CFGM. Servicios en red 1 CONTENIDOS 1. Redes inalmbricas 2. Estndares de conexin 3. Elementos inalmbricos 4. Modos de conexin 5. Identificadores de servicio 6. Seguridad en redes inalmbricas 7. Direcciones MAC 8. Filtrado de trfico 2 1. Redes inalmbricas
En la actualidad, cualquier ordenador o dispositivo mvil dispone de elementos de hardware que le permiten conectarse y comunicarse con otros. A menudo constituyen la nica solucin, ya que puede resultar costoso o incluso problemtico llevar el cable a determinadas zonas. Para estas situaciones y, en especial, aquellas en las que se deber trabajar en diversos lugares, las redes inalmbricas son la mejor solucin para equipos mviles y porttiles, as como PDA y smartphones.
La tecnologa inalmbrica se encuentra en todos los tipos de redes:
Redes de rea ancha inalmbricas (WWAN) como GSM/EGPRS (2G), UMTS (3G), HSDPA/HSUPA (3.5G) o LTE/SAE (4G) o la MBWA (IEEE 802.20), en fase de estudio y desarrollo.
Redes de rea metropolitana inalmbricas (WMAN) como WiMaX (IEEE 802.16) o MMDS/LMDS o la ETSI HiperMAN & HiperAccess.
Redes de rea local inalmbricas (WLAN) que utilizan para su interconexin el estndar Wi-Fi (IEEE 802.11) o la ETSI HiperLAN.
Redes de rea personal inalmbricas (WPAN) como Bluetooth, infrarrojos (irDA), HomeRF o la ETSI HiperPAN. 3 1. Redes inalmbricas 4 1. Redes inalmbricas 1.1. Redes inalmbricas personales (WPAN)
Las redes de rea personal inalmbricas surgieron a raz del inters de un grupo de trabajo (IEEE 802.15) por desarrollar un sistema que permitiese comunicar directamente entre s dispositivos mviles de uso personal a distancias cortas, de igual a igual y sin que fuese precisa una infraestructura intermedia.
Tienen una cobertura relativamente pequea, si bien con antenas especficas se puede ampliar. Dentro de este grupo de redes las tecnologas ms conocidas son:
irDA. Fue la primera en aparecer, en 1993. Trabaja en el espectro de infrarrojos.
HomeRF. Se basa en las normas de los telfonos DECT y los telfonos Wi-Fi para interconectar todos los dispositivos y formar una nica red de voz y datos.
Bluetooth. Convertido en el estndar del sector, se halla en todo tipo de dispositivos de uso personal. 5 1.2. Redes Wi-Fi (WLAN) Wi-Fi es una tecnologa de redes de rea local inalmbricas (WLAN) de paquetes no guiados basados en la transmisin de la seal por ondas electromagnticas de radio en torno a los 2,4 GHz o los 5 GHz.
Las WLAN no surgen para sustituir a las LAN, sino ms bien para complementarlas, ya que permiten tanto a los usuarios como a los dispositivos mantenerse conectados y disfrutar de plena libertad de movimientos. 1. Redes inalmbricas 6 Antes de proceder a su diseo, habr que realizar un estudio para establecer los espacios fsicos que se requiere cubrir, el tipo de cobertura que se dar, la funcionalidad deseada, as como los canales y los identificadores de red que se utilizarn.
De cara a su implantacin hay que considerar los factores siguientes:
Alta disponibilidad: la conexin inalmbrica tiene que estar en servicio en todo momento.
Arquitectura abierta: todos sus elementos siguen los estndares existentes, de modo que los dispositivos suministrados por fabricantes distintos funcionan correctamente entre s.
Escalabilidad: permite disponer de diversos puntos de acceso (PA o AP, Access Point) en una misma red para proporcionar un mayor ancho de banda.
