Arquitecturas seguras en redes inalmbricas

Jessica Flores Reyes

e-mail: jess.fr7@gmail.com
Facultad de Sistemas y Telecomunicaciones
Universidad Estatal Pennsula de Santa Elena
La Libertad - Ecuador
dquirumbay@upse.edu.ec
Comunicaciones II

RESUMEN: el presente documento da a conocer las arquitecturas seguras de las redes inalmbricas,
adems del estndar 802.11i para la autenticacin de usuarios que acceden a la red. Se especifica los
modos de funcionamiento de los equipos inalmbricos, as como tambin, el diseo lgico de la WLAN
segura.

El punto clave y eje de esta consulta, es analizar la

arquitectura que deben tener las redes inalmbricas
para dar a conocer mejoras.

INTRODUCCION
Las redes inalmbricas, son redes a las que se
tiene fcil acceso sin la necesidad de la conexin por
cables. Permiten a los usuarios engancharse a la red y
poder desplazarse dentro del rea de cobertura sin
perder la conexin.

MODOS DE FUNCIONAMIENTO EN
WiFi [1]

Estas redes utilizan ondas electromagnticas para

la transmisin de datos entre uno o varios dispositivos
receptores y trasmisores de seales, por tal motivo la
tecnologa inalmbrica vara constantemente por
parmetros con frecuencia, canal, radio de cobertura,
velocidad de transmisin, entre otros.

Los dispositivos inalmbricos pueden operar en

varios modos como:

Cabe mencionar, que son vulnerables a ataques

como el acceso a la informacin sensible por lo que el
atacante logra captar la seal e intentar acceder y
conectarse fcilmente a la red en caso de que la
informacin que se transmite no est codificada, siendo
esto una accin desfavorable para la entidad u
organizacin poseedora de la red.
El administrador de la red, tiene la obligacin de
verificar y disminuir las vulnerabilidades a la que est
expuesta la red inalmbrica para aplicar mtodos de
seguridad que logre contrarrestar los riesgos de filtrado
de informacin.

Master
Este modo es tambin llamado AP (Access
Point) o de infraestructura, usado para la
instalacin de una red con un AP que conecta
a diferentes clientes.
Los dispositivos WiFi en este modo, solo se
pueden comunicar con dispositivos asociados a
ellos que estn en el modo Managed.

Managed
Tambin llamado modo cliente, estacin o
CPE. Los dispositivos configurados en este
modo, se unirn a una red creada por el Master
y automticamente cambiarn su canal para
ajustarse con el del Master. Su comunicacin

ser solo con el equipo Master, mas no entre s

mismos.
Ad-hoc
Usado en redes mesh, la comunicacin se
realiza nicamente entre los nodos y los
dispositivos debern estar dentro del mismo
rango de cobertura para escoger el nombre de
red y un canal comn.

espectro en una zona especfica, efectuar

tareas de mantenimiento y de seguridad, entre
otros.
Cada uno de estos modos, poseen restricciones
especficas de operacin indicando que solo se puede
operar en un modo determinado a la vez, es decir, si el
equipo opera como AP ya o puede operar como cliente.
Cabe mencionar, que existen casos en que los
equipos aceptan ms de un modo como en el caso de
las redes mesh para el aumento del rendimiento.

Monitor
Este modo no es usado normalmente para
comunicaciones,
sino
para
escuchar
parcialmente todo el trfico en un canal dado.
Es til para el anlisis de los problemas de un
enlace inalmbrico, observar el uso del

A continuacin se puede observar las posibles

comunicaciones con los equipos establecidos en
diferentes
modos.

Figura 1. Modos de funcionamiento de equipos inalmbricos

El
estndar
abarca
los
protocolos
802.1x, TKIP (Protocolo de Claves Integra Seguras
Temporales), y AES (Advanced Encryption Standard,
Estndar de Cifrado Avanzado).

PROTOCOLO 802.11i [2]

Este protocolo est dirigido a disminuir la
vulnerabilidad actual en la seguridad para protocolos de
autenticacin y de codificacin.

Se implementa en Wi-Fi Protected Access (WPA2).

Figura 2. Arquitectura de una red inalmbrica segura

Descripcin
del
proceso
conexin de un cliente

de

1.

El equipo cliente debe poseer los

certificados instalados, puede copiarlos
manualmente o puede conectarse al
dominio a travs de un canal seguro.

2.

El equipo cliente detecta el SSID de la

WLAN, es usado para determinar la
configuracin correcta y el tipo de
credencial que va a utilizarse en la WLAN.
La
configuracin
del
AP
permite
conexiones seguras a travs de 802.1x.
2.1. Cuando el equipo cliente intenta
conectarse, el AP abre un canal
restringido para la comunicacin
con el servidor de autenticacin
(RADIUS).
2.2. RADIUS solo acepta conexiones
de puntos de acceso de
confianza o de otro equipo que
se haya configurado como cliente
RADIUS en el IAS (Servicio de
Autenticacin de Internet)
2.3. El equipo cliente establece una
sesin segura en la capa de
transporte
permitiendo
la
autenticacin entre el RADIUS y
el cliente. El trfico es cifrado.

3.

