UNIVERSIDAD TECNOLGICA ISRAEL

CARRERA DE SISTEMAS INFORMTICOS

ESTUDIO DE IMPLEMENTACIN DE SEGURIDADES EN REDES INALMBRICAS

AUTOR: Sandro Daniel Bacuilima Yunga

TUTOR: Ing. Mario Meja

Quito - Ecuador 2013

II

UNIVERSIDAD TECNOLGICA ISRAEL CARRERA DE SISTEMAS INFORMTICOS

CERTIFICADO DE RESPONSABLILIDAD

Yo, Ing. Mario Meja, certifico que el Seor Sandro Daniel Bacuilima Yunga con C.C. No. 010375251-5 realiz la presente tesis con ttulo Estudio de Implementacin de Seguridades en Redes Inalmbricas, y que es autor intelectual del mismo, que es original, autentica y personal.

______________________ Ing. Mario Meja

III

UNIVERSIDAD TECNOLGICA ISRAEL CARRERA DE SISTEMAS INFORMTICOS

ACTA DE CESION DE DERECHOS

Yo, Sandro Daniel Bacuilima Yunga estudiante de Ingeniera de Sistemas Informticos, declaro conocer y aceptar las disposiciones del Programa de Estudios, que en lo pertinente dice: Es patrimonio de la Universidad Tecnolgica Israel, todos los resultados provenientes de investigaciones, de trabajos cientficos, tcnicos o tecnolgicos y de tesis o trabajos de grado que se realicen a travs o con el apoyo de cualquier tipo de la Universidad Tecnolgica Israel. Esto significa la cesin de los derechos de propiedad intelectual a la Universidad Tecnolgica Israel.

________________________ Sandro Daniel Bacuilima Yunga

IV

UNIVERSIDAD TECNOLGICA ISRAEL CARRERA DE SISTEMAS INFORMTICOS

AUTORA DE TESIS

La abajo firmante, en calidad de estudiante de la Carrera de Sistemas Informticos declaro que los contenidos de este Trabajo de Graduacin, requisito previo a la obtencin del Grado de Ingeniero en Sistemas Informticos, son absolutamente originales, autnticos y de exclusiva responsabilidad legal y acadmica del autor.

Quito, enero del 2013

__________________ Sandro Bacuilima Yunga CC: 010375251-5

DEDICATORIA

A Dios Por haberme permitido llegar hasta este punto y haberme dado salud para lograr mis objetivos, adems de su infinita bondad y amor. A mis padres por haberme apoyado en todo momento, por sus consejos, sus valores, por la motivacin constante que me ha permitido ser una persona de bien, pero ms que nada, por su amor. Y de manera especial a mi esposa y a mi hijo ya que ellos han sido el pilar fundamental para la elaboracin de esta tesis.

VI

AGRADECIMIENTO

Como prioridad en mi vida agradezco a Dios por su infinita bondad, y por haber estado conmigo en los momentos que ms lo necesitaba, por darme salud, fortaleza, responsabilidad y sabidura, por haberme permitido culminar un

peldao ms de mis metas y porque tengo la certeza y el gozo de que siempre va a estar conmigo. A mis Padres, y hermanos por ser los mejores, por haber estado conmigo apoyndome en los momentos difciles, por dedicar tiempo y esfuerzo para ser un hombre de bien, y darme excelentes consejos en mi caminar diario. A mi Esposa, que con su ejemplo y dedicacin me han instruido para seguir

adelante en mi vida profesional.

VII RESUMEN En la actualidad el uso de redes inalmbricas se ha extendido por sus ventajas de movilidad, exibilidad y productividad. Esta tendencia hacia las redes inalmbricas ha hecho que se las pueda encontrar en aeropuertos, campus universitarios, cafs y en ciudades con los hotspots que se estn difundiendo rpidamente por lo que no es de extraarse que las empresas vean en las WLANs la solucin a sus necesidades de comunicacin. Sin embargo, junto con su funcionalidad y dems ventajas, este tipo de implementaciones trae consigo importantes riesgos de seguridad que afrontar, en su mayora asociados a la inexistencia de delimitacin fsica de forma clara, y otros ms importantes asociados a la carencia de mecanismos de seguridad sucientemente fuertes que protejan el acceso a los recursos tecnolgicos y a la informacin A medida de la evolucin de esta tecnologa se han propuesto varias recomendaciones para dotar de un nivel de seguridad adecuado, actualmente se estn desarrollando propuestas ms concretas de mecanismos que permiten mejorar este nivel. Entre las soluciones de seguridad ms ecientes para el control de acceso a los recursos y la proteccin de la informacin en redes inalmbricas, se describe una de las ms ecientes, la cual se basa en el uso de autenticacin para el acceso a la red y en el uso de encriptacin en las comunicaciones sobre este tipo de redes.

VIII SUMMARY

Nowadays the use of wireless networks has spread its advantages of mobility, flexibility and productivity. This trend toward wireless networks has made that they can be found in airports, college campuses, cafes and cities with hotspots that are spreading fast so it is not surprising that companies in WLANs see the solution to your needs communication. However, along with its functionality and other benefits, such implementations brings significant security risks faced, mostly associated with the absence of a clear physical boundaries, and other important partners to the lack of security mechanisms strong enough to protect the access to technology resources and information As the evolution of this technology have been proposed several

recommendations to provide an adequate level of safety currently being developed concrete proposals mechanisms to improve this level. Among the more efficient security solutions for controlling access to resources and the protection of information on wireless networks is described in the most efficient one, which is based on the use of authentication for network access and in the use of encryption in communications over such networks.

IX TABLA DE CONTENIDO

CAPITULO I...................................................................................................... 1 1. INTRODUCCION ........................................................................................ 1 1.1 1.2 1.3 Antecedentes ....................................................................................... 2 Formulacin del problema .................................................................... 2 Sistematizacin .................................................................................... 2 Diagnostico .................................................................................... 2 Pronstico ..................................................................................... 3 Control del pronstico .................................................................... 3

1.3.1 1.3.2 1.3.3 1.4

Objetivos .............................................................................................. 4 Objetivo general ............................................................................ 4 Objetivos especficos ..................................................................... 4

1.4.1 1.4.2 1.5

Justificacin ......................................................................................... 5 Justificacin terica ....................................................................... 5 Justificacin Practica ..................................................................... 5 Justificacin Metodolgica ............................................................. 5

1.5.1 1.5.2 1.5.3 1.6

Alcance y Limitaciones ......................................................................... 6 Alcance.......................................................................................... 6 Limitaciones................................................................................... 6

1.6.1 1.6.2 1.7

Estudio de Factibilidad ......................................................................... 6 Tcnica .......................................................................................... 6 Operativa ....................................................................................... 7 Econmica ..................................................................................... 7

1.7.1 1.7.2 1.7.3

CAPITULO II..................................................................................................... 8 2. MARCO DE REFERRENCIA ..................................................................... 8 2.1 2.2 2.3 2.4 Marco Terico ...................................................................................... 8 Marco Conceptual ................................................................................ 9 Marco Legal ......................................................................................... 9 Marco Espacial .................................................................................. 11

CAPITULO III.................................................................................................. 12

X 3. METODOLOGIA ...................................................................................... 12 3.1 Proceso de investigacin ................................................................... 12 Unidad de anlisis ....................................................................... 12 Tipo de Investigacin ................................................................... 12 Mtodo ........................................................................................ 12 Tcnica ........................................................................................ 13 Instrumento ................................................................................. 13

3.1.1 3.1.2 3.1.3 3.1.4 3.1.5

CAPITULO IV ................................................................................................. 14 4. Conceptos y Generalidades................................................................... 14 4.1 Introduccin Qu es una Red Inalmbrica? ..................................... 14 Componentes de una red inalmbrica. ........................................ 14

4.1.1

4.1.1.1 Router Wi-Fi ................................................................................ 14 4.1.1.2 Tarjeta interna PCI wireless: ........................................................ 15 4.1.1.3 Adaptador USB Wireless ............................................................. 16 4.1.2 4.1.3 4.1.4 4.2 Cmo se realiza una conexin a una red inalmbrica? .............. 16 Ventajas y Desventajas en Redes Inalmbricas. ......................... 18 Aplicaciones de los Sistemas WLAN en la Industria. ................... 19

Vulnerabilidades en redes Wireless LAN. .......................................... 20 Debilidades de Implementacin en Wireless LAN. ....................... 21

4.2.1

4.2.1.1 Ataques de escucha/monitorizacin pasiva . ............................... 21 4.2.1.2 Ataques de Intercepcin/Insercin (man-in- the-middle). ............. 22 4.2.1.3 Interferencia y Atenuacin ........................................................... 23 4.2.2 4.2.3 El Problema de la Seguridad. ...................................................... 24 Localizando Redes Inalmbricas. ................................................ 24

4.2.3.1 Warchalking ................................................................................. 25 4.2.3.2 Wardriving ................................................................................... 25 4.2.3.3 Diferencia entre Warchalking y Wardriving .................................. 26 4.3 Seguridad bsica y avanzada en Wireless LAN ................................. 27 Metodologas de Defensa en Redes Wireless LAN. .................... 27

4.3.1

4.3.1.1 Mtodo 1: Filtrado de direcciones MAC. ...................................... 28 4.3.1.2 Mtodo 2: Wired Equivalent Privacy (WEP). ................................ 29 4.3.1.3 Mtodo 3: Las VPN...................................................................... 32 4.3.1.4 Mtodo 4: WPA (Wi-Fi Protected Access). .................................. 33

XI 4.3.2 4.4 Consejos de Seguridad ............................................................... 34

Herramientas ..................................................................................... 38 Criptografa .................................................................................. 38

4.4.1

4.4.1.1 Como funciona ............................................................................ 39 4.4.2 Sistema de cifrado ....................................................................... 39

4.4.2.1 Sistemas de cifrado simtrico ...................................................... 39 4.4.2.2 Sistemas de cifrado asimtrico. ................................................... 40 4.4.2.3 Sistemas de cifrado hbridos. ....................................................... 41 4.5 4.6 Herramientas de control y seguimiento de accesos ........................... 42 Sistemas de seguridad ....................................................................... 49 Sistemas de prevencin de intrusiones: ...................................... 50 Tipos de IDS ................................................................................ 51 Clasificacin por situacin ........................................................... 51

4.6.1 4.6.2 4.6.3

4.6.3.1 NIDS (Network Intrusion Detection System) ................................ 51 4.6.3.2 HIDS (Host Intrusion Detection System) ...................................... 52 4.6.4 4.6.5 4.6.6 4.6.7 4.6.8 4.7 Clasificacin segn los modelos de detecciones ......................... 53 Clasificacin segn su naturaleza................................................ 54 Topologas de IDS ....................................................................... 54 Los IDS y las polticas de Seguridad ........................................... 57 Firewalls ...................................................................................... 57

Errores comunes encontrados en la instalacin de puntos de acceso.61

CAPITULO V .................................................................................................. 64 5. Conclusiones y Recomendaciones ....................................................... 64 5.1 5.2 5.3 5.4 5.5 Conclusiones ..................................................................................... 64 Recomendaciones ............................................................................. 65 Referencias ........................................................................................ 66 Bibliografa ......................................................................................... 67 Glosario ............................................................................................. 69

Anexos......................................................................................................... 76 Documento entregable ................................................................................. 76

XII

LISTA DE CUADROS Y GRAFICOS

Fig. 115 Fig. 215 Fig. 316 Fig. 4.17 Fig. 5.21 Fig. 6.23 Fig. 7..25 Fig. 8..26 Fig. 9..55 Fig. 1056 Tab. 1.24

CAPITULO I

1.

INTRODUCCION

Una de la principales formas de comunicarse entre computadoras es la inalmbrica discutidas en esta dcada es la de poder comunicar computadoras mediante tecnologa inalmbrica. Las Redes 1 Inalmbricas facilitan la operacin en lugares donde la computadora no puede permanecer en un solo lugar, como en almacenes o en oficinas, hogares etc.

La realidad es que esta tecnologa est todava en paales y se deben de resolver varios obstculos tcnicos y de regulacin antes de que las redes inalmbricas sean utilizadas de una manera general en los sistemas de cmputo de la actualidad.

