Upload
others
View
8
Download
0
Embed Size (px)
Citation preview
SEGURIDAD EN REDES INALAMBRICAS DOMESTICAS
GABRIEL ANDRES SAAVEDRA RIOS
UNIVERSIDAD LIBRE DE COLOMBIA FACULTAD INGENIERIA DE SISTEMAS
BOGOTÁ 2011
SEGURIDAD EN REDES INALAMBRICAS DOMESTICAS
GABRIEL ANDRES SAAVEDRA RIOS Cod. 66011101
Monografía presentada para optar por el titulo de Ingeniero de Sistemas
Revisado por: BEATRIZ ALEXANDRA ARBELAEZ HURTADO
Ingeniera
UNIVERSIDAD LIBRE DE COLOMBIA FACULTAD INGENIERIA DE SISTEMAS
BOGOTÁ 2011
Nota de aceptación Jurado
Jurado
Bogotá, Febrero de 2011
CONTENIDO
Pág.
INTRODUCCION
OBJETIVOS
DESCRICION DEL PROBLEMA
FORMULACION DEL PROBLEMA
JUSTIFICACION
ALCANCE
RESULTADOS PROPUESTOS
1. STANDAR DE LAN INALAMBRICA
1.1 IEEE 802.11
1.2 IEEE 802.11a
1.3 IEEE 802.11b
1.4 IEEE 802.11g
1.5 IEEE 802.11n
2. EL PROBLEMA DE LA SEGURIDAD
2.1. WARCHALKING
2.2. WARDRIVING
3. TOPOLOGIAS REDES WLAN
3.1 AD HOC
3.2 ESTRELLA
1
3
4
5
6
7
7
8
8
9
9
10
10
11
12
13
14
14
15
4. PROTOCOLOS WLAN
4.1 WEP (Wireless Equivalent Privacy)
4.2 WAP (Wi-Fi Protected Access, acceso protegido Wi-Fi)
5. MANUAL DE CREACION Y ADMINISTRACION DE UNA
RED INALAMBRICA SEGURA CON UN ROUTER CISCO
5.1. DESCRIPCION DE LOS SISPOSITIVOS DE LA RED
5.1.1. ROUTER CISCO WRT546 V8
5.1.2. MODEM
5.2. PASOS PARA CONFIGURAR EL ROUTER
5.2.1. SETUP
5.2.2. STATUS
5.2.3. WIRELESS
5.2.3.1. BASIC WIRELESS SETTINGS
5.2.3.2. WIRELESS SECURITY
5.2.4. SEGURIDAD
5.2.5. RESTRICCION EN EL ACCESO
5.2.6. ADMINISTRACION
RESULTADOS OBTENIDOS
CONCLUSIONES
BIBLIOGRAFIA
16
16
25
29
30
31
31
31
34
36
36
36
38
47
49
50
52
53
58
0
LISTA DE FIGURAS
Pág.
Figura 1. Conexión de usuario no autorizado a una WLAN 11
Figura 2. Simbología Warchalking 13
Figura 3. Elementos básicos para una WLAN 30
Figura 4. Componentes de Router y Modem 30
Figura 5. Conexión Modem a Router 32
Figura 6. Ventana para ingresar a la consola de configuración del Router 33
Figura 7. Ventana Setup Router 34
Figura 8. Ventana Status Router 35
Figura 9. Ventana Wireless Router 37
Figura 10. Ventana Wireless Security – Security Mode 41
Figura 11. Ventana Wireless – WPA Algorithms 43
Figura 12. Ventana Wireless – WPA Shared Key 44
Figura 13. Ventana Wireless – Wireless MAC Filter 45
Figura 14. Ventana Wireless – Configuración MAC Filter 46
Figura 15. Ventana Wireless – MAC Address Filter List 47
Figura 16. Ventana Wireless – Seguridad Firewall 48
Figura 17. Ventana Security – VPN 49
Figura 18. Ventana Access Restirctions 50
Figura 19. Ventana administration 51
1
INTRODUCCION
La seguridad es un aspecto que cobra especial relevancia cuando hablamos de redes
inalámbricas. Para tener acceso a una red cableada es imprescindible una conexión
física al cable de la red. Sin embargo, en una red inalámbrica desplegada en un hogar
un tercero podría acceder a la red sin ni siquiera estar ubicado dentro del hogar,
bastaría con que estuviera en un lugar próximo donde le llegara la señal. Es más, en el
caso de un ataque pasivo, donde sólo se escucha la información, ni siquiera se dejan
huellas que posibiliten una identificación posterior.
El canal de las redes inalámbricas, al contrario que en las redes cableadas privadas,
debe considerarse inseguro. Cualquiera podría estar escuchando la información
transmitida. Y no sólo eso, sino que también se pueden inyectar nuevos paquetes o
modificar los ya existentes (ataques activos). Las mismas precauciones que tenemos
para enviar datos a través de Internet deben tenerse también para las redes
inalámbricas.
Las redes inalámbricas de área local (WLAN) tienen un papel cada vez más
importante en las comunicaciones del mundo de hoy. Debido a su facilidad de
instalación y conexión, se han convertido en una excelente alternativa para ofrecer
conectividad en lugares donde resulta inconveniente o imposible brindar servicio con
una red cableada. La popularidad de estas redes ha crecido a tal punto que los
fabricantes de computadores y motherboards están integrando dispositivos para
acceso a WLAN en sus equipos.
2
Una WLAN se puede conformar de dos maneras:
• En estrella. Esta configuración se logra instalando una estación central denominada
punto de acceso (Access Point), a la cual acceden los equipos móviles. El punto de
acceso actúa como regulador de tráfico entre los diferentes equipos móviles. Un
punto de acceso tiene, por lo regular, un cubrimiento de 100 metros a la redonda,
dependiendo del tipo de antena que se emplee, y del número y tipo de obstáculos que
haya en la zona.
• Red ad hoc. En esta configuración, los equipos móviles se conectan unos con otros,
sin necesidad de que exista un punto de acceso. El tipo de conformación más común
es en estrella; se emplea por lo general cuando se desea ofrecer acceso inalámbrico a
una red cableada ya existente.
3
OBJETIVOS
GENERAL
• Implementar la seguridad en redes LAN inalámbricas domésticas, para evitar
el fraude y la captura inapropiada de los datos e información que viaje por el
medio.
ESPECÍFICOS
• Conocer los diferentes protocolos y estándares desarrollados para la
implementación de una LAN inalámbrica doméstica.
• Estudiar las diferentes topologías de redes LAN inalámbricas domésticas.
• Implementar las diferentes políticas de seguridad en redes inalámbricas
domésticas.
4
DESCRIPCIÓN DEL PROBLEMA
Actualmente con la infraestructura del negocio en auge y crecimiento, ha surgido
la necesidad de implementar redes LAN basadas en dispositivos inalámbricos
para las operaciones diaria; sin embargo, las personas son cada vez más móviles y
desean mantener el acceso a los recursos LAN desde otras ubicaciones además de
sus escritorios.
Las personas desean llevar sus computadoras portátiles a cualquier lugar, lo cual
no es conveniente depender de una conexión por cable.
Los beneficios que se toman de las redes inalámbricas son reducción de costos y
agilidad en los procesos de captura de datos, pero aquí es donde encontramos un
problema con respecto a estos sistema de comunicación, es la implementación de
la seguridad en las redes inalámbricas, ya que están expuesta a que se vulnere sus
protocolos de seguridad y puedan capturar información u obtener acceso a la red
por personas no autorizadas.
5
FORMULACIÓN DEL PROBLEMA
El problema es la falta de seguridad en las redes inalámbricas domésticas donde
se garantice el derecho a acceder a datos y recursos del sistema configurando los
mecanismos de autentificación y control que aseguren a los usuarios de estos
recursos únicamente la posibilidad de acceder a los derechos que se les han
otorgado.
Se encuentran muchas herramientas para ubicar redes inalámbricas que no posean
ningún tipo de seguridad en sus dispositivos de acceso, generalmente estas redes
son las de uso doméstico y la mas fáciles de vulnerar, este problema es muy típico
encontrarlo en los edificios residenciales y es donde las personas que no
pertenecen a estas redes pueden obtener cualquier tipo de beneficio al poder
ingresar a estas redes inalámbricas domésticas donde no se cuenta con la
seguridad necesaria para cifrar y encriptar los datos, debido a la fragilidad en la
configuración del dispositivo de acceso.