Manejabilidad: todos los elementos implicados en las redes inalmbricas han de ser de fcil configuracin y manejo. 1.2. Redes Wi-Fi (WLAN) 1. Redes inalmbricas 7 1.3. Redes de rea metropolitana inalmbricas (WMAN)
Es interesante incidir en la tecnologa 802.16 debido a la gran expansin que est teniendo para dar servicio de Internet mediante subcontratas promovidas por ayuntamientos o compaas operadoras de telecomunicaciones. Sin embargo, aunque se parece a la norma 802.11 utilizada en las WLAN, no son idnticas, pero s que resultan compatibles. 1. Redes inalmbricas 8 1.4. Redes de rea ancha inalmbricas (WWAN) Las tecnologas para WAN inalmbrica (WWAN), como GSM/EGPRS, UMTS, HSDPA/HSUPA o LTE, constituyen otra opcin a la hora de realizar despliegues de redes inalmbricas entre dos puntos muy distantes que sobrepasen los lmites fsicos de las anteriores, si bien siempre resultar ms econmico emplear WPAN, WLAN o WMAN, que utilizan bandas de frecuencias libres sin costes para su utilizacin.
No hay que olvidar que las licencias para telefona mvil son limitadas y el gobierno de cada pas las cede a travs de concesiones a operadores de telecomunicaciones para que realicen una explotacin comercial de las mismas (en Espaa, son Movistar, Vodafone, Yoigo y Orange). 1. Redes inalmbricas 9 2. Estndares de conexin
La organizacin de las tecnologas WLAN con tecnologa Wi-Fi que ha llevado a la estandarizacin de los diferentes grupos de trabajo ha sido la IEEE, aunque no es la nica que los respalda. De hecho, se ha desarrollado a partir de los dos rangos de frecuencias libres ISM utilizados para usos instrumentales, cientficos y mdicos, el de 2,4 GHz y el de 5 GHz. 10 2. Estndares de conexin Aunque los primeros sistemas, propuestos en 1997, funcionaban con velocidades de transmisin de 1 o 2 Mbps, a partir de 2013 empezarn a estar disponibles para ser comercializados los primeros que soporten la versin ac de hasta 1 Gbps. No todas ellas son compatibles. La versin 802.11a solo se entiende con la 802.11n, ya que ambas trabajan en la frecuencia de los 5 GHz, mientras que todas las dems tambin son compatibles en la banda de 2,4 GHz. 11 3. Elementos inalmbricos 3.1. Antenas
Las antenas se encargan de enviar o recibir las ondas electromagnticas con los datos. Segn la cobertura de seal que cubren, pueden clasificarse en tres tipos: Omnidireccionales. Radian la seal en todas direcciones. En realidad, lo hacen segn un diagrama en forma de toro.
Direccionales o bidireccionales. Concentran la seal en una sola direccin y cubren cierto ngulo alrededor de la direccin a la que se apunta. Sectoriales. Tipo mixto. Emite una seal ms amplia que una direccional, pero menor que la omnidireccional. Su intensidad es mayor que la omnidireccional, pero menor que la direccional. 12 3. Elementos inalmbricos 3.1. Antenas
Las caractersticas ms importantes que deben valorarse a la hora de elegir las antenas son las siguientes:
El alcance, es decir, la distancia fsica en lnea recta entre dos puntos.
Las dimensiones, imprescindibles para saber si cabe en la ubicacin donde necesita colocarse.
Los rangos de temperaturas que soporta en funcionamiento, sabiendo si es para interior o exterior.
El tipo de polarizacin (vertical u horizontal).
La frecuencia de trabajo (para Wi-Fi oscila entre 2400 y 2485 MHz).
La ganancia o potencia, expresada en DBi (fabricantes) o en DBd (reales).
