Seguridad en Redes WIFI

Contenido
Fundamentos de WIFI .................................................................................................................... 3 Como funciona una red WIFI .......................................................................................................... 6 Arquitectura lgica-funcional. .................................................................................................... 6 Modelo de referencia................................................................................................................. 8 Topologas de red....................................................................................................................... 9 Mtodo de transmisin de datos .............................................................................................. 11 La capa MAC ........................................................................................................................ 11 Funcin de Coordinacin Distribuida .................................................................................... 12 Protocolo de Acceso al Medio .............................................................................................. 12 Colisiones ............................................................................................................................. 14 MACA (MultiAccess Collision Avoidance) .............................................................................. 15 NAV (Network Allocation Vector) ......................................................................................... 16 Fragmentacin Y Re ensamblado.......................................................................................... 17 Funcin de Coordinacin Puntual ......................................................................................... 17 Formato de trama MAC ........................................................................................................ 18 Control de Trama ................................................................................................................. 19 Seguridad..................................................................................................................................... 20 SSID ......................................................................................................................................... 20 Filtrado de direcciones MAC..................................................................................................... 21 WEP (Wired Equivalent Privacy) ............................................................................................... 22 Autenticacin WEP ............................................................................................................... 22 Encriptacin WEP ................................................................................................................. 23 Debilidades de WEP ............................................................................................................. 23 WPA / WPA2 ............................................................................................................................ 24 Autenticacin ....................................................................................................................... 24 Encriptacin WPA ................................................................................................................. 26 WPA2 ................................................................................................................................... 27 Es WPA/WPA2 perfecto? .................................................................................................... 27

Configuracin de Una Red Wifi..................................................................................................... 27 Configuracin........................................................................................................................... 28 Tabla der Comparacin de Protocolos IEEE 802.11 ....................................................................... 36

Fundamentos de WIFI
Las redes wifi surgen a partir de la necesidad de instalar servicios de redes adaptables a un entorno fsico ms dinmico, las redes cableadas exigan que los usuarios se adapten a la instalacin de la red, restringiendo la movilidad. Las redes wifi utilizan el espectro de radio para transmitir datos a los dispositivos cliente, que permiten conectar a los usuarios a redes de datos sin tener que estar sujetos a un punto de conexin.

Las primeras redes wifi tenan limitaciones tano de espacio, ancho de banda y disponibilidad concurrente, las actuales redes inalmbricas han superado al fast Ethernet compitiendo con el giga Ethernet en cuanto a velocidad y proporcionando distancias de acceso de diferentes magnitudes construyndose redes LAN y MAN bajo una estructura de protocolos. Desde el punto de vista de capas de funciones de redes, WIFI es un conjunto de protocolos de acceso a la red, que incluyen funciones de seguridad, descritas en la Norma IEEE 802.11 emitida en 1997, mejorada en muchas sucesiones de veces: 802.11g en 1999 que ampla a 14 la utilizacin de canales de la frecuencia 2.4 Ghz. La norma 802.11 cambia desde la versin b, hasta la n que permite la velocidad de 300mbps a 100m de alcance sobre la banda 2.4Ghz, Prximamente tendremos la norma 802.11ac que permitir la velocidad de 1300mbps sobre la banda 5GHz.

Algo que es importante en los fabricantes de productos para WIFI es su preocupacin por incorporar compatibilidad entre versiones e la norma, es decir que un equipo cliente que tiene un adaptador compatible con 802.11b, puede conectarse a un concentrador inalmbrico que tiene soporta hasta 802.11n, claro a la velocidad que soporta con la versin compatible, 5mbps en este caso. Cuando se trata de conectarse a una red WIFI, debemos considerar adems de la norma otros factores importantes, uno de ellos es la potencia de la antena de conexin, una buena transmisin depende de la potencia del enlace que tengamos.

La potencia de las antenas se miden en dBi o dBm o mW, y su medida tiene relacin con la cantidad de ganancia o prdida de la seal que transmite. En este caso, la potencia de un router Wifi que puede ser de 20dBm, puede legar tericamente a los 300 metros a la redonda, sin embargo la seal es atenuada por diferentes elementos que reducen su potencia haciendo que esta distancia se reducida en algunos casos a menos de 10 metros.

Algunos elementos disminuyen la seal ms que otros, incluso otras seales celular bluethoot, personas o el agua.
Grado de atenuacin Ninguno Bajo Bajo Bajo Medio Medio Medio Medio Medio

Materiales Aire Madera Plstico Vidrio Vidrio teido Agua Seres vivientes Ladrillos Yeso

Ejemplos Aire libre, patio interno Puerta, piso, medianera Medianera Ventanas sin teir Ventanas teidas Acuario, fuente Multitud, animales, personas, plantas Paredes Medianeras

Cermica Papel Concreto

Alto Alto Alto

Tejas Bobinas de papel Muros de carga, pisos, columnas Ventanas a prueba de balas Concreto reforzado, espejos, armarios metlicos, cabina del ascensor

Vidrio a prueba de Alto balas Metal Muy alto

Como funciona una red WIFI

Arquitectura lgica-funcional.
La arquitectura 802.11 est basada en una arquitectura celular.

Ilustracin: Arquitectura lgica-funcional de IEEE 802.11 El sistema se divide en celdas o clulas denominadas BSS (Basic Service Set) o Conjunto Bsico de Servicios. Un BSS est formado por nodos, fijos o mviles, llamados estaciones. Cada BSS est gobernada por un Punto de Acceso o AP (Access Point). Segn el apartado 5.2.1.1 del estndar 802.11 [2-1], un AP se define como una estacin base provista de acceso al Sistema de Distribucin (DS), capaz de proveer a las estaciones de los servicios de ste. Las funciones bsicas que puede realizar son: Portal, para interconectar la WLAN y otra red LAN 802.x de otro tipo (Internet, intranet,).