6
JUSTIFICACIÓN
Las redes de uso doméstico usualmente no se encuentran configurados todos los
mecanismos de seguridad inalámbrica que existen en el mercado, es un punto
crítico en la implementación de las redes inalámbricas ya que los usuarios de las
redes están con la desconfianza de implementar las tecnologías de
comunicaciones por la inseguridad que generan estos dispositivos, la justificación
de esta monografía es dar a conocer los parámetros y tecnologías básicas para la
configuración de un punto de acceso en una red doméstica, garantizando la
confiabilidad, usabilidad y portabilidad de los dispositivos móviles de la red.
.
7
ALCANCE
El fundamento de esta monografía es la implementación y estudio de diferentes
técnicas y protocolos para la configuración de un punto de acceso inalámbrico
para uso doméstico, ofreciendo la seguridad de toda la información que se
transmita por este canal de comunicación llegue a su destino final y no pueda ser
violentada por personas que solo buscan la oportunidad para estropear el libre y
buen funcionamiento de la red de trabajo inalámbrica.
RESULTADOS PROPUESTOS
• Entregar por medio de esta monografía los conocimientos básicos en la
implementación de redes WLAN.
• Dar a conocer los protocolos de seguridad en las redes WLAN.
• Explicar la configuración de un router aplicando las políticas básicas de
seguridad en la red WLAN.
8
1. STANDAR DE LAN INALAMBRICA
La arquitectura OSI en capas física y enlace de datos define el estándar Wi-Fi o IEEE
802.11, donde nos especifican los protocolos y funcionamiento de una WLAN en la
rama 802.x en redes de área local.
Actualmente los dispositivos inalámbricos cuentan con el protocolo b y g, sin
embargo se creo otro protocolo o estándar 802.11n que aumento a 600 Mbps, en la
actualidad los dispositivos cumple un máximo de 300 Mbps (80 – 100 estables).
Los estándares 802.11b y 802.11g trabajan en bandas 2.4 GHz sufren interferencias
de otras aparatos electrónicos entre los cuales están los microondas, teléfonos
inalámbricos y equipos que utilicen esta misma banda.
| 1.1. IEEE 802.11
IEEE 802.11 transmiten teóricamente de 1 a 2 megabits por segundo
(Mbit/seg) utilizando el canal infrarrojo (IR) siendo este parte del estándar.
Este estándar define el protocolo CSMA/CA (Múltiple acceso por detección
de portadora evitando colisiones) para el acceso. La velocidad de trasmisión
se complementa con el cifrado para optimizar la claridad de la trasmisión en
cualquier situación lo que produjo poca compatibilidad entre dispositivos de
diferentes marcas.
9
1.2. IEEE 802.11a
El estándar 802.11a utiliza protocolos de la base del estándar inicial, trabaja
en la frecuencia de 5 GHz y velocidad de 54 Mbit/seg lo cual hace que estas
redes inalámbricas utilicen velocidades de 20 Mbit/seg. La velocidad de
transmisión de los datos varía entre 48 y 6 Mbit/seg, soportada 12 canales no
solapados, 4 para redes ad hoc y 8 para WLAN, no es compatible con ningún
otro estándar IEEE.
Una ventaja del estándar 802.11a es que utiliza la banda de 5 GHz la cual
representa una ventaja que no causa interferencia con otro aparatos
electrónicos y su desventaja es la poca cobertura de este canal lo que implica
la instalación de mas dispositivos de punto de acceso para cubrir el 100%; el
alcance de la red y los dispositivos deben estar en línea directa con el punto de
acceso ya que el espectro de esta banda y sus ondas son de fácil absorción en
el medio.
1.3. IEEE 802.11b
802.11b utiliza el método CSMA/CA y funcionamiento en la banda 2.4 GHz,
a una velocidad de trasmisión de 11 Mbit/seg, velocidad máxima de
transmisión de 5.9 Mbit/seg sobre TCP y 7.1 Mbit/seg sobre UDP.
802.11b utiliza CCK (Complementary Code Keying) y aumento del espectro
basado en DSSS para utilizar velocidades de 5.5 a 11 Mbps, también admite
PBCC (Packet Binary Convolutional Coding) opcionalmente. Este estándar
mantiene la compatibilidad con dispositivos del estándar original 802.11 a
velocidades de 1 y 2 Mbps.
10
1.4. IEEE 802.11g
A partir del estándar 802.11b se crea el estándar 802.11g el cual utiliza la
banda 2.4 GHz al igual que 802.11b, y utiliza una velocidad máxima de 54
Mbit/seg, teniendo un promedio en la transmisión de datos de 22 Mbit/seg de
velocidad real de transferencia, muy parecido al estándar 802.11a.
802.11g es compatible con 802.11b ya que utilizan las mismas frecuencias y
significa que trabajaran los dos estándares simultáneamente con una
desventaja en la reducción del 802.11b en la velocidad de transmisión. En la
actualidad la masificación en las ventas de dispositivos inalámbricos 802.11g,
crea y mejora la compatibilidad entre estos dos estándares para permitir un
mayor consumo de estos dispositivos que hoy día alcancen hasta medio vatio,
lo cual hace que tenga un alcance en redes de 50 km con antenas parabólicas.
1.5. IEEE 802.11n
IEEE mejora el estándar queriendo alcanzar una velocidad de transmisión de
600 Mbps, y tiene un aumento de hasta 10 veces que una WLAN que trabaje
bajo los estándares 802.11a, 802.11g y aproximadamente 40 veces más
rápida que una red bajo el estándar 802.11b.
Trabaja bajo la tecnología MIMO (Múltiple Input – Múltiple Output) la cual
permite enviar y recibir datos de diferentes antenas, lo que diferencia este
estándar a las otras versiones Wi-Fi es que 802.11n trabajan en las dos bandas
2.4 y 5 GHz lo que permite una perfecta compatibilidad con todos los
estándares IEEE y tiene un mejor rendimiento ya que utilizan los dos canales
para la transmisión lo que implica una mejor calidad en la velocidad de la
trasmisión de los datos.
11
2. EL PROBLEMA DE LA SEGURIDAD
Lo que hace tan popular a las redes inalámbricas WLAN es la facilidad de acceso sin
cables, siendo a la vez el mayor problema de estas redes en cuanto a seguridad se
refiere, si se encuentra algún equipo dentro de la cobertura de la red inalámbrica
podría acceder a ella. Este es el caso de un edificio residencial donde en cada
apartamento se tiene una red inalámbrica, un usuario podría con un equipo que
tuviera un NIC inalámbrico encontrarse en un instante en el área de influencia de mas
de dos redes diferentes al mismo tiempo y de esta manera este usuario podría
vincularse a cualquier red que este disponible para su acceso, diferente de la red a la
cual pertenece y tiene la autorización de conectarse. De otra manera igualmente las
ondas de radio navegan por el espectro dentro y fuera del edificio, donde cualquier
persona con un equipo adecuado podría acceder a esta red y conectarse de manera
fraudulenta para provocar perjuicios y manipular la información que viaja en este
medio.
Figura 1. Conexión de usuario no autorizado a una WLAN
12
Lo preocupante de la situación expuesta es que los administradores de la red no se
dan cuenta de los riesgos que implica la mala configuración de los dispositivos de
acceso inalámbrico en las residencias. Actualmente se protege la conexión a la red de
internet mediante la configuración adecuado de un firewall, pero esta configuración
es totalmente vulnerable porque el punto de acceso sigue emitiendo señales
inalámbricas por fuera del espacio del hogar, y la persona que detecte esta señal del
punto de acceso podrá conectarse e incluso disfrutar de internet gratis, emplear el
punto de acceso como punto de ataque para entrar a otras redes, lo cual implicaría que
este usuario no autorizado estaría en plena capacidad de robar toda la información
que necesitara e incluso introducir software maligno a esta red.
Esta mala configuración del punto de acceso es la oportunidad que busca un usuario
no autorizado para vulnerar la red inalámbrica y violar plenamente todo el protocolo
de seguridad informático del hogar.
La mala configuración de un punto de acceso es una cosa muy común, ya que no se
configura el cifrado WEP, el direccionamiento IP, autenticación Mac y en otras
ocasiones se dejan las configuración que viene por defecto de fábrica.
Actualmente existen métodos para localizar redes inalámbricas entre las cuales se
describen los dos más importantes:
2.1 WARCHALKING
Este mecanismo funciona de una manera muy fácil, consiste en ubicarse en un
sitio donde se quiera vulnerar una red y por medio de un dispositivo portátil
que este dotado de un NIC inalámbrico se busca la señal del punto de acceso,
si se encuentra un punto de acceso se dibuja un símbolo en la acera o en un
13
poste y si tiene algún tipo de seguridad o no, así otras personas pueden
conocer la ubicación de esta red y acceder a ella.
