t e s i stesis.ipn.mx/jspui/bitstream/123456789/5462/1/seguridadred.pdf · análisis y alcances iii...
TRANSCRIPT
INSTITUTO POLITÉCNICO NACIONAL
ESCUELA SUPERIOR DE INGENIERÍA
MECÁNICA Y ELÉCTRICA
“SEGURIDAD EN LA RED INALÁMBRICA DE ESIME AZCAPOTZALCO”
T E S I S
Q U E P A R A O B T E N E R E L T Í T U L O D E :
INGENIERO EN COMUNICACIONES Y ELECTRÓNICA.
P R E S E N T A N
Pacheco Rodríguez Marisol Ximena
y
Quintanar Vargas Guillermo
ASESOR
Ing. FEDERICO FELIPE DURÁN
MÉXICO, D.F. 2008
ÍNDICE
Introducción i
Antecedentes ii
Problema iii
Análisis y Alcances iii
Justificación iii
Capítulo I Redes de Datos Inalámbricos de Área Local
1.1 Red inalámbrica 1
1.2 Modelo de referencia OSI 1
1.3 Tipos de redes de datos inalámbricos 4
1.3.1 Redes de datos de larga distancia 4
1.3.2 Redes de datos de corta distancia 4
1.4 Beneficios de una red inalámbrica 5
1.5 Topologías de las redes inalámbricas 802.11 5
1.5.1 Topología Ad-Hoc 5
1.5.2 Topología de infraestructura básica 6
1.6 Estándar IEEE 802.11 7
1.6.1 Estándar 802.11 7
1.6.2 Estándar 802.11a 7
1.6.3 Estándar 802.11b 7
1.6.4 Estándar 802.11g 8
1.6.5 Estándar 802.11i 8
1.6.6 Estándar 802.11 8
1.7 Técnicas de modulación de redes inalámbricas 9
1.7.1 Modulación en el estándar 802.11b 9
1.7.2 Modulación en el estándar 802.11a 9
1.7.3 Modulación en el estándar 802.11g 9
1.8 Técnicas de transmisión en las redes inalámbricas 802.11 10
1.8.1 FHSS ( Espectro Extendido de Saltos de Frecuencia) 10
1.8.2 DSSS ( Espectro Disperso de Secuencia Directa) 11
1.8.3 OFDM (Multiplexaje por División de Frecuencia Ortogonal) 12
1.9 División de Espectro de IEEE 802.11 13
Capítulo II Seguridad en Redes Inalámbricas
2.1 Mecanismos y factores de seguridad 15
2.2 Problemática de la seguridad en redes Wi-Fi 16
2.2.1 Medio de transmisión de las WLAN 16
2.2.2 Puntos de acceso mal configurados 16
2.2.3 Puntos de acceso no autorizados 16
2.3 Ataques en redes inalámbricas 16
2.3.1 Ataques pasivos 16
2.3.2 Ataques activos 17
2.3.3 Ataques avanzados 19
2.3.3.1 Ataque de diccionario 19
2.3.3.2 Ataque de fuerza bruta 19
2.3.3.3 Asociación maligna o accidental 20
2.3.3.4 Robo de identidad 20
2.3.3.5 Ataque de inyección de tráfico 21
2.4 Requisitos para una red inalámbrica segura 21
2.5 WEP ( Privacidad Equivalente a Enlaces Alambrados) 22
2.5.1 Componentes de WEP 22
2.5.2 Método de funcionamiento 23
2.5.3 Debilidades de WEP 25
2.6 WPA (Protocolo de Acceso Wi-Fi) 26
2.6.1 Modo de autenticación 27
2.6.1.1 Modalidad de red empresarial 27
2.6.1.1.1 Estándar 802.1x 27
2.6.1.1.2 EAP ( Protocolo de Autenticación Extendida) 27
2.6.1.2 Modalidad de red casera (PSK) 29
2.6.1.2.1 TKIP (Protocolo de integridad de llave
temporal)
29
2.6.1.2.2 MIC ( Código de Integridad de Mensaje) 29
2.6.2 Ventajas de WPA 30
2.7 WPA2 (Protocolo de Acceso Wi-Fi 2) 30
2.8 Filtrado de direcciones MAC 31
2.9 Sistemas de Detección de Intrusiones 32
2.9.1 NIDS (Sistemas de Detección de Intrusiones basados en Red) 32
2.9.2 HIDS (Sistemas de Detección de Intrusiones basados en hosts) 32
2.10 Políticas para las contraseñas 33
2.11 Políticas para la seguridad 33
2.12 Retos actuales de la seguridad de la información 34
2.13 Prácticas seguras para WLANs 35
2.13.1 Estándares de seguridad informática 35
2.13.2 Monitoreo para disminuir riesgos 36
2.13.3 Detección de puntos de acceso no autorizados 36
2.13.4 Limites del área de cobertura 37
2.14 Métodos básicos de protección a WLANs 37
2.14.1 Filtrado de direcciones MAC 37
2.14.2 VPN (Redes privadas virtuales) 37
2.15 Productos comerciales que brindan seguridad a WLANs 38
Capítulo III Pruebas de Acceso a la Red
3.1 Elección del equipo 40
3.2 Configuración del Punto de Acceso 43
3.3 Sección de Pruebas 47
Capítulo IV Análisis del Problema
4.1 Análisis del problema de Seguridad en la WLAN de ESIME Azcapotzalco 53
4.2 Propuesta Seleccionada 56
4.3 Implementación de Algoritmo Propuesto en el Punto de Acceso 57
4.4 Limitaciones del Equipo de ESIME Azcapotzalco 59
4.5 Propuesta Alternativa de Seguridad 59
4.6 – Control y Monitoreo de la Red Inalámbrica 60
4.7 – Análisis Económico 61
Conclusiones 63
Apéndice A 65
Anexo A 74
Índice de figuras 78
Índice de tablas 79
Glosario 80
Referencias 82
i
SEGURIDAD EN LA RED INALÁMBRICA DE ESIME AZCAPOTZALCO
OBJETIVO GENERAL: Análisis de algoritmos de seguridad en redes inalámbricas y
elección del más adecuado para implementar en ESIME AZCAPOTZALCO
Objetivos particulares:
Comparación de los algoritmos de seguridad en redes inalámbricas.
Optimizar la seguridad en la conexión a la red inalámbrica de la ESIME Azcapotzalco.
INTRODUCCIÓN
En el siglo XX la tecnología de las comunicaciones ha girado en torno a la obtención,
procesamiento y distribución de la información. Debido al progreso de la tecnología, diversas
áreas van convergiendo rápidamente minimizando las dificultades de procesar, almacenar, unir y
transportar información.
Aunque la industria del cómputo es reciente comparada con otras industrias, las
computadoras han evolucionado rápidamente en un corto tiempo.
Conforme la tecnología de la computación avanza es evidente lo funcional y práctico que
resulta compartir información entre computadoras. En la primera generación de computadoras,
éstas, solamente tenían la capacidad de solucionar un problema a la vez.
El hecho de proveer conexiones directas entre computadoras brindó una solución al
problema del gasto de grandes cantidades de tiempo debido a la transferencia de información
mediante dispositivos magnéticos.
A medida que el acceso a una computadora fue más fácil, se logró la comunicación
directa entre los usuarios y la unidad central de proceso, logrando una comunicación más rápida y
eficiente, pero se encontró un obstáculo; entre más terminales y otros periféricos se agregaban a
la computadora central, la velocidad de comunicación decaía.
El llevar a cabo la fusión entre las computadoras y las comunicaciones ha repercutido
profundamente en la organización de los sistemas de cómputo. El modelo de una computadora
central que atendía a todas las necesidades de una organización es ahora obsoleto. Éste ha sido
reemplazado por un modelo en el cual varias computadoras distantes pero interconectadas
satisfacen determinadas necesidades. Estos sistemas se llaman redes de computadoras.
ii
En términos generales la importancia de la implementación de una red de computadoras
es compartir los recursos y hacer que todos los programas, el equipo y principalmente los datos
estén disponibles para cualquier usuario de la red sin importar la localización de éste y de los
recursos.
Otro objetivo es mantener una alta confiabilidad al contar con alternativas de suministro
de información, ya que varias máquinas podrían contar con los mismos datos dando un soporte o
respaldo para que cualquier usuario pudiese accesar a estos sin importar que ninguna de estas
máquinas falle. A estas computadoras se les llama Maquinas Servidoras de Archivos
Compartidos, estas forman parte de un sistema que resultó debido a los altos costos de las
mainframes (computadoras centrales). En este modelo los clientes son los usuarios y el sistema
completo se denomina modelo cliente-servidor.
Una red de computadoras puede proporcionar un medio de comunicación muy potente
entre usuarios distantes. El uso de redes para mejorar la comunicación entre las personas será más
importante que las metas técnicas como la mejora de la confiabilidad. El auge de las redes se dió
a partir de que las computadoras personales se hicieron más accesibles a los usuarios en cuanto a
precio-rendimiento con respecto a las mainframes.
Las redes de computadoras evolucionaron rápidamente a principios de la década de los
90‟s. Uno de los aspectos de esta evolución fue el acceso a información remota, la categoría más
importante es la actual red mundial (World Wide Web), que contiene información sobre un
amplio contenido de temas de importancia.
ANTECEDENTES
La tecnología de las redes inalámbricas ha crecido de forma significativa gracias a la
movilidad que ofrece a sus usuarios ya que para una conexión no se requiere de un enlace físico.
Sin embargo uno de los grades retos a los que se enfrenta día con día el desarrollo de las redes
inalámbricas es la seguridad, ya que estas son más difíciles de proteger por el medio de
transmisión que utiliza.
Se estima que las computadoras de escritorio serán desplazadas por las computadoras
portátiles y no solo en un ámbito profesional, actualmente en las instituciones educativas se están
complementando las redes de datos cableadas con las redes inalámbricas, permitiendo a los
estudiantes y demás personal desarrollar sus actividades académicas dentro y fuera de aulas, aún
teniendo el conocimiento de que este tipo de redes no son muy seguras.
El Instituto de Ingenieros Eléctricos y Electrónicos (Institute of Electrical and Electronics
Engineers - IEEE) define bajo el estándar 802.11 las normas que rigen a la tecnología
iii
inalámbrica, a través del estándar 802.11i se incorpora una capa de seguridad a las redes
inalámbricas.
PROBLEMA
La seguridad es un punto muy importante a tomar en cuenta al implementar una red de
datos, y es de especial importancia cuando se transmite información confidencial. Las redes
inalámbricas requieren especial atención dado que la transmisión de datos se efectúa a través del
aire, siendo éste un medio totalmente inseguro, lo que da pie a la creación de un sistema de
seguridad que garantice la integridad del tráfico que viaja a través de la red inalámbrica.
ESIME Azcapotzalco actualmente cuenta con una red inalámbrica la cual está en
funcionamiento sin ningún tipo de seguridad, dando origen a que toda persona que tenga un
dispositivo con características que le permitan accesar a una red inalámbrica, aproveche los
beneficios que ésta ofrece, en el mejor de los casos, sin embargo la mayoría de las veces los
usuarios no deseados suelen utilizar la red para generar problemas a la misma ya sea
intencionalmente o por error.
En este caso la conexión inalámbrica que ofrece la ESIME Azcapotzalco representa un
blanco fácil para los intrusos, siendo susceptible a diversos ataques por cualquier usuario con
conocimientos en el funcionamiento de este tipo de redes, quedando así vulnerable, con todo esto
no existe alguna garantía de que la red inalámbrica ofrezca un óptimo desempeño y
confiabilidad.
ANÁLISIS Y ALCANCES
La idea principal se va enfocar en brindar la seguridad adecuada y que ésta cubra los
requerimientos que se solicitan, debido a que es una red institucional y ésta cuenta con normas
específicas que delimitan y encausan de forma directa y reglamentada el análisis e
implementación de un sistema de seguridad para lograr el objetivo.
JUSTIFICACIÓN
Las principales razones que justifican la utilización de una red inalámbrica son que
permiten el poder compartir recursos entre dispositivos móviles, dando la opción de que estas son
de fácil instalación, menor costo ya que no requieren una gran infraestructura para poder operar.
El funcionamiento de las redes inalámbricas está basado en la emisión y recepción de
datos a través de radiofrecuencias. Una de las principales razones para instalarlas es poder
iv
compartir recursos tales como impresoras y servicios entre dispositivos, sin embargo, la
conexión a Internet es la funcionalidad que resulta más apreciada por los usuarios.
Las principales ventajas que presentan las redes de este tipo son su libertad de
movimiento, la sencillez en la reubicación de equipos y la rapidez de instalación. Pero el punto
más débil de este tipo de redes está asociado a la seguridad que ofrecen.
Otro punto importante que se debe mencionar es que para que la seguridad cada vez sea
de mayor orden, se debe tomar otra medida de seguridad como la restricción de determinadas
páginas o sitios web, los cuales pueden traer diversos conflictos, como que consuman un
excesivo Ancho de Banda limitando la conexión a más usuarios.
Basta con colocar un receptor inalámbrico dentro de la zona de cobertura de una red
inalámbrica para que esta sea detectada, una vez que esto sucede la red queda vulnerable a sufrir
ataques.
El presente proyecto busca subsanar las debilidades que presenta la Red Inalámbrica de
ESIME Azcapotzalco.
CAPÍTULO I
- 1 -
CAPÍTULO I
REDES DE DATOS INALÁMBRICOS DE ÁREA LOCAL
En este capítulo se abordan temas introductorios acerca de las redes inalámbricas, con el
propósito de brindar un panorama para poder comprender esta tecnología.
Se presentan las características de una red inalámbrica, modo de operación sobre el
modelo OSI. Asimismo se hace una breve descripción de la arquitectura de este tipo de redes. Se
presentarán temas como modulación y técnicas de transmisión de las redes inalámbricas al mismo
tiempo que se evalúan los beneficios con respecto a las desventajas que estas ofrecen.
1.1 -Red inalámbrica
Una red inalámbrica hace referencia a las comunicaciones que se propagan sin un medio
físico que comunique cada uno de los extremos de la conexión. Se transmite por radio frecuencia
(RF) a través del aire. La información se envía en paquetes. La abreviatura Wi-Fi (Wireless
Fidelity), hace referencia a un conjunto de estándares para redes inalámbricas IEEE 802.11.
1.2 -Modelo de referencia OSI
El modelo OSI (Open System Interconection) fue desarrollado en 1984 siendo un modelo
conceptual de 7 capas que especifica cómo se transmite la información de la capa „n‟ del sistema
origen a la capa „n‟ del sistema destino.
Capa Física: Especifica las características físicas, eléctricas y mecánicas para activar
mantener y desactivar un enlace entre 2 sistemas que se están comunicando.
Capa de Enlace de Datos: Especifica características de red y protocolo, proporciona
direccionamiento físico, topología de red, detección de errores, secuencia de tramas y también
confiabilidad de extremo a extremo.
o Subcapa LLC: Especifica la interacción entre la interfaz de red y el microprocesador.
o Subcapa MAC: Proporciona el direccionamiento físico, acceso al medio y verificación
de tramas.
Capa de Red: Esta capa proporciona direccionamiento lógico o de red (lo contrario a
direccionamiento físico) proporciona mecanismos para comunicar a 2 hosts que puedan estar
CAPÍTULO I
- 2 -
ubicados en lugares geográficamente diferentes. En ésta capa se ejecutan protocolos
enrutados (llevan la información del usuario), y protocolos de enrutamiento (permiten la
actualización de las rutas).
Capa de Transporte: Esta capa segmenta la información proveniente de las capas superiores.
Esta capa inicia, controla y termina los circuitos virtuales.
Capa de Sesión: Esta capa inicia, administra y termina las sesiones entre 2 sistemas que se
están comunicando.
Capa de Presentación: Esta capa presenta la información a la capa de aplicación y si es
necesario encripta y comprime la información.
Capa de Aplicación: Esta capa proporciona comunicación a las aplicaciones del usuario.
El modelo OSI en redes inalámbricas
El estándar 802.11 establece los niveles inferiores del modelo OSI para las conexiones
inalámbricas que utilizan ondas electromagnéticas, por ejemplo:
La capa física define la modulación de las ondas de radio y las características de señalización
para la transmisión de datos.
La capa de enlace de datos compuesta por dos subcapas: Control de enlace lógico (LLC) y
Control de acceso al medio (MAC).
La subcapa LLC conocida como 802.2 se encarga de comunicar a las capas 1 y 3, define
la interfaz entre el equipo y la capa física.
La subcapa MAC controla la conectividad a través de un esquema de direcciones únicas a
nivel mundial y establecidas por el fabricante para identificar cada dispositivo en una red.
La técnica que utiliza la subcapa MAC se conoce como CSMA/CD (Accesos Múltiples de
Sensor de Portadora con Detección de Colisiones, Carrier Sense Multiple Access with Collision
Detection) que es una técnica en la que el transmisor escucha lo que ocurra en el canal, para
asegurarse de que no existan otras transmisiones en el medio.
En las redes inalámbricas se utiliza un protocolo diferente conocido como CSMA/CA
(Accesos Múltiples de Sensor de Portadora con Evasión de Colisiones, Carrier Sense Multiple
Access with Collision Avoidance) que mantiene a un nivel mínimo la cantidad de colisiones
dentro de un dominio, el principio de funcionamiento del nodo que quiere transmitir es el
siguiente:
Escucha el canal deseado.
Si el canal está libre, es decir, no hay nadie transmitiendo, entonces transmite (después de
haberse esperado 10 ms para asegurar que las tramas van separadas al menos ese tiempo).
CAPÍTULO I
- 3 -
Si el canal está ocupado, el nodo espera un determinado tiempo (periodo de contención). El
periodo de contención es un tiempo aleatorio después de la transmisión de cada nodo.