Puente hacia otros puntos de acceso, para extender los servicios de acceso. Router, para encaminar los datos dentro de la zona de cobertura.

El AP es el elemento esencial de la red inalmbrica puesto que ser el transmisor y el receptor de la seal que se transmita por el aire, y el que, por tanto, proporcione cobertura a las estaciones que forman parte de nuestra WLAN. Las estaciones de un BSS obtienen acceso al Sistema de Distribucin o DS (Distribution System), y por tanto a otros nodos fuera de su rea de cobertura, a travs del AP. El DS es el componente lgico de la 802.11 que se encarga de conducir las tramas hasta su destino. En el estndar no se fija ninguna tecnologa concreta pero en la mayora de los casos est basado en tecnologa Ethernet (aunque tambin puede ser radioelctrico). Tiende a equipararse a la columna vertebral de la red (backbone network) El conjunto de celdas y sus correspondientes puntos de acceso se presenta a los niveles superiores como una unidad lgica llamada ESS (Extended Service Set) o Conjunto de Servicio Extendido, que es lo mismo que la unin de varias BSS. El medio inalmbrico (el aire) es el medio de transmisin usado para comunicaciones de una estacin a otra. La arquitectura de 802.11 define varias capas fsicas para llevar a cabo esta transmisin. Las estaciones (o clientes inalmbricos) suelen ser algn tipo de computadoras, provistas de interfaces de red inalmbricos, tanto porttiles como no. Estos interfaces suelen ser tarjetas. Normalmente los porttiles de ltima generacin cuentan con adaptador inalmbrico incorporado. Todo aquel equipo que no tenga, necesitara uno para poder conectarse. Existen principalmente tres tipos: tarjeta PCI, tarjeta PCMCIA y adaptador USB. Las redes inalmbricas Wi-Fi utilizan ondas de radio, al igual que los telfonos celulares, televisores y radios. De hecho, la comunicacin a travs de una red inalmbrica es muy similar a la comunicacin de radio de dos vas. Esto es lo que sucede: 1. El adaptador inalmbrico de la computadora traduce los datos en una seal de radio y los transmite por medio de una antena. 2. El router inalmbrico recibe la seal, la decodifica y enva la informacin a la red. El proceso funciona tambin a la inversa: el router recibe la informacin desde la red, la traduce en una seal de radio y el adaptador inalmbrico de la computadora decodifica la seal recibida. Para que los datos enviados y recibidos por los dispositivos de una red no se mezclen con los de otra se utiliza el SSID (Service Set IDentifier) es un nombre incluido en todos los paquetes de datos enviados por los dispositivos de una red inalmbrica para identificarlos como parte de esa red. El cdigo consiste en un mximo de 32 caracteres, la mayora de las veces son alfanumricos pero el

estndar no lo especifica as que puede consistir de cualquier carcter. Todos los dispositivos inalmbricos que intenten comunicarse entre s deben compartir el mismo. Para proteger la confidencialidad de los datos de una red inalmbrica y restringir su uso se utilizan diversos protocolos de cifrado entre los ms comunes se encuentran el WEP, WPA y el WPA2. Las redes inalmbricas transmiten en frecuencias de 2,4 GHz o 5 GHz. Estas frecuencias son considerablemente mayores a las utilizadas por los telfonos mviles, walkie-talkies y televisores. A mayor frecuencia, es mayor la cantidad de datos que se pueden transmitir.

Modelo de referencia
La norma 802.11 sigue el mismo modelo o arquitectura que toda la familia 802, es decir, capa fsica y la capa de enlace.

Ilustracin: Modelo OSI y Familia IEEE 802.11

Vindolo con un poco de ms detalle, la capa fsica se divide en dos subcapas [2-2]: La subcapa inferior, PMD (Physical Media Dependent), que corresponde al conjunto de especificaciones de cada uno de los sistemas de transmisin a nivel fsico. El estndar define cuatro: Infrarrojos, FHSS, DSSS o OFDM. La subcapa superior, PLCP (Physical Layer Convergence Procedure), se encarga de adaptar las diversas especificaciones de la subcapa PMD a la subcapa MAC, inmediatamente superior.

La capa de enlace tambin se divide a su vez en dos subcapas [2-3]: La subcapa MAC (Media Access Control), donde se especifica el protocolo de acceso al medio propiamente dicho, as como una serie de peculiaridades propias de redes inalmbricas como son el envo de acuses de recibo (ACK), la posibilidad de realizar fragmentacin de las tramas y los mecanismos de encriptacin para dar confidencialidad a los datos transmitidos. La subcapa LLC (Logical Link Control), que ofrece un servicio de transporte nico para todas las tecnologas. Tal y como vemos en la Ilustracin 2-1 de este captulo, esta subcapa es comn a todo los estndares IEEE 802 Direccionamiento Normalmente un dispositivo WIFI se conecta a una red Configuracin de un Router WIFI Seguridad WPA WPA2.

Topologas de red
Tendremos distintas configuraciones de red dependiendo de las necesidades a y prestaciones a cubrir. Veamos las topologas bsicas descritas por el estndar: a) Modo Ad Hoc o IBSS (Independient Basic Service Set) No existe punto de acceso. Las estaciones se comunican peer to peer (par a par, de igual a igual), es decir, no hay una base y nadie da permisos para comunicarse. El trfico de informacin se lleva a cabo directamente entre los equipos implicados, sin tener que recurrir a un punto de acceso, obtenindose un aprovechamiento mximo del canal de comunicaciones.