Figura 2. Simbología Warchalking
2.2 WARDRIVING
Este método funciona localizando los puntos de acceso con un dispositivo
portátil dotado de un NIC inalámbrico, haciendo recorridos dentro de un
automóvil, se utiliza un software para detectar la señal de redes alrededores y
14
una antena para ampliar la señal de cobertura del NIC inalámbrico del portátil
y un mapa para señalar los puntos de acceso a las redes de la ciudad.
Después de localizar un área se puede llevar dos tipos diferentes de ataques:
* Configurar un punto de acceso dirigiendo la señal a la antena del atacante,
de esta forma los usuarios autorizados de la red inalámbrica que esta siendo
vulnerada si conectaran al punto de acceso del pirata informático. De esta
forma el atacante tiene toda la libertad de robar la información y perjudicar la
misma sin ser detectado, porque los usuarios legítimos de la red creen estar
conectados a su red segura.
* Hacer uso ilegítimo de los recursos propios de la red.
3. TOPOLOGIAS REDES WLAN
3.1. AD HOC
También conocidas como MANET “Mobile ad hoc networks”. AD HOC
viene del latín y se refiere a algo improvisado, mientras que en
comunicaciones el propósito de ad hoc es proporcionar flexibilidad y
autonomía aprovechando los principios de auto-organización. Una red móvil
ad hoc es una red formada sin ninguna administración central o no hay un
nodo central, sino que consta de nodos móviles que usan una interface
inalámbrica para enviar paquetes de datos. Los ordenadores están en igualdad
de condiciones. La conexión es establecida por la duración de una sección.
Los artefactos descubren otros artefactos cercanos o en rango para formar el
“network”. Los artefactos pueden buscar nodos que están fuera del área de
alcance conectándose con otros artefactos que estén conectados a la red y
15
estén a su alcance. Las conexiones son posibles por múltiples nodos. Las
redes ad hoc presentan cambios de topología.
Una red Ad hoc consiste en un grupo de ordenadores que se comunican cada
uno directamente con los otros a través de las señales de radio si usar un punto
de acceso. Las configuraciones Ad hoc, son comunicaciones de tipo punto a
punto. Solamente los ordenadores dentro de un rango de transmisión definido
pueden comunicarse entre ellos. La tecnología es utilizada en varios campos
como en el ejercito, celulares y juegos de videos. En fin, en la tecnología Ad
hoc, cada terminal de comunicación se comunica con sus compañeros para
hacer una red ¨peer to peer¨. Cuando se estaba desarrollando IEEE 802.11 un
estándar para redes de área local inalámbrica (wireless local area network
WLAN) el Instituto de Ingeniería Eléctrica y Electrónica (Institute for
Electrical and Electronic Engineering IEEE) sustituyo el termino red de
paquetes de radio por el de red ad hoc. Asociadas con las redes saltos
múltiples de las operaciones militares o de rescate a gran escala y mediante la
adopción de un nuevo nombre.
3.2. ESTRELLA
Una red en estrella es una red en la cual las estaciones están conectadas
directamente a un punto central y todas las comunicaciones se han de hacer
necesariamente a través de éste. Los dispositivos no están directamente
conectados entre sí, además de que no se permite tanto tráfico de información.
Dado su transmisión, una red en estrella activa tiene un nodo central activo
que normalmente tiene los medios para prevenir problemas relacionados con
el eco.
16
Se utiliza sobre todo para redes locales. La mayoría de las redes de área local
que tienen un enrutador (router), un conmutador (switch) o un concentrador
(hub) siguen esta topología. El nodo central en estas sería el enrutador, el
conmutador o el concentrador, por el que pasan todos los paquetes.
4. PROTOCOLOS WLAN
4.1. WEP (Wireless Equivalent Privacy)
IEEE publicó un mecanismo opcional de seguridad, denominado WEP, en la
norma de redes inalámbricas 802.11. Pero WEP, desplegado en numerosas
redes WLAN, ha sido roto de distintas formas, lo que lo ha convertido en una
protección inservible. Para solucionar sus deficiencias, el IEEE comenzó el
desarrollo de una nueva norma de seguridad, conocida como 802.11i, que
permitiera dotar de suficiente seguridad a las redes WLAN.
No ajena a las necesidades de los usuarios, la asociación de empresas Wi-Fi
decidió lanzar un mecanismo de seguridad intermedio de transición hasta que
estuviese disponible 802.11i, tomando aquellos aspectos que estaban
suficientemente avanzados del desarrollo de la norma.
WEP (Wired Equivalent Privacy, Privacidad Equivalente al Cable) es el
algoritmo opcional de seguridad para brindar protección a las redes
inalámbricas, incluido en la primera versión del estándar IEEE 802.11,
mantenido sin cambios en las nuevas 802,11a y 802.11b, con el fin de
garantizar compatibilidad entre distintos fabricantes. El WEP es un sistema de
encriptación estándar implementado en la MAC y soportado por la mayoría de
las soluciones inalámbricas.
17
El estándar IEEE 802.11 proporciona mecanismos de seguridad mediante
procesos de autenticación y cifrado. En el modo de red Ad Hoc o conjunto de
servicios avanzados, la autenticación puede realizarse mediante un sistema
abierto o mediante clave compartida. Una estación de red que reciba una
solicitud puede conceder la autorización a cualquier estación, o sólo a aquellas
que estén incluidas en una lista predefinida. En un sistema de clave
compartida, sólo aquellas estaciones que posean una llave cifrada serán
autenticadas.
El estándar 802.11 especifica una capacidad opcional de cifrado denominada
WEP (Wireless Equivalent Privacy); su intención es la de establecer un nivel
de seguridad similar al de las redes cableadas. WEP emplea el algoritmo RC4
de RSA Data Security, y es utilizado para cifrar las transmisiones realizadas a
través del aire.
Aunque los sistemas WLAN pueden resistir las escuchas ilegales pasivas, la
única forma efectiva de prevenir que alguien pueda comprometer los datos
transmitidos consiste en utilizar mecanismos de cifrado. El propósito de WEP
es garantizar que los sistemas WLAN dispongan de un nivel de
confidencialidad equivalente al de las redes LAN cableadas, mediante el
cifrado de los datos que son transportados por las señales de radio. Un
propósito secundario de WEP es el de evitar que usuarios no autorizados
puedan acceder a las redes WLAN (es decir, proporcionar autenticación). Este
propósito secundario no está enunciado de manera explícita en el estándar
802.11, pero se considera una importante característica del algoritmo WEP.
WEP es un elemento crítico para garantizar la confidencialidad e integridad de
los datos en los sistemas WLAN basados en el estándar 802.11, así como para
proporcionar control de acceso mediante mecanismos de autenticación.
Consecuentemente, la mayor parte de los productos WLAN compatibles con
802.11 soportan WEP como característica estándar opcional.
18
Cifrado:
WEP utiliza una clave secreta compartida entre una estación inalámbrica y un
punto de acceso. Todos los datos enviados y recibidos entre la estación y el
punto de acceso pueden ser cifrados utilizando esta clave compartida. El
estándar 802.11 no especifica cómo se establece la clave secreta, pero permite
que haya una tabla que asocie una clave exclusiva con cada estación. En la
práctica general, sin embargo, una misma clave es compartida entre todas las
estaciones y puntos de acceso de un sistema dado.
Para proteger el texto cifrado frente a modificaciones no autorizadas mientras
está en tránsito, WEP aplica un algoritmo de comprobación de integridad
(CRC-32) al texto en claro, lo que genera un valor de comprobación de
integridad (ICV). Dicho valor de comprobación de integridad se concatena
con el texto. El valor de comprobación de integridad es, de hecho, una especie
de huella digital del texto. El valor ICV se añade al texto cifrado y se envía al
receptor junto con el vector de inicialización. El receptor combina el texto
cifrado con el flujo de clave para recuperar el texto. Al aplicar el algoritmo de
integridad al texto y comparar la salida con el vector ICV recibido, se puede
verificar que el proceso de descifrado ha sido correcto ó que los datos han
sido corrompidos. Si los dos valores de ICV son idénticos, el mensaje será
autenticado; en otras palabras, las huellas digitales coinciden.