No se espera que las redes inalmbricas lleguen a remplazar a las redes cableadas. Estas ofrecen velocidades de transmisin mayores que las logradas con la tecnologa inalmbrica. Mientras que las redes inalmbricas actuales ofrecen velocidades de 2 Mbps, las redes cableadas ofrecen velocidades de 10 Mbps y se espera que alcancen velocidades de hasta 100 Mbps. Los sistemas de Cable de Fibra ptica logran velocidades an mayores, y pensando futuristamente se espera que las redes inalmbricas alcancen velocidades de solo 10 Mbps.

http://www.oocities.org/es/edvigepdv/seminario/antecedentes.html

2 Sin embargo se pueden mezclar las redes cableadas y las inalmbricas, y de esta manera generar una "Red Hbrida" y poder resolver los ltimos metros hacia la estacin. Se puede considerar que el sistema cableado sea la parte principal y la inalmbrica le proporcione movilidad adicional al equipo y el operador se pueda desplazar con facilidad dentro de un almacn o una oficina. 1.1 Antecedentes Las redes2 inalmbricas de rea local o WLAN surgen en Suiza donde tuvieron un resultado satisfactorio ya que generaron un gran inters en la poblacin. A partir de aqu, se han impulsado notablemente las investigaciones, y se han desarrollo ampliamente dispositivos que hacen posible el auge que las redes inalmbricas disfrutan hoy en da. En el Ecuador Actual todas las empresas u hogares tienen un dispositivo de trasmisin inalmbrica pero muy pocas no realizan una correcta configuracin a lo que seguridad de estas se refieren. 1.2 Formulacin del problema El estudio de las principales configuraciones de acuerdo los estndares y normas de seguridades me permitirn realizar la creacin de una gua para poder realizar la implementacin de seguridades en puntos de accesos inalmbricos. 1.3 Sistematizacin 1.3.1 Diagnostico La clave secreta compartida entre las estaciones que intercambian trfico tiene varios problemas:

http://proredinal.blogspot.com/2010/11/antecedentes-de-las-redes-inalambricas.html

3 Utilizacin de clave esttica, no modificada. La modificacin de la clave ha de hacerse de forma manual. El password del administrador es directamente la clave. Por ello la clave puede ser descubierta por ataques de diccionario. Todas las estaciones que comparten el trfico de red utilizan la misma clave. Por todas estas cosas resulta bastante sencillo romper la clave por fuerza bruta cuando se acumulan grandes cantidades de trfico cifradas con la misma clave. 1.3.2 Pronstico

Desconocimiento de parte del administrador para la implementacin de contraseas seguras.

Propagacin de la clave de acceso. Robo de informacin o suplantacin de usuario en la red. 1.3.3 Control del pronstico

Una vez vistos los problemas que presenta el protocolo WEP, que constituye un mecanismo dbil de cifrado, pero que sin embargo puede constituir una solucin adecuada para redes domsticas o de pequeas oficinas, debemos de habilitar mecanismos de proteccin ms robustos en entornos que precisen proteccin profesional. Por ello se ha desarrollado el estndar WPA, para subsanar las debilidades de WEP, mejorando el cifrado de los datos y ofreciendo un mecanismo de autentificacin.

4 Caractersticas3 y diferencias con respecto a WEP. Propuesto por los miembros de la Wi-Fi Alliance en con la IEEE. Basado en el protocolo para cifrado TKIP (Temporary Key Integrity Protocol). La longitud de las claves pasa de 40 a 128 bits y el vector de inicializacin, de 24 a 48 bits. La clave es generada de forma dinmica, para cada usuario, para cada sesin, y para cada paquete enviado, as como la distribucin de claves, que tambin es realizada de forma automtica. El mecanismo de autentificacin basado en WPA emplea 802.1x/EAP. 1.4 Objetivos 1.4.1 Objetivo general Realizar el estudio para la creacin de una gua, que de manera Interactiva nos ilustre paso a paso la implementacin de la

Seguridades en Redes Inalmbricas 1.4.2 Objetivos especficos Investigar desarrollar las las posibles correctas configuraciones seguridades de para las poder redes

inalmbricas. Realizar una gua para la correcta configuracin de un router inalmbrico.

http://dspace.ups.edu.ec/bitstream/123456789/217/3/Capitulo%202.pdf

5 Revisar las falencias al momento de instalar un Router Inalmbrico. 1.5 Justificacin 1.5.1 Justificacin terica En Ecuador en la actualidad se est presentando un proceso de transicin en la tecnologa, lo que hace que las redes de telecomunicaciones sean de ms importancia y en particular se presenta la necesidad de aplicar tecnologas de redes inalmbricas que por consecuente trae consigo la necesidad de hacer aportes que ayuden a mejorar la seguridad en tanto a las redes de comunicacin, e implementar organismos que vigilen y promuevan

el funcionamiento de estas y que se regulen unos estndares de usos para la compatibilidad y el mercado nacional, que promuevan el uso de estas cubriendo las necesidades de muchas personas.

1.5.2 Justificacin Practica Es muy importante, cuando se habla de la seguridad en

redes Wifi resaltar el nivel prctico que tiene la investigacin a fondo de estas, ya que si se est hablando en relacin a las telecomunicaciones, se implica desde la parte terica hasta la tcnica, donde se deben llevar a cabo prcticas para contrarrestar a las violaciones de seguridad y promover los mecanismos de

infraestructura tecnolgica que sean necesarios para cubrir las necesidades en un nivel ms amplio. 1.5.3 Justificacin Metodolgica

6 Un esta investigacin se puede ayudar a fomentar un mecanismo ideolgico para fomentar las herramientas necesarias para

contrarrestar los niveles de inseguridad en las redes WIFI. Si tenemos presente el avance tecnolgico a nivel mundial que tienen las TIC y lo que representan para los medios de accesibilidad a la informacin, se debe de mirar como un punto muy grande que se tiene a favor, ya que se pueden fomentar el desarrollo de una investigacin colectiva mundial que promueva el constante desarrollo de la tecnologa y que ms uno de gran problemtica como lo es la seguridad Wifi. 1.6 Alcance y Limitaciones 1.6.1 Alcance Realizar el estudio de los posibles protocolos y seguridades que se puedan implementar en las redes inalmbricas para poder mejorar la seguridad del acceso a las mismas gracias a una gua correctamente elaborada. 1.6.2 Limitaciones No se implementar en ninguna empresa las seguridades

investigadas ya que solo se realizara un estudio para poder realizar una gua de implementacin. 1.7 Estudio de Factibilidad 1.7.1 Tcnica Con el fin de diagnosticar todos los puntos vulnerables a los que se refiere en seguridad inalmbrica, poder definir el protocolo adecuado

7 para para eliminar todas las falencias encontradas ya que se tiene un amplio conocimiento en configuraciones de router y acces point. 1.7.2 Operativa Cada da se incrementa el nmero de lugares donde se opta por esta tecnologa tanto para la transmisin de datos entre estaciones mviles, como para el acceso de estas estaciones mviles al resto de la red por ello es fundamental realizar una gua de implementacin de seguridades inalmbricas para que se evite sustraccin de

informacin robo de internet. 1.7.3 Econmica

1 2 3 4 5

Internet Movilizacin Energa Elctrica, Telfono Impresiones Gastos Varios

Mensual Mensual Mensual Mensual Mensual total

$ 24.00 $ 35.00 $ 28.00 $ 15.00 $ 30.00 $ 132.00

8 CAPITULO II

2. MARCO DE REFERRENCIA 2.1 Marco Terico El marco terico que sirve de sustentacin a la presente gua est basado en la realidad de las redes inalmbricas de hoy. Debido a su facilidad de instalacin y conexin, se han convertido en una excelente alternativa para ofrecer conectividad. El acceso sin necesidad de cables si bien es la razn que las hace ms populares, es a la vez el problema ms grande en cuanto a seguridad se refiere. Lo grave de esta situacin, es que muchos administradores de red parecen no haberse dado cuenta de las implicaciones negativas de poseer puntos de acceso inalmbrico en la red de una empresa. Es muy comn encontrar redes que en su interior tienen accesos inalmbricos totalmente desprotegidos e irradiando seal hacia el exterior de las instalaciones. Cualquier persona podra captar la seal del punto de acceso y tener acceso a la red de la compaa, navegar por Internet, emplear la red como punto de ataque a otras redes, robar software e informacin, introducir virus o software malicioso entre otras cosas. Un punto de acceso inalmbrico mal configurado se convierte en una puerta trasera que vulnera por completo la seguridad informtica de la compaa. La mala configuracin de acceso inalmbrico es,

desgraciadamente, una cosa muy comn. Un estudio publicado por RSA Security, encontr que de 328 puntos de acceso inalmbricos detectados, casi las dos terceras partes no tenan habilitado el cifrado mediante WEP (Wired Equivalent Protocol). Adems cien de estos puntos de acceso

9 estaban divulgando informacin que permita identificar la empresa a la que pertenecan, y 208 tenan la configuracin con la que vienen de fbrica. Esto demuestra que las redes inalmbricas merecen una atencin particular y medidas especiales en cuanto a Seguridad Informtica se refiere.

2.2 Marco Conceptual Las tecnologas inalmbricas se presentan como las de mayor auge y proyeccin en la actualidad. Permiten superar las limitantes de espacio fsico y ofrecen una mayor movilidad de usuarios. Se desarrollan a diario mejores estndares en la bsqueda de mayores tasas de transmisin y niveles de seguridad ms altos.

2.3 Marco Legal Los protocolos de las redes inalmbricas son las 802.11 (802.11a, 802.11b, y 802.11g): 802.11b.4 Ratificado por IEEE el 16 de septiembre de 1999, el protocolo de redes inalmbricas 802.11b es probablemente el ms asequible hoy en da. Millones de dispositivos que lo utilizan han sido vendidos desde 1999. Utiliza una modulacin llamada Espectro
4

http://www.ehas.org/wp-content/uploads/2012/01/redes-inalambricas-para-los-paises-endesarrollo.pdf

10 Expandido por Secuencia Directa Direct Sequence Spread Spectrum (DSSS) en una porcin de la banda ISM desde 2400 a 2484 MHz Tiene una tasa de transmisin mxima de 11Mbps, con una velocidad real de datos utilizable mayor a 5Mbps.

802.11g. 5Como no estuvo finalizada sino hasta junio de 2003, el protocolo 802.11g lleg relativamente tarde al mercado inalmbrico. A pesar de esto, el protocolo 802.11g es hoy por hoy el estndar de factor en la redes inalmbricas utilizado como una caracterstica

estndar en virtualmente todas las laptops y muchos de los dispositivos handheld. Utiliza el mismo rango ISM que 802.11b, pero con el esquema de modulacin denominado Orthogonal Frequency Division Multiplexing (OFDM) Multiplexaje por Divisin de

Frecuencias Ortogonales. Tiene una tasa de transmisin mxima de 54Mbps (con un rendimiento real de hasta 25Mbps), y mantiene compatibilidad con el altamente popular 802.11b gracias al soporte de las velocidades inferiores.

802.11a6. Tambin ratificado por la IEEE el 16 de septiembre de 1999 el protocolo 802.11a utiliza OFDM. Tiene una tasa de transmisin mxima de 54Mbps (con un rendimiento real de hasta 27Mbps). El 802.11a opera en la banda ISM entre 5725 y 5850MHz, y en una porcin de la banda UNII entre 5.15 y 5.35GHz. Esto lo hace incompatible con el 802.11b o el 802.11g, y su alta frecuencia implica

5 6

http://wndw.net/pdf/wndw-es/chapter1-es.pdf http://dspace.uniminuto.edu/jspui/bitstream/10656/575/1/TTRSI_MendiganaCastilloDiego_09.pdf

11 un rango ms bajo comparado con el 802.11b/g al mismo nivel de potencia. Si bien esta porcin del espectro es relativamente inutilizada comparada con la de 2.4GHz, desafortunadamente su uso es legal slo en unos pocos lugares del mundo. Realice una consulta a sus autoridades locales antes de utilizar equipamiento 802.11a,

particularmente en aplicaciones externas. Esto mejorar en el futuro, pues hay una disposicin de la unin Internacional de comunicaciones (UIT) instando a todas las administraciones a abrir el uso de esta banda. El equipo es bastante barato, pero no tanto como el 802.11b/g.