Modo Ad Hoc con 2 estaciones

b) Modo Infraestructura o BSS (Basic Service Set) Existe un punto de acceso que realiza las funciones de coordinacin. Las estaciones en cuanto descubren que se encuentran dentro del radio de cobertura de un AP se registran en el para que les tome en cuenta. La comunicacin entre estaciones registradas en un AP nunca se realiza de forma directa sino que siempre se hace a travs del AP (todo el trfico pasa a travs de l). Hay una clara prdida de eficiencia cuando dos estaciones dentro de un mismo BSS desean comunicarse entre s: los paquetes de informacin son enviados una vez al punto de acceso y otra vez al destino. Sin embargo, esto no es un problema si la mayora del trfico va dirigido a la LAN convencional. Adems tenemos como ventaja que dos estaciones podrn establecer comunicacin entre s aunque la distancia entre ellas no les permita verse.

Modo Infraestructura o BSS c) Modo BSS Extendido o ESS (Extended Service Set) Es un caso especfico del modo infraestructura. Consiste en tener dos o ms APs interconectados (normalmente por una LAN convencional), de forma que cada AP abarca una zona o celda que corresponde a su radio de alcance. Los usuarios pueden moverse libremente de una celda a otra y

su conexin se establecer automticamente con el AP del que reciban una seal ms potente. A esto se le llama roaming o itinerancia entre celdas.

Mtodo de transmisin de datos

La capa MAC La capa de enlace de la familia 802.11 se divide a su vez en dos subniveles: MAC y LLC. El subnivel MAC o de Control de Acceso al Medio, situado entre los niveles fsicos y el subnivel LLC (Logical Link Control). Tenemos un medio, en nuestro caso el aire, compartido por una serie de estaciones, todas ellas queriendo transmitir. Sin embargo slo una de ellas puede acceder al canal en cada momento. Los mtodos de acceso al medio permiten regular el uso del canal de la mejor manera posible, atendiendo a cuatro criterios principalmente: retardo de acceso, caudal efectivo, equidad y simplicidad. La capa MAC proporciona el mecanismo de control de acceso al medio compartido y cada estacin y punto de acceso debe implementar una capa MAC. La arquitectura MAC se compone de dos funcionalidades: la funcin de coordinacin puntual (PCF) y la funcin de coordinacin distribuida (DCF). Cada una de estas funciones define un modo de acceso para las estaciones que conforman la red. La DCF se usa para servicios que acceden al medio mediante contienda con otros usuarios (acceso aleatorio) y la PCF para servicios libres de contienda (acceso determinista).

Modelo de referencia de la capa MAC Adems la capa MAC proporcionar otros servicios bsicos especficos de la tecnologa inalmbrica como son la gestin de movilidad, la gestin de potencia, la sincronizacin y funciones de seguridad. Todo esto lo veremos con detalle a continuacin. Funcin de Coordinacin Distribuida Definimos funcin de coordinacin como la funcionalidad que determina cundo una estacin puede transmitir y/o recibir unidades de datos de protocolo de nivel MAC a travs del medio inalmbrico. En el nivel inferior del subnivel MAC se encuentra la funcin de coordinacin distribuida (DFC) y su funcionamiento se basa en tcnicas de acceso aleatorias de contienda por el medio. El trfico que se transmite bajo esta funcionalidad es de carcter asncrono ya que estas tcnicas de contienda introducen retardos aleatorios no predecibles por lo que no son tolerados por los servicios sncronos. Sus caractersticas las podemos resumir en estos puntos: Utiliza MACA (CSMA/CA con RTS/CTS) como protocolo de acceso al medio. Utiliza los reconocimientos (ACKs), provocando retransmisiones si no se reciben. Usa NAV (Network Allocation Vector) para que todos los nodos que estn escuchando conozcan cundo volver a quedar libre el canal. Implementa fragmentacin y re ensamblado de datos Concede prioridad a tramas mediante el espaciado entre tramas (IFS)

Protocolo de Acceso al Medio CSMA/CA (Carrier Sense Multiple Access / Collision Avoidance), El protocolo bsico de acceso de Ethernet (estndar IEEE 802.3) es el CSMA/CD (Carrier Sense Multiple Access / Collision Detection). Esta tcnica consiste en lo siguiente: las estaciones antes de transmitir miran primero si hay otra hacindolo. Si no es as intentan transmitir ellas, mantenindose a la escucha del canal. Si aprecian diferencia entre la seal del canal y su seal suponen que ha ocurrido una colisin (deteccin de colisin). En ese momento dejan de transmitir el paquete y difunden una seal

especial (seal de jamming) para avisar al resto de estaciones que deben descartar el paquete. Despus esperan un tiempo aleatorio antes de volver a intentar transmitir. Dado que es muy costoso implementar radiorreceptores que transmitan y reciban al mismo tiempo, la tcnica empleada en 802.11 es CSMA/CA (Carrier Sense Multiple Access / Collision Avoidance) o Acceso Mltiple por Deteccin de Portadora con Evasin de Colisiones. La diferencia principal radica en la deteccin de colisiones, ya que en el aire es difcil detectar una colisin, lo que hace que CSMA/CA intente evitar las colisiones (Collision Avoidance). Para entender claramente el funcionamiento de CSMA/CA utilizaremos un ejemplo:

Funcionamiento de CSMA/CA Supongamos que una estacin A desea transmitir una trama hacia B y detecta que el canal est libre. A espera el tiempo DIFS (50ms) y a continuacin empieza a transmitir. De esta forma se asegura que cualquier trama emitida en la red ir separada de la anterior al menos por este espacio de tiempo. Una vez ha terminado de emitir su trama, A espera una confirmacin (ACK) de B. Dicha confirmacin es un mensaje de alta prioridad, por lo que no ha de esperar el tiempo habitual DIFS despus de que termine la trama de A, sino que slo ha de esperar el tiempo SIFS (10ms). En algn momento durante la emisin de la trama de A, un segundo emisor C desea enviar una trama a una estacin D (no mostrado en la figura). C escucha el canal y comprueba que est ocupado, por lo que espera hasta que termine la transaccin actual. Cuando la transmisin de la trama de A a B termina, C, que segua a la escucha, detecta el canal libre y comienza un tiempo de espera DIFS. Como el canal vuelve a estar ocupado a los SIFS

