Presentado ante la Ilustre Universidad Central de Venezuela para optar al Ttulo de Especialista en Comunicaciones y Redes de Comunicacin de Datos Por el Ing. lvarez Mndez, Yelitza Pastora
Caracas, Noviembre 2006
II
TRABAJO ESPECIAL DE GRADO
SEGURIDAD AL ACCESO DE INFORMACIN EN LA IMPLANTACIN DE UNA RED INALMBRICA.
TUTOR ACADMICO: Prof. Zeldivar Bruzual.
Presentado ante la Ilustre Universidad Central de Venezuela para optar al Ttulo de Especialista en Comunicaciones y Redes de Comunicacin de Datos Por el Ing. lvarez Mndez, Yelitza Pastora
Caracas, Noviembre 2006
III
DEDICATORIA
A Dios y a mi hija Oriana Valentina.
IV
AGRADECIMIENTO
A Dios por acompaarme en todo momento y darme la fuerza para perseverar en mis objetivos.
A mi hija por ser el motor que me impulsa a seguir creciendo. A mi Madre Blanca, por su ayuda continua en mi vida.
A la UCV, sus profesores y tutores
A todos los que de una u otra forma colaboraron en mi formacin
Yelitza lvarez
V lvarez M, Yelitza P SEGURIDAD AL ACCESO DE INFORMACIN EN LA IMPLANTACIN DE UNA RED INALMBRICA.
Tutor Acadmico: Prof. Zeldivar Bruzual. Tesis. Caracas, U.C.V. Facultad de Ingeniera. Escuela de Ingeniera Elctrica. Especializacin de Comunicaciones y Redes de Datos. Ao 2006
La movilidad se ha vuelto un requerimiento cada vez mayor dentro de los ambientes de trabajo, ahora se debe tener la informacin precisa en forma instantnea, es decir, la comunicacin debe ser inmediata, en tiempo real y en cualquier lugar. Existen en el mercado dispositivos ligeros que permiten llevar informacin a diversos lugares y las redes inalmbricas agregan una movilidad real a tales dispositivos. La navegacin por Internet a travs de los dispositivos inalmbricos, hace que el intercambio de la informacin por este medio, incluyendo datos de alto valor, sea una prctica comn para los usuarios de las redes inalmbricas, por lo que actualmente se ha puesto un especial nfasis a la seguridad en tales medios de comunicacin. En las redes inalmbricas el canal de comunicacin es inseguro, para tratar de atenuar este defecto, se deben poner en prctica servicios que garanticen la seguridad de la informacin, tales servicios son la confidencialidad, la integridad, y la autenticacin.
La Compaa WiNet conciente de los riesgos que en seguridad de informacin se expone, permiti el desarrollo del presente trabajo que permitira la identificacin, evaluacin y definicin de soluciones para la reduccin de riesgos en las posibles vulnerabilidades en el acceso externo no autorizado a la informacin de la compaa. Como resultado, el anlisis de la estrategia de implantacin de recomendaciones arroja que sobre las oportunidades de mejoras identificadas, a mediano plazo la compaa alcanzara un nivel de seguridad aceptable, cuyo esfuerzo por sostenerse depender de la definicin de un plan estratgico de seguridad integral que concientize a todo el personal de la compaa sobre la importancia de adecuados controles de seguridad, debido a que continuamente aparecen nuevas amenazas informticas.
VI
NDICE GENERAL DEDICATORIA............................................................................................ III AGRADECIMIENTO....................................................................................IV RESUMEN....................................................................................................V INTRODUCCIN.......................................................................................... 1 CAPITULO I ................................................................................................. 3 DESCRIPCIN DE LA SITUACIN............................................................. 3 1. Confidencialidad de la Informacin................................................. 3 2. Planteamiento del Problema ........................................................... 3 3. J ustificacin del Trabajo.................................................................. 6 4. Objetivos ......................................................................................... 8 4.1. Objetivo General ............................................................................. 8 4.2. Objetivos Especficos...................................................................... 8 5. Metodologa..................................................................................... 8 CAPITULO II .............................................................................................. 10 MARCO TEORICO..................................................................................... 10 1. Redes inalmbricas....................................................................... 10 1.1. Tipos de redes inalmbricas.......................................................... 11 1.2. Descripcin de 802.11 WLAN....................................................... 11 1.3. Estndares Inalmbricos............................................................... 13 1.4. Arquitectura topologa 802.11 WLAN........................................ 14 2. Conexin a una WLAN.................................................................. 15 3. Tcnicas de autenticacin en 802.11 WLAN................................. 17 3.1. Sistema abierto ............................................................................. 17 3.2. Llave Compartida.......................................................................... 18 4. Mecanismos de seguridad para redes WLAN............................... 18 5. Mtodos de deteccin de redes inalmbricas ............................... 29 5.1. Wardriving..................................................................................... 29 5.2. Warchalking................................................................................... 29 6. Ataques a redes inalmbricas ....................................................... 31 6.1. Ataques Pasivos............................................................................ 31 6.2. Ataques Activos............................................................................. 32 7. Polticas de seguridad................................................................... 38 CAPITULO III ............................................................................................. 40
VII MARCO METODOLGICO ....................................................................... 40 1. Mtodo de Investigacin................................................................ 40 2. rea de Investigacin.................................................................... 41 3. Descripcin de la Metodologa...................................................... 42 3.1. El origen de ISO 17799................................................................. 42 3.2. Marco de las recomendaciones..................................................... 43 3.3. Las diez reas de control de ISO 17799....................................... 44 3.4. La norma tcnica ISO 17799......................................................... 46 CAPITULO IV............................................................................................. 47 EVALUACIN, DIAGNSTICO DE SEGURIDAD y PROPUESTA DE SOLUCIN PARA LA RED INALMBRICA DE LA COMPAA WiNet .. 47 1. Arquitectura y diseo de la red inalmbrica................................... 47 2. Evaluacin y diagnstico de seguridad de la red inalmbrica. ...... 48 CAPITULO V.............................................................................................. 61 ESTRATEGIA DE IMPLANTACION .......................................................... 61 1. Propuesta de accin como alternativa de solucin....................... 61 2. Planificacin estratgica de implantacin...................................... 64 2.1. Ubicacin de los puntos de acceso............................................... 65 2.2. Seguridad de los equipos inalmbricos......................................... 66 2.3. Autenticacin en la WLAN............................................................. 67 2.4. Monitoreo de puntos de acceso .................................................... 68 2.5. Polticas y Procedimiento de Seguridad........................................ 69 2.6. Resumen de la estrategia de implantacin.................................... 70 CONCLUSIONES....................................................................................... 71 RECOMENDACIONES............................................................................... 73 GLOSARIO DE TRMINOS....................................................................... 74 REFERENCIAS BIBLIOGRAFICAS .......................................................... 83 FUENTES ELECTRONICAS...................................................................... 83 ANEXOS..................................................................................................... 86 ANEXOS I. Herramientas de Auditora.................................................... 87
VIII NDICE DE TABLAS Pg.
