Seguridad en redes inalámbricas de área local con plataforma Windows 2003 Server

INSTITUTO POLITÉCNICO NACIONAL

ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA Y ELÉCTRICA UNIDAD CULHUACAN

TESINA

Seminario de Titulación:

“Las tecnologías aplicadas a las redes de computadoras”

FNS 5092005/04/2008

SEGURIDAD EN REDES INALÁMBRICAS DE ÁREA LOCAL CON PLATAFORMA

WINDOWS 2003 SERVER

Que como prueba escrita de su Examen Profesional para obtener el Título de:

Ingeniero en Comunicaciones y Electrónica Presentan:

MARÍA VOLGA MARTÍNEZ FLORES.

JOSÉ JUAN MORALES GARCÍA.

Ingeniero en Informática

Presentan:

FERNANDO GUILLERMO MARTÍNEZ PÉREZ.

MARÍA NELLY RODRÍGUEZ MARTÍNEZ.

México D.F. a 09 de Agosto de 2008.

INSTITUTO POLITÉCNICO NACIONAL

ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA ELÉCTRICA UNIDAD CULHUACAN

TESINA

POR LA OPCIÓN DE SEMINARIO DE TITULACIÓN FNS5092005/04/2008

QUE PARA OBTENER EL TITULO DE INGENIERO EN COMUNICACIONES Y ELECTRÓNICA

PRESENTA: MARTÍNEZ FLORES MARÍA VOLGA

MORALES GARCÍA JOSÉ JUAN QUE PARA OBTENER EL TITULO DE INGENIERO EN INFORMÁTICA

PRESENTA: MARTÍNEZ PÉREZ FERNANDO GUILLERMO

RODRÍGUEZ MARTÍNEZ MARÍA NELLY

SEGURIDAD EN REDES INALÁMBRICAS DE ÁREA LOCAL CON PLATAFORMA WINDOWS 2003 SERVER.

EN LAS REDES INALÁMBRICAS, LOS PAQUETES DE INFORMACIÓN VIAJAN EN FORMA DE ONDAS ELECTROMAGNÉTICAS, LO QUE REPRESENTA UN AUGE EN LAS COMUNICACIONES, DEBIDO AL BAJO COSTO Y A LA MOVILIDAD QUE PROPORCIONAN, SIN EMBARGO, SON VULNERABLES A ATAQUES POR UTILIZAR UN MEDIO DE TRANSMISIÓN TAN PERCEPTIBLE COMO ES EL AIRE. POR ELLO, EN EL PRESENTE TRABAJO SE INVESTIGA EL ESTADO ACTUAL EN LA SEGURIDAD DE LAS REDES INALÁMBRICAS DE ÁREA LOCAL, DESDE LA IDENTIFICACIÓN DE LOS RIESGOS, VULNERABILIDADES, ATAQUES Y TÉCNICAS PARA SUBSANAR DICHOS RIESGOS. SE PROPONE UNA ESTRATEGIA BASADA EN LA PLATAFORMA WINDOWS 2003 SERVER, LA CUAL OFRECE UN MECANISMO DE SEGURIDAD EN RED MEJORADA CON SOPORTE PARA PROTOCOLOS NORMALIZADOS; TODO ELLO, PARA ENFRENTAR EL DESAFÍO DE RESGUARDAR EL ACTIVO MAS VALIOSO DE CUALQUIER ORGANIZACIÓN, LA INFORMACIÓN.

CAPITULADO

INTRODUCCIÓN.

CAPÍTULO 1 INTRODUCCIÓN A LAS REDES.

CAPÍTULO 2 REDES INALÁMBRICAS.

CAPÍTULO 3 SEGURIDAD EN REDES INALÁMBRICAS DE ÁREA LOCAL.

CAPÍTULO 4 SERVICIOS DE SEGURIDAD DE WINDOWS 2003 SERVER.

CAPÍTULO 5 PROPUESTA DE CONFIGURACIÓN DE SEGURIDAD PARA UNA WLAN.

CONCLUSIONES.

BIBLIOGRAFÍA.

GLOSARIO.

México D.F. 09 de Agosto de 2008.

M. en C. Diana Salomé Vázquez Estrada Coordinador Académico del Seminario

Ing. Patricia Cortés Pineda.

Asesor.

M. en C. Héctor Becerril Mendoza Jefe del Departamento de Ingeniería

en Comunicaciones y Electrónica

Agradecimientos.

Agradezco a DIOS, por su manifiesto e incomparable amor, al permitirme tener: La formación y entrega de mis padres; el cariño y apoyo de mis hermanos; la sabiduría y ejemplo de mis pastores y maestros; la confianza y el respaldo incondicional de mi amado esposo; la ternura y comprensión de mis hijos; la invaluable amistad y lealtad de mis amigos; el privilegio de conocer y trabajar con mi equipo, y por supuesto, la dedicación, paciencia y tiempo de mis sinodales, Diana, Patricia, Anna, Miguel y José.

Con el más profundo respeto.

Volga.

A Mis Padres.

Después de todos los años de espera y de las esperanzas que han depositado en mi, hoy;

celebremos la realización de una más de ellas. Yo, el último de sus hijos, les doy las más sinceras gracias por darme la vida y el apoyo incondicional que siempre me ofrecieron y que aún estando tan lejos me hacían sentir su presencia a mi lado a cada instante.

Este logro es para ustedes y para todos aquellos que me brindaron su ayuda incondicionalmente. Nunca lo olviden y siéntanse orgullosos de ustedes mismos.

Compartan la felicidad que siento de ser el Ing. José Juan Morales García.

Mil gracias.

José Juan

Dicen que detrás de un gran hombre, hay una gran mujer… yo no sé que tan grande sea o que tan grande puedo llegar a ser; pero hay algo que sí sé, toda mi vida ha habido una gran mujer; una mujer a la que le dedico este pequeño párrafo para agradecerle que nunca ha estado detrás de mi, si no a mi lado, apoyándome siempre

¡¡¡Gracias Mamá!!!

Finalmente, agradezco a toda mi familia y amigos, ya que de cada uno de ellos, he aprendido valiosas lecciones de vida y he tenido todo su apoyo para salir adelante. Y por supuesto… Gracias a todos los maestros que me regresaron los proyectos, a los que me tacharon la tarea, a los que me hicieron más fácil la adquisición del conocimiento, a los maestros que no fueron barco, a los maestros de vocación… Mil Gracias.

Fernando

Primero quiero agradecerte a ti mamá, por tu esfuerzo y dedicación que hacen que siga saliendo adelante, por la inteligencia y amor en cada palabra que me das, por ser la mujer a la que más admiro, respeto y amo en este mundo, gracias. Papá, por escucharme, por fomentar en mí el deseo de saber y aprender, por tener el corazón más fuerte que conozco y por ser el mejor abuelito y papá del mundo. Nana y Angeles por ser mis guías y mis pilares, por sus consejos, por sus regaños, por tantas risas, por amar tanto a Fernanda y porque además de hermanas son mis mejores amigas. Volga y José Juan por tantas horas de desvelos y esfuerzo compartido, por la dedicación a este trabajo, porque más que compañeros son mis amigos. A mi familia chiquita: Fernando, por tu apoyo, paciencia, compresión y amor que me permite sentir poder lograr lo que me proponga. Por recorrer este camino juntos, por seguir siendo mi mejor amigo y por ser el hombre al que más amo, gracias.

Pero principalmente a ti mi princesita hermosa, FERNANDA, por ser el motor de mi vida, la luz que me guía, la alegría de mi vida, por cada sonrisa y abrazo que me das y por existir, mil gracias.

Nelly

Índice.

