Documente Academic
Documente Profesional
Documente Cultură
RESUMEN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
NDICE GENERAL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
NDICE DE FIGURAS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
NDICE DE TABLAS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
INTRODUCCIN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
VI
VIII
XI
XIII
XIV
NDICE GENERAL
CAPTULO 1...............................................................................................................1
CONCEPTOS Y GENERALIDADES.......................................................................1
1.1. DEFINICIN..........................................................................................................1
1.2. CONFIGURACIONES WLAN.................................................................................2
1.2.1. Punto a Punto o Ad-Hoc.............................................................................3
1.2.2. Extensin en celdas bsicas........................................................................4
1.2.3. Enlace Entre Varias LAN............................................................................6
1.3. VENTAJAS Y DESVENTAJAS EN LA UTILIZACIN DE WLANS...........................7
1.4. APLICACIONES DE LOS SISTEMAS WLAN EN LA INDUSTRIA.............................8
CAPTULO 2.............................................................................................................10
TECNOLOGAS UTILIZADAS EN LAS REDES INALMBRICAS...............10
2.1. TECNOLOGAS DE ESPECTRO ENSANCHADO.....................................................10
2.1.1. Tecnologa de Espectro Ensanchado por Secuencia Directa (DSSS)......12
2.1.2. Tecnologa de Espectro Ensanchado por Salto en Frecuencia (FHSS)....15
2.2. TECNOLOGA DE INFRARROJOS.........................................................................17
CAPTULO 3.............................................................................................................20
NORMALIZACIN IEEE PARA REDES INALMBRICAS...........................20
3.1. WLAN 802.11..................................................................................................21
3.2. WLAN 802.11B (WI-FI)...................................................................................22
3.3. WLAN 802.11A (WI-FI 5)................................................................................23
3.4. WLAN 802.11G................................................................................................24
3.5. EXTENSIONES DE LA NORMA 802.11................................................................24
CAPTULO 4.............................................................................................................27
VULNERABILIDADES EN REDES WIRELESS LAN.......................................27
4.1. DEBILIDADES DE IMPLEMENTACIN EN WIRELESS LAN..................................28
4.1.1. Ataques de escucha/monitorizacin pasiva (eavesdropping). ..................28
4.1.2. Ataques de Intercepcin/Insercin (man-in- the-middle). ........................29
II
III
NDICE DE FIGURAS
IV
NDICE DE TABLAS
TABLA 3.1. NORMA IEEE 802..................................................................................21
TABLA 3.2. EXTENSIONES DE LA NORMA 802.11.....................................................25
TABLA 4.1. INTERFERENCIA Y ATENUACIN............................................................31
TABLA 5.1. CARACTERSTICAS DE SEGURIDAD IEEE 802.11 Y WPA.......................58
TABLA 7.1. SNIFFERS WLAN...................................................................................83
TABLA 7.2. SCANNERS WLAN.................................................................................86
TABLA 7.3. WEP KEY CRACKERS.............................................................................88
TABLA 8.1. COSTO DE IMPLEMENTACIN WLAN....................................................91
TABLA 8.2. COSTO DE IMPLEMENTACIN LAN CABLEADA.....................................92
TABLA 8.3. COSTO DE IMPLEMENTACIN WLAN-LAN CABLEADA........................94
TABLA 8.4. RESUMEN COSTO DE IMPLEMENTACIN................................................96
VI
INTRODUCCIN
WLAN son las siglas en ingls de Wireless Local Area Network. Es un sistema de
comunicacin de datos flexible muy utilizado como alternativa a la LAN cableada o
como una extensin de sta.
Las redes inalmbricas de rea local (WLAN) tienen un papel cada vez ms
importante en las comunicaciones del mundo de hoy. Debido a su facilidad de
instalacin y conexin, se han convertido en una excelente alternativa para ofrecer
conectividad en lugares donde resulta inconveniente o imposible brindar servicio con
una red cableada. La popularidad de estas redes ha crecido a tal punto que los
fabricantes de computadores y motherboards estn integrando dispositivos para
acceso a WLAN en sus equipos.
Otra tecnologa de acceso inalmbrico en reas de pequea extensin (WPAN/WLAN
Personal Area Network) es la denominada Bluetooth, que aunque pueda parecer
competencia directa de las WLAN, es ms bien complementaria a ella. Bluetooth
pretende la eliminacin de cables, como por ejemplo todos los que se utilizan para
conectar el PC con sus perifricos, o proporcionar un medio de enlace entre
dispositivos situados a muy pocos metros, sirviendo tambin como mando a distancia.
