Seguridad en redes inalámbricas

Texto completo

(1)SEGURIDAD EN REDES INALAMBRICAS DOMESTICAS. GABRIEL ANDRES SAAVEDRA RIOS. UNIVERSIDAD LIBRE DE COLOMBIA FACULTAD INGENIERIA DE SISTEMAS BOGOTÁ 2011.

(2) SEGURIDAD EN REDES INALAMBRICAS DOMESTICAS. GABRIEL ANDRES SAAVEDRA RIOS Cod. 66011101. Monografía presentada para optar por el titulo de Ingeniero de Sistemas. Revisado por: BEATRIZ ALEXANDRA ARBELAEZ HURTADO Ingeniera. UNIVERSIDAD LIBRE DE COLOMBIA FACULTAD INGENIERIA DE SISTEMAS BOGOTÁ 2011.

(3) Nota de aceptación. Jurado. Jurado. Bogotá, Febrero de 2011.

(4) CONTENIDO. Pág.. INTRODUCCION OBJETIVOS. 1. DESCRICION DEL PROBLEMA. 3. FORMULACION DEL PROBLEMA. 4. JUSTIFICACION. 5. ALCANCE. 6. RESULTADOS PROPUESTOS. 7 7. 1.. STANDAR DE LAN INALAMBRICA 1.1 IEEE 802.11. 8. 1.2 IEEE 802.11a. 8. 1.3 IEEE 802.11b. 9. 1.4 IEEE 802.11g. 9. 1.5 IEEE 802.11n. 10 10. 2.. EL PROBLEMA DE LA SEGURIDAD 2.1. WARCHALKING. 11. 2.2. WARDRIVING. 12 13. 3.. TOPOLOGIAS REDES WLAN 3.1 AD HOC. 14. 3.2 ESTRELLA. 14 15.

(5) 4.. 5.. PROTOCOLOS WLAN. 16. 4.1 WEP (Wireless Equivalent Privacy). 16. 4.2 WAP (Wi-Fi Protected Access, acceso protegido Wi-Fi). 25. MANUAL DE CREACION Y ADMINISTRACION DE UNA RED INALAMBRICA SEGURA CON UN ROUTER CISCO. 29. 5.1. DESCRIPCION DE LOS SISPOSITIVOS DE LA RED. 30. 5.1.1. ROUTER CISCO WRT546 V8. 31. 5.1.2. MODEM. 31. 5.2. PASOS PARA CONFIGURAR EL ROUTER. 31. 5.2.1. SETUP. 34. 5.2.2. STATUS. 36. 5.2.3. WIRELESS. 36. 5.2.3.1. BASIC WIRELESS SETTINGS. 36. 5.2.3.2. WIRELESS SECURITY. 38. 5.2.4. SEGURIDAD. 47. 5.2.5. RESTRICCION EN EL ACCESO. 49. 5.2.6. ADMINISTRACION. 50. RESULTADOS OBTENIDOS. 52. CONCLUSIONES. 53. BIBLIOGRAFIA. 58.

(6) LISTA DE FIGURAS. Pág.. Figura 1. Conexión de usuario no autorizado a una WLAN. 11. Figura 2. Simbología Warchalking. 13. Figura 3. Elementos básicos para una WLAN. 30. Figura 4. Componentes de Router y Modem. 30. Figura 5. Conexión Modem a Router. 32. Figura 6. Ventana para ingresar a la consola de configuración del Router. 33. Figura 7. Ventana Setup Router. 34. Figura 8. Ventana Status Router. 35. Figura 9. Ventana Wireless Router. 37. Figura 10. Ventana Wireless Security – Security Mode. 41. Figura 11. Ventana Wireless – WPA Algorithms. 43. Figura 12. Ventana Wireless – WPA Shared Key. 44. Figura 13. Ventana Wireless – Wireless MAC Filter. 45. Figura 14. Ventana Wireless – Configuración MAC Filter. 46. Figura 15. Ventana Wireless – MAC Address Filter List. 47. Figura 16. Ventana Wireless – Seguridad Firewall. 48. Figura 17. Ventana Security – VPN. 49. Figura 18. Ventana Access Restirctions. 50. Figura 19. Ventana administration. 51. 0.

(7) INTRODUCCION. La seguridad es un aspecto que cobra especial relevancia cuando hablamos de redes inalámbricas. Para tener acceso a una red cableada es imprescindible una conexión física al cable de la red. Sin embargo, en una red inalámbrica desplegada en un hogar un tercero podría acceder a la red sin ni siquiera estar ubicado dentro del hogar, bastaría con que estuviera en un lugar próximo donde le llegara la señal. Es más, en el caso de un ataque pasivo, donde sólo se escucha la información, ni siquiera se dejan huellas que posibiliten una identificación posterior.. El canal de las redes inalámbricas, al contrario que en las redes cableadas privadas, debe considerarse inseguro. Cualquiera podría estar escuchando la información transmitida. Y no sólo eso, sino que también se pueden inyectar nuevos paquetes o modificar los ya existentes (ataques activos). Las mismas precauciones que tenemos para enviar datos a través de Internet deben tenerse también para las redes inalámbricas.. Las redes inalámbricas de área local (WLAN) tienen un papel cada vez más importante en las comunicaciones del mundo de hoy. Debido a su facilidad de instalación y conexión, se han convertido en una excelente alternativa para ofrecer conectividad en lugares donde resulta inconveniente o imposible brindar servicio con una red cableada. La popularidad de estas redes ha crecido a tal punto que los fabricantes de computadores y motherboards están integrando dispositivos para acceso a WLAN en sus equipos.. 1.

(8) Una WLAN se puede conformar de dos maneras:. • En estrella. Esta configuración se logra instalando una estación central denominada punto de acceso (Access Point), a la cual acceden los equipos móviles. El punto de acceso actúa como regulador de tráfico entre los diferentes equipos móviles. Un punto de acceso tiene, por lo regular, un cubrimiento de 100 metros a la redonda, dependiendo del tipo de antena que se emplee, y del número y tipo de obstáculos que haya en la zona.. • Red ad hoc. En esta configuración, los equipos móviles se conectan unos con otros, sin necesidad de que exista un punto de acceso. El tipo de conformación más común es en estrella; se emplea por lo general cuando se desea ofrecer acceso inalámbrico a una red cableada ya existente.. 2.

(9) OBJETIVOS. GENERAL. •. Implementar la seguridad en redes LAN inalámbricas domésticas, para evitar el fraude y la captura inapropiada de los datos e información que viaje por el medio.. ESPECÍFICOS. •. Conocer los diferentes protocolos y estándares desarrollados para la implementación de una LAN inalámbrica doméstica.. •. Estudiar las diferentes topologías de redes LAN inalámbricas domésticas.. •. Implementar las diferentes políticas de seguridad en redes inalámbricas domésticas.. 3.

(10) DESCRIPCIÓN DEL PROBLEMA. Actualmente con la infraestructura del negocio en auge y crecimiento, ha surgido la necesidad de implementar redes LAN basadas en dispositivos inalámbricos para las operaciones diaria; sin embargo, las personas son cada vez más móviles y desean mantener el acceso a los recursos LAN desde otras ubicaciones además de sus escritorios.. Las personas desean llevar sus computadoras portátiles a cualquier lugar, lo cual no es conveniente depender de una conexión por cable.. Los beneficios que se toman de las redes inalámbricas son reducción de costos y agilidad en los procesos de captura de datos, pero aquí es donde encontramos un problema con respecto a estos sistema de comunicación, es la implementación de la seguridad en las redes inalámbricas, ya que están expuesta a que se vulnere sus protocolos de seguridad y puedan capturar información u obtener acceso a la red por personas no autorizadas.. 4.

(11) FORMULACIÓN DEL PROBLEMA. El problema es la falta de seguridad en las redes inalámbricas domésticas donde se garantice el derecho a acceder a datos y recursos del sistema configurando los mecanismos de autentificación y control que aseguren a los usuarios de estos recursos únicamente la posibilidad de acceder a los derechos que se les han otorgado.. Se encuentran muchas herramientas para ubicar redes inalámbricas que no posean ningún tipo de seguridad en sus dispositivos de acceso, generalmente estas redes son las de uso doméstico y la mas fáciles de vulnerar, este problema es muy típico encontrarlo en los edificios residenciales y es donde las personas que no pertenecen a estas redes pueden obtener cualquier tipo de beneficio al poder ingresar a estas redes inalámbricas domésticas donde no se cuenta con la seguridad necesaria para cifrar y encriptar los datos, debido a la fragilidad en la configuración del dispositivo de acceso.. 5.

