SEGURIDAD EN REDES INALAMBRICAS PROYECTO DE TESIS

Para obtener el Titulo de INGENIERO EN COMPUTACION Presenta Julio Edgar Prez Paque

Asesor de Tesis Juan Manuel Garca Garca

Universidad Michoacana de San Nicols de Hidalgo

Mes del 2010

Agradecimientos
Agradezco a los profesores de esta gran institucin la Facultad de Ingeniera Elctrica en especial a todos los profesores del rea de computacin por compartir sus conocimientos y consejos durante estos cinco aos de grandes esfuerzos y sacrificios, los cuales sin duda los aplicar en toda mi vida profesional y por supuesto a mi asesor el Dr. Juan Manuel Garca Garca por sus atenciones y sus opiniones que me hizo a lo largo del presente trabajo; tambin quiero agradecer a mis padres que fueron de gran apoyo moral y econmico para continuar con mis estudios universitarios, a mi hermano y amigos de la generacin 20052010 que juntos vivimos grandes experiencias en la universidad.

Dedicatoria
Dedico este proyecto a mi familia y amistades las cuales me ayudaron con su apoyo incondicional a ampliar mis conocimientos y estar ms cerca de mis metas profesionales. Gracias a los intercambios y exposiciones de ideas con mis compaeros y amigos de estudios durante el proceso de la licenciatura.

Resumen
En este tesis, hablare de la evolucin de los estndares para LAN inalmbricas, incluyendo los IEEE 802.11a, b, g, y ahora el borrador n. Los estndares ms recientes toman en cuenta la necesidad de admitir voz y video, y el requisito de calidad de servicio.

Un punto de acceso nico conectado a la LAN conectada por cable provee un conjunto de s ervicios bsicos a las estaciones cliente que se asocien al mismo. Puntos de acceso mltiple que compartan un identificador de conjuntos de servicios se combinan para formar un conjunto de servicios extendidos. Las LAN inalmbricas pueden detectarse mediante cualquier dispositivo cliente habilitado para radio y, por lo tanto, pueden permitir el acceso a atacantes que no tienen acceso a una red conectada por cables nicamente.

Mtodos como el filtrado de direcciones MAC y mscara SSID pueden ser parte de la implementacin de una optimizacin de seguridad, pero estos mtodos por s solos pueden ser superados fcilmente por un atacante determinado. La autenticacin WPA2 y 802.1x provee un acceso muy seguro a la LAN inalmbrica en una red de una empresa.

Los usuarios finales deben configurar las NIC inalmbricas en sus estaciones cliente que se comunican con un punto de acceso inalmbrico y se asocian a ste. Tanto el punto de acceso como las NIC inalmbricas deben configurarse con parmetros similares, incluido SSID, antes de que sea posible la asociacin. Cuando configura una LAN inalmbrica, asegrese de que los dispositivos posean el ltimo firmware para que pueda admitir las ms exigentes opciones de seguridad. Adems de asegurar la configuracin compatible de la configuracin de seguridad inalmbrica, la resolucin de problemas de las LAN inalmbricas involucra la resolucin de problemas de RF.

Contenido

Agradecimientos................................................................................................................ | Ii | Dedicatoria............................................................ ............................................................. | Iii | Resumen............................................................................................................................. | Iv | Contenido........................................................................................................................... | V | Lista de Figuras.................................................................................................................. | Ix | Lista de Tablas................................................................................................................... | Xii | Lista de Smbolos y Abreviaciones................................................................................... | Xiii | || Captulo 1. Introduccin................................................................................................. | 1 | 1.1. Antecedentes, Descripcin General del Problema..................................................... | 1 | 1.2. Objetivos de la Tesis.................................................................................................. | X | 1.3. Justificacin................................................................................................................ | | 1.4. Metodologa................................................................................................................ | | 1.5. Descripcin de los Captulos...................................................................................... | X |

|| Captulo 2. Preparacin del documento de tesis.................................................. ......... | 15 | 2.1 Plantilla....................................................................................................................... | | 2.2 Formato....................................................................................................................... | | 2.3 Tipo y tamao de lnea................................................................................................ | X | 2.4 Encabezados de secciones........................................................................................... | X | 2.4.1 Subsecciones................................................................................................ | | 2.5 Figuras y tablas............................................................................................................ | | 2.6 Numeracin................................................................................................................. | | 2.7 Abreviaciones y acronismos....................................................................................... | | 2.8 Ecuaciones.................................................................................................................. | | 2.9 Redaccin.................................................................................................................... | | Captulo 3. Titulo de Captulo 3.................................................................................... | | 3.1 Introduccin................................................................................................................ | | 3.1.1. Sub-seccin (hasta cuatro niveles)...... ........................................................ | | 3.2. Sub-seccin 3.2.......................................................................................................... | | 3.n. Conclusiones.............................................................................................................. | | || Captulo n-1. Titulo de Captulo n-1............................................................................. | | Idem Captulo 2................................................................................................................ | | n-I.n. Conclusiones........................................................................................................... | | || Captulo 6. Conclusiones y Trabajos Futuros............................................................... | | 6.1 Conclusiones................................................................................................................ | | 6.1.1 Conclusiones Generales................................................................................ | | 6.1.2 Conclusiones Particulares............................................................................. | | 6.2. Trabajos Futuros......................................................................................................... | | || Apndices.......................................................................................................................... | | A. Titulo de Apndice A.................................................................................................... | | B. Titulo de Apndice

B..................................................................................................... | | C. Titulo de Apndice N..................................................................................................... | | || Referencias........................................................................................................................ | | ||

Lista de Figuras

2.1 Pantalla inicial para la configuracin inalmbrica en un router Linksys inalambrico 2.1 ................................................................................................ | 14 | 2.2 Titulo de Figura 2.2................................................................................................ | X | 2.n Titulo de Figura 2.n................................................................................................ | X | || 3.1 Titulo de Figura 3.1............................................................................................... | X | 3.n Titulo de Figura 3.n................................................................................................ | X | || n-1.1 Titulo de Figura n-1............................................................................................ | X | n-1.n Titulo de Figura n-l.n.......................................................................................... | X | || A1. Titulo de Figura Al................................................................................................ | X | Bn. Titulo de Figura Bn............................................... ................................................. | X |

Lista de Tablas

1.1 Titulo de Tabla l .1.................................................................................................. | X | || 2.1 Titulo de Tabla 2.1.................................................................................................. | X | 2.n Titulo de Tabla 2.n................................................................................................. | X | || n.1 Titulo de Tabla n.1.................................................................................................. | X | n.n Titulo de Tabla n.n.................................................................................................. | X | ||

A1. Titulo de Tabla A 1................................................................................................ | X | Nn. Titulo de Tabla Nn................................................................................................. | X |

Lista de Smbolos y Abreviaturas

K | kilo | M | mega | G | giga | M | metros | W | watts | Hz | hertz | | euro | W-h | watt-hora | G | aceleracin de la gravedad | T | tiempo | d/dt | derivada con respecto del tiempo | KD | ganancia derivativa | KI | ganancia integral | KP | ganancia proporcional | | ohms | | ngulo de potencia | X | reactancia | R | Resistencia | P | potencia real |

Captulo 1
Introduccin
En los ltimos aos, las redes de rea local inalmbricas (Wireless Local rea Network WLAN) se han hecho muy populares a nivel global, gracias a la versatilidad y portabilidad que ofrecen, permitiendo acceder a informacin y recursos en tiempo real sin necesidad de estar fsicamente conectados a un determinado lugar.

Con el tiempo, el uso de las WLAN ha ido incrementando no slo en hogares sino tambin dentro de las organizaciones, pasando de ser usadas exclusivamente para conexiones temporales a Internet, a protagonistas en brindar interconexin entre estaciones de trabajo, servidores y oficinas.

Entre los principales beneficios que ofrece el uso de WLANs se pueden mencionar: Movilidad: permitiendo transmitir informacin en tiempo real en cualquier lugar de la organizacin o empresa a cualquier usuario. Esto supone mayor productividad y posibilidades de servicio. Facilidad de instalacin: evitando grandes obras para instalacin de cables por muros y techos, mejorando as el aspecto y la habitabilidad de los locales, y reduciendo el tiempo de instalacin. Flexibilidad: Llegando a donde los cables no pueden, superando mayor nmero de obstculos y estructuras fsicas.