Además, permite a cada nodo un acceso igualitario al medio.
Si el canal está desocupado al final de este periodo, el nodo transmite, sino pasamos al paso 3
hasta que el canal esté libre para que pueda transmitir.
Solicitud de Transmisión
Receptor Ocupado
Preparado para Transmitir
Información
ACK/NAK
Figura 1.1 Acceso al medio mediante CSMA/CA
Cualquier protocolo de nivel superior puede utilizarse en una red inalámbrica Wi-Fi de la
misma manera que puede utilizarse en una red Ethernet.
En la Figura 1.2 se hace la comparación entre los modelos OSI de las redes alambradas
(802.3) y las redes inalámbricas (802.11).
MODELO OSI
Figura 1.2 Semejanza entre el modelo OSI 802.3 y 802.11
ORIGEN DESTINO
o
bien
CAPÍTULO I
- 4 -
1.3 - Tipos de redes de datos inalámbricos
Existen dos categorías de Redes Inalámbricas de datos, estas se clasifican como redes de
datos de corta distancia y redes de datos de larga distancia.
1.3.1 - Redes de datos de larga distancia.
Utilizadas para transmitir datos en un área que puede variar, puede ser desde una misma
ciudad o hasta varias ciudades vecinas. Estas redes de datos se conocen como Redes de Área
Metropolitana (MAN). Su velocidad de transmisión es baja, va de los 4.8 Kbps a los 19.2 Kbps.
Existen dos tipos de redes de larga distancia:
Redes de Conmutación de Paquetes (públicas y privadas).
Este tipo de redes no presenta problemas de pérdida de señal dado que su arquitectura
está diseñada para soportar paquetes de datos y no para soportar paquetes de comunicaciones de
voz. En el caso de las redes privadas de conmutación de paquetes se utiliza la misma tecnología
que en las públicas, pero bajo bandas de radio frecuencia restringidas por los propios sistemas de
cómputo de la organización.
Redes Telefónicas Celulares.
Este tipo de redes es un medio para transmitir información pero a alto precio debido a
que los módems celulares actualmente son más caros y delicados que los convencionales, dado
que requieren circuitería especial, esta circuitería permite mantener la pérdida de señal cuando el
circuito se alterna entre una célula y otra. Esta pérdida de señal representa problemas para la
comunicación de voz debido al retraso en la conmutación que dura unos cuantos cientos de
milisegundos, lo cual es imperceptible, pero en la transmisión de información puede hacer
estragos. La baja velocidad de transmisión también representa una desventaja además, de la fácil
intercepción de la transmisión celular que se traduce en inseguridad.
1.3.2 - Redes de datos de corta distancia.
Estas redes son utilizadas comúnmente en redes corporativas cuyas oficinas se encuentran
en uno o varios edificios que no se encuentran muy retirados entre sí, con velocidades del orden
de 280 Kbps hasta los 2 Mbps.[2]
Bluetooth.-Tecnología de red que tiene sus bases en una tecnología de frecuencia de radio
y el protocolo software que le permite transmitir datos a otros dispositivos capacidad Bluetooth.
CAPÍTULO I
- 5 -
El principal sistema de transmisión de Bluetooth en redes son las ondas de radio de baja energía,
la frecuencia de los dispositivos tiene un rango que va desde los 2.40 GHz a los 2.48 GHz que es
un rango de frecuencias reservado para dispositivos medicos, industriales y científicos. Los
dispositivos bluetooth utilizan alrededor de un miliwatt de potencia para transmitir sus señales
permitiendo un alcance efectivo de alrededor de 10 metros reduciendo así la posible interferencia
de algún otro dispositivo.
IrDA (Infrared Data Association) Asociación de datos infrarrojos es un estándar que
reglamenta la tecnología de trasmisión de datos por infrarrojo permitiendo la comunicación en
ambas direcciones emisor y receptor a una velocidad de entre 9.6 bps y 4 Mbps. Este estándar
soporta una amplia gama de dispositivos eléctricos, informáticos y de comunicaciones tales como
teléfonos celulares, cámaras digitales PDAs, etc.
1.4 - Beneficios de una Red Inalámbrica
Movilidad. Se puede desplazar el usuario dentro del radio de cobertura sin perder conexión.
Flexibilidad. Se pueden instalar nuevas WLANs (Red de Área Local Inalámbrica, Wireless
Local Area Network,) o reemplazar las ya existentes fácilmente.
Escalabilidad. Podemos empezar instalando una red pequeña y conforme las necesidades lo
requieran ésta se puede ir ampliando.
Para oficinas temporales. Se utiliza una solución inalámbrica para evitar los costos de
instalación de cables.
Expansión de una red de cables. Una red inalámbrica puede extender cualquier red existente,
evitando los costos y trabajo de instalación que genera una red estructurada.
Redes Temporales. Si se necesita crear momentáneamente redes fuera del lugar de alcance de
una red cableada, será una solución más simple, rápida y económica.
1.5 - Topologías de las Redes Inalámbricas 802.11
1.5.1 Topología Ad-Hoc (IBSS)
Es el modelo más simple de red inalámbrica. Conjunto de servicios inalámbricos que
consta de dos o más PC‟s con tarjeta de red inalámbrica, no incluye Access Point y se denomina
BSS independiente (Topología de Estructura Básica). Es una forma sencilla de tener conexión a
una red de datos sin la necesidad de contar con un Access Point.
El modo de operación de esta topología se conoce como DSC (Distributed Coordination
Function) en la que no hay control centralizado y todas las estaciones son consideradas como
iguales.
CAPÍTULO I
- 6 -
Esta topología se muestra en la figura 1.3.
Figura 1.3 Topología Ad-Hoc
1.5.2 Topología de Infraestructura Básica (BSS)
Son redes basadas en la existencia de uno a varios Access Point y cada uno de estos
define una célula, y la unión de todas estas células define lo que se conoce como ESS (Extended
Service Set). La interconexión de Access Point se realiza por medio de una LAN convencional o
bien por radio, es decir sin cables. Cada una de las células a las que da cobertura los Access Point
permiten crear redes que cubran diversas zonas permitiendo a los usuarios, la conexión a la red
desde cualquier punto.
A continuación se ejemplifica la topología de Infraestructura en la figura 1.4.
Figura 1.4 Topología Infraestructura
CAPÍTULO I
- 7 -
1.6 -Estándar IEEE 802.11
802.11 es el estándar original que define reglas de comunicación en redes de área local
inalámbricas, habilita la conexión de alta velocidad de dispositivos de comunicación a este tipo
de redes. Representa una familia entera de especificaciones de la IEEE respecto a las redes
inalámbricas.
La estandarización de las funciones de red inalámbricas ha logrado fomentar el desarrollo
de productos de red interoperables. Antes de que aparecieran los estándares inalámbricos, los
dispositivos inalámbricos trabajaban a diferentes velocidades y eran incompatibles entre ellos.
“Wi-Fi Alliance” certifica la interoperabilidad de productos WLAN y promueve el
término Wi-Fi como el nombre de marca global para los productos basados en IEEE 802.11. Se
refiere a cualquiera de los tres estándares establecidos 802.11b, 802.11a y 802.11g, sin embargo
es el nombre que la industria ha dado a las redes de área local inalámbricas relacionadas a la
familia 802.11 de la IEEE.
A continuación se describen los estándares de interés en el estudio del trabajo.
1.6.1 - Estándar 802.11
Estándar 802.11: Fue el primero y las velocidades de 1 y 2 Mbps eran muy pequeñas y no
permitían implementar aplicaciones empresariales, por lo tanto se crearon nuevos grupos de
trabajo para crear otros estándares.
1.6.2 - Estándar 802.11a
Estándar 802.11a: Permite realizar transmisiones con velocidades máximas de 54 Mbps y
opera en una banda de frecuencia superior a los 5 GHz, por lo tanto no es compatible con el
estándar 802.11b y el estándar 802.11g. Es muy útil en ciertos casos, para separar el tráfico o
para zonas con mucho ruido e interferencias. Además con el estándar 802.11a se pueden
llegar a utilizar hasta 8 canales no superpuestos.
1.6.3 - Estándar 802.11b
Estándar 802.11b: Las conexiones funcionan a una velocidad máxima de 11 Mbps y opera en
una banda de 2.4 GHz. Es el más popular pues fue el primero en imponerse y existe un
inventario muy grande de equipos y dispositivos que manejan esta tecnología. Además, al ser
compatible con el estándar 802.11g permitió la incorporación de éste último a las redes
inalámbricas ya existentes. Con el estándar 802.11b, sólo se pueden utilizar 3 canales no
superpuestos (de los 11 existentes) en la mayoría de los países. En Europa se pueden utilizar
4 canales de los 13 existentes. No todos los Puntos de Acceso Inalámbrico sirven para los 2
sistemas, así que es importante tenerlo en cuenta a la hora de adquirir un Access Point.
CAPÍTULO I
- 8 -
1.6.4 - Estándar 802.11g
Estándar 802.11g: Las conexiones funcionan a una velocidad máxima de 54 Mbps y opera en
una banda de 2.4 GHz. El estándar 802.11g fue aprobado a mediados del año 2003 y se
popularizó rápidamente por su compatibilidad con el estándar 802.11b. Lo que muchos
desconocen es que al mezclar equipos del estándar 802.11b con equipos del estándar 802.11g
la velocidad la fija el equipo más lento, o sea que la instalación mixta seguirá funcionando
generalmente a velocidades lentas. Respecto de los canales aquí caben las mismas
observaciones que para el estándar 802.11b, o sea que con el estándar 802.11g se pueden
utilizar 3 canales no superpuestos de los 11 disponibles y en Europa 4 de los 13 canales
disponibles. Los canales que generalmente se utilizan con el estándar 802.11g y con el
estándar 802.11b son: "1", "6" y "11" y en Europa: "1", "4", "9" y "13".
1.6.5- Estándar 802.11i
Estándar 802.11i: Está dirigido a abatir la vulnerabilidad en la seguridad para protocolos de
autenticación y de codificación. El estándar abarca el protocolo 802.1x, y mejoras en
Seguridad para redes inalámbricas Wi-Fi (802.11i/WPA2).
1.6.6 - Estándar 802.11n
Estándar 802.11n: Es un estándar nuevo que aún está en elaboración. Si bien se está
trabajando en él desde el año 2004. El objetivo es elaborar un estándar con velocidades de
transmisión superiores a 100 Mbps. Utilización de una nueva tecnología conocida como
MIMO que permite incrementar el ancho de banda y el alcance en redes inalámbricas
utilizando multiplexaje. Las velocidades podrían variar entre 135 Mbps, 300 Mbps y 500
Mbps y las bandas de frecuencia serían 10GHz, 20GHz o 40GHz.
Tabla 1.1 Estándares de las WLAN por la IEEE
Estándar Velocidad de
transmisión
Frecuencia de
operación
IEEE 802.11a 54 Mbps 5 GHz
IEEE 802.11b 11 Mbps 2.4 GHz
IEEE 802.11g 54 Mbps 2.4 GHz
CAPÍTULO I
- 9 -
1.7 – Técnicas de modulación de las Redes Inalámbricas 802.11
1.7.1 – Modulación en el Estándar 802.11b
El estándar 802.11b utiliza 3 tipos de modulación diferentes, en función de la velocidad
de datos utilizada:
Codificación por desplazamiento de fase binaria (BPSK, Binary Phase Shift Keying). Utiliza
una fase para representar un 1 binario y otra para representar un 0 binario, para un total de 1
bit de datos binarios. Transmite datos a 1 Mbps.[1]
Codificación por desplazamiento de fase en cuadratura (QPSK, Quadrature Phase Shift
Keying. La portadora sufre cuatro cambios en la fase y, por tanto, puede representar 2 bits
binarios. Transmite datos a 2 Mbps. [1]
Codificación complementaria por código (CCK, Complementary Code Keying). Utiliza un
conjunto de funciones complejas, conocido como códigos complementarios, para enviar más
datos. Una de las ventajas de CCK es que sufre menos distorsión multiruta. Transmite a 5.5 y
11 Mbps. [1]
1.7.2 - Modulación en el Estándar 802.11a
El estándar 802.11a consta de 3 técnicas de modulación necesarias y una opcional, en
función de la velocidad de datos utilizada.
BPSK. Codifica 125 Kbps de datos por canal, lo que da una velocidad de datos de 6 Mbps. [1]
QPSK Codifica hasta 250 Kbps por canal produciendo una velocidad de datos de 12 Mbps. [1]
Modulación de la amplitud en cuadratura de 16 niveles (16QAM, 16-Level Quadrature
Amplitude Modulation). Codifica 4 bits por Hz, consiguiendo una velocidad de datos de 24
Mbps. [1]
Modulación de la amplitud en cuadratura de 64 niveles (64QAM, 64-Level Quadrature
Amplitude Modulation). Codifica 8 0 10 bits por ciclo, para un total de hasta 1,125 Mbps por
canal de 300 KHz, consiguiendo una velocidad de datos de 54 Mbps. [1]
1.7.3 - Modulación en el Estándar 802.11g
El estándar 802.11g utiliza las mismas técnicas de modulación que el estándar 802.11a y
soporta la modulación CCK. Esto le permite ser compatible con el estándar 802.11b y soportar
velocidades de 54 Mbps.
CAPÍTULO I
- 10 -
Tabla 1.2 Tipos de Modulación
MODULACIÓN
Estándar BPSK
(1 Mbps)
QPSK
(2 Mbps)
CCK
(11 Mbps)
16QAM
(24 Mbps)
64QAM
(54 Mbps)
802.11a X X X X
802.11b X X X
802.11g X X X X X
1.8 - Técnicas de Transmisión en las Redes Inalámbricas 802.11
Los estándares 802.11 especifican varias técnicas de transmisión, dependiendo de la
tecnología. Cada una de estas técnicas se construye a partir de las técnicas de modulación
anteriormente explicadas.
1.8.1 – FHSS (Espectro Extendido de Saltos de Frecuencia, Frequency Hopping
Spread Spectrum)
Es una técnica de espectro disperso que utiliza la agilidad de la frecuencia para dispersar
los datos por encima de los 83 MHz de espectro. La agilidad de la frecuencia es la capacidad de
la radio de cambiar rápidamente la frecuencia de la transmisión, dentro de la banda de frecuencia
RF utilizable.
En los sistemas FHSS, la portadora cambia la frecuencia, o saltos, de acuerdo a una
secuencia pseudoaleatoria. Es lo que a veces se conoce como código de salto. Esta secuencia
define al canal FHSS. El código de salto es una lista de frecuencias a la que la portadora salta a
intervalos de tiempo especificados. El transmisor utiliza esta secuencia de salto para seleccionar
su frecuencia de transmisión. La portadora se mantiene en una frecuencia dada durante un
periodo de tiempo especificado. El transmisor utiliza entonces una pequeña cantidad de tiempo,
denominada tiempo de salto, para moverse a la siguiente frecuencia. Cuando la lista de
frecuencias se ha completado, el transmisor empieza por el principio y repite la secuencia. [1].
En el mejor de los sistemas FHSS los trenes que experimentan una interferencia no se
envían de nuevo por esas vías, hasta que la interferencia desaparece.
El transmisor y el receptor deben estar sincronizados, comunicándose por un canal de
control que cambia de frecuencia de forma aleatoria. En la figura 1.5 la secuencia sería 2, 3, 1, 4,
6, 5.
CAPÍTULO I
- 11 -
Figura 1.5 Transmisión FHSS
1.8.2 - DSSS (Espectro Disperso de Secuencia Directa, Direct Sequence Spread
Spetrum)
Está en el rango de frecuencias de los 900 MHz. El concepto básico de este esquema era
utilizar todo el canal para producir un canal rápido de 860 Kbps o dividir el canal en secciones
más pequeñas para producir más canales. Sin embargo, esos canales rendían velocidades más
lentas, 2 canales de 344 Kbps o 3 canales de 215 Kbps.[1]
Mientras que FHSS utiliza cada frecuencia durante un periodo corto de tiempo según un
patrón repetitivo, DSSS utiliza un rango de frecuencia ancho de 22 MHz durante todo el
tiempo[1].
Un sistema DSSS de 11 Mbps necesita un ancho de banda de 22 MHz, siendo 30 MHz la
distancia mínima entre portadora.
La técnica DSSS se basa en sustituir cada bit de información por una secuencia de bits
conocida como chip o código de chips. Estos códigos de chips permiten a los receptores eliminar
por filtrado las señales que no utilizan la misma secuencia de bits. Las señales que son eliminadas
son el ruido y las interferencias.
El código de chips permite al receptor identificar los datos como pertenecientes a un
emisor determinado. El emisor genera el código de chips y solo los receptores que conocen dicho
código pueden descifrar los datos. En teoría DSSS permite funcionar en paralelo varios sistemas,
cada receptor filtrará de forma exclusiva los datos que corresponden a su código de chips.
CAPÍTULO I
- 12 -
1.8.3 - OFDM (Multiplexaje por División de Frecuencia Ortogonal, Orthogonal
Frecuency Division Multiplexing)
Es utilizado por los estándares 802.11a y 802.11g para conseguir velocidades de datos de
hasta 54 Mbps. Funciona porque las frecuencias de las subportadoras se seleccionan de manera
que por cada frecuencia de su portadora, todas las demás subportadoras no contribuyen a la forma
de onda global.