(12) JUSTIFICACIÓN. Las redes de uso doméstico usualmente no se encuentran configurados todos los mecanismos de seguridad inalámbrica que existen en el mercado, es un punto crítico en la implementación de las redes inalámbricas ya que los usuarios de las redes están con la desconfianza de implementar las tecnologías de comunicaciones por la inseguridad que generan estos dispositivos, la justificación de esta monografía es dar a conocer los parámetros y tecnologías básicas para la configuración de un punto de acceso en una red doméstica, garantizando la confiabilidad, usabilidad y portabilidad de los dispositivos móviles de la red.. .. 6.

(13) ALCANCE. El fundamento de esta monografía es la implementación y estudio de diferentes técnicas y protocolos para la configuración de un punto de acceso inalámbrico para uso doméstico, ofreciendo la seguridad de toda la información que se transmita por este canal de comunicación llegue a su destino final y no pueda ser violentada por personas que solo buscan la oportunidad para estropear el libre y buen funcionamiento de la red de trabajo inalámbrica.. RESULTADOS PROPUESTOS. •. Entregar por medio de esta monografía los conocimientos básicos en la implementación de redes WLAN.. •. Dar a conocer los protocolos de seguridad en las redes WLAN.. •. Explicar la configuración de un router aplicando las políticas básicas de seguridad en la red WLAN.. 7.

(14) 1. STANDAR DE LAN INALAMBRICA. La arquitectura OSI en capas física y enlace de datos define el estándar Wi-Fi o IEEE 802.11, donde nos especifican los protocolos y funcionamiento de una WLAN en la rama 802.x en redes de área local.. Actualmente los dispositivos inalámbricos cuentan con el protocolo b y g, sin embargo se creo otro protocolo o estándar 802.11n que aumento a 600 Mbps, en la actualidad los dispositivos cumple un máximo de 300 Mbps (80 – 100 estables).. Los estándares 802.11b y 802.11g trabajan en bandas 2.4 GHz sufren interferencias de otras aparatos electrónicos entre los cuales están los microondas, teléfonos inalámbricos y equipos que utilicen esta misma banda.. |. 1.1. IEEE 802.11 IEEE 802.11 transmiten teóricamente de 1 a 2 megabits por segundo (Mbit/seg) utilizando el canal infrarrojo (IR) siendo este parte del estándar.. Este estándar define el protocolo CSMA/CA (Múltiple acceso por detección de portadora evitando colisiones) para el acceso. La velocidad de trasmisión se complementa con el cifrado para optimizar la claridad de la trasmisión en cualquier situación lo que produjo poca compatibilidad entre dispositivos de diferentes marcas.. 8.

(15) 1.2.. IEEE 802.11a. El estándar 802.11a utiliza protocolos de la base del estándar inicial, trabaja en la frecuencia de 5 GHz y velocidad de 54 Mbit/seg lo cual hace que estas redes inalámbricas utilicen velocidades de 20 Mbit/seg. La velocidad de transmisión de los datos varía entre 48 y 6 Mbit/seg, soportada 12 canales no solapados, 4 para redes ad hoc y 8 para WLAN, no es compatible con ningún otro estándar IEEE.. Una ventaja del estándar 802.11a es que utiliza la banda de 5 GHz la cual representa una ventaja que no causa interferencia con otro aparatos electrónicos y su desventaja es la poca cobertura de este canal lo que implica la instalación de mas dispositivos de punto de acceso para cubrir el 100%; el alcance de la red y los dispositivos deben estar en línea directa con el punto de acceso ya que el espectro de esta banda y sus ondas son de fácil absorción en el medio.. 1.3.. IEEE 802.11b. 802.11b utiliza el método CSMA/CA y funcionamiento en la banda 2.4 GHz, a una velocidad de trasmisión de 11 Mbit/seg, velocidad máxima de transmisión de 5.9 Mbit/seg sobre TCP y 7.1 Mbit/seg sobre UDP.. 802.11b utiliza CCK (Complementary Code Keying) y aumento del espectro basado en DSSS para utilizar velocidades de 5.5 a 11 Mbps, también admite PBCC (Packet Binary Convolutional Coding) opcionalmente. Este estándar mantiene la compatibilidad con dispositivos del estándar original 802.11 a velocidades de 1 y 2 Mbps.. 9.

(16) 1.4. IEEE 802.11g A partir del estándar 802.11b se crea el estándar 802.11g el cual utiliza la banda 2.4 GHz al igual que 802.11b, y utiliza una velocidad máxima de 54 Mbit/seg, teniendo un promedio en la transmisión de datos de 22 Mbit/seg de velocidad real de transferencia, muy parecido al estándar 802.11a.. 802.11g es compatible con 802.11b ya que utilizan las mismas frecuencias y significa que trabajaran los dos estándares simultáneamente con una desventaja en la reducción del 802.11b en la velocidad de transmisión. En la actualidad la masificación en las ventas de dispositivos inalámbricos 802.11g, crea y mejora la compatibilidad entre estos dos estándares para permitir un mayor consumo de estos dispositivos que hoy día alcancen hasta medio vatio, lo cual hace que tenga un alcance en redes de 50 km con antenas parabólicas.. 1.5. IEEE 802.11n IEEE mejora el estándar queriendo alcanzar una velocidad de transmisión de 600 Mbps, y tiene un aumento de hasta 10 veces que una WLAN que trabaje bajo los estándares 802.11a,. 802.11g y aproximadamente 40 veces más. rápida que una red bajo el estándar 802.11b.. Trabaja bajo la tecnología MIMO (Múltiple Input – Múltiple Output) la cual permite enviar y recibir datos de diferentes antenas, lo que diferencia este estándar a las otras versiones Wi-Fi es que 802.11n trabajan en las dos bandas 2.4 y 5 GHz lo que permite una perfecta compatibilidad con todos los estándares IEEE y tiene un mejor rendimiento ya que utilizan los dos canales para la transmisión lo que implica una mejor calidad en la velocidad de la trasmisión de los datos. 10.

(17) 2. EL PROBLEMA DE LA SEGURIDAD. Lo que hace tan popular a las redes inalámbricas WLAN es la facilidad de acceso sin cables, siendo a la vez el mayor problema de estas redes en cuanto a seguridad se refiere, si se encuentra algún equipo dentro de la cobertura de la red inalámbrica podría acceder a ella. Este es el caso de un edificio residencial donde en cada apartamento se tiene una red inalámbrica, un usuario podría con un equipo que tuviera un NIC inalámbrico encontrarse en un instante en el área de influencia de mas de dos redes diferentes al mismo tiempo y de esta manera este usuario podría vincularse a cualquier red que este disponible para su acceso, diferente de la red a la cual pertenece y tiene la autorización de conectarse. De otra manera igualmente las ondas de radio navegan por el espectro dentro y fuera del edificio, donde cualquier persona con un equipo adecuado podría acceder a esta red y conectarse de manera fraudulenta para provocar perjuicios y manipular la información que viaja en este medio.. Figura 1. Conexión de usuario no autorizado a una WLAN. 11.

(18) Lo preocupante de la situación expuesta es que los administradores de la red no se dan cuenta de los riesgos que implica la mala configuración de los dispositivos de acceso inalámbrico en las residencias. Actualmente se protege la conexión a la red de internet mediante la configuración adecuado de un firewall, pero esta configuración es totalmente vulnerable porque el punto de acceso sigue emitiendo señales inalámbricas por fuera del espacio del hogar, y la persona que detecte esta señal del punto de acceso podrá conectarse e incluso disfrutar de internet gratis, emplear el punto de acceso como punto de ataque para entrar a otras redes, lo cual implicaría que este usuario no autorizado estaría en plena capacidad de robar toda la información que necesitara e incluso introducir software maligno a esta red.. Esta mala configuración del punto de acceso es la oportunidad que busca un usuario no autorizado para vulnerar la red inalámbrica y violar plenamente todo el protocolo de seguridad informático del hogar.. La mala configuración de un punto de acceso es una cosa muy común, ya que no se configura el cifrado WEP, el direccionamiento IP, autenticación Mac y en otras ocasiones se dejan las configuración que viene por defecto de fábrica.. Actualmente existen métodos para localizar redes inalámbricas entre las cuales se describen los dos más importantes:. 2.1 WARCHALKING Este mecanismo funciona de una manera muy fácil, consiste en ubicarse en un sitio donde se quiera vulnerar una red y por medio de un dispositivo portátil que este dotado de un NIC inalámbrico se busca la señal del punto de acceso, si se encuentra un punto de acceso se dibuja un símbolo en la acera o en un. 12.