Los ngulos de recepcin del ancho de banda, tanto horizontal como vertical (Horizontal or Vertical Beam Bandwith). 13 3.2. Adaptadores inalmbricos Se trata de tarjetas inalmbricas integradas en todos los dispositivos inalmbricos, desde los clientes, que aparecen ms visibles y pueden tener diferentes maneras de conectarse (PCI, PCMCIA y USB), hasta los elementos de interconexin inalmbricos (puntos de acceso, puentes y enrutadores Wi-Fi) que los llevan incrustados. 3.3. Puntos de acceso Las redes Wi-Fi tienen una topologa sin organizacin, con uno o varios dispositivos emisores y receptores denominados puntos de acceso (AP), conectados a una red troncal. Se trata de un elemento clave dentro de estas redes, ya que dirige el trfico y permite o no la circulacin de los datos. En la actualidad se distinguen cuatro tipos de puntos de acceso: Para redes de alto rendimiento, como empresas. Para redes de entornos de radiofrecuencia (RF) complicados. Para redes de interior, para cubrir espacios interiores de edificios de oficinas. Para redes malladas. 14 3.4. Puentes inalmbricos 3.5. Routers inalmbricos Mismos puntos de acceso vistos anteriormente, aunque configurados para funcionar como puentes, con la idea de unir dos segmentos de red en una o ms sedes de una misma organizacin. El administrador de la red indica en qu modo ha de funcionar de acuerdo con las necesidades de cada momento. Se le puede indicar que trabaje en modo punto a punto o en modo punto a mltiples puntos. En ambos casos, solo puede existir un puente principal o raz que se encargar de encaminar el trfico, mientras que los otros tendrn la funcin de no-raz. Los fabricantes de routers les han aadido un adaptador Wi-Fi para que puedan funcionar tambin como puntos de acceso. Basta con disponer de una conexin para acceder, mediante un navegador y la IP correspondiente, al panel de opciones y configurar la parte especfica del acceso inalmbrico. La configuracin se lleva a cabo tras introducir el nombre de usuario y la contrasea correspondiente. A partir de ese momento, y segn el fabricante (existen versiones emuladoras en sus webs), podremos obtener informacin del aparato y configurar todos los parmetros. 15 4. Modos de conexin Las redes inalmbricas IEEE 802.11 disponen de dos modos de conexin para trabajar pero son incompatibles entre s:
Modo punto a punto o ad hoc (IBSS): se establece entre dos clientes que pueden comunicarse directamente con tarjetas WLAN compatibles sin necesidad de elementos de interconexin inalmbricos. Se trata de un servicio bsico entre iguales semejante al uso de un cable cruzado.
Modo infraestructura (BSS): es la configuracin construida en torno a un punto de acceso activo que gestiona todo el trfico y ejerce como puerta de enlace entre la red inalmbrica y otra cableada que puede o no estar conectada a Internet. Se diferencia del modo anterior en que los clientes inalmbricos no pueden comunicarse directamente entre s. 16 4. Modos de conexin Existe un tercer modo que consiste en la fusin de los dos anteriores para constituir redes malladas. En estos casos, un nodo puede comunicarse con cualquier otro, tal como se lleva a cabo en el modo punto a punto, pero tambin como repetidor o punto de acceso para propagar la informacin, al igual que en el modo infraestructura. 17 5. Identificadores de servicio Todo elemento de interconexin inalmbrico siempre ha de tener al menos un servicio de identificacin (SSID), que consta de un valor alfanumrico de hasta 32 caracteres que debe utilizarse en todos los paquetes que se transmitan.
El funcionamiento de un cliente activo en una WLAN es el siguiente: el dispositivo escucha o escanea la red y, cuando localiza algn punto compatible con la tarjeta, intenta conectarse de alguna de estas dos formas:
Activa: el cliente enva un mensaje de conexin que contiene el SSID de la red a la que pretende unirse (puede que est oculto como medida de seguridad en el PA que est configurado para no difundirlo). Si existe algn PA con el mismo SSID, le reenva una respuesta de aceptacin y el cliente se asocia y autentica en la red. 18 5. Identificadores de servicio Pasiva: el cliente se limita a escanear en busca de unas tramas de administracin de balizas, llamadas beacons, emitidas por el PA cada cierto tiempo y que contienen bsicamente el SSID de la red. Una vez obtenida la baliza, el cliente intentar unirse a la red usando el SSID. Si el proceso se completa, este se asociar y autenticar. 19 6. Seguridad en redes inalmbricas
La seguridad es uno de los puntos dbiles de las WLAN. Al utilizar el aire como medio de transmisin para enviar datos a travs de las ondas de radio, cualquier persona puede captarlas. Los recursos empleados para proteger la red dependern del valor de la informacin manejada.