Lo que hace OFDM es dividir una portadora de datos de alta velocidad en varias
subportadoras de velocidad más baja, que después se transmiten en paralelo. Cada portadora de
alta velocidad tiene un ancho de 20 MHz y se divide en 52 subcanales, cada uno de ellos con una
anchura aproximada de 300 KHz. OFDM utiliza 48 de estos subcanales para los datos, los cuatro
restantes para la corrección de errores. OFDM codificada (COFDM) entrega unas velocidades
de datos más altas y un alto grado de recuperación de reflexión multiruta gracias a su esquema de
codificación y la corrección de errores. Esta técnica utiliza el espectro mucho más eficazmente al
colocar los canales más de cerca unos de otros. El espectro es más eficaz porque todas las
portadoras son ortogonales entre sí, previniéndose así la interferencia entre portadoras
estrechamente espaciadas. [1]
Tabla 1.3 Técnicas de Transmisión
Técnicas de Transmisión
Estándar FHSS DSSS OFDM
802.11 X
802.11a X
802.11b X
802.11g X
Tabla 1.4 Tabla de estándares 802.11
Norma Frecuencia Velocidad Técnica de
transmisión Compatibilidad Modulación
802.11a 5 GHz 54 Mbps OFDM - BPSK,QPSK,
16QAM,64QAM
CAPÍTULO I
- 13 -
802.11b 2.4 GHz 11 Mbps DSSS 802.11g BPSK,QPSK,CCK
802.11g 2.4 GHz 54 Mbps OFDM 802.11b BPSK,QPSK,
16QAM,64QAM,
CCK
1.9 - División de espectro de IEEE 802.11
El espectro electromagnético típico resume los rangos de frecuencias, o bandas
importantes. Las ondas electromagnéticas se clasifican según su frecuencia en Hz o su longitud
de onda en metros. El espectro electromagnético tiene ocho secciones principales, estas se listan a
continuación:
Ondas de potencia.
Ondas de radio.
Microondas.
Luz infrarroja (IR).
Luz visible
Luz ultravioleta (UV)
Rayos X
Rayos Gamma
De esta clasificación, la que atañe a este tema de tesis es el espectro RF. Este espectro
contiene varias bandas de frecuencia, como las microondas y las bandas de frecuencia ultra alta
(UHF) y frecuencia muy alta (VHF) de las difusiones terrestres de radio y televisión. Las WLAN
también operan en este rango. El espectro RF se mueve desde los 9 kHz hasta miles de GHz. En
síntesis consta de dos secciones importantes del espectro electromagnético que son las ondas de
radio y las microondas. La función esencial de RF es lograr que se muevan los electrones
suficientes en la antena emisora de modo que su efecto pueda detectarse en la antena receptora.
Uso del Espectro
Las bandas de frecuencia reguladas se conocen como espectro con licencia. Entre ellas
están la radio AM y la radio FM, la radio de onda corta, los teléfonos celulares, la difusión de
televisión y las bandas utilizadas para la aviación.
La parte inalámbrica comercial del ancho de banda del espectro electromagnético
comienza alrededor de la frecuencia de 1 GHz y continúa hasta los 40 GHz aproximadamente.
CAPÍTULO I
- 14 -
Algunas áreas del espectro han quedado sin licencia, lo que favorece determinadas
aplicaciones, como las WLAN. Un área importante del espectro sin licencia se conoce como
bandas industriales, científicas y médicas (ISM).
El estándar 802.11b define doce canales para su división de espectro.
Tabla 1.5 División del espectro del estándar 802.11b (canales)
Canal Frecuencia
1 2412
2 2417
3 2422
4 2427
5 2432
6 2437
7 2442
8 2447
9 2452
10 2457
11 2462
Éstos canales a su vez se subdividen en canales más pequeños al utilizar la Técnica de
Transmisión FHSS tratada anteriormente. La selección del subcanal de transmisión se hace de
manera aleatoria, es decir, no existe una frecuencia específica de transmisión y recepción.
Por otro lado al utilizar la Técnica de transmisión DSSS se hace uso de todo el ancho de
banda para transmitir y recibir.
Cualquiera de estos canales pueden ser utilizados por el punto de acceso de la red
inalámbrica. La comunicación que se realiza es de tipo half dúplex ya que se comparte el mismo
medio de transmisión que es el aire. por lo tanto la frecuencia de transmisión podría ser la misma
frecuencia de recepción acorde a lo explicado anteriormente
CAPÍTULO II
- 15 -
CAPÍTULO II
SEGURIDAD EN REDES INALÁMBRICAS
La tecnología de las redes inalámbricas ha crecido de forma significativa gracias a la
flexibilidad que ofrece a sus usuarios y el bajo costo de instalación ya que para una conexión no
se requiere de un enlace físico para el usuario.
Para las redes inalámbricas está definido el estándar IEEE 802.11, dentro de la familia
802.11 y en la recomendación 802.11i el tópico relacionado con la seguridad.
Dado el medio de transmisión que utilizan las redes inalámbricas, estas son más difíciles
de proteger. El tema de la seguridad es uno de los grandes retos a los que se enfrenta día con día
el desarrollo de este tipo de redes.
La seguridad en redes inalámbricas se puede dividir en dos categorías:
La seguridad al momento de autenticar los usuarios e identificar sus correspondientes
permisos.
La seguridad al momento de transmitir los datos entre dispositivos inalámbricos.
2.1 - Mecanismos y factores de Seguridad
Los mecanismos básicos de seguridad poseen tres componentes principales para
proporcionar servicios de seguridad.
1) Información secreta como claves y contraseñas, conocidas por las entidades1 autorizadas.
2) Un grupo de algoritmos para realzar el cifrado y descifrado.
3) Un conjunto de procedimientos para definir como usar los algoritmos.
La administración de los sistemas de seguridad comprende dos amplios rubros.
1) La política de los servicios y mecanismos de seguridad para detectar infracciones de
seguridad y emprender acciones correctivas.
2) Seguridad en la generación, localización y distribución de la información secreta, para que
solo pueda ser accedida por entidades autorizadas.
1 Usuario permitido dentro de una red, host.
CAPÍTULO II
- 16 -
2.2 - Problemática de la seguridad en redes Wi-Fi
2.2.1 - Medio de transmisión de las WLAN
La diferencia de las redes inalámbricas con respecto a las redes cableadas es el medio de
transmisión que utilizan, en el caso de las primeras su medio es el aire.
La fuente más importante de los riesgos en redes inalámbricas son las señales que pueden
ser escuchadas por intrusos, ya que las redes Wi-Fi el perímetro de seguridad no está establecido
de forma fija, sino que este depende del alcance de la señal de radio.
2.2.2 - Puntos de acceso mal configurados
La mala, poca o nula configuración de un punto de acceso es muy común ya que
cotidianamente no se cambia la configuración que trae por defecto al hacer posible el
conocimiento público del SSID, aunado a esto no se habilita ninguna opción de seguridad (WEP,
WPA) haciendo que los riesgos sean muy altos.
Un punto de acceso inalámbrico mal configurado se convierte en un factor que vulnera
por completo la seguridad informática de cualquier red.
2.2.3 - Punto de acceso no autorizado
Un punto de acceso no autorizado, es aquel que se instala sin autorización ni
conocimiento de los administradores de red por lo tanto no acata las políticas de seguridad de la
red.
2.3 - Ataques en redes Inalámbricas
Por las características propias del medio, es sencillo realizar ataques que afecten la
disponibilidad de la información en los entornos inalámbricos. Dichos ataques pueden ser
abordados desde varios enfoques, siendo los más sencillos aquellos que utilizan un dispositivo de
radiofrecuencia (RF) de alta potencia para generar interferencias, lo que genera que el usuario no
pudiera utilizar el servicio. Esto es consecuencia de la implementación de la capa MAC de
802.11b, que no transmitirá mientras detecte otra actividad de RF
2.3.1 – Ataques Pasivos
Espionaje, escucha y monitoreo. Las redes inalámbricas por su medio de transmisión son
especialmente vulnerables a los ataques pasivos ya que solo se requiere estar situado dentro del
área de cobertura. Están dirigidos a vulnerar la confidencialidad de la información al buscar
interceptar el flujo de información sin alterar su contenido.
CAPÍTULO II
- 17 -
En las redes donde no existe autenticación, el proceso es transparente, sencillo y
vulnerable, se vuelve más complejo en los sistemas con autenticación de clave compartida
(Shared Key). En estos casos, la autenticación es posible tras la captura de cierto número de
paquetes para obtener la clave, existiendo diversas herramientas que facilitan dicha tarea.
Después de estar escuchando es posible obtener datos, información, direcciones MAC de
los equipos origen y destino, direcciones IP y monitoreo del tráfico existente en la red
inalámbrica. En otras palabras se realiza un espionaje al escuchar todo lo que se transmite dentro
del canal de comunicaciones.
Como se ha visto los ataques pasivos son muy difíciles de detectar ya que no alteran los
datos ni se muestran en la red. La implementación práctica de los ataques de escucha se conoce
como wardriving.
2.3.2 – Ataques Activos
Son ataques en los cuales a diferencia de los pasivos se lleva a cabo la modificación de los
mensajes, paquetes o archivos.
Suplantación.- El atacante (usuario malicioso) personifica un usuario autorizado y por lo tanto
obtiene privilegios no autorizados.
Repetición (Replay).- El atacante monitorea las transmisiones y retransmite mensajes como
un usuario legítimo.
Modificación de mensajes.- El atacante altera un mensaje legítimo al borrarlo, agregarlo,
cambiarlo o reordenarlo.
Negación de servicio (DoS).- Un atacante de negación de servicio DoS (Denial of Service), es
un ataque que impide a la víctima usar total o parcialmente los servicios o comunicaciones de
su red. Este tipo de ataque puede estar dirigido a:
o Un usuario, para impedirle realizar conexiones salientes de la red.
o Una organización completa, para detener su tráfico saliente o entrante a ciertos
servicios de red, tales como las páginas de Web de la organización.
Los ataques DoS son más fáciles de realizar, esto ha ocasionado que los ataques DoS sean
comunes en internet. También pueden estar dirigidos contra una máquina en específico para
evitar que ésta se comunique con la red, contra un punto de acceso para prevenir que las
estaciones de trabajo se conecten con éste o con otra todos los dispositivos de la red. En este
caso, el ataque termina eliminando toda la actividad de la red inalámbrica.
Existen algunos ataques DoS, la mayoría se basan en las debilidades del protocolo
TCP/IP. Las mejoras de los fabricantes y una configuración apropiada de red han hecho que los
ataques DoS sean difíciles de realizar. A continuación se describen algunos ataques DoS.
CAPÍTULO II
- 18 -
Tabla 2.1 Ataques DoS
Tipos de
Ataques (DoS) Descripción
Inundación
(Flood)
Es el mas antiguo, el atacante simplemente envia más tráfico que el
que la víctima (usuario afectado) pueda soportar. Esto requiere que el
atacante tenga una conexión de red más rápida que la víctima. Es el
menos sofisticado y más difícil de prevenir.
Sincronía
(SYN)
En el protocolo TCP/IP, el enlace de conexión de red es realizado con
mensajes SYN y ACK. El sistema que desea comunicarse envía un
mensaje de solicitud, SYN, al sistema destino. El sistema destino
responde con un mensaje ACK. En un ataque SYN, el atacante inunda
al destinatario con mensajes SYN engañosos. Esto llena y sobrepasa
el espacio para mensajes SYN en el equipo destino, impidiendo que
otros sistemas de la red puedan comunicarse con este.
Bloque
(Teardrop)
Utiliza el algoritmo de fragmentación de los paquetes IP para enviar
paquetes dañados a la máquina de la víctima. Esto la confunde y
puede bloquearla.
Smurf
El atacante envía una solicitud de contestación (ping) a una dirección
de emisión masiva (broadcast) desde otro equipo en la red. Esta
solicitud es modificada para hacerla parecer que viene de la dirección
de red de la víctima. Cada equipo dentro del dominio de emisión de
esa red enviará una respuesta a la víctima.
DoS
Distribuido
(DDoS)
Un ataque de negación de servicio distribuido, es un ataque DoS
ejecutado desde una gran cantidad de sitios, que han sido
comprometidos por un gusano, caballo de troya o por un hacker
manualmente.
Estos equipos comprometidos son usualmente controlados con un
software sofisticado cliente servidor tal como Trinoo, Tribe Flood
network, Stacheldaht, TFN2K, Shaft y Mstream.
Puede ser muy dificil defenderse y combatir ataques DDoS.
CAPÍTULO II
- 19 -
2.3.3 – Ataques Avanzados
2.3.3.1 - Ataque de diccionario
Un ataque de diccionario es aquel en el que se intenta cada palabra de un diccionario
como posible password de un mensaje encriptado. Este tipo de ataques es más eficiente que el de
fuerza bruta, ya que los usuarios típicamente utilizan password pobres o muy sencillos.
Existen dos métodos para mejorar los ataques de diccionario:
1) El primero consiste en usar un diccionario más grande o usar más diccionarios.
2) El segundo consiste en ejecutar una manipulación de las palabras del diccionario. Por ejemplo
la palabra “password” puede estar en el diccionario y con técnicas para manipularlo se puede
invertir (drowssap), adicionar combinaciones de números y letras (p4ssw0d) o usar
mayúsculas (Password).
Otra opción es usar una lista de nombres de personas. Un pequeño diccionario puede tener
resultados sorprendentes con estas técnicas.
2.3.3.2 - Ataque de fuerza bruta
Un ataque de fuerza bruta consiste en intentar todas las posibles claves, códigos,
combinaciones o contraseñas hasta encontrar el correcto. La dificultad de estos ataques depende
de varios factores:
Longitud de la clave
Valores posibles puede tener cada componente de la llave
Tiempo para intentar cada clave
Por ejemplo imagine un sistema en el cual permite solo 4 dígitos (PIN, Número de
identificación personal). Esto significa que el número máximo de combinaciones posibles son
10 000.
Incrementando la seguridad contra ataques de fuerza bruta.
Del ejemplo anterior, la seguridad del PIN puede ser incrementada al:
Incrementar la longitud del PIN.
Permitir que el PIN contenga otros caracteres además de números, tal como + o #.
Implantar u retraso de 30 segundos entre intentos de autenticación fallidos.
Bloquear la cuenta después de 5 intentos fallidos.
Un ataque de fuerza bruta tendrá éxito, eventualmente. Sin embargo, ataques de fuerza
bruta contra sistemas con llaves suficientemente largas requerirán demasiado tiempo en
CAPÍTULO II
- 20 -
completarse. En muchos casos un ataque de diccionario trabajará más rápidamente que un ataque
de fuerza bruta.
2.3.3.3 - Asociación maligna o accidental
Un hacker puede forzar a una estación de trabajo a conectarse, sin que ésta lo sospeche o
alterar la configuración de la estación para poder operar en modo de red Ad-Hoc. Los hackers
configuran una computadora portátil como un punto de acceso.
Así cuando la estación de trabajo de la víctima transmite una solicitud para asociarse con
un punto de acceso, el punto de acceso del hacker responde a esta petición y establece una
conexión entre los dos. El punto de acceso provee una dirección IP a la estación de trabajo de la
víctima. Una vez hecho esto, el hacker puede robar información instalar gusanos, troyanos u
otros programas de espionaje (spyware) y si está conectada a una red cableada, usan la estación
de la víctima como una plataforma de lanzamiento para obtener acceso a otros servidores.
Las estaciones pueden ser engañadas o forzadas para conectarse a puntos de acceso
maliciosos, ya que frecuentemente no hay autenticación en el punto de acceso. Esto es una
vulnerabilidad a nivel de capa 2 del modelo OSI (enlace de datos). La autenticación a nivel da
capa 3 (red) no ofrece ninguna protección contra esto, tampoco lo hace el uso de redes privadas
virtuales (VPNs).
WLANs con autenticación basada en 802.1x (capa 2) ayuda a proteger contra
asociaciones maliciosas, pero aun son vulnerables. Un ataque de asociación maliciosa no trata de
irrumpir la VPN u otras medidas de seguridad. Solo toman posesión del cliente.
2.3.3.4 - Robo de identidad (MAC SPOOFING)
El robo de la identidad de un usuario autorizado es una amenaza seria para las redes
inalámbricas. Aún cuando el SSID y las direcciones MAC actúan como un número de
identificación personal (PIN) al verificar la identidad de los clientes autorizados, los estándares
de encriptación no son una garantía. Los hackers con conocimientos pueden elegir direcciones
MAC o SSID autorizadas y robar ancho de banda, bajar archivos o dañarlos y ejecutar la
destrucción de la red entera.
Algunos administradores aseguran sus redes inalámbricas al usar una lista de direcciones
MAC de los equipos como autenticación. Mientras que este método provee alguna seguridad para
instalaciones pequeñas, las direcciones MAC nunca fueron diseñadas para este uso.
Aún si se utiliza algún método de encriptación o VPNs, las direcciones MAC están
siempre en el aire, con algunas herramientas de software un hacker puede fácilmente capturar la
dirección MAC de un usuario válido. Para poder llevar a cabo el robo de identidad, un hacker
puede cambiar su dirección MAC por la de su víctima, usando un programa diseñado para esto, o
CAPÍTULO II
- 21 -
manualmente cambiar el registro en Windows. Una vez realizando esto pude tener acceso a la red
inalámbrica, sobrepasando cualquier filtrado de direcciones MAC.
El monitoreo de radiofrecuencia permite garantizar a los usuarios que la autenticación
apropiada está siendo impuesta y cumplida. De tal forma intentos de autenticación excesiva
pueden indicar intentos maliciosos de un hacker.
2.3.3.5 - Ataque de inyección de tráfico a la red
Es un nuevo desarrollo de negación de servicio (DoS), éste ataque se aprovecha de
dispositivos inalámbricos mal configurados y su objetivo es tirar la red entera. Cuando un punto
de acceso es conectado a una sección no filtrada de la red, emite tráfico de red, dirigido o
diseminado (multicast y broadcast). Al hacer esto los paquetes incitan ataques que derriban los
equipos de las redes inalámbricas y cableadas e impulsan a disolver la infraestructura entera en la
red interna, incluidos hubs, ruteadores y switches.