Autenticación:
WEP proporciona dos tipos de autenticación: un sistema abierto, en el que
todos los usuarios tienen permiso para acceder a la WLAN, y una
autenticación mediante clave compartida, que controla el acceso a la WLAN y
evita accesos no autorizados a la red. De los dos niveles, la autenticación
mediante clave compartida es el modo seguro. En él se utiliza una clave
19
secreta compartida entre todas las estaciones y puntos de acceso del sistema
WLAN. Cuando una estación trata de conectarse con un punto de acceso, éste
replica con un texto aleatorio, que constituye el desafío (challenge). La
estación debe utilizar la copia de su clave secreta compartida para cifrar el
texto de desafío y devolverlo al punto de acceso, con el fin de autenticarse. El
punto de acceso descifra la respuesta utilizando la misma clave compartida y
compara con el texto de desafío enviado anteriormente. Si los dos textos son
idénticos, el punto de acceso envía un mensaje de confirmación a la estación y
la acepta dentro de la red. Si la estación no dispone de una clave, o si envía
una respuesta incorrecta, el punto de acceso la rechaza, evitando que la
estación acceda a la red.
La autenticación mediante clave compartida funciona sólo si está habilitado el
cifrado WEP. Si no está habilitado, el sistema revertirá de manera
predeterminada al modo de sistema abierto (inseguro), permitiendo en la
práctica que cualquier estación que esté situada dentro del rango de cobertura
de un punto de acceso pueda conectarse a la red. Esto crea una ventana para
que un intruso penetre en el sistema, después de lo cual podrá enviar, recibir,
alterar o falsificar mensajes. Es bueno asegurarse de que WEP está habilitado
siempre que se requiera un mecanismo de autenticación seguro. Incluso,
aunque esté habilitada la autenticación mediante clave compartida, todas las
estaciones inalámbricas de un sistema WLAN pueden tener la misma clave
compartida, dependiendo de cómo se haya instalado el sistema. En tales redes,
no es posible realizar una autenticación individualizada; todos los usuarios,
incluyendo los no autorizados, que dispongan de la clave compartida podrán
acceder a la red. Esta debilidad puede tener como resultado accesos no
autorizados, especialmente si el sistema incluye un gran número de usuarios.
Cuantos más usuarios haya, mayor será la probabilidad de que la clave
compartida pueda caer en manos inadecuadas.
20
Características:
Según el estándar, WEP debe proporcionar confidencialidad, autentificación y
control de acceso en redes WLAN. WEP utiliza una misma clave simétrica y
estática en las estaciones y el punto de acceso. El estándar no contempla
ningún mecanismo de distribución automática de claves, lo que obliga a
escribir la clave manualmente en cada uno de los elementos de red. Esto
genera varios inconvenientes. Por un lado, la clave está almacenada en todas
las estaciones, aumentando las posibilidades de que sea comprometida. Y por
otro, la distribución manual de claves provoca un aumento de mantenimiento
por parte del administrador de la red, lo que conlleva, en la mayoría de
ocasiones, que la clave se cambie poco o nunca.
Algoritmos:
El algoritmo de encriptación utilizado es RC4 con claves (seed), según el
estándar, de 64 bits. Estos 64 bits están formados por 24 bits correspondientes
al vector de inicialización más 40 bits de la clave secreta. Los 40 bits son los
que se deben distribuir manualmente. El vector de inicialización (IV), en
cambio, es generado dinámicamente y debería ser diferente para cada trama.
El objetivo perseguido con el IV es cifrar con claves diferentes para impedir
que un posible atacante pueda capturar suficiente tráfico cifrado con la misma
clave y terminar finalmente deduciendo la clave. Como es lógico, ambos
extremos deben conocer tanto la clave secreta como el IV. Lo primero
sabemos ya que es conocido puesto que está almacenado en la configuración
de cada elemento de red. El IV, en cambio, se genera en un extremo y se envía
en la propia trama al otro extremo, por lo que también será conocido.
Observemos que al viajar el IV en cada trama es sencillo de interceptar por un
posible atacante.
21
Fallas de seguridad:
Debilidad del vector de inicialización
La implementación del vector de inicialización (IV) en el algoritmo WEP
tiene varios problemas de seguridad. Recordemos que el IV es la parte que
varía de la clave (seed) para impedir que un posible atacante recopile
suficiente información cifrada con una misma clave.
Sin embargo, el estándar 802.11 no especifica cómo manejar el IV; se indica
que debería cambiarse en cada trama para mejorar la privacidad, pero no
obliga a ello. Queda abierta a los fabricantes la cuestión de cómo variar el IV
en sus productos. La consecuencia de esto es que buena parte de las
implementaciones optan por una solución sencilla: cada vez que arranca la
tarjeta de red, se fija el IV a 0 y se incrementa en 1 para cada trama. Esto
ocasiona que las primeras combinaciones de IVs y clave secreta se repitan
muy frecuentemente. Más aún, si tenemos en cuenta que cada estación utiliza
la misma clave secreta, por lo que las tramas con igual clave se multiplican en
el medio. Por otro lado, el número de IVs diferentes no es demasiado elevado
(224=16 millones aprox.), por lo que terminarán repitiéndose en cuestión de
minutos u horas. El tiempo será menor cuanto mayor sea la carga de la red. Lo
ideal sería que el IV no se repitiese nunca, pero como vemos, esto es
imposible en WEP. La cantidad de veces que se repite un mismo IV
dependerá de la implementación elegida para variar el IV por el fabricante
(secuencial, aleatoria, etc.) y de la carga de la red.
La longitud de 24 bits para el IV forma parte del estándar y no puede
cambiarse; existen implementaciones con claves de 128 bits (lo que se conoce
como WEP2), sin embargo, en realidad lo único que se aumenta es la clave
secreta (104 bits) pero el IV se conserva con 24 bits. El aumento de la
longitud de la clave secreta no soluciona la debilidad del IV.
22
Si se han capturado varias tramas con igual IV, es decir, con igual keystream,
solo se necesita conocer el mensaje sin cifrar de una de ellas, haciendo el
XOR entre un mensaje sin cifrar y el mismo cifrado, nos dará el keystream
para ese IV. Conociendo el keystream asociado a un IV, se puede descifrar
todas las tramas que usen el mismo IV. El problema es entonces conocer un
mensaje sin cifrar, aunque esto no es tan complicado, porque existen tráficos
predecibles o bien, se pueden provocar (mensajes ICMP de solicitud y
respuesta de eco, confirmaciones de TCP, etc.).
Características sistemas Wireless:
• Es un sistema sin hilos y, por lo tanto, con una antena adecuada se
puede interceptar todas las transmisiones de la celda (zona de un
access point).
• Se emite de forma onmidirección por eso no se necesita afinar para
capturar tráfico.
• Las estaciones utilizan franjas temporales asignadas por el
AccessPoint para comunicarse, pero las antenas y tarjeta spermiten
escuchar en toda la banda.
Métodos de sniffing:
• La antena es preferible que sea de Wireless LAN, pero pruebas con
sistemas metálicos sencillos también han permitido sniffar a
distancias cortas.
• Hay tarjetas y drivers preparados para monotorizar la red, son de alto
coste.
23
• Con tarjetas de bajo coste sobre Linux se puede modificar para captar
todo el tráfico.
• Un problema de algunas tarjetas de bajo coste es que deben pedir
franja temporal y darse de alta en el AP y podrían ser detectadas. Se
soluciona modificando Drivers.
Identificación de estaciones:
Se identifican por la clave compartida con el AP. WEP no utiliza estados
anteriores, esto permite reemplazar estaciones o realizar ataques de DOS.
También es posible realizar ataques de repetición, volviendo a enviar paquetes
capturados, que serán descifrados correctamente, si se descubre la clave, la
estación intrusa tiene acceso a la LAN como si estuviera pinchando en las
claves.
Ataques pasivos:
Un ataque pasivo, es aquel donde se identifican secuencias pseudoaleatorias
iguales. Ocurre por la debilidad de los algoritmos de streaming y del RC4. Fue
descubierto por Fluher, Mantin y Shamir en agosto del 2001. Puede servir
para realizar activos ya que con é se obtiene la clave.
Ataques activos:
Entre los ataques activos se encuentra:
• Repetición de paquetes. Aprovechando que WEP no utiliza estados
anteriores ni guarda estado.
24
• Inyección o permutación de bits: Utilizando el sistema de integridad
débil.
• Inyección de paquetes encriptados: Si se conoce un texto y su
encriptación, se puede encriptar un paquete sin conocer la clave.
• Por 2 extremos: Utilizando una máquina desde Internet se puede
generar tráfico que luego sea cifrado por el AP hacia las estaciones
wireless.
Vulnerabilidad RC4:
Fluhrer, Mantin y Shamir descubrieron en agosto del 2001 una debilidad del
RC4. Se utiliza únicamente el primer byte generado por la secuencia
pseudoaleatoria con el objetivo de obtener la clave de encriptación. También
en agosto del 2001, Stubblefield, Ioannidis y Rubin implementaron un sistema
práctico y barato para conseguir la clave con la vulnerabilidad del RC4.
