Embed Size (px)
Citation preview
WiFi Parte 2
Redes Inalámbricas M.C. Edna Iliana Tamariz Flores
Otoño 2013
Topologías WLAN
• Las WLANs son elementos o productos de la capa de acceso.
• Los productos WLAN se dividen en dos categorías principales:– LANs inalámbricas en el interior de un edificio– Bridging inalámbrico de edificio a edificio
Características de las WLANs
• Reemplazan al medio de transmisión de la Capa 1 de una red cableada tradicional.
• También reemplazan la funcionalidad MAC de Capa 2, con controladores MAC inalámbricos.
• Las WLANs se encuentran en general dentro de un edificio, y se utilizan para distancias de hasta 305 m.
• Los bridges inalámbricos permiten a dos o más redes que están físicamente separadas conectarse en una LAN, sin el tiempo ni los gastos ocasionados por los cables dedicados o por las líneas T1.
Usuarios móviles
• Desplazarse libremente por una instalación• Disfrutar de un acceso en tiempo real a la LAN
cableada, a velocidades de Ethernet cableada• Acceder a todos los recursos de las LANs
cableadas
• El conjunto básico de servicios (BSS) es el área de cobertura de RF proporcionada por un único access point.
• También se denomina microcélula.• Cuando más de un BSS se conecta a una LAN inalámbrica, esto
se denomina conjunto extendido de servicios (ESS). • Agregar un AP también es una forma de agregar dispositivos
inalámbricos y de extender el alcance de un sistema cableado existente.
• El AP es el master de la célula. – Controla el flujo de tráfico hacia y desde la red.
• Los dispositivos remotos no se comunican directamente entre sí.
• En cambio, los dispositivos se comunican a través del AP.
• Si una única célula no proporciona la suficiente cobertura, se puede agregar cualquier cantidad de células para extender el alcance.
• Se recomienda que las células BSS adyacentes tengan de un 10 a un 15 por ciento de superposición.
• Esto permite a los usuarios remotos hacer roaming sin perder conectividad RF. • Las células fronterizas deberán configurarse a canales, o frecuencias, no
superpuestas y diferentes para un mejor desempeño.
Repetidor inalámbrico• Uso: En un entorno donde es necesaria una cobertura extendida, pero el acceso al
backbone no es práctico o no está disponible.• Esta configuración requiere una superposición del 50% del AP en el backbone y en
el repetidor inalámbrico
• El usuario puede configurar una cadena de varios access points repetidores.
• No obstante, el throughput de los dispositivos clientes que se encuentran en el extremo de la cadena de repetidores puede ser muy bajo.
• Esto se debe a que cada repetidor debe recibir y luego retransmitir cada paquete por el mismo canal.
• Por cada repetidor agregado a la cadena, el throughput se reduce a la mitad.
• Se recomienda el uso de no más de dos saltos.
Redundancia del sistema y equilibrio de la carga
• En una LAN donde es esencial tener comunicaciones, algunos clientes requerirán redundancia.
• Con los productos de espectro expandido de secuencia directa (DSSS) de un fabricante diferente, ambas unidades AP se configurarían según la misma frecuencia y velocidad de datos.
• Puesto que estas unidades comparten el tiempo de la frecuencia, sólo una unidad puede hablar a la vez.
• Si dicha unidad pasa a inactividad por alguna razón, los clientes remotos transferirán la comunicación a la otra unidad activa.
• Aunque esto sí proporciona redundancia, no proporciona más throughput que el que proporcionaría un único AP.
Roaming• Al diseñar WLANs, determine si los clientes requerirán o no roaming sin
fisuras, de access point a access point.• A medida que un cliente hace roaming a través de la red inalámbrica, debe
establecer y mantener una asociación con un access point.
Un roaming sin fisuras• El cliente envía una solicitud de asociación e inmediatamente recibe una respuesta
proveniente de todos los puntos de acceso dentro de su área de cobertura.• El cliente decide a qué access point asociarse basándose en la calidad y en la
fuerza de la señal y en la cantidad de usuarios asociados, y en la cantidad de saltos requeridos para llegar al backbone.