Las WLAN tienen su campo de aplicacin especfico, igual que Bluetooth, y ambas
tecnologas pueden coexistir en un mismo entorno sin interferirse gracias a los
mtodos de salto de frecuencia que emplean. Sus aplicaciones van en aumento y,
VII
conforme su precio se vaya reduciendo, sern ms y ms los usuarios que las utilicen,
por las innegables ventajas que supone su rpida implantacin y la libertad de
movimientos que permiten.
VIII
CAPTULO 1
CONCEPTOS Y GENERALIDADES.
1.1. Definicin.
Una red de rea local inalmbrica puede definirse, como a una red de alcance local
que tiene como medio de transmisin el aire; tambin llamada Wireless LAN
(WLAN), es un sistema flexible de comunicaciones que puede implementarse como
una extensin o directamente como una alternativa a una red cableada. Este tipo de
redes utiliza tecnologa de radiofrecuencia, minimizando as la necesidad de
conexiones cableadas.
tarjeta de red inalmbrica, que se instala en uno de los slots libres o bien se enlazan a
los puertos USB de los equipos.
Para que la comunicacin entre estas estaciones sea posible, hace falta que se vean
mutuamente de manera directa, es decir, que cada una de ellas est en el rango de
cobertura radioelctrica de la otra.
Las redes de tipo ad-hoc son muy sencillas de implementar y no requieren ningn
tipo de gestin administrativa. Tambin este tipo es conocido como IBSS
(Independent Basic Service Set)
de modo que los clientes puedan moverse sin cortes entre un grupo de puntos de
acceso. Esto es llamado "roaming".
WLAN
Comm. Tower
Comm. Tower
Red Lan 1
Red Lan 2
Facilidad de instalacin: Evita obras para tirar cable por muros y techos.
CAPTULO 2
TECNOLOGAS UTILIZADAS EN LAS REDES
INALMBRICAS.
En esta seccin se describirn dos tipos de tecnologas
inalmbricas existentes
Espectro ensanchado.
Infrarrojos.
10
Las comunicaciones de espectro ensanchado no puede decirse que sean una manera
eficiente de utilizar el ancho de banda. Sin embargo, son de utilidad cuando se
combinan con los sistemas existentes que ocupan la frecuencia.
11
+1, -1, +1, +1, -1, +1, +1, +1, -1, -1, -1
DSSS tiene definidos dos tipos de modulaciones a aplicar a la seal resultante (seal
de informacin luego de aplicarle la Secuencia de Barker), tal y como especfica el
estndar IEEE 802.11: la modulacin DBPSK (Differential Binary Phase Shift
Keying), y la modulacin DQPSK (Differential Quadrature Phase Shift Keying),
proporcionando unas velocidades de transferencia de 1 y 2 Mbps respectivamente.
12
Bit de Datos 1
Bit de Datos 0
Secuencia de
Barker par el bit
1
Secuencia de
Barker par el bit
0
13
2.4835 GHz, es decir, con un ancho de banda total disponible de 83.5 MHz. Este
ancho de banda total se divide en 14 canales con un ancho de banda por canal de 5
MHz, de los cuales cada pas utiliza un subconjunto de los mismos segn las normas
reguladoras para cada caso particular.
En el caso de Ecuador para los equipos Orinoco, se utilizan 11 canales que van desde
los 2.412 GHz (canal 1) hasta los 2.462 GHz (canal 11).
En topologas de red que contengan varias celdas, ya sean solapadas o adyacentes, los
canales pueden operar simultneamente sin apreciarse interferencias en el sistema; si
la separacin entre las frecuencias centrales es como mnimo de 25 MHz.
Esto significa que de los 83.5 MHz de ancho de banda total disponible, podemos
obtener 3 canales independientes, que pueden operar simultneamente en una
determinada zona geogrfica sin que aparezca interferencia en un canal procedente
del otro, as como se muestra su epracin en la Figura 2.3.
Esta independencia entre canales, permite aumentar la capacidad del sistema de forma
lineal con el nmero de puntos de acceso, operando en un canal que no se est
utilizando y hasta un mximo de tres canales, como ya se mencion.
14
15
80
60
Slots
+0
Frecuenciales
20
0
1
Tiempos
Cada una de las transmisiones a una frecuencia concreta, se realizan utilizando una
portadora de banda estrecha que va cambiando (saltando) a lo largo del tiempo. Este
procedimiento equivale a realizar una particin de la informacin en el dominio
temporal. El orden en los saltos en frecuencia que el emisor debe realizar viene
determinado segn una secuencia pseudo aleatoria, que se encuentra definida en unas
tablas que tanto el emisor como el receptor deben conocer.
