura mediante el protocolo
802.1X.
Además de configurar un controlador inalámbrico y su respectivo AP en modo Controlador para que
este busque la configuración en el controlador, se añadirán VLANS que permitirán ser añadidas
automáticamente a los usuarios según su perfil, lo cual permite que la red sea adaptable a las
necesidades de la empresa y no que la empresa se adapte a las tecnologías.
Además se configurara una cámara IP para que realice grabación y está también estará conectada
por medio del protocolo 802.1X, y la misma podrá ser vista por los equipos inalámbricos, esto provee
además de la seguridad lógica de la red, una seguridad física para la supervisión de los equipos o
instalaciones.
iii. Objetivos
Objetivo General
Realizar la conectividad segura entre diferentes equipos de datos mediante conexiones
seguras tanto a nivel cableado como inalámbrico.
Objetivos Específicos
Analizar cada uno de los protocolos y componentes de la red que componen la solución.
Realizar la transferencia de video en redes inalámbricas.
Mostrar las posibles configuraciones de controladores y Access Point Wi-Fi.
Analizar ventajas y desventajas de la utilización de 802.1X.
Demostrar las vulnerabilidades la solución y de otros tipos de conectividad inalámbrica.
Objetivos logrados con la utilización de 802.1X y demás pila de protocolos de seguridad
Wi-Fi.
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
5/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 4
iv. MetodologíaLa metodología a seguir en este proyecto se muestra a continuación:
Investigación de las necesidades de las empresas en la transferencia de información
sensible por medio de medios inalámbricos. Investigación de las herramientas de software y protocolos disponibles para la
implementación de redes inalámbricas seguras.
Análisis y simulación de la situación actual con la conectividad en redes Wi-Fi.
Generación de propuestas.
Simulación de propuestas.
Documentación de los resultados.
v.
Paquete TeóricoRedes InalámbricasRed inalámbrica (Wireless network) en inglés es un término que se utiliza en informática paradesignar la conexión de nodos sin necesidad de una conexión física, ésta se da por medio deondas electromagnéticas. La transmisión y la recepción se realizan a través de puertos.
Existen básicamente tres (3) categorías de las redes inalámbricas.
Larga distancia: estas son utilizadas para distancias grandes como puede ser otra ciudad u
otro país.
Media Distancia: Son utilizadas para distancias cortas como en barrios o conjuntosresidenciales
Corta distancia: son utilizadas para un mismo edificio o en varios edificios cercanos no muyretirados.
Tipos de Redes Inalámbricas
Wireless Personal Área Network WPANWireless Personal Area Network es una red de computadoras para la comunicación entre distintos
dispositivos (tanto computadoras, puntos de acceso a internet, teléfonos celulares, PDA,dispositivos de audio, impresoras) cercanos al punto de acceso. Estas redes normalmente son de
unos pocos metros y para uso personal.
Wireless Local Área Network WLANEn las redes de área local podemos encontrar tecnologías inalámbricas basadas en HiperLAN un
estándar del grupo ETSI, o tecnologías basadas en Wi-Fi, que siguen el estándar IEEE 802.11 con
diferentes variantes.
http://es.wikipedia.org/wiki/Idioma_ingl%C3%A9shttp://es.wikipedia.org/wiki/Inform%C3%A1ticahttp://es.wikipedia.org/wiki/Nodo_(inform%C3%A1tica)http://es.wikipedia.org/wiki/Ondas_electromagneticashttp://es.wikipedia.org/wiki/Puerto_de_redhttp://es.wikipedia.org/w/index.php?title=HiperLAN&action=edit&redlink=1http://es.wikipedia.org/wiki/ETSIhttp://es.wikipedia.org/wiki/Wi-Fihttp://es.wikipedia.org/wiki/Wi-Fihttp://es.wikipedia.org/wiki/Wi-Fihttp://es.wikipedia.org/wiki/Wi-Fihttp://es.wikipedia.org/wiki/ETSIhttp://es.wikipedia.org/w/index.php?title=HiperLAN&action=edit&redlink=1http://es.wikipedia.org/w/index.php?title=HiperLAN&action=edit&redlink=1http://es.wikipedia.org/wiki/Puerto_de_redhttp://es.wikipedia.org/wiki/Puerto_de_redhttp://es.wikipedia.org/wiki/Ondas_electromagneticashttp://es.wikipedia.org/wiki/Nodo_(inform%C3%A1tica)http://es.wikipedia.org/wiki/Nodo_(inform%C3%A1tica)http://es.wikipedia.org/wiki/Inform%C3%A1ticahttp://es.wikipedia.org/wiki/Inform%C3%A1ticahttp://es.wikipedia.org/wiki/Idioma_ingl%C3%A9shttp://es.wikipedia.org/wiki/Idioma_ingl%C3%A9s
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
6/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 5
Wireless Metropolitan Área Network WMANPara redes de área metropolitana se encuentran tecnologías basadas en WiMAX es decir,
Interoperabilidad Mundial para Acceso con Microondas, un estándar de comunicación
inalámbrica basado en la norma IEEE 802.16. WiMAX es un protocolo parecido a Wi-Fi, pero con
más cobertura y ancho de banda. También podemos encontrar otros sistemas de comunicación
como LMDS (Local Multipoint Distribution Service).
Wireless Wide Area Network WWANEn estas redes encontramos tecnologías como UMTS (Universal Mobile Telecommunications
System), utilizada con los teléfonos móviles de tercera generación (3G) y sucesora de la tecnología
GSM (para móviles 2G), o también la tecnología digital para móviles GPRS (General Packet Radio
Service).
Ilustración v-1 Tipos de Redes Inalámbricas
Wi-FiEs una marca de la Wi-Fi Alliance (anteriormente la WECA: Wireless Ethernet Compatibility
Alliance), la organización comercial que adopta, prueba y certifica que los equipos cumplen los
estándares 802.11 relacionados a redes inalámbricas de área local.
http://es.wikipedia.org/wiki/WiMAXhttp://es.wikipedia.org/wiki/Ancho_de_bandahttp://es.wikipedia.org/wiki/LMDShttp://es.wikipedia.org/wiki/UMTShttp://es.wikipedia.org/wiki/3Ghttp://es.wikipedia.org/wiki/GSMhttp://es.wikipedia.org/wiki/2Ghttp://es.wikipedia.org/wiki/GPRShttp://es.wikipedia.org/wiki/GPRShttp://es.wikipedia.org/wiki/GPRShttp://es.wikipedia.org/wiki/2Ghttp://es.wikipedia.org/wiki/GSMhttp://es.wikipedia.org/wiki/GSMhttp://es.wikipedia.org/wiki/3Ghttp://es.wikipedia.org/wiki/3Ghttp://es.wikipedia.org/wiki/UMTShttp://es.wikipedia.org/wiki/UMTShttp://es.wikipedia.org/wiki/LMDShttp://es.wikipedia.org/wiki/LMDShttp://es.wikipedia.org/wiki/Ancho_de_bandahttp://es.wikipedia.org/wiki/WiMAXhttp://es.wikipedia.org/wiki/WiMAX
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
7/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 6
Estándares que certifica Wi-Fi
Existen diversos tipos de Wi-Fi, basado cada uno de ellos en un estándar IEEE 802.11 aprobado.
Son los siguientes:
Los estándares IEEE 802.11b, IEEE 802.11g e IEEE 802.11n disfrutan de una aceptación
internacional debido a que la banda de 2.4 GHz está disponible casi universalmente, con una
velocidad de hasta 11 Mbps, 54 Mbps y 300 Mbps, respectivamente.
También existe el estándar IEEE 802.11a, conocido como WIFI 5, que opera en la banda de 5 GHz
y que disfruta de una operatividad con canales relativamente limpios. La banda de 5 GHz ha sido
habilitada y, además, no existen otras tecnologías (Bluetooth, microondas, ZigBee, WUSB) que la
estén utilizando, por lo tanto existen muy pocas interferencias. Su alcance es algo menor que el
de los estándares que trabajan a 2.4 GHz (aproximadamente un 10%), debido a que la frecuencia
es mayor (a mayor frecuencia, menor alcance).
Existen otras tecnologías inalámbricas como Bluetooth que también funcionan a una frecuenciade 2.4 GHz, por lo que puede presentar interferencias con Wi-Fi. Debido a esto, en la versión 1.2
del estándar Bluetooth por ejemplo se actualizó su especificación para que no existieran
interferencias con la utilización simultánea de ambas tecnologías, además se necesita tener
40.000 k de velocidad.