Consiguieron la clave en 2 tipos de experimentos con:
• Entre 5 y 6 millones de paquetes utilizando sólo la vulnerabilidad.
• Sobre 1 millón de paquetes combinando esta técnica con otras.
Alternativas a WEP:
Las vulnerabilidades explicadas de WEP son motivos más que suficientes
para utilizar otros mecanismos de seguridad en redes WLAN. Aunque no
forma parte del estándar, los fabricantes de productos Wi-Fi decidieron
ofrecer la posibilidad de utilizar claves del doble de longitud (de 64 bits a 128
bits). WEP utilizado con claves de 128 bits es lo que se conoce generalmente
como WEP2. Sin embargo, debemos observar que la longitud del vector de
inicialización sigue siendo de 24 bits (las tramas IEEE 802.11 no contemplan
25
un mayor número de bits para enviar el IV), por lo que lo único que se ha
aumentado es la clave secreta (de 40 bits a 104 bits). Debido a que la longitud
del IV y su forma de utilizarlo no varían, las debilidades del IV pueden seguir
siendo aprovechadas de la misma manera. WEP2 no resuelve los problemas
de WEP.
Otra variante de WEP utilizada en algunas implementaciones es WEP
dinámico. En este caso se busca incorporar mecanismos de distribución
automática de claves y de autentificación de usuarios mediante
802.1x/EAP/RADIUS. Requiere un servidor de autentificación (RADIUS
normalmente) funcionando en la red. En el caso de que la misma clave (clave
secreta + WEP) no se utilice en más de una trama, este mecanismo sería
suficiente para compensar las principales debilidades de WEP.
4.2. WPA (Wi-Fi Protected Access, acceso protegido Wi-Fi)
WPA (Wi-Fi Protected Access, acceso protegido Wi-Fi) es la respuesta de la
asociación de empresas Wi-Fi a la seguridad que demandan los usuarios y que
WEP no puede proporcionar.
WPA soluciona todas las debilidades conocidas de WEP y se considera
suficientemente seguro. Puede ocurrir incluso que usuarios que utilizan WPA
no vean necesidad de cambiar a IEEE 802.11i cuando esté disponible.
Características de WPA
Las principales características de WPA son la distribución dinámica de claves,
utilización más robusta del vector de inicialización (mejora de la
confidencialidad) y nuevas técnicas de integridad y autentificación.
WPA incluye las siguientes tecnologías:
26
• IEEE 802.1X. Estándar del IEEE de 2001 para proporcionar un control
de acceso en redes basadas en puertos. El concepto de puerto, en un
principio pensado para las ramas de un switch, también se puede
aplicar a las distintas conexiones de un punto de acceso con las
estaciones. Las estaciones tratarán entonces de conectarse a un puerto
del punto de acceso. El punto de acceso mantendrá el puerto
bloqueado hasta que el usuario se autentifique. Con este fin se utiliza
el protocolo EAP y un servidor AAA (Authentication Authorization
Accounting) como puede ser RADIUS (Remote Authentication Dial-
In User Service) Si la autorización es positiva, entonces el punto de
acceso abre el puerto. El servidor RADIUS puede contener políticas
para ese usuario concreto que podría aplicar el punto de acceso (como
priorizar ciertos tráficos o descartar otros).
• EAP. definido en la RFC 2284, es el protocolo de autentificación
extensible para llevar a cabo las tareas de autentificación, autorización
y contabilidad. EAP fue diseñado originalmente para el protocolo PPP
(Point-to-Point Protocol, aunque WPA lo utiliza entre la estación y el
servidor RADIUS. Esta forma de encapsulación de EAP está definida
en el estándar 802.1X bajo el nombre de EAPOL (EAP over LAN).
• TKIP (Temporal Key Integrity Protocol). Según indica Wi-Fi, es el
protocolo encargado de la generación de la clave para cada trama.
• MIC (Message Integrity Code) o Michael. Código que verifica la
integridad de los datos de las tramas.
27
Mejoras de WPA respecto a WEP
WPA soluciona la debilidad del vector de inicialización (IV) de WEP
mediante la inclusión de vectores del doble de longitud (48 bits) y
especificando reglas de secuencia que los fabricantes deben implementar. Los
48 bits permiten generar 2 elevado a 48 combinaciones de claves diferentes, lo
cual parece un número suficientemente elevado como para tener duplicados.
El algoritmo utilizado por WPA sigue siendo RC4. La secuencia de los IV,
conocida por ambos extremos de la comunicación, se puede utilizar para
evitar ataques de repetición de tramas (replay).
Para la integridad de los mensajes (ICV), se ha eliminado el CRC-32 que se
demostró inservible en WEP y se ha incluido un nuevo código denominado
MIC.
Las claves ahora son generadas dinámicamente y distribuidas de forma
automática por lo que se evita tener que modificarlas manualmente en cada
uno de los elementos de red cada cierto tiempo, como ocurría en WEP.
Para la autentificación, se sustituye el mecanismo de autentificación de
secreto compartido de WEP así como la posibilidad de verificar las
direcciones MAC de las estaciones por la terna 802.1X / EAP / RADIUS. Su
inconveniente es que requiere de una mayor infraestructura: un servidor
RADIUS funcionando en la red, aunque también podría utilizarse un punto de
acceso con esta funcionalidad.
Modos de funcionamiento de WPA
WPA puede funcionar en dos modos:
• Con servidor AAA, RADIUS normalmente. Este es el modo indicado
para las empresas. Requiere un servidor configurado para desempeñar
las tareas de autentificación, autorización y contabilidad.
28
• Con clave inicial compartida (PSK). Este modo está orientado para
usuarios domésticos o pequeñas redes. No requiere un servidor AAA,
sino que se utiliza una clave compartida en las estaciones y punto de
acceso. Al contrario que en WEP, esta clave sólo se utiliza como punto
de inicio para la autentificación, pero no para el cifrado de los datos.
WPA2 (IEEE 802.11i)
WPA2 incluye el nuevo algoritmo de cifrado AES (Advanced Encryption
Standard), desarrollado por el NIS. Se trata de un algoritmo de cifrado de
bloque (RC4 es de flujo) con claves de 128 bits. Requerirá un hardware
potente para realizar sus algoritmos. Este aspecto es importante puesto que
significa que dispositivos antiguos sin suficientes capacidades de proceso no
podrán incorporar WPA2.
Para el aseguramiento de la integridad y autenticidad de los mensajes, WPA2
utiliza CCMP (Counter-Mode / Cipher Block Chaining / Message
Authentication Code Protocol) en lugar de los códigos MIC.
Otra mejora respecto a WPA es que WPA2 incluirá soporte no sólo para el
modo BSS sino también para el modo IBSS (redes ad-hoc)
29
5. MANUAL DE CREACIÓN Y ADMINISTRACIÓN DE UNA RED
INALÁMBRICA SEGURA CON UN ROUTER CISCO
Para estar seguros que nuestra red inalámbrica es totalmente segura, seguiremos los
siguientes requisitos que describiré en este manual.
Cifrar los datos cuando viajen por el medio, para que personas no autorizadas no los
puedan capturar mediante escucha pasiva.
* Configurar la onda de radio y la potencia de transmisión del Router Cisco.
* Crear un mecanismo de autenticación de doble vía, que certifique que al
momento de conectarse el usuario al Router Cisco este verifique la
información del usuario, e igualmente verificar que el usuario se esté
conectando a la red que pertenece y esta autorizado.
En la actualidad existen varios parámetros para configurar una red inalámbrica, en
cada uno se explicaran las ventajas y desventajas del mismo, pero al acoplar los
diferentes métodos se podrá disponer de una red inalámbrica segura.
Elementos básicos para configurar nuestra red inalámbrica con acceso a internet.
* Router Cisco WRT546 V8
* Dos cables UTP directos
* Modem del proveedor de servicio de internet
30
Figura 3. Elementos básicos para una WLAN
5.1. DESCRIPCIÓN DE LOS DISPOSITIVOS DE LA RED
Figura 4. Componentes de Router y Modem
31
5.1.1. ROUTER CISCO WRT546 V8
1. Reset. Es una opción que nos da el Router para que en caso de
configurar el Router de una manera inadecuada nos vuelva la
configuración de fábrica (default).
2. Puerto Internet. Puerto de conexión de cable UTP directo con
conector RJ45, aquí se conecta el cable que viene del Modem del
puerto de internet.
3. Puertos LAN. El Router cuenta con 4 puertos para crear una red
mixta, lo que quiere decir que el dispositivo nos da la oportunidad de
red LAN y/o WLAN.