(19) poste y si tiene algún tipo de seguridad o no, así otras personas pueden conocer la ubicación de esta red y acceder a ella.. Figura 2. Simbología Warchalking. 2.2 WARDRIVING Este método funciona localizando los puntos de acceso con un dispositivo portátil dotado de un NIC inalámbrico, haciendo recorridos dentro de un automóvil, se utiliza un software para detectar la señal de redes alrededores y. 13.

(20) una antena para ampliar la señal de cobertura del NIC inalámbrico del portátil y un mapa para señalar los puntos de acceso a las redes de la ciudad.. Después de localizar un área se puede llevar dos tipos diferentes de ataques:. * Configurar un punto de acceso dirigiendo la señal a la antena del atacante, de esta forma los usuarios autorizados de la red inalámbrica que esta siendo vulnerada si conectaran al punto de acceso del pirata informático. De esta forma el atacante tiene toda la libertad de robar la información y perjudicar la misma sin ser detectado, porque los usuarios legítimos de la red creen estar conectados a su red segura.. * Hacer uso ilegítimo de los recursos propios de la red.. 3. TOPOLOGIAS REDES WLAN. 3.1. AD HOC También conocidas como MANET “Mobile ad hoc networks”. AD HOC viene del latín y se refiere a algo improvisado, mientras que en comunicaciones el propósito de ad hoc es proporcionar flexibilidad y autonomía aprovechando los principios de auto-organización. Una red móvil ad hoc es una red formada sin ninguna administración central o no hay un nodo central, sino que consta de nodos móviles que usan una interface inalámbrica para enviar paquetes de datos. Los ordenadores están en igualdad de condiciones. La conexión es establecida por la duración de una sección. Los artefactos descubren otros artefactos cercanos o en rango para formar el “network”. Los artefactos pueden buscar nodos que están fuera del área de alcance conectándose con otros artefactos que estén conectados a la red y 14.

(21) estén a su alcance. Las conexiones son posibles por múltiples nodos. Las redes ad hoc presentan cambios de topología.. Una red Ad hoc consiste en un grupo de ordenadores que se comunican cada uno directamente con los otros a través de las señales de radio si usar un punto de acceso. Las configuraciones Ad hoc, son comunicaciones de tipo punto a punto. Solamente los ordenadores dentro de un rango de transmisión definido pueden comunicarse entre ellos. La tecnología es utilizada en varios campos como en el ejercito, celulares y juegos de videos. En fin, en la tecnología Ad hoc, cada terminal de comunicación se comunica con sus compañeros para hacer una red ¨peer to peer¨. Cuando se estaba desarrollando IEEE 802.11 un estándar para redes de área local inalámbrica (wireless local area network WLAN) el Instituto de Ingeniería Eléctrica y Electrónica (Institute for Electrical and Electronic Engineering IEEE) sustituyo el termino red de paquetes de radio por el de red ad hoc. Asociadas con las redes saltos múltiples de las operaciones militares o de rescate a gran escala y mediante la adopción de un nuevo nombre.. 3.2. ESTRELLA Una red en estrella es una red en la cual las estaciones están conectadas directamente a un punto central y todas las comunicaciones se han de hacer necesariamente a través de éste. Los dispositivos no están directamente conectados entre sí, además de que no se permite tanto tráfico de información. Dado su transmisión, una red en estrella activa tiene un nodo central activo que normalmente tiene los medios para prevenir problemas relacionados con el eco.. 15.

(22) Se utiliza sobre todo para redes locales. La mayoría de las redes de área local que tienen un enrutador (router), un conmutador (switch) o un concentrador (hub) siguen esta topología. El nodo central en estas sería el enrutador, el conmutador o el concentrador, por el que pasan todos los paquetes.. 4. PROTOCOLOS WLAN. 4.1. WEP (Wireless Equivalent Privacy) IEEE publicó un mecanismo opcional de seguridad, denominado WEP, en la norma de redes inalámbricas 802.11. Pero WEP, desplegado en numerosas redes WLAN, ha sido roto de distintas formas, lo que lo ha convertido en una protección inservible. Para solucionar sus deficiencias, el IEEE comenzó el desarrollo de una nueva norma de seguridad, conocida como 802.11i, que permitiera dotar de suficiente seguridad a las redes WLAN. No ajena a las necesidades de los usuarios, la asociación de empresas Wi-Fi decidió lanzar un mecanismo de seguridad intermedio de transición hasta que estuviese disponible 802.11i, tomando aquellos aspectos que estaban suficientemente avanzados del desarrollo de la norma. WEP (Wired Equivalent Privacy, Privacidad Equivalente al Cable) es el algoritmo opcional de seguridad para brindar protección a las redes inalámbricas, incluido en la primera versión del estándar IEEE 802.11, mantenido sin cambios en las nuevas 802,11a y 802.11b, con el fin de garantizar compatibilidad entre distintos fabricantes. El WEP es un sistema de encriptación estándar implementado en la MAC y soportado por la mayoría de las soluciones inalámbricas.. 16.

(23) El estándar IEEE 802.11 proporciona mecanismos de seguridad mediante procesos de autenticación y cifrado. En el modo de red Ad Hoc o conjunto de servicios avanzados, la autenticación puede realizarse mediante un sistema abierto o mediante clave compartida. Una estación de red que reciba una solicitud puede conceder la autorización a cualquier estación, o sólo a aquellas que estén incluidas en una lista predefinida. En un sistema de clave compartida, sólo aquellas estaciones que posean una llave cifrada serán autenticadas. El estándar 802.11 especifica una capacidad opcional de cifrado denominada WEP (Wireless Equivalent Privacy); su intención es la de establecer un nivel de seguridad similar al de las redes cableadas. WEP emplea el algoritmo RC4 de RSA Data Security, y es utilizado para cifrar las transmisiones realizadas a través del aire. Aunque los sistemas WLAN pueden resistir las escuchas ilegales pasivas, la única forma efectiva de prevenir que alguien pueda comprometer los datos transmitidos consiste en utilizar mecanismos de cifrado. El propósito de WEP es garantizar que los sistemas WLAN dispongan de un nivel de confidencialidad equivalente al de las redes LAN cableadas, mediante el cifrado de los datos que son transportados por las señales de radio. Un propósito secundario de WEP es el de evitar que usuarios no autorizados puedan acceder a las redes WLAN (es decir, proporcionar autenticación). Este propósito secundario no está enunciado de manera explícita en el estándar 802.11, pero se considera una importante característica del algoritmo WEP. WEP es un elemento crítico para garantizar la confidencialidad e integridad de los datos en los sistemas WLAN basados en el estándar 802.11, así como para proporcionar control de acceso mediante mecanismos de autenticación. Consecuentemente, la mayor parte de los productos WLAN compatibles con 802.11 soportan WEP como característica estándar opcional. 17.

(24) Cifrado: WEP utiliza una clave secreta compartida entre una estación inalámbrica y un punto de acceso. Todos los datos enviados y recibidos entre la estación y el punto de acceso pueden ser cifrados utilizando esta clave compartida. El estándar 802.11 no especifica cómo se establece la clave secreta, pero permite que haya una tabla que asocie una clave exclusiva con cada estación. En la práctica general, sin embargo, una misma clave es compartida entre todas las estaciones y puntos de acceso de un sistema dado. Para proteger el texto cifrado frente a modificaciones no autorizadas mientras está en tránsito, WEP aplica un algoritmo de comprobación de integridad (CRC-32) al texto en claro, lo que genera un valor de comprobación de integridad (ICV). Dicho valor de comprobación de integridad se concatena con el texto. El valor de comprobación de integridad es, de hecho, una especie de huella digital del texto. El valor ICV se añade al texto cifrado y se envía al receptor junto con el vector de inicialización. El receptor combina el texto cifrado con el flujo de clave para recuperar el texto. Al aplicar el algoritmo de integridad al texto y comparar la salida con el vector ICV recibido, se puede verificar que el proceso de descifrado ha sido correcto ó que los datos han sido corrompidos. Si los dos valores de ICV son idénticos, el mensaje será autenticado; en otras palabras, las huellas digitales coinciden.. Autenticación: WEP proporciona dos tipos de autenticación: un sistema abierto, en el que todos los usuarios tienen permiso para acceder a la WLAN, y una autenticación mediante clave compartida, que controla el acceso a la WLAN y evita accesos no autorizados a la red. De los dos niveles, la autenticación mediante clave compartida es el modo seguro. En él se utiliza una clave. 18.