Confidencialidad, Integridad y Autenticación
Uno de los problemas a los cuales se enfrenta actualmente la tecnología Wi-Fi es la progresiva
saturación del espectro radioeléctrico, debido a la masificación de usuarios, esto afecta
especialmente en las conexiones de larga distancia (mayor de 100 metros). En realidad Wi-Fi está
diseñado para conectar host a la red a distancias reducidas, cualquier uso de mayor alcance estáexpuesto a un excesivo riesgo de interferencias.
Un muy elevado porcentaje de redes son instalados sin tener en consideración la seguridad
convirtiendo así sus redes en redes abiertas (o completamente vulnerables a los crackers), sin
proteger la información que por ellas circulan.
Existen varias alternativas para garantizar la seguridad de estas redes. Las más comunes son la
utilización de protocolos de cifrado de datos para los estándares Wi-Fi como el WEP, el WPA, o el
WPA2 que se encargan de codificar la información transmitida para proteger su confidencialidad,
proporcionados por los propios dispositivos inalámbricos. La mayoría de las formas son las
siguientes:
WEP, cifra los datos en su red de forma que sólo el destinatario deseado pueda acceder a ellos.
Los cifrados de 64 y 128 bits son dos niveles de seguridad WEP. WEP codifica los datos mediante
una “clave” de cifrado antes de enviarlo al aire. Este tipo de cifrado no está muy recomendado,
debido a las grandes vulnerabilidades que presenta, ya que cualquier cracker puede conseguir
sacar la clave.
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
8/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 7
WPA: presenta mejoras como generación dinámica de la clave de acceso. Las claves se insertan
como de dígitos alfanuméricos, sin restricción de longitud.
IPSEC (túneles IP) en el caso de las VPN y el conjunto de estándares IEEE 802.1X, que permite la
autenticación y autorización de usuarios.
Filtrado de MAC, de manera que sólo se permite acceso a la red a aquellos dispositivos
autorizados. Es lo más recomendable si solo se va a usar con los mismos equipos, y si son pocos.
Ocultación del punto de acceso: se puede ocultar el punto de acceso (Enrutador) de manera que
sea invisible a otros usuarios.
El protocolo de seguridad llamado WPA2 (estándar 802.11i), que es una mejora relativa a WPA. En
principio es el protocolo de seguridad más seguro para Wi-Fi en este momento. Sin embargo
requieren hardware y software compatibles, ya que los antiguos no lo son.
Sin embargo, no existe ninguna alternativa totalmente fiable, ya que todas ellas son susceptibles
de ser vulneradas.
Confidencialidad, a veces denominada privacidad, es el término utilizado para describir que los
datos están protegidos contra la intercepción de personas no autorizadas. Integridad significa que
esos datos no han sido modificados en tránsito. Autenticación es el proceso mediante el cual se
asegura la identidad del origen de los datos. La autorización y control de acceso, que gestionan el
acceso a los recursos y las operaciones permitidas por parte de los usuarios autenticados, se
implementan montados encima de la autenticación.
Ambos, privacidad e integridad, dependen de las claves de cifrado compartidas (sharedcryptographic keying). Por lo tanto el servicio de confidencialidad depende necesariamente de
otros servicios para proveer de autenticación y administración de claves.
Se aprecian a continuación los diferentes bloques que entran en el juego del servicio de
confidencialidad.
Administración de claves y autenticación (AKM): La integridad del cifrado no tiene valor
alguno si no evita que los usuarios no autorizados tengan acceso a la red. El servicio de
confidencialidad depende de la administración de claves y de la autenticación. Su función
consiste en establecer la identidad de cada usuario y las claves de cifrado. La
autenticación puede ser llevada a cabo por un protocolo externo, por ejemplo, 802.1X[IEEE8021X] o claves pre-compartidas ( pre-shared keys, PSK).
Algoritmos de Cifrado: La protección de los paquetes puede ser realizada por el algoritmo
WEP, utilizando claves de 40 o 104 bits, por el Protocolo de Integridad de Claves
Temporales o Temporal Key Integrity Protocol ( TKIP), o por el Protocolo CBC-MAC Modo
Contador o Counter Mode CBC-MAC Protocol (CCMP).
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
9/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 8
Autenticidad del Origen: A fin de evitar ataques de suplantación de identidad , TKIP y
CCMP permiten al receptor validar la dirección MAC del origen. Dicha protección sólo es
factible para datos tipo Unicast 1.
Detección de Repetición: Tanto TKIP como CCMP, protegen contra los ataques de
repetición incorporando un contador de secuencia que se valida una vez que se ha
recibido el paquete. Los paquetes que son demasiado “viejos” para ser validados se
descartarán.
Sistemas y Protocolos Externos: El servicio de confidencialidad tiene una fuerte
dependencia de protocolos externos para cumplir su objetivo. La administración de claves
es proporcionada por el protocolo 802.1X que, junto con el protocolo EAP, transporta los
datos de autenticación. Si bien 802.11 no posee restricciones en los protocolos que
pueden utilizarse, las elecciones más comunes en las implementaciones son los
protocolos EAP para la autenticación y RADIUS para comunicarse con el servidor deautenticación.
Ahora se describirá el funcionamiento de las distintas implementaciones del Servicio de
Confidencialidad sobre redes 802.11.
WEP (WIRED EQUIVALENT PRIVACY)
WEP fue inicialmente el servicio de confidencialidad de la especificación 802.11 original. Utiliza unconjunto preestablecido de claves (PSK ) para cifrar cada paquete 802.11 con el algoritmo para
flujo de datos (streams cipher) RC4.
En líneas generales WEP requiere de los siguientes datos de entrada para realizar el cifrado:
Los datos que el paquete deberá transportar como carga o payload. Estos son provistos
por la capa superior del stack de protocolos.
Una clave secreta, utilizada para cifrar el paquete. Dependiendo de la implementación, las
claves pueden ser especificadas como una cadena de bits o por el número de clave, ya
que WEP permite almacenar cuatro claves de forma simultánea.
Un Vector de Inicialización (IV), utilizado junto con la clave secreta en la transmisión del
paquete.
1Unicast , forma de transmitir en la cual el paquete enviado sólo tiene un destinatario.
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
10/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 9
Luego de realizar el proceso de cifrado, WEP ofrece como resultado:
Un paquete cifrado, listo para transmitir sobre redes no confiables, con suficiente información en
la cabecera para permitir su descifrado en el receptor del paquete.
Como se ve en la Ilustración v-2, el driver y la interfaz de hardware son responsables de procesarlos datos y de enviar el paquete cifrado utilizando la siguiente secuencia:
1. El paquete 802.11 entra en la cola de transmisión. Este paquete consiste en una cabecera y en
el payload. WEP protege solamente el payload y deja la cabecera intacta.
Ilustración v-2 Operaciones que lleva a cabo WEP
2. Se calcula un Valor de Chequeo de Integridad (ICV) sobre el payload original. EL Chequeo de
Secuencia del Paquete (FCS) no ha sido calculado en este punto, por lo que no se incluye en el
cálculo del ICV. El ICV es un CRC 2, y por lo tanto es predecible y criptográficamente inseguro para
chequeos de integridad.
3. La Clave de Cifrado del Paquete (FEK) o WEP seed se ensambla en este punto, esta consta de
dos partes: la clave secreta y el vector de inicialización (IV). Los stream ciphers producen el mismo
flujo de salida para la misma clave, por lo que el IV se utiliza para producir flujos de salida
distintos para cada paquete transmitido y se coloca como prefijo de la clave secreta. El estándar
802.11 no establece ninguna restricción para el algoritmo usado para elegir los IV. Algunas
implementaciones asignan los IV de forma secuencial, otras lo asignan a través de un algoritmo
2Cyclic Redundancy Check, Chequeo de Redundancia Cíclico.
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
11/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 10
pseudoaleatorio. La selección del IV tiene algunas implicaciones de seguridad, ya que una “pobre”
selección en el IV puede comprometer la clave.
4. La Clave de Cifrado del Paquete se usa como clave RC4 para cifrar el payload del paquete
original del paso 1 y el ICV del paso 2. El proceso de cifrado casi siempre es realizado con
hardware especializado para el algoritmo RC4 en la placa inalámbrica.