Los Loops (ciclos infinitos) ocurren cuando hay rutas alternas entre dos clientes (hosts).
Si existe un loop en una red extensa, los puentes podrían enviar tráfico a hosts falsos o erróneos
indefinidamente, incrementando el tráfico y reduciendo el rendimiento de la red al punto donde la
red deja de responder. Un hacker puede inyectar tráfico sobre el segmento de red inalámbrica y
será propagado a través de la red completa. Esto crea un ataque DoS al insertar intencionalmente
loops dentro de la red.
Ataques de ruteo son otros ataques de modo DoS. Un hacker puede utilizar herramientas
para inyectar actualizaciones de ruteo falsas de la red, cambiando la puerta de enlace (Gateway)
por defecto o destruyendo las tablas de ruteo. Cualquier punto de acceso falso en la red que no
éste filtrado por una puerta abre la red a este ataque dañino.
2.4 - Requisitos para una red inalámbrica segura
Se han definido tres características necesarias en una red inalámbrica para definirla como
segura.
Autenticación.- Es el proceso de intento de verificar la identidad digital de un usuario para
conectarse a una red.
Confidencialidad.- Encriptación de las comunicaciones para dar seguridad.
Integridad.- Procesos que preveén y detectan la falsificación de los mensajes de datos.
Estos servicios pretenden ofrecer seguridad y para lograrlo se han desarrollado varios
estándares, métodos y algoritmos de seguridad.
CAPÍTULO II
- 22 -
Dado que el peligro siempre ha estado latente, varios protocolos han sido desarrollados
para evitar este problema, éstos, se basan principalmente en el cifrado de las comunicaciones. No
obstante estos métodos de seguridad siguen siendo débiles, existen otras medidas de protección
más robustas basadas en el estándar 802.1x que permite la autenticación y autorización de
usuarios, a través del protocolo extendido de autorización (EAP). Así como los protocolos WEP,
WPA y WPA2 que son de autenticación y confidencialidad. Estos protocolos operan en el nivel 2
del modelo OSI (subcapa MAC).
2.5 - WEP (Wired Equivalent Privacy)
El algoritmo WEP evita acceso no autorizado a una red inalámbrica. Fue diseñado para
proveer autenticación de usuarios, privacidad en los datos e integridad de una forma equivalente a
una red cableada.
Es el método de seguridad más básico de todos los existentes, cifra la comunicación
inalámbrica entre los puntos de acceso y el cliente, está implementado en la capa encargada de
administrar y mantener la comunicación entre los nodos de la red (MAC, Control de Acceso al
Medio). Este método protege la red inalámbrica contra ataques y ofrece un control de acceso a la
misma.
2.5.1 – Componentes de WEP
Clave Secreta.
Vector de Inicialización (IV).
Algoritmo RC4 (Rivest Cipher 4)2 .
CRC-32 (Código de Redundancia Cíclica).
Clave secreta
WEP utiliza claves secretas estáticas que comparte con los usuarios de la red y los puntos
de acceso de un sistema dado para iniciar una transmisión de datos. Estas claves junto con el
algoritmo RC4 se utilizan para encriptar información, están formadas normalmente por 40 bits y
para ofrecer un mayor nivel de seguridad también hay implementaciones que utilizan llaves de
104 bits.
2 Algoritmo de criptografía diseñado por Ron Rivest en el año 1987.
CAPÍTULO II
- 23 -
Algoritmo RC4
El algoritmo RC4 funciona expandiendo una cadena de bits en una clave arbitrariamente
larga de bits pseudoaleatorios. Está conformado por el vector de Inicialización (24 bits) y la clave
secreta (40,104 bits) para generar la secuencia de llaves utilizada para encriptar y desencriptar
información.
Vector de Inicialización (IV).
Un vector de inicialización de 24 bits se utilizan para evitar encriptar los paquetes con la
misma secuencia de llaves minimizando la probabilidad de alimentar el RC4 con las mismas
entradas.
El algoritmo RC4 puede ser alimentado por una cadena de 64 bits, compuesto por 40 bits
de la clave compartida y 24 bits del vector de inicialización, también puede alimentarse por 104
bits de clave compartida y de igual forma un vector de inicialización de 24 bits resultando una
cadena de 128 bits. El valor inicial del IV se da aleatoriamente al comenzar la transmisión de
datos, no obstante otros sistemas inicializan el IV con el valor de cero y aumentan este valor
unitariamente con cada paquete transmitido hasta alcanzar un valor aproximado de 16 millones
(2^24) para reiniciar el conteo.
Código de Redundancia Cíclica CRC-32
Los Códigos de Redundancia Cíclica también llamados códigos polinómicos son
utilizados para calcular las sumas de verificación (checksums), así mismo son muy utilizados en
la práctica para detectar errores en largas secuencias de datos.
En WEP después de aplicar el CRC-32 se genera la suma de verificación conocida como
ICV (Integrity Check value), valor utilizado en los procesos de encriptación y desencriptación de
WEP. Es utilizado para asegurar que la información enviada por la red no ha sido modificada o
alterada, mediante las sumas de verificación (checksums). La suma de Verificación Resultante a
un texto plano después de aplicar el CRC-32 se conoce como IVC (Integrity Check Value).
2.5.2 - Método de Funcionamiento
El proceso de encriptación que utiliza WEP se realiza a cada paquete a transmitir, lo hace
de la siguiente manera (figura 2.1):
Transmisor
El transmisor calcula el ICV usando el CRC-32 sobre el mensaje y lo concatena al mismo.
Se elige el IV y se concatena a la clave secreta.
CAPÍTULO II
- 24 -
El IV y la clave secreta alimentan al algoritmo RC4 que funciona como generador de
Números Pseudoaleatorios (PRNG), para generar la secuencia de claves.
Se encripta el mensaje original haciendo la operación XOR entre la secuencia anterior y el
mensaje original.
Se envía el Vector de Inicialización y el mensaje encriptado.
Fig. 2.1. Diagrama de bloques del proceso de encriptación de WEP
El proceso de desencriptación que utiliza WEP se realiza a cada paquete recibido, lo hace
de la siguiente manera (figura 2.2):
Receptor
El receptor utiliza el IV enviado por el transmisor y la clave secreta para generar la misma
secuencia de claves con el algoritmo RC4.
El receptor realiza la operación XOR entre la secuencia de claves y el texto cifrado recibido
para calcular el texto original y el ICV.
Con el CRC-32 se calcula el ICV del texto obtenido.
Se comparan los valores ICV recibido y obtenido, si son iguales se acepta el mensaje de lo
contrario se rechaza.
CAPÍTULO II
- 25 -
Fig. 2.2. Diagrama de bloques del proceso de desencriptación de WEP.
2.5.3 - Debilidades de WEP
Uso de claves estáticas.
No existe ningún mecanismo de gestión de claves.
El Vector de Inicialización (IV) se envía sin encriptar.
Si se repite el IV se produce la misma secuencia de cifrado.
El IV forma parte de la clave WEP.
CRC-32 se diseñó para detectar errores.
Configuración predeterminada débil.
Se autentica la máquina, no el usuario.
Gestión y tamaño de clave
La gestión de clave no está especificada, éstas tienden a mantenerse durante más tiempo y
resulta una tarea tediosa y difícil modificarlas, lo que reduce la seguridad. La mayoría de las
redes inalámbricas que utilizan WEP tienen una única clave WEP compartida por todos los nodos
de la red. Todo usuario y punto de acceso deben ser programadas de forma manual con la misma
clave WEP.
La clave tiene una longitud de 40 bits. Cuando el estándar fue desarrollado en 1997, las
claves de 40 bits eran consideradas suficientes, hoy en día es insuficiente y los fabricantes han
extendido el tamaño de la clave a 104 bits. En cualquiera de los casos (40 ó 104 bits), se cuenta
con un vector de inicialización de 24 bits.
CAPÍTULO II
- 26 -
El IV es demasiado pequeño
El Vector de Inicialización (IV) tiene un tamaño de 24 bits, proporciona alrededor de 16 millones
de combinaciones diferentes de cifrado para una clave WEP. El principal problema es la
reutilización del IV, dado que en un corto tiempo se completan todas las combinaciones posibles.
Así un atacante si descubre el flujo de cifrado del algoritmo RC4 y utilizando la operación XOR
al paquete puede desencriptar los paquetes subsiguientes encriptados con el mismo IV.
El protocolo WEP no especifica cómo crear ni con qué frecuencia debe ser cambiado el
IV, algunas veces comienza a dar valores empezando en cero y se va aumentando en uno por
cada paquete enviado y regresando de nuevo el contador a cero después de concluidos los 16
millones de paquetes.
Deficiencia en el CRC-32
Otra debilidad se encuentra al proporcionar un mecanismo que garantice la integridad de
los mensajes, utilizando un CRC-32 que se transmite cifrado. Dado que el CRC-32 se diseñó para
la detección de errores no es válido y es posible modificar una parte del mensaje sin que se
percate el receptor.
2.6 - WPA (WI-FI Protected Access)
Miembros de la Wi-Fi Alliance en colaboración con la IEEE buscaron la manera de
corregir las debilidades de WEP, propusieron un nuevo estándar llamado WPA. Con este estándar
se mejora el cifrado de los datos y ofrece un mecanismo de autenticación. WPA propone un
nuevo protocolo de cifrado para solucionar el problema conocido como TKIP (Temporary Key
Integrity Protocol). La principal función de este protocolo es de intercambiar la clave compartida
entre el punto de acceso y usuario cada cierto tiempo, evitando así ataques que permitan revelar
la clave.
De igual forma se mejoraron los algoritmos de cifrado de trama y de generación del IV,
con respecto a WEP, y permite la autenticación de los usuarios gracias al estándar 802.1x,
protocolo puesto a punto por IEEE.
WPA permite utilizar una clave por estación conectada a una red inalámbrica, mientras
que WEP utilizaba la misma clave para toda la red inalámbrica. Las claves WPA son así
generadas y distribuidas de manera automática por el punto de acceso inalámbrico que debe
ser compatible con WPA. Además de un verificador de datos permite asegurar la integridad de
la información recibida para estar seguro de que nadie la ha modificado.
CAPÍTULO II
- 27 -
2.6.1 - Modo de autenticación
2.6.1.1 - Modalidad de red empresarial
Para operar en esta modalidad se requiere de la existencia de un servidor RADIUS en la
red. El punto de acceso emplea entonces 802.1x y el protocolo EAP para la autenticación, el
servidor RADIUS suministra las claves compartidas que se usarán para cifrar los datos.
2.6.1.1.1 - 802.1X
WPA emplea al 802.1x para atender el problema de la autenticación y escalabilidad de
usuarios en WEP. Está diseñado para redes cableadas pera también es aplicable a redes
inalámbricas, consta de tres elementos:
Un suplicante.- Dispositivo inalámbrico que hace una petición a la red para conectarse y ser
autenticado.
Un servidor de autenticación.- Un sistema que maneja las autenticaciones, tal como un
servidor RADIUS o IAS.
Un autenticador.- Dispositivo que actúa como intermediario entre suplicante y servidor de
autenticación. Usualmente es un punto de acceso.
2.6.1.1.2 - EAP (Extensive Authentication Protocol)
Es un protocolo de seguridad de capa 2 del modelo OSI, empleado en la etapa de
autenticación. El estándar provee control de acceso basado en puertos así como autenticación
mutua entre clientes y puntos de acceso usando un servidor de autenticación. El protocolo de
Autenticación Extendido provee una base generalizada para un sistema de red inalámbrico al
escoger un método específico de autenticación que puede ser password y certificados PKI.
Al utilizar EAP no es necesario para el autenticador entender los detalles sobre los
métodos de autenticación, este simplemente actúa como un interceptor de paquetes EAP a ser
enviados de un usuario a un servidor de autenticación, en el cual la autenticación si se lleva a
cabo.
De acuerdo a la modalidad empleada se utiliza alguna de las dos variantes del protocolo
EAP: las que emplean certificados de seguridad y las que utilizan contraseñas.
CAPÍTULO II
- 28 -
EAP con certificado de seguridad
EAP-TLS: El tipo de EAP Seguridad del nivel de transporte EAP (EAP-TLS, Transport Level
Security). El método de autenticación EAP-TLS se utiliza si se están empleando tarjetas
inteligentes para la autenticación de acceso remoto. El intercambio de mensajes EAP-TLS
permite la autenticación mutua, la negociación del método de cifrado y la determinación de
claves cifradas entre el cliente de acceso remoto y el autenticador. EAP-TLS proporciona el
método de determinación de claves y autenticación más eficaz. EAP-TLS sólo se admite en
servidores que ejecutan Enrutamiento y acceso remoto, que están configurados para utilizar la
Autenticación de Windows o RADIUS, y que son miembros de un dominio. Los servidores
de acceso remoto que se ejecutan como servidores independientes o miembros de un grupo de
trabajo no admiten EAP-TLS.
EAP-TTLS: Proporciona servicios similares a EAP-TLS, con la diferencia de que requiere
solamente la instalación de un certificado en el servidor, agilizando el proceso. Esto garantiza
la autenticación del servidor por parte del cliente; la autenticación del cliente por parte del
servidor se efectúa una vez que se establece la sesión TLS, utilizando otro método tal como
PAP, CHAP, MS-CHAP, con lo cual el suplicante se identifica con una combinación
nombre/contraseña.
PEAP: Funciona de manera parecida a EAP-TTLS, en el sentido de que solamente requiere
de certificado de seguridad en el servidor. Provee protección a métodos más antiguos de EAP,
mediante el establecimiento de un túnel seguro TLS entre el cliente y el autenticador.
EAP con utilización de contraseñas
EAP-MD5: Emplea un nombre de usuario y una contraseña para la autenticación. La
contraseña se transmite cifrada con el algoritmo MD5. Su gran inconveniente consiste en el
bajo nivel de seguridad que maneja ya que es susceptible a ataques de diccionario. Además, el
cliente no tiene manera de autenticar al servidor, y el esquema no es capaz de generar claves
de WEP dinámicas.
LEAP: Emplea un esquema de nombre de usuario y contraseña, y soporta claves dinámicas
WEP. Al ser una tecnología propietaria, exige que todos los puntos de acceso sean marca
CISCO, y que el servidor RADIUS sea compatible con LEAP.
EAP-SPEKE: Esta variante emplea el método SPEKE (Simple Password-authenticated
Exponential Key Exchange), que permite verificar que tanto como servidor comparten una
contraseña secreta a través de un medio inseguro. Se ha comprobado que el método es muy
seguro, aun con contraseñas cortas. Ofrece protección contra ataques de diccionario, así como
el servicio de autenticación mutua sin necesidad de certificados. Muchos proveedores lo
implementan por ser un método de autenticación robusto y sencillo.
CAPÍTULO II
- 29 -
2.6.1.2 - Modalidad de red casera o PSK (Pre-Shared Key)
Está enfocada para uso en redes domésticas o pequeñas redes. No requiere un servidor
AAA, sino que utiliza una clave compartida en las estaciones y punto de acceso. Al contrario que
WEP, esta clave solo se utiliza como punto de inicio para la autenticación, pero no para el cifrado
de los datos.
Una vez logrado el acceso, el protocolo TKIP entra en funcionamiento para garantizar la
seguridad del acceso. Se recomienda que las contraseñas empleadas sean largas (20 o más
caracteres), porque ya se ha comprobado que WPA es vulnerable a ataques de diccionario si se
utiliza una contraseña corta.
2.6.1.2.1 - TKIP (Protocolo de integridad de llave temporal, Temporal
Key Integrity Protocol)
Del estándar 802.11i se deriva el Protocolo de integridad de llave temporal TKIP,
diseñado para corregir las vulnerabilidades que presenta WEP en la encriptación de datos. TKIP
repara la falla de seguridad del uso cíclico de llaves en WEP.
TKIP está compuesto de tres partes:
Una llave dinámica y temporal, incrementada de 40 bits en WEP a 128 bits en TKIP, la cual
es compartida por los clientes y los puntos de acceso.
Una dirección MAC de un dispositivo cliente.
Un vector de inicialización de 48 bits a diferencia de WEP que utiliza 24 bits.
Comparado con WEP, TKIP cambia las llaves temporales cada 10 000 paquetes, de esta
manera aun se deja un pequeño espacio para romper la llave TKIP. Esta llave va a estar
compuesta por la clave base, la dirección MAC de la estación emisora y del número de serie del
paquete como vector de inicialización.
Cada paquete que se transmite utilizando el protocolo TKIP incluye el número de serie
único de 48 bits, por cada paquete enviado se incrementará para asegurar que todas las llaves son
distintas. Esto evita ataques de colisión que se basan en paquetes cifrados con la misma llave.
2.6.1.2.2 - MIC (Message Integrity Code)
WEP utiliza el CRC-32 como código de integridad de mensaje y WPA utiliza el código
MIC. El código de integridad del mensaje (MIC) permite verificar la integridad de la trama,
especifica un nuevo algoritmo que calcula un código de integridad de mensaje de 8 bytes
mientras que WEP utiliza un valor de verificación de integridad de mensaje de 4 bytes.
CAPÍTULO II
- 30 -
2.6.2 - Ventajas de WPA
Soluciona la debilidad del vector de inicialización de WEP mediante la inclusión de
vectores del doble de longitud y especificando reglas de secuencia que los fabricantes deben
implementar.
Eliminación del CRC-32 e inclusión del código MIC.
Generación y distribución de claves dinámicas automáticamente.
Método de autenticación EAP y llaves compartidas (PSK).