Sin embargo, tambin existe un gran aspecto negativo sobre el uso de las WLAN y es que stas actualmente son mucho ms vulnerables de lo que uno imagina, debido a la cantidad de brechas de seguridad que facilitan el acceso no autorizado a este tipo de redes y la simplicidad con que estas brechas pueden ser aprovechadas. Adicionalmente, la facilidad de instalacin y la practicidad de la misma hacen que la seguridad no sea un aspecto a

considerar normalmente en la etapa del diseo y la implementacin de las WLAN. Considerando la informacin como uno de los principales activos hoy en da las organizaciones y siendo consientes de las prdidas financieras y de imagen que puede involucrar el hecho que sta sea afectada, hemos realizado un estudio basado en la identificacin de redes inalmbricas habilitadas en las principales zonas empresariales de Juliaca, con el fin de identificar la seguridad implementada.

1.1 Antecedentes
En la actualidad, la mayora de las industrias han puesto especial atencin en la seguridad de redes inalmbricas para realizar el control de su informacin en sus respectivas empresas. Dichos dispositivos inalmbricos, que reemplazan los controles almbricos tradicionales, tienen altas velocidades de respuesta, por lo que generan gran eficiencia y flexibilidad al controlar el sistema. Est tecnologa se empezo a investigar en hace ya ms de 30 aos. Los primeros experimentos fueron de la mano de uno de los grandes gigantes en la historia de la informtica, IBM. En 1979 IBM publicaba los resultados de su experimento con infrarrojos en una fbrica suiza. La idea de los ingenieros era construir una red local en la fbrica. Los resultados se publicaron en el volumen 67 de los Proceeding del IEEE y han sido considerados como el punto de partida en la lnea evolutiva de las redes inalmbricas. Las siguientes investigaciones se haran en laboratorios, siempre utilizando altas frecuencias, hasta que en 1985 la Federal Communication Comission asigna una serie de bandas al uso de IMS (Industrial, Scientific and Medical). La FCC es la agencia federal de EEUU encargada de regular y administrar en telecomunicaciones. Esta asignacin se tradujo a una mayor actividad en la industria y la investiga cin de LAN (red inalmbrica de alcance local) empezaba a enfocarse al mercado. Seis aos ms tarde, en 1991, se publicaban los primeros trabajos de LAN propiamente dicha, ya que segn la norma IEEE 802 solo se considera LAN a aquellas redes que transmitan al menos a 1 Mbps.

La red inalmbrica de alcance local ya exista pero su introduccin en el mercado e implantacin a nivel domstico y laboral aun se hara esperar unos aos. Uno de los factores que supuso un gran empuje al desarrollo de este tipo de red fue el asentamiento de Laptops y PDA en el mercado, ya que este tipo de producto porttil reclamaba ms la necesidad de una red sin ataduras, sin cables. La falta de confianza en esta tecnologa por parte de los responsables de T.I., posiblemente el principal factor que alento su despegue, tiene cierto fundamento. Tras la publicacin de los primeros estndares que determinaron el nacimiento de las redes wireless ethernet (IEEE 802.11a y b), tambin denominadas Wi-Fi por el consorcio que empuja su implantacin e interoperabilidad de los productos, surgi la necesidad inmediata de proporcionar un protocolo que proporcionase seguridad frente a intrusiones en este tipo de transmisiones: WEP (Wired Equivalent Privacy). Este protocolo proporciona tres mecanismos de seguridad (por nombre de la red o SSID, por clave esttica compartida y por autentificacin de direccin MAC) que se pueden utilizar por separado pero que es ms recomendable combinarlos. Sin embargo pronto se descubri que todos ellos eran fcilmente desbloqueados en corto tiempo (incluso minutos) por expertos utilizando herramientas de escucha en redes (sniffers). Para paliar este grave inconveniente, se han diseado soluciones no estandarizadas apuntando en diferentes reas.

La primera de ellas es sustituir el mecanismo de clave esttica por uno de clave dinmica WEP (TKIP u otros), lo que dificulta su identificacin, puesto que el tiempo de computacin que lleva es mayor que la frecuencia de cambio. Sin embargo debe ser complementada con otras tcnicas como sistemas Radius para forzar la identificacin del usuario, tneles VPN con cifrado IPSEC o anlogo entre el terminal de usuario y un servidor seguro interno para imposibilitar el anlisis de las tramas enviadas por radio.

Los consorcios reguladores, conscientes de la gravedad de esta debilidad y su fuerte impacto negativo en el crecimiento de las WLAN, han propuesto una recomendacin provisional denominada WPA (Wi-Fi Protected Access) que conjuga todas las nuevas tcnicas anteriormente expuestas. Se estima que a mediados del 2003 los productos Wi-Fi incorporen este mecanismo.

Desafortunadamente WPA no es el ltimo movimiento: realmente es un subconjunto de una especificacin final que prepara el consorcio IEEE que se denominar 802.11i y que pretende ser la clave definitiva para que las redes ethernet inalmbricas puedan ser equiparables en materia de seguridad a las cableadas.

1.2 Objetivo
El objetivo de esta tesis radica en encontrar, por medio del mtodo de investigacin y teniendo ya las herramientas que nos proporcionara la seguridad, ver de qu manera se pueden manejar para tener LAN segura, as como el impacto de dichas seguridades sobre el ndice de desarrollo de las empresas.

1.3 Justificacin
La aplicacin en diversas LANs inalmbricas de algunas empresas ha demostrado su vulnerabilidad para el control de seguridad en su informacin, en la actualidad se ha encontrado un gran ndice de robos cibernticos. Sin embargo, el impacto de estos ataques depende en gran medida de sus medidas de seguridad en la red. Estas medidas de seguridad es funcin del tipo de aplicacin de protocolos de seguridad; es decir, la implementacin de un protocolo de seguridad varia en medida con otro. Debido al inters de las compaas para evitar este tipo de problemas de seguridad, han volteado a ver esta rea menos atendida, lo cual permita poder tener de manera ms segura la informacin de la empresa sin sobrecargar los elementos de transmisin, en este trabajo se propone una metodologa investigacin para trabajar con las herramientas de seguridad que ya existen para optimizar la seguridad de cualquier empresa.

1.4 Metodologa 1.5Contenido de la tesis

En el captulo 1 se da una breve introduccin a este trabajo, se muestra la situacin actual de la seguridad inalmbrica en LANs y se resaltan los beneficios de la misma. Se mencionan empresas que han trabajado en la seguridad. Por ltimo se describe el objetivo de este trabajo.

En el captulo 2 se presentan conceptos bsicos cmo las redes inalmbricas de rea local (WLAN) ofrecen a las empresas un entorno de red flexible. Mencionare los distintos estndares inalmbricos que estn disponibles hoy y las caractersticas que cada estndar ofrece, ya que hoy en da es importante estandarizar para ofrecer a los vendedores acceso al mercado global y confianza y a su vez a los consumidores ofrecer interoperabilidad con otros productos, seguridad, calidad y consistencia. Mencionare qu componentes de hardware son usualmente necesarios en una LAN inalmbrica. En el captulo 3 se presentan los casos principales de ataques a LANs inalmbricas, la forma en la que atacan, se habla de los protocolos de seguridad que actualmente existen, encriptaciones las medidas de seguridad que debe recurrir. En el captulo 4 En este capitulo, mencionare cmo configurar un punto de acceso inalmbrico. Mencionare cmo establecer el SSID, activar la seguridad, configurar el canal y ajustar la configuracin de energa de un punto de acceso inalmbrico. Tambin mencionare cmo realizar un respaldo y restauracin de la configuracin de un punto de acceso inalmbrico tpico. En el captulo 5 se presentan conclusiones generales, aportaciones y trabajos futuros.

Captulo 2
LAN Inalmbrica 2.1 Estndares de LAN inalmbricas
LAN inalmbrica 802.11 es un estndar IEEE que define cmo se utiliza la radiofrecuencia (RF) en las bandas sin licencia de frecuencia mdica, cientfica e industrial (ISM) para la capa fsica y la subcapa MAC de enlaces inalmbricos.