• Una vez establecida una asociación, la dirección de Control de Acceso al Medio (MAC) del cliente recae en la tabla del punto de acceso seleccionado.
• Si el cliente encuentra dificultades, hará roaming para otro access point. • Si no se dispone de otro punto de acceso, el cliente bajará su velocidad de
transmisión de datos e intentará mantener la conexión.• Una vez que un cliente hace roaming a otro punto de acceso, su dirección MAC
recae en la tabla del nuevo access point, que envía un mensaje broadcast que básicamente enuncia que recibió la "dirección MAC X".
• El access point original envía cualquier dato que tuviera para el cliente al otro punto de acceso, que responde enviándolo al cliente.
• Es necesario considerar los siguientes dos factores al diseñar una WLAN con capacidades de roaming sin fisuras que se activa al desplazarse de un punto a otro:– La cobertura debe ser suficiente para toda la ruta.– Una dirección IP consistente deberá estar disponible a lo largo
de toda la ruta. – La subred IP para cada punto de acceso podría encontrarse en
diferentes switches y estar separada por dispositivos de Capa 3. – De ser así, considere la utilización de tecnologías de
conmutación de Capa 2 como 802.1q para cruzar las VLANs. – Esto ayudará a asegurar que exista un único dominio de
broadcast para todos los access points.
Proceso de asociación
Proceso de reasociación
Escalabilidad
• La escalabilidad es la capacidad de localizar más de un access point en la misma área.
• Esto incrementará el ancho de banda disponible de esa área para todos los usuarios locales respecto a ese access point.
• Existen tres canales de 11 Mbps separados disponibles.• Estos canales no están superpuestos en absoluto y no
interfieren entre sí. • Pueden lograrse hasta 33 Mbps por célula con dispositivos
802.11b. • No obstante, los usuarios aún operan únicamente a un valor
teórico máximo de 11 Mbps, puesto que sólo pueden conectarse a un AP en un momento determinado.
• En el caso de 802.11a, existen ocho canales no superpuestos, cada uno con un ancho de banda teórico de 54 Mbps.
• Esto significa que un máximo de ocho sistemas discretos pueden residir en la misma área, sin interferencia.
• Por lo tanto, la velocidad de datos total agregada más alta para un sistema 802.11a es en teoría de 432 Mbps, para un área de célula determinada.
• Recuerde que cualquier usuario conectado sólo recibirá hasta 54 Mbps.
• Con más APs, los usuarios tendrán una mayor posibilidad de obtener velocidades de datos más altas.
Configuración del Canal• Existen dos pasos críticos para la buena implementación de una WLAN:
1. Determinar la ubicación de los access points o los bridges — Esto incluye determinar dónde deberán ubicarse, y decidir cuántos se requieren, para la cobertura deseada.
Se dejarán muy pocos huecos en la cobertura. Estos huecos son esencialmente aire "muerto" y al cliente le faltará conectividad en estas ubicaciones.
2. Mapear las asignaciones al canal — Habrá una pequeña superposición, según sea posible, entre canales que utilizan la misma frecuencia.
Ejemplo 802.11b
• En todos lados se proporciona un total de 11 Mbps, debido a la densidad de los usuarios.
• Se muestra un diseño que utiliza sólo tres canales 802.11b no superpuestos disponibles en EE.UU.
• Los canales 1, 6, y 11 no tienen frecuencias superpuestas. • Este concepto puede correlacionarse con la ubicación de las estaciones de
radio FM en todo el país. • Nunca habrá dos estaciones de radio, en la misma área geográfica, en el
mismo canal o frecuencia exactos.
Ejemplo 802.11a
• Con esta tecnología se puede incrementar el throughput de cualquier usuario individual. Esto se debe al incremento en la velocidad de datos de cada célula.
• 54 Mbps completos están disponibles en cualquier célula.
• Esto significa que puede haber más células, según el área.
• También significa que será más fácil implementar múltiples APs.
• Puesto que hay ocho canales con los cuales trabajar, no es tan importante preocuparse respecto a la interferencia cocanal.