2.7 - WPA2
WPA2 está basada en el nuevo estándar 802.11i. A diferencia de WPA, siendo este una
versión previa, no incluye todas las características del Estándar IEEE 802.11i, mientras se puede
decir que WPA2 es la versión certificada del estándar 802.11i. Añade encriptación mejorada vía
AES (CCMP). Soporta a redes en modo Ad-Hoc o IBSS y una característica llamada
preautenticación, esta permite movilidad al usuario entre WLAN‟s conectadas en la misma
infraestructura.
En la nueva generación de puntos de acceso, los fabricantes se apoyaron en el protocolo
WPA2 que utiliza el algoritmo de cifrado TKIP, al igual que WPA pero con la ventaja que
soporta AES en lugar de RC4, haciéndolo así mucho más seguro en cuanto al cifrado de los
datos.
AES (Estándar de Encriptación Avanzada, Advanced Encryption Standard) es el
algoritmo de clave simétrica más seguro existente pero requiere mayor capacidad de
procesamiento para implementarlo, éste es el motivo de que su uso sea opcional en WPA ya
que una gran parte del hardware existente en los dispositivos inalámbricos es insuficiente para
ejecutarlo.
CCMP (Protocolo de Respuesta a la Codificación en Bloque Encadenado al Código del
Mensaje de Autenticación,Counter Mode with Cipher Block Chaining Message Authentication
Code Protocol) utiliza el algoritmo AES para encriptación. Proporciona tanto confidencialidad
(cifrado) como integridad a los datos. Utiliza una estructura de llaves jerárquicas basadas en pares
de llaves y llaves de grupo.
Ventajas de WPA2
Canal encriptado y seguro antes de iniciar autenticación a nivel capa 2 del modelo OSI
Autenticación segura
CAPÍTULO II
- 31 -
Negociación de cifrado
Nuevo algoritmo de verificación de mensajes MIC
Metodología EAP para autenticar
Compatible con redes Ad-Hoc
Soporte de movilidad al preautenticar en los puntos de acceso al usuario
2.8 - Filtrado de direcciones MAC
El filtrado de direcciones MAC se trata de una opción de autentificación adicional, que
ofrecen muchos puntos de acceso. Consiste en crear una tabla de las direcciones MAC de los
dispositivos inalámbricos autorizados en cada punto de acceso, para comunicarse con ellos. De
esta manera se filtran los dispositivos autorizados y se inhibe el acceso a los demás. La ventaja de
filtrar direcciones MAC es la sencillez que ofrece, de este modo puede ser implementado en
redes domesticas, no obstante también posee desventajas para su uso en redes más grandes. Las
principales desventajas son:
Cada Punto de Acceso debe programarse manualmente y esto provoca, además de una gran
carga de trabajo, frecuentes errores de captura de los números de la dirección MAC.
Cada nuevo usuario deberá ser dado de alta. Una de los grandes atractivos de las redes
inalámbricas es facilitar la movilidad de los usuarios. En este caso, si la organización cuenta
con varios Access Point significa que la lista de direcciones debe mantenerse cargada y
actualizada en cada uno de ellos.
Si algún dispositivo (PC portátil, o PDA) es robado o extraviado, deberá darse de baja
inmediatamente de todas las listas de todos los Puntos de Acceso, pues el que tenga ese
dispositivo estará autorizado para entrar a la red.
Las direcciones MAC pueden ser "capturadas" por algún posible intruso y luego con ese dato
tener acceso libre al sistema.
Los Puntos de Acceso también pueden ser sustraídos con relativa facilidad y en ese caso se
dejaría expuesto todo el sistema de seguridad inalámbrico.
Por último, evidentemente este método no cumple con el estándar 802.1x, pues no se
autentica al usuario, sino a los dispositivos.
Tabla 2.2 Tabla comparativa de algoritmos de seguridad inalámbrica
Algoritmo Fecha Algoritmo
de cifrado
Llave de
encriptación
Vector de
inicialización
Llave de
autenticación
Integridad
de los
datos
Seguridad
Ad-Hoc Preautenticación
WEP 1999 RC4 40 bits 24 bits - CRC-32 - -
WPA 2004 RC4(TKIP) 128 bits 48 bits 64 bits MIC - -
WPA2 2004 AES-CCMP 128 bits 48 bits 128 bits MIC SI SI
CAPÍTULO II
- 32 -
2.9 – Sistemas de Detección de Intrusiones
Un sistema de detección de intrusiones IDS (Intrusion Detection System) es una
herramienta de seguridad que comprueba toda la actividad interna ocurridos dentro y fuera de un
determinado sistema informático o red informática en busca de intentos de comprometer la
seguridad de dicho sistema. Los IDS buscan patrones definidos previamente que impliquen
actividades sospechosas sobre la red. Son una herramienta de prevención, no están diseñados para
detener un ataque pero pueden generar determinados tipos de respuesta en caso de alguno.
Los IDS aumentan la seguridad de la red, vigilan el tráfico de la misma y examinan los
paquetes analizándolos en busca de datos sospechosos y detectan las primeras fases de un ataque.
2.9.1 - NIDS (Net IDS)
Los sistemas de detección de intrusiones basados en red (NDIS), actúan sobre una red
analizando paquetes individuales que viajan a través de ella buscando patrones sospechosos de
algún tipo de ataque, son sniffers del tráfico de la red. Trabajan a nivel TCP/IPN y a nivel de
aplicación, normalmente en tiempo real. Pueden analizar redes amplias y su impacto en el tráfico
es pequeño.
Por el tipo de respuesta podemos clasificarlos en:
Pasivos: Son aquellos IDS que notifican al administrador de la red mediante una alarma
de una brecha potencial en la seguridad, Pero no actúa sobre el ataque o atacante.
Activos: Generan algún tipo de respuesta determinado por el administrador de la red
como cerrar la conexión o programar el firewall (cortafuegos) para bloquear en la red el tráfico
de la fuente de ataque o bien enviar algún tipo de respuesta predefinida en la configuración.
2.9.2. - HIDS (Host IDS)
Protegen contra un solo PC al analizar actividades con gran precisión y determinando las
acciones y procesos de los usuarios. Recopilan una gran cantidad de información como ficheros
para analizarlos posteriormente en busca de posibles incidencias. Todo esto lo realiza dentro del
propio sistema, los HIDS fueron los primeros IDS desarrollados por la industria de la seguridad
informática.
La diferencia entre los IDS y los firewalls es que los primeros buscan posibles intrusiones
para que no ocurran ataques y una vez que han ocurrido examina la posible intrusión y genera
CAPÍTULO II
- 33 -
una alarma mientras que para detener una intrusión el firewall restringe el acceso entre redes
pero no puede detectar un ataque desde dentro de la red.
2.10 – Políticas para las Contraseñas
En la mayoría de los sistemas de cómputo, las contraseñas son indispensables para
identificarse ante un sistema y nos permiten impedir el acceso indiscriminado de cualquier
usuario. Sin embargo, la exposición a que un tercero pueda robar las contraseñas no se puede
pasar por alto.
En las redes de cómputo se emplean diversas técnicas para averiguar contraseñas, en los
sistemas de autenticación se encuentran los denominados “ataques por diccionario” y “ataques
por fuerza bruta”. Para tener éxito en este tipo de ataques es primordial conocer el nombre de
usuario de una cuenta, esto, es muy sencillo la mayoría de las veces ya que son valores
predeterminados como “root”, “admin” o “administrator”. Los ataques son dirigidos a las cuentas
que poseen los máximos privilegios por lo tanto, es necesario modificar el nombre de usuario
predeterminado de estas cuentas.
2.11 – Políticas para la Seguridad
Las herramientas de seguridad Wi-Fi son insuficientes para solucionar todos los
problemas de seguridad que plantean las redes inalámbricas. Por lo tanto es imprescindible la
utilización de políticas claras y rígidas en materia de seguridad. El NIST (National Institute of
Standards and Technology, Instituto de Estándares de USA) recomienda como primer medida de
seguridad, antes aún de comprar o instalar tecnología WIFI, elaborar políticas y procedimientos
de seguridad para todos los usuarios.
En el momento de elegir contraseñas el administrador se debe basar en su longitud y la
variedad de la serie de caracteres que la pueden componer, ya que a mayor tamaño y mayor
variedad de caracteres será más difícil de predecir por los intrusos.
Al elegir una contraseña es importante no optar por la misma para varios tipos de
aplicaciones y servicios ya que esto aumenta el riesgo de que un atacante pueda robarla.
Actualmente se encuentran los certificados digitales, estos, permiten verificar que el
remitente sea realmente quien dice ser y que el contenido del mensaje enviado (criptograma) no
haya sido modificado en su tránsito. Los certificados digitales, proporcionan un mecanismo para
verificar la autenticidad de programas y documentos obtenidos a través de la red.
CAPÍTULO II
- 34 -
Las siguientes medidas son esenciales para la configuración del servidor de autenticación
con respecto a las contraseñas:
Permitir el acceso desde una IP en particular
Contraseña de mínimo 8 caracteres obligatoriamente
Inclusión de mayúsculas, minúsculas y símbolos
Definición del intervalo y número de intentos para entrar la contraseña en el servidor.
Prevención de ataques de diccionario y de fuerza bruta
Lograr una prevención total de este tipo de ataques es muy difícil, no obstante algunos
métodos para contrarrestarlos son:
Hacer una pausa aleatoria cuando se teclea una contraseña.
Registrarse y trabajar desde una sola dirección IP.
Hacer uso de software para prevenir ataques automatizados.
Bloqueo de la cuenta de un usuario después de varios intentos fallidos de entrar una
contraseña.
Para identificar un ataque de fuerza bruta o cualquier otro las siguientes condiciones son
sin duda indicadores que pueden ser de gran ayuda:
Registro excesivo de entradas a la red desde una misma dirección IP.
Entradas a la red de una cuenta en particular desde IPs diferentes.
Uso excesivo del ancho de banda por un solo usuario.
Intentos fallidos de entrada a la red usando nombres o contraseñas secuenciales.
Intentos excesivos de entrar a la red desde la misma IP.
2.12 - Retos actuales de la seguridad de la información.
Escasez de personal en seguridad informática
Además de la capacitación técnica, el personal de seguridad de la información necesita
desarrollar habilidades para cumplir con los estándares y necesidades de seguridad que no son
parte de la formación profesional tradicional. Las políticas de seguridad que requiere una
compañía o institución son similares a leyes que se deben implementar en las mismas, esto,
requiere entrenamiento especializados.
CAPÍTULO II
- 35 -
Legislación para la protección de la información.
Ciertos países no dan mucha importancia a la protección de información personal o a la
propiedad intelectual por lo tanto dan pié a que los intrusos operen libremente sin ningún temor a
las leyes, ya que es imposible que el Derecho vaya a la par que la tecnología, regulando cuanto
fenómeno o conducta lícita o ilícita infiere en el ámbito jurídico, empezando porque es evidente
que los fenómenos y/o conductas tienen que manifestarse primero, ya que las leyes no pueden
regular lo que aún no existe.
Fuerza laboral móvil.
Toda la protección que se ofrece a una institución debe ser la misma que se aplique en los
dispositivos portátiles para que puedan seguir funcionando de manera segura y protegida.
Además sí los aparatos móviles no tienen herramientas para la seguridad de la
información se corre el riesgo de robo de propiedad intelectual valiosa y confidencial.
Compatibilidad y fabricantes certificados.
Hay que asegurarse de adquirir productos de chips inalámbricos de fabricantes
certificados por la alianza Wi-Fi para tener una seguridad sólida y rápida ya que al usar chips de
marcas que no estén certificadas se tendrán problemas de interoperabilidad y por lo tanto la red
presentará un bajo desempeño.
2.13 - Prácticas seguras para WLANs
2.13.1 - Estándares de seguridad informática
El ISO17799 y el BS799 son políticas y estándares de procedimientos de seguridad.
Ambos comprenden una aproximación general al tratamiento que se le debe dar a la información
relativa a archivos de datos y de software y a comunicaciones en general comprendidos en la
definición del término “información”, ya que la información es un bien por el valor que adquiere
necesita ser protegida igual que cualquier otro bien.
El BS799 recomienda especial atención en tres puntos principales para garantizar la
seguridad de la información:
Integridad.- para proteger la totalidad y veracidad de la información y los métodos usados
para procesarla
Disponibilidad.- Asegurando que la gente que ha recibido autorización la pueda accesar.
Confidencialidad.- para garantizar que los usuarios autorizados tengan acceso a tal
información y todos los recursos asociados cuando sea requerido.
CAPÍTULO II
- 36 -
Por su parte el ISO-IEC 17799:2000 hace recomendaciones para la administración de la
seguridad de la información:
Establecer políticas de seguridad dentro de la organización
Infraestructura de seguridad
Seguridad del personal
Clasificación y control de bienes
Administración de comunicaciones y operaciones
Control de acceso
Desarrollo y mantenimiento de sistemas
2.13.2 - Monitoreo para disminuir riesgos
Las organizaciones deben observar sus redes inalámbricas constantemente para detectar
vulnerabilidades e intrusiones. Existen varios productos comerciales que proveen servicios como:
Protección contra intrusos: Monitoreo en tiempo real de los protocolos 802.11a/b/g para la
detección más avanzada para redes inalámbricas.
Ejecución de políticas de seguridad: permite a las organizaciones crear políticas para cada
dispositivo como parte de una política centralizada que define, monitorea y ejecuta las políticas.
Monitoreo saludable: monitorea la salud de la red inalámbrica y provee soporte
operacional que maximiza su rendimiento y alerta cuando algún dispositivo falla o es
desconectado.
Análisis y detección de puntos de acceso falsos: los puntos de acceso no autorizados
representan una de las mayores amenazas para la seguridad de la red de la organización.
2.13.3 - Detección de puntos de acceso no autorizados
La única manera de encontrar puntos de acceso no autorizados es escuchando las señales.
Sniffers. Son programas que permiten examinar los canales de radiofrecuencia en busca
de conexiones con cualquier punto de acceso dentro del rango. ( por ejemplo AirSnort o
NetStumbler).
Probes. Los sensores “probes” se pueden instalar para asegurar la continua vigilancia de
puntos de acceso no autorizados. Son dispositivos electrónicos que continuamente exploran y
monitorean todo el tráfico 802.11 dentro del rango, estos dispositivos son costosos tanto en
materia de equipo como de instalación. Sin embargo ya existen puntos de acceso que están
diseñados para actuar como sensores así como puntos de acceso reduciendo así el costo.
CAPÍTULO II
- 37 -
2.13.4 - Limites del área de cobertura
Al limitar el área de cobertura se beneficia la seguridad de la red, para esto es primordial
dar servicio únicamente a las áreas que lo requieran, también al instalar los puntos de acceso
cerca del centro de los edificios y lejos de paredes exteriores damos prioridad a las personas que
están dentro de los edificios. Así mismo al reducir la potencia de emisión del punto de acceso
cuando sea posible se limita el área de cobertura de la red.
2.14 – Métodos Básicos de Protección a WLANs
Los siguientes métodos se utilizan para asegurar las WLANs sin embargo todos ellos son
falibles y sus debilidades han sido publicadas y se ha desarrollado software y hardware para
explotar al máximo dichas debilidades.
2.14.1 - Filtrado de direcciones MAC
Consiste en crear una tabla de direcciones MAC de los dispositivos inalámbricos
autorizados en cada punto de acceso, filtrando así los dispositivos autorizados y eliminando los
demás.
2.14.2 - Redes privadas virtuales (VPN)
Una VPN es una estructura de red corporativa implantada sobre una red de recursos de
carácter público, pero que utiliza el mismo sistema de gestión y las mismas políticas de acceso
que se usan en las redes privadas, es una red pública de un entorno de carácter confidencial y
privado que permitirá trabajar al usuario como si estuviera en su misma red local.
La comunicación entre los dos extremos de la red privada a través de la red pública se
hace estableciendo túneles virtuales entre esos dos puntos y usando sistemas de encriptación y
autentificación que aseguren la confidencialidad e integridad de los datos transmitidos a través de
esa red pública. De esta manera, queda protegida la conexión con IPSec que es un método de
encriptación robusto y muy difícil de hackear.
En el traslado a través de Internet, los paquetes viajan encriptados, por este motivo, las
técnicas de autenticación son esenciales para el correcto funcionamiento de las VPNs, ya que se
aseguran a emisor y receptor que están intercambiando información con el usuario o dispositivo
correcto.
La autenticación en redes virtuales es similar al sistema de inicio de sesión a través de
usuario y contraseña, pero tiene necesidades mayores de aseguramiento de validación de
identidades. La mayoría de los sistemas de autenticación usados en VPN están basados en
sistema de claves compartidas.
CAPÍTULO II
- 38 -
La autenticación se realiza normalmente al inicio de una sesión, y luego, aleatoriamente,
durante el transcurso de la sesión, para asegurar que no haya algún tercer participante que se haya
podido entrometer en la conversación.
Todas las VPNs usan algún tipo de tecnología de encriptación, que empaqueta los datos
en un paquete seguro para su envío por la red pública.
La encriptación hay que considerarla tan esencial como la autenticación, ya que permite
proteger los datos transportados de poder ser vistos y entendidos en el viaje de un extremo a otro
de la conexión.
La utilización de las VPN añade bastante seguridad a las redes inalámbricas pero tiene
ciertas desventajas:
Una de ellas es la económica pues cada túnel tiene un costo para la organización y cuando se
trata de proteger a cientos o miles de usuarios de una red inalámbrica, las VPN se convierten
en extremadamente costosas.
Mejoraron bastante la seguridad WEP, pero ahora que existe WPA y WPA2 no son
necesarias.