5. Como último paso, se ensambla el paquete a transmitir formado por el payload cifrado, la
cabecera original, y una cabecera WEP, formada por el IV y número de clave. Una vez ensamblado
el nuevo paquete se calcula el FCS y se realiza la transmisión. El descifrado del paquete se realiza
en orden inverso.
WEP ha demostrado tener graves falencias que lo hacen poco confiable como servicio de
confidencialidad, algunas de estas falencias se describen continuación:
No provee ningún mecanismo para establecer claves sobre un medio inseguro, por lo que
las claves son compartidas por todas las estaciones.
Utiliza un algoritmo de cifrado sincrónico sobre un medio en el que es muy difícil asegurar
la sincronización durante una sesión completa.
Usa una clave por paquete transmitido, concatenado el IV directamente con la PSK para
producir una clave para RC4 para resolver el problema anteriormente planteado. Esto
expone la clave maestra a ataques del tipo FMS (Fluhrer-Mantin-Shamir).
Es muy limitado el espacio de claves debido a que la clave maestra es configurada de
forma manual y es estática, y a que el IV sólo tiene 24 bits de largo. A causa de esto en
una red con tráfico medio se produce repetición de claves cada aproximadamente 5
horas.
La reutilización de claves es altamente probable, debido a que 802.11 especifica que el
recambio del IV es opcional.
El ICV se genera con un algoritmo CRC-32 que es lineal.
El ICV no protege la integridad de la cabecera 802.11, permitiendo ataques de
redirección.
No tiene protección contra ataques de repetición.
No posee soporte para que una estación autentique a la red.
En general la principal deficiencia de WEP, es que su diseño intenta adaptar RC4 a un ambiente
para el cual no fue diseñado.
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
12/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 11
802.11i Y WPA (WIRELESS PROTECTED ACCESS)
Cuando los problemas en la seguridad de WEP fueron expuestos, la IEEE formó un grupo de
tareas: 802.11i con la tarea de mejorar la seguridad en las redes 802.11. Este grupo propuso las
Redes con Seguridad Robusta o Robust Security Network (RSN), esto es una red que implementa
las propuestas de seguridad de 802.11i y permite sólo dispositivos capaces de cumplir con estas
propuestas.
Debido a que la transición a RSN no siempre es factible como un proceso inmediato, 802.11i
permite la implementación de Redes con Seguridad de Transición o Transitional Security Networks
(TSN), que pueden aceptar la existencia de estaciones RSN y WEP en una red 802.11i. Como su
nombre lo indican estas redes deberían moverse finalmente, a un esquema de RSN.
La propuesta de seguridad especificada por el estándar, usa el Estándar Avanzado de Cifrado o
Advanced Encryption Standard (AES) como algoritmo de cifrado. El problema que se plantea es
que AES no es compatible con el hardware existente, debido que requiere de un poderoso
soporte computacional en las placas de red. Ante a la presión que esto generó en los fabricantesde equipos, la Wi-Fi Alliance, entró en el juego.
La Wi-Fi Alliance, está formada por fabricantes de 802.11 y tiene por propósito asegurar la
interoperabilidad entre los equipos de distintas marcas. A fin de mejorar la seguridad en las redes
inalámbricas sin obligar a un cambio en el hardware inalámbrico, esta asociación pidió como
requisito para certificar los productos, que estos adoptaran como estándar el protocolo TKIP.
Estas especificaciones, pre 802.11i, se conocen como Wi-Fi Protected Access (WPA).
WPA es básicamente un subconjunto de las normas 802.11i, que incluye las arquitecturas de
autenticación y administración de claves (802.1X) especificadas en 802.11i, también llamado
WPA2, para evitar confusiones. A diferencia de 802.11i, que utiliza AES para proveerconfidencialidad e integridad, WPA utiliza TKIP y MICHAEL, respectivamente, para realizar estas
funciones.
Uno de los logros de 802.11i en la posibilidad de implementarlo en dos ambientes totalmente
diferentes: una red SOHO3 o una red empresarial. Estos ambientes difieren tanto en los
requerimientos de seguridad, como en las capacidades de la infraestructura que poseen para
poder proveer la seguridad.
Para las redes empresariales, se especifica el uso de IEEE802.1X para intercambio de claves y
autenticación. Esto requiere un servidor de autenticación separado (RADIUS). Para los ambientesSOHO, en los cuales no siempre es posible contar con este tipo de infraestructura, 802.11i
permite el uso de PSK.
3Small Office or Home Office, una oficina pequeña o una oficina hogareña. (PYMES en el caso de Costa Rica)
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
13/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 12
802.1X Y EAP
802.1X [IEEE8021X] está basado en el Protocolo de Autenticación Extensible (EAP) [EAP]. EAP es
una estructura de protocolo. Que, en vez de especificar cómo autenticar a los usuarios, permite a
los diseñadores de protocolos construir sus propios métodos EAP, que son subprotocolos que
ejecutan las transacciones de autenticación. Los métodos EAP pueden tener diferentes objetivos,
y por lo tanto, pueden utilizarse métodos diferentes dependiendo de las necesidades del caso.EAP es una simple encapsulación que puede montarse sobre cualquier capa de enlace, si bien ha
sido montada usualmente sobre vínculos PPP [PPP]4.
Ilustración v-3 Formato genérico de los paquetes EAP.
La Ilustración v-3 muestra los formatos genéricos de los paquetes EAP transportados en vínculos
PPP o en otro tipo de paquete. Cuando se transporta EAP en un vínculo PPP, se utiliza el número
de protocolo 0x C2275. Los campos en cada paquete son los que figuran en la Tabla 1.
4Point to Point Protocol, protocolo punto a punto.5Cada vez que se haga referencia a un número en base hexadecimal se usará el prefijo 0x .
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
14/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 13
Tabla 1 Descripción de los campos del paquete EAP.
Nombre del
Campo
Significado del Campo
Código Este campo tiene una longitud de 1 byte e identifica el tipo de paquete EAP, se
usa para interpretar el campo Datos del paquete.Los valores asignados son: 1 (Solicitud), 2 (Respuesta), 3 (Éxito), 4 (Falla), otro
valor produce que el paquete sea descartado.
Identificador Este campo tiene una longitud de 1 byte y contiene un dato de tipo entero sin
signo. Se usa para realizar las correspondencias entre las peticiones y las
respuestas. Las retransmisiones utilizan el mismo identificador , y las
transmisiones nuevas usan un nuevo identificador.
Longitud Este campo posee una longitud de 2 bytes, y es el número de bytes de longitud
de todo el paquete, incluyendo la cabecera. Si bien en algunos protocolos de
enlace se puede requerir el relleno, EAP asume que cualquier exceso a lalongitud declarada por este campo es relleno y puede ignorarse.
Datos Este campo posee longitud variable, y dependiendo del tipo de paquete, puede
tener una longitud nula. La interpretación de este campo se basa en el valor
del campo Código.
Las operaciones que se llevan a cabo con EAP están compuestas de paquetes con solicitudes y
respuestas, y en estos casos, el valor del campo Código tendrá valores 1 o 2 respectivamente.En esos paquetes el campo Datos se descompone en dos subcampos: Tipo y Datos del
Tipo, como se ve en la Ilustración III.7 y en la Tabla III.5.
Ilustración v-4 Formato de Paquetes EAP: Solicitud y Respuesta.
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
15/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 14
Tabla 2 Descripción de los sub campos
Nombre del Subcampo Significado del Subcampo
Tipo Este campo tiene una longitud de 1 byte que indica el tipo de
solicitud o respuesta. Sólo un valor de tipo se usa en cadapaquete, y el tipo de una respuesta es el mismo que el de una
solicitud, a excepción del caso en que una solicitud es inaceptable
y la respuesta puede tener valor 3 (NAK) para sugerir otro tipo
alternativo. Los valores superiores a 3 indican métodos de
autenticación.
Datos del Tipo Este campo tiene longitud variable y debe ser interpretado de
acuerdo a las reglas para cada valor de tipo.
Dentro de los intercambios Solicitud/Respuesta, el campo Tipo define la estructura que tendrá un
paquete EAP. Los primeros tres valores definidos para este campo se consideran códigos de tipos
especiales. El resto de los códigos definidos definen el intercambio de autenticación, es decir,
definen el método EAP que se utilizará en el proceso de autenticación.