Agradecimientos. II Índice. IV Índice de imágenes. VI Índice de tablas. VII

Introducción. 1 Capítulo I.- Introducción a las redes. 2

1.1 Aspectos básicos de redes. 2

1.1.1 Componentes. 2 1.1.2 Métodos de transmisión. 5

1.2 Topologías de red. 6 1.3 Clases de redes. 10 1.4 Organizaciones de estandarización. 12

1.5 Modelo OSI. 14 Capítulo II.- Redes inalámbricas. 16

2.1 Clases de redes inalámbricas. 16 2.1.1 Red inalámbrica de área personal. 16

2.1.2 Red inalámbrica de área local. 17 2.1.3 Red inalámbrica de área metropolitana. 17

2.1.4 Red inalámbrica de área amplia. 17 2.2 Protocolos IEEE para redes inalámbricas. 17

2.3 Métodos de transmisión. 19 2.4 Componentes de una WLAN. 20 Capítulo III. Seguridad en redes inalámbricas de área local. 22

3.1 Ataques comunes a las WLAN. 23 3.2 Alcance y cobertura del Access Point. 24

3.3 Valores predeterminados. 24 3.4 Adjudicar direcciones. 24 3.5 Métodos de encriptación. 25 3.6 Métodos de autenticación. 29

3.7 Control de acceso. 32

Capítulo IV.- Servicios de seguridad de Windows 2003 Server. 35

4.1 Asistente para configuración de seguridad. 35 4.2 Directivas de dominio y controlador de dominio. 36 4.3 Directivas de servidores de infraestructura. 41 4.4 Directivas de servidores de archivos. 41

4.5 Directivas en servidores web. 42

4.6 Servidores IAS. 43 4.7 Servidor de servicios de certificados. 44

4.8 Directivas de hosts de baluarte. 44 4.9 Medidas clave de seguridad. 45 Capítulo V. Propuesta de configuración de seguridad para una WLAN. 47

5.1 Componentes utilizados en la propuesta de configuración. 50

5.2 Visión general de PEAP. 50

5. 3 Diagrama de red. 52 5.4 Configuración del servidor con Windows 2003 Server. 53

5.4.1 Configuración de Active Directory. 53 5.4.2 Configuración de los servicios de DHCP. 55 5.4.3 Configuración como autoridad de certificados. 59

5.4.4 Configuración del servicio de IAS. 61 5.4.5 Configuración de IAS para la autenticación PEAP-MS-CHAP v2. 64

5.5 Configuración Wireless. 67 5.5.1 Configuración de usuarios. 68

Conclusiones. 80 Bibliografía. 81

Índice de imágenes.

Figura 1.1 Ejemplos de una red. ... 2

Figura 1.2 Servidores... 3

Figura 1.4 Autenticación. ... 4

Figura 1.5 Encriptación. ... 4

Figura 1.6 Directorio de red. ... 5

Figura 1.7 Transmisión unicast. ... 5

Figura 1.8 Transmisión broadcast. ... 6

Figura 1.9 Transmisión multicast. ... 6

Figura 1.10 Topología de bus. ... 7

Figura 1.11 Topología de anillo. ... 7

Figura 1.13 Topología de estrella. ... 8

Figura 1.14 Topología de árbol. ... 8

Figura 1.15 Topología de malla... 9

Figura 1.16 Topologías híbridas... 9

Figura 1.17 Red de área local. ... 10

Figura 1.18 Red de área amplia. ... 11

Figura 1.19 Capas del modelo OSI... 14

Figura.1.20 Modelo OSI... 15

Figura 2.1 Cobertura y estándares de Wireless. ... 16

Figura 3.1 Estándar de encriptación avanzada ... 27

Figura 3.2 Una VPN y su equivalente lógico. ... 28

Figura 4.1 Entornos de seguridad y clientes compatibles. ... 37

Figura 4.2 Plantilla de seguridad de directiva de línea base... 39

Figura 5.1. Autenticación 802.1X y PEAP para la LAN inalámbrica... 52

Índice de tablas.

Tabla 1.1. Ejemplos de redes de datos... 12 Tabla 2.1 Componentes de una WLAN... 21 Tabla 5.1. Criterios de diseño de la solución de WLAN... 47

Introducción.

Los avances en la tecnología de las comunicaciones han tenido un relevante desarrollo en el envío y recepción de la información de forma electrónica. La tecnología inalámbrica o Fidelidad Inalámbrica (Wi-Fi, Wireless Fidelity) puede suponer una revolución en el mundo de las comunicaciones. Gracias a las conexiones inalámbricas, tener acceso a Internet y a otros recursos de red ya no es sinónimo de cables y enchufes dispersos por las paredes.

La tecnología Wi-Fi transmite los datos sin fronteras a través de ondas electromagnéticas. Esto se ha convertido en una herramienta valiosa y conveniente para los usuarios móviles. Sin duda alguna, esta tecnología hace más sencilla la vida. Sin embargo abre nuevas puertas para las amenazas a la seguridad y se requiere una tecnología especializada para garantizar la protección, ya que si no se toman las medidas de seguridad pertinentes se corre el riesgo de dejar al descubierto la información y permitir que alguien haga mal uso de ésta.

El presente proyecto aborda la necesidad de crear, diseminar y administrar estrategias basadas en regulaciones y estándares, a través de plataformas y aplicaciones para avalar la seguridad de la información en un ambiente de Red de Área Local Inalámbrica (WLAN, Wireless Local Area Network).

Las soluciones que se implementen permitirán a los usuarios disfrutar los beneficios de la red inalámbrica sin preocuparse de que algún intruso tenga acceso a su información.

El principal reto es, sin duda, garantizar la seguridad, es decir que la información siempre cuente con la confidencialidad, integridad y disponibilidad que se requiere.

Capítulo I.- Introducción a las redes.

1.1 Aspectos básicos de redes.

Una red de computadoras es un grupo de computadoras que están conectadas entre sí para comunicarse y compartir recursos tales como archivos, impresoras y correo electrónico. Las redes deben incluir medios de comunicación de red, como un cable, para transmitir los datos de la red; hardware de adaptadores de red para traducir los datos entre el equipo y los medios de comunicación, un sistema operativo para permitir a la computadora reconocer la red, y un protocolo de red para controlar las comunicaciones.

Figura 1.1 Ejemplos de una red.

1.1.1 Componentes.

Host.

Es un dispositivo conectado a una red, el cual puede ser un ordenador, un servidor, un dispositivo de almacenamiento, una impresora, etc.

Servidores.

Son equipos de la red que comparten recursos y responden a las solicitudes de otros equipos de red, incluidos otros servidores. Estos proporcionan acceso centralizado y

almacenamiento de recursos que puede incluir aplicaciones, archivos, impresoras u otro hardware, y servicios especializados como el correo electrónico. Un servidor puede ser optimizado y dedicado a una función específica, o puede servir a necesidades generales.

Múltiples servidores de diversos tipos pueden coexistir en una sola red.

Servidor

Figura 1.2 Servidores.

Cliente.

Es una computadora que utiliza los recursos de una red de computadoras, incluidos otros clientes. Este tiene su propio procesador, memoria y almacenamiento, incluso puede mantener algunos de sus propios recursos y realizar sus propias tareas de procesamiento.

Cliente1 Cliente2

Servidor

Figura 1.3 Clientes.

Autenticación.

Es una medida de seguridad en la que un usuario de la red demuestra su identidad con el fin de obtener acceso a los recursos de la misma. Existen diversos métodos de

autenticación, teniendo como el más común una combinación de nombre de usuario y contraseña.

Figura 1.4 Autenticación.

Nombre de usuario y contraseña de autenticación.

El nombre de usuario se considera información pública, es decir, los nombres de usuario están generalmente disponibles y existe poco esfuerzo para mantenerlos en secreto. La contraseña es información privada, que debe ser cuidadosamente protegida y conocida sólo por el propio usuario y la base de datos de autenticación. Incluso los administradores de red no conocen las contraseñas de cada usuario.

Encriptación.

Es una medida de seguridad en la red en donde la información es codificada o encriptada antes de la transmisión para que no se pueda leer a menos que el destinatario conozca el mecanismo de decodificación, o clave. Esta se utiliza de alguna forma en casi todas las redes, a menudo para proteger las contraseñas durante la autenticación.

Figura 1.5 Encriptación.

Directorio de red.

También conocido como servicio de directorio, es una base de datos centralizada que incluye objetos tales como servidores, clientes, computadoras, nombres de usuario y

contraseñas. Este se almacena en uno o más servidores, y está disponible en toda la empresa. El directorio proporciona administración y autenticación centralizada. Los directorios más comunes son el Directorio Activo de Microsoft (AD, Microsoft Active Directory) y el Directorio de Servicios de Novell (NDS, Novell Directory Services).