La ventaja de estos sistemas frente a los sistemas DSSS, es que con esta tecnologa
podemos tener ms de un punto de acceso en la misma zona geogrfica sin que
existan interferencias, si se cumple que dos comunicaciones distintas no utilizan la
misma frecuencia portadora en un mismo instante de tiempo.
16
Si se mantiene una correcta sincronizacin de estos saltos entre los dos extremos de la
comunicacin, aunque vamos cambiando de canal fsico, con el tiempo se mantiene
un nico canal lgico a travs del cual se desarrolla la comunicacin.
Las longitudes de onda de operacin se sitan alrededor de los 850-950 nm, es decir,
a unas frecuencias de emisin que se sitan entre los 3,15x10e 14 Hz y los 3,52x10e14
Hz. Los sistemas que funcionan mediante infrarrojos, se clasifican segn el ngulo de
apertura con el que se emite la informacin en el emisor en:
17
Sistemas de gran apertura, reflejados o de difusin, que radian tal y como lo hara
un foco; permitiendo el intercambio de informacin en un rango ms amplio.
La Figura 2.5 muestra un transreceptor, que es el que enva el haz de luz infrarroja
hacia otro que la recibe. La transmisin de luz se codifica y decodifica en el envo y
recepcin en un protocolo de red existente. El sistema tiene un rango de 200 mts.
18
19
CAPTULO 3
NORMALIZACIN IEEE PARA REDES
INALMBRICAS.
La norma 802 fue desarrollada por el Instituto de Ingenieros Elctricos y Electrnicos
(IEEE), y versa sobre la arquitectura de redes de datos LAN (Local Area Network).
20
Apartado
802.1
802.2
802.4
802.5
802.10
802.11
Descripcin
Describe las funciones de Bridging.
Controla el enlace lgico.
Mtodo de control de trfico Token-Passing.
Mtodo de control de trfico Token-Ring.
Seguridad en comunicaciones de datos, etc.
Describe y especifica una interfase inalmbrica para
comunicaciones de datos compatibles con la Norma IEEE 802.
Tabla 3.1. Norma IEEE 802.
21
22
menor seguridad, y el alcance puede llegar a los 100 metros, suficientes para un
entorno de oficina o residencial.
3.3. WLAN 802.11a (Wi-Fi 5).
Extensin del 802.11 en la banda de 5.8 Ghz, con velocidades de comunicacin de
datos 54 Mbps usando modulacin OFDM (Orthogonal Frequency Division
Multiplexing).
El IEEE ratific en julio de 1999 el estndar en 802.11a (los productos comerciales
comienzan a aparecer a mediados del 2002), que con una modulacin QAM-64 y la
codificacin OFDM alcanza una velocidad de hasta 54 Mbit/s en la banda de 5 GHz,
menos congestionada y, por ahora, con menos interferencias, pero con un alcance
limitado a 50 metros, lo que implica tener que montar ms puntos de acceso que si se
utilizase 802.11b para cubrir el mismo rea, con el coste adicional que ello supone.
La banda de 5 GHz que utiliza se denomina UNII (Infraestructura de Informacin
Nacional sin Licencia), que en los Estados Unidos est regulada por la FCC, el cual
ha asignado un total de 300 MHz, cuatro veces ms de lo que tiene la banda ISM,
para uso sin licencia, en tres bloques de 100 MHz, siendo en el primero la potencia
mxima de 50 mW, en el segundo de 250 mW, y en el tercero puede llegar hasta 1W,
por lo que se reserva para aplicaciones en el exterior.
23
(Infrarrojo) y OFDM
24
Extensin
Descripcin
Su objetivo es proporcionar soporte de QoS (Calidad de Servicio) para
802.11e
802.11i
802.11d
802.11f
802.11h
25
Cabe mencionar que la banda de frecuencia 2.4 Ghz, utilizada por la tecnologa
802.11b, es una banda No Licenciada lo que significa que su uso es libre.
est
26
CAPTULO 4
VULNERABILIDADES EN REDES WIRELESS LAN.
Qu es lo que hace que las redes inalmbricas sean ms vulnerables que las redes de
cable?