segundos (10ms) por el ACK de B y no se ha llegado a producir una pausa lo bastante grande (el tiempo esperado ha sido menor que DIFS, 50ms), C seguir esperando hasta el fin del ACK. Cuando por fin termina el ACK de B, C comienza de nuevo el tiempo de espera que ahora s es lo suficientemente grande (esta vez el tiempo de espera ha sido mayor o igual que DIFS, 50ms). Pero ahora no transmite de inmediato sino que la estacin ejecuta el llamado algoritmo de Backoff, segn el cual se determina otra espera adicional y aleatoria escogida uniformemente entre un intervalo [CWmn, CWmx] llamado ventana de contienda (CW). El algoritmo de Backoff nos da un nmero aleatorio y entero de ranuras temporales (slot time) y su funcin es la de reducir la probabilidad de colisin con otras estaciones que pudieran tambin estar observando el proceso de A y B y esperando para transmitir a continuacin. Mientras se ejecuta la espera marcada por el algoritmo de Backoff, C contina escuchando el medio. Si durante la ventana de congestin asignada C detecta que alguna estacin transmite, congelar su contador de tiempo aleatorio para volver a activarlo un tiempo DIFS (50ms) despus de que haya cesado toda actividad. Si por el contrario no detecta actividad alguna, la espera proseguir hasta consumir todas las ranuras temporales asignadas. Colisiones Las colisiones pueden producirse porque dos estaciones a la espera elijan el mismo nmero de intervalos (mismo tiempo aleatorio) para transmitir despus de la emisin en curso. En este caso la estacin repite el proceso antes descrito, pero al tratarse de un segundo intento esta vez se ampla el rango de intervalos para la eleccin del tiempo aleatorio. El nmero de intervalos crece de forma exponencial hasta un valor mximo a partir del cual el contador se reinicia y el proceso se repite desde el principio. El proceso es similar a Ethernet salvo que las estaciones no detectan la colisin sino que infieren que se ha producido cuando no reciben el ACK esperado. Tambin se produce una colisin cuando dos estaciones deciden transmitir a la vez, o casi a la vez. Pero este riesgo es mnimo. El problema de CSMA/CA en entornos inalmbricos CSMA/CA en un entorno inalmbrico y celular presenta dos problemas principalmente: Estacin oculta. Una estacin cree que el canal est libre, pero en realidad est ocupado por otro nodo al que no oye. Estacin expuesta. Una estacin cree que el canal est ocupado, pero en realidad est libre pues el nodo al que oye no le interferira para transmitir a otro destino.

Esto provoca conflictos como el que describimos en la ilustracin. Supongamos que A quiere enviar una trama a B. A detecta que el canal est libre y empieza a transmitir. Instantes ms tarde, cuando A est an transmitiendo, C quiere tambin enviar una trama a B; C detecta que el canal est libre, ya que el no est recibiendo la emisi n de A pues se encuentra fuera de su radio de cobertura. Por tanto C empieza a transmitir y en B se

produce una colisin. Como consecuencia B no recibe correctamente ni la trama de A ni la trama de C.

MACA (MultiAccess Collision Avoidance) La solucin que propone 802.11 al problema de la estacin oculta/expuesta es complementar el protocolo CSMA/CA con el intercambio de mensajes RTS y CTS. Antes de transmitir el emisor enva una trama RTS (Request to Send), indicando la longitud de datos que quiere enviar. El receptor le contesta con una trama CTS (Clear to Send), repitiendo la longitud. Al recibir el CTS, el emisor enva sus datos. El uso de mensajes RTS/CTS se denomina a veces Virtual Carrier Sense. Y el uso conjunto de CSMA/CA y RTS/CTS conforma el llamado protocolo MACA (MultiAccess Colision Avoidance). Veamos cmo se soluciona el problema planteado en la ilustracin anterior con el uso de este protocolo. El emisor A enva un mensaje RTS a B en el que le advierte de su deseo de enviarle una trama; adems en dicho mensaje A le informa de la longitud dela misma. Este mensaje no es recibido por C. Como respuesta al mensaje de A, B enva un CTS en que le confirma su disposicin a recibir la trama que A le anuncia. Dicho mensaje CTS lleva tambin indicada la longitud de la trama que B espera recibir de A. C no recibe el mensaje RTS enviado por A, pero s recibe el CTS enviado por B. Del contenido del mensaje CTS, C puede deducir por cuanto tiempo estar ocupado el canal que comparte con B, pues el mensaje incluye indicacin de la longitud de la trama a transmitir y C conoce la velocidad con que se realiza la transmisin.

Intercambio de mensajes RTS/CTS NAV (Network Allocation Vector) Las estaciones tienen un conocimiento especfico de cundo va a finalizar el periodo de reserva del canal de la estacin que est transmitiendo/recibiendo en ese momento. Esto se hace a travs de una variable llamada NAV (Network Allocation Vector) que mantendr una prediccin de cuando el medio quedar liberado. Tanto al enviar un RTS como al recibir un CTS, se enva el campo Duration/ID con el valor reservado para la transmisin y el subsiguiente reconocimiento Las estaciones que estn a la escucha modificarn su NAV segn el valor de este campo Duration/ID. En realidad, hay una serie de normas para modificar el NAV, una de ellas es que el NAV siempre se situar al valor ms alto de entre los que se disponga.

