UNIDAD 1.2.1
A. IDENTIFICACIÓN DE AMENAZAS COMUNES A LA SEGURIDAD INALÁMBRICA.
La operación de una WLAN es similar a una LAN cableada, excepto por la forma de transportar los datos, por lo que presentan muchas de las mismas vulnerabilidades que una LAN cableada, más algunas otras que son específicas.
Las amenazas en las WLAN se presentan a continuación, así como algunas de las contramedidas para enfrentarlas, con sus fortalezas y limitaciones.
Acceso no autorizado.
En este tipo de amenaza un intruso puede introducirse en el sistema de una red WLAN, donde puede violar la confidencialidad e integridad del tráfico de red haciéndose pasar como un usuario autorizado, de manera que puede enviar, recibir, alterar o falsificar mensajes. Este es un ataque activo, que necesita de equipamiento compatible y estar conectado a la red. Una forma de defensa frente a esta amenaza son los mecanismos de autenticación los cuales aseguran el acceso a la red solo a usuarios autorizados. Puede presentarse también el caso en que se instale un punto de acceso clandestino dentro de la red con suficiente potencia de modo que engañe a una estación legal haciéndola parte de la red del intruso y éste pueda capturar las
claves secretas y contraseñas de inicio de sesión. Este ataque es más difícil de detectar, puesto que los intentos fallidos de inicio de sesión son relativamente frecuentes en las comunicaciones a través de una red WLAN.
Ataques Man-in-the-middle (intermediario)
man in the middle?
“ Un ataque man-in-the-middle ( MITM ) es un ataque en el que el enemigo adquiere la capacidad de leer, insertar y modificar a voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado.”
Algunos ataques mas comunes o conocidos
ARP Poisoning
ARP Spoofing
DNS spoofing
Port Stealing (robo de puerto)
DHCP Spoofing
Otros ataques de tipo MITM:
STP Mangling
Port stealing
ICMP redirection
IRDP spoofing
Route mangling
Denegación de servicio
Se produce cuando una señal de RF de potencia considerable, sea intencional (jamming) o no, interfiere en un sistema inalámbrico dificultando su funcionamiento o inhabilitándolo por completo. Para la detección de fuentes de interferencia, puede valerse de equipos analizadores de espectro.
B) CONFIGURACIÓN DE PARÁMETROS PARA EL ESTABLECIMIENTO DE LA SEGURIDAD Y PROTECCIÓN DE LOS DISPOSITIVOS INALÁMBRICOS
· descripción general del protocolo de seguridad inalámbrico:
La seguridad es un aspecto que cobra especial relevancia cuando hablamos de redes inalámbricas. Para tener acceso a una red cableada es imprescindible una conexión física al cable de la red. Sin embargo, en una red inalámbrica desplegada en una oficina un tercero podría acceder a la red sin ni siquiera estar ubicado en las dependencias de la empresa, bastaría con que estuviese en un lugar próximo donde le llegase la señal. Es más, en el caso de un ataque pasivo, donde sólo se escucha la información, ni siquiera se dejan huellas que posibiliten una identificación posterior.
El canal de las redes inalámbricas, al contrario que en las redes cableadas privadas, debe considerarse inseguro. Cualquiera podría estar escuchando la información transmitida. Y no sólo eso, sino que también se pueden inyectar nuevos paquetes o modificar los ya existentes (ataques activos). Las mismas precauciones que tenemos para enviar datos a través de Internet deben tenerse también para las redes inalámbricas.
Conscientes de este problema, el IEEE [1] publicó un mecanismo opcional de seguridad, denominado WEP, en la norma de redes inalámbricas 802.11 [2]. Pero WEP, desplegado en numerosas redes WLAN, ha sido roto de distintas formas, lo que lo ha convertido en una protección inservible.
Para solucionar sus deficiencias, el IEEE comenzó el desarrollo de una nueva norma de seguridad, conocida como 802.11i [3], que permitiera dotar de suficiente seguridad a las redes WLAN.
El problema de 802.11i está siendo su tardanza en ver la luz. Su aprobación se espera para junio de 2004. Algunas empresas en vistas de que WEP (de 1999) era insuficiente y de que no existían alternativas estandarizadas mejores, decidieron utilizar otro tipo de tecnologías como son las VPNs para asegurar los extremos de la comunicación (por ejemplo, mediante IPSec). La idea de proteger los datos de usuarios remotos conectados desde Internet a la red corporativa se extendió, en algunos entornos, a las redes WLAN. De hecho, como hemos comentado antes, ambos canales de transmisión deben considerarse inseguros. Pero la tecnología VPN es quizás demasiado costosa en recursos para su implementación en redes WLAN.