27
28
29
Algo ms complicado son los ataques de suplantacin de Puntos de Acceso. Para ello,
y basndose en las deficiencias de autenticacin de Puntos de Acceso del protocolo y
de sus implementaciones, es posible colocar un Punto de Acceso ms cercano al
usuario con los mismos datos de configuracin de red. En este caso, los clientes se
conectan al Punto de Acceso intruso, permitiendo al elemento hostil la captura y
redireccin del trfico de red de los usuarios legtimos. Este ataque se conoce como
evil-twin, y aunque la incidencia es baja actualmente, se prev su incremento en el
futuro.
4.1.3. Ataques de denegacin de servicio (jam-ming).
Por las caractersticas propias del medio, es sencillo realizar ataques que afecten a la
disponibilidad en los entornos wireless. Dichos ataques pueden ser abordados desde
varios enfoques, siendo los ms sencillos aquellos que utilizan un dispositivo de
radiofrecuencia (RF) de alta potencia para generar interferencias, lo que prevendra
que el usuario legitimo pudiera utilizar el servicio.
Esto es consecuencia de la implementacin de la capa MAC de 802.11b, que no
transmitir mientras detecte otra actividad de RF. Dentro de los dispositivos de RF de
alta potencia podemos clasificar a los hornos microondas.
Para evitar las colisiones inherentes al protocolo CSMA/CD, el estndar utiliza
paquetes de reserva de bandas de tiempo (RST) a los que el Punto de Acceso contesta
30
Material
Madera
Vidrio
Yeso
Ladrillo
Hojas
Agua
Papel
Vidrio con plomo
Metal
Ejemplo
Tabiques
Ventanas
Paredes interiores
Paredes interiores y exteriores
rboles y plantas
Lluvia
Rollos de papel
Ventanas
Vigas, armarios
Tabla 4.1. Interferencia y Atenuacin.
Interferencia
Baja
Baja
Baja
Media
Media
Alta
Alta
Alta
Muy Alta
31
Bluetooth.
Hornos Microondas.
El acceso sin necesidad de cables, la razn que hace tan populares a las redes
inalmbricas, es a la vez el problema ms grande de este tipo de redes en cuanto a
seguridad se refiere.
Cualquier equipo que se encuentre a 100 metros o menos de un punto de acceso,
podra tener acceso a la red inalmbrica. Por ejemplo, si varias empresas tienen sede
en un mismo edificio, y todas ellas poseen red inalmbrica, el equipo de un empleado
podra encontrarse en cierto momento en el rea de influencia de dos o ms redes
diferentes, y dicho empleado podra conectarse (intencionalmente o no) a la red de
una compaa que no es la suya. An peor, como las ondas de radio pueden salir del
edificio, cualquier persona que posea un equipo mvil y entre en el rea de influencia
de la red, podra conectarse a la red de la empresa.
32
33
De este modo, otras personas pueden conocer la localizacin de la red y hacer uso de
esta. Dicha simbologa se muestra en la Figura 4.1.
Lets Warchark
Key
Open
Node
Symbol
ssid
2.wire.less.dk
bandwidth
ssid
Close
Node
Wep
Node
b
1.0
ssid
access
contact
bandwidth
34
35
CAPTULO 5
SEGURIDAD BSICA Y AVANZADA EN WIRELESS
LAN.
5.1. Metodologas de Defensa en Redes Wireless LAN.
Existen varios mtodos para lograr la configuracin segura de una red inalmbrica;
cada mtodo logra un nivel diferente de seguridad y presenta ciertas ventajas y
desventajas. Se har a continuacin una presentacin de cada uno de ellos.
36
acceso. Como toda tarjeta de red posee una direccin MAC nica, se logra autenticar
el equipo.
Este mtodo tiene como ventaja su sencillez, por lo cual se puede usar para redes
caseras o pequeas. Sin embargo, posee muchas desventajas que lo hacen imprctico
para uso en redes medianas o grandes:
No escala bien, porque cada vez que se desee autorizar o dar de baja un
equipo, es necesario editar las tablas de direcciones de todos los puntos de
acceso. Despus de cierto nmero de equipos o de puntos de acceso, la
situacin se torna inmanejable.
Las direcciones MAC viajan sin cifrar por el aire. Un atacante podra capturar
direcciones MAC de tarjetas matriculadas en la red empleando un sniffer, y
luego asignarle una de estas direcciones capturadas a la tarjeta de su
computador, empleando programas tales como AirJack 6 o WellenRei-ter,
entre otros. De este modo, el atacante puede hacerse pasar por un cliente
vlido.
37
38
Se escoge una clave secreta compartida entre emisor y receptor. Esta clave
puede poseer 40 128 bits.