Tabla 1. Caractersticas de una WLAN....................................................... 12 Tabla 2. Estndares para redes inalmbricas............................................. 13 Tabla 3. Simbologa Warchalking............................................................... 30 Tabla 4. Diferencias entre "proyecto de investigacin" y "proyecto factible" ............................................................................................................. 41 Tabla 5. Componente de la WLAN............................................................. 48 Tabla 6. Evaluacin de seguridad en la WLAN........................................... 51 Tabla 7. Estrategia de Implantacin: Ubicacin de los puntos de acceso.. 65 Tabla 8. Estrategia de Implantacin: Seguridad de los equipos inalmbricos ............................................................................................................. 66 Tabla 9. Estrategia de Implantacin: Autenticacin en la WLAN................ 67 Tabla 10. Estrategia de Implantacin: Monitoreo de puntos de acceso...... 68 Tabla 11. Estrategia de Implantacin: Polticas y Procedimiento de Seguridad............................................................................................ 69
IX
NDICE DE FIGURAS Pg. Figura 1. Esquema grfico de la red implantada en la Compaia WiNet.......4 Figura 2. Principales ciclos del negocio de la Compaa WiNet......................4 Figura 3. Esquema grfico de una 802.11 WLAN............................................12 Figura 4. Topologa infraestructura 802.11 WLAN...........................................15 Figura 5. Topologa ad-hoc 802.11 WLAN........................................................15 Figura 6. Diagrama de estados para la conexin a una WLAN.....................16 Figura 7. Sistema de autenticacin abierta.......................................................17 Figura 8. Sistema de autenticacin de llave compartida.................................18 Figura 9. Funcionamiento del algoritmo WEP en modalidad de cifrado.......22 Figura 10. Funcionamiento del algoritmo WEP en modalidad de descifrado ..........................................................................................................................23 Figura 11. Estructura de una VPN para acceso inalmbrico seguro.............25 Figura 12. Esquema puerto habilitado/inhabilitado 802.1X.............................26 Figura 13. Warchalking y su simbologa............................................................31 Figura 14. WLAN antes del ataque.....................................................................34 Figura 15. WLAN despus del ataque................................................................35 Figura 16. Servidores de una LAN que puede ser accedidos por la WLAN 36 Figura 17. Ataque ARP Poisoning.......................................................................37 Figura 18. Arquitectura de la red inalmbrica de la Compaa WiNet..........47 Figura 19. reas de evaluacin...........................................................................50 Figura 20. Matriz de riesgos: Ubicacin de los puntos de acceso.................65 Figura 21. Matriz de riesgos: Seguridad de los equipos inalmbricos..........66 Figura 22. Matriz de riesgos: Autenticacin en la WLAN................................67 Figura 23. Matriz de riesgos: Monitoreo de puntos de acceso.......................68 Figura 24. Matriz de riesgos: Polticas y Procedimiento de Seguridad.........69 Figura 25. Resumen de la estrategia de implantacin.....................................70
X
LISTA DE ABREVIATURAS
ACL: Access Control List AP: Access Point DoS: Denial of Service DHCP: Dynamic Host Control Protocol EAP: Extensible Authentication Protocol IEEE: Institute of Electrical and Electronics Engineers IPsec: Internet Protocol Security IV: Initialization Vector LAN: Local Area Network MAC: Mediun Access Control RADIUS: Remote Authentication Dial-in User Service SMTP: Simple Mail Transfer Protocol SSH: Secure Shell SSID: Service Set Identifier TACACS+: Terminal Access Controller Access Control System Plus TCP/IP: Transmission Control Protocol/Internet Protocol VPN: Virtual Private Network WAP: Wireless Aplication Protocol WEP: Wired Equivalent Privacy WI-FI: Wireless Fidelity WLAN: Wireless Local Area Network WPA: Wi-Fi Protected Access
1
INTRODUCCIN
La implantacin de las redes inalmbricas est creciendo de forma sustancial gracias a la flexibilidad y movilidad que nos proporcionan este tipo de redes, tambin conocidas como Wireless , siendo la mejor manera de proporcionar conectividad de datos sin necesidad de cablear; sin embargo el grado de madurez conseguido no se corresponde con el nivel de seguridad aportado hasta el momento. El funcionamiento de las redes inalmbricas se basa en el envo de informacin a travs del aire y en forma de ondas de radio, pudiendo ser bastantes accesibles desde los lmites externos de una organizacin, entre los cuales tenemos algunos de los grandes riesgos a los que se ven sometidas: Intercepcin de datos, captacin de seales de radio por la instalacin de puntos de acceso inalmbricos no autorizados lo cual exponen a la empresa a que los intrusos puedan tener acceso a informacin confidencial, Insercin de usuarios y equipos de red no autorizados que podran hacer que la red sea vulnerable a ataque de virus, Interrupcin o negacin del servicio reduciendo la calidad del servicio de WLAN. Es por esta razn que la seguridad de la informacin de la empresa juega un papel significativo, sobre todo cuando las amenazas a que se ven expuestas las redes inalmbricas pueden afectar la informacin y la continuidad de las operaciones en las organizaciones. El objetivo de la revisin plantea la identificacin, evaluacin y
2 planteamiento de soluciones para reducir los riesgos del negocio implcitos en la utilizacin de la red inalmbrica de la Compaa WiNet. Los resultados alcanzados en este trabajo, se han estructurado en cinco captulos. El captulo I Descripcin de la Situacin plantea clara y precisamente, los lineamientos y objetivos (generales y especficos) del trabajo realizado, el alcance y limitaciones respectivas, as como un breve estudio de la factibilidad de la investigacin; el captulo II Marco Terico resume los conceptos y aspectos relevantes que tericamente requieren conocerse para el desarrollo y entendimiento del trabajo realizado; el captulo III Marco Metodolgico, especifica el mtodo de investigacin y metodologa empleada para desarrollar el proyecto; el captulo IV Situacin Actual, muestra los resultados de la evaluacin realizada incorporando el esquema de recomendaciones, finalmente en el capitulo V Estrategia de Implantacin, se muestra el procedimiento de anlisis realizado para la implantacin de recomendaciones. La motivacin de este documento es apoyar a la implementacin de redes inalmbricas seguras en donde se pueda contar con un acceso seguro a la informacin y al Internet.
3 CAPITULO I
DESCRIPCIN DE LA SITUACIN 1. Confidencialidad de la Informacin Debido a la importancia de la informacin manejada en esta evaluacin, existen polticas de confidencialidad de informacin que impiden revelar el nombre de la compaa en estudio. Por esta razn, en el desarrollo de la tesis de grado, se utilizar como nombre homlogo Compaa WiNet. 2. Planteamiento del Problema WiNet es una compaa venezolana dedicada al sector de las telecomunicaciones ofreciendo servicios de transmisin de voz, datos y acceso a Internet. Su oficina administrativa (sede principal) se encuentra ubicada en Caracas donde se est desarrollando una red inalmbrica en el piso 2 de esta sede; la red implantada cuenta con 2 puntos de acceso que permite el acceso a la red hasta un mximo de 50 estaciones de trabajo, el estndar usado IEEE es 802.11 bg lo cual ofrece velocidades hasta de 54 Mbps en la banda de 2.4 GHz, el tipo de red es WiFi la cual usa tarjetas de red inalmbricas. En la figura N1 se presenta un esquema grfico de la red descrita anteriormente:
4
Figura 1. Esquema grfico de la red implantada en la Compaia WiNet Para identificar y comprender los riesgos que en seguridad de informacin se expone la Compaa WiNet, se hace necesario conocer los principales procesos del negocio que se mueven sobre las redes inalmbricas; riesgos que se incrementan debido a que la Compaa a optado por seguir implementando redes de este tipo en toda la organizacin. En la Figura 2 se muestra grficamente los principales ciclos del negocio de la Compaa WiNet:
Figura 2. Principales ciclos del negocio de la Compaa WiNet
CICLO DE COMPRAS CICLO DE INVENTARIOS CICLO DE VENTAS CICLO DE TESORERIA, FINANZAS Y NOMINA PRINCIPALES CICLOS DE NEGOCIO DEL MERCADEO MINORISTA CICLO DE COMPRAS CICLO DE INVENTARIO CICLO DE VENTAS CICLO DE TESORERIA, FINANZAS Y NOMINA PRINCIPALES CICLOS DEL NEGOCIO
5
- Ciclo de Compras: Corresponde a las actividades de seleccin de proveedor, gestin de compra y adquisicin final de productos. - Ciclo de Inventario: Se encarga de la administracin y control de bienes tangibles que se disponen para la venta. - Ciclo de ventas. Se refiere a la comercializacin de bienes tangibles o productos. - Ciclo de tesorera, finanzas y nmina. Estos ciclos apoyan la gestin interna y administrativa de la Compaa. En este sentido, los principales objetivos y procesos del negocio que se soportan sobre las redes inalmbricas, son los que se mencionan a continuacin: - Ser el proveedor dominante de soluciones integrales de telecomunicaciones en el mercado, defendiendo la marca y el cliente. - Aplicar la tecnologa para responder oportunamente a las necesidades y requerimiento del mercado. - Crear y mantener ventajas competitivas mediante el manejo de la informacin de nuestra base de datos de clientes. Aunado a lo expuesto anteriormente, las principales inquietudes de la alta gerencia de la Compaa WiNet, en relacin con los mecanismos de seguridad en redes inalmbricas, que marcan la pauta para la realizacin de este trabajo, se mencionan los principales riesgos en seguridad de informacin que afronta la Compaa:
6
Vulnerabilidad en cuanto al acceso externo a datos confidenciales, sobre todo cuando la Compaa se desenvuelve en un mercado altamente competitivo y la fuga o robo de informacin pudiera originar prdidas que afecten el desenvolvimiento del negocio. Ataque de virus Inexistencia de polticas y procedimientos de uso y de seguridad en la red inalmbrica. Los planes de la organizacin, apuntan a seguir creciendo en las implementaciones de redes inalmbricas en toda la organizacin que sean seguras. Las situaciones planteadas anteriormente, conducen a la realizacin de un proyecto de evaluacin de seguridad de la red inalmbrica que se desarrolla en la Compaa WiNet, cuyo resultado es llevar a cabo el diseo y plan de estrategias a seguir para mejorar la seguridad de las redes, as como promover una cultura de seguridad dentro de la Compaa. 3. Justificacin del Trabajo La Compaa WiNet ha invertido como estrategia de negocio en la implementacin de redes inalmbricas, principalmente para dar acceso a Internet a los ejecutivos y proveedores de forma sencilla sin necesidad de cableado; maximizando la gestin de la informacin, as como en pro del mejoramiento de los servicios de cara a los proveedores y clientes hacindolos an ms competitivos.