2.4 Marco Espacial Se tomara el rededor de 60 das de realizar el estudio para la implementacin de seguridades en las redes inalmbricas en la ciudad cuenca, se realizar una correcta gua para ayudar a las empresas que tienen falencias en este tema.

12 CAPITULO III

3. METODOLOGIA 3.1 Proceso de investigacin 3.1.1 Unidad de anlisis La empresa que nos ayudara para poder realizar el estudio de Seguridades Inalmbricas es INELCORP ya que esta empresa el que realizaron un ataque a la red y se sustrajeron informacin de suma importancia para concursos de tendido elctrico de alta tensin y adems presenta muchas falencias a lo que se refiriere seguridades inalmbricas. 3.1.2 Tipo de Investigacin Para poder ejecutar este estudio se utilizara como herramienta la investigacin Documental ya que mediante esta caracterstica permitir la consulta de informacin el web, manuales y libros sobre el tema planteado. 3.1.3 Mtodo Mtodo Inductivo: Posteriormente de ejecutar el proceso de captacin de la informacin pertinente se empieza con el anlisis de la informacin captada, prolongando los conceptos encontrados en la misma. Mtodo Deductivo Es el proceso lgico que parte del mtodo inductivo, donde se puede confirmar la informacin analizada y estructurada del mtodo anterior. Dentro de este mtodo se va a utilizar. con las definiciones de

13 Aplicacin: Parte de la generacin del proceso lgico del mtodo inductivo que sera aplicar todas las observaciones y abstracciones de los elementos investigados. Comprensin: Se realiza un anlisis de la generacin del proceso lgico para poder describir e incrementar el mismo. El cual diferenciamos la informacin para comprender la informacin obtenida. Demostracin: Consiste en la verificacin de los conceptos encontrados y analizados o la generacin del proceso para su funcionamiento.

3.1.4 Tcnica Para poder recoger informacin esencial del proyecto se lo har mediante entrevistas con el Gerente de dicha empresa y la persona encargada de sistemas para poder obtener la informacin del manejo de los dispositivos inalmbricos instalados en la misma. 3.1.5 Instrumento Se realizara un cuestionario para poder ir preguntando a los administradores y con la ayuda de una grabadora, para despus escuchar las respectivas entrevistas y poder sacar conclusiones.

14 CAPITULO IV

4. Conceptos y Generalidades 4.1 Introduccin Qu es una Red Inalmbrica?7 Es la cual acepta conectar varios terminales sin la utilizacin de una conexin fsica, si no con la gran ayuda de una comunicacin mediante ondas

electromagnticas que emiten sus antenas. La transmisin y recepcin de datos requieren de dispositivos que acten de emisor y receptor mediante estos se establecen el vnculo entre nodos sin la necesidad de instalar un cableado. 4.1.1 Componentes de una red inalmbrica. Una red WLAN bsica est constituida por los siguientes dispositivos: 4.1.1.1 Router Wi-Fi Es un dispositivo de red que permite el acceso a internet o una red de computadoras sin la necesidad de una conexin de cables ya que esta realiza la funcin de emisor de ondas

electromagnticas para que a su vez las tarjetas inalmbricas de las computadoras realizan la funcin de receptor.

http://www.cisco.com/web/ES/solutions/smb/innovators/how_to/articles/work_from_anywhere/what _is_a_wireless_network.html

15

Fig.1 Router Wi-Fi8

4.1.1.2 Tarjeta interna PCI wireless: Es una tarjeta cuya funcin es enviar y recibir datos sin la necesidad de cables estas por generalmente son instaladas en mquinas de escritorios en sus ranuras de ex pacin.

Fig.2 Tarjeta interna PCI Wireless9

http://espinal-areatic.blogspot.com/2010/11/aprendiendo-configurar-router-cisco.html

16

4.1.1.3 Adaptador USB Wireless USB (bus universal en serie) es un puerto que sirve para conectar perifricos a un Ordenador e incluye la transmisin de energa elctrica al dispositivo conectado. La gran demanda de los dispositivos USB es permitir ser conectados o desconectados al Ordenador sin necesidad de reiniciar. Al ser conectado el adaptador USB Wireless, el Ordenador lo enumera y agrega los controladores de instalacin necesarios para su uso.

Estado 2Fig.3

Adaptador USB Wireless

4.1.2 Cmo se realiza una conexin a una red inalmbrica? Actualmente, dependemos tanto de Internet para realizar nuestro trabajo que nos conectamos, frecuentemente de forma inalmbrica, al menos una vez al da. Sin embargo, no nos paramos a pensar cmo se realiza dicha conexin, dado que el sistema operativo lo realiza casi automticamente.
9

Los

puntos

de

acceso

inalmbrico

estn

http://www.zero13wireless.net/foro/showthread.php?188-Si-eres-Nuevo-por-dondeempezar.....&p=582

17 constantemente emitiendo, en intervalos de tiempo fijos, beacon frames (balizas) para informar de su presencia. Si un cliente quiere asociarse con un AP y unirse a una red, ha de escuchar en busca de beacon frames para detectar los puntos de acceso que estn a su alcance. Opcionalmente, puede enviar una trama denominada Prove Request que contenga un ESSID determinado para intentar localizar un punto de acceso concreto.

Fig.4 Conexin de una Red Inalmbrica Una vez identificado y seleccionado el AP10, se realiza una autentificacin del cliente mediante el intercambio de unas tramas de notificacin denominadas management frames. Si la verificacin de la identidad es satisfactoria, el cliente ya est reconocido por los dispositivos de la red, pero an no puede emitir datos ni participar de los recursos. Se dice, entonces, que est autenticado y disociado (o no asociado). Finalmente,

10

Punto De Acceso

18 el cliente se ha de asociar a un punto de acceso, que ser responsable de la distribucin de sus datos, para que pueda comunicarse con otros terminales de la red.

4.1.3 Ventajas y Desventajas en Redes Inalmbricas.11 Ventajas:

Instalacin Sencilla La instalacin y la configuracin debera ser plug and play es decir que al conectar las personas empezaran a disponer el servicio de red e internet de inmediato ya que se contara con el protocolo dhcp 12 el cual nos ayudara a proporcionar de direcciones ip automticas a los clientes que estn en la red adems es rpida, fcil y elimina la necesidad de la instalacin de cables y de agujerear paredes, permitiendo a la red llegar a punto de difcil acceso.

Robusta y confiable Hoy en da existe antenas amplificadoras que pueden dotar de acceso inalmbrico a varios kilmetros, estos sistemas instalados es una empresa o fresaran al personal que utiliza esta tecnologa una gran movilidad y as poder tener acceso en toda el rea de la infraestructura de la mismas.

Escalabilidad Con El avance de la tecnologa hoy en da existe routers y dems accesorios inalmbricos que pueden soportar la gran demanda de usuarios que se conocen simultneamente en la red permitindose

11 12

http://www.reocities.com/siliconvalley/network/5148/beneficios.html Direcciones IP automticas

19 as expandir su red reduciendo en costos e incorporando todos los equipos de computacin a la red general.

Costos reducidos Al momento de instalar una red inalmbrica puede ser su costo ms alto que al respecto de una red con cable pero durante su ciclo de vida puede ser significante ya que en instalaciones en movimiento no requiere instalacin fsica nuevamente.

Desventajas Interferencias Se pueden ocasionar por telfonos inalmbricos que operen a la misma frecuencia, tambin puede ser por redes inalmbricas cercanas o incluso por otros equipos conectados inalmbricamente a la misma red. Velocidad Las redes cableadas alcanzan la velocidad de 100 Mbps, mientras que las redes inalmbricas alcanzan cuando mucho 54 Mbps. Seguridad En una red cableada es necesario tener acceso al medio que transmite la informacin mientras que en la red inalmbrica el medio de transmisin es el aire. 4.1.4 Aplicaciones de los Sistemas WLAN en la Industria. Las aplicaciones ms tpicas de las redes de rea local que podemos encontrar actualmente son las siguientes:

20 Corporaciones Con WLAN los empleados pueden beneficiarse de una red mvil para el correo electrnico, comparticin de archivos, y visualizacin de web's, independientemente de dnde se ubiquen en la oficina. Educacin Las instituciones acadmicas que soportan este tipo de conexin mvil permiten a los usuarios con computadoras de ordenador conectarse a la red de la universidad para intercambio de opiniones en las clases, para acceso a internet, etc. Finanzas Mediante una PC porttil y un adaptador a la red WLAN, los representantes pueden recibir informacin desde una base de datos en tiempo real y mejorar la velocidad y calidad de los negocios. Los grupos de auditoras contables incrementan su productividad con una rpida puesta a punto de una red. 4.2 Vulnerabilidades en redes Wireless LAN.13 Qu es lo que hace que las redes inalmbricas sean ms vulnerables que las redes de cable? La respuesta es sencilla: desconocimiento de las herramientas de seguridad disponibles para redes inalmbricas. El trmino "seguridad inalmbrica" no tiene por qu ser una expresin contradictoria. De hecho son muchas las personas que piensan que es ms difcil "pinchar" un cable que el aire. Hoy en da existen las herramientas de seguridad, funciones y protocolos adecuados para proporcionar una adecuada proteccin en las LAN's inalmbricas.
13

http://www.academia.edu/556243/Seguridad_En_Redes_Inalambricas

21 4.2.1 Debilidades de Implementacin en Wireless LAN.

Adems de las debilidades propias inherentes, la puesta en prctica de los estndares nunca es ideal, y siempre puede haber defectos y no adhesiones al mismo, hasta en los fabricantes ms prestigiosos. Existen ataques particulares a redes wireless, que aprovechan algunas de las debilidades comentadas, y que pueden ser agrupados en varias categoras.

4.2.1.1 Ataques

de

escucha/monitorizacin

pasiva

(eavesdropping) (Escuchar secretamente).

Las redes Wireless son especialmente vulnerables a los ataques de monitorizacin, siendo el nico requisito para su realizacin la conectividad, es decir, la posibilidad de acceso al flujo de datos.

Fig.5 Ataques de escucha/monitorizacin

Que se traduce literalmente como escuchar secretamente, es el trmino con el que se conoce la escucha de conversaciones por

22 parte de clientes que no participan en dicha conversacin. Requiere interceptar toda la informacin compartida y que se intercambian entre usuarios el atacante realiza un enlace el quedndose en el medio para poder ver la informacin que llega a ambas mquinas que se conectan a este.

4.2.1.2 Ataques de Intercepcin/Insercin (man-in- the-middle).

Man in The Middle traducido al espaol seria Hombre En Medio u Hombre en el medio se refieren a que existe alguien en medio de la comunicacin entre el origen y el destino. El atacante puede observar, interceptar, modificar y retransmitir la informacin,lo que da origen a los siguientes posibles ataques posteriores: > Sniffing Leer credenciales enviadas. (Users, Passwords, Cookies, Ccs...) Leer informacion enviada. (Archivos, chat, paginas...) Observar el comportamiento del usuario en base al trfico de red. > Spoofing El atacante puede enviar datos como si fuera el origen. Realizar operaciones con los datos del cliente. Mostrar pginas falsas. Enviar los datos a un destino diferente. > Negacin de Servicio El atacante puede interrumpir la comunicacin. Bloquear el acceso a ciertas pginas.

23

Fig.6 Ataques de Interseccin

4.2.1.3 Interferencia y Atenuacin

Debido a la naturaleza de la tecnologa de radio, las seales de radio frecuencia pueden desvanecerse o bloquearse por materiales medioambientales. La inspeccin nos ayudar a identificar los elementos que afecten negativamente a la seal inalmbrica, algunos elementos y su grado de interferencia se muestra en la Tabla 4.2.1.3.

Material Madera Vidrio Yeso Ladrillo Hojas Agua Tabiques Ventanas

Ejemplo

Interferencia Baja Baja Baja Media Media Alta

Paredes interiores Paredes interiores y exteriores rboles y plantas Lluvia

24 Papel Vidrio con plomo Metal Rollos de papel Ventanas Vigas, armarios Alta Alta Muy Alta

Tabla1. Interferencia y Atenuacin

Debido a que las redes inalmbricas operan en un espectro de frecuencias utilizado por otras tecnologas, pueden existir

interferencias que pueden afectar producir negativamente al rendimiento. Las tecnologas que pueden interferencias son las siguientes: Bluetooth. Hornos Microondas. Otras redes WLAN.