Cuando el 802.11 se emiti por primera vez, prescriba tasas de datos de 1 - 2 Mb/s en la banda de 2.4 GHz. En ese momento, las LAN conectadas por cable operaban a 10 Mb/s, de modo que la nueva tecnologa inalmbrica no se adopt con entusiasmo. A partir de entonces, los estndares de LAN inalmbrica mejoraron continuamente con la edicin de IEEE 802.11a, IEEE 802.11b, IEEE 802.11g y el borrador 802.11n.

La eleccin tpica sobre qu estndar WLAN utilizar se basa en las tasas de datos. Por ejemplo: 802.11a y g pueden admitir hasta 54 Mb/s, mientras que 802.11b admite hasta un mximo de 11 Mb/s, lo que implica que 802.11b es un estndar "lento" y que 802.11 a y g son los preferidos. Un cuarto borrador WLAN, 802.11n, actualmente ya existen varios productos que cumplen el estndar n con un mximo de 300 Mbps (80-100 estables).

Las tasas de datos de los diferentes estndares de LAN inalmbrica estn afectadas por algo llamado tcnica de modulacin. Las dos tcnicas de modulacin comprendidas en esta tesis son: Espectro de dispersin de secuencia directa (DSSS) y Multiplexacin por divisin de frecuencias ortogonales (OFDM). En esta tesis no es necesario saber cmo trabajan estas tcnicas, pero debe saber que cuando un estndar utilice OFDM, tendr tasas de datos ms veloces. Adems, el DSSS es ms simple que el OFDM, de modo que su implementacin es ms econmica.

2.1.1 802.11a El IEEE 802.11a adopt la tcnica de modulacin OFDM y utiliza la banda de 5 GHz.

Los dispositivos 802.11a que operan en la banda de 5 GHz tienen menos probabilidades de sufrir interferencia que los dispositivos que operan en la banda de 2.4 GHz porque existen menos dispositivos comerciales que utilizan la banda de 5 GHz. Adems, las frecuencias ms altas permiten la utilizacin de antenas ms pequeas.

Existen algunas desventajas importantes al utilizar la banda de 5 GHz. La primera es que, a frecuencia de radio ms alta, mayor es el ndice de absorcin por parte de obstculos tales como paredes, y esto puede ocasionar un rendimiento pobre del 802.11a debido a las obstrucciones. El segundo es que esta banda de frecuencia alta tiene un rango ms acotado que el 802.11b o el g. Adems, algunos pases, incluido Rusia, no permiten la utilizacin de la banda de 5 GHz, lo que puede restringir ms su implementacin.

2.1.2 802.11b y 802.11g 802.11b especific las tasas de datos de 1; 2; 5.5 y 11 Mb/s en la banda de 2.4 GHz ISM que utiliza DSSS. 802.11b especific las tasas de datos superiores en esa banda mediante la tcnica de modulacin OFDM. IEEE 802.11g tambin especifica la utilizacin de DSSS para la compatibilidad retrospectiva de los sistemas IEEE 802.11b. El DSSS admite tasas de datos de 1; 2; 5.5 y 11 Mb/s, como tambin las tasas de datos OFDM de 6; 9; 12; 18; 24; 48 y 54 Mb/s.

Existen ventajas en la utilizacin de la banda de 2.4 GHz. Los dispositivos en la banda de 2.4 GHz tendrn mejor alcance que aquellos en la banda de 5 GHz. Adems, las transmisiones en esta banda no se obstruyen fcilmente como en 802.11a.

Hay una desventaja importante al utilizar la banda de 2.4 GHz. Muchos dispositivos de clientes tambin utilizan la banda de 2.4 GHz y provocan que los dispositivos 802.11b y g tiendan a tener interferencia.

2.1.3 802.11n El estndar 802.11n ya est redactado, y se viene implantando desde 2008. A principios de 2007 se aprob el segundo boceto del estndar. Anteriormente ya haba dispositivos adelantados al protocolo y que ofrecan de forma no oficial este estndar (con la promesa de actualizaciones para cumplir el estndar cuando el definitivo estuviera implantado). Ha sufrido una serie de retrasos y el ltimo lo lleva hasta noviembre de 2009. Habindose aprobado en enero de 2009 el proyecto 7.0 y que va por buen camino para cumplir las fechas sealadas. A diferencia de las otras versiones de Wi-Fi, 802.11n puede trabajar en dos bandas de frecuencias: 2,4 GHz (la que emplean 802.11b y 802.11g) y 5 GHz (la que usa 802.11a). Gracias a ello, 802.11n es compatible con dispositivos basados en todas las ediciones anteriores de Wi-Fi. Adems, es til que trabaje en la banda de 5 GHz, ya que est menos congestionada y en 802.11n permite alcanzar un mayor rendimiento.

El estndar 802.11n fue ratificado por la organizacin IEEE el 11 de septiembre de 2009 con una velocidad de 600 Mbps en capa fsica.

2.1.4 Certificacin Wi-Fi La Wi-Fi Alliance, una asociacin de comercio industrial global sin fines de lucro, dedicada a promover el crecimiento y aceptacin de las WLAN proporciona la certificacin Wi-Fi. Apreciar mejor la importancia de la certificacin Wi-Fi si considera el rol de la Wi-Fi Alliance en el contexto de los estndares WLAN.

Los estndares aseguran interoperabilidad entre dispositivos hechos por diferentes fabricantes. Las tres organizaciones clave que influencian los estndares WLAN en todo el mundo son:

* ITU-R. * IEEE. * Wi-Fi Alliance.

El ITU-R regula la asignacin del espectro RF y rbitas satelitales. stos se describen como recursos naturales finitos que se encuentran en demanda por parte de clientes, como redes inalmbricas fijas, redes inalmbricas mviles y sistemas de posicionamiento global.

El IEEE desarroll y mantiene los estndares para redes de rea local y metropolitanas con la familia de estndares IEEE 802 LAN/MAN. El IEEE 802 es administrado por el comit de estndares IEEE 802 LAN/MAN (LMSC), que supervisa mltiples grupos de trabajo. Los estndares dominantes en la familia IEEE 802 son 802.3 Ethernet, 802.5 Token Ring, y 802.11 LAN inalmbrica.

A pesar de que el IEEE especific estndares para los dispositivos de modulacin RF, no especific estndares de fabricacin, de modo que las interpretaciones de los estndares 802.11 por parte de los diferentes proveedores pueden causar problemas de interoperabilidad entre sus dispositivos.

La Wi-Fi Alliance es una asociacin de proveedores cuyo objetivo es mejorar la interoperabilidad de productos que estn basados en el estndar 802.11, y certifica proveedores en conformidad con las normas de la industria y adhesin a los estndares. La certificacin incluye las tres tecnologas RF IEEE 802.11, as como la adopcin temprana de los borradores pendientes de la IEEE, como el estndar de seguridad WPA2 basados en IEEE 802.11i.

Los roles de estas tres organizaciones pueden resumirse de la siguiente manera:

* El ITU-R regula la asignacin de las bandas RF. * IEEE especifica cmo se modula RF para transportar informacin. * Wi-Fi asegura que los proveedores fabriquen dispositivos que sean interoperables.

2.2 Componentes de infraestructura inalmbrica

2.2.1 NIC inalmbricas Para revisar, los componentes constitutivos de una WLAN son estaciones cliente que conectan a los puntos de acceso, que se conectan, a su vez, a la infraestructura de la red. El dispositivo que hace que una estacin cliente pueda enviar y recibir seales RF es la NIC inalmbrica.

Como una NIC Ethernet, la NIC inalmbrica, utiliza la tcnica de modulacin para la que est configurada y codifica un stream de datos dentro de la seal RF. Las NIC inalmbricas se asocian ms frecuentemente a dispositivos mviles, como computadoras porttiles. En la dcada de los noventa, las NIC inalmbricas para computadoras porttiles eran tarjetas que se deslizaban dentro de la ranura PCMCIA. Las NIC inalmbricas PCMCIA son todava comunes, pero muchos fabricantes comenzaron a incorporar la NIC inalmbrica dentro de la computadora porttil. A diferencia de las interfaces Ethernet 802.3 incorporadas en las PC, la NIC inalmbrica no es visible, ya que no es necesario conectar un cable a sta.