No ajena a las necesidades de los usuarios, la asociación de empresas Wi-Fi [4] decidió lanzar un mecanismo de seguridad intermedio de transición hasta que estuviese disponible 802.11i, tomando aquellos aspectos que estaban suficientemente avanzados del desarrollo de la norma. El resultado, en 2003, fue WPA [5].
Este artículo analiza las características de los mecanismos de seguridad WEP, WPA y WPA2 (IEEE 802.11i). En el momento de escribir estas líneas, WPA2 todavía no ha visto la luz por lo que la documentación relacionada es todavía muy escasa.
· Autenticación de una LAN inalámbrica
Configuración de cuenta de red LAN inalámbrica
Hay varias formas de iniciar la configuración de cuenta para una red LAN inalámbrica; por ejemplo:
· Seleccione Herramientas > Panel de control > Conexiones > Cuentas de Internet y, a continuación, seleccione Cuenta nueva > WLAN en el menú Cuentas de Internet.
· Seleccione Herramientas > Panel de control > Conexiones > WLAN y, a continuación, seleccione Cuenta nueva en el menú WLAN.
· Conéctese a una red para la que no exista una cuenta y se iniciará la configuración automáticamente.
El menú WLAN, mencionado anteriormente, también es donde se encuentra la dirección MAC del teléfono.
La configuración de cuenta incluye una serie de pasos, que se describen a continuación.
Nota: el proveedor de la red LAN inalámbrica debe proporcionar información sobre los métodos de autenticación, el cifrado y otros ajustes de configuración de red.
Primer paso: información básica
La primera pantalla de configuración define información básica para la cuenta:
· Nombre de cuenta: introduzca un nombre para la cuenta.
· Nombre de red (SSID): a menos que la red ya esté rellenada, introduzca un SSID o seleccione
· Autenticación: elija un modo de autenticación.
· Modo de red: al conectar a un punto de acceso inalámbrico, seleccione Infraestructura.
· Canal ad hoc: sólo para el modo de red Ad hoc, cuando un teléfono se conecta directamente a otro dispositivo.
Segundo paso: autenticación y cifrado
El siguiente paso depende del modo de autenticación seleccionado en el paso anterior. Determinados modos requieren la definición de parámetros adicionales para cifrado y autenticación.
Tercer paso: configuración de la configuración y cambio de los ajustes avanzados
En la última pantalla confirme los ajustes. Si es necesario, utilice el menú Configuración WLAN para ver y editar, por ejemplo, la dirección IP del teléfono y las direcciones DNS.
Seleccione Avanzado en el mismo menú para activar el ahorro de energía y cambiar el valor de umbral RTS. Se recomienda activar el ahorro de energía, pero en determinada ocasiones el punto de acceso a red LAN inalámbrica disponible requiere que esté desactivado para garantizar un rendimiento fiable.
Sugerencia: estos ajustes avanzados están disponibles durante todo el proceso de configuración, no sólo desde esta pantalla.
Edición de una cuenta de red LAN inalámbrica
Para modificar una cuenta de red LAN inalámbrica existente, seleccione Herramientas > Panel de control > Conexión > Cuentas de Internet. A continuación, seleccione la cuenta y realice los cambios.
Nota: si cambia la autenticación, se tienen que configurar sus ajustes detallados.
Desconexión de una red
Para desconectarse de una red, pulse
Para obtener más información sobre las conexiones de red LAN inalámbrica, consulte LAN inalámbrica.
· Encriptación
El acceso inalámbrico a internet puede ofrecerle conveniencia y movilidad. Pero hay algunos pasos que usted debería seguir para proteger su red inalámbrica y las computadoras conectadas a la misma.
o Use encriptación para codificar o encriptar las comunicaciones en la red. Si tiene la opción, use el Acceso Protegido para Transferencia Inalámbrica de Datos o WPA (por su acrónimo del inglés Wi-Fi Protected Access) que es un sistema de encriptación más potente que el sistema de Equivalencia de Privacidad Inalámbrica o WEP (por su acrónimo del inglés Wired Equivalent Privacy).
o Use software antivirus y antiespía y también active el firewall.