Directorio

Figura 1.6 Directorio de red.

1.1.2 Métodos de Transmisión.

Unicast.

Es un método de transmisión de datos en el que la transferencia de información se lleva acabo entre un emisor y un solo receptor. Los hosts de red que no participan en la transferencia hacen caso omiso de la transmisión.

Figura 1.7 Transmisión unicast.

Broadcast.

Es un método de transmisión en el que los datos van de un nodo origen a todos los demás nodos en una red. Cada uno recibe los datos y actúa sobre ellos. Los servicios de red que utilizan este tipo de transmisión, pueden generar una gran cantidad de tráfico en ella.

Los hosts algunas veces utilizan la transmisión por broadcast para descubrir si hay un servicio en ejecución en la red. Los hosts difunden una solicitud de servicio, y si un servidor está presente, responde. Por el contrario, algunos servidores periódicamente anuncian su presencia a toda la red por medio del broadcast.

Figura 1.8 Transmisión broadcast.

Multicast.

Es un método de transmisión de datos en el que se envían desde un servidor específico a los hosts que se definen como miembros de un grupo multicast. Los hosts de red que no estén dentro del grupo hacen caso omiso de los datos.

Figura 1.9 Transmisión multicast.

1.2 Topologías de red.

Se define como la estructura que los equipos utilizan para comunicarse. Además de la topología física, se puede dar una topología lógica a la red y eso dependerá de lo que se necesite en el momento. La topología de red la determina únicamente la configuración de las conexiones entre los nodos. La distancia entre los nodos, las conexiones físicas, las tasas de transmisión o los tipos de señales no pertenecen a la topología de la red, aunque pueden verse afectados por la misma.

Topología de bus.

Esta topología permite que todas las estaciones reciban la información que se transmite, una estación transmite y todas las restantes escuchan. Consiste en un cable con un terminador en cada extremo del que se cuelgan todos los elementos de la red. Todos los nodos están unidos a este cable, el cual recibe el nombre de "Backbone Cable". Tanto Ethernet como Local Talk pueden utilizar esta topología.

Los nodos en una red de bus transmiten la información y esperan que ésta no vaya a chocar con otra información transmitida por otro nodo. Si esto ocurre, cada nodo espera un lapso de tiempo al azar y después intenta retransmitir la información.

Figura 1.10 Topología de bus.

Topología en anillo.

Las estaciones están unidas unas con otras formando un círculo por medio de un cable común. El último nodo de la cadena se conecta al primero cerrando el anillo. Las señales circulan en un solo sentido alrededor del círculo, regenerándose en cada nodo.

Con esta topología, cada nodo examina la información que es enviada a través del anillo, si la información no está dirigida al nodo que la examina, la pasa al siguiente en el anillo. La desventaja del anillo es que si se rompe una conexión, se cae toda la red.

Figura 1.11 Topología de anillo.

Topología de estrella.

Los datos en estas redes fluyen del emisor hasta el concentrador, este realiza todas las funciones de la red, además actúa como amplificador de los datos. La red se une en un punto único, normalmente con un panel de control centralizado, como un concentrador de cableado. Los bloques de información son dirigidos a través del panel de control central hacia sus destinos. Este esquema tiene una ventaja al tener un panel de control que monitorea el tráfico y evita las colisiones por lo tanto una interrupción en una conexión no afecta al resto de la red.

Figura 1.13 Topología de estrella.

Topología de árbol.

Desde una visión topológica, la conexión en árbol es parecida a una serie de redes en estrella interconectadas salvo en que no tiene un nodo central. En cambio, tiene un nodo de enlace troncal, generalmente ocupado por un hub o switch, desde el que se ramifican los demás nodos, la falla de un nodo no implica interrupción en los demás.

Figura 1.14 Topología de árbol.

Topología en malla.

Es una topología de red en la que cada nodo está conectado a uno o más de los otros nodos. De esta manera es posible llevar los mensajes de un nodo a otro por diferentes caminos. Si la red de malla está completamente conectada, no puede existir ninguna interrupción en las comunicaciones.

Figura 1.15 Topología de malla.

Topologías híbridas.

El bus lineal, la estrella y el anillo se combinan algunas veces para formar redes híbridas.

 Anillo en estrella: Esta topología se utiliza con el fin de facilitar la administración de la red. Físicamente, la red es una estrella centralizada en un concentrador, mientras que a nivel lógico, la red es un anillo.

 Bus en estrella: El fin es igual a la topología anterior. En este caso la red es un bus que se cablea físicamente como una estrella por medio de concentradores.

 Estrella jerárquica: Este tipo de estructura se utiliza en la mayor parte de las redes locales, por medio de concentradores colocados en cascada para formar una red jerárquica.

Figura 1.16 Topologías híbridas.

1.3 Clases de redes.

Las redes de datos surgieron como resultado de las aplicaciones informáticas creadas para las empresas. Inicialmente, las empresas poseían computadoras que eran dispositivos independientes que operaban de forma individual, sin comunicarse unos con otros. Las empresas necesitaban una solución que resolviera con éxito la comunicación entre dispositivos, primero, localizados en el mismo edificio, luego en sitios diferentes y finalmente que hubiera comunicación entre dos localidades e incluso continentes.

Una de las primeras soluciones a estos problemas fue la creación de redes de área local, que permitían conectar todas las estaciones de trabajo, dispositivos periféricos, terminales y otros dispositivos ubicados dentro de un mismo edificio.

Red de área local.

Es una red de comunicaciones que interconecta varios dispositivos y proporciona un medio para el intercambio de información entre ellos, su área de cobertura es pequeña, generalmente un edificio o a lo sumo un conjunto de edificios.

Estas se componen de computadoras, tarjetas de interfaz de red, medios de networking¹, dispositivos de control del tráfico de red y dispositivos periféricos. Las Redes de Área Local (LAN, Local Area Network) hacen posible que las empresas que utilizan tecnología informática compartan de forma eficiente elementos tales como archivos e impresoras, y permiten la comunicación a través de diversas aplicaciones.

Figura 1.17 Red de área local.

1

Red de área amplia.

A medida que el uso de las computadoras en las empresas aumentaba, pronto resultó obvio que incluso las LAN no eran suficientes. Se necesitaba una forma de transferir información de manera eficiente y rápida de una red a otra.

La solución surgió con la creación de las Redes de Área Amplia (WAN, Wide Area Network). Las WAN conectan redes de usuarios dentro de un área geográfica extensa, permitiendo que las empresas se comuniquen entre sí a través de grandes distancias, compartiendo información, recursos y acceso a Internet.

Figura 1.18 Red de área amplia (WAN).

Algunas de las tecnologías utilizadas en las WAN son:

 Red digital de servicios integrados (ISDN, Integrated Services Digital Network).

 Línea de suscripción digital (DSL, Digital Subscriber Line).

 Modo de Transferencia Asíncrona (ATM, Asynchronous Transfer Mode).

 Series de portadoras T (EE.UU. y Canadá) y E (Europa y América Latina): T1, E1, T3, E3, etc.

 Red óptica síncrona (SONET, Synchronous Optical Network).

Algunos ejemplos útiles de LAN y WAN aparecen en la siguiente tabla.

Tabla 1.1. Ejemplos de redes de datos.

Distancia entre las CPU Ubicación de las CPU Nombre

10 m Habitación (un aula) Red de área local (LAN) 100 m Edificio (una escuela) Red de área local (LAN) 1000 m Campus (Universidad) Red de área local (LAN) 100,000 m País (México) Red de área amplia (WAN) 1,000,000 m Continente (Americano) Red de área amplia (WAN) 10,000,000 m Planeta (La Internet) Red de área amplia (WAN) 100,000,000 m Sistema tierra – luna Red de área amplia (WAN)

1.4 Organizaciones de estandarización.

Los estándares son una serie de lineamientos técnicos detallados, un estándar proporciona un modelo de desarrollo que hace posible que un producto funcione adecuadamente con otros sin tener en cuenta quien lo fabrica.

Las siguientes organizaciones se dedican a la definición y establecimiento de estándares para datos y comunicaciones:

Organización Internacional para la Estandarización (ISO, International Standards Organization). Es una organización internacional no gubernamental, compuesta por representantes de los organismos de normalización de estándares de varios gobiernos a lo largo del mundo, el cual produce normas internacionales, industriales y comerciales.