(25) secreta compartida entre todas las estaciones y puntos de acceso del sistema WLAN. Cuando una estación trata de conectarse con un punto de acceso, éste replica con un texto aleatorio, que constituye el desafío (challenge). La estación debe utilizar la copia de su clave secreta compartida para cifrar el texto de desafío y devolverlo al punto de acceso, con el fin de autenticarse. El punto de acceso descifra la respuesta utilizando la misma clave compartida y compara con el texto de desafío enviado anteriormente. Si los dos textos son idénticos, el punto de acceso envía un mensaje de confirmación a la estación y la acepta dentro de la red. Si la estación no dispone de una clave, o si envía una respuesta incorrecta, el punto de acceso la rechaza, evitando que la estación acceda a la red. La autenticación mediante clave compartida funciona sólo si está habilitado el cifrado WEP. Si no está habilitado, el sistema revertirá de manera predeterminada al modo de sistema abierto (inseguro), permitiendo en la práctica que cualquier estación que esté situada dentro del rango de cobertura de un punto de acceso pueda conectarse a la red. Esto crea una ventana para que un intruso penetre en el sistema, después de lo cual podrá enviar, recibir, alterar o falsificar mensajes. Es bueno asegurarse de que WEP está habilitado siempre que se requiera un mecanismo de autenticación seguro. Incluso, aunque esté habilitada la autenticación mediante clave compartida, todas las estaciones inalámbricas de un sistema WLAN pueden tener la misma clave compartida, dependiendo de cómo se haya instalado el sistema. En tales redes, no es posible realizar una autenticación individualizada; todos los usuarios, incluyendo los no autorizados, que dispongan de la clave compartida podrán acceder a la red. Esta debilidad puede tener como resultado accesos no autorizados, especialmente si el sistema incluye un gran número de usuarios. Cuantos más usuarios haya, mayor será la probabilidad de que la clave compartida pueda caer en manos inadecuadas.. 19.

(26) Características: Según el estándar, WEP debe proporcionar confidencialidad, autentificación y control de acceso en redes WLAN. WEP utiliza una misma clave simétrica y estática en las estaciones y el punto de acceso. El estándar no contempla ningún mecanismo de distribución automática de claves, lo que obliga a escribir la clave manualmente en cada uno de los elementos de red. Esto genera varios inconvenientes. Por un lado, la clave está almacenada en todas las estaciones, aumentando las posibilidades de que sea comprometida. Y por otro, la distribución manual de claves provoca un aumento de mantenimiento por parte del administrador de la red, lo que conlleva, en la mayoría de ocasiones, que la clave se cambie poco o nunca.. Algoritmos: El algoritmo de encriptación utilizado es RC4 con claves (seed), según el estándar, de 64 bits. Estos 64 bits están formados por 24 bits correspondientes al vector de inicialización más 40 bits de la clave secreta. Los 40 bits son los que se deben distribuir manualmente. El vector de inicialización (IV), en cambio, es generado dinámicamente y debería ser diferente para cada trama. El objetivo perseguido con el IV es cifrar con claves diferentes para impedir que un posible atacante pueda capturar suficiente tráfico cifrado con la misma clave y terminar finalmente deduciendo la clave. Como es lógico, ambos extremos deben conocer tanto la clave secreta como el IV. Lo primero sabemos ya que es conocido puesto que está almacenado en la configuración de cada elemento de red. El IV, en cambio, se genera en un extremo y se envía en la propia trama al otro extremo, por lo que también será conocido. Observemos que al viajar el IV en cada trama es sencillo de interceptar por un posible atacante.. 20.

(27) Fallas de seguridad: Debilidad del vector de inicialización La implementación del vector de inicialización (IV) en el algoritmo WEP tiene varios problemas de seguridad. Recordemos que el IV es la parte que varía de la clave (seed) para impedir que un posible atacante recopile suficiente información cifrada con una misma clave. Sin embargo, el estándar 802.11 no especifica cómo manejar el IV; se indica que debería cambiarse en cada trama para mejorar la privacidad, pero no obliga a ello. Queda abierta a los fabricantes la cuestión de cómo variar el IV en sus productos. La consecuencia de esto es que buena parte de las implementaciones optan por una solución sencilla: cada vez que arranca la tarjeta de red, se fija el IV a 0 y se incrementa en 1 para cada trama. Esto ocasiona que las primeras combinaciones de IVs y clave secreta se repitan muy frecuentemente. Más aún, si tenemos en cuenta que cada estación utiliza la misma clave secreta, por lo que las tramas con igual clave se multiplican en el medio. Por otro lado, el número de IVs diferentes no es demasiado elevado (224=16 millones aprox.), por lo que terminarán repitiéndose en cuestión de minutos u horas. El tiempo será menor cuanto mayor sea la carga de la red. Lo ideal sería que el IV no se repitiese nunca, pero como vemos, esto es imposible en WEP. La cantidad de veces que se repite un mismo IV dependerá de la implementación elegida para variar el IV por el fabricante (secuencial, aleatoria, etc.) y de la carga de la red. La longitud de 24 bits para el IV forma parte del estándar y no puede cambiarse; existen implementaciones con claves de 128 bits (lo que se conoce como WEP2), sin embargo, en realidad lo único que se aumenta es la clave secreta (104 bits) pero el IV se conserva con 24 bits. El aumento de la longitud de la clave secreta no soluciona la debilidad del IV.. 21.

(28) Si se han capturado varias tramas con igual IV, es decir, con igual keystream, solo se necesita conocer el mensaje sin cifrar de una de ellas, haciendo el XOR entre un mensaje sin cifrar y el mismo cifrado, nos dará el keystream para ese IV. Conociendo el keystream asociado a un IV, se puede descifrar todas las tramas que usen el mismo IV. El problema es entonces conocer un mensaje sin cifrar, aunque esto no es tan complicado, porque existen tráficos predecibles o bien, se pueden provocar (mensajes ICMP de solicitud y respuesta de eco, confirmaciones de TCP, etc.).. Características sistemas Wireless: • Es un sistema sin hilos y, por lo tanto, con una antena adecuada se puede interceptar todas las transmisiones de la celda (zona de un access point). • Se emite de forma onmidirección por eso no se necesita afinar para capturar tráfico. • Las estaciones utilizan franjas temporales asignadas por el AccessPoint para comunicarse, pero las antenas y tarjeta spermiten escuchar en toda la banda.. Métodos de sniffing: • La antena es preferible que sea de Wireless LAN, pero pruebas con sistemas metálicos sencillos también han permitido sniffar a distancias cortas. • Hay tarjetas y drivers preparados para monotorizar la red, son de alto coste.. 22.

(29) • Con tarjetas de bajo coste sobre Linux se puede modificar para captar todo el tráfico. • Un problema de algunas tarjetas de bajo coste es que deben pedir franja temporal y darse de alta en el AP y podrían ser detectadas. Se soluciona modificando Drivers.. Identificación de estaciones: Se identifican por la clave compartida con el AP. WEP no utiliza estados anteriores, esto permite reemplazar estaciones o realizar ataques de DOS. También es posible realizar ataques de repetición, volviendo a enviar paquetes capturados, que serán descifrados correctamente, si se descubre la clave, la estación intrusa tiene acceso a la LAN como si estuviera pinchando en las claves.. Ataques pasivos: Un ataque pasivo, es aquel donde se identifican secuencias pseudoaleatorias iguales. Ocurre por la debilidad de los algoritmos de streaming y del RC4. Fue descubierto por Fluher, Mantin y Shamir en agosto del 2001. Puede servir para realizar activos ya que con é se obtiene la clave.. Ataques activos: Entre los ataques activos se encuentra: • Repetición de paquetes. Aprovechando que WEP no utiliza estados anteriores ni guarda estado.. 23.