Todas las implementaciones de EAP deben soportar los códigos de 1 a 4, y deberían soportar el
código 254. En la Tabla 2 se puede observar un listado de códigos de uso común para el campo
tipo.
Tabla 3 Códigos de tipo de uso común en EAP.
Código Tipo Descripción
1 Identidad Este código se usa para consultar la identidad del par aautenticar. Usualmente el autenticador envía este código en
la solicitud inicial. Se recomienda usar este código con el
propósito de seleccionar el método EAP. Por ello, los
métodos deberían incluir un mecanismo para determinar la
identidad del par y no confiar en la respuesta a este código.
2 Notificación Este código se usa para enviar un mensaje de naturaleza
imperativa al usuario. El par a autenticar, debería mostrar
este mensaje al usuario. No cambia el estado de la
autenticación y no es un indicador de error. Por ejemplo
puede usarse para notificar que una clave está a punto de
expirar o la razón del bloqueo de una cuenta. Comúnmenteno son usados en 802.1X.
3 NAK Este código sólo puede usarse para Respuestas. Se envía en
el caso de que el tipo de autenticación deseada sea
inaceptable. La respuesta contiene uno o más tipos de
autenticación deseados por el par. En caso de que el tipo sea
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
16/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 15
0, se indica que no hay alternativas viables para realizar la
autenticación.
4 Desafío MD5 Autenticación al estilo CHAP, pero con algoritmo
MD5.
5 OTP Está diseñado para brindar soporte a contraseñas de un sólo
uso a sistemas solamente. (RFC2289 y RFC2243).
6 GTC Tarjeta de símbolo genérico. Método originalmente
desarrollado para usar con tarjetas de símbolos como la RSA
SecureID.
13 EAP-TLS Autenticación mutua con certificados digitales. [EAP-
TLS]
18 EAP-SIM Autenticación por teléfono celular a través del módulo deIdentidad del suscriptor (SIM)
21 EAP-TTLS TLS por túnel; protege métodos de autenticación más débiles
con cifrado TLS.
25 PEAP EAP Protegido; protege métodos EAP más débiles con cifrado
TLS.
29 MS-CHAP-V2 Autenticación con contraseña cifrada de Microsoft;
compatible con dominios Windows. Generalmente se usa
como método de autenticación interno a un túnel protegido
por otro método, como TTLS, TLS o PEAP.
254 TiposExpandidos
Este código se usa para permitir a los fabricantes lautilización de sus propios códigos de tipo que no son
adecuados para uso general. También permite expandir los
métodos a más de 255 códigos. Esto se debe a que muchas
de las implementaciones de EAP son específicas de cada
fabricante.
255 Uso
Experimental
Este código no tiene formato o contenido específico y se
debería usar para experimentar nuevos tipos de EAP.
Como resultado de los intercambios EAP, el usuario ha sido autenticado con éxito o ha fallado laautenticación. Una vez que el autenticador determina que el intercambio está completo, envía un
paquete con el código 3 (operación exitosa), o con el código 4 (operación fallida). En ambos casos
la longitud del paquete es de 4 bytes y tiene el formato que ve en la Ilustración v-5.
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
17/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 16
Ilustración v-5 Formato del paquete EAP Éxito Falla.
La capacidad de extender los métodos del protocolo EAP, son los una de las grandes fortalezas de
este protocolo, ya que permite diseñar nuevos métodos para cumplir con nuevas necesidades.
Al seleccionar un método EAP, se deben tener en cuenta las capacidades del sistema que realizará
la autenticación. Si bien los primeros métodos diseñados tenían el foco sobre todo en
proporcionar un canal de comunicaciones para contactar al servidor de autenticación, los
métodos diseñados para autenticar a los usuarios de redes inalámbricas deben, además, cumplir
con tres importantes objetivos, como se expresa en la Tabla 4.
Tabla 4 Objetivos de los métodos de autenticación en redes inalámbricas.
Objetivos Descripción
Protección de Cifrado
Fuerte de las
Credenciales de
Usuario
Por definición, las redes inalámbricas deberían considerarse redes
abiertas. El tráfico de datos sobre estas redes debe protegerse
mediante cifrado para poder considerarlas “redes seguras”. La
mayoría de los métodos EAP diseñados para redes inalámbricas usan
TLS para proveer protección de cifrado de las credenciales de usuario.
Autenticación Mutua El primer protocolo 802.11 consideraba autenticación, a la realizada
por el AP para asociar a las estaciones. Debido a la posibilidad de
sufrir un ataque de Falsificación de AP6, adicionalmente a la
autenticación de los usuarios, los mismos deberían tener la capacidad
de autenticar o validar la identidad de la red a la que se conectan.
6 Falsificación de AP: Ataque realizado por un AP externo a la infraestructura propia, que ha
configurado el mismo SSID, para engañar a los usuarios y robar sus identidades cuando
se conectan a él pensando que se conecta a la red propia. También son llamados Rogue
AP.
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
18/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 17
Derivación de Claves Las funciones de derivación de claves, se usan frecuentemente junto
a parámetros no secretos para derivar una o más claves desde un
valor secreto. Esto permite que los protocolos que utilizan cifrado
fuerte, usen claves dinámicas derivadas, que pueden distribuirse sin
distribuir la clave principal.
A continuación se presentan algunos de los métodos EAP que se utilizan comúnmente en
ambientes inalámbricos.
EAP-TLS
EAP-TLS [EAP-TLS] usa Seguridad de la Capa de Transporte o Transport Layer Security (TLS) como
método de cifrado. TLS es considerado el sucesor de SSL7 y fue diseñado para ser usado enlaces
que pueden ser susceptibles de interceptación. TLS provee autenticación mutua a través de
intercambio de certificados digitales. Los clientes deben enviar un certificado digital al servidor
de autenticación para validarse y el servidor de autenticación debe enviar un certificado al cliente.
Validando el certificado enviado por el servidor de autenticación contra una lista de autoridades
de certificación, el cliente asegura que su conexión es a una red autorizada por la autoridad
certificante y viceversa.
El método EAP-TLS, fue el primer método de autenticación que cumplió con los tres objetivos
mencionados anteriormente en la Tabla 4. La autenticación mutua evita los ataques de falsificación de AP y TLS usa una clave maestra que puede ser utilizada para derivar claves que
usan los protocolos de seguridad de capa de enlace.
EAP-TLS no ha sido utilizado en forma masiva debido a la gran complicación que significa el
montar una Infraestructura de Claves Públicas (PKI), para las organizaciones que no la poseen.
Esto obliga a la generación y distribución de certificados a todos los usuarios, es por ello que
muchas organizaciones utilizan métodos alternativos.
La mayoría de las organizaciones prefiere utilizar sistemas de autenticación existentes, por
ejemplo directorios LDAP, Active Directory , Dominios Windows. De esta forma se evita crear un
sistema de autenticación paralelo.
7Secure Socket Layer, Capa de “Conexión” Segura.
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
19/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 18
EAP-TTLS Y EAP-PEAP
Tanto EAP-TTLS [EAP-TTLS] como EAP-PEAP [PEAP], usan certificados digitales para autenticar la
red8 hacia al cliente; pero, a diferencia de EAP-TLS, no usan certificados para autenticar al cliente
hacia la red. En lugar de certificados digitales, los clientes se autentican al servidor con métodos
basados en contraseñas. Esto permite utilizar sistemas de autenticación existentes en la
organización y reduce notablemente la cantidad de certificados que se necesita emitir.
Ambos métodos trabajan de forma similar. Primero establecen un túnel TLS entre el cliente y el
servidor de forma similar a EAP-TLS. Para ello utilizan el certificado digital que autentica al
servidor, antes de proceder a la segunda fase.
Una vez completada satisfactoriamente la primera fase, usan el túnel TLS como canal de
comunicaciones cifrado para realizar el proceso de autenticación del usuario con un método de
autenticación basado en contraseñas. Frecuentemente se llama autenticación externa a la
primera fase y autenticación interna a la segunda fase.
La diferencia entre EAP-TTLS y EAP-PEAP es la forma en que se realiza el proceso de autenticacióninterna. EAP-TTLS usa el túnel para intercambiar pares de atributo-valor, mientras que EAP-PEAP
utiliza el túnel para iniciar otra sesión EAP. EAP-TTLS es más flexible porque al usar pares atributo-
valor puede ejecutar métodos de autenticación que no están implementados con EAP.