Cobertura• A medida que un cliente hace roaming alejándose del access point, las
señales de transmisión entre ambos se atenúan (debilitan). • En lugar de disminuir la confiabilidad, el AP se desplaza a una
velocidad de datos más lenta, lo cual proporciona una transferencia de datos más precisa.
• Esto se denomina velocidad de datos o desplazamiento multi-velocidad.
• A medida que un cliente se aleja de un access point 802.11b, la velocidad de datos pasará de los 11 Mbps, a los 5,5 Mbps, a los 2 Mbps, y, finalmente, a 1 Mbps.
• Esto ocurre sin perder la conexión, y sin ninguna interacción de parte del usuario.
• Lo mismo ocurre con 802.11a.
Características de una VLAN• Las redes LAN se dividen cada vez más en grupos de trabajo
conectados a través de backbones comunes para formar topologías de LAN virtuales (VLAN).
• Las VLANs permiten:– una eficiente separación del tráfico– proporcionan una mejor utilización del ancho de banda– alivian los problemas de escalamiento segmentando lógicamente la
infraestructura de la red de área local (LAN) física en diferentes subredes para que los paquetes se conmuten únicamente entre puertos dentro de la misma VLAN.
• Cuando se las combina con un soporte de administración de configuración central, las VLANs facilitan las adiciones de grupos de trabajo y las adiciones y cambios de cliente/servidor.
• Algunas razones comunes por las cuales una compañía podría tener VLANs son:– Seguridad : Los sistemas separados que tienen datos sensibles
provenientes del resto de la red disminuyen las posibilidades de que la gente obtenga acceso a la información que no están autorizados para ver.
– Tipos de trabajo por departamento/específicos: Las compañías pueden desear que las VLANs configuren departamentos que tienen usuarios de red intensivos (como multimedia o ingeniería), o una VLAN a través de departamentos que esté dedicada a tipos específicos de empleados (como administradores o personal de ventas).
– Flujo de broadcasts/tráfico: Puesto que el elemento principal de una VLAN es el hecho de que no pasa tráfico de broadcast a nodos que no son parte de la VLAN, reduce automáticamente los broadcasts. • Las listas de acceso (ACL) proporcionan al administrador de red una forma
de controlar quién ve qué tráfico de la red.
• Las WLANs ahora pueden encajar bien en la red mayor porque las VLANs han sido habilitadas en los Access Points.
• Esto permite a los usuarios de la WLAN hacer roaming de access point a access point manteniendo la conectividad con la VLAN apropiada.
Topologías• Topología Peer-to-Peer (Ad Hoc) (IBSS=Conjunto de Servicio Básico Independiente)
– No obstante, las limitaciones de cobertura son una desventaja en este tipo de red, ya que todo el mundo debe poder escuchar a todo el resto.
• Topología de Infraestructura Básica (BSS)– Una BSS utiliza el modo de infraestructura, un modo que necesita un access
point (AP).– Una BSS tiene una ID de conjunto de servicios (SSID).
• Topología de Infraestructura Extendida (ESS)
• Conexión Telefónica de Estación Base– La estación base está diseñada para el mercado de oficina pequeña/oficina en
el hogar (SOHO).– La estación base también funcionará como servidor DHCP, para hasta 100
clientes cableados o inalámbricos.
• DSL de Estación Base – La estación base ofrece soporte para un Cable
Módem o módem DSL.– En este modo, la estación base sólo soportará
clientes inalámbricos. Aunque se soporta la funcionalidad DHCP, no se proporciona el acceso a la red cableada, porque el puerto Ethernet debe utilizarse para conectarse al Cable Módem/módem DSL.
Seguridad• Objetivos:
– mantener la integridad– proteger la confidencialidad– asegurar la disponibilidad
Vulnerabilidades de las WLANs • Principales vulnerabilidades: – Autenticación débil únicamente de dispositivo • Se autentican los dispositivos clientes. • Los usuarios no se autentican.
– Encriptación de datos débil • Se ha probado que la Privacidad Equivalente a la
Cableada (WEP) es ineficiente como medio para encriptar datos.
– No hay integridad de mensajes • Se ha probado que el Valor de Control de Integridad
(ICV) no es efectivo como medio para asegurar la integridad de los mensajes.