7 Debido a su facilidad de instalacin y conexin se ha convertido en una excelente alternativa para ofrecer conectividad en lugares donde resulta inconveniente o imposible brindar servicio con una red alambrada, de ah el acceso sin necesidad de cables donde cualquier persona que desde el exterior capte la seal del punto de acceso, tendr acceso a la red de la compaa, con la posibilidad de navegar gratis en la Internet, robar software y/o informacin, introducir virus o software maligno, entre otros. Un punto de acceso inalmbrico mal configurado se convierte en una puerta trasera que vulnera por completo la seguridad informtica de la compaa. Dado el planteamiento del problema y a la falta de seguridad en las redes inalmbricas que a pesar de su gravedad, no ha recibido la atencin debida por parte de los administradores de redes y los responsables de la informacin, se hace necesario la identificacin y correccin oportuna de las brechas de seguridad con riesgos significativos en la Compaa WiNet con relacin a la red inalmbrica que dicha compaa implanta, as como el planteamiento de mecanismos y recomendaciones para fortalecer el esquema de seguridad. El principal beneficio que la compaa WiNet alcanzara con la realizacin de este proyecto es el establecimiento de restricciones a los posibles ataques internos o externos, que puedan originar interrupcin de la continuidad de las operaciones del negocio, en consecuencia prdidas que afecten los estados financieros y la imagen de cara al cliente.
8 4. Objetivos 4.1. Objetivo General Identificar, evaluar y proponer soluciones para la reduccin de riesgos en las posibles vulnerabilidades en el acceso externo no autorizado a la informacin de la Compaa. 4.2. Objetivos Especficos Realizar un levantamiento de informacin exhaustivo en conjunto con la Gerencia de Soporte a Redes sobre la arquitectura y diseo de la red inalmbrica y la Gerencia de Seguridad de Informacin, con la finalidad de alcanzar la familiarizacin necesaria con la arquitectura de la WLAN, los mecanismos de seguridad y procesos generales. Evaluar los controles, polticas y procedimientos de seguridad en la red inalmbrica de la empresa. Validar los resultados de la evaluacin con el personal responsable de cada rea. Elaborar los planes de accin para corregir y sugerir mejoras al esquema de seguridad de la red inalmbrica. 5. Metodologa En funcin de lograr con los objetivos propuestos para la realizacin de este trabajo, la metodologa contempla las siguientes actividades: Levantamiento de informacin sobre la arquitectura y diseo de la red inalmbrica, estndar usado y procesos generales. Evaluacin de seguridad de la red inalmbrica en cuanto a:
9 Evaluacin de los mecanismos de seguridad configurados: Filtrado de direcciones MAC, Wired Equivalent Protocol (WEP), SSID (identificador de red). Evaluacin de los mecanismos de autenticacin de usuarios. Evaluacin de los mecanismos de monitoreo usados para la exploracin de puntos de accesos. Evaluacin de polticas y procedimientos de seguridad. Elaboracin del plan de accin recomendado para mitigar los riesgos de negocio existentes. Discusin de resultados obtenidos con diferentes niveles gerenciales de la Compaa.
10 CAPITULO II
MARCO TEORICO 1. Redes inalmbricas La red inalmbrica es un sistema de comunicacin de datos inalmbrico flexible muy utilizado como alternativa a la LAN cableada o como una extensin de esta, utiliza tecnologa de radiofrecuencia que permite mayor movilidad a los usuarios al minimizarse las conexiones cableadas. La tecnologa inalmbrica es una nueva forma de conectar ordenadores en red sin las limitaciones y costos de una red cableada. Con la tecnologa inalmbrica, se tiene libertad para acceder al correo electrnico, a Internet, a la red de la empresa desde cualquier lugar donde tenga acceso a una red inalmbrica. Las redes inalmbricas ofrecen los siguientes beneficios: Movilidad de los usuarios: Los usuarios pueden acceder a la informacin, recursos de la red, e Internet sin tener que estar fsicamente conectados a la red cableada. Permite transmitir informacin en tiempo real en cualquier lugar de la organizacin a cualquier usuario. Rpida instalacin: al no usar cables, se evitan obras para tirar cable por muros y techos, reduciendo el tiempo de instalacin. Flexibilidad: Puede llegar donde el cable no puede, superando mayor nmero de obstculos, llegando a atravesar paredes. Permite el acceso instantneo a usuarios temporales de la red.
11 1.1. Tipos de redes inalmbricas Existen 4 tipos de redes inalmbricas: la basada en tecnologa BlueTooth, la IrDa (Infrared Data Association), la Homero y la WLAN (Wreless local area network). La primera de ellas no permite la transmisin de grandes cantidades de datos entre ordenadores de forma continua y la segunda tecnologa, es un estndar utilizado por los dispositivos de ondas infrarrojas, y debe permitir la visin directa entre los dos elementos comunicantes. Las tecnologas Homero y WLAN estn basados en las especificaciones 802.11 (Ethernet Inalmbrica) y son las que utilizan actualmente las tarjetas de red inalmbricas. 1.2. Descripcin de 802.11 WLAN Las WLANs permiten una mayor flexibilidad y portabilidad que las tradicionales redes de rea local (LAN), una WLAN conecta computadores y otros componentes a la red usando un dispositivo llamado punto de acceso. La WLAN consta de dos elementos claves, las estaciones cliente (STA) y los puntos de acceso (AP). La comunicacin puede realizarse directamente entre estaciones cliente o a travs del AP. El intercambio de datos slo es posible cuando existe una autenticacin entre el STA y el AP y se produce la asociacin entre ellos (un STA pertenece a un AP). Por defecto, el AP transmite seales de gestin peridicas, el STA las recibe e inicia la autenticacin mediante el envo de una trama de autenticacin. Una vez realizada esta, la estacin cliente enva una trama asociada y el AP responde con otra. En la figura 3 se muestra una 802.11 WLAN.
12
Figura 3. Esquema grfico de una 802.11 WLAN
A continuacin se muestra en la tabla 1 las principales caractersticas de una WLAN:
Tabla 1. Caractersticas de una WLAN Caracterstica Descripcin Capa Fsica Direct Sequence Spread Spectrum (DSSS), Frequency Hopping Spread Spectrum (FHSS), Orthogonal Frequency Division Multiplexing (OFDM), infrared (IR). Banda de Frecuencia 2.4 GHz y 5 GHz. Velocidades 1 Mbps, 2 Mbps, 5.5 Mbps (11b), 54 Mbps (11a) Seguridad Algoritmo de encriptacin basado en RC-4 para la confidencialidad, autenticacin e integridad. Manejo de claves limitadas. Rango de operacin Hasta 50 metros dentro y 400 metros afuera. Aspectos positivos Existen muchos productos diferentes de muchas compaas diferentes. Los costos de las tarjetas inalmbricas y los puntos de acceso estn disminuyendo. Aspectos negativos Seguridad pobre en modo nativo. Disminucin del rendimiento del procesamiento con distancia y carga.
13 1.3. Estndares Inalmbricos Las WLANs estn basadas en el estndar IEEE 802.11 tambin conocido como WiFi, desarrollado en 1997, por el Instituto de Ingenieros Elctricos y Electrnicos (IEEE). Estos estndares permiten transmisiones de datos de hasta 2 Mbps, transferencias que han sido mejoradas con el paso del tiempo. Las extensiones a estas reglas se reconocen con la adicin de una letra al estndar original, incluyendo 802.11a y 802.11b. La siguiente tabla contiene las variantes relacionadas al estndar 802.11. Tabla 2. Estndares para redes inalmbricas Estndar Descripcin 802.11 Estndar WLAN original. Soporta de 1 a 2 Mbps. 802.11a Estndar WLAN de alta velocidad en la banda de los 5 GHz. Soporta hasta 54 Mbps. 802.11b Estndar WLAN para la banda de 2.4 GHz. Soporta 11 Mbps. 802.11e Est dirigido a los requerimientos de calidad de servicio para todas las interfaces IEEE WLAN de radio. 802.11f Define la comunicacin entre puntos de acceso para facilitar redes WLAN de diferentes proveedores. 802.11g Establece una tcnica de modulacin adicional para la banda de los 2.4 GHz. Dirigido a proporcionar velocidades de hasta 54 Mbps. 802.11h Define la administracin del espectro de la banda de los 5 GHz para su uso en Europa y en Asia Pacfico. 802.11i Est dirigido a abatir la vulnerabilidad actual en la seguridad para protocolos de autenticacin y de codificacin. El estndar abarca los protocolos 802.1X, TKIP (Protocolo de Llaves Integras Seguras Temporales), y AES (Estndar de Encriptacin Avanzado).
14 La especificacin 802.11b fue ratificada por el IEEE en julio de 1999, y opera en una banda que abarca las frecuencias dentro del rango de 2.4 a 2.497 GHz del espectro de radio. El mtodo de modulacin seleccionado fue DSSS (Modulacin de Secuencia Directa de Espectro Extendido) usando CCK (Modulacin por Cambios de Cdigo Complementarios), que permite una velocidad mxima de 11 Mbps. La especificacin 802.11a tambin fue ratificada en esa fecha, pero los productos se hicieron disponibles en el mercado en el ao 2001, opera en frecuencias entre 5.15 y 5.875 GHz y utiliza el mtodo de modulacin OFDM (Multiplexacin por Divisin de Frecuencias Ortogonales), el cual hace posible velocidades de hasta 54 Mbps. 1.4. Arquitectura topologa 802.11 WLAN Los estndares IEEE 802.11 especifican dos topologas bsicas de la red: Infraestructura y Ad-Hoc. Redes en modo infraestructura: Como mnimo se dispone de un punto de acceso (AP), las estaciones Wireless no se pueden comunicar directamente, todos los datos deben pasar a travs del AP. Todas las estaciones deben ser capaces de ver al AP. En la figura 4 se muestra una red inalmbrica en modo infraestructura.