Instituto Nacional Estadounidense de Estándares (ANSI, American National Standards Institute). Es una organización no lucrativa que supervisa el desarrollo de estándares para productos, servicios, procesos y sistemas en los Estados Unidos. ANSI es miembro de la ISO. Tiene como objetivos servir como una institución de coordinación para la estandarización. Los miembros de ANSI son sociedades profesionales, asociaciones de la industria, agencias gubernamentales, así como grupos de consumidores.

Alianza de Industrias Electrónicas (EIA, Electronic Industries Alliance). Esta organización fue creada sin ánimo de lucro con el fin de promocionar aspectos de la fabricación electrónica. Se centra en las áreas de la innovación y competitividad global, comercio internacional y acceso al mercado; ha hecho contribuciones significativas mediante la definición de interfaces de conexión física y especificaciones de señalización para la comunicación de datos.

Instituto de Ingenieros Eléctricos y Electrónicos (IEEE, Institute of Electrical and Electronics Engineers). Su trabajo es promover la creatividad, el desarrollo y la integración; compartir y aplicar los avances en las tecnologías de la información, electrónica y ciencias en general. Es la mayor sociedad profesional de ingeniería del mundo y como uno de sus objetivos, prevé el desarrollo y adopción de estándares internacionales para la computación y las comunicaciones.

Agencias reguladoras.

Todas las comunicaciones están reguladas por las agencias del gobierno tales como la Comisión Federal de Comunicaciones (FCC, Federal Communications Commission) en los Estados Unidos o como la Comisión Federal de Telecomunicaciones (COFETEL) en México. El objetivo de estas organizaciones es proteger el interés público mediante la regulación de las comunicaciones y telecomunicaciones. Estas organizaciones tienen las siguientes responsabilidades:

 Supervisar las tarifas impuestas por los proveedores de telegrafía y telefonía.

 Revisar de las especificaciones técnicas del hardware de telecomunicaciones.

 Dividir y asignación de las frecuencias de radio.

 Asignar de las frecuencias portadoras para las emisiones de radio y televisión.

En el caso de México la COFETEL tiene como función que el país se encuentre a la vanguardia de las telecomunicaciones y de las tecnologías de la información, y que exista acceso, diversidad, calidad, mejores precios y cobertura, de todos los servicios en un ambiente competitivo y convergente, que garantice plenamente el beneficio social.

1.5 Modelo OSI

A principios de la década de 1980 se produjo un enorme crecimiento en la cantidad y el tamaño de las redes.

ISO proporcionó a los fabricantes un conjunto de estándares que aseguraron una compatibilidad e interoperabilidad entre los distintos tipos de tecnología de red producidos por las empresas a nivel mundial conocido como el modelo de referencia de Interconexión de Sistemas Abiertos (OSI, Open System Interconnection).

El Modelo OSI cuenta con 7 capas o niveles:

Figura 1.19 Capas del modelo OSI.

Capa de aplicación. Permite acceso a los recursos de la red tales como correo electrónico, transferencia de archivos y emulación de terminales.

Capa de presentación. Traduce y encrípta datos.

Capa de sesión. Establece, administra y termina sesiones.

Capa de transporte. Proporciona confiabilidad del envío de datos, detección de fallas y control de flujo.

Capa de red. Determina el direccionamiento de red y establece la mejor ruta para el envío de paquetes del origen al destino.

Capa de enlace de datos. Organiza los bits en tramas y proporciona entrega confiable de datos de un nodo a otro.

Capa física. Se ocupa de la transmisión binaria sobre el medio y proporciona especificaciones mecánicas y eléctricas para la transmisión de datos.

Para que los datos puedan viajar desde el origen hasta su destino, cada capa del modelo OSI, en el origen debe comunicarse con su capa par en el destino. Esta forma de comunicación se conoce como de par-a-par.

Figura.1.20 Modelo OSI

Las redes inalámbricas se diferencian de las redes cableadas convencionales principalmente en la capa física y la capa de enlace de datos, según el modelo de referencia OSI.

Capítulo II.- Redes inalámbricas.

Son aquellas que se comunican por un medio de transmisión no guiado (sin cables) mediante ondas electromagnéticas. Tanto la transmisión como la recepción se realizan a través de antenas. Su instalación es fácil, ya que no requiere cableado, permitiendo la movilidad del usuario, reubicación de puntos de acceso (AP, Access Point), no necesita licencia para su instalación ni operación, además de tener menos costos de mantenimiento que una red convencional.

2.1 Clases de redes inalámbricas.

Según el área de cobertura, se pueden clasificar en diferentes tipos:

Figura 2.1 Cobertura y estándares de Wireless.

2.1.1 Red Inalámbrica de Área Personal (WPAN, Wireless Personal Area Network).

Es una red de computadoras para la comunicación entre dispositivos cercanos al punto de acceso, normalmente su alcance es de pocos metros y es para uso personal.

2.1.2 Red Inalámbrica de Área Local (WLAN, Wireless Local Area Network).

Es un sistema de comunicación de datos inalámbricos, que transmite y recibe datos utilizando ondas electromagnéticas, es decir una tecnología de radiofrecuencia la cual permite una mayor movilidad a los usuarios dentro de un edificio, una pequeña área residencial o de un campus.

2.1.3 Red Inalámbrica de Área Metropolitana (WMAN, Wireless Metropolitan Area Network).

Es una red que proporciona accesos concurrentes, los cuales incluyen varios repetidores de señal ofreciendo una cobertura local en áreas de hasta 48 km de radio y velocidades de hasta 70 mbps, utilizando tecnología que no requiere visión directa con las estaciones base.

2.1.4 Red Inalámbrica de Área Amplia (WWAN, Wireless Wide Area Network).

Son las redes inalámbricas de mayor alcance la cual es utilizada por teléfonos móviles de tercera generación (3G) que proporcionan la posibilidad de transferir tanto voz y datos mediante una llamada telefónica, así como la descarga de programas, intercambio de email, y mensajería instantánea.

2.2 Protocolos IEEE para redes inalámbricas.

El protocolo IEEE 802.11 es un estándar de protocolo de comunicaciones que define el uso de los dos niveles inferiores de la arquitectura OSI (capas física y de enlace de datos), especificando sus normas de funcionamiento en una WLAN. En general, los protocolos de la rama 802.11 definen la tecnología de redes de área local y proporcionan un factor de estabilidad e interoperabilidad. La existencia de una normativa coherente constituye un factor importante para el desarrollo, debido a la gran cantidad de técnicas, tecnologías y normas existentes en el ámbito de las comunicaciones móviles.

La familia 802.11 actualmente incluye varias técnicas de transmisión por modulación que utilizan los mismos protocolos.

802.11a - Opera a la frecuencia de 5 GHz, que está menos congestionada que la de 2.4 GHz donde los teléfonos y microondas pueden causar interferencias. Aunque la velocidad puede llegar hasta 54 Mbps, el alcance es de aproximadamente de 23 metros.

802.11b - Opera en la banda de frecuencia de 2.4 GHz y puede transmitir datos a velocidades de hasta 11 Mbps con un alcance de hasta 30.5-46 metros. El alcance de la red inalámbrica puede verse afectado por obstáculos que bloquean la señal o reflectantes, como espejos, paredes, ya sea en espacios abiertos o cerrados.

802.11g - Ofrece los mismos beneficios que el 802.11b pero alcanza una velocidad de transmisión 5 veces mayor, de hasta 54 Mbps. Actualmente ofrece la mejor combinación de valor y rendimiento.

802.11n - Es la próxima generación de redes inalámbricas de alta velocidad, que ofrecerá el alcance y la capacidad para la mayoría de las aplicaciones actuales como reproducción de vídeos de alta definición, voz y música. Está basada en la tecnología de Múltiples Entradas Múltiples Salidas (MIMO, Multiple Input Multiple Output), que utiliza varias ondas de radio para transmitir múltiples flujos de datos por varios canales.

802.11h - Es una modificación sobre el estándar 802.11 para intentar resolver problemas derivados de la coexistencia de las redes 802.11 con sistemas de radares y satélite. Este proporciona a las redes 802.11a la capacidad de gestionar dinámicamente tanto la frecuencia, como la potencia de transmisión.