Están diseñadas para proteger a partir de la capa 3 del modelo OSI, sin embargo las redes
inalámbricas WIFI (802.11) funcionan en capa 2.
La seguridad en redes es mejor al implementarse en el nivel más bajo posible de las capas del
modelo OSI. Las VPNs no son suficientes para trabajar en la capa 2 del modelo OSI,
específicamente para WLANs. IPSec es un protocolo de segurida de red a red y fue diseñado
para trabajar en la capa 3 y para redes cableadas. Entre más baja sea la capa en la que la
encriptación es implementada, menos expuesta es la información a un ataque externo.
2.15 - Productos Comerciales que Brindan Seguridad a WLANs
Airfortress.- empresa que se dedica a incrementar la seguridad tanto de sistemas
operativos como de redes inalámbricas. Encriptación en capa 2, monitoreo, alarmas y aplicación
de políticas de seguridad.
AirDefense.- monitorea constantemente toda la actividad inalámbrica en tiempo real.
Permite a la organización el control del espacio aéreo inalámbrico.
Cranite Wireless Wall.- permite movilidad rápida entre puntos de acceso, soporta
cualquier protocolo de capa 3. Encripta a nivel capa 2.
CAPÍTULO II
- 39 -
Orinoco.- fabricante líder de equipo inalámbrico que integra monitoreo y escaneo en sus
puntos de acceso.
Airmagnet.- empresa desarrolladora de herramientas para la administración y gestión de
redes inalámbricas, controla la aplicación de las políticas de seguridad.
CAPÍTULO III
- 40 -
CAPÍTULO III
PRUEBAS DE ACCESO A LA RED
En el presente capítulo se hace una serie de pruebas de acceso a la red inalámbrica con el
objeto de probar el funcionamiento de los algoritmos de seguridad analizados anteriormente para
determinar cuál de ellos brinda una mejor solución al problema de la red inalámbrica de ESIME
Azcapotzalco.
Implementar un algoritmo de seguridad adecuado, requiere un equipo que cumpla con los
requerimientos necesarios para poder trabajar con dichos algoritmos. Para seleccionar el equipo
que cumpliera con estas características se hizo una comparación de diversos equipos en el
mercado, eligiendo el mejor para subsanar el problema de seguridad en la red de ESIME
Azcapotzalco.
3.1 – Elección del Equipo
Los principales puntos de comparación para la selección del equipo fueron los estándares
que maneja y el tipo de seguridad que soporta. Las necesidades de la red del plantel también
fueron un factor determinante en la elección dado que se requiere que el equipo soporte la
conexión de una antena externa para que el radio de cobertura sea mayor.
Tabla 3.1 Equipos comparados
TEW-452BRP TEW-432BRP TEW-637AP
Estándares
IEEE 802.11b
IEEE 802.11g
IEEE 802.11b
IEEE 802.11g
IEEE 802.11b
IEEE 802.11g
IEEE 802.11n
Frecuencia
De 2.412 a 2.484GHz De 2.412 a 2.484GHz De 2.412 a 2.462
GHz (USA)
De 2.412 a 2.472
GHz (UE)
Canales
11 Canales (USA)
13 Canales (UE)
11 Canales (USA)
13 Canales (UE)
11 Canales (USA)
13 Canales (UE)
Seguridad WEP
WPA(EAP)
WEP
802.1x/WPA
WEP
WPA/WPA2
CAPÍTULO III
- 41 -
/WPA-PSK
WPA2
(EAP)/WPA2-
PSK
WPA-PSK
Filtrado de
dirección MAC
Filtrado de
dominio
WPA-
PSK/WPA2-PSK
WPA Enterprise
WPA2 Enterprise
Antena
1 x Antena printed
interna
1 antena dipolo
desmontable
externa de 2dBi
(con conector
hembra SMA
inverso)
1 antena dipolo
desmontable
externa 2 dBi
2 antenas dipolo
fijas
La tabla anterior muestra los principales parámetros a considerar para la elección del
equipo y se optó por seleccionar el equipo TEW-452BRP B1.1R (Trendnet) Access Point +
Firewall SPI + router banda ancha + Switch de 4 puertos; debido a que se requiere conexión para
una antena externa y proporciona la opción de utilizar cualquier algoritmo de seguridad
incluyendo WPA2 en sus dos modalidades.
Este dispositivo cuenta con las siguientes características:
Funciona con cable módem o DSL con IP dinámica, IP estática fija y tipos de conexión
PPPoE, PPTP o L2TP.
Soporta velocidad de datos de hasta 108 Mbps para tecnología Súper G
Característica de servidor DHCP para asignar direcciones de hasta 253 clientes IP
Soporta encriptaciones WEP (64/128 bits ) WPA y WPA2
Soporta dirección MAC, IP, URL, Protocol Filters (Filtros de protocolo), Domain Blocking
(Bloqueo de Dominio), y reglas de control de acceso Firewall.
Ofrece seguridad adicional con firewall SPI/NAT y alerta de ataque vía emails.
Ofrece seguridad adicional de SSID activado/desactivado, protección de contraseña.
Admite sesiones de Pass-Through (pase directo) PPTP VPN e IPsec.
Compatible con Windows 95/98/NT/2000/XP, Linux y MacOS
Gama para interiores de 30 ῀ 50 metros (depende del entorno)
Gama para exteriores de hasta 200 metros sin (XR) y de hasta 450 metros con (XR)(depende
del entorno)
Memoria flash para una actualización del firmware y para guardar o restaurar la
configuración y el log de tráfico.
CAPÍTULO III
- 42 -
Tabla 3.2 Especificaciones Técnicas
Protocolos
Compatibles
Seguridad: PAP, CHAP, Protocolo de sincronización de tiempo en la red,
DHCP, DNS dinámico, PPPoE, PPTP, L2TP, UPnP
Certificación FCC & CE
Técnica de
Modulación
802.11b: CCK (11 y 5,5Mbps), DQPSK (2Mbps), DBPSK (1Mbps)
802.11g: OFDM
Protocolo de
acceso al medio
CSMA/CA con ACK
Potencia de
transmisión
15 dBm ± 2dBm
Velocidad de
datos
802.11g: 54 Mbps, 48 Mbps, 36 Mbps, 24 Mbps, 18 Mbps, 12 Mbps, 9
Mbps y 6 Mbps
Súper G: 108mbps
802.11b: 11Mbps, 5,5Mbps, 2Mbps y 1Mbps
Sensibilidad de
recepción
11Mbps: -85 dBm a 8% PER (normal)
54Mbps: -70 dBm a 10% PER (normal)
A continuación se muestra el Punto de acceso seleccionado (Figura 3.1).
Figura 3.1 Access Point utilizado
CAPÍTULO III
- 43 -
3.2 – Configuración del Punto de Acceso Inalámbrico
Primero hay que asegurarse de que las conexiones de red están funcionando
correctamente. Se utilizará un navegador web y con la dirección IP http:/192.168.1.1 que es la
dirección IP, por default, para comenzar a configurar el Punto de Acceso.
Un cuadro de diálogo como en la figura 3.2 aparece, en este punto es donde se debe
ingresar el nombre de usuario y contraseña predeterminadas por el fabricante, ambos campos son
“admin”.
Figura 3.2 Ingreso de contraseña
Posteriormente se deben completar una serie de pasos (Figura 3.3) para poner a punto el
Access Point.
Figura 3.3 Pasos a completar
CAPÍTULO III
- 44 -
El primer paso (figura 3.4) y muy importante es cambiar la contraseña para ingresar a la
configuración del Access Point (en el capítulo 2 se citan algunas recomendaciones para formar
una contraseña segura), ya que la que trae el AP por default es muy simple.
Figura 3.4 Cambio de contraseña
En el paso número 2 (Figura 3.5) se deberá escoger una zona horaria, la de la Ciudad de
México
Figura 3.5 Selección de zona horaria
CAPÍTULO III
- 45 -
En el paso 3 (Figura 3.6) se configura la conexión LAN y el servidor DHCP al igual que
la dirección IP y la máscara de red. La IP por default es 192.168.1.1. Si se deshabilita el DHCP
las IPs se asignarán automáticamente, mientras que al habilitarlo se deberá dar un rango de
direcciones IP, delimitándolo con la dirección de inicio y final.
Figura 3.6 Configuración de LAN
En el paso 4 (Figura 3.7) se configurará la conexión a internet, para esto el Access Point
detectará automáticamente la conexión a internet disponible, si esto no sucede se deberá
seleccionar la conexión manualmente.
Figura 3.7 Conexión a internet
CAPÍTULO III
- 46 -
En el paso 5 (Figura 3.8) se deberá habilitar la red inalámbrica así que habrá que darle un
nombre y seleccionar el canal de comunicación.
Figura 3.8 Habilitación de red
El Access Point estará configurado finalmente (Figura 3.9), solo habrá que reiniciarlo
para guardar los cambios.
Figura 3.9 Reinicio de equipo
CAPÍTULO III
- 47 -
3.3 – Sección de Pruebas
PRUEBA 1 Sin seguridad
Para el acceso a la red en este modo no existe algún tipo de seguridad, por lo tanto no hay
un cifrado de datos, cualquier usuario dentro del área de cobertura accesa a esta sin ninguna
restricción. Este tipo de configuración no es recomendable, no ofrece ninguna garantía de
integridad, confidencialidad ni autenticación. A continuación se muestra la configuración sin
seguridad (figura 3.10).
Figura 3.10 Configuración sin seguridad
PRUEBA 2 Seguridad habilitada con el algoritmo WEP
En este tipo de configuración ya existe autenticación con una contraseña de 64 bits que
consiste en 5 caracteres en modo ASCII o 10 caracteres en modo hexadecimal, o bien, una
contraseña de 128 bits que consiste en 13 caracteres en modo ASCII o 26 caracteres en modo
hexadecimal. También ofrece cifrado de datos mediante el algoritmo RC4. A continuación en la
figura 3.11 se muestra la configuración con seguridad habilitada WEP.
Figura 3.11 Seguridad con Protocolo WEP
CAPÍTULO III
- 48 -
PRUEBA 3 Seguridad habilitada con el algoritmo WPA-PSK-TKIP, WPA2-PSK-TKIP
En esta prueba se observa que el algoritmo WPA utiliza una clave compartida en las
estaciones y punto de acceso. Al contrario que WEP, esta clave solo se utiliza como punto de
inicio para la autenticación, pero no para el cifrado de los datos. Al igual que en el caso de WEP
se solicita ingresar una contraseña cada vez que se desee accesar a la red inalámbrica.
Una vez logrado el acceso, el protocolo TKIP entra en funcionamiento para garantizar la
seguridad del acceso. Se recomienda que las contraseñas empleadas sean largas (20 o más
caracteres).
El punto de acceso utilizado en las pruebas permite esta configuración en al algoritmo
WPA2, debido a que es de última generación y esto lo hace compatible con diversos puntos de
acceso de generaciones anteriores. A continuación en la figura 3.12 se muestra la configuración
con seguridad habilitada WPA-PSK-TKIP, WPA2-PSK-TKIP.
Figura 3.12 Seguridad WPA-PSK-TKIP, WPA2-PSK-TKIP
PRUEBA 4 Seguridad habilitada con el algoritmo WPA-PSK-AES, WPA2-PSK-AES
El algoritmo WPA trabaja con el algoritmo de cifrado RC4, también puede soportar el
algoritmo AES haciéndolo así mucho más seguro en cuanto al cifrado de los datos.
AES (Estándar de Encriptación Avanzada) es el algoritmo de clave simétrica más
seguro existente pero requiere mayor capacidad de procesamiento para implementarlo, este es
el motivo de que su uso sea opcional en WPA ya que una gran parte del hardware existente en
los dispositivos inalámbricos es insuficiente para ejecutarlo.
CAPÍTULO III
- 49 -
El punto de acceso utilizado en las pruebas permite esta configuración en al algoritmo
WPA, debido a que es de última generación y esto lo hace compatible con diversos puntos de
acceso de generaciones anteriores. Esta mejora en la seguridad permite elevar el nivel del
cifrado de los datos sin la necesidad de emplear WPA2. A continuación en la figura 3.13 se
muestra la configuración con seguridad habilitada WPA-PSK-AES, WPA2-PSK-AES.
Figura 3.13 Seguridad con algoritmo WPA-PSK-AES
PRUEBA 5 Seguridad habilitada con WPA-EAP-TKIP/AES, WPA2-EAP-TKIP/AES
En esta configuración se hablita el protocolo EAP para autenticar ya que provee control
de acceso basado en puertos así como autenticación muta entre clientes y puntos de acceso
usando un servidor de autenticación. El protocolo de Autenticación Extendido provee una base
generalizada para un sistema de red inalámbrico al escoger un método específico de autenticación
que puede ser password y certificados PKI.
Permite la autenticación mutua, la negociación del método de cifrado y la determinación
de claves cifradas entre el cliente de acceso remoto y el autenticador. Proporciona el método de
determinación de claves y autenticación más eficaz ya que sólo se admite en servidores que
ejecutan enrutamiento y acceso remoto, que están configurados para utilizar la Autenticación de
Windows o RADIUS, y que son miembros de un dominio.
El punto de acceso utilizado en las pruebas permite esta configuración en al algoritmo
WPA y WPA2, debido a que es de última generación y esto lo hace compatible con diversos
puntos de acceso de generaciones anteriores. En ambos algoritmos WPA y WPA2 el punto de
acceso permite seleccionar cualquiera de los dos algoritmos de cifrado (TKIP (RC4), AES)
CAPÍTULO III
- 50 -
dependiendo de todos los elementos que integren la red. A continuación en la figura 3.14 se
muestra la configuración con seguridad habilitada WPA-EAP-TKIP/AES, WPA2-EAP-
TKIP/AES.
Figura 3.14 Seguridad habilitada con WPA-EAP-TKIP/AES, WPA2-EAP-TKIP/AES
PRUEBA 6 Filtrado de Direcciones MAC
Consiste en crear una tabla de las direcciones MAC de los dispositivos inalámbricos para
autorizar o denegar conexión en el punto de acceso De esta manera se filtran los dispositivos
autorizados y se inhibe el acceso a los demás. La ventaja de filtrar direcciones MAC es la
sencillez que ofrece, de este modo puede ser implementado en redes domesticas, no obstante
también posee desventajas para su uso en redes más grandes. Las principales desventajas son:
CAPÍTULO III
- 51 -
Cada nuevo usuario deberá ser dado de alta.
Las direcciones MAC pueden ser "capturadas" y tener acceso libre al sistema.
Los Puntos de Acceso también pueden ser sustraídos con relativa facilidad y en ese caso se
dejaría expuesto todo el sistema de seguridad inalámbrico.
Este método no autentica al usuario, sino a los dispositivos.
Durante las pruebas se observó que el Filtrado de direcciones MAC puede ser empleado
de forma adicional a cualquier protocolo de seguridad WEP, WPA y WPA2.
A continuación en la figura 3.15 se muestra la configuración con una tabla de direcciones
MAC:
Figura 3.15 Filtrado de direcciones MAC
PRUEBA 7 Deshabilitación del Broadcasting-SSID
Con esta opción la red parecerá que es “invisible”, ya que no será visible para el resto de
la gente. Esto la protege de intrusos pero tiene un problema bastante importante y es que la red
puede tener muchas colisiones con la información de redes vecinas, ya que al no ser visible puede
hacer que compartan el mismo canal de transmisión.
Si se elige desactivar el broadcasting SSID entonces se deberá insertar en los equipos el
nombre que posea la red, ya que no se podrá consultar automáticamente en el equipo de acceso
inalámbrico.
CAPÍTULO III
- 52 -
A continuación en la figura 3.16 se muestra la configuración del broadcasting SSID
desactivado.
Figura 3.16 Brocasting SSID desactivado
CAPÍTULO IV
- 53 -
CAPÍTULO IV
ANÁLISIS DEL PROBLEMA
El que existan normas Institucionales, hasta cierto punto, limita el óptimo desempeño de
la Red Inalámbrica de ESIME Azcapotzalco debido a que la seguridad que se establece en las
normas sólo es la mínima y no garantiza que el servicio de la red sea confiable.
La red de ESIME Azcapotzalco por tener carácter de red institucional debe de estar
correctamente protegida dado que en ella transita información propia de la escuela y alumnos, es
por esto que es necesario proteger esta información de usuarios con fines maliciosos, al
implementar el algoritmo más adecuado.
Se espera que con la implementación del algoritmo propuesto los ataques tengan un efecto
nulo en la red evitando así cualquier alteración a la red y a la información que viaja en ella.
4.1 – Análisis del problema de Seguridad en la WLAN de ESIME Azcapotzalco
Con el conocimiento del funcionamiento de los algoritmos de seguridad y sus debilidades
se puede escoger el más adecuado para la ESIME Azcapotzalco, que es el propósito de este
trabajo de tesis. Debido a que se está hablando de una Red Inalámbrica de tipo Institucional,
existen normas y lineamientos (aunque no un estándar), impuestos por la Dirección General de
Cómputo, los cuales guiarán la implementación de la seguridad. Esto da pauta para encaminar el
trabajo dentro de las normas y lineamientos establecidos.
Para empezar a trabajar en la red inalámbrica de ESIME Azcapotzalco se realizaron una
serie de procesos para poder dar un diagnóstico de la red. Estos procesos comprenden una
primera entrevista con el Jefe de la Unidad de Informática para conocer la organización de la red
inalámbrica así como los requerimientos de esta.
Posteriormente se realizó el levantamiento de datos, mediante una encuesta para
determinar las necesidades primarias de los diversos tipos de usuarios como son estudiantes,
administrativos y directivos.
A continuación en la figura 4.1 se muestra parte de la encuesta que se aplicó a los
alumnos de la ESIME Azcapotzalco.