4. Fuente de Poder. Conexión a la red eléctrica del hogar.
5.1.2. MODEM
1. Puerto Internet. Puerto conector RJ45 que por medio de un cable
UTP directo se conecta al puerto de internet en el Router.
2. Puerto USB. Conexión USB al Modem, usualmente no se utiliza
esta conexión ya que el estándar es el cable UTP.
3. Conexión Internet Proveedor de Servicios. Conexión del cable
coaxial el cual nos proporciona el proveedor de servicios de internet.
4. Fuente de Poder. Conexión a la red eléctrica del hogar
5.2 PASOS PARA CONFIGURAR EL ROUTER
Conectamos al puerto de la tarjeta de red del computador un cable UTP directo a
cualquier puerto LAN del Router Cisco.
32
Interconectar con un cable UTP directo el puerto de internet del Modem al puerto de
internet del Router Cisco.
Figura 5. Conexión Modem a Router
Abrimos una ventana en Internet Explorer y escribimos la dirección 192.168.1.1,
dirección que viene por defecto en el Router para ingresar al menú de configuración.
33
Figura 6. Ventana para ingresar a la consola de configuración del Router
En usuario por defecto de fábrica se coloca admin y la contraseña admin y damos
aceptar.
34
Figura 7. Ventana Setup Router
5.2.1 SETUP
Route name. Escribimos el nombre que le colocamos al Router en mi
caso es Igro.
Host name. Ingresamos el nombre del Host de nuestro ISP
Dominio name. Ingresamos el dominio de nuestro ISP
MTU . Auto
35
Local IP address. Aquí colocamos el direccionamiento de la red
dependiendo del número de host de la red 192.168.1.1
Subnet mask. Dependiendo del número de host de nuestra red se le
asignara una máscara de red que se ajuste a las necesidades de la red.
255.255.255.xx
DHCP server. Aquí tenemos dos opciones habilitar o deshabilitar el
servidor DHCP, si se colocan dirección IP estáticas colocamos
deshabilitar el servidor DCHP, si queremos que sea automático este
proceso habilitamos el servicio.
Starting IP address. Colocamos la primera dirección IP de nuestra
red 192.168.1.2
Máximum number of DHCP number. Digitamos el número máximo
permito de equipos que se puedan conectar a la red, esto lo
determinamos en el direccionamiento anteriormente descrito.
Static DNS 1, Static DNS 2, Static DNS 3. Direcciones de los
servidores de internet
Time zone. Zona horario del Router
Figura 8. Ventana Status Router
36
5.2.2. STATUS
DHCP Release. Esta opción nos copia las direcciones de
configuración del Modem para que empiece el Router a administrar
los recursos de la red.
DHCP Renew. Para renovar las direcciones de la red.
Estos son los conceptos básicos para que nuestro Router quede
configurado para administrar la red, transmisión de datos e internet.
5.2.3. WIRELESS
Ahora configuramos la red inalámbrica:
Damos un click en Wireless, allí encontramos cuatro menús donde nos
permitirán configurar de una manera eficaz la red WLAN.
5.2.3.1 Basic Wireless Settings
• Wireless Network mode. Seleccionamos el protocolo que
queremos configurar para los dispositivos que se
conectarán a la red, entre ellos tenemos la elección de
protocolo de adaptadores B o G o que trabaje con las dos
tecnologías, en este caso es recomendable seleccionar que
trabaje con las dos tecnologías ya que hay dispositivos que
se encuentran en el mercado que están configurados en el
37
protocolo B y otros en G, entonces seleccionamos
protocolo mixto.
• Wireless Network name (SSID). Aquí escribimos el
nombre de la red inalámbrica, la cual detectaran los
dispositivos inalámbricos.
• Wireless channel. Tenemos once diferentes canales de
transmisión por donde viajara el espectro de la señal, por
defecto viene configurado en canal 6 con una frecuencia de
2.437 GHz, es recomendable cambiar esta opción por otro
canal de transmisión ya que puede surgir algún tipo de
interferencia con otro aparatos electrónicos o redes
cercanas a nuestro punto de acceso.
• Wireless SSID Broadcast. Aquí nos dan la opción de
habilitar el sistema broadcast del Router el cual nos permite
tener un filtro de seguridad al intento de entrar a la
configuración del Router.
Figura 9. Ventana Wireless Router
38
5.2.3.2. WIRELESS SECURITY. Módulo de configuración de
seguridad, protocolos, algoritmo de encriptación y clave de acceso.
• Security mode. Los siguientes son los protocolos que
encontramos para configurar nuestra red.
• WPA (Wi-Fi Protected Access). WPA es el estándar
propuestos por los miembros de la Wi-Fi Alliance, en
alianza con la IEEE, éste estándar busca solucionar los
problemas de WEP, ofreciendo un mecanismo de
autenticación y cifrado de datos. WPA diseña un nuevo
protocolo para el cifrado conocido como TKIP
(Temporary Key Integrity Protocol), el funcionamiento
de este protocolo es cambiar la clave compartida entre
el cliente y el punto de acceso en un determinado
tiempo, para así evitar ataques que descifren la clave de
ingreso a la red. De igual manera se optimizaron los
algoritmos de cifrado de trama y generación de los IVs,
común respecto al WEP.
Dependiendo la complejidad de la red inalámbrica el
punto de acceso ofrece dos opciones para la
configuración de WPA las cuales son:
Modalidad de red empresarial (WPA Enterprise).
Para que funcione esta modalidad es necesario de la
existencia de un servidor RADIUS en la red. El punto
de acceso emplea entonces 802.1x y EAP para la
autenticación, y el servidor RADIUS suministra las
claves compartidas que se usaran para cifrar los datos.
39
Modalidad personal (WPA Personal). WPA opera en
eta modalidad cuando no se tiene un servidor RADIUS
en la red. Se requiere entonces introducir una clave
compartida en el punto de acceso y en los dispositivos
móviles. Únicamente podrán acceder a la red los
dispositivos móviles que coincidan con la clave del
punto de acceso. Una vez se logra la autenticación,
TKIP entra en funcionamiento para garantizar la
seguridad del acceso. Una recomendación estándar es
que las claves de acceso empleadas sean largas con un
promedio de 20 o más caracteres, porque ya se ha
comprobado que WPA es vulnerable a ataques de
direccionamiento si se utiliza una clave corta.
• WPA2 (Wi-Fi Protected Access 2). Para proteger las
redes inalámbricas WLAN se crea WPA2 corrigiendo
las vulnerabilidades de WPA, esta basado en el estándar
802.11i. WPA2 utiliza el algoritmo de cifrado AES en
los puntos de acceso, con este algoritmo se garantiza los
requerimientos de seguridad del Estados Unidos
(FIPS140-2) este protocolo esta diseñado para empresas
del sector público o privado. Las NIC inalámbricas dan
la certificación de cumplir con los estándares de la
tecnología para garantizar la seguridad en las redes
WLAN.
• RADIUS (Remote Authentication Dial In User
Server). Es el protocolo para la autorización y
40
autenticación de aplicativos de acceso a la red WLAN.
En la conexión a la red WLAN se envía un paquete de
información donde se en cripta el nombre del usuario y
la contraseña, el paquete llega al dispositivo NAS
(Network Access Server) sobre el protocolo PPP, el
paquete se dirige al servidor Radius sobre el protocolo
Radius, este verifica que la información encriptada en el
paquete sea correcta utilizando PAP, CHAP o EAP, si la
información es correcta se autoriza el acceso a la red.
El protocolo Radius maneja sesiones, siendo esta la
característica más importante ya que controla los
recursos de la red notificando cuando se inicia o termina
la sesión de cada usuario.
• WEP (Wired Equivalent Privacy). El algoritmo WEP
forma parte de la especificación 802.11 y se creo con el
fin de proteger los datos que se trasmiten en una
conexión inalámbrica mediante el cifrado. WEP opera
en nivel 2 del modelo OSI y actualmente es soportado
por la mayoría de fabricantes de dispositivos
inalámbricos.
El algoritmo WEP trabaja el cifrado del siguiente modo:
A la trama se le adhiere un código de integridad ICV
(Integrity Check Value) mediante el algoritmo CRC-32.
ICV, se concatena con la trama y es empleado por el
receptor para comprobar si la trama ha sido adulterada
durante el transporte, si se escoge una clave secreta
41
compartida entre emisor y receptor, esta clave puede
poseer 40 o 128 bits.
El algoritmo WEP resuelve aparentemente el problema
de cifrado de datos entre emisor y receptor. Sin
embargo, hay dos situaciones que hacen que WEP no
sea tan seguro en la manera que es empleado en la
mayoría de aplicaciones.