(30) • Inyección o permutación de bits: Utilizando el sistema de integridad débil. • Inyección de paquetes encriptados: Si se conoce un texto y su encriptación, se puede encriptar un paquete sin conocer la clave. • Por 2 extremos: Utilizando una máquina desde Internet se puede generar tráfico que luego sea cifrado por el AP hacia las estaciones wireless.. Vulnerabilidad RC4: Fluhrer, Mantin y Shamir descubrieron en agosto del 2001 una debilidad del RC4. Se utiliza únicamente el primer byte generado por la secuencia pseudoaleatoria con el objetivo de obtener la clave de encriptación. También en agosto del 2001, Stubblefield, Ioannidis y Rubin implementaron un sistema práctico y barato para conseguir la clave con la vulnerabilidad del RC4. Consiguieron la clave en 2 tipos de experimentos con: • Entre 5 y 6 millones de paquetes utilizando sólo la vulnerabilidad. • Sobre 1 millón de paquetes combinando esta técnica con otras. Alternativas a WEP: Las vulnerabilidades explicadas de WEP son motivos más que suficientes para utilizar otros mecanismos de seguridad en redes WLAN. Aunque no forma parte del estándar, los fabricantes de productos Wi-Fi decidieron ofrecer la posibilidad de utilizar claves del doble de longitud (de 64 bits a 128 bits). WEP utilizado con claves de 128 bits es lo que se conoce generalmente como WEP2. Sin embargo, debemos observar que la longitud del vector de inicialización sigue siendo de 24 bits (las tramas IEEE 802.11 no contemplan. 24.

(31) un mayor número de bits para enviar el IV), por lo que lo único que se ha aumentado es la clave secreta (de 40 bits a 104 bits). Debido a que la longitud del IV y su forma de utilizarlo no varían, las debilidades del IV pueden seguir siendo aprovechadas de la misma manera. WEP2 no resuelve los problemas de WEP. Otra variante de WEP utilizada en algunas implementaciones es WEP dinámico. En este caso se busca incorporar mecanismos de distribución automática. de. claves. y. de. autentificación. de. usuarios. mediante. 802.1x/EAP/RADIUS. Requiere un servidor de autentificación (RADIUS normalmente) funcionando en la red. En el caso de que la misma clave (clave secreta + WEP) no se utilice en más de una trama, este mecanismo sería suficiente para compensar las principales debilidades de WEP.. 4.2. WPA (Wi-Fi Protected Access, acceso protegido Wi-Fi) WPA (Wi-Fi Protected Access, acceso protegido Wi-Fi) es la respuesta de la asociación de empresas Wi-Fi a la seguridad que demandan los usuarios y que WEP no puede proporcionar. WPA soluciona todas las debilidades conocidas de WEP y se considera suficientemente seguro. Puede ocurrir incluso que usuarios que utilizan WPA no vean necesidad de cambiar a IEEE 802.11i cuando esté disponible.. Características de WPA Las principales características de WPA son la distribución dinámica de claves, utilización más robusta del vector de inicialización (mejora de la confidencialidad) y nuevas técnicas de integridad y autentificación. WPA incluye las siguientes tecnologías:. 25.

(32) •. IEEE 802.1X. Estándar del IEEE de 2001 para proporcionar un control de acceso en redes basadas en puertos. El concepto de puerto, en un principio pensado para las ramas de un switch, también se puede aplicar a las distintas conexiones de un punto de acceso con las estaciones. Las estaciones tratarán entonces de conectarse a un puerto del punto de acceso. El punto de acceso mantendrá el puerto bloqueado hasta que el usuario se autentifique. Con este fin se utiliza el protocolo EAP y un servidor AAA (Authentication Authorization Accounting) como puede ser RADIUS (Remote Authentication DialIn User Service) Si la autorización es positiva, entonces el punto de acceso abre el puerto. El servidor RADIUS puede contener políticas para ese usuario concreto que podría aplicar el punto de acceso (como priorizar ciertos tráficos o descartar otros).. •. EAP. definido en la RFC 2284, es el protocolo de autentificación extensible para llevar a cabo las tareas de autentificación, autorización y contabilidad. EAP fue diseñado originalmente para el protocolo PPP (Point-to-Point Protocol, aunque WPA lo utiliza entre la estación y el servidor RADIUS. Esta forma de encapsulación de EAP está definida en el estándar 802.1X bajo el nombre de EAPOL (EAP over LAN).. •. TKIP (Temporal Key Integrity Protocol). Según indica Wi-Fi, es el protocolo encargado de la generación de la clave para cada trama.. •. MIC (Message Integrity Code) o Michael. Código que verifica la integridad de los datos de las tramas.. 26.

(33) Mejoras de WPA respecto a WEP WPA soluciona la debilidad del vector de inicialización (IV) de WEP mediante la inclusión de vectores del doble de longitud (48 bits) y especificando reglas de secuencia que los fabricantes deben implementar. Los 48 bits permiten generar 2 elevado a 48 combinaciones de claves diferentes, lo cual parece un número suficientemente elevado como para tener duplicados. El algoritmo utilizado por WPA sigue siendo RC4. La secuencia de los IV, conocida por ambos extremos de la comunicación, se puede utilizar para evitar ataques de repetición de tramas (replay). Para la integridad de los mensajes (ICV), se ha eliminado el CRC-32 que se demostró inservible en WEP y se ha incluido un nuevo código denominado MIC. Las claves ahora son generadas dinámicamente y distribuidas de forma automática por lo que se evita tener que modificarlas manualmente en cada uno de los elementos de red cada cierto tiempo, como ocurría en WEP. Para la autentificación, se sustituye el mecanismo de autentificación de secreto compartido de WEP así como la posibilidad de verificar las direcciones MAC de las estaciones por la terna 802.1X / EAP / RADIUS. Su inconveniente es que requiere de una mayor infraestructura: un servidor RADIUS funcionando en la red, aunque también podría utilizarse un punto de acceso con esta funcionalidad.. Modos de funcionamiento de WPA WPA puede funcionar en dos modos: •. Con servidor AAA, RADIUS normalmente. Este es el modo indicado para las empresas. Requiere un servidor configurado para desempeñar las tareas de autentificación, autorización y contabilidad. 27.

(34) •. Con clave inicial compartida (PSK). Este modo está orientado para usuarios domésticos o pequeñas redes. No requiere un servidor AAA, sino que se utiliza una clave compartida en las estaciones y punto de acceso. Al contrario que en WEP, esta clave sólo se utiliza como punto de inicio para la autentificación, pero no para el cifrado de los datos.. WPA2 (IEEE 802.11i) WPA2 incluye el nuevo algoritmo de cifrado AES (Advanced Encryption Standard), desarrollado por el NIS. Se trata de un algoritmo de cifrado de bloque (RC4 es de flujo) con claves de 128 bits. Requerirá un hardware potente para realizar sus algoritmos. Este aspecto es importante puesto que significa que dispositivos antiguos sin suficientes capacidades de proceso no podrán incorporar WPA2. Para el aseguramiento de la integridad y autenticidad de los mensajes, WPA2 utiliza CCMP (Counter-Mode / Cipher Block Chaining / Message Authentication Code Protocol) en lugar de los códigos MIC. Otra mejora respecto a WPA es que WPA2 incluirá soporte no sólo para el modo BSS sino también para el modo IBSS (redes ad-hoc). 28.

(35) 5. MANUAL DE CREACIÓN Y ADMINISTRACIÓN DE UNA RED INALÁMBRICA SEGURA CON UN ROUTER CISCO. Para estar seguros que nuestra red inalámbrica es totalmente segura, seguiremos los siguientes requisitos que describiré en este manual.. Cifrar los datos cuando viajen por el medio, para que personas no autorizadas no los puedan capturar mediante escucha pasiva.. * Configurar la onda de radio y la potencia de transmisión del Router Cisco.. * Crear un mecanismo de autenticación de doble vía, que certifique que al momento de conectarse el usuario al Router Cisco este verifique la información del usuario, e igualmente verificar que el usuario se esté conectando a la red que pertenece y esta autorizado.. En la actualidad existen varios parámetros para configurar una red inalámbrica, en cada uno se explicaran las ventajas y desventajas del mismo, pero al acoplar los diferentes métodos se podrá disponer de una red inalámbrica segura.. Elementos básicos para configurar nuestra red inalámbrica con acceso a internet.. * Router Cisco WRT546 V8 * Dos cables UTP directos * Modem del proveedor de servicio de internet. 29.

(36) Figura 3. Elementos básicos para una WLAN. 5.1. DESCRIPCIÓN DE LOS DISPOSITIVOS DE LA RED. Figura 4. Componentes de Router y Modem. 30.