802.11d - Constituye un complemento al nivel de Control de Acceso al Medio (MAC, Media Access Control) permitiendo a los puntos de acceso comunicar información sobre los canales de radio admisibles con niveles de potencia aceptables para los dispositivos de los usuarios.

802.11f - Su objetivo es lograr la interoperabilidad de APs dentro de una red WLAN multiproveedor. El estándar define el registro de APs dentro de una red y el intercambio de información entre los mismos cuando un usuario se traslada desde un punto a otro.

802.11e – Este soporta tráfico en tiempo real en todo tipo de entornos y situaciones. Las aplicaciones en tiempo real ahora son una realidad por las garantías de Calidad de Servicio (QoS, Quality of Service) que ofrece este estándar.

802.11i - Está dirigido a disminuir la vulnerabilidad en la seguridad para protocolos de autenticación y de codificación. El estándar abarca la familia de protocolos 802.1x.

802.11w - Este protocolo trabaja en mejorar la capa del control de acceso al medio, para aumentar la seguridad de los protocolos de autenticación y codificación.

2.3 Métodos de Transmisión.

Según el rango de frecuencias utilizado para transmitir, el medio puede ser:

Ondas de radio. Estas son omnidireccionales, por lo que no se necesitan las antenas parabólicas. La transmisión no es sensible a las atenuaciones producidas por la lluvia ya que se opera en frecuencias que va de los 300 a los 3000 MHz.

Microondas terrestres. Se utilizan antenas parabólicas con un diámetro aproximado de unos tres metros. Tienen una cobertura de kilómetros, pero con el inconveniente de que el emisor y el receptor deben estar perfectamente alineados. Por eso se utilizan en enlaces punto a punto en distancias cortas. En este caso, la atenuación producida por la lluvia es más importante ya que se opera a una frecuencia más elevada. Las microondas comprenden las frecuencias desde 1 hasta 300 GHz.

Microondas por satélite. Se hacen enlaces entre dos o más estaciones terrestres que se denominan estaciones base. Las microondas por satélite se usan para la difusión de televisión por satélite, transmisión telefónica a larga distancia y en redes privadas. El satélite recibe la señal ascendente en una banda de frecuencia, la amplifica y la retransmite en otra banda denominada señal descendente. Cada satélite opera en bandas concretas. Las fronteras frecuenciales de las microondas, tanto terrestres como por satélite, con los infrarrojos y las ondas de radio de alta frecuencia, se pueden mezclar causando interferencias en las comunicaciones en determinadas frecuencias.

Infrarrojos. Los infrarrojos son ondas electromagnéticas que se propagan en línea recta, siendo susceptibles de ser interrumpidas por cuerpos opacos, no pueden atravesar las paredes. Su uso no se ve afectado por interferencias radioeléctricas externas, pudiendo alcanzar distancias de hasta 200 metros entre emisor y receptor.

Bluetooth. El alcance del sistema es de 10 metros, ampliable a 100 metros aumentando la potencia transmitida. A diferencia de otros sistemas de comunicaciones inalámbricos como los basados en infrarrojos, Bluetooth no requiere que haya línea de visión directa entre los dispositivos.

2.4 Componentes de una WLAN.

Para desarrollar este tipo de red, se necesita tomar en cuenta una serie de factores, tales como físicos, ambientales, cantidad y tipo de usuarios, tipo de información a transferir, etc.

Entre los componentes básicos que se requieren para la instalación de una WLAN se pueden mencionar los siguientes:

 Puntos de Acceso.

 Controlador de puntos de acceso.

 Servidor con Sistema Operativo de Red (NOS, Network Operation System).

 Equipo de cómputo con tarjeta de red alámbrica e inalámbrica y puertos de comunicación.

 Cables de Par Trenzado Sin Blindaje (UTP, Unshielded Twisted Pair) en configuración punto a punto.

 Cable serial DB-9 a Bus Universal en Serie (USB, Universal Serial Bus).

Opcionales:

 Software de emulación para estudio de cobertura.

Tabla 2.1 Componentes de una WLAN

Controlador inalámbrico. Punto de acceso.

Servidor con sistema operativo de red.

Equipo de cómputo con tarjeta de red y puertos de

comunicación.

Cable serial DB-9 a USB. Cable UTP.

Ejemplo de software para estudio de cobertura.

Capítulo III. Seguridad en redes inalámbricas de área local.

Los paquetes de información en las redes inalámbricas viajan en forma de ondas de radio. Estas pueden viajar mas allá de las paredes y filtrarse en casas, oficinas contiguas, incluso calles circundantes o cubrir espacios mucho más grandes.

Si nuestra red está abierta, una persona con el equipo adecuado y conocimientos básicos en redes podría utilizar nuestra conexión a Internet, acceder a la red e incluso a cualquier equipo de esta, donde podría analizar todos los datos transmitidos y obtener así información confidencial. Si la infiltración no autorizada en redes inalámbricas de por si ya es grave en una instalación residencial, es mucho más peligroso en una corporativa.

Por lo que debemos:

 Cuidar nuestra red de los curiosos.

 Cuidar nuestra red de los consumidores de ancho de banda.

 Cuidar nuestra red de los verdaderos Hackers².

 Encontrar los puntos físicos donde los atacantes puedan tener acceso.

 Detectar redes inalámbricas cercanas.

 Detectar tráfico anormal o frecuencias fuera de rango.

 Identificar los problemas de seguridad y servicio, según el diseño y configuración de la red.

No existe protección que sea inviolable, pero sí existen prácticas que dificultan los ataques a los sistemas.

2

3.1 Ataques comunes a las WLAN.

Las vulnerabilidades son eventos que exponen a un sistema de redes a una acción que puede perjudicar su habilidad para operar eficientemente, con un buen nivel de confidencialidad. Los sistemas se vuelven vulnerables debido a la falta de medidas adecuadas de seguridad. La razón principal de los ataques se debe a que los usuarios no están suficientemente capacitados para instalar redes inalámbricas y lo hacen sin las medidas necesarias para asegurar la red contra eventos maliciosos o accidentales. Los siguientes son los ataques más comunes a las vulnerabilidades de las redes inalámbricas.

Puntos de acceso hostiles.

Estos equipos pueden ser traídos a la empresa por empleados inexpertos o sin capacitación previa. Por lo que se podría erróneamente utilizar un AP que no este diseñado para entornos corporativos. Otros usuarios pueden introducir equipos ajenos a la red en un intento para acceder a la red corporativa desde localidades cercanas.

Filtrado de direcciones MAC.

Este método de acceso no es del todo seguro, ya que un usuario podría cambiar la dirección MAC de manera virtual, lo que se conoce como suplantación de la MAC o robo de identidad del equipo.

Wardriving.

Es la búsqueda de señales de redes inalámbricas desde un vehículo en movimiento, utilizando un equipo con Wi-Fi, como una laptop o una PDA, los hackers conducen en los alrededores de las empresas usando scanners para detectar las redes a las que después intentarán conectarse.

Ataques del hombre en el medio.

Los AP’s hostiles atraen el tráfico de los usuarios legítimamente identificados en el AP corporativo en el momento en que estos se autentican, forzando a los usuarios a conectarse a él. El hacker reúne toda la información de autenticación de la computadora legítima. Al usar esta información el hacker puede autenticarse en la red como un usuario legítimo.

Ataques de negación de servicio (DoS, Denial of Service).

Los AP hostiles pueden causar ataques de DoS donde la red es inundada con paquetes de datos causando demasiado tráfico en la red, forzando a que los usuarios se desconecten continuamente, con lo que perturban las operaciones de la empresa. Estas interferencias también pueden ser causadas por señales de microondas, teléfonos inalámbricos y otras aplicaciones que trabajan en la radio frecuencia en las que las WLAN operan.

3.2 Alcance y cobertura del Access Point.

El alcance de un punto de acceso es limitado, por lo que un buen consejo es colocarlo en el centro de la oficina y disminuir su potencia de transmisión, reduciendo la posibilidad de ser detectado por extraños.