Si se empleara siempre la misma clave secreta para cifrar todas las tramas, dos
tramas en claro iguales produciran tramas cifradas similares. Para evitar esta
eventualidad, se concatena la clave secreta con un nmero aleatorio llamado
vector de inicializacin (IV) de 24 bits. El IV cambia con cada trama.
El generador RC4 genera una cifra de flujo, del mismo tamao de la trama a
cifrar ms 32 bits (para cubrir la longitud de la trama y el ICV).
39
Vector de
inicializacin (IV)
IV
Semilla
Cifra de flujo
GNSA
Texto
cifrado
Clave secreta
Texto en claro
Algoritmo de integridad
Cdigo de
integridad
(ICV)
Mensaje
Si los dos ICV son iguales, la trama se acepta; en caso contrario se rechaza.
40
Clave secreta
Cifra de Flujo
Semilla
GNSA
IV
Trama en claro
Algoritmo de integridad
Trama
cifrada
ICV
ICV
OK
ICV=ICV
?
El IV que se utiliza es de longitud insuficiente (24 bits). Dado que cada trama
se cifra con un IV diferente, solamente es cuestin de tiempo para que se
agote el espacio de 224 IV distintos. Esto no es problemtico en una red casera
con bajo trfico, pero en una red que posea alto trfico se puede agotar el
41
Existen en este momento diversas herramientas gratuitas para romper la clave secreta
de enlaces protegidos con WEP. El primer programa que hizo esto posible fue
WEPCrack, que consiste en una serie de scripts escritos en lenguaje Perl diseados
para analizar un archivo de captura de paquetes de un sniffer. La herramienta
AirSnort9 hace lo mismo, pero integra las funciones de sniffer y rompedor de claves,
y por lo tanto es ms fcil de usar. Airsnort captura paquetes pasivamente, y rompe la
clave WEP cuando ha capturado suficientes datos.
Los mecanismos de seguridad que ofrece el protocolo 802.11b pueden ser
clasificados en las siguientes categoras:
42
43
44
Deber permitirse acceso completo al cliente, slo cuando ste ha sido debidamente
autorizado y autenticado. La Figura 5.3 muestra la estructura de la red con la
utilizacin de VPN.
45
46
El servidor de autenticacin responde con un mensaje RADIUS AccessChallenge, en el cual enva informacin de un desafo que debe ser
correctamente resuelto por el cliente para lograr el acceso. Dicho desafo
puede ser tan sencillo como una contrasea, o involucrar una funcin
47
un
mensaje
RADIUS-Access-Accept,
que
autoriza
al
48
Existen varias variantes del protocolo EAP, segn la modalidad de autenticacin que
se emplee. Se puede hablar de dos grupos de variantes: las que emplean certificados
de seguridad, y las que utilizan contraseas.
Las variantes de EAP que emplean certificados de seguridad son las siguientes:
49
del servidor se efecta una vez que se establece la sesin TLS, utilizando otro
mtodo tal como PAP, CHAP, MS-CHAP MS-CHAP v2.
50
que se posee, la seguridad de la red estara en riesgo. Otra solucin sera llevar
el certificado en una tarjeta inteligente (smart card), lo que obligara a instalar
hardware adicional en las terminales para leer dichas tarjetas.
tecnologa propietaria, exige que todos los puntos de acceso sean marca
Cisco, y que el servidor RADIUS sea compatible con LEAP.
EAP-SPEKE: Esta variante emplea el mtodo SPEKE (Simple Passwordauthenticated Exponential Key Exchange), que permite verificar que tanto
51
cliente como servidor comparten una informacin secreta (en este caso, una
contrasea) a travs de un medio inseguro. Se ha comprobado que el mtodo
es muy seguro, aun con contraseas cortas. Ofrece proteccin contra ataques
de diccionario, as como el servicio de autenticacin mutua sin necesidad de
certificados. Muchos proveedores lo implementan por ser un mtodo de
autenticacin robusto y sencillo.
52
texto claro de la trama 802.11. Esta medida protege contra los ataques por
falsificacin.
Encrypted
IV / KeyID
4 octets
Extended IV
4 octets
Data
n octets
MIC
8 octets
ICV
4 octets
53
Temporal Key
Transmitter Address
Phase 1
Key Mixing
Per Packet
Key
RC4Key
WEP IV
Encryted
MSDUs
WEP
Encapsulation
TKIP
Sequence
Counter
Plaintext
MSDU & MIC
MIC Key
Source Address
+
Destination Address
+
MSDU Plaintext
MIC
Plaintext
MSDU
Fragmentation
El MIC final se calcula sobre la direccin fsica origen y destino y el MSDU (MAC
Service Data Unit o texto plano de los datos en la trama 802.11) despus de ser
segmentado por la llave MIC y TSC.