Una de las ventajas de utilizar EAP-TTLS o EAP-PEAP es que las autenticaciones internas y externas
pueden usar diferentes nombres de usuario. Esto evita revelar el nombre de usuario en los
paquetes enviados sin cifrado si se utiliza un nombre de usuario anónimo para el proceso de
autenticación externa. No todos los clientes de software soportan este comportamiento.
FUNCIONAMIENTO DE 802.1X
802.1X provee un paquete para realizar autenticación de usuarios sobre cualquier tipo de LAN.
Controla el acceso a la red basándose en habilitar y deshabilitar un puerto físico de red9, este tipo
de autenticación se denomina port based . Define tres componentes, el supplicant , el
autenticador y el servidor de autenticación, como se observa en la Ilustración v-6.
8La red o el servidor en este contexto se consideran sinónimos.9Típicamente se refiere a un puerto de un switch.
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
20/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 19
Ilustración v-6 Componentes de 802.1X
El supplicant y el autenticador se consideran Entidades de Autenticación por Puerto (PAEs) dentro
de la especificación. 802.1X evita el acceso a la red solicitando al usuario iniciar el proceso de
autenticación antes de permitir paso de tráfico de datos. Los puertos no autorizados están
restringidos a enviar sólo paquetes de autenticación EAPOL (EAP over LAN).
Se considera “puerto” 802.1X en redes inalámbricas a la asociación entre un dispositivo
inalámbrico y el AP. Una vez que se completa el proceso de asociación, se reporta a la máquina
de estados de 802.1X y la estación puede iniciar el proceso de autenticación. Una vez que este
proceso se lleva a cabo de forma exitosa, incluido el intercambio de claves, la estación puede
iniciar el tráfico de datos.
La principal diferencia de un intercambio EAPOL con un intercambio EAP, es que los supplicants
pueden enviar un paquete EAPOL-Start para disparar el proceso de intercambio y pueden enviar
un paquete EAPOLLogoff para desautorizar un puerto.
En la Ilustración v-7 se puede observar el proceso de de un intercambio EAPOL en IEEE802.11. En
el mismo se lleva a cabo una autenticación exitosa a través de los siguientes pasos:
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
21/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 20
1.
El supplicant se asocia a la red 802.11, este proceso es un simple intercambio de dos
paquetes.
2.
El supplicant inicia el intercambio 802.1X con un mensaje EAPOL-Start . Este paso es
opcional.
3. Se inicia un intercambio EAP. El Autenticador envía un mensaje EAP-Request/Identity . Este
mensaje se puede enviar sin necesidad de recibir primero un mensaje EAPOL-Start si el AP
sólo permite reenvío de paquetes autenticados.
4.
El supplicant responde con un mensaje EAP-Response/Identity, que el Autenticador
reenvía al servidor RADIUS como solicitud de acceso.
Ilustración v-7 Intercambio 802.1X en 802.11. Proceso de Autenticación.
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
22/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 21
5.
El servidor RADIUS determina el tipo de autenticación que se requiere y envía un mensaje
EAP-Request para el método requerido. Por ejemplo si el método requerido fuese EAP-
PEAP, el mensaje sería EAP-Request/PEAP. Dicho mensaje se encapsula en un mensaje
RADIUS-Access-Challenge y se envía al AP, que a su vez lo reenvía al supplicant.
6.
El supplicant toma las credenciales suministradas por el usuario y devuelve un mensajeEAP-Response. El Autenticador traduce esta respuesta en un mensaje RADIUS-Access-
Request con la respuesta al desafío del paso 5 en el campo de datos. Los pasos 5 y 6
pueden repetirse tantas veces como sea necesario para completar el proceso de
autenticación. Si el método EAP utiliza intercambio de certificados es posible que se
repitan entre 10 y 20 veces.
7.
El Servidor de Autenticación concede acceso con un mensaje RADIUS-Access-Accept , que
el Autenticador traduce como mensaje EAP-Success. En este punto del proceso, el
Autenticador autoriza el “puerto”.
8.
Inmediatamente después de recibir el mensaje RADIUSAccess-Accept el AP distribuye las
claves al supplicant utilizando mensajes EAPOL-Key.
9.
El supplicant instala las claves y comienza a enviar paquetes de datos a la red. Es en esta
etapa donde se lleva a cabo la configuración DHCP.
10.
Cuando el supplicant finaliza el acceso a la red, envía un mensaje EAP-Logoff y el
Autenticador cambia el estado del puerto a no-autorizado.
Para evitar el compromiso de las claves, los paquetes de intercambio de las mismas se envían sólo
si el proceso de autenticación tiene éxito. Los mensajes EAPOL-Key se utilizan para actualizar lasclaves de forma periódica.
CONFIDENCIALIDAD E INTEGRIDAD EN 802.11I
La mayor diferencia entre WPA y 802.11i (WPA2) es que mientras WPA2 utiliza AES para proveer
confidencialidad e integridad, WPA utiliza TKIP y MICHAEL respectivamente.
WPA extiende los dos niveles de jerarquía de las claves utilizadas por WEP. En efecto , WEP utiliza
una clave maestra (MK ) para autenticación y para calcular las claves de cada paquete, al
concatenar la MK con el vector de inicialización (IV).
802.11i utiliza la MK, también denominada Pair-wise Master Key (PMK), proporcionada por el
proceso de autenticación realizado por 802.1X o por la configuración manual de una Preshared
Secret Key (PSK). A partir de la PMK , se derivan un grupo de claves transitorias o de sesión,
denominadas Pair-wise Transient Keys (PTK) y a partir de las PTK, a través de una función de
mezcla de claves, se generan las claves para cada paquete.
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
23/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 22
Además, se utiliza un grupo de claves diferentes para las comunicaciones tipo broadcast y
multicast . El autenticador mantiene una Group Master Key (GMK) para derivar las claces
transitorias de grupo o Group Transient Keys (GTK). No se puede derivar GMK a partir de las claves
que utiliza cada estación para el tráfico unicast. Las jerarquías de claves se pueden apreciar en las
Ilustraciones v-8 v-9.
Ilustración v-8 Jerarquía de claves 802.11i comparada con WEP.
El algoritmo Pseudo-aleatorio (PRF) que se utiliza para realizar la derivación de las claves
transitorias desde la PMK necesita de cuatro argumentos, las direcciones MAC tanto de la
estación, como del autenticador y dos valores denominados SNonce y ANonce, uno suministrado
por la estación y otro suministrado por el autenticador. Nonce, es un acrónimo de Number-Once
(Número una vez), es un valor arbitrario que no puede repetirse nunca, y permite diferenciar dos
sesiones diferentes.
Como la PMK y los argumentos necesarios del PRF son compartidos por la estación y el AP, ambos
realizar la derivación de claves y obtener la PTK .
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
24/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 23
Ilustración v-9 Jerarquía de claves de grupo de 802.11i.
El proceso de TKIP y MICHAEL para derivar las claves de cifrado de cada paquete se puede
observar en la Ilustración v-9. Los detalles importantes de este proceso son:
Se utiliza un contador de secuencia o IV de 48 bits.
El tamaño de la clave de cifrado es de 104 bits para mantener compatibilidad con el
hardware con soporte WEP.
Para disminuir la carga de proceso en la placa de red, se divide el proceso de generación
de claves en dos fases. La primera fase requiere de mayor potencia de cálculo que la
segunda.
Al involucrar los 32 bits de mayor orden del contador de secuencia, la primera fase sólo
debe ejecutarse cuando cambian estos bits, cada 65.536 paquetes.
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
25/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 24
Ilustración v-10 Proceso de cifrado de cada paquete en WAP
5. La función de mezcla de claves hace muy difícil para quien intercepta el tráfico encontrar un
correlato entre el número de secuencia y la clave de cada paquete.
El proceso de chequeo de integridad del mensaje (MIC) en general utiliza cálculos intensivos que
requieren el uso de hardware acorde (por ejemplo MD5 o SHA-1). La solución de compromiso
que se usa en WPA, debido a la restricción de cálculo que existe en el hardware, es MICHAEL, un
nuevo protocolo MIC , que utiliza operaciones de desplazamiento y suma.