En la mayoría de casos se deja una clave WEP fija por
un tiempo muy prolongado sin cambiarla
periódicamente, lo cual hace vulnerable el cifrado de la
clave y la obtención de la clave por parte de un atacante
copiando el texto y cifrándolo por fuerza bruta.
El IV que se utiliza es de longitud insuficiente (24 bits,
dado que la trama se cifra con IV diferente, solamente
es cuestión de tiempo para que se agote el espacio de 224
IV distintos. Esto no es un problema en una red casera,
pero en una red de tráfico concurrido se puede agotar el
espacio de IV en menos de 5 horas. Si el atacante logra
conseguir dos tramas podrá descifrar la clave del punto
de acceso.
Figura 10. Ventana Wireless Security – Security Mode
42
• WPA Algorithms. Configuración de algoritmos de
encriptación.
• TKIP (Temporal Key Integrity Protocol). Protocolo
conocido como hashing de clave (WEP, WPA)
contenga todos los requerimientos del estándar 802.11i
para optimizar el cifrado de datos inalámbricos.
TKIP combina una contraseña de 128 bits con la
dirección MAC del equipo, se agrega un vector de 16
octetos para producir la clave que cifre la información,
esto nos garantiza que cada usuario utilice diferentes
streams claves para cifrar la información. TKIP brinda
seguridad a los vectores de inicialización (IV) débiles
para no exponer haciendo hashing del vector de
iniciación de cada paquete.
El cifrado se realiza mediante RC4 al igual que WEP,
pero la diferencia entre estos dos protocolos es que
cambia la clave cada 10.000 paquetes lo que significa
un método dinámico que garantiza la seguridad de la
red.
La ventaja de TKIP es que se puede actualizar a través
de parches de firmware contando como la función de
MIC la cual provee claves WEP, cuando una persona
ataque los datos mediante bit-flIP que viajan a través de
WLAN estos datos son alterados donde el receptor
acepta el mensaje, MIC detecta esto y retrasmite el
mensaje sin ninguna alteración para que garantice la
autenticación del mensaje inicial.
43
• AES (Advance Encryption Standard). Llamado
también Rijndael, es un esquema de cifrado por bloques
adoptado por Estados Unidos, durante su
estandarización que duro 5 años se transformo en el
estándar mas efectivo desde 2002 siendo él uno de los
algoritmos mas populares usados en criptografía
simétrica.
.
Figura 11. Ventana Wireless – WPA Algorithms
• WPA Shared Key. Definimos la clave de nuestra red
inalámbrica, con esta llave de autenticación es la que se valida
44
para poder acceder a los recursos de la red, se recomienda
utilizar una clave de mas de 20 carácter entre los cuales se
incluyen letras mayúsculas, minúsculas, números y símbolos
alfanuméricos.
Figura 12. Ventana Wireless – WPA Shared Key
• Wireless MAC Filtre. El método consiste en crear en cada
punto de acceso una tabla de datos que contenga las
direcciones MAC de las tarjetas inalámbricas que se conecten a
la red. Cada tarjeta de red cuenta con una dirección MAC
única, por medio de esta dirección podemos identificar que
equipo esta accediendo a la red.
45
Figura 13. Ventana Wireless – Wireless MAC Filter
Habilitamos la opción en Wireless MAC filter, para que no de
la opción de ingresar las direcciones Mac en la tabla de datos
del Router.
Al habilitar la opción de Wireless Mac filter, nos aparecen las
siguientes opciones:
• Prevent. Impedir que los equipos que no estén
registrados en la tabla de datos por medio de
autenticación de dirección MAC, tengan acceso a la red
inalámbrica.
• Permit Only. Permitir únicamente acceso a la red de los
equipos que estén registrados en la tabla de datos
mediante autenticación de la dirección MAC.
46
Figura 14. Ventana Wireless – Configuración MAC Filter
• Edit MAC Filter List . Aquí registramos las direcciones MAC
que queremos que hagan parte de las red WLAN. El método es
muy básico ya que solo tiene que ingresarse la dirección MAC
a la tabla de datos del Router para impedir o dar acceso a los
equipos a la red inalámbrica, también por la sencillez del
mecanismo cuenta con desventajas para redes corporativas,
pero igual nos presta otro mecanismo de seguridad en la red.
En redes corporativas no es prácticos ya que se vuelve
inmanejable la tabla por el gran número de usuarios de la red.
Estas direcciones MAC no viajan cifradas por lo que un
atacante puede capturar direcciones y clonarlas para poder
acceder a la red.
47
Figura 15. Ventana Wireless – MAC Address Filter List
5.2.4 SEGURIDAD (SECURITY). El dispositivo de punto de acceso o
Router nos brinda la opción adicional de protocolos de seguridad entre los
cuales encontramos los siguientes:
48
• Firewall
Bloquear las solicitudes de equipos anónimos de internet
Filtro de multidifusión
Filtro de direccionamiento de internet NAT
Filtro IDENT (puerto 113)
Figura 16. Ventana Wireless – Seguridad Firewall
• VPN (Virtual Private Network). La tecnología que se emplea
es el cifrado para crear un canal virtual privado sobre una red
de uso público. Esta tecnología es muy eficaz para proteger
redes WLAN, las VPN trabajan sobre cualquier NIC
inalámbrico y superan las limitaciones de WEP. Para utilizar
VPN tenemos que crear una lista de acceso en el punto de
acceso en una VLAN empleando switching, a esta VLAN solo
tiene permiso de acceder el usuario después de ser autorizado
y autenticado por el servidor. VPN cifra, autoriza y autentica a
49
los usuarios controlando el tráfico desde el cliente y hacia el
punto de acceso, como se utiliza el nivel superior del modelo
OSI, no hace falta el protocolo WEP.
Figura 17. Ventana Security - VPN
5.2.5. RESTRICCIÓN EN EL ACCESO (ACCESS RESTIRCTIONS).
Contamos con diferentes políticas en el acceso y restricción de servicios que
nos ofrece el Router, entre las cuales contamos con negar o permitir acceso a
los servicios de internet y bloqueo de puerto para impedir descargas de
información a través del dispositivo, también es posible configurar la red para
que los usuarios tengan acceso únicamente a internet en los días que se les
asigne por el administrador de la red incluso restringir únicamente el uso de
acceso a la red en horas determinadas, lo cual nos brinda un total dominio en
los servicios ofrecidos y permisos a los usuarios de la red.
50
Figura 18. Ventana Access Restirctions
5.2.6. ADMINISTRACIÓN (ADMINISTRATION). Por último
configuramos y cambiamos la clave del Router, porque este tiene una clave
asignada por defecto y es un error en el cual se incurre comúnmente, se
51
cambia conservando el protocolo de seguridad de incluir entre esta
mayúsculas, minúsculas, números y símbolos alfanuméricos.
Así se termina la configuración del Router o dispositivo de acceso a redes
inalámbricas para contar con una red seguridad y difícil de violentar por que
contamos con mas de 4 protocolos de seguridad.
Figura 19. Ventana administration
52
RESULTADOS OBTENIDOS
El filtro de acceso de dirección MAC es insuficiente para cualquier red, ya que en el
mercado existen múltiples herramientas para clonar las direcciones MAC de los
dispositivos inalámbricos.
El método WEP con clave estática es el nivel mas bajo de protección que existe en
una red inalámbrica doméstica por la facilidad con la que se pueden desencriptar las
claves.
El uso de las VPN es una alternativa interesante ya que se crea un canal virtual
privado sobre una red de uso público, se crea una lista en el punto de acceso en una
VLAN utilizando switching, garantizándonos el manejo de las tareas de cifrado de
datos, autenticación y autorización de acceso.
Puede usarse la solución de WEP o WAP con clave dinámica ambas ofrecen un
excelente grado de protección y se complementa con el filtro de acceso MAC.
53
CONCLUSIONES
• Al haber analizado los temas de interés de las redes inalámbricas domésticas
podemos concluir que con la evolución en los sistemas de comunicación cada
vez es mas indispensable llevar consigo todos los elementos para poder
acceder a una red móvil sin tener las limitantes ya conocidas por todos como
lo es la red de cableado estructurado.
• También es importante no tan solo comprender los conocimientos teóricos
con respecto a los protocolos de las redes inalámbricas, también entender que
estas redes al ser transmitidos los datos en el espectro es muy fácil de perder
información y que sea vulnerada esta información por personas ajenas a la
red.