(37) 5.1.1. ROUTER CISCO WRT546 V8 1. Reset. Es una opción que nos da el Router para que en caso de configurar el Router de una manera inadecuada nos vuelva la configuración de fábrica (default). 2. Puerto Internet. Puerto de conexión de cable UTP directo con conector RJ45, aquí se conecta el cable que viene del Modem del puerto de internet. 3. Puertos LAN. El Router cuenta con 4 puertos para crear una red mixta, lo que quiere decir que el dispositivo nos da la oportunidad de red LAN y/o WLAN. 4. Fuente de Poder. Conexión a la red eléctrica del hogar.. 5.1.2. MODEM 1. Puerto Internet. Puerto conector RJ45 que por medio de un cable UTP directo se conecta al puerto de internet en el Router. 2. Puerto USB. Conexión USB al Modem, usualmente no se utiliza esta conexión ya que el estándar es el cable UTP. 3. Conexión Internet Proveedor de Servicios. Conexión del cable coaxial el cual nos proporciona el proveedor de servicios de internet. 4. Fuente de Poder. Conexión a la red eléctrica del hogar. 5.2 PASOS PARA CONFIGURAR EL ROUTER. Conectamos al puerto de la tarjeta de red del computador un cable UTP directo a cualquier puerto LAN del Router Cisco.. 31.

(38) Interconectar con un cable UTP directo el puerto de internet del Modem al puerto de internet del Router Cisco.. Figura 5. Conexión Modem a Router. Abrimos una ventana en Internet Explorer y escribimos la dirección 192.168.1.1, dirección que viene por defecto en el Router para ingresar al menú de configuración.. 32.

(39) Figura 6. Ventana para ingresar a la consola de configuración del Router. En usuario por defecto de fábrica se coloca admin y la contraseña admin y damos aceptar.. 33.

(40) Figura 7. Ventana Setup Router. 5.2.1 SETUP Route name. Escribimos el nombre que le colocamos al Router en mi caso es Igro. Host name. Ingresamos el nombre del Host de nuestro ISP Dominio name. Ingresamos el dominio de nuestro ISP MTU. Auto. 34.

(41) Local IP address. Aquí colocamos el direccionamiento de la red dependiendo del número de host de la red 192.168.1.1 Subnet mask. Dependiendo del número de host de nuestra red se le asignara una máscara de red que se ajuste a las necesidades de la red. 255.255.255.xx DHCP server. Aquí tenemos dos opciones habilitar o deshabilitar el servidor DHCP, si se colocan dirección IP estáticas colocamos deshabilitar el servidor DCHP, si queremos que sea automático este proceso habilitamos el servicio. Starting IP address. Colocamos la primera dirección IP de nuestra red 192.168.1.2 Máximum number of DHCP number. Digitamos el número máximo permito de equipos que se puedan conectar a la red, esto lo determinamos en el direccionamiento anteriormente descrito. Static DNS 1, Static DNS 2, Static DNS 3. Direcciones de los servidores de internet Time zone. Zona horario del Router. Figura 8. Ventana Status Router 35.

(42) 5.2.2. STATUS. DHCP Release. Esta opción nos copia las direcciones de configuración del Modem para que empiece el Router a administrar los recursos de la red. DHCP Renew. Para renovar las direcciones de la red.. Estos son los conceptos básicos para que nuestro Router quede configurado para administrar la red, transmisión de datos e internet.. 5.2.3. WIRELESS Ahora configuramos la red inalámbrica:. Damos un click en Wireless, allí encontramos cuatro menús donde nos permitirán configurar de una manera eficaz la red WLAN.. 5.2.3.1 Basic Wireless Settings •. Wireless Network mode. Seleccionamos el protocolo que queremos. configurar. para. los. dispositivos. que. se. conectarán a la red, entre ellos tenemos la elección de protocolo de adaptadores B o G o que trabaje con las dos tecnologías, en este caso es recomendable seleccionar que trabaje con las dos tecnologías ya que hay dispositivos que se encuentran en el mercado que están configurados en el. 36.

(43) protocolo B y otros en G, entonces seleccionamos protocolo mixto. •. Wireless Network name (SSID). Aquí escribimos el nombre de la red inalámbrica, la cual detectaran los dispositivos inalámbricos.. •. Wireless channel. Tenemos once diferentes canales de transmisión por donde viajara el espectro de la señal, por defecto viene configurado en canal 6 con una frecuencia de 2.437 GHz, es recomendable cambiar esta opción por otro canal de transmisión ya que puede surgir algún tipo de interferencia con otro aparatos electrónicos o redes cercanas a nuestro punto de acceso.. •. Wireless SSID Broadcast. Aquí nos dan la opción de habilitar el sistema broadcast del Router el cual nos permite tener un filtro de seguridad al intento de entrar a la configuración del Router.. Figura 9. Ventana Wireless Router. 37.

(44) 5.2.3.2. WIRELESS SECURITY. Módulo de configuración de seguridad, protocolos, algoritmo de encriptación y clave de acceso. •. Security mode. Los siguientes son los protocolos que encontramos para configurar nuestra red. •. WPA (Wi-Fi Protected Access). WPA es el estándar propuestos por los miembros de la Wi-Fi Alliance, en alianza con la IEEE, éste estándar busca solucionar los problemas de WEP, ofreciendo un mecanismo de autenticación y cifrado de datos. WPA diseña un nuevo protocolo para el cifrado conocido como TKIP (Temporary Key Integrity Protocol), el funcionamiento de este protocolo es cambiar la clave compartida entre el cliente y el punto de acceso en un determinado tiempo, para así evitar ataques que descifren la clave de ingreso a la red. De igual manera se optimizaron los algoritmos de cifrado de trama y generación de los IVs, común respecto al WEP. Dependiendo la complejidad de la red inalámbrica el punto de acceso ofrece dos opciones para la configuración de WPA las cuales son: Modalidad de red empresarial (WPA Enterprise). Para que funcione esta modalidad es necesario de la existencia de un servidor RADIUS en la red. El punto de acceso emplea entonces 802.1x y EAP para la autenticación, y el servidor RADIUS suministra las claves compartidas que se usaran para cifrar los datos.. 38.

(45) Modalidad personal (WPA Personal). WPA opera en eta modalidad cuando no se tiene un servidor RADIUS en la red. Se requiere entonces introducir una clave compartida en el punto de acceso y en los dispositivos móviles. Únicamente podrán acceder a la red los dispositivos móviles que coincidan con la clave del punto de acceso. Una vez se logra la autenticación, TKIP entra en funcionamiento para garantizar la seguridad del acceso. Una recomendación estándar es que las claves de acceso empleadas sean largas con un promedio de 20 o más caracteres, porque ya se ha comprobado que WPA es vulnerable a ataques de direccionamiento si se utiliza una clave corta. •. WPA2 (Wi-Fi Protected Access 2). Para proteger las redes inalámbricas WLAN se crea WPA2 corrigiendo las vulnerabilidades de WPA, esta basado en el estándar 802.11i. WPA2 utiliza el algoritmo de cifrado AES en los puntos de acceso, con este algoritmo se garantiza los requerimientos de seguridad del Estados Unidos (FIPS140-2) este protocolo esta diseñado para empresas del sector público o privado. Las NIC inalámbricas dan la certificación de cumplir con los estándares de la tecnología para garantizar la seguridad en las redes WLAN.. •. RADIUS (Remote Authentication Dial In User Server). Es el protocolo para la autorización y. 39.

(46) autenticación de aplicativos de acceso a la red WLAN. En la conexión a la red WLAN se envía un paquete de información donde se en cripta el nombre del usuario y la contraseña, el paquete llega al dispositivo NAS (Network Access Server) sobre el protocolo PPP, el paquete se dirige al servidor Radius sobre el protocolo Radius, este verifica que la información encriptada en el paquete sea correcta utilizando PAP, CHAP o EAP, si la información es correcta se autoriza el acceso a la red. El protocolo Radius maneja sesiones, siendo esta la característica más importante ya que controla los recursos de la red notificando cuando se inicia o termina la sesión de cada usuario. •. WEP (Wired Equivalent Privacy). El algoritmo WEP forma parte de la especificación 802.11 y se creo con el fin de proteger los datos que se trasmiten en una conexión inalámbrica mediante el cifrado. WEP opera en nivel 2 del modelo OSI y actualmente es soportado por. la. mayoría. de. fabricantes. de. dispositivos. inalámbricos. El algoritmo WEP trabaja el cifrado del siguiente modo: A la trama se le adhiere un código de integridad ICV (Integrity Check Value) mediante el algoritmo CRC-32. ICV, se concatena con la trama y es empleado por el receptor para comprobar si la trama ha sido adulterada durante el transporte, si se escoge una clave secreta. 40.