54
55
Alliance, todo equipo de red inalmbrica que posea el sello Wi-Fi Certified podr
ser actualizado por software para que cumpla con la especificacin WPA.
5.2. Anlisis de Mtodos.
La seguridad en las redes inalmbricas es una necesidad, dadas las caractersticas de
la informacin que por ellas se transmite. Sin embargo, la gran cantidad de las redes
inalmbricas actualmente instaladas no tienen configurada seguridad alguna, o poseen
un nivel de seguridad muy dbil, con lo cual se est poniendo en peligro la
confidencialidad e integridad de dicha informacin.
El mtodo mediante WEP con clave esttica es el mnimo nivel de proteccin que
existe. En una red casera puede ser suficiente; en una corporativa, el uso de WEP est
56
formalmente desaconsejado, por la facilidad con la que se pueden romper las claves
WEP en un entorno de alto trfico.
El uso de las VPN es una alternativa interesante cuando ya se tiene una red
inalmbrica, y no se posee hardware inalmbrico que soporte el protocolo 802.1x.
57
Caractersticas
802.11
WPA
WEP (RC4)
TKIP (RC4)
Longitud
40 bits
Esttica: la
128 bits
Dinmica: por
misma para
usuario, por
todos los
sesin, por
dispositivos
Manual en cada
paquete
Automtica
Cifrado
Generacin clave
Gestin de claves
Entorno
Autenticacin
Mtodo
gestionada por
Definido por
802.1x/EAP
802.1x/EAP
802.11
Abierta clave
EAP-TLS,
compartida
PEAP, EAP-
(autentifica el
TTLS
equipo)
(autentifican al
usuario)
Tabla 5.1. Caractersticas de seguridad IEEE 802.11 y WPA.
5.3. Garantizando la Seguridad de una Red Inalmbrica.
Para poder considerar una red inalmbrica como segura, debera cumplir con los
siguientes requisitos:
Las ondas de radio deben confinarse tanto como sea posible. Esto es difcil de
lograr totalmente, pero se puede hacer un buen trabajo empleando antenas
direccionales y configurando adecuadamente la potencia de transmisin de los
puntos de acceso.
58
Los datos deben viajar cifrados por el aire, para evitar que equipos ajenos a la
red puedan capturar datos mediante escucha pasiva.
59
60
61
62
CAPTULO 6
POLTICAS GENERALES EN REDES WLAN.
Las polticas de seguridad documentadas permiten a una organizacin definir
arquitecturas aceptables para la aplicacin y uso de tecnologas inalmbricas.
el nivel apropiado de
seguridad.
6.1 Tipos de Polticas.
La definicin de polticas va a depender de cada empresa, de manera general las
hemos clasificado de la siguiente forma:
63
Polticas de Administracin.
Polticas Tcnicas.
Polticas de Operacin.
64
65
8. Asegurar que los canales de los Puntos de Acceso esta por lo menos a cinco
canales diferentes de cualquier otro de las redes inalmbricas cercanas para
prevenir la interferencia.
9. Cambiar todos los parmetros predeterminados.
10. Desactive todo los protocolos inseguros que no son esenciales en los Puntos
de Acceso.
11. Habilitar todas las seguridades que ofrecen los productos WLAN, incluso la
autenticacin criptogrfica y la privacidad que ofrece WEP.
12. Asegrese que el tamao de encriptacin sea de por lo menos 128 bits o tan
grande como sea posible.
13. Remplace peridicamente las claves.
14. Instale un firewall propiamente configurado entre la infraestructura cableada y
la red inalmbrica (Punto de Acceso o hub a otros Puntos de Acceso).
15. Instale software antivirus en los clientes inalmbricos.
16. Instale un firewall personalizado en todos los clientes inalmbricos.
17. Desactive los archivos compartidos en los clientes inalmbricos.
18. Despliegue las listas de control de acceso MAC.
19. Considere instalacin de Switches en lugar de los hubs para la conectividad
de los Puntos deAcceso.
20. Despliegue las IPsec basadas en VPN la tecnologa para comunicaciones
inalmbricas.
66
21. La encriptacin usada debe ser suficiente para la sensibilidad de los datos en
la red y el procesador de las computadoras.