15
Figura 4. Topologa infraestructura 802.11 WLAN Redes en modo Ad-Hoc: El modo ad-hoc se utiliza para conectar clientes inalmbricos directamente entre s, sin necesidad de un punto de acceso inalmbrico o una conexin a una red con cables existente. Una red ad-hoc consta de mximo de 9 clientes inalmbricos, que se envan los datos directamente entre s. En la figura 5 se muestra una red inalmbrica en modo ad-hoc.
Figura 5. Topologa ad-hoc 802.11 WLAN 2. Conexin a una WLAN El siguiente grfico muestra los pasos que debe realizar una estacin cliente para asociarse con un AP:
16
Figura 6. Diagrama de estados para la conexin a una WLAN El proceso de asociacin tiene dos pasos, envueltos en 3 estados: No autenticado y no asociado Autenticado y no asociado Autenticado y asociado En la transicin por los diferentes estados, ambas partes (estacin cliente y AP) intercambian mensajes llamados management frames . El proceso que realiza un cliente Wireless para encontrar y asociarse con un punto de acceso es el siguiente: Los AP transmiten BEACON FRAMES cada cierto intervalo de tiempo fijo. Para asociarse con un AP y unirse a una red en modo infraestructura, un cliente escucha en busca de BEACON FRAMES para identificar Puntos de Acceso. El cliente tambin puede enviar una trama PROVE REQUEST que contenga un SSID determinado para ver si le responde un AP que tenga el mismo SSID.
17 Despus de identificar al AP, el cliente y el AP realizan autenticacin mutua intercambiando varios management frames como parte del proceso. Hay varios mecanismos de autenticacin posibles que veremos con ms detalle un poco ms adelante. Despus de una autenticacin realizada con xito, el cliente pasa a estar en el segundo estado (autenticado y no asociado). Para llegar al tercer estado (autenticado y asociado) el cliente debe mandar una trama ASSOCIATION REQUEST y el AP debe contestar con una trama ASSOCIATION RESPONSE , entonces el cliente se convierte en un host ms de la red Wireless y ya est listo para enviar y recibir datos de la red. 3. Tcnicas de autenticacin en 802.11 WLAN Antes de que una estacin Terminal (STA) pueda asociarse con un (AP) y conseguir acceso a la WLAN, debe llevarse a cabo la autenticacin. Existen dos tipos de autenticacin de clientes definidos en el estndar 802.11. 3.1. Sistema abierto Es el protocolo de autenticacin por defecto para 802.11b. Como su nombre indica, este mtodo autentica a cualquier cliente que pide ser autenticado. Es un proceso de autenticacin NULO, las tramas se mandan en texto plano aunque est activado el cifrado WEP.
Figura 7. Sistema de autenticacin abierta AP Cliente Inalmbrico Solicitud de autenticacin Respuesta de autenticacin
18
3.2. Llave Compartida En l se utiliza una clave secreta compartida entre todas las estaciones y puntos de acceso del sistema WLAN. Cuando una estacin trata de conectarse con un punto de acceso, ste replica con un texto aleatorio, que constituye el desafo. La estacin debe utilizar la copia de su clave secreta compartida para cifrar el texto de desafo y devolverlo al punto de acceso, con el fin de autenticarse. El punto de acceso descifra la respuesta utilizando la misma clave compartida y compara con el texto de desafo enviado anteriormente. Si los dos textos son idnticos, el punto de acceso enva un mensaje de confirmacin a la estacin y la acepta dentro de la red. Si la estacin no dispone de una clave, o si enva una respuesta incorrecta, el punto de acceso la rechaza, evitando que la estacin acceda a la red.
Figura 8. Sistema de autenticacin de llave compartida 4. Mecanismos de seguridad para redes WLAN La seguridad en redes de tipo inalmbricas, es un factor muy importante debido a la naturaleza del medio de transmisin: el aire. Las caractersticas de seguridad en la WLAN, se basan especialmente en la proteccin a la comunicacin entre el punto de acceso y los clientes AP Respuesta de autenticacin Solicitud de autenticacin Cliente Inalmbrico AP Texto desafo Texto desafo encriptado
19 inalmbricos, controlar el ingreso a la red, y proteger al sistema de administracin de acceso no autorizado. La seguridad WLAN abarca dos elementos: el acceso a la red y la proteccin de los datos (autenticacin y encriptacin). Las violaciones a la seguridad de la red inalmbrica, generalmente, vienen de los puntos de acceso no autorizados, aquellos instalados sin el conocimiento de los administradores de la red, o que operan con las funcionalidades de proteccin deshabilitadas (que es la configuracin por omisin en los dispositivos inalmbricos). Los tres servicios bsicos de seguridad definido por IEEE para ambientes WLAN son las siguientes: Autenticacin: Identificacin con un grado aceptable de confianza de los usuarios autorizados. Para el estndar 802.11 se utiliza la autenticacin de sistema abierto o autenticacin de llave compartida explicado en el punto anterior. Confidencialidad: La informacin debe ser accesible nicamente a las personas autorizadas. El estndar 802.11 soporta la confidencialidad a travs del uso de tcnicas de cifrado proporcionada por WEP, el cual ser explicado posteriormente. Integridad: La informacin debe mantenerse completa y libre de manipulaciones fortuitas o deliberadas, de manera que siempre se pueda confiar en ella. El IEEE 802.11 provee la integridad de la data por los mensajes transmitidos entre estaciones clientes y puntos de acceso. El estndar 802.11 utiliza dos mecanismos para proteger las redes WLAN. Los mecanismos utilizados son:
20 Filtrado de direcciones MAC: Este mtodo consiste en la creacin de una tabla de datos en cada uno de los puntos de acceso a la red inalmbrica. Dicha tabla contiene las direcciones MAC de las tarjetas de red inalmbricas que se pueden conectar al punto de acceso. Como toda tarjeta de red posee una direccin MAC nica y se logra autenticar el equipo. Este mtodo tiene como ventaja su sencillez, por lo cual se puede usar para redes caseras o pequeas; sin embargo posee muchas desventajas que lo hacen imprctico para uso en redes medianas o grandes no garantizando la confidencialidad de la informacin transmitida, ya que no provee ningn mecanismo de cifrado, a continuacin se explican dichas desventajas: No escala bien, porque cada vez que se desee autorizar o dar de baja un equipo, es necesario editar las tablas de direcciones de todos los puntos de acceso. Despus de cierto nmero de equipos o de puntos de acceso, la situacin se torna inmanejable. El formato de una direccin MAC no es amigable (normalmente se escriben como 6 bytes en hexadecimal), lo que puede llevar a cometer errores en la manipulacin de las listas. Las direcciones MAC viajan sin cifrar por el aire. Un atacante podra capturar direcciones MAC de tarjetas matriculadas en la red empleando un sniffer , y luego asignarle una de estas direcciones capturadas a la tarjeta de su computador, empleando programas tales como AirJ ack o WellenReiter, entre otros. De este modo, el atacante puede hacerse pasar por un cliente vlido.
21 En caso de robo de un equipo inalmbrico, el ladrn dispondr de un dispositivo que la red reconoce como vlido. En caso de que el elemento robado sea un punto de acceso el problema es ms serio, porque el punto de acceso contiene toda la tabla de direcciones vlidas en su memoria de configuracin. WEP: El algoritmo WEP forma parte de la especificacin 802.11, y se dise con el fin de proteger los datos que se transmiten en una conexin inalmbrica mediante cifrado. WEP opera a nivel 2 del modelo OSI y es soportado por la gran mayora de fabricantes de soluciones inalmbricas. El algoritmo WEP cifra de la siguiente manera: (Ver figura 9) A la trama en claro se le computa un cdigo de integridad (Integrity Check Value, ICV) mediante el algoritmo CRC-32. Dicho ICV se concatena con la trama, y es empleado ms tarde por el receptor para comprobar si la trama ha sido alterada durante el transporte. Se escoge una clave secreta compartida entre emisor y receptor. Esta clave puede poseer 40 128 bits. Si se empleara siempre la misma clave secreta para cifrar todas las tramas, dos tramas en claro iguales produciran tramas cifradas similares. Para evitar esta eventualidad, se concatena la clave secreta con un nmero aleatorio llamado vector de inicializacin (IV) de 24 bits. El IV cambia con cada trama. La concatenacin de la clave secreta y el IV (conocida como semilla) se emplea como entrada de un generador RC4 de nmeros seudo- aleatorios. El generador RC4 es capaz de generar una secuencia
22 seudo-aleatoria (o cifra de flujo) tan larga como se desee a partir de la semilla. El generador RC4 genera una cifra de flujo, del mismo tamao de la trama a cifrar ms de 32 bits (para cubrir la longitud de la trama y el ICV). Se hace un XOR bit por bit de la trama con la secuencia de clave, obtenindose como resultado la trama cifrada. El IV y la trama se transmiten juntos.