NAV Fragmentacin Y Re ensamblado Muchas de las interferencias que se producen en las transmisiones por radio afectan la emisin en intervalos muy cortos de tiempo. En estos casos la transmisin de tramas grandes resulta especialmente comprometida, pues el riesgo de que una interferencia estropee toda la emisin es muy grande. En situaciones de elevada tasa de error del medio fsico es preferible manejar tramas de pequeo tamao. Sin embargo el nivel de red, que no tiene un conocimiento de la situacin de la red inalmbrica, suministra el paquete al nivel de enlace para que lo enve en una nica trama. Por este motivo el nivel MAC de 802.11 prev un mecanismo por el cual el emisor puede, si lo considera conveniente, fragmentar la trama a enviar en otras ms pequeas. El receptor a su vez re ensamblar la trama original para que sea entregada a los niveles superiores, con lo que la fragmentacin actuar de forma transparente a ellos. En el caso de producirse fragmentacin cada fragmento se enviar siguiendo el mecanismo de CSMA/CA antes descrito, y recibir el correspondiente ACK del receptor. Por cada fragmento se devuelve un ACK por lo que, en caso necesario, es retransmitido por separado. El overhead (o sobrecabecera) que puede introducir el uso de la fragmentacin es considerable, pero puede ser rentable cuando la red tiene mucho ruido. Si el emisor ve que las tramas no estn llegando bien puede decidir fragmentar las tramas grandes para que tengan ms probabilidad de llegar al receptor. Todas las estaciones estn obligadas a soportar la fragmentacin en recepcin, pero no en transmisin. Funcin de Coordinacin Puntual La otra forma de acceso al medio se basa en la funcin de coordinacin puntual (PFC). Con esta funcin se pueden transmitir tramas sin tener que pasar por una contienda para ganar el medio, lo que puede ser til para tramas en las que el tiempo de procesado es crtico como la transmisin

de voz o vdeo. Esta funcionalidad est pensada para servicios de tipo sncrono que no toleran retardos aleatorios en el acceso al medio. Existe un nodo organizador o director, llamado punto de coordinacin o PC. El punto de coordinacin se encuentra ubicado en el punto de acceso y controla las transmisiones de tramas por parte de las estaciones. Al principio de un periodo libre de contienda, PC gana el control del medio dado que slo espera un intervalo PIFS, intervalo menor que el del resto de las estaciones que operan bajo DFC. Entonces enviar una trama de configuracin CF-Poll (trama Beacon) a cada estacin que pueda transmitir en PFC, concedindole el poder de transmisin. Esta trama incluye el campo CF (Contention Free) con los parmetros establecidos para el periodo libre de contienda, y cuando las estaciones la reciban, actualizarn su NAV al valor que se indique. El PC mantendr una lista con todos los datos de las estaciones que se han asociado al modo PFC. La concesin de transmisiones ser por riguroso listado y no permitir que una estacin enve dos tramas hasta que la lista se haya completado. DCF y PFC pueden operar conjuntamente en una misma celda dentro de una estructura llamada supertrama. Una parte de esta supertrama se asigna al periodo de contienda permitiendo al subconjunto de estaciones que lo requieran transmitir bajo mecanismos aleatorios. Una vez finaliza este periodo, el punto de acceso toma el medio y se inicia un periodo libre de contienda en el que pueden transmitir el resto de estaciones de la celda que utilizan tcnicas deterministas. Formato de trama MAC Hay tres tipos de tramas MAC: Redes de rea Local Inalmbricas: Tramas de datos: usadas para la transmisin de datos Tramas de control: usadas para el control de acceso al medio (p.e. RTS/CTS) Tramas de gestin: se transmiten de la misma forma que las tramas de datos pero contienen informacin de gestin y no pasan a las capas superiores.

Cada uno de estos tipos est dividido a su vez en subtipos que dependern de la funcin especfica de la trama. Todas las tramas IEEE 802.11 estn formadas por los siguientes campos:

Formato de una trama IEEE 802.11 genrica Prembulo

Es dependiente del medio fsico e incluye dos campos:

Synch: secuencia de 80 bits para seleccionar la antena adecuada (si trabajamos en diversidad) y para sincronizacin SFD (Starter Frame Delimiter): consiste en un patrn de 16 bits (0000 1100 1011 1101 ) para la delimitacin y temporizacin de la trama. Cabecera PLCP

Contiene informacin lgica que usar la capa fsica para decodificar la trama. - Datos MAC La trama MAC genrica tiene los siguientes campos:

Formato de una trama MAC genrica Control de Trama. Lo examinaremos apartems abajo. Duration/ID. Tiene dos significados dependiendo del tipo de trama. En tramas del tipo Power-Save para dispositivos con limitaciones de potencia, contiene el identificador de estacin. En el resto de tramas, es el valor reservado para la transmisin, usado para el clculo de NAV. Campos Address1-4. Contiene las direcciones de 48 bits (direcciones MAC) de la estacin que transmite, la que recibe, el punto de acceso origen y el punto de acceso destino. Control de secuencia. Contiene tanto el nmero de secuencia como el nmero de fragmento en la trama que se est enviando. Cuerpo de la trama. Vara segn el tipo de trama que se quiere enviar. FCS. Contiene el checksum.

Control de Trama Los campos de control de trama tienen el formato siguiente:

Contenido del campo Control de Trama Protocol Version: para expansiones futuras. Type/Subtype: Type identifica si la trama es del tipo de datos, control o gestin; Subtype identifica el subtipo dentro de cada uno de estos tipos. ToDS/FromDS: Indica si la trama se enva/recibe al/del sistema de distribucin.

More Fragments: Se activa si se usa fragmentacin. Retry: Se activa si la trama es una retransmisin. Power Management: Se activa si se utiliza el modo ahorro de energa. More Data: Se activa si la estacin tiene tramas pendientes en un punto de acceso. WEP: Se activa si se usa el mecanismo de autenticacin y encriptado. Order: Se utiliza con el servicio de ordenamiento estricto.

