Planificacin

de la LAN inalmbrica
Implementar una WLAN que saqueelmejor provechode los recursos y entregueel mejorservicio puede requerir de una planificacin cuidadosa. Las WLAN pueden abarcar desde instalaciones relativamente simples a diseos intrincados y muy complejos. Se necesita un plan bien diseado antes de poder implementar una red inalmbrica. En este tema, presentamos las consideraciones quedebentenerseencuentaparaeldiseoylaplanificacindeunaLANinalmbrica. El nmero de usuarios que una WLAN puede admitir no es un clculo simple. El nmero de usuariosdependedeladistribucingeogrficadesusinstalaciones(cuntoscuerposydispositivos entranenunespacio),lasvelocidadesdetransmisindedatosquelosusuariosesperan(porquela RF es un medio compartido y, a mayor cantidad de usuarios, hay una mayor cantidad de disputa por la RF), el uso de canales no superpuestos mediante puntos de acceso mltiples en un ESS y la configuracin de la energa de transmisin (que estn limitadas por regulacin local).Tendr suficientesoporteinalmbricoparasusclientessiplanificasuredparaunacoberturaRFadecuada en un ESS. Las consideraciones detalladas acerca de cmo planificar nmeros especficos de usuariosestnmsalldelalcancedeestecurso.

Alplanificarlaubicacindelospuntosdeacceso,puedequenoseacapazdesimplementedibujar loscrculosdelreadecoberturayvolcarlosenunplano.Elreadecoberturacircularaproximada esmuyimportante,peroexistenalgunasrecomendacionesadicionales.

Si los puntos de acceso utilizarn cableado existente o si existen ubicaciones donde los puntos de accesonopuedenubicarse,anoteestasubicacionesenelmapa. Posicionelospuntosdeaccesosobrelasobstrucciones. Posicionelospuntosdeaccesoenformavertical,cercadeltechoenelcentrodecadarea decobertura,deserposible. Posicione lospuntos de accesoen lasubicacionesdonde seespera queestn losusuarios. Por ejemplo: las salas de conferencia son una mejor ubicacin para los puntos de acceso queunvestbulo.

Cuandoestasindicacionessehayantenidoencuenta,estimeelreadecoberturaesperadadeun punto de acceso. Este valor vara dependiendo del estndar WLAN o el conjunto de estndares que est distribuyendo, la naturaleza de las instalaciones, la energa de transmisinpara la cual el punto de acceso est configurado, etc. Siempre consulte las especificaciones para el punto de accesocuandoplanificalasreasdecobertura. Basndoseensuplano,ubiquelospuntosdeaccesoenelplanodelpiso,demodoqueloscrculos decoberturasesuperpongan,comoseilustraenelsiguienteejemplo. Clculodeejemplo El auditorio abierto (un edificio del tipo Depsito/Fabrica) que se muestra en la figura es de aproximadamente20000piescuadrados. Los requerimientos de la red especifican que debe haber un mnimo de 6 Mb/s 802.11b de rendimiento en cada BSA, porque hay una voz inalmbrica sobre la implementacin de la WLAN superpuesta en esta red. Con los puntos de acceso se pueden lograr 6 Mbps en reas abiertas comolasdelmapa,conunreadecoberturade5000piescuadradosenmuchosambientes. Nota: El rea de cobertura de 5000 pies cuadrados es para un cuadrado. El BSA toma su radio diagonalmentedesdeelcentrodeestecuadrado. Determinemosdndeubicarlospuntosdeacceso.

 Las instalaciones tienen 20 000 pies cuadrados, por lo tanto, dividir 20 000 pies cuadrados por un rea de cobertura de 5000 pies cuadrados por punto de acceso resulta en, al menos, cuatro puntos de acceso requeridos para el auditorio. A continuacin, determine la dimensin de las reasdecoberturayacomdelasenelplanodelaplanta. Dado que el rea de cobertura es un cuadrado con un lado "Z", el crculo tangente a sus cuatroesquinastieneunradiode50pies,comosemuestraenlosclculos. Cuando las dimensiones del rea de cobertura se determinen, debe acomodarlas de manera similar a las que se muestran para las reas de cobertura alineadas en la figura.