4.2.2 El Problema de la Seguridad.

La mayora de aparatos tecnolgicos como por ejemplo celulares laptops etc. ya disponen de una tarjeta inalmbrica integrada y con la ayuda de estos dispositivos pueden conectarse un router u otros puntos de acceso , esto se debe a que la mayora de redes inalmbricas se encuentran desprotegidas.

4.2.3 Localizando Redes Inalmbricas.

25 4.2.3.1 Warchalking14

El Warchalking, que consiste en caminar por la calle con un computador porttil dotado de una tarjeta WLAN, buscando la seal de puntos de acceso. Cuando se encuentra uno, se pinta con tiza un smbolo especial en la acera o en un muro, indicando la presencia del punto de acceso y si tiene configurado algn tipo de seguridad o no. De este modo, otras personas pueden conocer la localizacin de la red y hacer uso de esta.

Fig.7 Warchalking y su simbologia.

4.2.3.2 Wardriving El wardriving, propio para localizar puntos de acceso inalmbrico desde un automvil. Para este fin se necesita de un computador porttil con una tarjeta WLAN, una antena adecuada (que se puede elaborar fcilmente con una lata de conservas) un GPS para localizar los puntos de acceso en un mapa, y software para

14

http://www.elladodelmal.com/2009/10/wardriving-con-windows-mobile-i-de-iv.html

26 deteccin de redes inalmbricas, que se consigue libremente en Internet.

Fig.8 Wardriving.

En la Figura 4.2.3.2 se observa a la izquierda el equipo necesario (computador, y lata que simula antena); a la derecha, el GPS (Global Positioning System) que es un sistema satelitario basado en seales de radio que indica la ubicacin de redes inalmbricas. Ingresar a la red y hacer uso ilegtimo de sus recursos. Configurar un punto de acceso propio, orientando la antena de tal modo que los computadores que son clientes legtimos de la red atacada se conecten a la red del atacante. Una vez hecho esto, el atacante podra robar la informacin de dichos computadores, instalarles software maligno o daar la informacin. 4.2.3.3 Diferencia entre Warchalking y Wardriving El Warchalking es la prctica de dibujar smbolos con tiza en paredes o pisos para indicar la existencia de Access point (puntos

27 de acceso) desprotegidos que permitan el acceso inalmbrico a redes y /o a Internet. Luego todos podrn ver desde el exterior que en ese lugar hay nodos abiertos sin ningn tipo de proteccin. El Wardriving es algo similar, pero se realiza desde un vehculo con el cual se recorren diversas calles y con un GPS y un plano de la ciudad se marca los puntos desprotegidos. En diversos estudios realizados se ha encontrado que en casi todo el mundo, las redes Wireless desprotegidas son ms del 60%. Esto ha favorecido el auge del Warspamming, que consiste en enviar spam a travs de redes ajenas, evitando que se identifique al verdadero spammer, y el Warvirusing, que consiste en sembrar virus en Internet por medio de servidores de organizaciones que no se ocupan de protegerlos. Otro "beneficio", de este sistema de captura consiste en distribuir una o varias de las redes cazadas, de echo en varias ciudades espaolas, ya se han creado comunidades llamadas "ADHOCline",por medio de este protocolo y el ICS(internet conection sharing) se van pasando la red de unos a otros llegando a cubrir varios klm a la redonda y transmitiendo la lnea ocupada de un punto a otro de la ciudad, usando bien un amplificador de seal, cuando la perdida es notable, o accediendo a otro de los puntos Warchalking, disponible.

4.3 Seguridad bsica y avanzada en Wireless LAN 4.3.1 Metodologas de Defensa en Redes Wireless LAN.

28 Existen varios mtodos para lograr la configuracin segura de una red inalmbrica; cada mtodo logra un nivel diferente de seguridad y presenta ciertas ventajas y desventajas. Se har a continuacin una presentacin de cada uno de ellos. 4.3.1.1 Mtodo 1: Filtrado de direcciones MAC. 15 Este mtodo consiste en la creacin de una tabla de datos en cada uno de los puntos de acceso a la red inalmbrica. Dicha tabla contiene las direcciones MAC (Media Access Control) de las tarjetas de red inalmbricas que se pueden conectar al punto de acceso. Como toda tarjeta de red posee una direccin MAC nica, se logra autenticar el equipo. Este mtodo tiene como ventaja su sencillez, por lo cual se puede usar para redes caseras o pequeas. Sin embargo, posee muchas desventajas que lo hacen imprctico para uso en redes medianas o grandes. No escala bien, porque cada vez que se desee autorizar o dar de baja un equipo, es necesario editar las tablas de direcciones de todos los puntos de acceso. Despus de cierto nmero de equipos o de puntos de acceso, la situacin se torna inmanejable. El formato de una direccin MAC no es amigable (normalmente se escriben como 6 bytes16 en hexadecimal), lo que puede llevar a cometer errores en la manipulacin de las listas. Las direcciones MAC viajan sin cifrar por el aire. Un atacante podra capturar direcciones MAC de tarjetas matriculadas en la red
15 16

http://www.jacksecurity.com/files/publications/Jack42.pdf 8 caracteres

29 empleando un sniffer17, y luego asignarle una de estas direcciones capturadas a la tarjeta de su computador, empleando programas tales como AirJack 6 o WellenRei-ter, entre otros. De este modo, el atacante puede hacerse pasar por un cliente vlido. En caso de robo de un equipo inalmbrico, el ladrn dispondr de un dispositivo que la red reconoce como vlido. En caso de que el elemento robado sea un punto de acceso el problema es ms serio, porque el punto de acceso contiene toda la tabla de direcciones vlidas en su memoria de configuracin. Debe notarse adems, que este mtodo no garantiza la confidencialidad de la informacin transmitida, ya que no prev ningn mecanismo de cifrado. 4.3.1.2 Mtodo 2: Wired Equivalent Privacy (WEP). El nivel ms bsico de seguridad para redes inalmbricas es WEP, o Wired Equivalent Privacy, una caracterstica estndar de todas las redes LAN inalmbricas certificadas con la norma Wi-Fi. WEP, creado por el Instituto de Ingenieros en Electricidad y Electrnica (IEEE), ha sido diseado para proporcionar un nivel de seguridad, prevenir posibles escuchas de la informacin y proteger la red mediante la encriptacin de todos los datos que se enven de forma inalmbrica.

El algoritmo WEP forma parte de la especificacin 802.11, y se dise con el fin de proteger los datos que se transmiten en una
17

programa informtico que registra la informacin que envan los perifricos

30 conexin inalmbrica mediante cifrado. WEP opera a nivel 2 del modelo OSI y es soportado por la gran mayora de fabricantes de soluciones inalmbricas.

El algoritmo WEP cifra de la siguiente manera: A la trama en claro se le computa un cdigo de integridad (Integrity Check Value, ICV) mediante el algoritmo CRC-32. Dicho ICV se concatena con la trama, y es empleado ms tarde por el receptor para comprobar si la trama ha sido alterada durante el transporte. Se escoge una clave secreta compartida entre emisor y receptor. Esta clave puede poseer 40 128 bits. Si se empleara siempre la misma clave secreta para cifrar todas las tramas, dos tramas en claro iguales produciran tramas cifradas similares. Para evitar esta eventualidad, se concatena la clave secreta con un nmero aleatorio llamado vector de inicializacin (IV) de 24 bits. El IV cambia con cada trama. La concatenacin de la clave secreta y el IV (conocida como semilla) se emplea como entrada de un generador RC4 de nmeros seudo aleatorios. El generador RC4 es capaz de generar una secuencia seudo aleatoria (o cifra de flujo) tan larga como se desee a partir de la semilla. El generador RC4 genera una cifra de flujo, del mismo tamao de la trama a cifrar ms 32 bits (para cubrir la longitud de la trama y el

31 ICV). Se hace un XOR bit por bit de la trama con la secuencia de clave, obtenindose como resultado la trama cifrada. El IV y la trama se transmiten juntos los mecanismos de seguridad que ofrece el protocolo WEP 802.11b pueden ser clasificados en las siguientes categoras: Autenticacin Cuando se desea establecer una comunicacin entre dos dispositivos, debe primero establecerse una asociacin. Para ello el cliente solicita la autenticacin y el Punto de Acceso responde identificando el tipo de autenticacin presente en la red. Posteriormente, el cliente procede con la autenticacin y, si es satisfactoria, se lleva a cabo la asociacin. El primer paso para poder autenticar un cliente en una red wireless es el conocimiento del SSID (Service Set Identifier), que funciona de forma similar al concepto de comunidad en SNMP, es decir, para obtener acceso al sistema es necesario conocer el SSID. El estndar 802.11b plantea dos posibles formas de autenticacin: Open System:18 Es el mecanismo de autenticacin por defecto, y permite que cualquier estacin se una al sistema tras la negociacin de los parmetros de red necesarios, es decir, se utiliza autenticacin NULA, en la que cualquier dispositivo puede obtener acceso a la red.

18

http://www.businessdictionary.com/definition/open-system.html

32 Shared Key: Se lleva a cabo mediante un mecanismo de desafo/respuesta cifrado, siendo necesario durante el proceso que ambas estaciones posean una clave comn (autenticacin simtrica). Para que una red 802.11b pueda utilizar este tipo de autenticacin, debe emplear el protocolo WEP. Confidencialidad La confidencialidad en las redes wireless se obtiene mediante el uso de WEP como protocolo de cifrado. Control de Acceso Cuando est activada la autenticacin shared key, todos los paquetes deben estar correctamente cifrados, siendo descartados en caso contrario. Otra forma complementaria de control de acceso y autenticacin se apoya en filtrado de trfico por direcciones MAC en los puntos de acceso. Integridad de datos WEP utiliza un simple CRC32 (Cdigo de Redundancia Cclica) para asegurar la integridad de los datos, siendo insuficiente la utilidad y eficiencia de este control. 4.3.1.3 Mtodo 3: Las VPN.19 Una red privada virtual (Virtual Private Network, VPN) emplea tecnologas de cifrado para crear un canal virtual privado sobre una red de uso pblico. Las VPN resultan especialmente atractivas

19

http://www.uaeh.edu.mx/docencia/Tesis/icbi/licenciatura/documentos/Redes%20privadas%20virtuales .pdf

33 para proteger redes inalmbricas, debido a que funcionan sobre cualquier tipo de hardware inalmbrico y superan las limitaciones de WEP. Para configurar una red inalmbrica utilizando las VPN, debe comenzarse por asumir que la red inalmbrica es insegura. Esto quiere decir que la parte de la red que maneja el acceso inalmbrico debe estar aislada del resto de la red, mediante el uso de una lista de acceso adecuada en un enrutador, o agrupando todos los puertos de acceso inalmbrico en una VLAN si se emplea switching. Dicha lista de acceso y/o VLAN solamente debe permitir el acceso del cliente inalmbrico a los servidores de autorizacin y autenticacin de la VPN. Deber permitirse acceso completo al cliente, slo cuando ste ha sido debidamente autorizado y autenticado. La Figura 5.3 muestra la estructura de la red con la utilizacin de VPN. Los servidores de VPN se encargan de autenticar y autorizar a los clientes inalmbricos, y de cifrar todo el trfico desde y hacia dichos clientes. Dado que los datos se cifran en un nivel superior del modelo OSI, no es necesario emplear WEP en este esquema.

4.3.1.4 Mtodo 4: WPA (Wi-Fi Protected Access). WPA es un estndar propuesto por los miembros de la Wi-Fi Alliance (que rene a los grandes fabricantes de dispositivos para WLAN) en colaboracin con la IEEE. Este estndar busca

34 subsanar los problemas de WEP, mejorando el cifrado de los datos y ofreciendo un mecanismo de autenticacin.