(47) compartida entre emisor y receptor, esta clave puede poseer 40 o 128 bits. El algoritmo WEP resuelve aparentemente el problema de cifrado de datos entre emisor y receptor. Sin embargo, hay dos situaciones que hacen que WEP no sea tan seguro en la manera que es empleado en la mayoría de aplicaciones. En la mayoría de casos se deja una clave WEP fija por un. tiempo. muy. prolongado. sin. cambiarla. periódicamente, lo cual hace vulnerable el cifrado de la clave y la obtención de la clave por parte de un atacante copiando el texto y cifrándolo por fuerza bruta. El IV que se utiliza es de longitud insuficiente (24 bits, dado que la trama se cifra con IV diferente, solamente es cuestión de tiempo para que se agote el espacio de 224 IV distintos. Esto no es un problema en una red casera, pero en una red de tráfico concurrido se puede agotar el espacio de IV en menos de 5 horas. Si el atacante logra conseguir dos tramas podrá descifrar la clave del punto de acceso.. Figura 10. Ventana Wireless Security – Security Mode 41.

(48) •. WPA. Algorithms.. Configuración. de. algoritmos. de. encriptación. •. TKIP (Temporal Key Integrity Protocol). Protocolo conocido como hashing de clave (WEP, WPA) contenga todos los requerimientos del estándar 802.11i para optimizar el cifrado de datos inalámbricos. TKIP combina una contraseña de 128 bits con la dirección MAC del equipo, se agrega un vector de 16 octetos para producir la clave que cifre la información, esto nos garantiza que cada usuario utilice diferentes streams claves para cifrar la información. TKIP brinda seguridad a los vectores de inicialización (IV) débiles para no exponer haciendo hashing del vector de iniciación de cada paquete. El cifrado se realiza mediante RC4 al igual que WEP, pero la diferencia entre estos dos protocolos es que cambia la clave cada 10.000 paquetes lo que significa un método dinámico que garantiza la seguridad de la red. La ventaja de TKIP es que se puede actualizar a través de parches de firmware contando como la función de MIC la cual provee claves WEP, cuando una persona ataque los datos mediante bit-flIP que viajan a través de WLAN estos datos son alterados donde el receptor acepta el mensaje, MIC detecta esto y retrasmite el mensaje sin ninguna alteración para que garantice la autenticación del mensaje inicial.. 42.

(49) •. AES (Advance Encryption Standard). Llamado también Rijndael, es un esquema de cifrado por bloques adoptado. por. Estados. Unidos,. durante. su. estandarización que duro 5 años se transformo en el estándar mas efectivo desde 2002 siendo él uno de los algoritmos mas populares usados en criptografía simétrica.. .. Figura 11. Ventana Wireless – WPA Algorithms. •. WPA Shared Key. Definimos la clave de nuestra red inalámbrica, con esta llave de autenticación es la que se valida. 43.

(50) para poder acceder a los recursos de la red, se recomienda utilizar una clave de mas de 20 carácter entre los cuales se incluyen letras mayúsculas, minúsculas, números y símbolos alfanuméricos.. Figura 12. Ventana Wireless – WPA Shared Key. •. Wireless MAC Filtre. El método consiste en crear en cada punto de acceso una tabla de datos que contenga las direcciones MAC de las tarjetas inalámbricas que se conecten a la red. Cada tarjeta de red cuenta con una dirección MAC única, por medio de esta dirección podemos identificar que equipo esta accediendo a la red.. 44.

(51) Figura 13. Ventana Wireless – Wireless MAC Filter. Habilitamos la opción en Wireless MAC filter, para que no de la opción de ingresar las direcciones Mac en la tabla de datos del Router. Al habilitar la opción de Wireless Mac filter, nos aparecen las siguientes opciones: •. Prevent. Impedir que los equipos que no estén registrados en la tabla de datos por medio de autenticación de dirección MAC, tengan acceso a la red inalámbrica.. •. Permit Only. Permitir únicamente acceso a la red de los equipos que estén registrados en la tabla de datos mediante autenticación de la dirección MAC.. 45.

(52) Figura 14. Ventana Wireless – Configuración MAC Filter. •. Edit MAC Filter List. Aquí registramos las direcciones MAC que queremos que hagan parte de las red WLAN. El método es muy básico ya que solo tiene que ingresarse la dirección MAC a la tabla de datos del Router para impedir o dar acceso a los equipos a la red inalámbrica, también por la sencillez del mecanismo cuenta con desventajas para redes corporativas, pero igual nos presta otro mecanismo de seguridad en la red. En redes corporativas no es prácticos ya que se vuelve inmanejable la tabla por el gran número de usuarios de la red. Estas direcciones MAC no viajan cifradas por lo que un atacante puede capturar direcciones y clonarlas para poder acceder a la red.. 46.

(53) Figura 15. Ventana Wireless – MAC Address Filter List. 5.2.4 SEGURIDAD (SECURITY). El dispositivo de punto de acceso o Router nos brinda la opción adicional de protocolos de seguridad entre los cuales encontramos los siguientes:. 47.

(54) •. Firewall. Bloquear las solicitudes de equipos anónimos de internet Filtro de multidifusión Filtro de direccionamiento de internet NAT Filtro IDENT (puerto 113). Figura 16. Ventana Wireless – Seguridad Firewall •. VPN (Virtual Private Network). La tecnología que se emplea es el cifrado para crear un canal virtual privado sobre una red de uso público. Esta tecnología es muy eficaz para proteger redes WLAN, las VPN trabajan sobre cualquier NIC inalámbrico y superan las limitaciones de WEP. Para utilizar VPN tenemos que crear una lista de acceso en el punto de acceso en una VLAN empleando switching, a esta VLAN solo tiene permiso de acceder el usuario después de ser autorizado y autenticado por el servidor. VPN cifra, autoriza y autentica a. 48.

(55) los usuarios controlando el tráfico desde el cliente y hacia el punto de acceso, como se utiliza el nivel superior del modelo OSI, no hace falta el protocolo WEP.. Figura 17. Ventana Security - VPN. 5.2.5. RESTRICCIÓN EN EL ACCESO (ACCESS RESTIRCTIONS). Contamos con diferentes políticas en el acceso y restricción de servicios que nos ofrece el Router, entre las cuales contamos con negar o permitir acceso a los servicios de internet y bloqueo de puerto para impedir descargas de información a través del dispositivo, también es posible configurar la red para que los usuarios tengan acceso únicamente a internet en los días que se les asigne por el administrador de la red incluso restringir únicamente el uso de acceso a la red en horas determinadas, lo cual nos brinda un total dominio en los servicios ofrecidos y permisos a los usuarios de la red.. 49.

(56) Figura 18. Ventana Access Restirctions. 5.2.6.. ADMINISTRACIÓN. (ADMINISTRATION).. Por. último. configuramos y cambiamos la clave del Router, porque este tiene una clave asignada por defecto y es un error en el cual se incurre comúnmente, se. 50.

(57) cambia conservando el protocolo de seguridad de incluir entre esta mayúsculas, minúsculas, números y símbolos alfanuméricos.. Así se termina la configuración del Router o dispositivo de acceso a redes inalámbricas para contar con una red seguridad y difícil de violentar por que contamos con mas de 4 protocolos de seguridad.. Figura 19. Ventana administration. 51.

(58) RESULTADOS OBTENIDOS. El filtro de acceso de dirección MAC es insuficiente para cualquier red, ya que en el mercado existen múltiples herramientas para clonar las direcciones MAC de los dispositivos inalámbricos.. El método WEP con clave estática es el nivel mas bajo de protección que existe en una red inalámbrica doméstica por la facilidad con la que se pueden desencriptar las claves.. El uso de las VPN es una alternativa interesante ya que se crea un canal virtual privado sobre una red de uso público, se crea una lista en el punto de acceso en una VLAN utilizando switching, garantizándonos el manejo de las tareas de cifrado de datos, autenticación y autorización de acceso.. Puede usarse la solución de WEP o WAP con clave dinámica ambas ofrecen un excelente grado de protección y se complementa con el filtro de acceso MAC.. 52.

(59) CONCLUSIONES. •. Al haber analizado los temas de interés de las redes inalámbricas domésticas podemos concluir que con la evolución en los sistemas de comunicación cada vez es mas indispensable llevar consigo todos los elementos para poder acceder a una red móvil sin tener las limitantes ya conocidas por todos como lo es la red de cableado estructurado.. •. También es importante no tan solo comprender los conocimientos teóricos con respecto a los protocolos de las redes inalámbricas, también entender que estas redes al ser transmitidos los datos en el espectro es muy fácil de perder información y que sea vulnerada esta información por personas ajenas a la red.. •. Todos estos objetivos se cumplieron con satisfacción durante el Diplomado de Cisco donde estudiamos a fondo todos los protocolos tanto de conexión como también de seguridad y encriptación de los datos para contar con redes seguras y garantizar un óptimo servicio.. •. La seguridad en las redes inalámbricas es un aspecto crítico que no se puede descuidar. Debido a que las transmisiones viajan por un medio no seguro, se requieren mecanismos que aseguren la confidencialidad de los datos así como su integridad y autenticidad.. •. Colocar un Firewall entre los access points y la LAN.. •. A pesar de la fortaleza potencial de WEP, incluido en la norma IEEE 802.11 para proporcionar seguridad, para proteger la confidencialidad e integridad de 53.