22. Realizar pruebas y actualizaciones regulares al software.
23. Todos los Puntos de Acceso deben tener una contraseas administrativas que
contenga una combinacin que no se fcil de descifrar.
24. Todas las contraseas deben cambiarse regularmente.
25. Controlar la autenticacin del usuario con el uso de mtodos biomtricos,
tarjetas inteligentes, PKI, etc.
26. El modo ad hoc para 802.11 ser deshabilitado cuando exista riesgo.
27. Use IP esttico en la red.
28. Desactivar DHCP.
29. Habilitar los mecanismos de autenticacin de usuario para las interfaces de los
Puntos de Acceso.
30. Asegurar que el trfico de direccin destinado para Puntos de Acceso esta
conectado adelante a la red.
31. Use SNMP V.3 y/o SSL/TLS para la administracin Web basado en Puntos de
Acceso.
67
68
CAPTULO 7
HERRAMIENTAS DE GESTIN.
7.1. Generalidades.
Existen en el mercado diferentes tipos de dispositivos inalmbricos y herramientas
para la Administracin de redes inalmbricas, los cuales presentan diferentes tcnicas
para asegurar la red.
En este caso hemos seleccionado la marca Lucent Technologies con su lnea
inalmbrica Orinoco.
Los productos de la familia Orinoco, son un sistema de equipos de red que permiten
la construccin de cualquier tipo de configuracin de red, desde una pequea red
inalmbrica hasta una completa y gran infraestructura inalmbrica.
Los productos de la familia Orinoco consisten de:
69
Adaptadores USB.
Puntos de Acceso.
70
En este caso vamos a detallar los niveles de seguridad que los dispositivos y
herramientas que ORINOCO implementan para redes inalmbricas, comparando con
las metodologas existentes descritas en captulos anteriores.
7.2. Seguridad.
La seguridad que incluye los equipos Orinoco e implementando las metodologas
descritas anteriormente en el captulo 5 se resumen en lo siguiente:
71
72
73
74
75
Seleccione una de estas claves, para encriptar los datos inalmbricos que
estn siendo transmitidos va la interfase inalmbrica.
Esta misma configuracin de encriptacin debe ser tambin cargada en las estaciones.
Para la tarjeta Orinoco Silver los valores vlidos (llaves para encriptar) son:
76
Para la tarjeta Orinoco Gold los valores vlidos (llaves para encriptar) son:
77
78
79
Se puede usar las listas de acceso SNMP para crear un nivel extra de seguridad en
adicin a las contraseas de lectura y lectura /escritura. Esto permitir a un nmero
limitado de estaciones de gestin visualizar y/o modificar los parmetros de los
Puntos de Acceso, basndose en las direcciones IP de estas estaciones.
La direccin IP de la estacin y,
1 para la ethernet.
80
Usar los siguientes botones para modificar la lista de acceso SNMP IP:
81
si el Punto de Acceso es
reseteado.
82
Valores vlidos: Cualquier valor alfanumrico en el rango de az, 0-9 con un mnimo de 2 y un mximo de 31 caracteres.
83
NOMBRE
PLATAFORMA
Mognet
Java VM
Kismet
Ethereal
Unix, Windows
TCPDump
Unix
PrismDump
Unix
PrismDump2
BSD
AiroPeek
Windows
Gifit
Windows, Linux
Sniffer Wireless
Windows
Tabla 7.1. Sniffers WLAN.
mencionar:
TCP(Transmission
Control
Protocol),
84
Protocol),
DHCP(Dynamic
Host
Configuration
Protocol),
de ciertos dispositivos,
85
NOMBRE
PLATAFORMA
NetStumbler
Windows
MacStumbler
Macintosh
SSIDSniff
Unix
AP Scanner
Macintosh
86
Wavemon
Linux
WLAN Expert
Windows
Wavelan-tools
Linux
Sniffer Wireless
Windows
TCH-Wardrive
Linux
Tabla 7.2. Scanners WLAN.
87
NOMBRE
PLATAFORMA
WEPCracker
Linux
Airsnort
Windows, Linux
88
89
CAPITULO 8
COSTO Y BENEFICIO DE IMPLEMENTACIN WLAN.
Descripcin del Caso de Estudio: Una compaa industrial, desea automatizar sus
procesos entre el rea de produccin y el de distribucin y almacenaje.
90
91
Cant.