Tambin surgieron otras opciones a travs de los aos. Las computadoras personales ubicadas en una instalacin existente no conectada por cable pueden tener instalada una NIC PCI inalmbrica. Existen, adems, muchas opciones USB disponibles para configurar rpidamente una computadora, ya sea porttil o de escritorio, con o sin NIC inalmbrica.

2.2.2 Puntos de acceso inalmbricos Un punto de acceso conecta a los clientes (o estaciones) inalmbricos a la LAN cableada. Los dispositivos de los clientes, por lo general, no se comunican directamente entre ellos; se comunican con el AP. En esencia, un punto de acceso convierte los paquetes de datos TCP/IP desde su formato de encapsulacin en el aire 802.11 al formato de trama de Ethernet 802.3 en la red Ethernet conectada por cable.

En una infraestructura de red, los clientes deben asociarse con un punto de acceso para obtener servicios de red. La asociacin es el proceso por el cual un cliente se une a una red 802.11. Es similar a conectarse a una red LAN conectada por cable. La asociacin se discute en temas posteriores.

Un punto de acceso es un dispositivo de Capa 2 que funciona como un hub Ethernet 802.3. La RF es un medio compartido y los puntos de acceso escuchan todo el trfico de radio (frecuencia). Al igual que con el Ethernet 802.3, los dispositivos que intentan utilizar el medio compiten por l. A diferencia de las NIC Ethernet, sin embargo, es costoso realizar NIC inalmbricas que puedan transmitir y recibir informacin al mismo tiempo, de modo que los dispositivos de radio no detectan colisiones. En cambio, los dispositivos WLAN estn diseados para evitarlos.

2.2.3 CSMA/CA Los puntos de acceso supervisan una funcin de coordinacin distribuida (DCF) llamada acceso mltiple por deteccin de portadora con prevencin de colisiones (CSMA/CA). Esto simplemente significa que los dispositivos en una WLAN deben detectar la energa del medio (estimulacin de la RF sobre cierto umbral) y esperar hasta que ste se libere antes de enviar. Dado que se requiere que todos los dispositivos lo realicen, se distribuye la funcin de coordinar el acceso al medio. Si un punto de acceso recibe informacin desde la estacin de un cliente, le enva un acuse de recibo para confirmar que se recibi la informacin. Este acuse de recibo evita que el cliente suponga que se produjo una colisin e impide la retransmisin de informacin por parte del cliente

Atenuacin de las seales RF. Eso significa que pueden perder energa a medida que se alejan de su punto de origen. Piense en alejarse del alcance de una estacin de radio. Esta atenuacin de la seal puede ser un problema en una WLAN donde las estaciones se disputan el medio.

Imagine dos estaciones cliente que conectan al punto de acceso, pero estn en lugares opuestos de su alcance. Si estn al alcance mximo del punto de acceso, no podrn conectarse entre s. De esta manera, ninguna de esas estaciones detecta a la otra en el medio, y pueden terminar por transmitir en simultneo. A esto se lo llama problema de nodo (o estacin) escondido.

Una manera de resolver este problema de nodo escondido es una caracterstica de CSMA/CA llamada peticin para enviar/listo para enviar (RTS/CTS). El RTS/CTS se desarroll para permitir una negociacin entre un cliente y un punto de acceso. Cuando est activado el RTS/CTS en una red, los puntos de acceso asignan un medio para la estacin que lo solicite por el tiempo que sea necesario para completar la transmisin. Cuando se completa la transmisin, otras estaciones pueden solicitar el canal de modo similar. De otra forma, se retoma la funcin de prevencin de colisiones normal.

2.2.4 Routers inalmbricos Los routers inalmbricos cumplen la funcin de punto de acceso, switch Ethernet y router. Por ejemplo: los Linksys WRT300N utilizados son en realidad tres dispositivos en una caja. Primero est el punto de acceso inalmbrico, que cumple las funciones tpicas de un punto de acceso. Un switch integrado de cuatro puertos full-duplex, 10/100 proporciona la conectividad a los dispositivos conectados por cable. Finalmente, la funcin de router provee un gateway para conectar a otras infraestructuras de red.

El WRT300N se utiliza ms frecuentemente como dispositivo de acceso inalmbrico en residencias o negocios pequeos. La carga esperada en el dispositivo es lo suficientemente pequea como para administrar la provisin de WLAN, 802.3 Ethernet, y conectar a un ISP.

2.3 Operacin inalmbrica

2.3.1 Parmetros configurables para los puntos finales inalmbricos. La Figura 2.1 muestra varios procesos que deben tener lugar para crear una conexin entre cliente y punto de acceso. Debe configurar los parmetros en el punto de acceso y, posteriormente, en el dispositivo de su cliente, para permitir la negociacin de estos procesos.

Figura 2.1 Pantalla inicial para la configuracin inalmbrica en un router Linksys inalmbrico.

El modo de red inalmbrica se remite a los protocolos WLAN: 802.11a, b, g, o n. Dado que 802.11g es compatible con versiones anteriores de 802.11b, los puntos de acceso admiten ambos estndares. Si todos los clientes se conectan a un punto de acceso con 802.11g, se beneficiarn con las mejores velocidades de transmisin de datos. Cuando los clientes 802.11b se asocian con el punto de acceso, todos los clientes ms veloces que se disputan el canal deben esperar que los clientes en 802.11b lo despejen antes de poder transmitir. Cuando un punto de acceso Linksys se configura para permitir clientes de 802.11b y 802.11g, opera en modo mixto.

Para que un punto de acceso admita tanto el 802.11a como los 802.11b y g, deber tener una segunda radio para operar en la banda RF diferente.

Un identificador de conjunto de servicios (SSID) es un identificador nico que utiliza los dispositivos cliente para distinguir entre mltiples redes inalmbricas cercanas. Varios puntos de acceso en la red pueden compartir un SSID.

El estndar IEEE 802.11 establece el esquema de canalizacin para el uso de las bandas ISM RF no licenciadas en las WLAN. La banda de 2.4 GHz se divide en 11 canales para Norteamrica y 13 canales para Europa. Estos canales tienen una separacin de frecuencia central de slo 5 MHz y un ancho de banda total (u ocupacin de frecuencia) de 22 MHz. El ancho de banda del canal de 22 MHz combinado con la separacin de 5 MHz entre las frecuencias centrales significa que existe una superposicin entre los canales sucesivos. Las optimizaciones para las WLAN que requieren puntos de acceso mltiple se configuran para utilizar canales no superpuestos. Si existen tres puntos de acceso adyacentes, utilice los canales 1, 6 y 11. Si slo hay dos, seleccione dos canales cualesquiera con al menos 5 canales de separacin entre ellos, como el canal 5 y el canal 10. Muchos puntos de acceso pueden seleccionar automticamente un canal basado en el uso de canales adyacentes. Algunos productos monitorean continuamente el espacio de radio para ajustar la configuracin de canal de modo dinmico en respuesta a los cambios del ambiente.

2.3.2 Topologas 802.11. Las LAN inalmbricas pueden utilizar diferentes topologas de red. Al describir estas topologas, la pieza fundamental de la arquitectura de la WLAN IEEE 802.11 es el conjunto de servicios bsicos (BSS). El estndar define al BSS como un grupo de estaciones que se comunican entre ellas.

2.3.3 Redes Ad hoc. Las redes inalmbricas pueden operar sin puntos de acceso; se llama topologa ad hoc. Las estaciones cliente que estn configuradas para operar en modo ad hoc ran los parmetros inalmbricos entre ellas. El estndar IEEE 802.11 se refiere a una red ad hoc como un BSS (IBSS) independiente.