Para solucionar el problema de cifrado de los datos, WPA propone un nuevo protocolo para cifrado, conocido como TKIP (Temporary Key Integrity Protocol). Este protocolo se encarga de cambiar la clave compartida entre punto de acceso y cliente cada cierto tiempo, para evitar ataques que permitan revelar la clave. TKIP ampla la longitud de la clave de 40 a 128 bits. Igualmente se mejoraron los algoritmos de cifrado de trama y de generacin de los IVs, con respecto a WEP. El protocolo TKIP est compuesto por los siguientes elementos:

Un cdigo de integracin de mensajes (MIC), encripta el checksum incluyendo las direcciones fsicas (MAC) del origen, del destino y los datos en texto claro de la trama 802.11. Esta medida protege contra los ataques por falsificacin. Contramedidas para reducir la probabilidad de que un ataque pueda aprender o utilizar una determinada llave. Utilizacin de un IV (vector de inicializacin) de 48 bits llamada TSC (TKIP Squense Counter) para protegerse contra ataques por repeticin, descartando los paquetes recibidos fuera de orden.

4.3.2 Consejos de Seguridad Para que un intruso se pueda meter a nuestra red inalmbrica tiene que ser nodo o usuario, pero el peligro radica en poder escuchar nuestra

35 transmisin. Vamos a dar unos pequeos consejos para poder estar ms tranquilos con nuestra red inalmbrica. Haga ms sencilla la seguridad Integre las polticas inalmbricas y las de cable. La seguridad inalmbrica no es una infraestructura de red aparte cuyos

procedimientos o protocolos son completamente distintos. Desarrolle una poltica de seguridad que combine tanto seguridad inalmbrica como seguridad para la red de cable, para impulsar las ventajas de gestin y de ahorro de costos. Por ejemplo, integrando la peticin de nombre de usuario y contrasea para todos los usuarios que accedan a la red ya sea mediante infraestructura de cable o inalmbrica. Situar el punto de acceso en el lugar adecuado comience con lo ms bsico En la configuracin de la red de su empresa, asegrese de que los puntos de acceso estn fuera de su firewall perimetral en el caso de que su solucin inalmbrica no cuente con los sistemas de encriptacin y autenticacin requeridos, de esta manera su firewall perimetral controlar los accesos. Adems se debe cambiar las claves por defecto cuando instalemos el software del Punto de Acceso Utilizar una direccin MAC para evitar ataques Utilizar una direccin MAC basada en ACLs (Access Control Lists) har que slo los dispositivos registrados puedan acceder a la red. El filtro mediante direcciones MAC es como aadir otro cerrojo a la puerta principal, y cuantos ms obstculos encuentre un hacker, ms rpidamente desistir en sus intenciones de intrusin a nuestra red.

36 Administrar su nombre de red Todas las redes inalmbricas tienen asignado por defecto un nombre de red o SSID (Service Set Identifier). Cmbielo, inmediatamente, por un cdigo alfanumrico. Si su organizacin puede encargarse de la administracin de la red, cambie del SSID de forma regular, e inutilice la funcin de reconocimiento automtico de la contrasea en su ordenador, para evitar que el SSID sea identificado fcilmente. Impulsar los servidores RADIUS existentes Los usuarios remotos de las compaas ms grandes son a veces autenticados para utilizar la red a travs de un servidor RADIUS (Remote Authentication Dial-In User Service). Los directores de TI pueden integrar las redes LAN inalmbricas en la infraestructura RADIUS ya establecida para hacer ms sencilla su gestin. Esto no slo hace posible la autenticacin inalmbrica, sino que adems asegura que los usuarios de la red inalmbrica siguen el mismo proceso de y aprobaciones que los usuarios remotos. Instalar el Protocolo de seguridad WEP WEP (Wired Equivalent Privacy) es el protocolo de seguridad inalmbrico del estndar 802.11b. Se ha diseado para proporcionar proteccin mediante encriptacin de datos al tiempo en que se transmite la informacin, exactamente igual que se hace en las redes de cable. Slo tiene que instalarlo, habilitarlo y cambiar de forma inmediata la clave WEP, ya que aparecer una por defecto. Lo ideal es que genere sus claves WEP de forma dinmica cuando un usuario se identifique, haciendo que la clave de acceso a la red inalmbrica sea

37 diferente para cada usuario y en cada ocasin, de esta manera se consigue una mejor proteccin. VPN Si cada opcin de seguridad es un impedimento que un hacker debe salvar (cambiar el SSID, habilitar filtros mediante direcciones MAC y generar claves WEP de forma dinmica) una red privada virtual o VPN es una cmara acorazada. Las VPN ofrecen un nivel ms de seguridad basado en la creacin de un tnel seguro entre el usuario y la red. No todas las Redes Inalmbricas son iguales Mientras que 802.11b es un protocolo estndar y todos los equipos que lleven la acreditacin Wi-Fi operan con la misma funcionalidad base, no todos los dispositivos inalmbricos han sido creados de la misma manera. Wi-Fi asegura interoperabilidad, mientras que los productos de muchos fabricantes no incluyen prestaciones avanzadas de seguridad. No permita que cualquier "usuario avanzado" configure su red inalmbrica La configuracin de una WLAN es lo suficientemente sencilla como para que no haga falta que el personal tcnico instale los puntos de acceso en su propio departamento, sin pararse a pensar demasiado en el aspecto de la seguridad. Antes debe analizarse la red regularmente, con herramientas de deteccin de intrusos para evitar que la red pueda convertirse en un punto potencial susceptible de ser atacado por un hacker. Por tanto, se debe establecer una poltica que restrinja que las WLANs puedan ser implementadas sin el desarrollo y aprobacin del administrador de la red.

38 Utilizar opciones no compatibles Si nuestra red es de una misma marca podemos escoger esta opcin para tener un punto ms de seguridad, esto har que nuestro posible intruso tenga que trabajar con un modelo compatible al nuestro. 4.4 Herramientas 4.4.1 Criptografa20 Desde que el hombre ha necesitado comunicarse con los dems ha tenido la necesidad de que algunos de sus mensajes solo fueran conocidos por las personas a quien estaban destinados. La necesidad de poder enviar mensajes de forma que solo fueran entendidos por los destinatarios hizo que se crearan sistemas de cifrado, de forma que un mensaje despus de un proceso de transformacin, lo que llamamos cifrado, solo pudiera ser ledo siguiendo un proceso de descifrado. Las civilizaciones ms antiguas (egipcia, mesopotmica, china) ya usaban esos mtodos. Uno de los primeros mtodos de encriptado que est documentado es atribuido a Julio Cesar, que se basaba en la sustitucin de las letras de un documento por la tercera letra que le correspondiese en el alfabeto. As la A se converta en una D, la B en E. Con el tiempo y debido principalmente a su uso militar, los sistemas criptogrficos fueron avanzando en complejidad, hasta llegar a la actualidad donde la informtica ha avanzado enormemente y la necesidad de seguridad al realizar las operaciones aumenta. En la vida real, se acostumbra a enviar o recibir cartas postales que vienen encerradas en un sobre para que su lectura est reservada solo al

20

http://www.seguridadenlared.org/es/index25esp.html

39 destinatario. En el mundo virtual, en el caso del e-mail esto no es as, ya que lo que se enva es la carta sin el "sobre" que lo contenga, es decir, sin nada que impida su lectura por parte de cualquiera que pudiera interceptarla.

4.4.1.1 Como funciona La palabra criptologa proviene de las palabras griegas Kryto y logos que significa estudio de lo oculto. Una rama de la criptologa es la criptografa, que se ocupa del cifrado de mensajes. Esta se basa en que el emisor emite un mensaje en claro, que es tratado mediante un cifrador con la ayuda de una clave, para crear un texto cifrado. Este texto cifrado, por medio del canal de comunicacin establecido, llega al descifrador que convierte el texto cifrado, apoyndose en otra clave, para obtener el texto en claro original. Las dos claves implicadas en el proceso de cifrado/descifrado pueden ser o no iguales dependiendo del sistema de cifrado utilizado.

4.4.2 Sistema de cifrado 4.4.2.1 Sistemas de cifrado simtrico Los sistemas de cifrado simtrico son aquellos que utilizan la misma clave para cifrar y descifrar un documento. El principal problema de seguridad reside en el intercambio de claves entre el emisor y el receptor ya que ambos deben usar la misma clave. Por lo tanto se tiene que buscar tambin un canal de comunicacin que

40 sea seguro para el intercambio de la clave. Es importante que dicha clave sea muy difcil de adivinar ya que hoy en da los ordenadores pueden adivinar claves muy rpidamente. Por ejemplo el algoritmo de cifrado DES usa una clave de 56 bits, lo que significa que hay 72 mil billones de claves posibles. Actualmente ya existen ordenadores especializados que son capaces de probar todas ellas en cuestin de horas. Hoy por hoy se estn utilizando ya claves de 128 bits que aumentan el "espectro" de claves posibles (2 elevado a 128) de forma que aunque se uniesen todos los ordenadores existentes en estos momentos no lo conseguiran en miles de millones de aos.

4.4.2.2 Sistemas de cifrado asimtrico. Tambin son llamados sistemas de cifrado de clave pblica. Este sistema de cifrado usa dos claves diferentes. Una es la clave pblica y se puede enviar a cualquier persona y otra que se llama clave privada, que debe guardarse para que nadie tenga acceso a ella. Para enviar un mensaje, el remitente usa la clave pblica del destinatario para cifrar el mensaje. Una vez que lo ha cifrado, solamente con la clave privada del destinatario se puede descifrar, ni siquiera el que ha cifrado el mensaje puede volver a descifrarlo. Por ello, se puede dar a conocer perfectamente la clave pblica para que todo aquel que se quiera comunicar con el destinatario lo pueda hacer.

41 Un sistema de cifrado de clave pblica basado en la factorizacin de nmeros primos se basa en que la clave pblica contiene un nmero compuesto de dos nmeros primos muy grandes. Para cifrar un mensaje, el algoritmo de cifrado usa ese compuesto para cifrar el mensaje. Para descifrar el mensaje, el algoritmo de descifrado requiere conocer los factores primos, y la clave privada tiene uno de esos factores, con lo que puede fcilmente descifrar el mensaje. Es fcil, con los ordenadores de hoy en da, multiplicar dos nmeros grandes para conseguir un nmero compuesto, pero es muy difcil la operacin inversa, Dado ese nmero compuesto, factorizarlo para conocer cada uno de los dos nmeros. Mientras que 128 bits se consideran suficiente en las claves de cifrado simtrico, y dado que la tecnologa de hoy en da se encuentra muy avanzada, se recomienda en este caso que la clave pblica tenga un mnimo de 1024 bits. Para un ataque de fuerza bruta, por ejemplo, sobre una clave pblica de 512 bits, se debe factorizar un numero compuesto de hasta 155 cifras decimales.

4.4.2.3 Sistemas de cifrado hbridos. Es el sistema de cifrado que usa tanto los sistemas de clave simtrica como el de clave asimtrica. Funciona mediante el cifrado de clave pblica para compartir una clave para el cifrado simtrico. En cada mensaje, la clave simtrica utilizada es diferente por lo que si un atacante pudiera descubrir la clave simtrica, solo le

42 valdra para ese mensaje y no para los restantes. Tanto PGP como GnuPG usan sistemas de cifrado hbridos. La clave simtrica es cifrada con la clave pblica, y el mensaje saliente es cifrado con la clave simtrica, todo combinado automticamente en un slo paquete. El destinatario usa su clave privada para descifrar la clave simtrica y acto seguido usa la clave simtrica para descifrar el mensaje. ltimamente ha aparecido un gran nmero de

herramientas de seguridad.