En su mapade planodeplanta, dibuje cuatrocrculos de cobertura de 50 piesde radio de modoquesesuperpongan,comosemuestraenelPlano.

Amenazas a la seguridad inalmbrica

Accesonoautorizado Laseguridaddebeserunaprioridadparacualquieraqueutiliceoadministreredes.Lasdificultades para mantener segura una red conectada por cable se multiplican con una red inalmbrica. Una WLAN est abierta a cualquiera dentro del alcance de un punto de acceso y de las credenciales apropiadas para asociarse a l. Con un NIC inalmbrico y conocimiento de tcnicas de decodificacin, un atacante no tendr que entrar fsicamente al espacio de trabajo para obtener accesoaunaWLAN. Enesteprimertemadeestaseccin,describimoscmoevolucionaronlasamenazasdeseguridad. Estas preocupaciones de seguridad son incluso ms significativas cuando se trata con redes de empresas, porque el sustento de vida de la empresa depende de la proteccin de su informacin. En estos casos, las violaciones a la seguridad pueden tener graves repercusiones, sobre todo si la empresaguardainformacinfinancierarelacionadaconsusclientes. Haytrescategorasimportantesdeamenazaquellevanaaccesonoautorizado: Buscadoresderedesinalmbricasabiertas Piratasinformticos(Crackers) Empleados

"Bsqueda de redes inalmbricas abiertas" se refera originalmente a la utilizacin de un dispositivo de rastreo para buscar nmeros de telfonos celulares para explotar. Bsqueda de redes inalmbricas abiertas, ahora tambin significa conducir alrededor de un vecindario con una computadora porttil y una tarjeta de cliente802.11b/g en bsquedade un sistema 802.11b/g no seguroparaexplotar. El trmino pirata informtico originalmente significaba una persona que explora a fondo los sistemas de computacin para entender y tal vez explotar por razones creativas, la estructura y complejidad de un sistema. Hoy en da, los trminos pirata informtico y cracker describen a intrusos maliciosos que ingresan en sistemas como delincuentes y roban informacin o daan los sistemas deliberadamente. Los piratas informticos con la intencin de daar son capaces de explotarlasmedidasdeseguridaddbiles. LamayoradelosdispositivosvendidoshoyendaestnpreparadosparafuncionarenunaWLAN. En otras palabras, los dispositivos tienen configuraciones predeterminadas y pueden instalarse y utilizarse con poca o ninguna configuracin por parte de los usuarios. Generalmente, los usuarios finales no cambian la configuracin predeterminada, y dejan la autenticacin de cliente abierta, o pueden implementar solamente una seguridad WEP estndar. Desafortunadamente, como mencionamos antes, las claves WEP compartidas son defectuosas y por consiguiente, fciles de atacar. Herramientas con propsito legtimo, como los husmeadores inalmbricos, permiten a los ingenieros de red capturar paquetes de informacin para depurar el sistema. Los intrusos pueden utilizarestasmismasherramientasparaexplotarlasdebilidadesdeseguridad. Puntosdeaccesonoautorizados UnpuntodeaccesonoautorizadoesunpuntodeaccesoubicadoenunaWLANqueseutilizapara interferir con la operacin normal de la red. Si un punto de acceso no autorizado se configura correctamente, se puede capturar informacin del cliente. Un punto de acceso no autorizado tambin puede configurarse para proveer acceso no autorizado a usuarios con informacin como las direcciones MAC de los clientes (tanto inalmbricas como conectadas por cable), o capturar y camuflarpaquetesdedatoso,enelpeordelocasos,obteneraccesoaservidoresyarchivos. Unaversinsimpleycomndeunpuntodeaccesonoautorizadoesunoinstaladoporempleados sin autorizacin. Los empleados instalan puntos de acceso con la intencin de utilizar la red de la empresa en su hogar. Estos puntos de acceso no tienen la configuracin de seguridad tpica necesaria,porlotantolaredterminaconunabrechaensuseguridad.