Figura 9. Funcionamiento del algoritmo WEP en modalidad de cifrado En el receptor se lleva a cabo el proceso de descifrado: (Ver figura 10) Se emplean el IV recibido y la clave secreta compartida para generar la semilla que se utiliz en el transmisor. Un generador RC4 produce la cifra de flujo a partir de la semilla. Si la semilla coincide con la empleada en la transmisin, la cifra de flujo tambin ser idntica a la usada en la transmisin. Se efecta un XOR bit por bit de la cifra de flujo y la trama cifrada, obtenindose de esta manera la trama en claro y el ICV.
23 A la trama en claro se le aplica el algoritmo CRC-32 para obtener un segundo ICV, que se compara con el recibido. Si los dos ICV son iguales, la trama se acepta; en caso contrario se rechaza.
Figura 10. Funcionamiento del algoritmo WEP en modalidad de descifrado WEP proporciona dos tipos de autenticacin: un sistema abierto, en el que todos los usuarios tienen permiso para acceder a la WLAN, y una autenticacin mediante clave compartida, que controla el acceso a la WLAN y evita accesos no autorizados a la red. De los dos niveles, la autenticacin mediante clave compartida es el modo seguro. Dicha autenticacin funciona slo si est habilitado el cifrado WEP. Si no est habilitado, el sistema revertir de manera predeterminada al modo de sistema abierto (inseguro), permitiendo en la prctica que cualquier estacin que est situada dentro del rango de cobertura de un punto de acceso pueda conectarse a la red. La vulnerabilidad de WEP reside en que utiliza una misma clave simtrica y esttica en las estaciones y el punto de acceso. El estndar no contempla ningn mecanismo de distribucin automtica de claves, lo que obliga a escribir la clave manualmente en cada uno de los elementos de la red; esto genera varios inconvenientes, por un lado, la clave est almacenada en todas las estaciones, aumentando las
24 posibilidades de que sea comprometida, y por otro lado, la distribucin manual de claves provoca un aumento de mantenimiento por parte del administrador de la red, que conlleva, a que la clave se cambie poco o nunca. Adicionalmente, es insuficiente la longitud del vector de inicializacin (IV), si utilizamos solamente 24 bits, WEP utilizar el mismo IV para paquetes diferentes, pudindose repetir a partir de un cierto tiempo de transmisin continua. Es a partir de entonces cuando un intruso puede, una vez recogido suficientes tramas, determinar incluso la llave compartida. Otros mecanismos de seguridad los cuales se explican a continuacin: Las VPN: Una red privada virtual emplea tecnologas de cifrado para crear un canal virtual privado sobre una red de uso pblico. Las VPN resultan especialmente atractivas para proteger redes inalmbricas, debido a que funcionan sobre cualquier tipo de hardware inalmbrico y superan las limitaciones de WEP. Para configurar una red inalmbrica utilizando VPN, debe comenzarse por asumir que la red inalmbrica es insegura. Esto quiere decir que la parte de la red que maneja el acceso inalmbrico debe estar aislada del resto de la red, mediante el uso de una lista de acceso adecuada en un enrutador, o agrupando todos los puertos de acceso inalmbrico en una VLAN si se emplea switching . Dicha lista de acceso y/o VLAN solamente debe permitir el acceso del cliente inalmbrico a los servidores de autorizacin y autenticacin de la VPN. Deber permitirse acceso completo al cliente, slo cuando ste ha sido debidamente autorizado y autenticado. Los servidores de VPN se encargan de autenticar y autorizar a los clientes inalmbricos, y de cifrar todo el trfico desde y hacia dichos
25 clientes. Dado que los datos se cifran en un nivel superior del modelo OSI, no es necesario emplear WEP en este esquema.
Figura 11. Estructura de una VPN para acceso inalmbrico seguro 802.1X: Para contrarrestar los defectos de la seguridad WEP, el IEEE cre el estndar 802.1X. Se trata de un mecanismo de seguridad diseado para proporcionar acceso controlado entre dispositivos inalmbricos clientes, puntos de acceso y servidores. Emplea llaves dinmicas en lugar de llaves estticas usadas en la autenticacin WEP, y requiere de un protocolo de autenticacin para reconocimiento mutuo. Es necesario un servidor que proporcione servicios de autenticacin remota de usuarios entrantes (RADIUS, Servicio Remoto de Autenticacin de Usuarios Entrantes). Es un estndar de control de acceso a la red basado en puertos. El sistema se compone de los siguientes elementos: una estacin cliente, un punto de acceso y un servidor de autenticacin (AS). El servidor de autenticacin, es el que realiza la autenticacin real de las credenciales proporcionadas por el cliente. El AS es una entidad separada situada en la zona cableada (red clsica), pero tambin
26 implementable en un punto de acceso. El tipo de servidor utilizado puede ser RADIUS, u otro tipo de servidor que se crea conveniente. El estndar 802.1X introduce un nuevo concepto, el concepto de puerto habilitado/inhabilitado en el cual hasta que un cliente no se valide en el servidor no tiene acceso a los servicios ofrecidos por la red. Dicho esquema de este concepto lo podemos ver a continuacin:
Figura 12. Esquema puerto habilitado/inhabilitado 802.1X
En sistemas con 802.1X activado, se generarn 2 llaves, la llave de sesin y la llave de grupo. Las llaves de grupo se comparten por todas las estaciones cliente conectadas a un mismo punto de acceso y se utilizarn para el trfico multicast, las llaves de sesin sern nicas para cada asociacin entre el cliente y el punto de acceso y se crear un puerto privado virtual entre los dos. El estndar 802.1X mejora la seguridad proporcionando las siguientes mejoras sobre WEP: Modelo de seguridad con administracin centralizada La llave de encriptacin principal es nica para cada estacin, por lo tanto, el trfico de esta llave es reducido (no se repite en otros clientes)
27 Existe una generacin dinmica de llaves por parte del servidor de autenticacin, sin necesidad de administrarlo manualmente. Se aplica una autenticacin fuerte en la capa superior. WPA (Wi-Fi Protected Access): Es un estndar propuesto por los miembros de la WiFi Alliance en colaboracin con la IEEE. Este estndar busca subsanar los problemas de WEP, mejorando el cifrado de los datos y ofreciendo un mecanismo de autenticacin. WPA es un subconjunto de la especificacin IEEE 802.11i, el estndar de la seguridad en las redes WiFi, y aparece como una medida intermedia hasta que el estndar 802.11i estuviera preparado. Para solucionar el problema de cifrado de los datos, WPA propone un nuevo protocolo para cifrado, conocido como TKIP. Este protocolo se encarga de cambiar la clave compartida entre punto de acceso y cliente cada cierto tiempo, para evitar ataques que permitan revelar la clave. Igualmente, WPA presenta caractersticas como la distribucin dinmica de claves, utilizacin ms robusta del vector de inicializacin (mejora de la confidencialidad) y nuevas tcnicas de integridad y autenticacin. El mecanismo de autenticacin usado en WPA utiliza 802.1X EAP explicado en el punto anterior. Segn la complejidad de la red, un punto de acceso compatible con WPA puede operar en dos modalidades: Modalidad de red empresarial: Para operar en esta modalidad se requiere de la existencia de un servidor RADIUS en la red. El punto de acceso emplea entonces 802.1X EAP para la autenticacin, y el servidor RADIUS suministra las claves compartidas que se usarn para cifrar los datos.
28 Modalidad de red casera, o PSK: WPA opera en esta modalidad cuando no se dispone de un servidor RADIUS en la red. Se requiere entonces introducir una contrasea compartida en el punto de acceso y en los dispositivos mviles. Solamente podrn acceder al punto de acceso los dispositivos mviles cuya contrasea coincida con la del punto de acceso. Una vez logrado el acceso, TKIP entra en funcionamiento para garantizar la seguridad del acceso. Se recomienda que las contraseas empleadas sean largas (20 o ms caracteres), por que ya se ha comprobado que WPA es vulnerable a ataques de diccionario si se utiliza una contrasea corta. WPA2: Se basa en su predecesor WPA, con las mismas caractersticas pero aumentando el nivel de seguridad, es la implementacin completa de la especificacin IEE 802.11i. Una de las principales mejoras es el cambio del algoritmo de encriptado usado por WEP y WPA (el RC4) por otro ms avanzado, el Advanced Encryption Standard (AES), que trata de un algoritmo de cifrado de bloque con claves de 128 bits. Para el aseguramiento de la integridad y autenticidad de los mensajes WPA2 utiliza CCMP en lugar de los cdigos MIC. A continuacin se enumeran algunos de los principales riesgos del uso de redes inalmbricas: Intercepcin y escucha del trfico en trnsito, que afecta a la confidencialidad de los datos. Permite al atacante espiar el trfico de red, capturar contraseas, leer correo electrnico y conversaciones realizadas a travs de la red, y obtener informacin til sobre la organizacin interna y la infraestructura de sistemas para preparar un ataque.