4.5 Herramientas de control y seguimiento de accesos 21 Son aquellas herramientas que permitirn tener una informacin (mediante ficheros de trazas) de todos los intentos de conexin que se han producido sobre ese sistema o sobre otro que se haya sealado, as como intentos de ataque de forma sistemtica a puertos tanto de TCP como de UDP (herramientas de tipo SATAN). Este tipo de herramientas permite tener un control sobre todos los paquetes que entran por la interfaz de red de la mquina: IP (TCP, UDP) e ICMP, o analizando paquetes en el mbito de aplicaciones (TELNET, FTP, SMTP, LOGIN, SHELL...). Estas herramientas pueden ser utilizadas junto con otras que permitan definir desde qu mquinas se permiten ciertas conexiones y de cuales se prohben. Algunas de las herramientas no necesitan estar instaladas en la mquina que se quiere controlar (ya que se puede poner en una mquina cuya interfaz de red funcione en modo promiscuo, permitiendo seleccionar la direccin IP o mquina que se quiere auditar).
21

http://www.rediris.es/difusion/publicaciones/boletin/35/enfoque2.html

43 Algunas de las herramientas pueden tener un doble uso, es decir permiten protegerse ante posibles ataques, pero tambin podran ser utilizadas para intentar comprometer los sistemas. Por eso es importante que el uso de estas herramientas est restringido (en la manera que se pueda) para que no todo el mundo est utilizndolas de forma aleatoria y nos oculten realmente un ataque. Tambin podrn ser utilizadas para hacer seguimientos en la red cuando se crea que alguna de las mquinas ha sido comprometida. Las herramientas que permiten este tipo de operatividad son: tcp-wrapper, netlog, argus, tcpdump, SATAN, ISS, courtney, gabriel, nocol, tcplist. Tcp-wrappers El tcp-wrappers es un software de domino pblico desarrollado por Wietse Venema (Universidad de Eindhoven, Holanda). Su funcin principal es proteger a los sistemas de conexiones no deseadas a determinados servicios de red, permitiendo a su vez ejecutar determinados comandos ante determinadas acciones de forma automtica. Con este paquete se puede monitorizar y filtrar peticiones entrantes a distintos servicios TCPIP, como: SYSTAT, FINGER, FTP, RLOGIN, RSH, REXEC, TFTP, TALK. El software est formado por un pequeo programa que se instala en el "/etc/inetd.conf". Una vez instalado, se puede controlar los accesos (mediante el uso de reglas) y dejar una traza de todos los intentos de conexin tanto admitidos como rechazados (por servicios, e indicando la mquina que hace el intento de conexin). Netlog

44 Este programa escucha todos los servicios sobre TCP, dejando una traza de cada servicio en un fichero de trazas, indicando la hora, la mquina origen u y el puerto de esa conexin. Udplogger Es semejante al anterior pero para los servicios sobre UDP. Icmplogger Se encarga de trazar el trfico de icmp. Estos programas pueden guardar su informacin en ASCII o en formato binario, en este segundo caso el programa dispone de una herramienta (extract) que permite consultar los ficheros de trazas dndole patrones de bsqueda, como pueden ser trficos desde una red concreta, intentos de conexin a puertos especficos, etc. Etherscan Es una herramienta que monitoriza la red buscando ciertos protocolos con actividad inusual, como puedan ser conexiones ftp (en este caso si se han realizado con xito nos indica qu ficheros se han llevado), comandos en el puerto de sendmail (25 tcp) como vrfy, expn, algunos comandos de rpc como rpcinfo, peticiones al servidor de NIS (algunas herramientas utilizan este tipo de servidores para obtener el fichero de password, ejm: ypx), peticiones al demonio de mountd, etc. Etherscan se ejecuta en modo promiscuo en la mquina utilizando (al igual que las anteriores) el NIT (Network Interface Tap de SunOs 4.1.x), y tambin el "Packet Filtering Interface" para realizar esas capturas. Nstat

45 Esta herramienta, que originariamente fue diseada para obtener estadsticas de uso de varios protocolos, se puede utilizar para detectar cambios en los patrones de uso de la red, que puedan hacer sospechar que algo raro est pasando en la misma. Esta herramienta viene acompaada por dos utilidades que permiten analizar la salida que origina nstat, a saber: nsum, nload. La primera de ellas da informacin de ciertos periodos de tiempo, el segundo es un programa awk que produce una salida que puede ser vista de forma grfica por herramientas como xvgr. Se puede decir que esta herramienta es muy til para detectar ciertos tipos de ataques, as como dar una idea de qu tipo de protocolos estn viajando por la red. Adems tiene la ventaja que al estar en modo promiscuo, con solo tenerlo en una mquina del segmento se puede tener monitorizado todo el segmento en el que est conectada. Argus Es una herramienta de dominio pblico que permite auditar el trfico IP que se produce en nuestra red, mostrando todas las conexiones del tipo indicado que descubre. Este programa se ejecuta como un demonio y escucha directamente la interfaz de red de la mquina, y su salida es mandada bien a un fichero de trazas o a otra mquina para all ser leda. En la captura de paquetes IP se le puede especificar condiciones de filtrado como protocolos especficos, nombres de mquinas, etc. A la hora de leer esa informacin se dispone de una herramienta que incluye el software (llamado ra) y que permite tambin realizar filtros de visualizacin. Una caracterstica de esta herramienta es la posibilidad de

46 filtrar paquetes de acuerdo a las listas de acceso de los routers CISCO. Es posible por tanto decirle que capture aquellos paquetes que no cumplen las reglas de la lista de acceso definida para esa interfaz del router. Este programa divide las transacciones en cuatro grupos: TCP, UDP/DNS, MBONE, ICMP. Tcpdump Es un software de dominio pblico que imprime las cabeceras de los paquetes que pasan por una interfaz de red. Este programa es posible ejecutarlo en modo promiscuo con lo que se tendr las cabeceras de los paquetes que viajan por la red. Tanto en la captura como en la visualizacin de la informacin es posible aplicar filtros por protocolo (TCP, UDP, IP, ARP, RARP ...), puertos (en este caso el puerto puede ser un nmero o un nombre especificado en el fichero/etc/services), direcciones fuente, direcciones destino, direcciones de red, as como realizar filtros con operadores (=, <, >, !=, and, not, ...). En la ltima versin es posible ver tambin los paquetes de datos. Satan (Security Administrator Tool for Analyzing Networks). Es un software de dominio pblico creado por Dan Farmer que chequea mquinas conectadas en red y genera informacin sobre el tipo de mquina, qu servicios da cada mquina y avisa de algunos fallos de seguridad que tengan dichas mquinas. Una de las ventajas de SATAN frente a otros paquetes es que utiliza un interfaz de WWW (como Mosaic, Netscape,..) Y va creando una base de datos de todas las mquinas chequeadas y las va relacionando entre ellas (de forma que si encuentra una mquina

47 insegura, y chequea otra mquina que est relacionada con esta, automticamente quedar marcada esta segunda tambin como

insegura), adems tiene la posibilidad de poder chequear las mquinas con tres niveles ("light", normal y "heavy"). Una vez realizado el chequeo de la mquina se genera una salida en formato html, y en el caso de encontrar fallos da una pequea explicacin sobre el fallo en concreto y si existe algn documento sobre ese fallo recogido en el CERT (advisory) tiene un enlace a ese documento, para que sobre la marcha pueda ser consultado. Adems en el caso que el fallo de seguridad sea debido a versiones antiguas de software da la posibilidad (mediante un enlace) de instalar una versin de ese software. Algunos de los servicios chequeados por SATAN son: finger, NFS, NIS, ftp, DNS, rexd as como tipo de sistema operativo, versin de sendmail, etc. La base de datos generada por SATAN puede ser luego consultada por varios campos: Tipo de sistema operativo, tipo de servicio (servidores de NIS, ftp, NFS, X, etc). SATAN ha sido diseado como una herramienta de seguridad para ayudar a administradores de sistemas y redes, pero tambin puede ser utilizada para atacar a sistemas y descubrir la topologa de la red de una organizacin (SATAN es capaz de chequear mquinas por subredes, con lo que quedan al descubierto todas las mquinas que se encuentran conectadas en dicha subred). ISS (Internet Security Scanner) Es una herramienta de dominio pblico que chequea una serie de servicios para comprobar el nivel de seguridad que tiene esa mquina.

48 ISS es capaz de chequear una direccin IP o un rango de direcciones IP (en este caso se indican dos direcciones IP e ISS chequear todas las mquinas dentro de ese rango). El programa viene acompaado de dos utilidades que son ypx y strobe, la primera permite la transferencia de mapas NIS a travs de la red y la segunda chequea y describe todos los puertos TCP que tiene la mquina que se chequea. Courtney Este software de dominio pblico sirve para identificar la mquina origen que intenta realizar ataques mediante herramientas de tipo SATAN. El programa es un script perl que trabaja conjuntamente con tcpdump. Courtney recibe entradas desde tcpdump y controla la presencia de peticiones a nuevos servicios del stack TCP/IP (las herramientas de este tipo realizan ataques, chequeando de forma ordenada todos los puertos TCP y UDP que tiene el sistema, para poder ver qu servicios tiene instalados dicha mquina), si se detecta que se est produciendo un continuo chequeo de estos puertos en un breve intervalo de tiempo, Courtney da un aviso. Este aviso se manda va syslog. Courtney puede generar dos tipos de alarmas dependiendo del ataque que se est produciendo (normal o "heavy", las herramientas como SATAN dispone de distintos grados de chequeo de la mquina). Gabriel Software desarrollado por "Los Altos Technologies Inc" que permite detectar "ataques" como los generados por SATAN. Gabriel identifica el posible ataque y de forma inmediata lo notifica al administrador o

49 responsable de seguridad. La notificacin se puede realizar de varias formas (e-mail, cu, fichero de trazas). Este programa existe (en este momento) para SunOs 4.1.x y Solaris, y est formado por un cliente y un servidor. El cliente se instala en cualquier mquina de la red, recoge la informacin que se est produciendo y la enva al servidor va syslog. Estos clientes adems envan de forma regular informacin al servidor para indicarle que estn en funcionamiento. Nocol Es un conjunto de programas de monitorizacin de sistemas y redes. El software es un conjunto de agentes que recogen informacin y escriben la salida en un formato que se puede luego procesar. Cada dato procesado recibe el nombre de evento y cada evento tiene asociado una gravedad. Existen cuatro niveles de gravedad (CRITICAL, ERROR, WARNING, INFO), cada uno de estos niveles es controlado de forma independiente por cada agente. Existe un conjunto de herramientas que nos permiten ver toda la informacin generada por los agentes y que puede ser filtrada dependiendo de la gravedad del evento. Tcplist Es un pequeo programa de dominio pblico que informa de todas las conexiones TCP desde o hacia la mquina donde se est ejecutando.

4.6 Sistemas de seguridad Con el objetivo de satisfacer las necesidades crecientes en la gestin de riesgos relacionados con la seguridad y el cumplimiento con las normativas

50 vigentes, Cisco ha anunciado una serie de mejoras en su catlogo de soluciones para Redes de Autodefensa que incluye elementos concretos para la seguridad de la red, las aplicaciones y los contenidos. 4.6.1 Sistemas de prevencin de intrusiones: Un IDS22 (Sisteme de Deteccin de Intrusos) es un software que

monitorea el trfico de una red y los sistemas de una organizacin en busca de seales de intrusin, actividades de usuarios no autorizados y la ocurrencia de malas prcticas, como en el caso de los usuarios autorizados que intentan sobrepasar sus lmites de restriccin de acceso a la informacin. Algunas de las caractersticas deseables para un IDS son: Deben estar continuamente en ejecucin con un mnimo de supervisin. Se deben recuperar de las posibles cadas o problemas con la red. Debe poderse analizar l mismo y detectar si ha sido modificado por un atacante. Debe utilizar los mnimos recursos posibles. Debe estar configurado acorde con la poltica de seguridad seguida por la organizacin. Debe de adaptarse a los cambios de sistemas y usuarios y ser fcilmente actualizable.

22

Sistemas de prevencin de intrusiones

51 4.6.2 Tipos de IDS Existen varios tipos de IDS, clasificados segn el tipo de situacin fsica, del tipo de deteccin que posee o de su naturaleza y reaccin cuando detecta un posible ataque. 4.6.3 Clasificacin por situacin Segn la funcin del software IDS, estos pueden ser: 4.6.3.1 NIDS (Network Intrusion Detection System)

Los NIDS analizan el trfico de la red completa, examinando los paquetes individualmente, comprendiendo todas las diferentes opciones que pueden coexistir dentro de un paquete de red y detectando paquetes armados maliciosamente y diseados para no ser detectados por los cortafuegos. Pueden buscar cual es el programa en particular del servidor de web al que se est accediendo y con qu opciones y producir alertas cuando un atacante intenta explotar algn fallo en este programa. Los NIDS tienen dos componentes: Un sensor: situado en un segmento de la red, la monitoriza en busca de trfico sospechoso. Una Consola: recibe las alarmas del sensor o sensores y dependiendo de la configuracin reacciona a las alarmas recibidas. Las principales ventajas del NIDS son: - Detectan accesos no deseados a la red.