En esta fase, el RADIUS valida las

credenciales del cliente con el Directorio
Activo para que se transmita la decisin al
AP.
3.1. Si la decisin es positiva, el
RADIUS transmite la clave
maestra al AP, con esta
informacin se crea un canal
seguro de transmisin.

4.

Por ltimo, el AP conecta al cliente con la

red interna a travs de un canal cifrado.

Descripcin de los elementos de la

arquitectura

Infraestructura PKI (Infraestructura de

Clave Pblica)
o Definir cmo ser la emisin
y uso de los certificados
dentro de la organizacin.
o Decidir que aplicaciones van
a
necesitar
certificados
dentro de la organizacin.
o Definir el nivel de seguridad
de los certificados

Servidor RADIUS
Su implementacin se realiza a travs
del Servicio de Autenticacin de
Internet (IAS) de Microsoft, en este
caso se har uso del servicio AAA
(Authentication, Authorization and
Accounting) y no del Proxy debido a
que solo se cuenta con un servidor
RADIUS.

Equipo cliente.
Autenticador: switch, router, etc.
Servidor de autenticacin (RADIUS)

DISEO LGICO DE LA SOLUCIN DE

WLAN SEGURA [5]

Directorio Activo
Importante para la importacin
automtica de los certificados de los
clientes

La agrupacin de componentes elegida, permite

una visualizacin modular del diseo completo que
permite
una
mxima
reutilizacin
de
estos
componentes. Los servicios de TI del diseo se
agruparn en los siguientes grupos lgicos:

PROTOCOLO 802.1x: COMPONENTES

BSICOS [3]

Es un protocolo de control de acceso y

autenticacin basado en la arquitectura cliente/servidor,
que restringe la conexin de equipos sin autorizacin en
una red, adems, est diseado para emplear
servidores RADIUS (Remote Authentication Dial-In User
Service). Este protocolo involucra 3 componentes:

Componentes WLAN: clientes y puntos de

acceso inalmbricos
Componente RADIUS
Componente PKI: entidades emisoras de
certificados
Componente Servicios de infraestructura

Este ltimo componente incluye un directorio y

servicios de red auxiliares. stos se componen de
servicios de TI que generalmente ya existan en la
organizacin y con los que la solucin interacta de
algn modo.

Figura 3. Diseo lgico de la solucin de una WLAN segura

Los servidores de VPN son los encargados de

autenticar y autorizar a los clientes inalmbricos, y de
cifrar todo el trfico desde y hacia dichos clientes.

EJEMPLOS

El enrutador hace la funcin de

firewall [4]

GLOSARIO

AAA
(Authentication,
Authorization
and
Accounting)
Permite definir a que recursos tiene acceso el
usuario, y al mismo tiempo, rastrea l actividad
del usuario en la red. Requiere de un servidor
dedicado, por ejemplo RADIUS

AES (Advanced Encryption Standard)

Algoritmo de encriptacin simtrica de 128 bits.

Firewall
Software y hardware de seguridad encargado
de bloquear y chequear el trfico de la red.

RADIUS (Remote Authentication Dial-In User

Service)
Sistema de autenticacin y contabilizacin
empleado por la mayora de ISP.

CONCLUSIONES
Las
redes
inalmbricas
se
exponen
constantemente a una serie de ataques, los cuales, con
una buena administracin de red se pueden disminuir
pero no desaparecer del todo.
La arquitectura de estas redes est guiada por el
protocolo 802.11i para la autenticacin de clientes que
deseen acceder a la red, siendo uno de los mtodos
ms seguros para grandes entidades.

Figura 4. WLAN

Arquitectura de un VPN para el

acceso inalmbrico seguro [3]

RECOMENDACIONES
Vulnerar la red por parte del administrador de red o
de una persona especializada en vulnerabilidades de
redes contrata por la entidad, para la disminucin de
amenazas de la red.
Poseer servidores de autenticacin, sistemas
adicionales de seguridad, actualizar peridicamente el
firmware y software de los AP.

Figura 5. VPN

BIBLIOGRAFA
[1] WALC. (18 de Marzo de 2011). Recuperado el 1 de
Agosto de 2015, de
http://www.eslared.org.ve/walc2012/material/tra
ck1/05-Introduccion_a_las_redes_WiFi-esv2.3-notes.pdf
[2] Contribuciones. (6 de Diciembre de 2011).
SECURITYBYDEFAULT. Recuperado el 1 de
Agosto de 2015, de
http://www.securitybydefault.com/2011/12/ejem
plo-de-arquitectura-wireless-con.html
[3] bibdigital. (s.f.). Recuperado el 1 de Agosto de 2015,
de
http://bibdigital.epn.edu.ec/bitstream/15000/242
9/1/CD-0117.pdf
[4] Hernando, R. (9 de Julio de 2007). rhernando.net.
Recuperado el 1 de Agosto de 2015, de
http://www2.rhernando.net/modules/tutorials/do
c/redes/seg-wifi.pdf
[5] MICROSOFT. (24 de Noviembre de 2004).
Recuperado el 1 de Agosto de 2015, de
https://www.microsoft.com/latam/technet/articul
os/wireless/pgch03.mspx