2.3.4 Conjunto de servicios bsicos. Cuando un BSS simple no proporciona la suficiente cobertura RF, se pueden unir uno o ms a travs de un sistema de distribucin simple hacia un conjunto de servicios extendidos (ESS). En un ESS, un BSS se diferencia de otro mediante el identificador BSS (BSSID), que es la direccin MAC del punto de acceso que sirve al BSS. El rea de cobertura es el rea de servicio extendida (ESA).

2.3.5 Sistema de distribucin comn. El sistema de distribucin comn permite a los puntos de acceso mltiple en un ESS aparentar ser un BSS simple. Un ESS incluye generalmente un SSID comn para permitir al usuario moverse de un punto de acceso a otro.

Las celdas representan el rea de cobertura proporcionada por un nico canal. Un ESS debe tener de 10 a 15 por ciento de superposicin entre celdas en un rea de servicio extendida. Con un 15 por ciento de superposicin entre celdas, un SSID y canales no superpuestos (una celda en canal 1 y la otra en canal 6), se puede crear la capacidad de roaming.

2.3.6 Asociacin del cliente y el punto de acceso. Una parte clave del proceso de 802.11 es descubrir una WLAN y, luego, conectarse a ella. Los componentes principales de este proceso son los siguientes:

* Beacons - Tramas que utiliza la red WLAN para comunicar su presencia. * Sondas - Tramas que utilizan los clientes de la WLAN para encontrar sus redes. * Autenticacin - Proceso que funciona como instrumento del estndar original 802.11, que el estndar todava exige. * Asociacin - Proceso para establecer la conexin de datos entre un punto de acceso y un cliente WLAN.

El propsito principal de la beacon es permitir a los clientes de la WLAN conocer qu redes y puntos de acceso estn disponibles en un rea dada, permitindoles, por lo tanto, elegir qu red y punto de acceso utilizar. Los puntos de acceso pueden transmitir beacons peridicamente.

Aunque las beacons pueden transmitirse regularmente por un punto de acceso, las tramas para sondeo, autenticacin y asociacin se utilizan slo durante el proceso de asociacin (o reasociacin).

2.3.7 Proceso conjunto 802.11 (Asociacin). Antes de que un cliente 802.11 pueda enviar informacin a travs de una red WLAN, debe atravesar el siguiente proceso de tres etapas:

Etapa 1: Sondeo de 802.11

Los clientes buscan una red especfica mediante una solicitud de sondeo a mltiples canales. El pedido de sondeo especifica el nombre de la red (SSID) y las tasas de bit. Un cliente tpico de WLAN se configura con el SSID deseado, de modo que los pedidos de sondeo del cliente WLAN contienen el SSID de la red WLAN deseada.

Si el cliente WLAN slo quiere conocer las redes WLAN disponibles, puede enviar un pedido de sondeo sin SSID, y todos los puntos de acceso que estn configurados para responder este tipo de consulta respondern. Las WLAN con la caracterstica de broadcast SSID deshabilitada no respondern.

Etapa 2: Autenticacin 802.11

802.11 se desarroll originalmente con dos mecanismos de autenticacin. El primero, llamado autenticacin abierta, es fundamentalmente una autenticacin NULL donde el cliente dice "autentcame", y el punto de acceso responde con "s". ste es el mecanismo utilizado en casi todas las implementaciones de 802.11.

Un segundo mecanismo de autenticacin se denomina clave de autenticacin compartida. Esta tcnica se basa en una clave de Privacidad equivalente por cable (WEP) compartida entre el cliente y el punto de acceso. En esta tcnica, el cliente enva una solicitud de autenticacin al punto de acceso. El punto de acceso luego enva un texto de reto al cliente, quien encripta el mensaje utilizando la clave compartida y vuelve a enviar el texto encriptado al punto de acceso. Luego, el punto de acceso decodifica el texto encriptado utilizando su

clave y si el texto decodificado coincide con el texto de reto, el cliente y el punto de acceso comparten la misma clave y el punto de acceso autentica la estacin. Si los mensajes no coinciden, el cliente no se autentica.

A pesar de que la clave de autenticacin compartida necesita estar incluida en las implementaciones de cliente y de punto de acceso para el cumplimiento general de los estndares, no se utiliza ni se recomienda. El problema es que la clave WEP normalmente se usa para encriptar datos durante el proceso de transmisin. Al usar la misma clave WEP en el proceso de autenticacin, el atacante tiene la posibilidad de extraer la clave detectando y comparando el texto de reto sin encriptar y luego el mensaje de respuesta encriptado. Una vez extrada la clave WEP, cualquier informacin encriptada que se transmite a travs del enlace puede decodificarse con facilidad.

Etapa 3: Asociacin 802.11

Esta etapa finaliza la seguridad y las opciones de tasa de bit, y establece el enlace de datos entre el cliente WLAN y el punto de acceso. Como parte de esta etapa, el cliente aprende el BSSID, que es la direccin MAC del punto de acceso, y el punto de acceso traza un camino a un puerto lgico conocido como el identificador de asociacin (AID) al cliente WLAN. El AID es equivalente a un puerto en un switch. El proceso de asociacin permite al switch de infraestructura seguir la pista de las tramas destinadas para el cliente WLAN, de modo que puedan ser reenviadas.

Una vez que un cliente WLAN se ha asociado con un punto de acceso, el trfico puede viajar de un dispositivo a otro.

Captulo 3
Seguridad de una LAN inalmbrica
La seguridad debe ser una prioridad para cualquiera que utilice o administre redes. Las dificultades para mantener segura una red conectada por cable se multiplican con una red inalmbrica. Una WLAN est abierta a cualquiera dentro del alcance de un punto de acceso y de las credenciales apropiadas para asociarse a l. Con una NIC inalmbrica y conocimientos de tcnicas de decodificacin, un atacante no tendr que entrar fsicamente al espacio de trabajo para obtener acceso a una WLAN.

Estas preocupaciones de seguridad son incluso ms significativas cuando se trata con redes de empresas, porque el sustento de vida de la empresa depende de la proteccin de su informacin. En estos casos, las violaciones a la seguridad pueden tener graves repercusiones, sobre todo si la empresa guarda informacin financiera relacionada con sus clientes.

Hay tres categoras importantes de amenaza que llevan al acceso no autorizado: * Bsqueda de redes inalmbricas abiertas * Piratas informticos (Crackers) * Empleados

"Bsqueda de redes inalmbricas abiertas" se refera originalmente a la utilizacin de un dispositivo de rastreo para buscar nmeros de telfonos celulares para explotar. Bsqueda de redes inalmbricas abiertas, ahora tambin significa conducir alrededor de un vecindario con una computadora porttil y una tarjeta de cliente 802.11b/g en bsqueda de un sistema 802.11b/g no seguro para explotar.

El trmino pirata informtico originalmente significaba una persona que explora a fondo los sistemas de computacin para entender y tal vez explotar por razones creativas, la estructura y complejidad de un sistema. Hoy en da, los trminos pirata informtico y cracker describen a intrusos maliciosos que ingresan en sistemas como delincuentes y roban informacin o daan los sistemas deliberadamente. Los piratas informticos con la intencin de daar son

capaces de explotar las medidas de seguridad dbiles.

La mayora de los dispositivos vendidos hoy en da est preparada para funcionar en una WLAN. En otras palabras, los dispositivos tienen configuraciones predeterminadas y pueden instalarse y utilizarse con poca o ninguna configuracin por parte de los usuarios. Generalmente, los usuarios finales no cambian la configuracin predeterminada, y dejan la autenticacin de cliente abierta, o pueden implementar solamente una seguridad WEP estndar. Desafortunadamente, las claves WEP compartidas son defectuosas y por consiguiente, fciles de atacar.

Herramientas con propsito legtimo, como los husmeadores inalmbricos, permiten a los ingenieros de red capturar paquetes de informacin para depurar el sistema. Los intrusos pueden utilizar estas mismas herramientas para explotar las debilidades de seguridad.

3.1 Amenazas a la seguridad inalmbrica

3.1.1 Puntos de acceso no autorizados Un punto de acceso no autorizado es un punto de acceso ubicado en una WLAN que se utiliza para interferir con la operacin normal de la red. Si un punto de acceso no autorizado se configura correctamente, se puede capturar informacin del cliente. Un punto de acceso no autorizado tambin puede configurarse para proveer acceso no autorizado a usuarios con informacin como las direcciones MAC de los clientes (tanto inalmbricas como conectadas por cable), o capturar y camuflar paquetes de datos o, en el peor de lo casos, obtener acceso a servidores y archivos.