52 - No necesitan instalar software adicional en los servidores en produccin. - Fcil instalacin y actualizacin por que se ejecutan en un sistema dedicado. Como principales desventajas se encuentran: - Examinan el trfico de la red en el segmento en el cual se conecta, pero no puede detectar un ataque en diferentes segmentos de la red. La solucin ms sencilla es colocar diversos sensores. - Pueden generar trfico en la red. - Ataques con sesiones encriptados son difciles de detectar.

4.6.3.2

HIDS (Host Intrusion Detection System)

HIDS analizan el trfico sobre un servidor o un PC, se preocupan de lo que est sucediendo en cada host y son capaces de detectar situaciones como los intentos fallidos de acceso o modificaciones en archivos considerados crticos. Las ventajas que aporta el HIDS son: - Herramienta potente, registra comandos utilizados, ficheros abiertos. - Tiende a tener menor nmero de falsos-positivos que los NIDS, entendiendo falsos-positivos a los paquetes etiquetados como posibles ataques cuando no lo son. - Menor riesgo en las respuestas activas que los IDS de red.

53 Los inconvenientes son: - Requiere instalacin en la mquina local que se quiere proteger, lo que supone una carga adicional para el sistema. - Tienden a confiar en las capacidades de auditoria y logging de la mquina en s. 4.6.4 Clasificacin segn los modelos de detecciones Los dos tipos de detecciones que pueden realizar los IDS son: Deteccin del mal uso. Deteccin del uso anmalo.

La deteccin del mal uso involucra la verificacin sobre tipos ilegales de trfico de red, por ejemplo, combinaciones dentro de un paquete que no se podran dar legtimamente. Este tipo de deteccin puede incluir los intentos de un usuario por ejecutar programas sin permiso (por ejemplo, sniffers). Los modelos de deteccin basada en el mal uso se implementan observando cmo se pueden explotar los puntos dbiles de los sistemas, describindolos mediante unos patrones o una secuencia de eventos o datos (firma) que sern interpretados por el IDS. La deteccin de actividades anmalas se apoya en estadsticas tras comprender cual es el trfico normal en la red del que no lo es. Un claro ejemplo de actividad anmala sera la deteccin de trfico fuera de horario de oficina o el acceso repetitivo desde una mquina remota (rastreo de puertos). Este modelo de deteccin se realiza detectando cambios en los patrones de utilizacin o comportamiento del sistema. Esto se consigue realizando un modelo estadstico que contenga una

54 mtrica definida y compararlo con los datos reales analizados en busca de desviaciones estadsticas significantes. 4.6.5 Clasificacin segn su naturaleza Un tercer y ltimo tipo bsico de clasificacin sera respecto a la reaccin del IDS frente a un posible ataque: Los IDS pasivos detectan una posible violacin de la seguridad, registran la informacin y genera una alerta. Los IDS reactivos estn diseados para responder ante una actividad ilegal, por ejemplo, sacando al usuario del sistema o mediante la reprogramacin del cortafuegos para impedir el trfico desde una fuente hostil. 4.6.6 Topologas de IDS Existen muchas formas de aadir las herramientas IDS a nuestra red, cada una de ellas tiene su ventaja y su desventaja. La mejor opcin debera ser un compendio entre coste econmico y propiedades deseadas, manteniendo un alto nivel de ventajas y un nmero controlado de desventajas, todo ello de acuerdo con las necesidades de la organizacin. Por este motivo, las posiciones de los IDS dentro de una red son varias y aportan diferentes caractersticas. A continuacin vamos a ver diferentes posibilidades en una misma red. Imaginemos que tenemos una red dnde un cortafuegos nos divide la Internet de la zona desmilitarizada (DMZ Demilitarized Zone), y otro que divide la DMZ de la intranet de la organizacin como se muestra en el dibujo 9.

55 Por zona desmilitarizada entendemos la zona que debemos mostrar al exterior, la zona desde la cual mostramos nuestros servicios o productos:

Fig. 9 Red con IDS simple

Si situamos un IDS antes del cortafuegos exterior permitira detectar el rastreo de puertos de reconocimiento que seala el comienzo de una actividad hacking, y obtendramos como ventaja un aviso prematuro. Sin embargo, si los rastreos no son seguidos por un ataque real, se generar un numeroso nmero de alertas innecesarias con el peligro de comenzar a ignorarlas. Si optamos por colocar el IDS en la zona desmilitarizada (DMZ) tendramos como ventaja la posibilidad de adecuar la base de datos de atacantes del NIDS para considerar aquellos ataques dirigidos a los sistemas que estn en la DMZ (servidor web y servidor de correo) y configurar el cortafuegos para bloquear ese trfico.

56 As mismo, un NIDS dentro de la red, por ejemplo, de Recursos Humanos podra monitorear todo el trfico para fuera y dentro de esa red. Este NIDS no debera ser tan poderoso como los comentados anteriormente, puesto que el volumen y el tipo de trfico es ms reducido. El resultado lo podemos visualizar el segundo dibujo:

Fig.10 Red completa con IDS

El IDS9 se encargara de avisar del rastreo de puertos, y si es reactivo podra enviar un aviso tanto al que est rastreando (por ejemplo un ping a la direccin que emite el paquete) como al encargado de la seguridad de la organizacin. El IDS10 se encargara de vigilar la zona desmilitarizada y analizar el trfico que reciben tanto el servidor web como el servidor de correo. Los otros dos IDS se encargaran de la red interna,

57 el IDS3 de la totalidad de la red, y el IDS4 de una subred, en este caso la de RRHH. Estos dos NIDS internos (el IDS3 y el IDS4) podran ser sensores que recogiesen la informacin y lo enviasen a una consola dnde se realizaran los clculos.

4.6.7 Los IDS y las polticas de Seguridad Los IDS deben ser tratados como un elemento complementario en las polticas de seguridad de las organizaciones, pero antes de implementar o instalar un sistema de deteccin de intrusiones se recomienda analizar la poltica de seguridad y ver cmo encajara el IDS en ella: Se recomienda una poltica de seguridad bien definida y a alto nivel, que cubra lo que est y lo que no est permitido en nuestro sistema y nuestras redes. Procedimientos documentados para que proceda el personal si se detecta un incidente de seguridad. Auditoras regulares que confirmen que nuestras polticas estn en vigencia y nuestras defensas son adecuadas. Personal capacitado o soporte externo cualificado.

4.6.8

Firewalls

Firewalls personales (o de software) Conforme aumenta el uso de los ordenadores personales, el tiempo que estn conectados a internet y la importancia de la informacin con la que trabajamos, es necesario aumentar tambin su nivel de seguridad.

58 Del mismo modo que un delincuente informtico puede intentar acceder al ordenador de una gran empresa, puede tambin intentar acceder a un ordenador personal mal protegido con el objetivo de sustraer ficheros personales o instalar virus desde la red.

La herramienta adecuada para salvaguardar la seguridad del sistema es un firewall personal.

El firewall personal es un programa que funciona en su ordenador de forma permanente.

El programa monitoriza las conexiones que entran y salen de su ordenador y es capaz de distinguir las que son legtimas de las realizadas por atacantes. En este segundo caso, las bloquea y lo notifica al usuario del ordenador.

El firewall personal, junto con un antivirus, proporciona el mayor grado de seguridad posible con herramientas comerciales.

Seleccin

Existe un gran nmero de ofertas en el mercado, en algunos casos, los productos son gratuitos para usuarios particulares, y de pago slo para empresas. La mayora de las empresas que desarrollan y mantienen antivirus tambin disponen de estos productos. En caso de duda, pngase en contacto con su proveedor habitual de software.

Instalacin

59 Para instalar un firewall personal, en primer lugar es necesario asegurarse de que no existe ningn otro ya instalado. La instalacin de dos firewall personales no aumenta la seguridad, sino que genera fallos y conflictos entre ambos.

Adems de las preguntas habituales de instalacin, el firewall personal normalmente le solicitar que seleccione un nivel de seguridad entre laxo, normal y estricto. Se recomienda utilizar el nivel de seguridad normal a menos que sea un usuario experto, en cuyo caso se recomienda el nivel de seguridad estricto.

Primeros das de funcionamiento

Durante los primeros das de funcionamiento, el firewall personal le enviar un gran nmero de mensajes. Estos avisos sern

fundamentalmente de dos tipos: Peticiones de conexin de programas Al usar un programa, normalmente se establecen conexiones a internet. El firewall personal detectar esta conexin y advertir al usuario de ello. Ataques detectados El sistema advertir de que su sistema est siendo atacado. La frecuencia de los ataques puede llegar a ser de 3 o 4 por hora. No hay que alarmarse, casi siempre son ataques que se dirigen a redes enteras y que no afectan a ninguna mquina. Son intentos de ataque sin xito de los cuales le informa el firewall personal.

60 En cualquiera de estos casos, el firewall personal puede avisar de nuevo o slo registrar el ataque, segn la opcin que usted elija. Es decir, en caso de un nuevo acceso le avisar de nuevo o, por el contrario, repetir nuestra ltima orden.

Se recomienda utilizar todos los programas con conexin en la red disponibles los primeros das hasta que no haya mensajes de aviso y el firewall personal los tenga todos registrados.

En cuanto a los ataques, ocurrir lo mismo. Los primero das se mostrar un nmero muy alto de ataques que irn disminuyendo progresivamente.

Mantenimiento

Una vez el firewall personal est en funcionamiento debe seguirse manteniendo y actualizando. Un firewall personal slo es seguro si reconoce y detecta los ltimos ataques conocidos. De la misma forma que un antivirus y, en general, todo el software, es conveniente actualizarlo con la ltima versin disponible.

Firewalls de Hardware. Son ms caros y complejos de manejar, los firewalls de Hardware son ms apropiados para negocios que tienen mltiples computadoras conectadas.

61 4.7 Errores comunes encontrados en la instalacin de puntos de acceso. Entre los principales erros que se tiene al momento de instalar aparatos

inalmbricos se pueden dar a conocer los siguientes aspectos Dejar la configuracin que viene con el router cuando es comprado. Entre los aspectos de configuracin que deben de ser cambiados se encuentran el SSID y la contrasea del router. Por ejemplo, si el router que usted compra es uno hecho por la compaa D LInk, el SSID que viene desde manufactura es dlink. Por otro lado la contrasea de los routers Dlink es conocida tambin ya que es documentada en los manuales del router. Esto quiere decir que si usted deja la configuracin del router sin cambiar, cualquier persona va a saber que usted tiene un router D linky por lo tanto podr intentar la contrasea del mismo la cual es documentada en los manuales. Alcance del radio de frecuencia es muy grande Si usted no est pendiente a este tipo de configuracin, usted podra estar invitando a sus vecinos a que utilicen su red. Muchos de los manufactureros de routers inalmbricos le permiten a usted el configurar la fuerza o alcance de la red inhalambrica. Si tiene esta opcin, sela y evite el inviter vecinos a utilizar su red. Nombrar el router de forma que pueda identificarlo a usted Como mencionado anteriormente, muchos de los routers inhalambricos tienen el SSID pre-populado con el nombre del manufacturero. Siguiendo la recomendacin dada en el nmero 1, este nombre debe de ser cambiado, pero debemos de evitar nombrarlo de alguna forma que obviamente nos identifica a nosotros. Si usted tiene un enemigo que

62 quiere entrar en su red, ser ms fcil si puede identificar el router suyo. Publicar su SSID Una de las formas de evitar ser atacado, es el evitar hacer pblico el que tiene un router inalmbrico. Aunque existen varias herramientas que son utilizadas para encontrar redes en routers inalmbricos, con el simple hecho de esconder su SSID, le hace la labor ms difcil a las personas que quieren utilizar su red. No utilizar la filtracin de direcciones MAC La direccin MAC es un nmero que todas las tarjetas de red network cards tienen que los identifica en la red. Muchos de los routers pueden ser configurados para solo aceptar conexin de las tarjetas que usted especifica. Por ejemplo, usted puede solo mantener una lista de las tarjetas de red que usted tiene y solo estas podrn conectarse a su red. Aunque existe herramientas que falsifican estas direcciones de MAC, al menos lo hace ms difcil. No tener ningn tipo de encripcin Si usted no tiene ningn tipo de encripcin en su red inalmbrica, cualquier persona puede literalmente ver lo que usted hace, leer su correo electrnico, las contraseas que usted utiliza cuando contacta la pgina de su banco. Es sumamente importante que se utilice encripcin. Es importante reconocer que WEP (Wired Equivalent Privacy) aunque provee un nivel de seguridad, no debe de ser utilizado ya que es conocido que existen muchos problemas con este tipo de encripcin. Es conocido que el mejor tipo de encripcion en estos momentos es WPA2 el

63 cual requiere que se defina una frase que debe de ser entrada en la computadora que quiere conectarse a la red inalmbrica. No utilizar direcciones IP fijas Aunque la mayora de los routers son configurados utilizando DHCP lo que quiere decir que el router asigna una direccin IP a cada computadora o equipo que se conecta, es tal vez una mejor idea el de eliminar la opcin de DHCP y entrar las direcciones de IP de las computadoras o equipos que usted quiere autorizar para conectarse a su red. No instalar anti-virus, o firewalls Esta es bien importante, el tener un anti-virus, y un firewall bien sea en cada computadora o configurado en el router evita muchos problemas que pueden venir del Internet. No documentar la configuracin de su red inalmbrica. Si la configuracin no es documentada y por alguna razn usted tiene que llevar el router a su nivel default, tendr que nuevamente asegurarse de configurar el router como discutido. No apagar el router cuando no se est utilizando. Esto es obvio. Si el router que es la entrada al Internet a su computadora est apagado, obviamente nada malo va a pasar.