Seguridad
Uno de los problemas ms graves a los que se enfrenta WiFi es la seguridad ya que de por s, el aire es un medio de propagacin de libre acceso, y por tanto una red inalmbrica puede verse sometida a escuchas ilegales, acceso no autorizado, usurpacin y suplantacin de identidad, interferencias aleatorias, denegacin de servicio, etc. Para evitar todo esto es imprescindible dotar a las redes inalmbricas de unos determinados mecanismos que garanticen la seguridad de la comunicacin. La siguiente imagen muestra los niveles principales en los que se centra la seguridad de unaWLAN y en los que nosotros haremos hincapi a continuacin

Niveles de seguridad en unaWLAN

SSID
El Service Set ID (SSID) es una cadena de generalmente 32 caracteres alfanumricos que identifican a nuestra Wireless Local Area Network. Algunos fabricantes se refieren al SSID como el nombre de nuestra WLAN, aunque en realidad es algo ms que el simple nombre. Para que los dispositivos de nuestra WLAN se comuniquen los unos con los otros deben de ser todos configurados con el mismo SSID. Diferentes SSIDs permitirn la superposicin de redes inalmbricas.

Existen dos tipos de identificadores para una red inalmbrica. En una red Ad Hoc (sin puntos de acceso) el identificador es llamado Basic Service Set Identification o BSSID. En una red en modo infraestructura (incluye puntos de acceso) el identificador es el Extended Service Set Identification o ESSID, al cual nos referimos, sin prdida de generalidad, como SSID. Existen dos estrategias de seguridad con respecto al SSID. La primera es cambiar el SSID que tiene asignado nuestro punto de acceso por defecto (los fabricantes asignan a sus dispositivos SSID genricos que son conocidos o fcilmente obtenibles). De esta forma no se ofrece proteccin extra a los clientes de la red, pero ser ms difcil para los intrusos buscar una red concreta, saber exactamente a dnde van a acceder o conocer el fabricante de nuestro punto de acceso. El cambio hay que hacerlo como si se tratara de una contrasea, es decir, no revelar informacin de nuestra WLAN como su localizacin, su contenido o cosas as. La eleccin del SSID, como cualquier otra contrasea, debe seguir las reglas bsicas de stas, o sea, un conjunto de caracteres (letras, nmeros o smbolos) que no tengan ningn significado. La segunda es ocultar el SSID de nuestra WLAN. Sera como tener una contrasea sin la cual el cliente no podr conectarse a la red (si no sabemos el nombre de la red a la que queremos conectarnos no podemos conectarnos). Pero este nivel de seguridad es fcilmente sobrepasado porque existen mtodos alternativos para averiguar el SSID oculto como la captura y posterior anlisis de las tramas de asociacin.

Filtrado de direcciones MAC

Este mtodo consiste en definir listas de control de acceso (ACL, Acces s Control List) en los puntos de acceso. Cada uno de estos puntos puede contar con una relacin de las direcciones MAC (direcciones fsicas de 48 bits que nos suministra el fabricante y que identifican unvocamente a cada dispositivo fsico) de cada uno de los clientes que queremos que se conecten a nuestra red inalmbrica. Cada tarjeta de red o adaptador inalmbrico cuenta con una direccin MAC que lo identifica de forma inequvoca, y si el punto de acceso no la tiene dada de alta, simplemente no recibir contestacin por su parte. Este mtodo tiene como ventaja su sencillez, por lo cual se puede usar para redes pequeas. Sin embargo, posee varias desventajas que no lo hacen prctico para uso en redes grandes, tales como: Cada vez que se desee autorizar o dar de baja un equipo, es necesario editar las tablas de direcciones de todos los puntos de acceso. Despus de cierto nmero de equipos o de puntos de acceso, la situacin se vuelve inmanejable. Las direcciones MAC viajan sin cifrar por el aire. Un atacante podra capturar direcciones MAC de tarjetas matriculadas en la red empleando un sniffer, y luego asignarle una de estas direcciones capturadas a la tarjeta de su computador, empleando programas tales como AirJack o ellenReiter. De este modo, el atacante puede hacerse pasar por un cliente vlido.

En caso de robo del adaptador inalmbrico, el ladrn dispondr de un dispositivo que la red reconoce como vlido. Debe notarse adems, que este mtodo no garantiza la confidencialidad de la informacin transmitida, ya que no prev ningn mecanismo de cifrado, por lo tanto debera usarse conjuntamente con uno.

WEP (Wired Equivalent Privacy)

WEP es el mtodo de seguridad original del protocolo 802.11 que permite la autenticacin de los usuarios y el encriptado de los datos. En la actualidad est obsoleto ya que presenta numerosas debilidades que lo hacen inseguro. Autenticacin WEP Un punto de acceso debe de autenticar a una estacin antes de que sta se asocie al AP. Es importante recalcar que lo que se autentica con WEP son las estaciones, y no los usuarios. El estndar IEEE 802.11 define dos tipos de autenticacin:

Open System Authentication

El Sistema de Autenticacin Abierta es el protocolo de autenticacin por defecto para 802.11 por el cual el sistema autentica a cualquiera que lo requiera incluso sin aportar la clave WEP correcta. Es como considerar que no hay autenticacin, es decir, la estacin puede asociarse a cualquier punto de acceso. Esto se usa normalmente cuando se tiene un inters especial en la facilidad de uso, y el administrador de red no tiene preocupacin por la seguridad.

Open System Authentication Shared Key Authentication El Sistema de Autenticacin de Clave Compartida usa un mecanismo de desafo/respuesta con una clave secreta (de 64 o 128 bits) compartida por la estacin y el punto de acceso, de manera que se niega el acceso a todo aquel que no tenga la clave asignada. La estacin enva una solicitud de autenticacin al AP, y ste le responde con un texto desafo de 128 octetos generado con un generador de nmeros pseudo-aleatorios (PRGN),

la clave secreta y el vector de inicializacin (IV). La estacin debe encriptar el texto de desafio con ayuda de su clave WEP y el IV, y enviarlo al punto de acceso. El AP lo desencriptar y lo comparar con el texto de desafo original. Si coinciden autenticar a la estacin. En caso contrario fallar la autenticacin (ocurrir si el cliente tiene la clave errnea o no tiene clave). El proceso se muestra en la siguiente ilustracin.