Una versin simple y comn de un punto de acceso no autorizado es uno instalado por empleados sin autorizacin. Los empleados instalan puntos de acceso con la intencin de utilizar la red de la empresa en su hogar. Estos puntos de acceso no tienen la configuracin de seguridad tpica necesaria, por lo tanto la red termina con una brecha en su seguridad.

3.1.1 Ataques Man-in-the-middle (intermediario) Uno de los ataques ms sofisticados que un usuario no autorizado puede realizar se llama ataque man-in-the-middle (MITM) (intermediario). El atacante selecciona un host como objetivo y se posiciona logsticamente entre el objetivo y el router o gateway del objetivo. En un ambiente de LAN conectada por cable, el atacante necesita poder acceder fsicamente a la LAN para insertar un dispositivo lgico dentro de la topologa. Con una WLAN, la s ondas de radio emitidas por los puntos de acceso pueden proveer la conexin.

Las seales de radio desde las estaciones y puntos de acceso son audibles para cualquiera en un BSS con el equipo apropiado, como una computadora porttil y una NIC. Dado que los puntos de acceso actan como hubs Ethernet, cada NIC en el BSS escucha todo el trfico. El dispositivo descarta cualquier trfico no dirigido al mismo. Los atacantes pueden modificar la NIC de su computadora porttil con un software especial para que acepte todo el trfico. Con esta modificacin, el atacante puede llevar a cabo ataques MITM inalmbricos, usando la NIC de la computadora porttil como punto de acceso.

Para llevar a cabo este ataque, un pirata informtico selecciona una estacin como objetivo y utiliza software husmeador de paquetes, como Wireshark, para observar la estacin cliente que se conecta al punto de acceso. El pirata informtico puede ser capaz de leer y copiar el nombre de usuario objetivo, nombre del servidor y direccin IP del servidor y cliente, el ID utilizado para computar la respuesta y el desafo y su respuesta asociada, que se pasa no cifrada entre la estacin y el punto de acceso.

Si un atacante puede comprometer un punto de acceso, puede comprometer potencialmente a todos los usuarios en el BSS. El atacante puede monitorear un segmento de red inalmbrica completo y causar estragos en cualquier usuario conectado al mismo.

Prevenir un ataque MITM depende de la sofisticacin de la infraestructura de su WLAN y su actividad de monitoreo y vigilancia en la red. El proceso comienza identificando los dispositivos legtimos en su Para hacer esto, debe autenticar a los usuarios de su WLAN.

Cuando se conocen todos los usuarios legtimos, debe monitorear la red en busca de dispositivos y trfico que no deberan estar all. Las WLAN de empresas que utilizan dispositivos WLAN de tecnologa avanzada proveen herramientas a los administradores que trabajan juntas como un sistema de prevencin de intrusin inalmbrica (IPS). Estas herramientas incluyen escners que identifican puntos de acceso no autorizados y redes ad hoc y tambin administracin de recursos de radio (RRM) que monitorean la banda RF en busca de actividad y carga de puntos de acceso. Un punto de acceso que est ms ocupado que de costumbre alerta al administrador sobre un posible trfico no autorizado.

3.1.2 Denegacin de servicio Las WLAN 802.11b y g utilizan la banda 2.4 GHz ISM sin licencia. sta es la misma banda utilizada por la mayora de los productos de consumo, incluidos monitores de beb, telfonos inalmbricos y hornos de microondas. Con estos dispositivos que congestionan la banda RF, los atacantes pueden crear ruido en todos los canales de la banda con dispositivos comnmente disponibles.

Anteriormente discutimos sobre cmo un atacante puede convertir una NIC en un punto de acceso. Ese truco tambin se puede utilizar para crear un ataque DoS. El atacante, mediante una PC como punto de acceso, puede inundar el BSS con mensajes listos para enviar (CTS), que inhabilitan la funcin de CSMA/CA utilizada por las estaciones. Los puntos de acceso, a su vez, inundan la BSS con trfico simultneo y causan un stream constante de colisiones.

Otro ataque DoS que puede lanzarse en un BSS es cuando un atacante enva una serie de comandos desvinculados que causa que todas las estaciones en el BSS se desconecten. Cuando las estaciones estn desconectadas, tratan de reasociarse inmediatamente, lo que crea una explosin de trfico. El atacante enva otro comando desvinculado y el ciclo se repite.

3.2 Protocolos de seguridad inalmbricos

3.2.1 Descripcin general del protocolo inalmbrico En este tema, aprender acerca de las caractersticas de los protocolos inalmbricos comunes y del nivel de seguridad que cada uno proporciona.

Se introdujeron dos tipos de autenticacin con el estndar 802.11 original: clave de autenticacin WEP abierta y compartida. Mientras la autenticacin abierta en realidad es "no autenticacin" (un cliente requiere autenticacin y el punto de acceso la permite), la autenticacin WEP deba proveer privacidad a un enlace, como si fuera un cable conectado de una PC a una conexin de pared Ethernet. Como se mencion anteriormente, las claves WEP compartidas demostraron ser defectuosas y se requera algo mejor. Para contrarrestar las debilidades de la clave WEP compartida, el primer enfoque de las compaas fue tratar tcnicas como SSID camuflados y filtrado de direcciones MAC. Estas tcnicas tambin son muy dbiles. Aprender ms acerca de las debilidades de estas tcnicas ms adelante.

Las fallas con la encriptacin de la clave WEP compartida estn desdobladas. Primero, el algoritmo utilizado para encriptar la informacin poda ser descifrado por crackers. Segundo, la escalabilidad era un problema. Las claves WEP de 32 bits se administraban manualmente, de modo que los usuarios ingresaban manualmente, por lo general, de manera incorrecta, lo que creaba llamadas a las mesas de ayuda de soporte tcnico.

Luego de las debilidades de una seguridad basada en WEP, hubo un perodo de medidas de seguridad interinas. Los proveedores como Cisco, al querer cumplir con la demanda de mejor seguridad, desarrollaron sus propios sistemas mientras ayudaban simultneamente a desarrollar el estndar 802.11i. En el camino hacia el 802.11i, se cre el algoritmo de encriptacin TKIP, que estaba enlazado con el mtodo de seguridad de Acceso protegido WiFi (WPA) de la Wi-Fi Alliance.

Actualmente, el estndar que se debe seguir en la mayora de las redes de empresas es el estndar 802.11i. Es similar al estndar WPA2 de la Wi-Fi Alliance. Para empresas, el WPA2 incluye una conexin a una base de datos del Servicio de autenticacin remota de usuario de

acceso telefnico (RADIUS). El RADIUS se describir ms adelante en el captulo.

3.2.2 Autenticacin de una LAN inalmbrica En una red abierta, como una red de hogar, la asociacin puede ser todo lo que se requiera para garantizar el acceso del cliente a servicios y dispositivos en la WLAN. En redes que tengan requerimientos de seguridad ms estrictos, se requiere una autenticacin o conexin para garantizar dicho acceso a los clientes. El Protocolo de autenticacin extensible (EAP) administra este proceso de conexin. El EAP es una estructura para autenticar el acceso a la red. El IEEE desarroll el estndar 802.11i WLAN para autenticacin y autorizacin, para utilizar IEEE 802.1x.

El proceso de autenticacin WLAN de la empresa se resume de la siguiente manera:

* El proceso de asociacin 802.11 crea un puerto virtual para cada cliente WLAN en el punto de acceso. * El punto de acceso bloquea todas las tramas de datos, con excepcin del trfico basado en 802.1x. * Las tramas 802.1x llevan los paquetes de autenticacin EAP a travs del punto de acceso al servidor que mantiene las credenciales de autenticacin. Este servidor tiene en ejecucin un protocolo RADIUS y es un servidor de Autenticacin, autorizacin y auditoria (AAA). * Si la autenticacin EAP es exitosa, el servidor AAA enva un mensaje EAP de xito al punto de acceso, que permite entonces que el trfico de datos atraviese el puerto virtual desde el cliente de la WLAN. * Antes de abrir un puerto virtual se establece un enlace de datos encriptados entre el cliente de la WLAN y el punto de acceso establecido para asegurar que ningn otro cliente de la WLAN pueda acceder al puerto que se haya establecido para un cliente autenticado especfico.