CAPÍTULO IV
- 54 -
Figura 4.1 Encuesta realizada a los alumnos de ESIME Azcapotzalco
En base a los datos obtenidos3, se observaron los siguientes resultados:
El horario de tráfico pico es de 13:00 a 16:00 hrs.
El 40% del tiempo de uso de la red es académico.
El 35% de la comunidad del plantel cuenta con un dispositivo con acceso a red inalámbrica.
En promedio los alumnos consideraron la importancia de la seguridad con un nivel de 3.
La información proporcionada por esta encuesta, es de especial importancia ya que deja al
descubierto que la red inalámbrica, en efecto, está siendo utilizada y por lo tanto la información
transmitida es vulnerable, además ya presenta cierto tráfico y por esta razón es necesario limitar
el uso de la misma a la comunidad del plantel solamente ya que si se permite el acceso a usuarios
ajenos, el ancho de banda disminuye considerablemente. Así mismo permitió conocer y tomar en
cuenta las necesidades y los puntos débiles de la red.
Finalmente se realizó el monitoreo de la red para conocer la radiación de las antenas con
ayuda del software de distribución libre Netstumbler, los datos que se obtienen con este software
dependen de la tarjeta de red inalámbrica con la que cuente el dispositivo. La zona verde de la
gráfica indica el nivel de señal, a mayor altura, mejor señal. En la figura 4.2 se muestran
mediciones que se realizaron para conocer la intensidad de radiación de la antena
omnidireccional ubicada en el interior de la biblioteca. Se muestra la gráfica del lugar con mayor
intensidad de señal. El registro de esta fue de -40 dBm, aproximadamente 10µW4
3 Datos obtenidos de una encuesta aplicada a 900 personas pertenecientes al plantel. (30% de la población total del
plantel). 4 La conversión de dBm a W se obtiene con la fórmula: mW=10^(dBm/10)
CAPÍTULO IV
- 55 -
Figura 4.2. Intensidad de señal del punto de acceso 1
La figura 4.3 permite observar la intensidad de señal de la antena direccional ubicada en
el edificio 7. Esta gráfica al igual que la anterior muestra zona donde la intensidad fue mayor, el
registro de esta fue de -60 dBm, aproximadamente 999.9999 pW.
Figura 4.3. Intensidad de señal del punto de acceso 2
CAPÍTULO IV
- 56 -
La figura 4.4 muestra las regiones de cobertura de acuerdo a las mediciones obtenidas con
el software. El plano de la institución con los respectivos lóbulos de radiación de las antenas
indica la zona de cobertura y en base al área cubierta se deberá trabajar ya que uno de los
propósitos es restringir el acceso a miembros ajenos a la comunidad del plantel.
Figura 4.4. Plano de la ESIME Azcapotzalco
4.2 – Propuesta Seleccionada
Con el análisis y pruebas de los diversos algoritmos y protocolos de seguridad para redes
inalámbricas mencionados en los capítulos anteriores se ha realizado la elección del Método de
seguridad para la red inalámbrica de ESIME Azcapotzalco.
La recomendación consiste en implementar el Protocolo de Seguridad WPA2-PSK
adicionando un Filtrado de Direcciones MAC y la deshabilitación del broadcasting del SSID.
Se eligió el protocolo WPA2-PSK ya que este emplea el algoritmo de cifrado AES siendo
este el más robusto y confiable de los algoritmos de encriptación. Este protocolo también ofrece
movilidad al preautenticar en los puntos de acceso mediante metodología EAP.
Se pretende adicionarle un Filtrado de Direcciones MAC, el cual estará en manos del
administrador de la red, en este caso el Jefe de la Unidad de Informática de ESIME
Lóbulos de cobertura
CAPÍTULO IV
- 57 -
Azcapotzalco, quien tendrá el control del punto de acceso y por consiguiente es el indicado y
responsable para hacer el llenado de la tabla de Filtrado de Direcciones MAC dentro del punto de
acceso. Con esto se pretende tener un control de todo usuario que requiera conexión a la red
inalámbrica, solo se necesita ser ingresada una vez la Dirección MAC del dispositivo y se
mantendrá en memoria del punto de acceso, así no será necesario volverla a introducir cada vez
que se intente ingresar a la red.
Para aumentar la seguridad con este procedimiento, el administrador determinará un
tiempo preciso para hacer una revalidación de las Direcciones MAC, la cual quedará a su
consideración, tomando en cuenta diversas situaciones como alumnos egresados, dispositivos
robados o extraviados, deserción de alumnado.
Se empleará también la deshabilitación del broadcasting del SSID, con el propósito de
adicionar discreción a la red, haciendo con esto que no cualquier usuario tenga conocimiento del
SSID del punto de acceso y solo será conocida por aquellos usuarios que tengan previo registro y
estén dados de de alta en la tabla de Filtrado de Direcciones MAC, donde se les dará a conocer el
SSID de la red y la clave secreta. Para poder accesar a una red que tiene deshabilitado el
broadcasting del SSID es necesario tener conocimiento de éste ya al autenticar el equipo será
necesario ingresar el nombre del SSID.
Con las medidas mencionadas anteriormente se pretende tener un control específico y
exacto de todo usuario que ingrese a la red inalámbrica.
4.3 – Implementación de Algoritmo Propuesto en el Punto de Acceso
Una serie de pruebas fueron realizadas en el Punto de Acceso Enterasys RBT-4102 con el
que cuenta ESIME Azcapotzalco para conocer los diversos algoritmos que permite implementar.
Las Pruebas realizadas se hicieron para comprobar la funcionalidad de los Algoritmos
estudiados previamente y para analizar los protocolos de seguridad que ofrece el punto de acceso
y poder así implementar el que más se adapte a las necesidades del plantel tomando en cuenta las
características con las que dispone el Punto de Acceso.
En primera instancia se verificó el funcionamiento del Algoritmo WPA en su modalidad
doméstica. En la figura 4.5 se observan las diversas alternativas de cifrado que soporta, así como
los códigos en los que se puede manejar la clave de acceso.
CAPÍTULO IV
- 58 -
Figura 4.5 Implementación del Algoritmo WPA-PSK
Como segunda prueba se verificó el funcionamiento del Algoritmo WPA2 en su
modalidad doméstica. En la figura 4.6 se observan las diversas alternativas de cifrado que
soporta, así como los códigos en los que se puede manejar la clave de acceso.
Figura 4.6 Implementación del Algoritmo WPA2-PSK
En las dos pruebas anteriores cada opción de Algoritmo ofrece características
predeterminadas, no obstante también permite seleccionar la que el administrador considere
pertinente a sus necesidades.
CAPÍTULO IV
- 59 -
4.4 – Limitaciones del Equipo de ESIME Azcapotzalco
La solución propuesta en el punto 4.2 no es realizable en la ESIME Azcapotzalco, ya que
el Punto de Acceso proporciona un número limitado de campos para el esquema de direcciones
MAC y no alcanzaría a cubrir el total de la población de usuarios de la red inalámbrica. Sin
embargo las demás características de la propuesta si son sustentables por el equipo.
4.5 – Propuesta Alternativa de Seguridad
Debido a la limitante del equipo instalado en la red inalámbrica de ESIME Azcapotzalco,
se propone un cambio a la propuesta original.
La propuesta alternativa consiste en la implementación del Protocolo WPA2-PSK y la
deshabilitación del broadcasting del SSID.
Se eligió el protocolo WPA2-PSK ya que es de más alto nivel de encriptación y está
soportado por el punto de acceso.
La figura 4.7 muestra la configuración de la propuesta alternativa donde se utiliza el
algoritmo WPA2-PSK, se eligió el algoritmo de cifrado AES-CCMP y al tipo de clave en
formato alfanumérico.
Figura 4.7 Propuesta Alternativa con el Algoritmo WPA2-PSK
CAPÍTULO IV
- 60 -
En la figura 4.8 se muestra la ventana emergente que surge al momento de hacer una
petición de conexión a la red inalámbrica, aquí se debe ingresar la contraseña propuesta por el
administrador de la red, al ser correcta asigna una dirección IP al usuario dando así acceso a la
red.
Figura 4.8 Solicitud de contraseña
4.6 – Control y Monitoreo de la Red Inalámbrica
Una vez implementado el algoritmo propuesto se debe proceder a realizar una serie de
pruebas que pongan en peligro la seguridad de la red inalámbrica con fines de monitoreo ya que
mediante estas pruebas se pondrá en jaque el grado de seguridad que se le proporcionará a la red
para verificar si éste cumple con el objetivo de limitar el acceso.
Éstas pruebas consistirán en intentos de ingresar a la red mediante ataques pasivos,
activos y avanzados, descritos en la sección 2.3. Éstos ataques tendrán como objetivo principal
ingresar a la red de forma clandestina por medio del robo de la contraseña.
Al igual que las instituciones utilizan cámaras de vigilancia para monitorear amenazas
físicas, se deben utilizar herramientas para observar la red inalámbrica con el fin de detectar
intrusiones y posibles ataques debidos a vulnerabilidades que se pueden evitar mediante el
constante monitoreo de la red.
Existen herramientas que ofrecen diversas formas de mantener la red controlada, éstos
proporcionan servicios de seguridad a los elementos de la red y crean estrategias para la
prevención y detección de ataques así como para la respuesta a incidentes., estos se clasifican en:
CAPÍTULO IV
- 61 -
Análisis y Detección de Puntos de Acceso no Autorizados.- Éstos crean un punto de entrada a
la red que sobrepasa todas las medidas de seguridad existentes.
Detección de Intrusos.- Monitoreo en tiempo real de la red inalámbrica.
Ejecución de Políticas de Seguridad.- Creación y cumplimiento de políticas para el control de
la red.
Monitoreo y soporte.- Vigila la red inalámbrica y provee soporte para maximizar su
rendimiento.
4.7 – Análisis Económico
En este apartado se realizara un análisis económico de los gastos realizados a lo largo del
desarrollo del proyecto, tomando en cuenta el costo por hora/hombre que se invirtieron. En la
tabla 4.1 se muestran todos los recursos humanos participantes en este proyecto.
Tabla 4.1 Recursos Humanos (Costos Variables)
Tipo de recurso humano Costo por hora/hombre
(Moneda Nacional)
Cantidad
Asesor Técnico $350.00 1
Asesor Metodológico $350.00 1
Ingeniero de Proyectos $100.00 2
Para el estudio de costos de los recursos humanos es importante mencionar que según la
planificación del proyecto el tiempo que requirió todo el desarrollo del proyecto fue de 100 días
tomando en cuenta solo días hábiles. En la tabla 4.2 se observa una relación del gasto que implica
cada recurso humano por hora durante todo el proyecto.
Tabla 4.2 Costo Total de Recursos Humanos
Tipo de
Recurso
Humano
Cantidad Días
Laborados
Horas
Laboradas
por dia
Costo por
hora/hombre
(Moneda
Nacional)
Costo Total
Asesor
Técnico
1 40 1 $350.00 $14,000.00
CAPÍTULO IV
- 62 -
Asesor
Metodológico
1 15 1 $300.00 $4,500.00
Ingeniero de
Proyectos
2 45 4 $100.00 $3,6000.00
Total $22,100.00
Los recursos de infraestructura que se necesitaron para llevar a cabo este proyecto se
muestran en la tabla 4.3, y se presentan como costos fijos, ya que se utilizaron durante el diseño,
instalación y configuración de equipo necesario para la realización del proyecto.
Tabla 4.3 Costos Fijos
Recursos de Infraestructura Tipo Costos (Moneda Nacional)
Hardware PC portátil $10,000.00
Punto de Acceso $950.00
Software Microsoft Office $2,500.00
Misceláneos Energía Eléctrica, Cable $1,500.00
Total $14,950.00
En la tabla 4.4 se presentan los costos totales del proyecto en moneda nacional así como
el porcentaje que representa cada uno de los que integran el costo total.
Tabla 4.4 Costos Totales
Costos Moneda Nacional Porcentaje
Costos Fijos $14,950.00 40.35 %
Costos Variables $22,100.00 59.65 %
Costo total $37,050.00 100%
CONCLUSIONES
- 63 -
CONCLUSIONES
Durante el desarrollo de este trabajo se analizaron los diferentes algoritmos de seguridad
existentes para hacer de las redes inalámbricas un medio seguro de trasmisión de datos. Al
realizar este análisis se tomaron en cuenta los aspectos más importantes en cuanto a seguridad se
refiere que merecen especial atención al implementar una red de éste tipo.
Realizar una propuesta para asegurar la red inalámbrica de ESIME Azcapotzalco fue el
resultado del análisis anteriormente mencionado, con ésta propuesta se pretende dar seguridad al
acceso a la red para evitar problemas debidos a intrusiones indeseables. Sin embargo el equipo
con el que actualmente cuenta el plantel no permite implementar dicha propuesta, es así, como se
propone una solución alternativa que si bien no es la mejor comparada con la propuesta desde un
principio, ésta cumple con los lineamientos de la institución con respecto a la seguridad del
plantel.
En este trabajo se propuso un algoritmo de acceso seguro a la red inalámbrica de ESIME
Azcapotzalco para garantizar que sólo los usuarios autorizados, en este caso, la comunidad del
plantel, tenga acceso a la red.
Para lograr los objetivos planteados se realizaron los siguientes pasos:
Se analizó el estado actual de la red inalámbrica de ESIME Azcapotzalco mediante
pruebas de campo, como encuestas y monitoreo de la red.
Se analizaron y compararon los protocolos de seguridad para redes inalámbricas así como
métodos adicionales de protección para éste tipo de redes.
Se hizo una propuesta en base al análisis anteriormente mencionado y a un equipo elegido
mediante comparación entre equipos del mismo tipo.
Se realizaron pruebas en el plantel para verificar el correcto funcionamiento de la
propuesta elegida con el equipo seleccionado.
Se realizaron pruebas en el plantel para verificar el correcto funcionamiento de la
propuesta elegida con el equipo del propio plantel.
Se hizo una propuesta alternativa ya que el equipo del plantel no permite la
implementación de la propuesta inicial.
Se evaluó la seguridad de la red inalámbrica con la propuesta alternativa y se
implementaron métodos adicionales aunados al algoritmo escogido.
CONCLUSIONES
- 64 -
Si bien, una red inalámbrica permite ampliar una red cableada ya existente, ésta última
tiene mecanismos de seguridad muy diferentes a la primera, es por esto que las WLANs merecen
especial atención al momento de ser implementadas ya que son más vulnerables dado el medio de
transmisión que utilizan.
Es muy recomendable utilizar una red cableada siempre que sea posible, sin embargo,
algunas veces utilizar una WLAN es más fácil debido a las ventajas que éstas ofrecen sobre las
primeras. Por esto es necesario dotar de seguridad a una red inalámbrica y que el algoritmo de
seguridad elegido sea el mejor para proteger la información que la mayoría de las veces es
confidencial y de especial interés para los usuarios.
Como administradores de red es importante hacer que los usuarios tomen conciencia de la
implementación de medidas de seguridad para que las utilicen. Y es bien sabido que dentro de la
comodidad que una red inalámbrica puede ofrecer debido a la libertad de movimiento que éstas
ofrecen, también se abren las puertas a intrusos que siempre están en busca de redes que les
permitan tomar la información confidencial o acceder al ancho de banda que brinda la conexión,
ya sea sólo por curiosidad o para hacer mal uso de ella en la mayoría de los casos.
APÉNDICE A
- 65 -
APÉNDICE A
Software Netstumbler
Netstumbler es un programa para Windows que permite detectar Redes Inálambricas
usando tarjetas inalámbricas 802.11a, 802.11b y 802.11g.
Entre sus principales usos están:
Verificar que la red esté bien configurada.
Estudiar la cobertura en diferentes puntos de la red.
Detectar otras redes que pueden causar interferencias.
Sirve para detectar puntos de acceso no autorizados (Rogue AP‟s).
Sirve para hacer WarDriving, es decir, detectar todos los Puntos de Acceso que están a
nuestro alrededor.
Figura A-1 Pantalla principal de Netstumbler
APÉNDICE A
- 66 -
En la figura A-1 se muestra la ventana que emerge al abrir el Netstumbler, los parámetros
del Software son los siguientes:
MAC: dirección del Punto de Acceso
SSID: Nombre con que se identifica a la red
Chan: Este parámetro indica el canal por el que transmite el Punto de Acceso detectado.
Un asterisco (*) después del número del canal significa que está asociado con el AP. Un signo de
suma (+) significa que estuvo asociado recientemente con el AP. Y cuando no hay ningún
carácter significa que se ha localizado un AP y no se está asociado a él.
Speed: Indica la velocidad, los Mbps máximos que acepta esa red.
Vendor: Indica el fabricante del Punto de Acceso.
Type: Tipo de red (AP-infraestructura, o peer-ad-hoc)
Encryption: Encriptación, detecta WPA Y WEP.
SNR: Acrónimo de Signal Noise Ratio. Es la relación actual entre los niveles de señal y
ruido para cada punto de acceso.
Signal+: Muestra el nivel máximo de señal que ha sido detectado para un punto de acceso.
Noise: Ruido, muestra el nivel de ruido actual para cada punto de acceso.
SNR+: muestra el nivel máximo que ha tomado el factor SNR para cada punto de acceso.
IP Adress: indica la dirección IP en la que se encuentra la red, aunque solo la muestra en
el caso de estar conectados a la misma.
First Seen: la hora a la que la red fue detectada por primera vez.
Last Seen: la hora a la que la red fue detectada por última vez.
Signal: el nivel de señal actual en dB
Noise: el nivel de ruido en dB.