MICHAEL es una mejora sobre el algoritmo lineal CRC32 que utiliza WEP. Y como es una solución
de compromiso, TKIP implementa contramedidas en caso de que MICHAEL sea comprometido,
por ejemplo, si TKIP detecta dos paquetes en que el MIC calculado no coincide con el MIC del
paquete en el lapso de un segundo, infiere que la estación está bajo un ataque y borra sus claves,
desasocia la estación y espera un minuto para volver a asociarla nuevamente.
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
26/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 25
802.11i (WPA2) aborda el servicio de confidencialidad e implementa un algoritmo para cifrado por
bloques en lugar de un algoritmo de cifrado de streams. Para reemplazar a RC4 utiliza AES en
modo contador, combinando la seguridad de un algoritmo de cifrado de bloques con la facilidad
de uso de un algoritmo de cifrado de streams.
Para proveer el servicio de integridad se utiliza CCMP (Counter-mode CBC-MAC Protocol). Esteopera realizando XOR de un bloque en “texto plano” con el bloque previo que usa el algoritmo de
cifrado antes de que el mismo sea cifrado. El proceso se puede observar en la Ilustración v-11.
Ilustración v-11 Proceso de cifrado de cada paquete en 802.11i.
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
27/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 26
En la Tabla 5 se puede apreciar la comparación de WPA, WPA2 y WEP. Esta comparación tiene el
foco en las debilidades de los servicios de confidencialidad e integridad de WEP listados en la
página 30.
Tabla 5 Comparación entre las falencias de WEP y las soluciones de WPA/WPA2.
WEP WPA WPA2
No provee mecanismos para
establecimiento de claves sobre
medios inseguros. Las claves son
compartidas en todo el BSS y
frecuentemente en el ESS.
Recomienda el uso de
802.1X para autenticación
y establecimiento de
claves. También puede
utilizar preshared keys
como WEP.
Idem WPA.
Utiliza un algoritmo de cifrado
sincrónico para streams, sobre un
medio en el que es muy difícil
asegurar la sincronización sobre una
sesión completa.
Idem WEP. Utiliza un algoritmo fuerte
de cifrado por bloques
( AES).
Utiliza una clave por paquete que se
construye concatenando la MK con el
IV directamente. Esto expone la MK a
ataques del tipo FMS.
Incorpora el concepto de
PTK en la jerarquía de
claves y utiliza una
función de mezcla de
claves, en vez de la
concatenación directa
para generar las claves
por paquete. Reduce laexposición de la MK.
Idem WPA.
Espacio de claves limitado debido a la
MK configurada manualmente y al IV
de 24 bits.
Aumenta el tamaño del IV
a 56 bits, usando sólo 48
bits y reservando 8 bits
para descartar claves
débiles. Regenera las PTK
en cada nueva sesión,
aumentando el espacio de
claves
Idem WPA.
El recambio de IV es opcional, por lo
que la reutilización de claves es
altamente probable.
Explícitamente especifica
que se debe inicializar el
IV a 0 cada vez que se
establece una nueva PTK.
Idem WPA.
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
28/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 27
El algoritmo de MIC usado es CRC32.
Es lineal y provee una protección de
integridad muy débil.
Utiliza MICHAEL como
algoritmo de MIC , que no
es lineal y también
especifica contramedidas
de protección en caso de
que el mismo sea
comprometido.
Provee una fuerte
protección de integridad
al utilizar CCMP, basado
en AES.
El ICV no protege la cabecera del
paquete, por lo que existe el peligro
de un ataque de redirección.
Extiende la protección del
ICV para incluir las
direcciones de origen y
destino. Protege de esta
forma contra los ataques
de redirección.
Idem WPA.
No tiene protección contra los
ataques de repetición.
Utiliza IV como número de
secuencia para proteger
contra los ataques derepetición.
Idem WPA.
No tiene soporte para que las
estaciones autentiquen a la red.
No provee de forma
explícita una solución a
este problema, pero, al
recomendar el uso de
802.1X, puede utilizarse el
mismo para que las
estaciones autentiquen a
la red (EAP-TLS,EAP-TTLS y
EAP-PEAP).
Idem WPA.
PPPOE
PPP over Ethernet (PPPoE) [PPPoE] brinda la posibilidad de encapsular una sesión PPP [PPP] en
paquetes Ethernet . El protocolo PPP requiere de una conexión punto a punto entre el
concentrador de acceso ( AC ) y el cliente, por lo tanto no se ha diseñado para las comunicaciones
tipo multipunto que existen en una red Ethernet.
El principal uso de PPPoE son las tecnologías de acceso remoto a través de banda ancha, donde
brinda la capacidad de conectar un cliente a un AC a través de un dispositivo de bridging.
El protocolo hereda de PPP la posibilidad de mantener estadísticas de tráfico, efectuar controles
de integridad de los datos del paquete, asignar direcciones de red y, al ser un protocolo de capade enlace, puede transportar cualquier protocolo.
Ilustración v-12 Paquete PPPoE.
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
29/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 28
El principal problema que plantea la implementación de PPPoE está relacionado con el tamaño
máximo de la MTU10, el cual es inferior al de un paquete Ethernet debido a la encapsulación. Esto
causa la fragmentación del paquete con la consecuente reducción del rendimiento.
En la se puede apreciar la disposición de los campos de un paquete PPPoE y en la Tabla 6 el
significado de los mismos.
Tabla 6 Significado de los campos del paquete PPPoE.
Campo Significado
Versión Este valor tiene 4 bits de longitud y debe ser 0x1 para la
versión especificada en la RFC2516.
Tipo Este valor tiene 4 bits de longitud y debe ser 0x1 para la
versión especificada en la RFC2516.
Código Este valor se usa para especificar la fase del estado de
descubrimiento y de sesión PPP.
ID_Sesión El valor es 0x0000 durante las fase de descubrimiento para
paquetes de tipo Discovery (excepto para paquetes PADT y
PADS), y una vez establecida la sesión PPP, se usa para
identificar la conexión junto con las direcciones de origen y
destino. El valor 0xFFFF se ha reservado para uso futuro y no
debe utilizarse.
Longitud Este valor indica la longitud de la carga del paquete PPPoE , no
incluye las cabeceras Ethernet o PPPoE .
Datos El campo Datos contiene las cabeceras del protocolo PPP y
los datos a transmitir.
10 MTU, Maximum Transmition Unit. Unidad máxima de transmisión que especifica el máximo
tamaño de paquete que se puede transmitir.
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
30/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 29
El proceso de Discovery o Descubrimiento que se lleva a cabo al iniciar una sesión PPPoE consta de
4 fases diferentes. Durante este proceso el campo Type del paquete Ethernet tiene el valor
0x8863. La síntesis del proceso se puede observar en la Tabla 7.
Tabla 7 Fases de Descubrimiento de PPPoE.
Fase Sentido Tipo de Paquete
Fase 1 Cliente --> Servidor PADI: PPPoE Active Discovery Initiation
Valor campo Código: 0x09
Valor campo ID_Sesion: 0x0000
Fase 2 Cliente Servidor PADR: PPPoE Active Discovery Request
Valor Campo Código: 0x19
Valor campo ID_Sesion: 0x0000
Fase 4 Cliente
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
31/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 30
vi. DesarrolloUna vez entendidos los conceptos de arquitectura para implementación de redes inalámbricas,
procedemos a la creación de una infraestructura basada en 802.1X para la conectividad de
usuarios móviles a la red.
DispositivosExisten varios dispositivos que permiten interconectar elementos Wi-Fi, de forma que puedan
interactuar entre sí. Entre ellos destacan los enrutadores, puntos de acceso, para la emisión de la
señal Wi-Fi y las tarjetas receptoras para conectar a la computadora personal, ya sean internas
(tarjetas PCI) o bien USB.
Los puntos de acceso funcionan a modo de emisor remoto, es decir, en lugares donde la señal Wi-
Fi del enrutador no tenga suficiente radio se colocan estos dispositivos, que reciben la señal bien
por un cable UTP que se lleve hasta él o bien que capturan la señal débil y la amplifican (aunque
para este último caso existen equipos especializados que ofrecen un mayor rendimiento).
Los enrutador son los que reciben la señal de la línea ofrecida por el proveedor de servicios de
internet (ISP en inglés). Se encargan de todos los problemas inherentes a la recepción de la señal,
incluidos el control de errores y extracción de la información, para que los diferentes niveles de
red puedan trabajar. Además, el enrutador efectúa el reparto de la señal, de forma muy eficiente.