29 Acceso no controlado a la red interna corporativa. Esto puede ser utilizado por el atacante para acceder a sistemas internos normalmente no accesibles desde el exterior. Denegacin de servicio (DoS). Los servicios de red inalmbrica 802.11 son vulnerables a diferentes ataques de denegacin de servicio (por ejemplo, generacin de trfico aleatorio excesivo, generacin de puntos de acceso falsos, etc.) Un visitante a la empresa podra conectarse a la red con su porttil, de forma inadvertida o conscientemente, sirviendo como punto de entrada de virus, gusanos y troyanos. 5. Mtodos de deteccin de redes inalmbricas 5.1. Wardriving Es el mtodo ms conocido para detectar las redes inalmbricas inseguras. Consiste en la utilizacin de una tarjeta de red inalmbrica WNIC (Wireless Network Interface Card), un dispositivo porttil (ordenador porttil o incluso un PDA) con un software para verificar puntos de acceso y pasearse por centro de negocios o algn sitio donde nos conste la utilizacin de una red inalmbrica y en el momento en que se detecta la existencia de la red, se realiza un anlisis de la misma. El ordenador porttil puede estar equipado con un sistema GPS para marcar la posicin exacta donde la seal es ms fuerte, o incluso una antena direccional para recibir el trfico de la red desde una distancia considerable. 5.2. Warchalking Se trata de un lenguaje de smbolos utilizado para marcar sobre el terreno la existencia de las redes inalmbricas. Una vez detectada la
30 existencia de una red abierta, se suele dibujar en el suelo una marca con la anotacin de sus caractersticas. La simbologa se muestra a continuacin:
Tabla 3. Simbologa Warchalking Smbolo Significado SSID )( Ancho de banda
Nodo Abierto SSID ()
Nodo Cerrado SSID Contacto (W) Ancho de Banda
Nodo WEP Por ejemplo, el smbolo Retina ) ( 1.5 Identifica a un nodo abierto, que utiliza el SSID Retina y dispone de un ancho de banda de 1.5 Mbps. Esta simbologa permite disponer de un mapa donde constan los puntos de acceso con sus datos (SSID, WEP, direcciones MAC,...). Si la red tiene DHCP, el ordenador porttil se configura para preguntar continuamente por una IP de un cierto rango, si la red no tiene DHCP activado podemos analizar la IP que figure en algn paquete analizado. En la figura 13 se muestra Warchalking y su simbologa.
31
Figura 13. Warchalking y su simbologa Existen varias herramientas tiles para detectar redes inalmbricas, las ms conocidas son el AirSnort o Kismet para Linux y el NetStumbler para sistemas Windows. 6. Ataques a redes inalmbricas Los ataques a redes inalmbricas se dividen en ataques activos y pasivos. Los ataques pasivos son aquellos donde un tercero no realiza ningn ataque, simplemente escucha. Los ataques activos, en cambio, buscan causar algn dao, como prdida de confidencialidad, disponibilidad e integridad de la informacin. A continuacin se mencionan algunos de los ataques ms comunes: 6.1. Ataques Pasivos Eavesdropping: El atacante simplemente escucha (generalmente con una notebook PDA) las comunicaciones entre un punto de acceso y las estaciones inalmbricas. Con este ataque se busca obtener
32 informacin que es normalmente transmitida por la red. Este tipo de ataque es el ms peligroso, ya que abre las puertas a otros ataques. 6.2. Ataques Activos Romper ACLs basados en MAC: Una de las medidas ms comunes que se utilizan para securizar una red wireless es restringir las mquinas que podrn comunicarse con el Punto de Acceso haciendo filtrado por direccin MAC en ste. Para esto se suele crear una tabla en el punto de acceso que contiene todas las MACs de los clientes que estn autorizados para conectar. Aunque esto pueda parecer una medida de seguridad efectiva, no lo es, ya que es muy fcil cambiar la direccin MAC que aparece en los paquetes que un cliente enva, y hacernos pasar por uno de los equipos que si tienen acceso a la red. Para llevar a cabo el ataque basta con esnifar durante un momento el trfico y fijarnos en la MAC de cualquiera de los clientes, slo hace falta que nos pongamos su misma MAC y ya habremos saltado la restriccin. Esto es sencillo de implementar, por ejemplo en el sistema operativo Linux se puede realizar con el comando ifconfig dependiendo del tipo de tarjeta que tengamos. Tambin existen otras utilidades para cambiar la MAC como por ejemplo setmac. Hay que tener en cuenta que si hay dos mquinas en la red con la misma direccin MAC podemos tener problemas, aunque generalmente en las redes Wireless esto no suele ser un problema muy grave ya que el punto de acceso no puede distinguir que verdaderamente hay dos mquinas con la misma MAC. De todas formas, si queremos podemos anular a la mquina que le hemos robado la direccin MAC. Para
33 hacer esto, debemos implementar un ataque de Denegacin de Servicio, como el que veremos seguidamente. Ataque de Denegacin de Servicio (DoS): Para realizar este ataque basta con escuchar durante un momento la red y ver cual es la direccin MAC del punto de acceso. Una vez que conozcamos su MAC, nos la ponemos y actuamos como si furamos nosotros mismos el AP. Lo nico que tenemos que hacer para denegarle el servicio a un cliente es mandarle continuamente notificaciones ( management frames ) de desasociacin o desautenticacin. Si en lugar de a un solo cliente queremos denegar el servicio a todos los clientes de la WLAN, mandamos estas tramas a la direccin MAC de broadcast. Descubrir SSID ocultos: Como hemos comentado anteriormente, para que un cliente y un AP se puedan comunicar, ambos deben tener configurado el mismo SSID, es decir, deben pertenecer a la misma red wireless. Una medida de seguridad bastante comn es ocultar el SSID, es decir, hacer que el AP no mande BEACON FRAMES , o en su defecto no incluya el SSID en stos. En este caso, para descubrir el SSID deberamos esnifar y esperar a que un cliente se conectara, y veramos el SSID en la trama PROVE REQUEST del cliente (en el caso de que no se manden BEACON FRAMES ), o en la trama PROVE RESPONSE del AP. Pero tambin podemos provocar la desconexin de un cliente, utilizando el mismo mtodo que en el ataque DoS, pero mandando slo una trama de desasociacin o de desautenticacin en lugar de mandarlas repetidamente, es decir, nos ponemos la direccin fsica del AP y mandamos una trama DEAUTH o DISASSOC a la direccin
34 MAC del cliente (o a la de broadcast), entonces el cliente intentar volver a asociarse o autenticarse, con lo que podremos ver el SSID en los management frames . Ataque Man in the middle: El ataque de Man in the middle, tambin conocido como Monkey in the middle consiste en convencer al cliente (la victima) de que el host que hay en el medio (el atacante) es el AP, y hacer lo contrario con el AP, es decir, hacerle creer al AP que el atacante es el cliente.
Figura 14. WLAN antes del ataque
Para realizar este ataque, primero debemos escuchar las comunicaciones entre un AP y sus clientes, para obtener lo siguiente: El SSID de la red (si esta ocultado, usaremos el mtodo anterior) La direccin MAC del AP La direccin MAC de la victima Una vez que conocemos estos datos, utilizamos el mismo mtodo que en el ataque DoS, para desautenticar a la victima del AP real, es decir, el atacante spoofea su MAC hacindose pasar por el AP y manda
35 tramas DEAUTH a la victima. La tarjeta WiFi de la victima empezar entonces a escanear canales en busca de un AP para poderse autenticar, y ah es donde entra en juego el atacante. El atacante hace creer a la victima que l es el AP real, utilizando la misma MAC y el mismo SSID que el AP al que la victima estaba autenticada anteriormente, pero operando por un canal distinto. Para realizar esto la tarjeta WiFi del atacante debe estar en modo master. Por otra parte, el atacante debe asociarse con el AP real, utilizando la direccin MAC de la victima. De esta manera hemos conseguido insertar al atacante entre la victima y el AP, veamos como quedara la WLAN despus de realizar el ataque.