3.3 Valores predeterminados.

Para observar y modificar la configuración del AP, se deberá introducir un nombre de usuario y una contraseña, que por defecto suele ser admin en ambos casos. Cambiar estos valores predeterminados es una buena recomendación para evitar que otros puedan acceder a la red y a los recursos de esta.

3.4 Adjudicar direcciones

A algunos puntos de acceso se les puede asignar una dirección IP, que suele ser 192.168.1.1 ó 10.0.0.1, la cual puede ser tecleada en el navegador para conocer las opciones de configuración.

Para que una computadora pueda conectarse a la red es necesario que el punto de acceso le asigne una dirección IP. Esta asignación puede ser de una manera automática mediante el Protocolo de Configuración de Host Dinámico (DHCP, Dynamic Host Configuration Protocol).

Se puede dificultar el acceso a intrusos mediante la opción de direccionamiento estático, que consiste en que el administrador decide qué direcciones IP se podrán asignar. El

proceso se repite con cada PC que quiera conectarse a la red, registrando las IP permitidas en el dispositivo.

3.5 Métodos de encriptación.

Procesos para volver ilegible información considerada importante. La información una vez encriptada sólo puede leerse aplicándole una clave. Se trata de una medida de seguridad que es usada para almacenar o transferir información delicada que no debería ser accesible a terceros. Pueden ser contraseñas, números de tarjetas de crédito, conversaciones privadas, etc. Para encriptar información se utilizan complejas fórmulas matemáticas y para desencriptar, se debe usar una clave como parámetro para esas fórmulas. El texto plano que está encriptado o cifrado se llama criptograma.

Privacidad Equivalente al Cable (WEP, Wired Equivalent Privacy).

Es el algoritmo opcional de seguridad para brindar protección a las redes inalámbricas, incluido en la primera versión del estándar IEEE 802.11, mantenido sin cambios en las nuevas 802,11a y 802.11b, con el fin de garantizar compatibilidad entre distintos fabricantes. El WEP es un sistema de encriptación estándar implementado en la MAC y soportado por la mayoría de las soluciones inalámbricas. En ningún caso es compatible con IPSec. Su intención es la de establecer un nivel de seguridad similar al de las redes cableadas. Emplea el algoritmo RC4 de RSA Data Security, y es utilizado para cifrar las transmisiones realizadas a través del aire.

Este mecanismo utiliza una clave secreta compartida entre una estación inalámbrica y un punto de acceso. Todos los datos enviados y recibidos entre la estación y el punto de acceso pueden ser cifrados utilizando esta clave compartida.

Para proteger el texto cifrado frente a modificaciones no autorizadas, este método aplica un algoritmo de comprobación de integridad (CRC-32) al texto en claro, lo que genera un Valor de Comprobación de Integridad (ICV, Integrity Check Value). Dicho valor se concatena con el texto en claro. El valor ICV se añade al texto cifrado y se envía al receptor junto con el vector de inicialización. El receptor combina el texto cifrado con el flujo de clave para recuperar el texto en claro. Al aplicar el algoritmo de integridad al texto en claro y comparar la salida con el vector ICV recibido, se puede verificar que el

proceso de descifrado ha sido correcto ó que los datos han sido corrompidos. Si los dos valores de ICV son idénticos, el mensaje será autenticado.

Protocolo de Integridad de Clave Temporal (TKIP, Temporal Key Integrity Protocol).

Con este protocolo se pretende resolver las deficiencias del algoritmo WEP y mantener la compatibilidad con el hardware utilizado actualmente mediante una actualización del firmware³.

El protocolo TKIP está compuesto por los siguientes elementos:

 Un Código de Integración de Mensajes (MIC, Message Integration Code), encripta el checksum⁴ incluyendo las direcciones MAC del origen y del destino y los datos en texto claro de la trama 802.11. Esta medida protege contra los ataques por falsificación.

 Contramedidas para reducir la probabilidad de que un atacante pueda aprender o utilizar una determinada llave.

 Utilización de un vector de inicialización (IV, Inicialization Vector) de 48 bits llamado Control de Secuencias TKIP (TSC, TKIP Sequence Counter) para protegerse contra ataques por repetición, descartando los paquetes recibidos fuera de orden.

Estándar de Encriptación Avanzada (AES, Advenced Encription Standart).

Es un algoritmo criptográfico que se utiliza para encriptar datos entre dos puntos a través de una conexión no protegida, por lo que se considera una potente herramienta de seguridad.

Ofrece una seguridad mayor, mediante tamaños de clave más largos y un algoritmo mejorado. Este método encripta y desencripta bloques de datos de 128 bits con 3 tamaños de clave estándar:

1. Claves de 128 bits de largo, que corresponden a aproximadamente 3.4 x 1038 claves.

3 Bloque de instrucciones para propósitos específicos que controla a los circuitos electrónicos.

4

2. Claves de 192 bits de largo, que corresponden a aproximadamente 6.2 x 1057 claves.

3. Claves de 256 bits de largo, que corresponden a aproximadamente 1.1 x 1077 claves.

Esta clave se comparte de forma secreta entre el emisor y el receptor antes de que se inicie la comunicación. La encriptación toma el mensaje que se va a enviar y la envuelve en un gran contenedor, que se asemeja a un cubo de Rubik de 4 pisos de altura. A continuación, los datos se mezclan, ya que AES es un algoritmo basado en permutaciones, por lo que la información queda codificada. La clave sirve para realizar esta acción y, cuánto más grande sea la clave, mayor será el cubo.

El cubo codificado es enviado entonces al receptor, el cual utiliza la clave para decodificar el cubo y leer el mensaje.

Figura 3.1 Estándar de Encriptación Avanzada

Red Privada Virtual (VPN, Virtual Private Network).

VPN establece una red privada para que los datos puedan enviarse de forma segura entre dos ubicaciones. Este enlace directo o túnel permite que todas las aplicaciones situadas en la red principal sean accesibles desde la ubicación remota.

Como se muestra en la figura siguiente, la idea es que la red privada funciones como una conexión lógica que une a las redes que pertenecen a las redes corporativas.

Figura 3.2 Una VPN y su equivalente lógico.

En el caso de acceso remoto, la VPN permite al usuario acceder a su red corporativa, asignándole a su equipo las direcciones y privilegios de la misma, aunque la conexión la haya realizado por medio de un acceso público a Internet.

La comunicación que viaja por el túnel establecido en la red pública puede ir encriptada para permitir una mayor confidencialidad. La forma más avanzada y utilizada de encriptación es el IPSec

IPSec.

Es un protocolo de seguridad usado en Internet, que proporciona seguridad para un paquete. Además ayuda a crear paquetes autenticados y confidenciales, este protocolo funciona en 2 modos distintos que son: en modo transporte y modo túnel.

La comunicación segura con el protocolo IPSec usando Internet como transporte, permite enlazar organizaciones de forma permanente a un costo casi despreciable.

La tecnología de túneles ("Tunneling") es un modo de transferir datos en la que se encapsula un grupo de paquetes algún protocolo. En las VPNs, la encriptación debe ser realizada en tiempo real. Por eso, los flujos encriptados a través de una red son encriptados utilizando encriptación de clave secreta, con claves que son solamente buenas para sesiones de flujo.

3.6 Métodos de Autenticación.

Este método asegura que solo los usuarios autorizados con credenciales apropiadas serán permitidos para usar la red. La autenticación se apoya de la confidencialidad y de la integridad, es decir “Se asegura de que seas quien dices ser”.

Los métodos de autenticación más usados en tecnología inalámbrica son: SSID, Filtrado de direcciones MAC, VPN, 802.1X (EAP) y portal cautivo.

Identificador de Conjunto de Servicios (SSID, Service Set Identifier).

Es el mecanismo para identificar redes inalámbricas. Muchas veces el SSID coincide con la marca o el modelo del equipo y existen páginas web donde se puede encontrar las claves de acceso por defecto a estos equipos. Si nos ocupamos de cambiar el SSID, dificultamos la tarea de un intruso potencial para accesar a la red.

Lo ideal sería que el SSID esté compuesto de letras y números sin ningún significado especial.

En la actualidad existen equipos que incluyen la función de desactivar la emisión del SSID (eliminación de broadcast).