2
Costo
Descripcin
ORINOCO PA-1000 802.11 a/b Punto
Costo
Unitario
687.00
Total
1374.00
85.00
170.00
gestin)
ORINOCO 802.11a/b USB Adapter
GOLD
5
ORINOCO 802.11a/b Cardbus GOLD
105.00
15
ORINOCO 802.11a/b PCI Card GOLD
120.00
2
ORINOCO 20" IEEE Pigtail Assembly
70.00
2
ORINOCO Range Extender Antenna
80.00
Total Costo de Hardware
$
20
Configuracin de puntos de red
30.00
Total General
$
Tabla 8.1. Costo de implementacin WLAN.
525.00
1800.00
140.00
160.00
4,169.00
600.00
4,769.00
PA Primer Piso
Gerencia de Produccin
Control de Calidad
Laboratorio
Primer Piso
Antena Extensora de Rango
PA Planta Baja
Bodega de Productos
Terminados
Bodega de Materia
Prima
Bodega de Material
de Empaque
Planta Baja
92
La Tabla 8.2 detalla los costos del hardware para la implementacin de una LAN
cableada, costos de configuracin de los puntos de red y la colocacin de los cables
en las instalaciones del edificio, cabe resaltar que en los costos de cableado est
incluida la mano de obra.
Cant.
Costo
Descripcin
BaseT
3Com 3C16610 SuperStack II 12 Port
Costo
Unitario
1,095.00
Total
1,095.00
438.00
438.00
30.00
20.00
0.45
2.50
150.00
300.00
22.50
125.00
Sensing
Cardbus Ethernet PC card
Ethernet PCI adapter
Conectores RJ 45
Canaleta con cinta doble fast
70.00
50.00
35.00
50.00
450.00
2,785.50
500.00
3,285.50
Switch
La Figura 8.2. muestra el esquema de LAN cableada que tendran las instalaciones, y
la distribucin de los equipos.Gerencia de Produccin
Control de Calidad
Laboratorio
Primer Piso
Cross Connect
Hub
Bodega de Productos
Terminados
Planta Baja
Bodega de Materia
Prima
Bodega de Material
de Empaque
93
En la Tabla 8.3. adjunta, se especifican los costos para la implementacin de una red
WLAN LAN, a la que denominaremos red mixta.
En sta se detalla hardware wireless y wired, as como tambin los costos de
configuracin para cada uno de ellos.
Cant.
1
Descripcin
ORINOCO PA-1000 802.11 a/b Punto
Costo
Costo
Unitario
687.00
Total
687.00
85.00
85.00
gestin)
ORINOCO 802.11a/b USB Adapter
94
GOLD
5
ORINOCO 802.11a/b Cardbus GOLD
10
ORINOCO 802.11a/b PCI Card GOLD
1
ORINOCO 20" IEEE Pigtail Assembly
1
ORINOCO Range Extender Antenna
Total Costo de Hardware Wireless
1
3Com 3C16610 SuperStack II 12 Port
105.00
120.00
70.00
80.00
438.00
525.00
1200.00
70.00
80.00
2,647.00
438.00
20.00
0.45
2.50
100.00
6.75
12.5
Sensing
Ethernet PCI adapter
Conectores RJ 45
Canaleta con cinta doble fast
AP Primer Piso
Gerencia de Produccin
Control de Calidad
Laboratorio
Primer Piso
Cross Connect
Hub
Bodega de Productos
Terminados
Bodega de Materia
Prima
Bodega de Material
de Empaque
Planta Baja
95
Descripcin
Costo
4,769.00
4,004.25
3,285.50
6000
5000
4000
4769
4004,25
3285,5
WLAN
WLAN - LAN cableada
LAN cableada
2000
1000
0
Infraestructura de Red
96
que
necesitan
frecuentemente
los
empleados
futuras
97
98
8.3. Conclusin.
Al realizar una comparacin de costos para la implementacin de una red LAN
cableada, una mixta y una red WLAN, se puede ver que la adquisicin de hardware
y configuracin para una WLAN es superior en costos, aunque en el largo plazo se
logra minimizar los costos de mantenimiento, adems de que los beneficios son
significativos en cuanto al rendimiento y optimizacin de los recursos; considerando
99
que la maximizacin de los beneficios que ofrece una red inalmbrica dependern de
la actividad el negocio.
Con respecto al caso de estudio que se plantea en este captulo, se propone como
solucin, la implementacin de una red inalmbrica ya que las necesidades del
negocio ameritan la inversin. Para esto se han tomado en consideracin los
siguientes puntos.
Los espacios de las reas de trabajo seran optimizados con una red WLAN.
100
Referencias.
1. Libros:
2. Pginas Web:
101
Warchalking http://www.warchalking.org/
102