Figura 15. WLAN despus del ataque
De esta manera todos los datos que viajan entre la victima y el AP pasan a travs del atacante. Como el ataque ha sido realizado a nivel de
36 enlace (nivel 2), el atacante puede ver, capturar e incluso modificar las tramas en los niveles superiores del modelo OSI. Ataque ARP Poisoning: El ARP cache poisoning es un ataque que slo se puede llevar cabo cuando el atacante est conectado a la misma LAN lgica que las victimas, limitando su efectividad a redes conectadas con switches , hubs y bridges , pero no routers . La mayora de los puntos de acceso 802.11b actan como bridges transparentes de capa 2, lo que permite que los paquetes ARP pasen de la red Wireless hacia la LAN donde est conectado el AP y viceversa. Esto permite que se ejecuten ataques de ARP cache poisoning contra sistemas que estn situados detrs del Punto de Acceso, como por ejemplo servidores conectados a un switch en una LAN a los que se pueda acceder a travs de la WLAN. A continuacin se muestra un ejemplo:
Figura 16. Servidores de una LAN que puede ser accedidos por la WLAN
37 El servidor PC 1 se comunica con PC 3 a travs del switch, si un atacante desde la WLAN envenena la tabla de ARPs de PC 1 y de PC 3 podr realizar un ataque del tipo Man in the Middle situndose entre los dos hosts de la red con cables. As es como se efectuara la comunicacin despus del ataque:
Figura 17. Ataque ARP Poisoning
El atacante manda paquetes ARP REPLY a PC 2 diciendo que la direccin IP de PC 1 la tiene la MAC del atacante, de esta manera consigue envenenar la cach de ARPs de PC 2. Luego realiza la misma operacin atacando a PC 1 y hacindole creer que la direccin IP de PC 2 la tiene tambin su propia MAC.
38 Como ARP es un protocolo stateless, PC 1 y PC 2 actualizan su cach de acuerdo a la informacin que el atacante ha inyectado a la red. Como el switch y el AP forman parte del mismo dominio de broadcast , los paquetes ARP pasan de la red Wireless a la red con cables sin ningn problema. Se podra frenar este ataque creando dos VLANs en el switch , una para la boca a la que est conectado el AP y la otra para el resto de mquinas. Otra forma de frenarlo sera utilizando tablas de ARP estticas. 7. Polticas de seguridad Las polticas de seguridad representan los documentos en donde se establecen las normas a seguir para realizar conexiones a la red inalmbrica de la empresa. Asimismo, las polticas de seguridad tendrn un alcance desde el punto de vista de seguridad de los datos que viajan a travs de una WLAN, describiendo las responsabilidades y derechos de usuarios que operen y utilicen las redes inalmbricas de la empresa; stos documentos son el primer paso en la construccin de arquitecturas de seguridad efectivas y son considerados parte fundamental del esquema de seguridad efectivo. El diseo de polticas de seguridad debe realizarse considerando que no disminuya la capacidad operativa de la organizacin. La existencia de polticas que impidan que usuarios cumplan sus tareas efectivamente, puede tener consecuencias indeseables ya que usuarios podrn encontrar formas de ignorarla y convertirla en algo intil. Para que las polticas de seguridad de redes inalmbricas sean efectivas, los usuarios deben aceptarlas y estar dispuestos a reforzarlas. En trminos generales, se tiene que lograr que las polticas de seguridad cumplan con todos los servicios de
39 seguridad: autenticacin, confidencialidad, integridad, no repudiacin, disponibilidad de los recursos a personas autorizadas y control de acceso.
40 CAPITULO III
MARCO METODOLGICO 1. Mtodo de Investigacin El mtodo de investigacin utilizado fue la investigacin proyectiva, tambin conocida como proyecto factible. Este mtodo define el enfoque de la investigacin, y por ende la forma de presentar el cumplimiento de los objetivos y resultados finales del trabajo. A continuacin se refieren algunas citas bibliogrficas que describen las caractersticas relevantes de un proyecto factible: Segn la Universidad Pedaggica Experimental Libertador (UPEL) (1990), "El proyecto factible consiste en la elaboracin de una propuesta de un modelo operativo viable, o una solucin posible a un problema de tipo prctico, para satisfacer necesidades de una institucin o grupo social" (p.7). La Universidad Metropolitana, en su Resumen del Libro de Metodologa de la Investigacin Holstica de Jacqueline Hurtado de Barrera [1], establece que la investigacin proyectiva o proyecto factible Tiene por objeto, el diseo, la propuesta o creacin de un modelo que permita solucionar una necesidad de tipo prctico. Fidias Arias [2], establece en su libro Mitos y errores en la elaboracin de tesis y proyectos de investigacin (1999) las diferencias entre proyecto de investigacin y proyecto factible:
41 Tabla 4. Diferencias entre " proyecto de investigacin" y " proyecto factible" Proyecto de Investigacin Proyecto Factible Plantea un problema de conocimiento (algo que se desconoce). Plantea un problema de tipo prctico, generalmente determinado por una necesidad. Se plantea objetivos de investigacin, lo que refleja los aspectos a conocer. Se traza objetivos de accin: tareas, actividades, procesos. Requiere un marco terico que fundamente la investigacin a realizar. No necesariamente requiere de postura terica. Hace mucho nfasis en la justificacin de proyecto Puede formular hiptesis. Formula propuestas de accin y/o modelos operativos como alternativa de solucin. La metodologa utiliza tcnicas, instrumentos y procedimientos propios de la investigacin cientfica. La metodologa vara segn la fase y naturaleza del proyecto. Los elementos bsicos que se incluyen en un proyecto de investigacin son: Planteamiento del problema Objetivos J ustificacin Marco Terico Metodologa
Los elementos bsicos que se incluyen en un proyecto factible son: Objetivos J ustificacin Diagnstico de necesidades Formulacin del modelo o propuesta Anlisis de su factibilidad
En un proyecto de este tipo se investiga. En un proyecto de este tipo se planifica.
2. rea de Investigacin El desarrollo de la investigacin se llev a cabo en la Gerencia de Seguridad de Informacin, en la Coordinacin de Control de Acceso, y Coordinacin de Soporte a Redes, de la oficina administrativa (sede principal), lugar donde se administra la seguridad en la red inalmbrica.
42 3. Descripcin de la Metodologa Para el desarrollo de este proyecto, se consider el estndar de seguridad ISO 17799 publicado por la Organizacin Internacional de Normas en diciembre de 2000, el cual establece lineamientos para certificar la mejora continua en la identificacin y control de riesgos de seguridad tecnolgica para asegurar la confidencialidad, integridad y disponibilidad de informacin. ISO 17799 surge como la norma tcnica de seguridad de informacin reconocida mundialmente, la cual define un completo conjunto de controles que incluyen las prcticas exitosas de seguridad de informacin. En el ao 2005 hubo cambios en la norma ISO 17799 en cual se incluyeron controles sobre redes inalmbricas. 3.1. El origen de ISO 17799 Durante ms de un siglo, el Instituto Britnico de Normas Tcnicas (BSI) y la Organizacin Internacional de Normas Tcnicas (ISO) han brindado parmetros globales a normas tcnicas de operacin, fabricacin y desempeo. Solo faltaba que BSI e ISO propusieran una norma tcnica para la seguridad de informacin. Finalmente en 1995, el BSI public la primera norma tcnica de seguridad, BS 7799, la cual se redacta para abarcar los asuntos de seguridad relacionados con el e-commerce, sin embargo no tuvo la aceptacin esperada debido a que no despert inters de la comunidad. Cuatro aos despus, en mayo de 1999, el BSI intent nuevamente publicar su segunda versin de la norma BS 7799, siendo una revisin ms amplia y mejorada de la primera publicacin. En este momento, la ISO se percat de cambios y comenz a trabajar en la revisin de la norma tcnica BS 7799.
43 En diciembre de 2000, la ISO adopt y public la primera parte de la norma BS 7799 bajo el nombre de ISO 17799. Alrededor de la misma poca, se adopt un medio formal de acreditacin y certificacin para cumplir con la norma tcnica. Los problemas Y2K, EMU y otros similares se haban solucionado o reducido a 2000 y la calidad total de la norma tcnica haba mejorado considerablemente. La adopcin por parte de ISO de la Parte 1 - los criterios de la norma tcnica de BS 7799 recibi gran aceptacin por parte del sector internacional y fue en este momento que un grupo de normas tcnicas de seguridad tuvo amplio reconocimiento. 3.2. Marco de las recomendaciones La norma ISO 17799 no incluye la segunda parte de BS 7799, que se refiere a la implementacin. ISO 17799 hoy da es una compilacin de recomendaciones de las prcticas exitosas de seguridad que toda organizacin puede aplicar independientemente de su tamao o sector. La norma tcnica fue redactada intencionalmente para que fuese flexible y nunca indujo a cumplir soluciones de seguridad especficas. Las recomendaciones de la norma tcnica ISO 17799 son neutrales en cuanto a tecnologa y no ayudan a evaluar y entender las medidas de seguridad existentes. Por ejemplo, la norma discute la necesidad de contar con firewall, pero no profundiza sobre los 3 tipos de firewall y cmo se utilizan, lo que conlleva a que contrarios de la norma opinen que ISO 17799 es general y tiene una estructura muy imprecisa y sin valor real. La flexibilidad e imprecisin de ISO 17799 es intencional, por cuanto es difcil encontrar una norma que funcione sobre una variedad de entornos de tecnologa de informacin y sea capaz de desarrollarse con el cambiante mundo de la tecnologa. ISO 17799 simplemente ofrece un conjunto de reglas a un sector donde no existan.