Shared Key Authentication Encriptacin WEP La clave compartida que se usar para encriptar o desencriptar las tramas de datos, es la misma que se usa para la autenticacin, lo que puede ser considerado un riesgo de seguridad. WEP utiliza el algoritmo RC4 para ello, con claves de 64 o 128 bits. Veremos que en realidad son 40 104 bits respectivamente, ya que los otros 24 van en el paquete como Vector de Inicializacin (IV). No veremos el proceso de encriptado/desencriptado. Tan slo destacar que usando claves de 104 bits un cracker tardara mucho ms tiempo en descifrarla que usando una de 40 bits. Debilidades de WEP En principio WEP fue diseado para evitar simples fisgoneos. A continuacin enumeramos las debilidades ms importantes que hacen de WEP un mtodo inseguro y fcilmente atacable: 1. Encriptacin y autenticacin comparten clave. La clave compartida que se usa para encriptar y desencriptar las tramas de datos es la misma que la que se usa para la autenticacin. Es un riesgo de seguridad alto, porque el que consigue sobrepasar el nivel de seguridad de autenticacin sobrepasar automticamente el de encriptacin. 2. Los mensajes de autenticacin pueden ser fcilmente falsificables. WEP es un mtodo de encriptacin de datos y no un mecanismo de autenticacin en s, lo que provoca debilidades. Un atacante que utilice tcnicas de monitorizacin para observar una autenticacin exitosa, puede ms tarde falsificar el proceso.

3. Actualizaciones y cambios de clave. Las redes inalmbricas que utilizan esta tecnologa tienen una nica clave WEP compartida por todos los nodos de la red. Dado que la sincronizacin del cambio de claves resulta una tarea tediosa y difcil, stas son modificadas con muy poca frecuencia, lo que reduce la seguridad. 4. Tamao y reutilizacin de la clave y el IV. Es un inconveniente ya que son consideradas de tamao insuficiente. Adems existe un 50% de probabilidad de que se reutilicen claves, por lo que las hacen fcilmente detectables. 5. Algoritmo de encriptacin. Inadecuado por dos motivos. El primero es que genera claves frgiles. Se considera que una clave es frgil cuando existe mayor correlacin entre la clave y la salida de la que debera existir. El otro motivo es que est basado en CRC-32 que es un algoritmo excelente para la deteccin de ruido y errores comunes en la transmisin pero no como solucin de criptografa.

WPA / WPA2
WPA (Wi-Fi Protected Access) es un estndar propuesto por los miembros de la Wi-Fi Alliance (asociacin que rene a los grandes fabricantes para WLANs), en colaboracin con la IEEE, para la seguridad de WLANs. Est basado en las especificaciones de 802.11i y es de obligatorio cumplimiento para todos los miembros de la Wi-Fi Alliance. Esta norma data del ao 2003. WPA intenta resolver las deficiencias de seguridad de WEP mejorando el cifrado de los datos y ofreciendo un mecanismo de autenticacin. Autenticacin Utilizar un mtodo u otro segn el modo de operacin que configuremos en el punto de acceso. De acuerdo con la complejidad de la red, habr dos modalidades: a) Modalidad de red empresarial. Para grandes empresas. El punto de acceso emplea el protocolo EAP sobre 802.1x y RADIUS para la autenticacin. Bajo esta modalidad se requiere de la existencia de un servidor de autenticacin en la red. b) Modalidad de red domstica. . En el entorno del hogar o en pequeas empresas, en donde no se precisa llevar a cabo una compleja gestin de usuarios, el mecanismo de autenticacin usado es PSK. Esta modalidad no requiere de servidor de autenticacin. PSK (Pre-Shared Key) Es un mtodo de autenticacin se basa en el uso de claves o contraseas introducidas manualmente. No necesita un servidor de autenticacin por lo que resulta muy sencillo de implementar. Todo lo que necesitamos hacer es introducir una clave maestra o PSK en cada uno de los puntos de acceso y de las estaciones que conforman nuestra WLAN. Solamente podrn acceder al punto de acceso los dispositivos mviles cuya contrasea coincida con la del punto de acceso. Esta PSK nunca se transmite por el aire ni se utiliza para encriptar el flujo de datos, sino, simplemente para iniciar el proceso de claves dinmicas TKIP, por lo que es mucho ms seguro que WEP. Se recomienda que las

contraseas empleadas sean largas (20 o ms caracteres), porque ya se ha comprobado que WPA es vulnerable a ataques de diccionario si se utiliza una contrasea corta. 802.1x, EAP y RADIUS 802.1x es un protocolo de control de acceso y autenticacin basado en la arquitectura cliente/servidor que restringe la conexin de equipos no autorizados a una red. Fue inicialmente creado por la IEEE para uso en redes de rea local cableadas, pero se ha extendido tambin a las redes inalmbricas. Prcticamente la totalidad de los puntos de acceso que se fabrican en la actualidad son compatibles con 802.1x. El protocolo 802.1x involucra tres participantes (Ilustracin 2-35): El suplicante. Es aquella entidad que pretende tener acceso a los recursos de la red. Por ejemplo, un usuario con un PC con adaptador inalmbrico que intenta conectarse a la WLAN. El servidor de autenticacin. Es la entidad que contiene toda la informacin necesaria para saber cules equipos y/o usuarios estn autorizados para acceder a la red. Aporta la inteligencia al proceso ya que es el que realiza la negociacin. Por ejemplo, un servidor RADIUS. El autenticador. Es el equipo de red que recibe la conexin del suplicante. Acta como intermediario entre el suplicante y el servidor de autenticacin, y solamente permite el acceso del suplicante a la red cuando el servidor de autenticacin as lo autoriza. En nuestro caso sera el punto de acceso.