El ícono circular indica si la red tiene algún tipo de encriptación al tener un candado en el
interior, así mismo, muestra la intensidad de señal con colores, de la siguiente manera:
APÉNDICE A
- 67 -
Naranja: Señal regular o mediana.
Amarillo: Señal buena.
Rojo: Señal pobre o baja.
Verde claro: Muy buena señal.
Gris: No hay señal.
Verde oscuro: La mejor señal.
Al hacer click en alguna MAC de las redes que detecte el software aparecerá una gráfico
como el de la figura A-2, los datos que aparecen en el gráfico dependen de la tarjeta de red con la
que se disponga. Los colores en la gráfica tienen significados diferentes, así:
La zona verde indica el nivel de señal. A mayor altura, mejor señal.
La zona roja (si esta soportado por la tarjeta) indica el nivel de ruido. A mayor altura,
mayor ruido.
El espacio entre la altura de la zona roja y verde es el SNR.
Figura A-2 Gráfica de señal a ruido
APÉNDICE A
- 68 -
SENSIBILIDAD DEL SOFTWARE
La sensibilidad del software depende de un gran número de factores. Entre estos factores
el más importante es la sensibilidad del equipo que se está utilizando. Los fabricantes no suelen
publicar estos datos, algunos que lo hacen por lo general dan este tipo de datos en dBm. Como
por ejemplo, la clásica tarjeta Orinoco 802.11 tiene la siguiente sensibilidad:
-94 DBm a 1 Mbps
-91 DBm a 2 Mbps
-87 DBm a 5,5 Mbps
-82 DBm a 11 Mbps
Esto significa que si se quiere operar a 11 Mbps, esta tarjeta necesita recibir un nivel de
señal mínimo de -82 dBm. El nivel de señal recibida en un ambiente libre depende de la potencia
de transmisión, la ganancia de las dos antenas involucradas y la distancia entre estás, así como
cualquier pérdida en cada extremo.
En la práctica, las ondas de radio se comportan de diferentes maneras. En primer lugar, la
señal desaparece debido a múltiples efectos como por ejemplo ondas de radio que rebotan contra
objetos, esto tiende a aumentar o disminuir la señal recibida; otros factores son las personas,
equipos electrónicos, paredes, la lluvia, nieve.
En un hogar o pequeña oficina de medio ambiente sin demasiados obstáculos, una
variación de 10 dB en el nivel de la seña es bastante normal. Por lo tanto, si se está buscando una
exploración con Netstumbler y la señal es constante en torno a -65 dBm, podría bajar a -75 dBm
cuando alguien se acerca, por ejemplo.
Otro factor importante es el ruido, este incluye otras redes inalámbricas, teléfonos
inalámbricos, hornos de microondas, radios, equipos médicos, al igual que otros fenómenos de
radio, el ruido puede ser muy variable. Muchos adaptadores de redes inalámbricas no tienen
parámetros de ruido, de manera que si se está utilizando Netstumbler con ellos, no se podría decir
cuánto ruido se tiene en el entorno.
Para poder operar a niveles óptimos el software, el nivel real de la señal en el receptor
debe ser más alto que el nivel de ruido. Por lo tanto para tener un buen enlace inalámbrico
deberán tomarse en cuenta las especificaciones técnicas del equipo y del entorno
APÉNDICE A
- 69 -
PRUEBAS CON EL SOFTWARE EN ESIME AZCAPOTZALCO
Primera fase de detección de señal de RF en el área de la biblioteca que se encuentra en el
edificio 4(figura A-3), segundo piso de la biblioteca (figura A-4) y los pasillos del edificio 2 y 1.
Figura A-3 Lectura de la Biblioteca
Figura A-4 Lectura en el segundo piso de la biblioteca
APÉNDICE A
- 70 -
La lectura real en el caso de la biblioteca no contempla la señal de los pisos superiores y
muy poco en el exterior como se aprecia en la figura A-5 en donde se aprecia mejor calidad de
señal es en la sala de lectura figura A-6
Figura A-5 Lectura en el exterior de la biblioteca
Figura A-6 Sala de Lectura
APÉNDICE A
- 71 -
Una segunda medición se realizo en la parte externa del CENLEX (Figura A-7), sólo se
tomaron lecturas en la parte externa ya que se requiere señal en los pasillos dado que la red está
pensada para poder cubrir las zonas académicas y el apartado de las áreas de esparcimiento.
Figura A-7 Lectura en área de esparcimiento
En la figura A-8 se observa que la señal recibida es constante a lo largo del primer piso,
en comparación con la figura A-9 donde la señal varia a lo largo de la planta baja, debido a los
laboratorios localizados en la planta baja del edificio.
Figura A-8 Edificio 7 (planta alta)
APÉNDICE A
- 72 -
Figura A-9 Edificio 7 (planta baja)
Las características de los elementos de la red presente en este momento son las siguientes:
Antena Omnidireccional (figura A-10):
Para exteriores, resistente a la humedad, altas temperaturas, rayos UV, y/o ambientes
corrosivos
20 dBi de ganancia.
Que trabaje en la banda de 2.4 GHz
Sistemas Inalámbricos del estándar IEEE 802.11b y 8002.11g
Impedancia de 50 Ohms
Polarización vertical y horizontal.
2 metros de distancia máxima considerando la longitud de los amplificadores.
Fijación por medio de mástil.
APÉNDICE A
- 73 -
Figura A-10 Antena omnidireccional y punto de acceso
Antena Sectorial (figura A-11):
Para exteriores, resistente a la humedad, altas temperaturas y/o ambientes corrosivos
20 dBi de ganancia.
Que trabaje en la banda de 2.4 GHz
Sistemas Inalámbricos del estándar IEEE 802.11b y 8002.11g
Impedancia de 50 Ohms
Polarización vertical y horizontal.
2 metros de distancia máxima considerando la longitud de los amplificadores.
Fijación por medio de mástil.
Inclinación ajustable considerada hacia abajo. Mecánica de 0 a 20 grados
Figura A-11 Antena sectorial y punto de acceso
ANEXO A
- 74 -
ANEXO A
Sensibilidad del Punto de Acceso Enterasys RBT-4102
Tabla A-1 Sensibilidad estándar 802.11a
IEEE 802.11ª Sensibilidad (GHz – dBm)
Modulación/tasa 5.15-5.25 5.25-5.35 5.50-5.7 5.725-5.825
BPSK (6Mbps) -88 -88 -88 -88
BPSK (9Mbps) -87 -87 -87 -87
QPSK (12Mbps) -86 -86 -86 -86
QPSK (18Mbps) -83 -83 -83 -83
16 QAM(24Mbps) -80 -80 -80 -80
16 QAM(36Mbps) -76 -76 -76 -76
64 QAM(48Mbps) -73 -73 -73 -73
64 QAM(54Mbps) -70 -70 -70 -70
Tabla A-2 Sensibilidad estándar 802.11g
IEEE 802.11g
Tasa de datos Sensibilidad (dBm)
6 Mbps -88
9 Mbps -86
12 Mbps -85
17 Mbps -84
24 Mbps -80
36 Mbps -76
48 Mbps -73
54 Mbps -70
ANEXO A
- 75 -
Tabla A-3 Sensibilidad estándar 802.11b
IEEE 802.11b
Tasa de datos Sensibilidad (dBm)
1 Mbps -90
2 Mbps -89
5.5 Mbps -87
11 Mbps -85
Potencia de Transmisión del Punto de Acceso Enterasis RBT-4102
Tabla A-4 Potencia de Transmisión estándar 802.11a
IEEE 802.11ª Potencia máxima de salida (GHz – dBm)
Tasa de datos 5.15-5.25 5.25-5.35 5.50-5.7 5.725-5.825
6 Mbps 20 20 20 19
9 Mbps 20 20 20 19
12 Mbps 20 20 20 19
18 Mbps 20 20 20 19
24 Mbps 20 20 20 19
36 Mbps 20 20 19 19
48 Mbps 19 19 18 18
54 Mbps 18 18 17 16
ANEXO A
- 76 -
Tabla A-5 Potencia de Transmisión estándar 802.11g
IEEE 802.11g Potencia máxima de salida (GHz - dBm)
Tasa de datos 2.412 2.417-2.467 2.472
6 Mbps 20 20 20
9 Mbps 20 20 20
12 Mbps 20 20 20
18 Mbps 20 20 20
24 Mbps 20 20 20
36 Mbps 20 20 20
48 Mbps 20 20 20
54 Mbps 19 19 19
Tabla A-6 Potencia de Transmisión estándar 802.11b
IEEE 802.11b Potencia máxima de salida (GHz - dBm)
Tasa de datos 2.412 2.417-2.467 2.472
1 Mbps 20 20 20
2 Mbps 20 20 20
5.5 Mbps 20 20 20
11 Mbps 20 20 20
ANEXO A
- 77 -
Antena omnidireccional exterior de 12 dBi TEW-AO120
Características
Tabla A-7 Características de antena exterior
Hardware
Rango de Frecuencia 2.4-2.5 GHz
Ganancia 12 dBi
Perdida de Retorno -10 dB
VSWR 1.92 (max)
Polarización Linear, vertical
HPBW/Horizontal 360º
HPBW/Vertical 7º
Potencia (dBm/W) 29.9999 dBm/1 W
Impedancia 500 Ω nominal
Conector Tipo N
Dimensión 142 x 3,8 cm
Peso 840 gramos
Temperatura -30ºC ῀ 80ºC
Montaje En pared o Torre
- 78 -
ÍNDICE DE FIGURAS
Figura Página
Figura 1.1 Acceso al medio mediante CSMA/CA 3
Figura 1.2 Semejanza entre el modelo OSI 802.3 y 802.11 3
Figura 1.3 Topología Ad-Hoc 6
Figura 1.4 Topología Infraestructura 6
Figura 1.5 Transmisión FHSS 11
Figura. 2.1. Diagrama de bloques del proceso de encriptación de WEP 24
Figura. 2.2. Diagrama de bloques del proceso de desencriptación de WEP. 25
Figura 3.1 Access Point utilizado 44
Figura 3.2 Ingreso de contraseña 44
Figura 3.3 Pasos a completar 45
Figura 3.4 Cambio de contraseña 45
Figura 3.5 Selección de zona horaria 46
Figura 3.6 Configuración de LAN 46
Figura 3.7 Conexión a Internet 47
Figura 3.8 Habilitación de red 47
Figura 3.9 Reinicio de equipo 48
Figura 3.10 Configuración sin seguridad 48
Figura 3.11 Seguridad con Protocolo WEP 49
Figura 3.12 Seguridad WPA-PSK-TKIP, WPA2-PSK-TKIP 50
Figura 3.13 Seguridad con algoritmo WPA-PSK-AES 51
Figura 3.14 Seguridad habilitada con WPA-EAP-TKIP/AES, WPA2-EAP-TKIP/AES 52
Figura 3.15 Filtrado de direcciones MAC 53
Figura 3.16 Brodcasting SSID desactivado 54
Figura 4.1 Encuesta realizada a los alumnos de ESIME Azcapotzalco 56
- 79 -
Figura 4.2. Intensidad de señal del punto de acceso 1 57
Figura 4.3. Intensidad de señal del punto de acceso 2 57
Figura 4.4. Plano de la ESIME Azcapotzalco 58
Figura 4.5 Implementación del Algoritmo WPA-PSK 60
Figura 4.6 Implementación del Algoritmo WPA2-PSK 60
Figura 4.7 Propuesta Alternativa con el Algoritmo WPA2-PSK 61
Figura 4.8 Solicitud de contraseña 62
ÍNDICE DE TABLAS
Tabla Página
Tabla 1.1 Estándares de las WLAN por la IEEE 8
Tabla 1.2 Tipos de Modulación 10
Tabla 1.3 Técnicas de Transmisión 12
Tabla 1.4 Tabla de estándares 802.11 12
Tabla 1.5 División del espectro del estándar 802.11b (canales) 14
Tabla 2.1 Ataques DoS 18
Tabla 2.2 Tabla comparativa de algoritmos de seguridad inalámbrica 31
Tabla 3.1 Equipos comparados 32
Tabla 3.2 Especificaciones Técnicas 43
Tabla 4.1 Recursos Humanos (Costos Variables) 61
Tabla 4.2 Costo Total de Recursos Humanos 61
Tabla 4.3 Costos Fijos 62
Tabla 4.4 Costos Totales 62
GLOSARIO
- 80 -
GLOSARIO
AP – Access Point, punto de acceso, estación base de una red Wi-Fi que conecta clientes
inalámbricos entre sí y a redes de cable.
ARP – Address Resolution Protocol, protocolo para traducir las direcciones IP a direcciones
MAC.
BSSID – Basic Service Set Identifier, Dirección MAC del punto de acceso.
CCMP – Counter-Mode / Cipher Block Chaining Message Authentication Code Protocol,
protocolo de encriptación utilizado en WPA2, basado en la suite de cifrado de bloques AES.
CRC – Cyclic Redundancy Check, pseudo-algoritmo de integridad usado en el protocolo
WEP (débil).
EAP – Extensible Authentication Protocol, entorno para varios métodos de autenticación.
EAPOL – EAP Over LAN, protocolo usado en redes inalámbricas para transportar EAP.
GEK – Group Encryption Key, clave para la encriptación de datos en tráfico multicast
(también usada para la integridad en CCMP).
GIK – Group Integrity Key, clave para la encriptación de datos en tráfico multicast (usada en
TKIP).
GMK – Group Master Key, clave principal de la jerarquía de grupo de clave.
GTK – Group Transient Key, clave derivada de la GMK.
ICV – Integrity Check Value, campo de datos unido a los datos de texto para la integridad
(basado en el algoritmo débil CRC32).
IV – Initialization Vector, vector de inicialización, datos combinados en la clave de
encriptación para producir un flujo de claves único.
KCK – Key Confirmation Key, clave de integridad que protege los mensajes handshake.
KEK – Key Encryption Key, clave de confidencialidad que protege los mensajes handshake.
MIC – Message Integrity Code, campo de datos unido a los datos de texto para la integridad
(basado en el algoritmo Michael).
MK – Master Key, clave principal conocida por el suplicante y el autenticador tras el proceso
de autenticación 802.1x.
MPDU – Mac Protocol Data Unit, paquete de datos antes de la fragmentación.
MSDU – Mac Service Data Unit, paquete de datos después de la fragmentación.
PAE – Port Access Entity, puerto lógico 802.1x.
PMK – Pairwise Master Key, clave principal de la jerarquía de pares de claves.
PSK – Pre-Shared Key, clave derivada de una frase de acceso que sustituye a la PMK
normalmente enviada por un servidor de autenticación.
PTK – Pairwise Transient Key, clave derivada de la PMK.
RSN – Robust Security Network, mecanismo de seguridad de 802.11i (TKIP, CCMP etc.).
RSNA – Robust Security Network Association, asociación de seguridad usada en una RSN.
RSN IE – Robust Security Network Information Element, campos que contienen información
RSN incluida en Probe Response y Association Request.
GLOSARIO
- 81 -
SSID – Service Set Identifier, identificador de la red (el mismo que ESSID).
STA – Station, estación, cliente wireless.
TK – Temporary Key, clave para la encriptación de datos en tráfico unicast (usada también
para la comprobación de la integridad de datos en CCMP).
TKIP – Temporal Key Integrity Protocol, protocolo de encriptación usado en WPA basado en
el algoritmo RC4 (como en WEP).
TMK – Temporary MIC Key, clave para la integridad de datos en tráfico unicast (usada en
TKIP).
TSC – TKIP Sequence Counter, contador de repetición usado en TKIP (al igual que Extended
IV).
TSN – Transitional Security Network, sistemas de seguridad pre-802.11i (WEP etc.).
WEP – Wired Equivalent Privacy, protocolo de encriptación por defecto para redes 802.11.
WPA – Wireless Protected Access, implementación de una versión temprana del estándar
802.11i, basada en el protocolo de encriptación TKIP.
WRAP – Wireless Robust Authenticated Protocol, antiguo protocolo de encriptación usado
en WPA2
- 82 -
REFERENCIAS
[1] -
Fundamento de Redes inalámbricas Cisco Systems, Inc
[2] - Fronteras de la computación (redes de corto alcance),
Autor Rolf Tarrach, Senén Barro Ameneiro, Alberto J. Bugarín Diz
Ediciones Díaz de Santos, 2002, pp. 397
BIBLIOGRAFÍA
Transmisión de datos y redes de comunicaciones Behrouz A. Forouzan Mc Graw Hill
Fundamentos de redes inalámbricas Cisco System Academy
Program
Cisco Systems
Redes de computadoras Andrew S. Tanenbaum Prentice hall
802.11 (Wi-Fi) Manual de redes inalámbricas Neil Reid , Ron Seide Mc Graw Hill
Análisis de redes y sistemas de comunicaciones Xavier Hesselbach Serra Ediciones UPC
Fronteras de la computación Rolf Tarrach, Senén Barro
Ameneiro, Alberto J.
Bugarín Diz
Ediciones Díaz de
Santos, 2002
Redes de datos Herrera Pérez, Enrique Ed. LIMUSA
Redes de Banda Ancha Caballero, Jose Manuel Marcombo 1998
Seguridad para las Comunicaciones Inalámbricas K. Nichols, Randall Mc Graw Hill, 2003
802.11 Wireless Networks: The definitive guide S. Gast, Matthew Ed. O‟Reilly Media,
Inc.
802.11 Security Bob Fleck, Bruce Potter Ed. O‟Reilly Media,
Inc.
ARTICULOS CONSULTADOS
NETWORK WORLD, 23 MARZO DE 2008 Seguridad WLAN 802.11i
.Pros y contras
SECURITY FOR THE WIRELESS NETWORK Security for the Wireless
Network: The Ubiquity of
Wireless Access
WATCHGUARD
Septiembre, 2007