o Casi todos los enrutadores inalámbricos (wireless routers) tienen un mecanismo llamado identificador de emisión (identifier broadcasting). Desactive el mecanismo del identificador de emisión para que su computadora no emita una señal a todas las terminales que estén en las cercanías anunciando su presencia.
o Cambie la configuración predeterminada del identificador de su enrutador asignado por el fabricante del dispositivo (router's pre-set password for administration) para que los hackers no puedan utilizarlo para intentar acceder a su red.
o Cambie la contraseña predeterminada de instalación del enrutador por una nueva contraseña que solamente usted conozca. Cuanto más extensa sea la contraseña, más difícil será descifrarla.
o Solamente permita el acceso a su red inalámbrica a computadoras específicas.
o Apague su red inalámbrica cuando sepa que no la va a utilizar.
o No dé por supuesto que los hot spots públicos o puntos de acceso público a internet son seguros. Debería tener en cuenta que otras personas pueden acceder a cualquier información que usted vea o envíe a través de una red inalámbrica pública.
· Control de acceso a la LAN inalámbrica
· Acceso Nómada
· * Permite un enlace no guiado entre un centro o servidor de LAN y un terminal de datos
móvil con antena (computadora portátil).
* El usuario se pueden desplazar con la computadora portátil y conectarse con servidores
de LAN Inalámbricos desde distintos lugares.
móvil con antena (computadora portátil).
* El usuario se pueden desplazar con la computadora portátil y conectarse con servidores
de LAN Inalámbricos desde distintos lugares.
· Tarjeta para Notebook, la cual sirve para configurar a la Portátil para las LAN Inalámbricas, tiene antena integrada y puede transmitir 11 Mbits/segundo
·
Tarjeta de LAN inalámbrica especial para potátiles
Tarjeta de LAN inalámbrica especial para potátiles
· Otra de las grandes ventajas que se deriva del empleo del Punto de Acceso es la posibilidad de enlazar una red inalámbrica con una red de cable Ethernet. Ambas redes, inalámbrica y de cable, quedarían de este modo integradas en una única red global, de manera que cualquier PC de la red de cable pueda comunicar con cualquier PC de la red inalámbrica y viceversa.
·
LAN inalámbrica con infraestructura y Conexión a una Red cableada
LAN inalámbrica con infraestructura y Conexión a una Red cableada
· Teniendo en cuenta que en la red de Infraestructura el PC que lleva el control de acceso puede ser cualquier equipo de la red, el uso del Punto de Acceso permite ampliar las actuales redes de cable Ethernet sólo en base a la instalación de nuevos puntos con dispositivos inalámbricos, sin necesidad de seguir instalando cables de red. * El uso del Punto de Acceso, en la ampliación de redes de cable Ethernet existentes está especialmente indicado en enlaces entre plantas de un mismo edificio, entre edificios cercanos y/o entre locales próximos pero sin continuidad.
· Para ello se usa el denominado Puente. El Puente o Bridge cumple el estándar IEEE802.11 y está compuesto por el software de protocolo para redes inalámbricas y una tarjeta de redes inalámbricas.
· El Puente tiene como finalidad la unión ( o puente ) entre dos redes de cables tradicionales (Ethernet), separadas por un cierto espacio físico, que hagan imposible o dificultosa su unión por cable.
· El uso del Puente permite la facil interconexión entre dos redes de cables situadas en locales cercanos, en pisos diferentes o hasta en edificios separados, ahorrando al usuario las costosas obras de infraestructura ( zanjas, cableados, etc.,).
· La solución que aporta la utilización del Puente frente a enlaces punto a punto o temporales, vía red telefónica conmutada, proporciona una muy superior velocidad en la transferencia de datos ( hasta 60 veces más), sin más costes que el uso del propio Puente
·
Interconexión de Redes Ethernet mediante Puente
Interconexión de Redes Ethernet mediante Puente
· Las redes inalámbricas pueden ser configuradas en los siguientes entornos:
· <1.- Red "ad-hoc":
· Es aquella en la que todos los ordenadores (de sobremesa y/o portátiles) provistos de tarjetas de red inalámbrica pueden comunicarse entre sí directamente. Es una red igual (sin servidor central) establecida temporalmente para satisfacer una necesidad inmediata, formando así una red temporal.
·
LAN inalámbrica Ad-hoc
LAN inalámbrica Ad-hoc
· 2.- Red Infraestructura.