Arquitectura funcional del protocolo 802.1x La autenticacin se lleva a cabo mediante el protocolo EAP (Extensible Authentication Protocol) y el servidor RADIUS (Remote Authentication Dial-In User Service), que actan tal y como muestra el siguiente diagrama:

Dilogo EAPOL RADIUS Por ltimo comentar que existen dos variantes del protocolo EAP segn la modalidad de autenticacin que se emplee: las que emplean certificados de seguridad, y las que utilizan contraseas. Las variantes de EAP que emplean certificados de seguridad son las siguientes: EAPTLS, EAP-TTLS y PEAP; y las que utilizan contraseas: EAP-MD5, LEAP y EAP-SPEKE. Encriptacin WPA Para el cifrado WPA emplea el protocolo TKIP (Temporal Key Encryption Protocol) que es ms sofisticado criptolgicamente hablando, y que resuelve notablemente las debilidades de WEP. Aporta importantes mejoras como son: Proceso de encriptacin independiente del proceso de autenticacin. Actualizacin de claves en cada envo de trama para evitar ataques que puedan revelarla. El cambio de clave es sincronizado entre las estaciones y el punto de acceso. MIC (Message Integrity Check) o Funcin de Chequeo de Integridad del Mensaje tambin llamada Michael. Es una funcin que aade una comprobacin de integridad de los datos ms robusta que el habitual CRC y que incluye las direcciones fsicas (MAC) del origen y del destino y los datos en texto plano de la trama 802.11. Esta medida protege contra los ataques por falsificacin. Mejoras de los algoritmos de cifrado de trama, de gestin y de generacin de claves e IVs. Ahora son ms robustos e incluyen privacidad e integridad de datos.

Utilizacin de un vector de inicializacin IV extendido. De 24 pasa a 48 bits y se llama TSC (TKIP Sequence Counter) para protegerse contra ataques por repeticin, descartando los paquetes recibidos fuera de orden Mantiene la compatibilidad con WEP, y con el hardware utilizado anteriormente tan slo mediante una actualizacin del firmware.

WPA2 Wi-Fi Protected Access 2 es un estndar de seguridad que surge como evolucin de WPA. La estructura es bsicamente la misma pero presenta algunos elementos diferenciadores: Mtodo seguro IBSS para redes en modo Ad Hoc Utilidades para VoIP en 802.11 Protocolo de encriptacin mejorado: AES (Advanced Encrpytion Standard)

WPA2 requiere de actualizaciones de hardware, por lo que se encuentra en fase de despliegue todava. Es WPA/WPA2 perfecto? Evidentemente no. No existe un mecanismo de seguridad completamente invulnerable, por lo que WPA/WPA2 tambin tiene sus puntos dbiles y podr ser mejorable. El principal de ellos es que es susceptible a ataques de denegacin de servicio o DoS (Denial of Service) mediante el envo de paquetes basura (encriptados errneamente) hacia la red. Si el punto de acceso recibe dos paquetes que no superan el cdigo de integridad de mensaje (MIC) en un intervalo de 60 segundos, significar que la red est bajo un ataque activo, y como resultado el punto de acceso tomar medidas drsticas como la disociacin de cada estacin. Esto previene de ataques de DoS pero provocar la prdida de conexin durante 60 segundos. A pesar de este inconveniente, WPA/WPA2 da un paso ms adelante que WEP en la seguridad de las WLANs por lo que recomendamos su uso.

Configuracin de Una Red Wifi

Para una configuracin adecuada y segura de su AP (Acccess Point) se debe tomar en cuenta lo siguiente:

Cuantos clientes deseamos que se conecten Debe conocer la forma de direccionamiento que le asigna su proveedor de internet Seleccionar el tipo de seguridad que utilizar El tipo de direccionamiento que utilizar para los clientes de su red wifi Las polticas de trfico que desea aplicar.

Los pasos a continuacin se realizan sobre un router de tipo SOHO (Small office Home) marca TPLink, muy utilizado por su precio accesible y su rendimiento.

Configuracin
Objetivo.- Configurar una red para 50 clientes, con direccionamiento automtico y seguridad basada en WAP2, que permita conectar a los usuarios a internet por medio de un modem ADSL.

Pasos: Logearse al sistema, este enrutador cuenta con un servidor web, que permite acceder a su configuracin:

El escritorio de configuracin:

Como enrutador los AP, cuentan con dos tipos de interfaces: Una WAN para conectarse a la red internet, y otra LAN para conectarse a la red Local. Vamos a configurar la red LAN, o sea darle una direccin IP dentro de nuestra red de Clase C, con la direccin 192.168.13.0:

A continuacin vamos a configurar el direccionamiento de los clientes, mediante DHCP, con un intervalo tambin dentro de nuestra red:

Puede hacer reservas de IP, mediante la asociacin de una direccin fsica MAC con una IP:

Podemos monitorear las conexiones existentes mediante el historial de DHCP.

Ahora vamos a configurar la Interface WAN del AP. En este caso utilizando una direccin IP proporcionada por el proveedor de Internet:

Tambin existen otras alternativas de conexin al Internet, dependiendo de la forma en que se recibe este servicio:

Ahora llega el lugar de configurar la red inalmbrica, la forma en que se conectar los clientes: Empezamos poniendo un SSID para nuestra red, especificamos e canal que se utilizar, para evitar colisiones con otras redes. Tambien indicamos si deseamos que el SSID se publique para cualquier dispositivo pueda verlo.

Ahora especificamos la seguridad de WIFI

Seleccionamos WPA/WPA2, y colocamos una clave de por lo menos 13 caracteres:

Podemos aplicar MAC Filtering, para excluir o permitir ciertos dipositivos WIFI

Finalmente es necesario Reiniciar el AP, puede utilizar System Tools / Reboot

Tabla der Comparacin de Protocolos IEEE 802.11