Es posible identificar el SSID este aunque no sea emitido, pero ello implica una dificultad más para los intrusos pues deberán capturar varios paquetes y analizarlos hasta encontrarlo el SSID con herramientas como: Kismet, Airtraf, Gtkskan o WifiScanner entre otros.

Filtrado de direcciones MAC.

Todo adaptador de red tiene su propia dirección física la cual se denomina dirección MAC. Las interfaces de configuración de los puntos de acceso permiten mantener una lista de permisos de acceso, llamada Lista de Control de Acceso (ACL, Access Control List) que se basa en las direcciones MAC de los dispositivos autorizados para conectarse a la red inalámbrica o bien denegar ciertas direcciones. La principal desventaja radica en que la dirección MAC de la tarjeta puede ser clonada, lo que permite la obtención de una entrada válida.

Redes privadas virtuales.

Con el inicio de sesión adecuado y el software de la VPN instalado, solamente los usuarios autorizados pueden acceder a la red de la compañía a través de Internet y cualquier dato que se intercambie no puede ser interceptado.

Las actuales tecnologías inalámbricas permiten la configuración de VPN en el equipo, permitiendo que el usuario que se conecte tenga que autentificarse para poder accesar a los servicios a través del AP. En cuanto a la autenticación de VPN’s nos apoyan los Token, que es un dispositivo con un reloj interno, el cual se sincroniza con un servidor a la hora de ser activado por primera vez, y sirve para generar una contraseña única en un período de tiempo a través de un algoritmo secreto y privado. Esta contraseña, una vez generada es comparada con el servidor el cual tiene el mismo algoritmo para generar la contraseña, basándose en el número de serie del token. Estos dispositivos generalmente duran de 3 a 5 años de uso normal, y están fabricados de tal manera que siempre están sincronizados con el servidor.

802.1X (EAP).

El estándar 802.1x es una solución de seguridad, que puede autenticar a un usuario que quiere acceder a la red. Esto se hace a través del uso de un servidor de autenticación. El 802.1x se basa en el Protocolo de Autenticación Extensible (EAP, Extensible Authentication Protocol). Este protocolo se usa para transportar la información de identificación del usuario.

EAP se basa en el uso de un controlador de acceso llamado autenticador, que le otorga o deniega a un usuario solicitante el acceso a la red. El controlador de acceso es un firewall⁵ básico que actúa como intermediario entre el usuario y el servidor de autenticación, el cual necesita muy pocos recursos para funcionar.

El servidor de autenticación puede aprobar la identidad del usuario transmitida por el controlador de la red y otorgarle acceso según sus credenciales. Además, este tipo de servidor puede almacenar y hacer un seguimiento de la información relacionada con los usuarios.

5 Elemento utilizado en redes para controlar las comunicaciones, permitiéndolas o prohibiéndolas.

Portal cautivo.

Un portal cautivo (o captivo) es un programa o máquina de una red informática que vigila el tráfico del Protocolo de Transferencia de Hiper Texto (HTTP, Hyper Text Transfer Protocol) y forza los usuarios a pasar por una página especial si quieren navegar por Internet de forma normal. A veces esto se hace para pedir una autenticación válida, o para informar de las condiciones de uso de un servicio inalámbrico.

Portales Cautivos por software.

Existen varios ejemplos de programas (para PC) que implementan un portal cautivo:

 NoCatAuth (Linux).

 Chillispot (Linux).

 WifiDog (Linux).

 Ewrt (Linux).

 FirstSpot (Windows).

 Monowall (embedded FreeBSD).

 OpenSplash (FreeBSD).

 Wicap (OpenBSD).

 Public IP (Linux).

 PfSense (FreeBSD).

 AirMarshal (Linux).

 WSS (WLAN Security Switch - Nortel).

Portales Cautivos por Hardware

Aparatos que lo implementan sin necesidad de ordenador:

 Cisco BBSM-Hotspot Cisco Site Selection Gateway (SSG).

 Subscriber Edge Services (SESM).

 Nomadix Gateway Aptilo Access Gateway.

 Sinaptica Networks PayBridge.

3.7 Control de acceso.

Este proporciona una política para forzar a la estructura para el control de tráfico de usuarios autorizados, incluyendo redes, ancho de banda y protocolos como: WPA, 802.11i y WPA2.

Acceso Protegido Wi-Fi (WPA. Wi-Fi Protected Access).

Sistema de seguridad con encriptación de 128 bits creado por la WiFi Alliance cuya incorporación es obligatoria en todo dispositivo compatible desde fines de 2003. Nació para corregir las deficiencias de su antecesor WEP, siendo bastante efectivo siempre y cuando se le anteponga a éste último y se utilicen contraseñas con más de 8 caracteres.

Define un conjunto de componentes estándar que permiten y hacen posible la comunicación entre distintas terminales móviles y servidores de red.

Al incrementar el tamaño de las claves, el número de llaves en uso, y al agregar un sistema de verificación de mensajes, WPA hace que la entrada no autorizada a redes inalámbricas sea mucho más difícil. Para limitar riesgos, las redes WPA se desconectan durante 60 segundos al detectar 2 intentos de ataque en 1 minuto. WPA eleva la potencia de la encriptación mediante la aplicación de la técnica TKIP. Con este protocolo, la clave utilizada por cada cliente cambia en varias ocasiones durante cada sesión.

IEEE 802.11i.

El estándar 802.11i elimina muchas de las debilidades de sus predecesores tanto en lo que autenticación de usuarios como a robustez de los métodos de encriptación se refiere.

Y lo consigue en el primer caso gracias a su capacidad para trabajar en colaboración con 802.1X, y en el segundo, mediante la incorporación de AES.

Básicamente, 802.11i incrementa la seguridad en una WLAN utilizando algoritmos de encriptación y técnicas basadas en claves más avanzadas. Cuando una estación inalámbrica solicita abrir una sesión con el punto de acceso, entre ambos extremos se establece una clave denominada Pairwise Master Key (PMK). Para ello se utiliza típicamente el estándar LAN y WLAN 802.1X, que permite al responsable de seguridad

aplicar un método de autenticación tan potente como desee, desde las simples combinaciones usuario/contraseña hasta certificados digitales.

El servidor de Servicio de Autenticación de Usuarios Telefónicos Remotos (RADIUS, Remote Authentication Dial-In User Service) o cualquier otro servidor de autenticación retorna la PMK al punto de acceso, y entonces, éste y la estación intercambian una secuencia de cuatro mensajes, denominada “four-way handshake” (algo así como saludo o reconocimiento de cuatro vías).

Durante el proceso “four-way handshake”, se utilizan la PMK y diversos valores generados aleatoriamente tanto desde la estación como desde el punto de acceso, renovándose varias veces durante la sesión para asegurar el proceso de pacto de una nueva clave, denominada Pairwise Transient Key (PTK). Ésta se compone a su vez de tres subclaves: una para firmar los cuatro mensajes que intervendrán en el proceso, otra para asegurar los paquetes de datos transmitidos entre los dos dispositivos implicados y una tercera para encriptar la llamada “clave de grupo”, que será enviada desde el punto de acceso a la estación y que permitirá a aquél difundir tráfico multicast a todos los clientes asociados a él, sin tener que enviar a cada uno de ellos un mismo paquete encriptado de forma diferente.

A lo largo del proceso, el equipo de cómputo y punto de acceso negocian también el tipo de encriptación que utilizarán para cada conexión. De esta negociación resultarán dos cifras. Una de ellas es la clave de grupo ya mencionada; la otra, denominada cifra o clave pairwise (reconocimiento de pareja), se utilizará para las transmisiones de datos en modo unicast que sólo afectan al punto de acceso.

WPA2.

Es la segunda generación de WPA y proporciona un mecanismo de cifrado más fuerte a través del estándar de cifrado avanzado AES ya que eleva la seguridad inalámbrica mediante la utilización de nuevos algoritmos de encriptación y técnicas derivadas de claves.

WPA2 está basada en el nuevo estándar 802.11i. WPA, por ser una versión previa, que se podría considerar de migración, no incluye todas las características del IEEE 802.11i, mientras que WPA2 se puede inferir que es la versión certificada del estándar 802.11i.

La alianza Wi-Fi llama a la versión de clave pre-compartida WPA-Personal y WPA2- Personal y a la versión con autenticación 802.1x/EAP como WPA-Enterprise y WPA2- Enterprise.