Además de enrutadores, hay otros dispositivos que pueden encargarse de la distribución de la
señal, aunque no pueden encargarse de las tareas de recepción, como pueden ser switches
(conmutadores).
Los dispositivos utilizados en este proyecto son:
Ethernet Switch Juniper EX2200-C
Controlador Wireless Juniper WLC2
Access Point WLA322-WW
Servidor Microsoft Windows 2008 R2
Equipos cliente (Windows, iOS, Android)
Ilustración vi-1 Juniper Switch EX2200-C PoE+
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
32/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 31
Ilustración vi-2 Juniper Wireless Controller WLC2
Ilustración vi-3 Juniper AP WLA332
Prototipo del ProyectoPara el desarrollo de este proyecto se analizara cada uno de los elementos y configuraciones de la
red para poder para explicar el adecuado funcionamiento, a continuación se presenta el diagrama
del prototipo inicial con sus respectivas etapas:
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
33/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 32
Ilustración vi-4 Diagrama del Proyecto
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
34/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 33
La Ilustración vi-1 muestra la una red LAN con servicios básicos como acceso a Internet con un
Enrutador, protección con Firewall, un Switch de comunicación, servicios como File Server, una
controladora Wireless, puntos de acceso y equipos clientes inalámbricos, nos enfocaremos en la
manera en que los clientes inalámbricos accederán a los servicios en la red, para ellos
habilitaremos los protocolos de seguridad basados en el estándar 802.1X.
El prototipo del proyecto consiste en 4 etapas principales de configuración:
1.
Preparación de software de Virtualización VMWare Workstation 10.0.1
a.
Instalación de software en Host
b. Configuración para instalación de Servidor Virtual
2.
Preparación de servidor Windows Server 2008R2
a.
Instalación de Sistema Operativo
b.
Configuración de servicio de Active Directory
c.
Configuración de servicio DNS
d.
Configuración de servicio de Certificados de Active Directorye.
Configuración de servicio DHCP
f.
Configuración de servicio de Acceso y Directiva de Redes
3. Preparación de controlador Juniper WLC2
a.
Instalación básica
b.
Conexión con Punto de acceso WLC332-WW
c.
Configuración de servicios de red inalámbrica
d.
Configuración de 802.1X y RADIUS
4.
Preparación y pruebas con Equipos Cliente
a.
Conectividad con Microsoft Windows y otros dispositivos
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
35/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 34
Etapas de ConfiguraciónA continuación se analizará e ilustrara cada una de las etapas de configuración que componen la
solución, las mismas están en un orden lógico de programación para ir añadiendo al sistema los
componentes que interactúan en la solución, y se hará en manera de manual de instalación con
los pasos a seguir para habilitar los servicios requeridos para la correcta utilización de losprotocolos 802.1X en redes inalámbricas:
1.
Preparación de software de Virtualización VMWare Workstation 10.0.1
a.
Instalación de software en Host
i.
Para este paso solamente debemos ejecutar el VMware-workstation-full-
10.0.1 y seguir los pasos de instalación que incluyen la ruta donde se
almacenaran las máquinas virtuales y el archivo de licencia requerido.
b.
Configuración para instalación de Servidor Virtual
i.
El primer paso es la creación del nuevo servidor virtual, utilizaremos la
instalación típica.
Ilustración vi-5 Instalación VMWare
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
36/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 35
ii.
Seleccionaremos la opción de instalar desde imagen ISO de Windows
Server 2008 R2 con todos los archivos necesarios para la configuración.
Ilustración vi-6 Selección de Ruta de S.O.
iii.
Ingresamos la clave de producto de Windows 2008 R2 y un nombre de
usuario y password, el software de VMWare permite crear una instalación
pre configurada desatendida, esto quiere decir que no necesitamos más
intervención del usuario para completar la instalación del sistema
operativo.
Ilustración vi-7 Información de Licencia de S.O.
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
37/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 36
iv.
Ingresamos el nombre de la máquina virtual y la ubicación donde se
almacenara en el Host.
Ilustración vi-8 Nombre de Máquina Virtual y Ruta
v.
Seleccionamos el tamaño del disco duro virtual, lo dejaremos en 40 GB
que es lo que por defecto define VMWare.
Ilustración vi-9 Selección de Capacidad de Disco
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
38/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 37
vi.
La siguiente pantalla muestra un resumen de la configuración como punto
importante está en el adaptador de Red, el cual puede ser seleccionado en
modo NAT o modo Bridge, NAT (Network Address Translation) crea una
red con un direccionamiento diferente entre la tarjeta de red virtual y la
real del host, Bridge permite que la tarjeta de red del equipo virtual y el
equipo Host posean el mismo direccionamiento IP, es una manera de
exteriorizar la máquina virtual, esto nos da la posibilidad de interactuar
con elementos físicos como el controlador o el switch.
Ilustración vi-10 Resumen de la configuración del VM
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
39/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 38
vii.
Una vez terminada la instalación del servidor Windows 2008 R2 ya
podemos comenzar con la configuración de todos los servicios de
autenticación necesarios para habilitar redes inalámbricas seguras.
Ilustración vi-11 Pantalla de Inicio de Máquina Virtual
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
40/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 39
2.
Preparación de servidor Windows Server 2008 R2
a.
Instalación de Sistema Operativo
i. Instalación: Una vez configurado el VMWare, se procede a la instalación
del sistema operativo desde la imagen ISO copiada en el host.
Ilustración vi-12 Instalación inicial de Windows 2008 Server R2
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
41/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 40
ii.
Instalación de VMWare Tools: Esta herramienta provee mejores
capacidades de rendimiento en el equipo virtual y la interacción entre el
equipo Host (Maquina Real que tiene VMWare instalado) y el Guest
(Maquina Virtual).
Ilustración vi-13 Instalación de VMWare Tools
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
42/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 41
iii.
Cambio de nombre del servidor virtual: Para control y ubicación en el
directorio y posterior creación de certificados, después de este paso es
necesario el reinicio de la maquina virtual.
Ilustración vi-14 Cambio de Nombre de Servidor
b.
Instalación de servicios de directorio activo: Ejecutamos el comando dcpromo.exe
desde el meno ejecutar de Windows para empezar con la instalación.
Ilustración vi-15 Comando dcpromo.exe
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
43/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 42
i.
La Ilustracion vi-16 muestra el asistente para la instalación de servicios de
dominio de Active Directory, (Active Directory es el término que usa
Microsoft para referirse a su implementación de servicio de directorio en
una red distribuida de computadores. Utiliza distintos protocolos
(principalmente LDAP, DNS, DHCP, Kerberos). Usamos instalación en
modo básico, y damos clic en siguiente.
Ilustración vi-16 Inicio de Asistente de Directorio Activo
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
44/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 43
ii.
La ilustración vi-17 muestra un mensaje donde informa sobre las mejoras
de 2008 R2 y su afectación a versiones anteriores de Windows, daremos
clic en siguiente para continuar con el asistente de instalación.
Ilustración vi-17 Compatibilidad de Sistema Operativo en AD
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
45/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 44
iii.
Seleccionamos crear un Dominio nuevo en un Bosque Nuevo.
Ilustración vi-18 Configuración de Implementación del Bosque de Directorio Activo
iv.
Seleccionamos el nombre del dominio, para nuestro ejemplo será
ulatina.inalambricos.com
Ilustración vi-19 Nombre de Dominio Completo FQDN
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
46/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 45
v.
Seleccionamos compatibilidad con 2008 R2, ya que utilizaremos equipos
basados en Windows 7 y Windows 8 que no se ven afectados.
Ilustración vi-20 Nivel Funcional del Bosque de Directorio Activo
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
47/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 46
vi.
Seleccionamos la opción de servidor DNS que permite la resolución de
nombres a nivel interno de la red.
Ilustración vi-21 Instalación de DNS de Windows
vii. Ingresamos la contraseña de restauración de administrador.
Ilustración vi-22 Contraseña de Restauración de Directorio Activo
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
48/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 47
viii.
Con esto finalizamos la instalación de servicios de dominio de Active
Directory de Windows, después de este paso debemos reiniciar el equipo
e iniciar con la cuenta de administrador.
Ilustración vi-23 Finalización de Asistente para Instalación de AD
c.
Instalación de Servicios de DNS, este paso fue realizado durante la instalación de
servicios de AD, ya que lo pide como requisito.
Ilustración vi-24 Instalacion de DNS
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
49/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 48
d.