Antes de que se utilicen el 802.11i (WPA2) o incluso el WPA, algunas compaas intentaron asegurar sus WLAN al filtrar sus direcciones MAC y evitar transmitir SSID. Hoy, es fcil utilizar software para modificar las direcciones MAC adjuntas a los adaptadores; de esta manera, el filtrado de las direcciones MAC se evita fcilmente.

No significa que no debe hacerlo, sino que si utiliza este mtodo, debe respaldarlo con seguridad adicional, como WPA2.

Incluso si un SSID no se trasmite mediante un punto de acceso, el trfico que viaja de un punto a otro entre el cliente y el punto de acceso revela, eventualmente, el SSID. Si un atacante monitorea pasivamente la banda RF, puede husmear el SSID en una de estas transacciones, porque se enva no cifrado. Esta facilidad para descubrir los SSID llev a algunas personas a dejar encendido el broadcast SSID. De hacerlo, debe probablemente ser una decisin organizacional registrada en la poltica de seguridad.

La idea de que puede asegurar su WLAN con nada ms que el filtrado MAC y apagando los broadcasts SSID, puede llevar a tener una WLAN totalmente insegura. La mejor manera de asegurar cules de los usuarios finales deben estar en la WLAN es utilizar un mtodo de seguridad que incorpore un control de acceso a la red basado en puertos, como el WPA2.

3.2.2 Encriptacin Hay dos mecanismos de encriptacin a nivel empresa especificados por el 802.11i certificados como WPA y WPA2 por la Wi-Fi Alliance: Protocolo de integridad de clave temporal (TKIP) y Estndar de encriptacin avanzada (AES).

El TKIP es el mtodo de encriptacin certificado como WPA. Provee apoyo para el equipo WLAN heredado que atiende las fallas originales asociadas con el mtodo de encriptacin WEP 802.11. Utiliza el algoritmo de encriptacin original utilizado por WEP.

El TKIP tiene dos funciones primarias:

* Encripta el contenido de la Capa 2 * Lleva a cabo un control de la integridad del mensaje (MIC) en el paquete encriptado. Esto ayuda a asegurar que no se altere un mensaje.

Aunque el TKIP resuelve todas las debilidades conocidas del WEP, la encriptacin AES de WPA2 es el mtodo preferido, porque alinea los estndares de encriptacin WLAN con los ms amplios estndares IT y las optimizaciones de la industria, ms notablemente el IEEE 802.11i.

El AES tiene las mismas funciones que el TKIP, pero utiliza informacin adicional del encabezado de la MAC que les permite a los hosts de destino reconocer si se alteraron los bits no encriptados. Adems, agrega un nmero de secuencia al encabezado de informacin encriptada.

Cuando configura los puntos de acceso Linksys o los routers inalmbricos, como el WRT300N, puede que no vea el WPA o el WPA2; en lugar de eso, podr ver referencias a algo llamado clave pre compartida (PSK). Algunos de los distintos tipos de PSK son:

* PSK o PSK2 con TKIP es el mismo que WPA * PSK o PSK2 con AES es el mismo que WPA2 * PSK2, sin un mtodo de encriptacin especificado, es el mismo que WPA2

3.3 Proteccin de una LAN inalmbrica

3.3.1 Control del acceso a la LAN inalmbrica El concepto de profundidad significa que hay mltiples soluciones disponibles. Es como tener un sistema de seguridad en su casa pero, de todas maneras, cerrar las puertas y ventanas y pedirle a los vecinos que la vigilen por usted. Los mtodos de seguridad que ha visto, especialmente el WPA2, son como tener un sistema de seguridad. Si quiere realizar algo extra para proteger el acceso a su WLAN, puede agregar profundidad, como se muestra en la figura, y as implementar este enfoque de tres pasos:

* Camuflaje SSID - Deshabilite los broadcasts SSID de los puntos de acceso * Filtrado de direcciones MAC - Las Tablas se construyen a mano en el punto de acceso para permitir o impedir el acceso de clientes basado en su direccin de hardware * Implementacin de la seguridad WLAN - WPA o WPA2

Una consideracin adicional para un administrador de redes alerta es configurar puntos de acceso cercanos a las paredes exteriores de edificios para transmitir en una configuracin de energa menor que los otros puntos de acceso cercanos al centro del edificio. Ni el SSID camuflado ni el filtrado de direcciones MAC se consideran medios vlidos para proteger a una WLAN, por los siguientes motivos:

* Se puede suplantar la identidad de las direcciones MAC fcilmente. * Los SSID se descubren con facilidad, incluso si los puntos de acceso no los transmiten.

Captulo 4
Configuracin de acceso a una LAN inalmbrica
La pantalla Basic Setup es la primera pantalla que ve cuando accede a la utilidad basada en la Web con direccin 192.168.1.254 como muestro en la Figura 4.1, estas pruebas para su demostracin fueron realizada en mdems y routers caseros.

Figura 4.1 Configuracin de los parmetros inalmbricos bsicos.

Network Name (SSID) es el nombre de red compartido entre todos los puntos en la red inalmbrica. El SSID debe ser idntico para todos los dispositivos en la red inalmbrica. Distingue entre maysculas y minsculas, y no debe exceder los 32 caracteres (utilice cualquier caracter en el teclado). Para mayor seguridad, debe cambiar el SSID predeterminado (linksys) a un nombre nico el cual muestro en la Figura 4.2.

Figura 4.2

SSID Broadcast cuando los clientes inalmbricos inspeccionan el rea local para buscar redes inalmbricas para asociarse, detectan el broadcast del SSID mediante el punto de acceso. Para transmitir el SSID, mantenga Enabled, que es la configuracin predeterminada. Si no quiere transmitir el SSID, deseleccione Enabled. Cuando termine de realizar los cambios a esta pantalla, haga clic en el botn Save, o haga clic en el botn Cancel para deshacer sus cambios el cual tambin se muestra en la Figura 4.3.

Figura 4.3

Wireless Channel se puede seleccionar Wide 2.437 MHz Channel para la configuracin de Radio Band que ya tambin se maneja de manera predeterminada dependiendo del calnal que se seleccione, esta configuracin est disponible para su canal Wireless-N principal. Se puede seleccionar cualquier canal del men desplegable el cual se muestra en la Figura 4.4. Radio Band esto es para un mejor rendimiento en una red que utiliza dispositivos Wireless-N,

Wireless-G, y Wireless-B, la cual esta predeterminada por el canal.

Figura 4.4.

4.2 Configuracin de seguridad. Esta configuracin es para ajustar la seguridad de una red inalmbrica. Existen siete modos de seguridad inalmbrica que los Gateway de infinitum admiten por general. Se listan aqu en el orden en que los ve en la GUI, desde el ms dbil al ms fuerte, con excepcin de la ltima opcin, que est deshabilitada:

* WEP * PSK-Personal o WPA-Personal en v0.93.9 firmware o posterior * PSK2-Personal o WPA2-Personal en v0.93.9 firmware o posterior * PSK-Enterprise o WPA-Enterprise en v0.93.9 firmware o posterior * PSK2-Enterprise o WPA2-Enterprise en v0.93.9 firmware o posterior * RADIUS * Disabled

Cuando vea "Personal" en un modo de seguridad, no se est utilizando un servidor AAA. "Enterprise" en el modo seguridad significa un servidor AAA y la utilizacin de una autenticacin EAP.