Existen tres niveles de seguridad:
Cero (no recomendable): suele aplicarse cuando se considera que la informacin transmitida no es importante. Se da en los sistemas abiertos sin seguridad que permiten un acceso WLAN gratuito a Internet.
Bsica (configuracin por defecto): los elementos de interconexin suelen estar preconfigurados con algoritmos bsicos de cifrado fciles de romper. Se acepta solo en el caso de usuarios domsticos y/o aplicaciones no crticas.
Avanzada: habitual en aquellos casos en que debe manejarse informacin muy importante. Habr que dedicar el mayor nmero de recursos posibles para su proteccin. Se emplea en los sistemas WPA profesionales. 20 6.1 Accesos a sistemas abiertos sin seguridad No requieren ningn algoritmo de seguridad, ya que no solicitan ninguna clave y permiten que cualquier usuario se conecte. Suele utilizarse en puntos de acceso pblico, aunque tambin puede darse el caso de que un usuario tenga una configuracin abierta por defecto. 6.2 Privacidad equivalente a cableado (WEP) Suele ser la opcin por defecto suministrada por los fabricantes para preconfigurar los routers, ya que es compatible con todos los dispositivos y estndares Wifi existentes. Utiliza solo una clave nica compartida (PSK) de seguridad para cifrar todas las comunicaciones entre los dispositivos, que deben conocerla. 21 6.3. Acceso protegido Wi-Fi (WPA/WPA2) Tanto WPA como WPA2 pueden considerarse variantes mejoradas de WEP que aumentan la seguridad de una clave compartida nica con claves dinmicas (TKIP) y protegen las identidades de los usuarios o las mquinas mediante la autenticacin con clave compartida (PSK), diversos certificados (PKI) como DNI-e, OpenID, etctera, y servidores de autenticacin RADIUS (802.1X).
As mismo, se han incorporado algunas mejoras, como el cambio del algoritmo de encriptacin RC4 por AES en los sistemas WPA2.
Este mecanismo de seguridad tiene dos modos o variantes: WPA y WPA2 Personal, cuando se utiliza una clave compartida. WPA y WPA2 Empresarial (Enterprise), cuando hay autenticacin 802.1x. 22 7. Direcciones MAC El uso de las direcciones fsicas de una interfaz de red (MAC) constituye una tcnica sencilla y muy interesante a la hora de aumentar la seguridad de acceso a una intranet a travs de conexiones inalmbricas. Basta con activar el cortafuegos bsico que pueden tener los enrutadores con funcin de AP y aceptar o denegar las direcciones fsicas MAC de la interfaz.
Se pueden crear dos tipos de listas de acceso:
Listas negras o de denegacin (prevent): comparan las MAC entrantes y, si corresponden con las consignadas, se deniega la conexin.
Listas blancas o de aceptacin (permit): se emplean de la manera contraria. 23 8. Filtrado de trfico Al tratar las medidas de seguridad que pueden tomarse para los elementos de interconexin como los cortafuegos y los proxy-cach, conviene mencionar tambin el filtrado de paquetes del trfico que circula por el router o el AP. Basta con efectuar un bloqueo sobre los servicios que no se quieran activos (POP3, FTP, etctera). Segn el firmware cargado, se podrn realizar operaciones ms complejas, como ajustar los das y las horas en que se permite o no el acceso o bloquear pginas web segn el dominio o la palabra clave que contengan.