Instalación de servicio de Certificados de Active Directory: Este paso es esencial
para los protocolos de seguridad que utilizaremos en la conectividad de los
clientes inalámbricos, para habilitar PEAP o EAP-TLS tendremos que instalar los
Servicios de certificados para permitir que una autoridad de certificación (CA) para
generar y firmar certificados para nuestro dominio. Seleccionamos "Servicios de
Certificado de Active Directory" y haga clic en "Siguiente".
Ilustración vi-25 Instalacion de Certificador de Active Directory
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
50/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 49
i.
Haremos clic a través de la pantalla de confirmación y seleccione "Entidad
de Certificación" y "Inscripción Web de entidad de Certificación" que le
dirá que usted necesita IIS (Internet Information Services) para ser
instalado para utilizar el " Inscripción Web de entidad de Certificación".
Haga clic en "Agregar servicios de función requeridos" y haga clic en
"Siguiente" para continuar.
Ilustración vi-26 Servicios de Rol para Certificados de AD
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
51/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 50
ii.
Cuando se le indique para qué tipo de entidad emisora de certificados
para instalar, seleccione "Empresa".
Ilustración vi-27 Tipo de Instalación de Certificados
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
52/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 51
iii.
Cuando se le pida Tipo CA, seleccione "CA Raíz" y haga clic en "Siguiente".
En nuestro proyecto el servidor virtual será la única autoridad de
certificados disponible en la red y quien emitirá su propio certificado
autofirmado, también generara los certificados para el autenticador y el
suplicante.
Ilustración vi-28 Tipo de Certificado
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
53/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 52
iv.
Cuando se le solicite configurar la clave privada, seleccione "Crear una
nueva clave privada (PKI)" y haga clic en "Siguiente".
Ilustración vi-29 Creación de nueva clave privada para certificados
v.
Cuando se le solicite configurar criptografía para CA, acepte los valores
predeterminados y haga clic en "Siguiente" para el resto de las pantallas
de conformación. Un proveedor de servicios de cifrado (CSP) es un
programa que ofrece servicios de autenticación, codificación y cifrado
para que las aplicaciones basadas en Windows obtengan acceso mediante
la interfaz de programación de aplicaciones criptográficas de Microsoft
(CryptoAPI). Cada proveedor ofrece una implementación distinta de
CryptoAPI. Algunos proporcionan algoritmos de cifrado más seguros,
mientras que otros usan componentes de hardware, como las tarjetasinteligentes. Si genera una solicitud de un certificado nuevo, la
información de dicha solicitud se transfiere primero del programa
solicitante a CryptoAPI. CryptoAPI pasa los datos correspondientes a un
CSP instalado en el equipo o en un dispositivo al que puede obtener
acceso el equipo. Si el CSP se basa en software, genera una clave pública y
una clave privada, a menudo denominadas par de claves, en el equipo.
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
54/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 53
Si el CSP se basa en hardware, como un CSP de tarjeta inteligente, indicará
a un componente de hardware que construya el par de claves. Después de
generar las claves, un CSP de software cifra y, a continuación, asegura la
clave privada. El CSP de tarjeta inteligente almacena la clave privada en
una tarjeta inteligente. A continuación, la tarjeta inteligente controla el
acceso a la clave. La clave pública se envía a la entidad de certificación
(CA), junto con la información del solicitante del certificado. Una vez que
la CA comprueba que la solicitud de certificado cumple las directivas,
usará su propia clave privada para crear una firma digital en el certificado
y, a continuación, lo emitirá para el solicitante. La CA presenta el
certificado al solicitante del certificado junto con la opción para instalarlo
en el almacén de certificados adecuado del equipo o del dispositivo de
hardware. Un algoritmo hash es método para generar claves o llaves que
representen de manera casi unívoca a un documento o conjunto de datos.
Es una operación matemática que se realiza sobre este conjunto de datosde cualquier longitud, y su salida es una huella digital, de tamaño fijo e
independiente de la dimensión del documento original. El contenido es
ilegible.
Ilustración vi-30 Configuración de Criptografía para Certificados
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
55/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 54
e.
Configuración de servicio DHCP: Una vez los clientes puedan autenticarse a la red
los mismos deben obtener una dirección IP, esto lo provee el servicio de DHCP
(Dynamic Host Control Protocol)
i. Seleccionamos el Rol de DHCP que nos permite la asignación direcciones
IP de forma dinámica.
Ilustración vi-31 Instalación de Servicio de DHCP
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
56/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 55
ii.
Para instalar el servicio de DHCP se recomienda que el equipo tenga
configurada una dirección IP estática.
Ilustración vi-32 Selección de IP Estática para DHCP
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
57/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 56
iii.
Seleccionamos el dominio primario donde realizaremos la asignación de
IPs así como la IP del servidor DNS, en este caso que el servidor DNS es el
mismo servidor podemos utilizar la dirección de loopback 127.0.0.1
refiriéndonos al el mismo como servidor de DNS
Ilustración vi-33 Especificación de Servidor DNS para DHCP
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
58/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 57
iv.
Creamos el ámbito de direcciones IP que vamos a asignar a los equipos
cliente.
Ilustración vi-34 Creación de Ámbito de DHCP (Rango de Direcciones)
v.
Con esto terminamos con la instalación del Servicio de DHCP.
Ilustración vi-35 Confirmación de instalación y parámetros para DHCP
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
59/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 58
f.
Configuración de servicio de Acceso y Directiva de Redes: En Windows 2008 Server
ya no se puede simplemente instalar el servicio de autenticación de Internet (IAS)
y tener funcionalidad RADIUS. Ahora debe instalar directivas de redes y servicios
de acceso, que ahora incluyen de todo, desde las versiones anteriores de
Windows Server, como RRAS / NIC / etc.,... pero ahora incluye NAP (pensar NAC
para Windows).
i.
Vamos a ser la instalación y configuración para permitir que la EAP y
funcionalidad RADIUS con nuestro controlador de Juniper. Así que una vez
más ir al Administrador de servidores y "Agregar Roles" seleccionar
"Servicios de acceso y Directiva de redes".
Ilustración vi-36 Instalación de Servicio de Acceso y Directiva de Redes
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
60/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 59
ii.
En este caso Seleccionamos "Servidor de directivas de redes",
"Enrutamiento y servicios de acceso remoto", "Servicio de acceso remoto"
y "Routing". Haga clic en "Siguiente", haga clic a través de la pantalla de
confirmación y haga clic en "Instalar".
Ilustración vi-37 Selección de Roles para Servicios de Acceso y Redes
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
61/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 60
iii.
Ahora que NPS está instalado, pulsamos el botón "Inicio" y escribimos
"nps.msc" en el menú de ejecutar. El MMC NPS (Network Policy Server)
debe abrir lo que permite seleccionar el "Servidor RADIUS para
conexiones cableadas o inalámbricas 802.1X" o "Asistente de instalación
en el menú desplegable "Configuración estándar" y haga clic en
"Configurar 802.1X".
Ilustración vi-38 Creación de Servicio de RADIUS Server
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
62/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 61
iv.
Desde la página " Tipo de Conexiones 802.1X ", seleccione "Conexiones
inalámbricas seguras" y haremos clic en "Siguiente"
Ilustración vi-39 Selección de Tipo de Conexión 802.1X
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
63/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 62
v.
Desde el "Especifique 802.1X Switches", haremos clic en "Agregar..." e
ingresamos la configuración de su controlador de Juniper y daremos clic
en "Aceptar".
Ilustración vi-40 Creación de Aunteticador RADIUS
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
64/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 63
vi.
Para la pantalla de "Configurar un método de autenticación"
seleccionaremos "Tarjeta inteligente u otro certificado de Microsoft" para
EAP-TLS o "Microsoft EAP protegido (PEAP)" para PEAP. Seleccionaremos
PEAP para este proyecto y haremos clic en "Configurar ..."
Ilustración vi-41 Método de Autenticación
8/18/2019 Universidad Latina Proyecto Redes Inalambricas 802.1X
65/83
SISTEMAS INALAMBRICOS - IMPLEMENTACION DE PROTOCOLOS DE SEGURIDAD ENREDES WIRELESS
Pág. 64
vii.
Seleccionamos el certificado apropiado utilizar para este servidor. En este
caso vamos a utilizar el certificado "WLAN-DC.wlan.net" y pulsamos