Capítulo IV.- Servicios de seguridad de Windows 2003 Server.

En este capítulo se analizarán los principales aspectos de la seguridad en el sistema operativo Windows 2003 Server. Así mismo, se darán a conocer los principales elementos y aspectos de seguridad tales como políticas de grupo, comunicaciones seguras con VPN, etc., para controlar amenazas.

Actualmente Windows 2003 Server ofrece una seguridad de red mejorada con soporte para protocolos normalizados 802.1x, una infraestructura de clave pública integrada (PKI, Public Key Integrated), acceso mediante passwords o basado en certificados, entre otros servicios. Todo esto da lugar a un entorno más seguro para las empresas.

Los aspectos de seguridad dependerán de las funciones que desempeñe un servidor, como son:

 Controlador de dominio que también proporcionan Servicios de Nombres de Dominio (DNS, Domain Name Server).

 Servidor de infraestructura que ofrecen servicios de DHCP.

 Servidor de archivos.

 Servidor de impresión.

 Servidor web que ejecutan los Servicios del Servidor de Información de Internet (IIS, Internet Information Server) de Microsoft.

 Servidor de Autenticación de Internet (IAS, Internet Authentication Service).

 Servidor de Servicios de Certificados (CS, Certificate Server).

 Host de baluarte.

4.1 Asistente para configuración de seguridad (SCW, Security Configuration Wizard) en Windows 2003 Server.

Para implementar la configuración de seguridad, Windows 2003 Server proporciona el SCW, que permite configurar de forma rápida y fácil los servidores basados en

Microsoft, de acuerdo con sus requerimientos funcionales y simultáneamente configura las políticas de seguridad para minimizar la vulnerabilidad ante ataques.

SCW es una colección de herramientas que se combina con una base de datos de reglas de lenguaje de marcas extensible (XML, Extensible Markup Language). Su objetivo es ayudar a los administradores a determinar de una forma rápida y precisa la funcionalidad mínima necesaria para las funciones de servidores específicos. Con SCW, los administradores pueden escribir, probar, solucionar problemas e implementar directivas de seguridad que deshabiliten toda la funcionalidad secundaria. También proporciona la capacidad de revertir directivas de seguridad y ayuda a realizar las siguientes tareas:

 Determinar qué servicios deben estar activos, cuales deben ejecutarse y qué servicios se pueden deshabilitar.

 Administrar el filtrado de puertos de red en combinación con el Firewall de Windows.

 Controlar qué extensiones web de IIS se permiten para los servidores web.

 Reducir la exposición de protocolos.

 Crear útiles directivas de auditoria que capturen los eventos de interés.

4.2 Directivas de dominio y controlador de dominio.

Las configuraciones de seguridad que se analizan en este capítulo están relacionadas con los tres entornos siguientes:

 Cliente Heredado (LC, Legacy Client). Proporciona una seguridad adecuada, es el menos seguro de los tres que aquí se definen. Para contar con una mayor seguridad, las organizaciones pueden decidir migrar al entorno Cliente de Empresa, que es más seguro.

 Cliente de Empresa (EC, Enterprise Client). Ofrece una seguridad sólida y está diseñado para las versiones más recientes del sistema operativo Windows.

 Seguridad Especializada: Funcionalidad Limitada (SSLF, Specialized Security: Limited Functionality). Provee una seguridad más sólida que el entorno EC. La migración del entorno EC al entorno SSLF requiere el cumplimiento de estrictas directivas de seguridad en los equipos cliente y en los servidores. En este entorno, la preocupación por la seguridad es tan importante

que se considera aceptable una pérdida significativa de funcionalidad y de capacidad de administración de los clientes a cambio de lograr el máximo nivel de seguridad.

La siguiente figura muestra los tres entornos de seguridad y los clientes compatibles en cada uno de ellos.

Figura 4.1 Entornos de seguridad y clientes compatibles.

Directiva de dominio.

Los objetos de la directiva de grupo (GPO, Group Policiy Object) son una parte importante de la solución de administración de cualquier organización, ya que permiten a los administradores realizar simultáneamente los siguientes cambios de seguridad en todos los equipos del dominio o subconjuntos del dominio:

 Modificación de permisos en el sistema de archivos y en los objetos del registro.

 Cambio de la configuración del registro.

 Cambio en las asignaciones de los derechos de usuario.

 Configuración de los servicios del sistema.

 Configuración de los registros de eventos y auditoria.

 Configuración de las directivas de cuentas y contraseñas.

Se recomienda crear una nueva directiva de grupo en la raíz del dominio para que las directivas se apliquen a todo el dominio.

Directivas de cuentas.

Incluyen la configuración de seguridad de la directiva de contraseñas, la directiva de bloqueo de cuentas y la directiva de Kerberos.

Directivas de contraseñas.

Proporciona una manera de establecer complejidad y cambiar programaciones en los entornos con una elevada seguridad.

Directiva de bloqueo de cuentas.

Permite realizar un seguimiento de los intentos de inicio de sesión con contraseña incorrectos, con el fin de bloquear el acceso si es necesario.

Directivas de autenticación Kerberos.

Se utilizan para cuentas de usuario de dominio y se recomienda no realizar ningún cambio en las directivas Kerberos predeterminadas.

Directiva de línea de base de servidores miembro (MSBP, Member Server Base Policy)

Para aplicar esta configuración, se puede crear un objeto GPO que esté vinculado a la UO de servidor miembro, a la que se le conoce como una directiva de línea de base. El GPO automatizará la configuración de los valores de seguridad específicos en cada servidor. Deberá mover las cuentas de servidor a las UO secundarias correspondientes según la función de cada servidor.

Figura 4.2 Plantilla de seguridad de directiva de línea base.

Directiva de auditoría.

Los administradores deben crear una directiva de auditoría que registren las actividades de los usuarios o equipos en las categorías especificadas. Pueden controlar la actividad relacionada con la seguridad, si no existe ninguna directiva de auditoría, será complicado o imposible determinar lo que sucedió durante un incidente de seguridad.

A menudo, los registros de errores son mucho más informativos que los registros de aciertos, ya que los errores suelen indicar problemas, por ejemplo detectar intentos de acceso al equipo con las credenciales de otro usuario.

Los aspectos más importantes de las opciones de auditoría que se pueden configurar en el servidor de Windows 2003 Server son:

 Auditar la administración de cuentas. Las organizaciones deben ser capaces de determinar quién crea, modifica o elimina tanto las cuentas locales como las de dominio. Los registros pueden ser útiles para determinar las cuentas que un atacante ha modificado y creado.

 Auditar el cambio de directivas. La configuración recomendada, permite ver los privilegios de cuenta que un atacante intente elevar.

 Auditar el uso de privilegios. El uso erróneo de un derecho de usuario puede señalar un intento de infracción de seguridad.

Directiva de línea de base de controladores de dominio.

Cualquier problema en la seguridad de un controlador de dominio podría afectar a los equipos cliente, servidores y aplicaciones que dependan de controladores de dominio para la autenticación, de la directiva de grupo y del AD.

Grupos restringidos.

Esta configuración permite administrar la pertenencia a los grupos mediante la directiva de grupo de AD. Se deben analizar las necesidades de la organización para determinar que grupos de usuarios se desea restringir.

Uso de Llave de Sistema (Syskey, System Key).

Proporciona una línea de defensa adicional frente al software de averiguación de contraseñas sin conexión. Syskey utiliza técnicas de cifrado para garantizar la seguridad de la información de contraseñas de cuentas almacenada en Administrador de Cuentas de Seguridad (SAM, Security Account Manager) en el controlador de dominio.

Active Directory integrado con DNS.

Se recomienda el uso de AD integrado con DNS en los tres entornos anteriormente definidos, esta recomendación se basa en que la integración de la zona de AD hace que sea más sencillo garantizar la seguridad de la infraestructura DNS en un entorno que lo integre en comparación de un entorno que no lo utiliza.

Seguridad de las cuentas conocidas.

Para proteger las cuentas conocidas en servidores y dominios, se recomiendan las siguientes acciones:

 Cambiar el nombre de las cuentas de administrador e invitado y modificar sus contraseñas utilizando un valor largo y complejo en cada dominio y servidor.