Amenazas a la WLAN
• Existen cuatro clases principales de amenazas a la seguridad inalámbrica: – 1. Amenazas no estructuradas – 2. Amenazas estructuradas – 3. Amenazas externas – 4. Amenazas internas
• Los métodos de ataques inalámbricos pueden ser divididos en tres categorías: – 1. Reconocimiento – 2. Ataque de acceso – 3. Negación del Servicio [Denial of Service (DoS)]
Reconocimiento
• El reconocimiento es el descubrimiento y mapeo no autorizado de sistemas, servicios o vulnerabilidades.
• También es conocido como reunión de información y normalmente precede a un acceso real o ataque DoS.
• El snooping (simulación) inalámbrico y el sniffing (rastreo) de paquetes son términos comunes para las escuchas.
• La información reunida por las escuchas puede luego ser usada en futuros accesos o ataques DoS a la red.
Acceso
• Capacidad para que un intruso no autorizado logre acceder a un dispositivo para el cual no tiene una cuenta o password.
• Algunos ejemplos de acceso son los siguientes: – Explotación de passwords débiles o no existentes– Explotación de servicios como HTTP, FTP, SNMP,
CDP y Telnet.
Ataque de un AP furtivo • Si un AP no autorizado, que por lo general es un AP furtivo, tiene
una señal fuerte, los clientes se asociarán al él.• El AP furtivo tendrá acceso al tráfico de red de todos los clientes
asociados. • Por lo tanto, el AP furtivo puede ser usado para realizar ataques por
desconocidos [man-in-the-middle attacks] contra tráfico encriptado como SSL o SSH.
• El AP furtivo también puede usar spoofing de ARP e IP para engañar a los clientes para que envíen passwords e información confidencial.
• El AP furtivo puede también pedir sesiones no protegidas con la Privacidad Equivalente a la Cableada (WEP) con clientes durante la asociación.
Negación del servicio
• La DoS ocurre cuando un atacante desactiva o corrompe las redes, sistemas o servicios inalámbricos, con la intención de negar el servicio a usuarios autorizados.
Tecnologías de Seguridad WLAN Básica
• Una política de seguridad debe realizar las siguientes tareas: – Identificar los objetivos de seguridad inalámbrica
de la organización – Documentar los recursos a ser protegidos – Identificar la infraestructura de la red con los
mapas e inventarios actuales
Seguridad inalámbrica de primera generación
• Controlar el acceso a una red inalámbrica usando direcciones MAC es tedioso.
• Se debe mantener un inventario preciso y los usuarios deben reportar rápidamente la pérdida o el robo de equipo.
• Las direcciones MAC no son un verdadero mecanismo de seguridad, ya que todas las direcciones MAC no están encriptadas cuando se transmiten.
• Un atacante sólo necesitaría capturar una dirección MAC válida para poder acceder a la red.
• En ciertos casos, la autenticación de direcciones MAC puede suplementar las características de seguridad, pero no debería ser nunca el método principal de seguridad inalámbrica.
Privacidad equivalente a la cableada [Wired equivalent privacy (WEP)]
• Primer esquema, un conjunto de hasta cuatro claves predeterminadas son compartidas por todas las estaciones, incluyendo clientes y access points, en un subsistema inalámbrico.
• Cuando un cliente obtiene las claves predeterminadas, ese cliente puede comunicarse en forma segura con todas las otras estaciones en el subsistema.
• Segundo esquema, cada cliente establece una relación de mapeo de clave con otra estación.
• Esta es una forma más segura de operación, porque menos estaciones tienen las claves.
• Sin embargo, la distribución de tales claves unicast se vuelve más difícil a medida que la cantidad de estaciones aumenta.
• La forma en que 802.11 utiliza la encriptación WEP es débil en varias formas. Estas debilidades están siendo tratadas por el estándar 802.11i.
Autenticación y asociación
• La Autenticación Abierta y la Autenticación de Clave Compartida son los dos métodos que define el estándar 802.11 para que los clientes se conecten a un access point.
• El proceso de asociación puede ser dividido en tres elementos, que son investigación, autenticación y asociación.
Autenticación Abierta
Autenticación de Clave Compartida