AtaquesdeHombreenelmedio Uno de los ataques ms sofisticados que un usuario no autorizado puede realizar se llama ataque de hombreenelmedio (MITM). El atacante selecciona un host como objetivo y se posiciona logsticamente entre el objetivo y el router o gateway del objetivo. En un ambiente de LAN conectada por cable, el atacante necesita poder acceder fsicamente a la LAN para insertar un dispositivo lgico dentro de la topologa. Con una WLAN, las ondas de radio emitidas por los puntosdeaccesopuedenproveerlaconexin. Lassealesderadiodesdelasestacionesypuntosdeaccesoson"audibles"para cualquieraenun BSS con el equipo apropiado, como una computadora porttil y un NIC. Dado que los puntos de acceso actan como hubs Ethernet, cada NIC en el BSS escucha todo el trfico. El dispositivo descarta cualquier trfico no dirigido al mismo. Los atacantes pueden modificar el NIC de su computadora porttil con un software especial para que acepte todo el trfico. Con esta modificacin, el atacante puede llevar a cabo ataques MITM inalmbricos, usando el NIC de la computadoraporttilcomopuntodeacceso. Para llevar a cabo este ataque, un pirata informtico selecciona una estacin como objetivo y utilizasoftwarehusmeadordepaquetes,comoWireshark,paraobservarlaestacinclientequese conecta al punto de acceso. El pirata informtico puede ser capaz de leer y copiar el nombre de usuario objetivo, nombre del servidor y direccin IP del servidor y cliente, el ID utilizado para computar la respuesta y el desafo y su respuesta asociada, que se pasa no cifrada entre la estacinyelpuntodeacceso. Si un atacante puede comprometer un punto de acceso, puede comprometer potencialmente a todos los usuarios en el BSS. El atacante puede monitorear un segmento de red inalmbrica completoycausarestragosencualquierusuarioconectadoalmismo. Prevenir un ataque MITM depende de la sofisticacin de la infraestructura de su WLAN y su actividad de monitoreo y vigilancia en la red. El proceso comienza identificando los dispositivos legtimosensuWLAN.Parahaceresto,debeautenticaralosusuariosdesuWLAN. Cuandoseconocentodoslosusuarioslegtimos,debemonitorearlaredenbuscadedispositivosy trfico que no deberan estar all. Las WLAN de empresas que utilizan dispositivos WLAN de tecnologa avanzada proveen herramientas a los administradores que trabajan juntas como un sistema de prevencin de intrusin inalmbrica (IPS). Estas herramientas incluyen escners que identifican puntos de acceso no autorizados y redes ad hoc y tambin administracin de recursos deradio(RRM)quemonitoreanlabandaRFenbuscadeactividadycargadepuntosdeacceso.Un puntodeaccesoqueestmsocupadoquedecostumbrealertaaladministradorsobreunposible trficonoautorizado. La explicacin detallada de estas tcnicas de mitigacin escapa del alcance de este curso. Para mayorinformacin,consultealdocumentodeCISCO"AddressingWirelessThreatswithIntegrated

Wireless IDS and IPS" disponible en http://www.cisco.com/en/US/products/ps6521/products_white_paper0900aecd804f155b.shtml.

Denegacindeservicio Las WLAN 802.11b y g utilizan la banda 2,4 GHz ISM sin licencia. sta es la misma banda utilizada por la mayora de los productos de consumo, incluyendo monitores de beb, telfonos inalmbricos y hornos de microondas. Con estos dispositivos que congestionan la banda RF, los atacantes pueden crear ruido en todos los canales de la banda con dispositivos comnmente disponibles.

 AnteriormentediscutimossobrecmounatacantepuedeconvertirunNICenunpuntodeacceso. Ese trucotambinsepuedeutilizar paracrear un ataqueDoS. Elatacante,medianteuna PC como punto de acceso, puede inundar el BSS con mensajes listos para enviar (CTS), que inhabilitan la funcin de CSMA/CA utilizada por las estaciones. Los puntos de acceso, a su vez, inundan la BSS contrficosimultneoycausanunstreamconstantedecolisiones. Otro ataque DoS que puede lanzarse en un BSS es cuando un atacante enva una serie de comandosdesvinculadosquecausaquetodaslasestacionesenelBSSsedesconecten.Cuandolas estacionesestndesconectadas,tratan dereasociarseinmediatamente,loquecreaunaexplosin detrfico.Elatacanteenvaotrocomandodesvinculadoyelcicloserepite.