64 CAPITULO V

5. Conclusiones y Recomendaciones

5.1 Conclusiones

Una vez investigadas las configuraciones que se pueden realizar en la mayora de puntos de accesos puedo indicar que el ocultamiento del SSID y el filtrado Mac es una de las mejor protecciones inalmbricas que podemos implementar en cualquier aparato inalmbrico.

Con las configuraciones investigadas previamente al realizar la gua fue cuestin de ponerle en prctica con la ayuda de un Router cisco se fue realizando capturas de las configuraciones posibles en los que es acceso inalmbrico ya que hoy en da la mayora de puntos de accesos tienen una interfaz similar y con las configuraciones parecidas, se realiz una gua paso a paso para que cualquier persona con pocos conocimientos informticos pueda realizar la configuracin pertinente.

Se a realizado una exhaustiva investigacin quedando en claro que no hay un correcta instalacin de personas que compran Router inalmbricos especialmente en hogares ya que ellos no se preocupan mucho de que les estn robando el internet ya que no tienen conocimiento en el rea, y piensas que eso no es posible.

65

5.2 Recomendaciones

Dar capacitacin tcnica al administrador de la red inalmbrica, dentro y fuera de la empresa, para que ste pueda dar un mejor mantenimiento a la red inalmbrica y un mejor soporte a los usuarios.

Informar a los usuarios de los servicios y beneficios de la red inalmbrica, as como de su funcionamiento; adems solicitar que se enmarquen en las polticas de seguridad establecidas.

Implementar un sistema de procedimientos estandarizados para la configuracin de los Puntos de Acceso y dems dispositivos inalmbricos instalados.

Realizar un Plan de Contingencias, que contenga los procedimientos necesarios que se deben tomar cuando exista alguna falla en la red inalmbrica.

66

5.3 Referencias

[INSEG] Oliva Fora, Pau. (In) seguridad en redes 802.11b. [SEGWF] Lehembre, Guillaume. Seguridad Wi-Fi WEP, WPA y WPA2. [SEGRI] de Alfonso, Carlos - Caballer, Miguel Hernndez, Vicente. Seguridad en Redes Inalmbricas.

67

5.4 Bibliografa

FARMER, VENEMA. Improving the security of your site by breaking into it. Sun Microsystems y Eindhoven University of Technology. http://www.fish.com/satan/admin-guide-to-cracking.html

Ptacek, Thomas H. y Newsham, Timothy N. Insertion, evasion and denial of service: eluding network intrusion detection. http://www.securityfocus.com/data/library/ids.ps

Oliva Fora, Pau. (In)seguridad en redes 802.11b. http://www.matarowireless.net

Australian Computer Emergency Response Team. Recuperado el 30 de Septiembre de http://www.auscert.org.au

US-CERT. United States Computer Emergency Readiness Team. http://www.kb.cert.org

Lehembre, Guillaume. Seguridad Wi-Fi WEP, WPA y WPA2. http://www.hsc.fr/ressources/articles/hakin9_wifi/hakin9_wifi_ES.pdf

De Alfonso, Carlos - Caballer, Miguel Hernndez, Vicente. Seguridad en Redes Inalmbricas. www.dsic.upv.es/docs/bibdig/informes/etd-06242005-121243/DSIC-II-0405.TechReport.pdf Wu, T., "A Real-World Analysis of Kerberos Password Security". Stanford University Computer Science Department.

68 Aboba, Bernard Palekar, Ashwin. IEEE 802.1X and RADIUS Security. http://www.drizzle.com/%7Eaboba/IEEE/11-01-TBD-I-RADIUSSecurity.ppt The Unofficial 802.11 Security Web Page. http://www.drizzle.com/%7Eaboba/IEEE/ An inicial security anlisis of the IEEE 802.1X Standard.

http://www.cs.umd.edu/%7Ewaa/1x.pdf[12] Unsafe at any key size; An Analysis of the WEP encapsulation. http://grouper.ieee.org/groups/802/11/Documents/DocumentHolder/0362.zip

69 5.5 Glosario

TKIP: (Temporary Key Integrity Protocol) Protocolo de Integridad de Llaves Temporales Es tambin llamado hashing de clave WEP, WPA, incluye

mecanismos del estndar emergente para mejorar el cifrado de datos inalmbricos. WPA: (Wi-Fi Protected Access) Acceso Wi-Fi Protegido Es un sistema para proteger las redes inalmbricas Wi-Fi. PEAP: (Protected Extensible Authentication Protocol) Protocolo de Autenticacin Extensible Protegido Utiliza Seguridad de nivel de transporte (TLS) para crear un canal cifrado entre un cliente de autenticacin. TIC: Tecnologas de la informacin y la Comunicacin Agrupan los elementos y las tcnicas usadas en el tratamiento y la transmisin de la informacin. WEP (Wired Equivalent Protocol) Privacidad Equivalente a Cableado Es el sistema de cifrado incluido en el estndar IEEE 802.11 como protocolo para redes Wireless que permite cifrar la informacin que se transmite. WLAN (Wireless Local Area Network) Red Inalmbrica de Area Local Es un sistema de comunicacin de datos inalmbrico utilizado como alternativa a las redes LAN cableadas o como extensin de stas.

70 PCI (Peripheral Component Interconnect) Componentes Perifricos Es un bus de ordenador estndar para conectar dispositivos perifricos directamente a su placa base. WIRELESS Inalmbrico o sin Cables Es un trmino usado para describir las telecomunicaciones en las cuales las ondas electromagnticas (en vez de cables). USB (Bus Universal en Serie) Bus de Serie Universal Es una interfaz que provee un estndar de bus serie para conectar dispositivos a un ordenador personal. AP (Application Protocol) Aplicacin de Protocolo Es un acrnimo y pertenece a la categora Software. Beacon Frames Balizas de Autenticacin Son tramas que emiten los puntos de acceso o en su defecto los routers inalmbricos, para que otros puntos de acceso o tarjetas inalmbricas sepan que existe un punto de acceso activo por las cercanas. SSID (Service Set Identifier) Servicio de Red Inalmbrica Es un nombre incluido en todos los paquetes de una red inalmbrica Wi-Fi para identificarlos como parte de esa red. Management frames: Marcos de direccin DHCP: (Dynamic Host Configuration Protocol) Protocolo de configuracin dinmica de host. Es un protocolo de Red que permite a los clientes de una red IP obtener sus parmetros de configurapenescin automticamente. Interconexin de

71 Plug and Play: Enchufar y usar IP Internet Protocol (Protocolo de Internet) Es un protocolo de comunicacin de datos digitales clasificado funcionalmente en la Capa de Red. Eavesdropping (Escuchar secretamente). Man in The Middle Hombre En Medio "Sniffing" Robo de informacin. Spoofing Seguridad de redes hacer referencia al uso de tcnicas de suplantacin de identidad. WARCHALKING Es el dibujo de smbolos en espacio pblicos para advertir acerca de redes inalmbricas Wi-Fi. WARDRIVING Bsqueda de redes Inalmbricas Wi-Fi desde un vehculo movimiento. GPS (Global Positioning System) Sistema de Posicionamiento Global Es que permite determinar en todo el mundo la posicin de un objeto, una persona o un vehculo con una precisin hasta de centmetros. Spam, correo basura o mensaje basura "AD-HOC line" es una locucin latina en lnea ICS (internet conection sharing) Conexin Compartida a Internet en

72 Para compartir una misma conexin a Internet de una computadora entre otras computadoras de la misma red de rea Local. MAC (Media Access Control) Control de Acceso al Medio Que corresponde de forma nica a una tarjeta o dispositivo de Red. Sniffer Es un software que permite capturar tramas de la red. Utilizan con fines maliciosos para capturar textos de emails, chats, datos personales, contraseas etc. AirJack Se trata de un 802,11 WEP y WPA-PSK cracking programa que puede recuperar claves una vez que los paquetes de datos suficientes han sido capturados Wellenreiter Es un descubrimiento de red inalmbrica y una herramienta de auditora. Herramientas de Red de scripts CRC (Cdigo de Redundancia Cclica) Es un cdigo de deteccin de errores usado frecuentemente en redes digitales y en dispositivos de almacenamiento para detectar cambios accidentales en los datos. SSID (Service Set Identifier) Es un nombre incluido en todos los paquetes de una red inalmbrica (Wi-Fi) para identificarlos como parte de esa red. RC Es el sistema de cifrado de Flujo Stream cipher ms utilizado y se usa en algunos de los protocolos ms populares.

73 Cifrado XOR Como su nombre indica, un algoritmo de cifrado basado en el operador binario XOR. SNMP (Simple Network Management Protocol) Protocolo Simple de Administracin de Red Es un protocolo de la capa de aplicacin que facilita el intercambio de informacin de administracin entre dispositivos de red. Shared Key: Clave Compartida VPN: (Virtual Private Network) Red Privada Virtual es una tecnologa de red que permite una extensin segura dela red local sobre una red pblica o no controlada. VLAN: (Red de Area Local Virtual) Son tiles para reducir el tamao del dominio de difusin y ayudan en la administracin de la red separando segmentos lgicos de una red de rea local Switching: Cambiando

OSI: Modelo de interconexin de sistemas abiertos MIC: Cdigo de Integracin de Mensajes Checksum: Suma de Chequeo IV: Vector de Inicializacin Firewall: Cortafuegos es una parte de un sistema o una red que est diseada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas

ACLs (Access Control Lists) Lista de Control de Acceso

74 Har que slo los dispositivos registrados puedan acceder a la red. RADIUS (Remote Authentication Dial-In User Service) Es un protocolo de autenticacin y autorizacin para aplicaciones de acceso a la red o movilidad IP. PGP Es una aplicacin de alta seguridad criptogrfica que puede ser utilizada bajo varias plataformas (MSDOS, UNIX, VAX/VMS), nos permite intercambiar archivos o mensajes con privacidad, autenticidad y conveniencia. GnuPG Es una aplicacin que sirve para encriptar mansajes, documentos. TCP Transmission Control Protocol (Protocolo de Control de Transmisin) Es uno de los protocolos fundamentales en internet. UDP (Protocolo de datagrama de usuario) Es un protocolo no orientado a conexin de la capa de transporte del modelo TCP/IP. ICMP Protocolo de Mensajes de Control de Internet Se usa para enviar mensajes de error, indicando por ejemplo que un servicio determinado no est disponible o que un router o host no puede ser localizado. Tftp Protocolo de transferencia de archivos trivial Sendmail

75 es un popular "agente de transporte de correo cuya tarea consiste en "encaminar" los mensajes correos de forma que estos lleguen a su destino. SATAN (Security Administrator Tool for Analyzing Networks). Chequea mquinas conectadas en red y genera informacin sobre el tipo de mquina

76 Anexos Documento entregable