· Es aquella en la que todos los ordenadores (de sobremesa y/o portátiles) provistos de tarjetas de red inalámbrica trabajan en orden jerárquico, por el que uno de los ordenadores de la red es el punto de enlace entre todos los PCs de la misma red. Desde ese ordenador se lleva el control de acceso, como medida de seguridad del resto de los equipos que forman parte de la red. Para configurar la red de Infraestructura, se requiere que sobre el ordenador elegido para llevar el control se instale un Punto de Acceso, conforme al estándar IEEE 802.11.
LAN inalámbrica con Infraestructura
c) IDENTIFICACIÓN DE PROCEDIMIENTOS PARA LA RESOLUCIÓN DE PROBLEMAS RELACIONADOS CON LAS REDES INALÁMBRICAS.
· Problemas con el radio de acceso
La solución consiste en utilizar un programa como NetStumbler. Este programa generará una lista de las redes inalámbricas WiFi cercanas a la tuya y de la cual podrás elegir el canal menos utilizado para que puedas mejorar la velocidad de tu conexión inalámbrica.
· Problemas con el firmware del AP
Algunos ISP como EPM utilizan dhcp como protocolo para conectarse a internet y normalmente le asocian a cada usuario una MAC determinada para conectarse. Para cambiar la MAC en un router usando OpenWRT debemos hacer lo siguiente (donde aa:bb:cc:dd:ee:ff es la dirección MAC que tiene asociada a su conexión):
nvram set wan_hwaddr="aa:bb:cc:dd:ee:ff"nvram commitrebootSi usamos freifunk los anteriores comandos no funcionan (aparentemente), lo recomendable es modificar la MAC asociada a nuestra conexión por la MAC del router directamente con el ISP.
Recomendable
- Construir un script que produzca señales de audio de acuerdo a la respuesta del ping, de modo que no sea necesario llevar el portátil abierto para saber cómo se comporta la señal
- Un minihowto sobre la construcción de una caja externa para el access point de modo que se puede colocar a la interperie en algún tejado.
· Problemas con la autenticación y encriptación
Surgió como alternativa segura y eficaz al WEP, se basa en el cifrado de la información mediante claves dinámicas, que se calculan a partir de una contraseña. Es precisamente aquí donde está el punto flaco, si no se emplea una contraseña suficientemente larga y compleja, es posible que lleguen a desvelarla.
En el router o punto de acceso: al igual que anteriormente, hay que ir al apartado de Wireless y seleccionar la opción WPA. En este caso no tendremos una simple opción, pues habrá que escoger entre WPA-Radius o WPA-PreSharedKey (WPA-PSK), como su propio nombre indica, su único requerimiento es compartir una clave entre los diferentes clientes que se van a autentificar en un determinado punto de acceso o router que también la conoce. Este método no es tan seguro como el uso de un servidor de autentificación central del tipo Radius, pero es suficiente en entornos que necesiten conectar de forma segura a unos pocos equipos. Por sencillez es recomentable el WPA-PSK, que simplemente pide escoger la encriptación (AES o TKIP) y una clave de, mínimo, 8 dígitos y de máximo 63. TKIP es el algorítmo aprobado y certificado para WPA, algunos productos son compatibles con el cifrado avanzado (AES) pero no han sido certificados porque no funcionan con el hardware de distintos suministradores. Así que selecciona TKIP para evitar que el router trabaje innecesariamente o bién la combinación de los dos métodos disponibles (TKIP+AES), así no tendrás problemas de compatibilidad.
· En el PC: vamos a la ventana de Propiedades de la Red Inalámbrica, pulsamos sobre el botón Agregar, y configuramos los mismos parámetros que introdujimos en el router/punto de acceso:
· El único problema de este tipo de encriptación es que no todos los adaptadores de red inalámbricos o routers/puntos de acceso lo soportan, aunque la tendencia actual es que el hardware sea compatible. En el caso de que no lo sea, comprueba si existen actualizaciones disponibles, descárgalas e instálalas. También debes asegurarte de que tu versión de Windows admite el cifrado WPA. Windows XP con Service Pack 2 (SP2) es compatible, las versiones anteriores no lo son. Si no tienes instalado SP2, descarga el parche desde aquí.
· Aunque Windows XP también tiene soporte completo para WPA2, la versión certificada final de WPA. Puedes descargar el parche apropiado desde Microsoft.