Como lo he mencionado WEP es un modo de seguridad con fallas. PSK2, que es lo mismo que WPA2 o IEEE 802.11i, es la opcin preferida para una mejor seguridad. Si WPA2 es la mejor, la duda era por qu hay tantas otras opciones. La respuesta es que muchas LAN inalmbricas admiten dispositivos viejos. Dado que todos los dispositivos de clientes que se asocian a un punto de acceso deben ejecutar el mismo modo de seguridad que ejecuta el punto de acceso, ste debe estar configurado para admitir el dispositivo que ejecuta el modo de seguridad ms dbil. Todos los dispositivos de LAN inalmbricas fabricados partir de marzo de 2006 se supone que pueden admitir WPA2 o, en el caso de los routers Linksys, PSK2; por lo que en el tiempo, a medida que se mejoren los dispositivos, ser capaz de conmutar el modo de seguridad de su red a PSK2.

La opcin RADIUS que est disponible para un moden inalmbrico permite utilizar un servidor RADIUS en combinacin con WEP.

Por lo general se realizan estas medidas para confirmar la seguridad:

1. Wireless Security aqu se selecciona el modo que quiera utilizar: PSK-Personal, PSK2Personal, PSK-Enterprise, PSK2-Enterprise, RADIUS, o WEP en este caso solo se cuentan con las opciones que se muestra en pantalla mostrado en la Figura 4.5 el moden y Figura 4.6 de un router.

Figura 4.5.

Figura 4.6.

2. Mode Parameters es cada uno de los modos PSK y PSK2 tiene parmetros que puede configurar mostrados en la Figura 4.7. Si selecciona la versin de seguridad PSK2Enterprise, debe tener un servidor RADIUS adjunto a su punto de acceso. Si tiene esta configuracin, necesita configurar el punto de acceso para que apunte al servidor RADIUS. Figura 4.7.

3. Direccin IP del servidor RADIUS se ingresa la direccin IP del servidor RADIUS y en el RADIUS Server IP Address se Ingresa el nmero de puerto utilizado por el servidor RADIUS. De manera predeterminada, es 1812.

4. Encryption se selecciona el algoritmo que quiere utilizar, AES o TKIP. (AES es un mtodo de encriptacin ms slido que TKIP) un ejemplo en la Figura 4.8.

Figura 4.8.

5. Pre-shared Key se ingresa la clave compartida por el router y sus otros dispositivos de red. Debe tener entre 8 y 63 caracteres como se muestra en la Figura 4.9.

Figura 4.9.

6. Key Renewal se ingresa el perodo de renovacin de la clave, que le dir al router con qu frecuencia debe cambiar las claves de encriptacin.

Cuando se termina de realizar los cambios a esta pantalla, hacemos clic en el botn Save Settings o haga clic en el botn Cancel Changes, para deshacer sus cambios.

4.3 Configuracin de una NIC inalmbrica. Luego de haber configurado su punto de acceso para autenticar clientes con un tipo de seguridad slida, debe hacer coincidir la configuracin del cliente con los parmetros del punto de acceso. Los siguientes pasos describen cmo configurar los parmetros de seguridad de su red inalmbrica en el cliente:

1. Haga doble clic en el cono de conexiones de red en la bandeja del sistema de Microsoft Windows XP tal como en la Figura 4.10.

Figura 4.10.

2. Haga clic en el botn Propiedades en el cuadro de dilogo sobre el estado de conexiones de red inalmbricas como se muestra en la figura 4.11.

Figura 4.11.

3. En el cuadro de dilogo Propiedades, haga clic en a etiqueta Redes inalmbricas como se muestra en la Figura 4.12.

Figura 4.12.

4. En la etiqueta Redes inalmbricas, haga clic en el botn Agregar. Adems, podr guardar perfiles inalmbricos mltiples con diferentes parmetros de seguridad, lo que le permite conectarse rpidamente a las WLAN que pueda utilizar regularmente como se muestra en la Figura 4.13.

Figura 4.13.

5. En el cuadro de dilogo de propiedades de red inalmbrica, ingrese el SSID de la WLAN que quiere configurar como se muestra en la Figura 4.14.

Figura 4.14.

6. En el cuadro de clave de red inalmbrica, seleccione su mtodo de autenticacin preferido del men desplegable Autenticacin de red. Se prefieren WPA2 y PSK2 por su solidez como se muestra en la Figura 4.15.

Figura 4.15.

7. Seleccione el mtodo de encriptacin en Cifrado de datos en el men desplegable. Recuerde que el AES es un cdigo ms slido que TKIP, pero debe coincidir con la configuracin de su punto de acceso aqu en su PC como se muestra en la figura 4.16.

Figura 4.16.

Luego de seleccionar el mtodo de encriptacin, ingrese y confirme una optin para Clave de red. Nuevamente, ste es un valor que debe ingresar en el punto de acceso.

Figura 4.17.

4.3.1 Verificacin de la conectividad a LAN inalmbrica. Con las configuraciones establecidas para el punto de acceso y el cliente, el prximo paso es confirmar la conectividad. Esto se realiza enviando un ping a los dispositivos en la red.

Abra la ventana peticin de entrada del comando DOS en la PC.

Trate de hacer ping a una direccin IP conocida para el dispositivo en la red. En la Figura 4.1

8, la direccin IP es 192.168.1.254. El ping fue exitoso, lo que indica una conexin exitosa.

Figura 4.18 4.4 Pruebas de seguridad en LANs inalmbrica. Para las pruebas se ocuparon 3 LANs cada una con un respectivo nivel de seguridad y con diferentes ndices de protocolos de seguridad, cabe aclarar que en estas pruebas no se mdico nada por criterios de la empresa y que estos solo se usaron para fines de esta tesis.

Prueba 1.

Para la primera prueba se realizo en una LAN de CFE la cual abarca una gran cantidad de empleados como se puede ver en la Figura 4.19

Figura 4.19

Como se puede ver en la figura 4.20 las medidas de seguridad que maneja son obsoletas ya que con el simple hecho de estar en un radio aproximado, leer el SIID (4.21) y hacer conexin uno ya puede estar infiltrado en la red.

Figura 4.20.

Figura 4.21

Prueba 2.

Para la segunda prueba se realizo en una LAN de CFE la cual abarca una gran cantidad de empleados como se puede ver en la Figura 4.22

Figura 4.22 Como se puede ver en la figura 4.23 las medidas de seguridad son mas pertinentes que en la prueba 1 as que para poner a prueba la seguridad de esta LAN aplique la tcnica de ataque man-in-the-middle como se puede ver en la Figura 4.24 y el resultado que se adquiri como

se muestra en la Figura 4.25 es que aun con esas medidas de seguridad que se tienen es que se logro obtener la contrasea.

Figura 4.23

Figura 4.24

Figura 4.25

Prueba 3.

Para la tercera prueba se realizo en el laboratorio de redes de la FIE de la cual abarca todo aquel estudiante que quiera ingresar a la red como se puede observar en la Figur a 4.26 las medidas son muy restrictivas para cual aplicamos la tcnica de ataque man-in-themiddle como se puede ver en la Figura 4.27 la cual no pudimos adquirir alguna contrasea que nos ingresa a la red.

Figura 4.26

Figura 4.27

Captulo 5

Conclusiones
Como se pudo observar las redes WPA con protocolos de de encriptacin PSK son sumamente seguras pero por que en empresas como en CFE de las cuales observamos que su seguridad es mnima no comienza implementar estndares mas fuertes como en el laboratorio de redes de la FIE, bueno es porque no ha existido una nueva infraestructura en el equipo de redes, por lo tanto si un moden o un router se actualizara tal vez los otros host no estaran trabajando bajo el mismo estndar y habra muchos problemas de conexin, hacer una remodelacin le costara a la empresa en el sentido econmico y administrativo, por otra parte los usuarios que administran y trabajan en la red parece no importar el sentido de la seguridad informtica, si les importa que todo este en buen estado ,aparte al ser modificados no solos la parte del hardware si no tambin del software incomodara a muchos usuarios tener que adaptarse a nuevos sistemas. Y haciendo una valoracin en esta empresa hoy en da cuenta con 2 000 000 de pesos en informacin y simplemente en un da se recaudan 60 000 pesos de informacin, en conclusin puedo confirmar que las redes WPA con encriptacin PSK hoy en da son herramientas confiables de seguridad el detalle ha sido que esta medidas de seguridad nos han adelantado en medidas de hardwares estos ya son criterios que la empresa debe valorar.