(60) los datos, tiene una serie de limitaciones que solo se pueden evitar mediante una adecuada gestión. El primer problema surge en la utilización del vector de inicialización, el cual está incluido en la parte no cifrada del mensaje, para que el receptor conozca qué valor de IV (Vector de Inicialización) a utilizar a la hora de generar el flujo de clave para el descifrado. El estándar 802.11 recomienda, pero no exige, que el valor del IV se cambie después de cada transmisión. Si el valor del IV no se cambia de manera regular, sino que se utiliza para subsiguientes mensajes, alguien que esté realizando una escucha puede ser capaz de cripto-analizar el flujo de clave generado por el valor de IV y la clave secreta, y descifrar así los mensajes que utilicen dicho valor; lo que se vuelve aun más crítico si se configura todos los terminales con las mismas claves. •. Pasar la clave y el IV por una función Hash antes de introducirlos en el RC4. Se debe hacer en todas las estaciones.. •. Cambiar el sistema de encriptación por un algoritmo simétrico más seguro, por ejemplo AES.. •. Utilizar métodos de clave asimétrica para distribuir claves con el objetivo de: Cambiar claves frecuentemente. Utilizar claves aleatorias, no de diccionario. Identificar de forma segura las estaciones.. •. El problema de la reutilización de valores de IV conduce, potencialmente, a otro problema; en concreto, una vez que un atacante conoce la secuencia de clave para un mensaje cifrado, basándose en los valores de IV utilizados, puede usar dicha información para generar una señal cifrada e insertarla en la 54.

(61) red (usurpación y suplantación). El proceso consiste en crear un nuevo mensaje, calcular el valor CRC-32 y modificar el mensaje cifrado original para cambiar el texto por el nuevo mensaje. El atacante puede entonces transmitir el mensaje a un punto de acceso o estación inalámbrica, que lo aceptará como mensaje válido. •. La distribución de claves constituye otro problema. La mayor parte de las redes WLAN comparte una misma clave entre todas las estaciones y puntos de acceso de la red. Resulta poco probable que una clave compartida entre muchos. usuarios. permanezca. secreta. indefinidamente.. Algunos. administradores de red abordan este problema configurando las estaciones inalámbricas con la clave secreta ellos mismos, en lugar de permitir que los usuarios finales realicen esta tarea. Ésta es una solución imperfecta, porque la clave compartida continúa estando almacenada en las computadoras de los usuarios, donde es vulnerable. Además, si queda comprometida la clave en una única estación, todas las otras estaciones del sistema deberán ser reconfiguradas con una clave nueva. La mejor solución entonces consiste en asignar una clave unívoca a cada estación y efectuar cambios de clave frecuentes.. •. El protocolo WEP, es un leve intento por tratar de generar una privacidad y seguridad de los datos que se transmiten de manera inalámbrica, establecida por el IEEE en el 802.11; y como idea principal, la seguridad es directamente proporcional a la eficiencia y políticas que adopte el administrador de la red; lastimosamente, la carga administrativa y de gestión que se debe asumir al emplear este protocolo, es exagerada; por consiguiente es de notar, que el protocolo WEP, no debe ser la única herramienta y política para asegurar la confidencialidad, integridad y demás características de seguridad; se deben. 55.

(62) emplear un ramillete de alternativas complementarias, como el uso de VPNs (Redes Privadas Virtuales), o cualquier otro método como la encriptación o implementar IPsec, etc. Además hay que destacar que al tener muy buenas políticas de seguridad en la red inalámbrica, trae la consecuencia que muy probablemente, se perderá el rendimiento y eficiencia en la velocidad de transmisión en la carga útil en la red, y es por esto, que en un diseño de red, es crucial determinar qué tipo de información y qué tipo de usuarios son los que dispondrían de servicio inalámbrico; y si es tan urgente mantener estrictos controles de seguridad, o si es relevante dejar que la información confidencial pueda ser transmitida por 802.11.. •. La seguridad es un aspecto que cobra especial relevancia cuando hablamos de redes inalámbricas. Para tener acceso a una red cableada es imprescindible una conexión física al cable de la red. Sin embargo, en una red inalámbrica desplegada un tercero podría acceder a la red, bastando con que estuviese en un lugar próximo donde llegue la señal. Es más, en el caso de un ataque pasivo, donde sólo se escucha la información, ni siquiera se dejan huellas que posibiliten una identificación posterior.. •. El canal de las redes inalámbricas, al contrario que en las redes cableadas privadas, debe considerarse inseguro. Cualquiera podría estar escuchando la información transmitida. Y no sólo eso, sino que también se pueden inyectar nuevos paquetes o modificar los ya existentes (ataques activos). Las mismas precauciones que tenemos para enviar datos a través de Internet deben tenerse también para las redes inalámbricas.. •. IEEE publicó un mecanismo opcional de seguridad, denominado WEP, en la norma de redes inalámbricas 802.11. Pero WEP, desplegado en numerosas. 56.

(63) redes WLAN, ha sido roto de distintas formas, lo que lo ha convertido en una protección inservible. •. Para solucionar sus deficiencias, el IEEE comenzó el desarrollo de una nueva norma de seguridad, conocida como 802.11i, que permitiera dotar de suficiente seguridad a las redes WLAN.. •. Al configurar una red inalámbrica es aconsejable crear un tipo de red en estrella para que el dispositivo de acceso inalámbrico (router) sea el que autentiqué y controle todo el flujo de información que viaja a través de esta red.. 57.

(64) BIBLIOGRAFIA. ARIGA, Ernesto. Redes Cisco, Guía de Estudios para la Certificación CCNA 640-810. Alfa Omega, Ra-Ma. BEHROUZ, Forouzan. Transmisión de Datos y Redes de Comunicaciones. Cuarta Edición. Mc Graw Hill. BLACK, Uyless. Redes de Computadores, Protocolos, Normas e Interfaces. Segunda Edición. Ra-Ma, Computec. BLACK, Uyless. Tecnologías Emergentes Para Redes de Computadoras. Segunda Edición. Prentice Hall, Pearson Educación, Addison Wesley. CARBALLAR, José A. Wi-Fi, Como Construir una Red Inalámbrica. Segunda Edición. Alfa Omega, Ra-Ma. CARBALLAR, José A. Wi-Fi, Instalación, Seguridad y Aplicaciones. Alfa Omega, Ra-Ma. CISCO SYSTEMS, Inc. Academia de Networking de Cisco Systems CCNA 1 y 2, Prácticas de Laboratorio. Tercera Edición. Cisco Systems. CISCO SYSTEMS, Inc. Academia de Networking de Cisco Systems CCNA 3 y 4, Prácticas de Laboratorio. Tercera Edición. Cisco Systems. GRALLA, Preston. 2006. Como Funcionan las Redes Inalámbricas. Anaya Multimedia. HALSALL, Fred. Redes de Computadores e Internet. Quinta Edición. Pearson Educación, Addison Wesley. LEON GARCIA, Alberto. Widjaja, Indra. Redes de Comunicaciones, Conceptos Fundamentales y Arquitecturas Básicas. University of Toronto, Mc Graw Hill.. 58.

(65) MASON, Andrew G. Redes Privadas Virtuales de Cisco Secure. Cisco Systems. MERIKE, Kaeo. Diseño de Seguridad en Redes. Cisco Press. STALLINGS, William. Comunicaciones y Redes de Computadores. Séptima Edición. Pearson Educación, Prentice Hall. TANENBAUM, Andrew S. Redes de Computadoras. Tercera Edición. Pearson Educación. TORRES NIETO, Álvaro. SANCHEZ DIAZ, Rubén Darío. Telecomunicaciones y Telemática. Tercera Edición. Editorial Escuela Colombiana de Ingeniería. VUELA PLUMA, S.L. Guía Completa de Protocolos de Telecomunicaciones. Mc Graw Hill, Rad Com. VUELA PLUMA, S.L. Redes de computadores. Editorial Tittel, Mc Graw Hill.. 59.

(66)