• Todos estos objetivos se cumplieron con satisfacción durante el Diplomado de
Cisco donde estudiamos a fondo todos los protocolos tanto de conexión como
también de seguridad y encriptación de los datos para contar con redes
seguras y garantizar un óptimo servicio.
• La seguridad en las redes inalámbricas es un aspecto crítico que no se puede
descuidar. Debido a que las transmisiones viajan por un medio no seguro, se
requieren mecanismos que aseguren la confidencialidad de los datos así como
su integridad y autenticidad.
• Colocar un Firewall entre los access points y la LAN.
• A pesar de la fortaleza potencial de WEP, incluido en la norma IEEE 802.11
para proporcionar seguridad, para proteger la confidencialidad e integridad de
54
los datos, tiene una serie de limitaciones que solo se pueden evitar mediante
una adecuada gestión. El primer problema surge en la utilización del vector de
inicialización, el cual está incluido en la parte no cifrada del mensaje, para que
el receptor conozca qué valor de IV (Vector de Inicialización) a utilizar a la
hora de generar el flujo de clave para el descifrado. El estándar 802.11
recomienda, pero no exige, que el valor del IV se cambie después de cada
transmisión. Si el valor del IV no se cambia de manera regular, sino que se
utiliza para subsiguientes mensajes, alguien que esté realizando una escucha
puede ser capaz de cripto-analizar el flujo de clave generado por el valor de
IV y la clave secreta, y descifrar así los mensajes que utilicen dicho valor; lo
que se vuelve aun más crítico si se configura todos los terminales con las
mismas claves.
• Pasar la clave y el IV por una función Hash antes de introducirlos en el RC4.
Se debe hacer en todas las estaciones.
• Cambiar el sistema de encriptación por un algoritmo simétrico más seguro,
por ejemplo AES.
• Utilizar métodos de clave asimétrica para distribuir claves con el objetivo de:
Cambiar claves frecuentemente.
Utilizar claves aleatorias, no de diccionario.
Identificar de forma segura las estaciones.
• El problema de la reutilización de valores de IV conduce, potencialmente, a
otro problema; en concreto, una vez que un atacante conoce la secuencia de
clave para un mensaje cifrado, basándose en los valores de IV utilizados,
puede usar dicha información para generar una señal cifrada e insertarla en la
55
red (usurpación y suplantación). El proceso consiste en crear un nuevo
mensaje, calcular el valor CRC-32 y modificar el mensaje cifrado original
para cambiar el texto por el nuevo mensaje. El atacante puede entonces
transmitir el mensaje a un punto de acceso o estación inalámbrica, que lo
aceptará como mensaje válido.
• La distribución de claves constituye otro problema. La mayor parte de las
redes WLAN comparte una misma clave entre todas las estaciones y puntos
de acceso de la red. Resulta poco probable que una clave compartida entre
muchos usuarios permanezca secreta indefinidamente. Algunos
administradores de red abordan este problema configurando las estaciones
inalámbricas con la clave secreta ellos mismos, en lugar de permitir que los
usuarios finales realicen esta tarea. Ésta es una solución imperfecta, porque la
clave compartida continúa estando almacenada en las computadoras de los
usuarios, donde es vulnerable. Además, si queda comprometida la clave en
una única estación, todas las otras estaciones del sistema deberán ser
reconfiguradas con una clave nueva. La mejor solución entonces consiste en
asignar una clave unívoca a cada estación y efectuar cambios de clave
frecuentes.
• El protocolo WEP, es un leve intento por tratar de generar una privacidad y
seguridad de los datos que se transmiten de manera inalámbrica, establecida
por el IEEE en el 802.11; y como idea principal, la seguridad es directamente
proporcional a la eficiencia y políticas que adopte el administrador de la red;
lastimosamente, la carga administrativa y de gestión que se debe asumir al
emplear este protocolo, es exagerada; por consiguiente es de notar, que el
protocolo WEP, no debe ser la única herramienta y política para asegurar la
confidencialidad, integridad y demás características de seguridad; se deben
56
emplear un ramillete de alternativas complementarias, como el uso de VPNs
(Redes Privadas Virtuales), o cualquier otro método como la encriptación o
implementar IPsec, etc. Además hay que destacar que al tener muy buenas
políticas de seguridad en la red inalámbrica, trae la consecuencia que muy
probablemente, se perderá el rendimiento y eficiencia en la velocidad de
transmisión en la carga útil en la red, y es por esto, que en un diseño de red, es
crucial determinar qué tipo de información y qué tipo de usuarios son los que
dispondrían de servicio inalámbrico; y si es tan urgente mantener estrictos
controles de seguridad, o si es relevante dejar que la información confidencial
pueda ser transmitida por 802.11.
• La seguridad es un aspecto que cobra especial relevancia cuando hablamos de
redes inalámbricas. Para tener acceso a una red cableada es imprescindible
una conexión física al cable de la red. Sin embargo, en una red inalámbrica
desplegada un tercero podría acceder a la red, bastando con que estuviese en
un lugar próximo donde llegue la señal. Es más, en el caso de un ataque
pasivo, donde sólo se escucha la información, ni siquiera se dejan huellas que
posibiliten una identificación posterior.
• El canal de las redes inalámbricas, al contrario que en las redes cableadas
privadas, debe considerarse inseguro. Cualquiera podría estar escuchando la
información transmitida. Y no sólo eso, sino que también se pueden inyectar
nuevos paquetes o modificar los ya existentes (ataques activos). Las mismas
precauciones que tenemos para enviar datos a través de Internet deben tenerse
también para las redes inalámbricas.
• IEEE publicó un mecanismo opcional de seguridad, denominado WEP, en la
norma de redes inalámbricas 802.11. Pero WEP, desplegado en numerosas
57
redes WLAN, ha sido roto de distintas formas, lo que lo ha convertido en una
protección inservible.
• Para solucionar sus deficiencias, el IEEE comenzó el desarrollo de una nueva
norma de seguridad, conocida como 802.11i, que permitiera dotar de
suficiente seguridad a las redes WLAN.
• Al configurar una red inalámbrica es aconsejable crear un tipo de red en
estrella para que el dispositivo de acceso inalámbrico (router) sea el que
autentiqué y controle todo el flujo de información que viaja a través de esta
red.
58
BIBLIOGRAFIA
ARIGA, Ernesto. Redes Cisco, Guía de Estudios para la Certificación CCNA 640-810. Alfa Omega, Ra-Ma. BEHROUZ, Forouzan. Transmisión de Datos y Redes de Comunicaciones. Cuarta Edición. Mc Graw Hill. BLACK, Uyless. Redes de Computadores, Protocolos, Normas e Interfaces. Segunda Edición. Ra-Ma, Computec. BLACK, Uyless. Tecnologías Emergentes Para Redes de Computadoras. Segunda Edición. Prentice Hall, Pearson Educación, Addison Wesley. CARBALLAR, José A. Wi-Fi, Como Construir una Red Inalámbrica. Segunda Edición. Alfa Omega, Ra-Ma. CARBALLAR, José A. Wi-Fi, Instalación, Seguridad y Aplicaciones. Alfa Omega, Ra-Ma. CISCO SYSTEMS, Inc. Academia de Networking de Cisco Systems CCNA 1 y 2, Prácticas de Laboratorio. Tercera Edición. Cisco Systems. CISCO SYSTEMS, Inc. Academia de Networking de Cisco Systems CCNA 3 y 4, Prácticas de Laboratorio. Tercera Edición. Cisco Systems. GRALLA, Preston. 2006. Como Funcionan las Redes Inalámbricas. Anaya Multimedia. HALSALL, Fred. Redes de Computadores e Internet. Quinta Edición. Pearson Educación, Addison Wesley. LEON GARCIA, Alberto. Widjaja, Indra. Redes de Comunicaciones, Conceptos Fundamentales y Arquitecturas Básicas. University of Toronto, Mc Graw Hill.
59
MASON, Andrew G. Redes Privadas Virtuales de Cisco Secure. Cisco Systems. MERIKE, Kaeo. Diseño de Seguridad en Redes. Cisco Press. STALLINGS, William. Comunicaciones y Redes de Computadores. Séptima Edición. Pearson Educación, Prentice Hall. TANENBAUM, Andrew S. Redes de Computadoras. Tercera Edición. Pearson Educación. TORRES NIETO, Álvaro. SANCHEZ DIAZ, Rubén Darío. Telecomunicaciones y Telemática. Tercera Edición. Editorial Escuela Colombiana de Ingeniería. VUELA PLUMA, S.L. Guía Completa de Protocolos de Telecomunicaciones. Mc Graw Hill, Rad Com. VUELA PLUMA, S.L. Redes de computadores. Editorial Tittel, Mc Graw Hill.