44 3.3. Las diez reas de control de ISO 17799 Poltica de seguridad: Las polticas reflejan las expectativas de la organizacin en materia de seguridad, a fin de suministrar administracin con direccin y soporte. Las polticas tambin se puede utilizar como base para el estudio y evaluacin. Organizacin de la seguridad: Sugiere disear una estructura de gestin para iniciar y controlar la implantacin de la seguridad de la informacin dentro la organizacin, que establezca la responsabilidad de los grupos en reas de seguridad y procesos para el manejo de respuesta a incidentes. Control y clasificacin de recursos de informacin: Su objetivo es mantener una proteccin adecuada sobre los activos de la organizacin. Sugiere asignar un propietario de todos los activos de informacin importantes; la responsabilidad sobre los activos ayuda a asegurar que se mantenga la proteccin adecuada. Seguridad del personal: Establece la necesidad de educar e informar a los empleados sobre lo esperado de su parte en materia de seguridad y confidencialidad. Sugiere que todos los empleados y los terceros, usuarios de aplicaciones de tratamiento de informacin, deberan firmar una clusula de confidencialidad (no divulgacin). Seguridad fsica y ambiental: Responde a la necesidad de proteger las reas, equipo y controles generales. Gestin de las comunicaciones y operaciones: Los objetivos de esta seccin son: Asegurar el funcionamiento correcto y seguro de las instalaciones de procesamiento de informacin.
45 Minimizar los riesgos de fallas en los sistemas. Proteger la integridad del software y la informacin. Conservar la integridad y disponibilidad del procesamiento y la comunicacin de informacin. Garantizar la proteccin de la informacin en redes e infraestructura de soporte. Evitar daos a recursos de informacin e interrupciones en las actividades de la compaa. Evitar la prdida, modificacin o uso indebido de la informacin que intercambian las organizaciones. Control de acceso: Establece la importancia de monitorear y controlar el acceso a la red y recursos de aplicacin para proteger contra abusos internos e intrusos externos. Desarrollo y mantenimiento de sistemas: Recuerda que en la tecnologa de informacin, debe implementarse y mantenerse la seguridad con el uso de controles de seguridad en todas las etapas del proceso. Manejo de la continuidad de la empresa: Aconseja estar preparado para contrarrestar la interrupcin de actividades de la empresa y proteccin de procesos importantes de la empresa en caso de fallas graves o desastres. Cumplimiento: Imparte instrucciones a las organizaciones para que verifiquen si el cumplimiento con la norma tcnica ISO 17799 concuerda con otros requisitos jurdicos, como la Directiva de la Unin Europea que concierne la Privacidad, la Ley de Responsabilidad y Transferibilidad del Seguro Mdico (HIPAA por su sigla en Ingls) y la Ley Gramm-Leach-
46 Billey (GLBA por su sigla en ingls). Esta seccin tambin requiere una revisin a las polticas de seguridad, al cumplimiento y consideraciones tcnicas que deben hacer en relacin con el proceso de auditora del sistema y garantizar que las empresas obtengan el mximo beneficio. 3.4. La norma tcnica ISO 17799 Actualmente ISO revisa la norma tcnica 17799 para adaptarla mejor al amplio pblico. ISO 17799 es la primera norma tcnica y se elaborar y ampliar sus recomendaciones y sugerencias bsicas en la medida en que sea necesario. Por ahora, ISO 17799 es la norma tcnica a seguir. Para una organizacin que no ha adoptado un programa de proteccin definido de informacin, ISO 17799 puede servir de parmetro para definirlo.
47
CAPITULO IV
EVALUACIN, DIAGNSTICO DE SEGURIDAD y PROPUESTA DE SOLUCIN PARA LA RED INALMBRICA DE LA COMPAA WiNet 1. Arquitectura y diseo de la red inalmbrica. El objetivo de la revisin estuvo orientado al diagnstico del esquema de seguridad usado en la red inalmbrica implantada en la Compaa WiNet.
Figura 18. Arquitectura de la red inalmbrica de la Compaa WiNet En la Tabla 5 se menciona el componente principal de la WLAN que estar en el alcance de la evaluacin, la cual guiar la presentacin de resultados.
48 Tabla 5. Componente de la WLAN Puntos de Acesso (Cisco Aironet 1200 Series) Wireless Punto de acceso de la WLAN
2. Evaluacin y diagnstico de seguridad de la red inalmbrica. Uno de los mayores retos para las organizaciones es identificar e incorporar modelos efectivos y probados para la seguridad de la informacin. El xito de un programa de seguridad depende de una serie de eventos, mezcla de diferentes personas, polticas y tecnologa, que mejore la proteccin y seguridad de la informacin. Cualquier vulnerabilidad existente puede verse la seguridad de la informacin comprometida. Un modelo de seguridad que mitigue estas vulnerabilidades, podr reducir los riesgos y proveer una base slida que permita a las organizaciones fortalecer la proteccin de la informacin. Los resultados de la evaluacin y diagnstico de la seguridad en la red inalmbrica implantada en la Compaa WiNet, se presentan a continuacin, en tablas de resultados que contienen la siguiente informacin: Riesgo Especfico. Esta seccin describe los riesgos particulares de cada una de las situaciones consideradas como parte de la evaluacin en la WLAN, y que en resumen conllevan a los principales riesgos descritos anteriormente. Tcnica de Control. Una vez descrito el riesgo especfico, se identifican las tcnicas de control utilizadas por la Gerencia de Seguridad de Informacin y la Coordinacin de Soporte a Redes, de la Compaa WiNet para mitigar dichos riesgos, las cuales sern
49 objeto de evaluacin. Cabe destacar, que esta informacin fue obtenida como parte del levantamiento de informacin realizado. Oportunidades de mejora. Presenta el diagnstico de la evaluacin. Plan de Accin. Resume los lineamientos tcnicos y/o procedimientos con relacin a las deficiencias reportadas para el fortalecimiento de los controles de seguridad al acceso de informacin en la red inalmbrica de la Compaa WiNet. La seguridad de la informacin se maneja en fases, sin embargo el objetivo principal es proteger la confidencialidad, integridad y disponibilidad de la informacin. La violacin de alguno de estos componentes puede colocar rpidamente a una organizacin en riesgo patrimonial, tecnolgico, legal o de reputacin. En la presentacin de resultados, se consideraron reas de evaluacin, las cuales se describen en la Figura 19.
50
Figura 19. reas de evaluacin Los resultados de la evaluacin y propuesta para mejora se presentan a continuacin.
Polticas y procedimientos de Seguridad (5)
Autenticacin de usuarios (3) Ubicacin de puntos de acceso (1) AREAS DE EVALUACION Seguridad de equipos inalmbricos (2) Monitoreo de puntos de acceso (4)
51
Tabla 6. Evaluacin de seguridad en la WLAN Ubicacin de los puntos de acceso Riesgo Especfico: Posibilidad de conexin a la red desde zonas no deseadas o fuera del mbito de la organizacin por parte de usuarios no autorizados. Trabajo Realizado Tcnica de Control Actual Oportunidades de Mejora Plan de Accin (Propuesta)
Usando el mtodo de deteccin de redes inalmbricas Wardriving y el software Network Stumbler versin 4.0, verificar si se puede acceder a la red desde fuera del espacio fsico de la misma y la intensidad de la seal.
La Coordinacin de Soporte a Redes es la encargada de realizar un estudio de la localizacin de los puntos de acceso a travs de herramientas de encuestas sobre el sitio (Site Survey), para determinar la mejor localizacin fsica para los puntos de acceso.
La Coordinacin de Soporte a Redes es responsable de hacer mediciones de seales de salida al instalar puntos de acceso, as como ajustes necesarios y estas actividades se deben incluir como un proceso en el mantenimiento normal de la red.
Se observ que dentro del proceso de mantenimiento normal de la red inalmbrica no estaba definida la revisin peridica de las seales de salida de los puntos de acceso instalados, as como ajustes de los mismos; a fin de reducir al mnimo el riesgo de acceso por fuerza bruta.
Incorporar en el proceso de mantenimiento normal de la red la revisin de las mediciones de seales y ajustes de forma peridica.
52 Seguridad de equipos inalmbricos (Configuracin de puntos de acceso) Riesgo Especfico: Configuracin incorrecta o dbil de los puntos de acceso, que facilite que informacin sensiti va sea interceptada por intrusos, la cual puede ser distorsionada o divulgada. Trabajo Realizado Tcnica de Control Actual Oportunidades de Mejora Plan de Accin (Propuesta) Verificar que la red inalmbrica en evaluacin se encuentre certificada en cuanto a la seguridad por la Coordinacin de Control de Acceso.
La Coordinacin de Control de Acceso de la Compaa WiNet certifica las redes inalmbricas implantadas, aplicando un checklist de seguridad de informacin en cuanto a la seguridad de los equipos (AP), autenticacin y contraseas. El checklist es llenado por el administrador de la red y posterior a esto, se aplica un test usando el software NMAP para la verificacin de los datos suministrados por el administrador.
Se evidenci que para la fecha de revisin la red inalmbrica en evaluacin no se encontraba certificada; es decir, an no se haba aplicado el checklist de seguridad; no garantizando tener una seguridad robusta o apropiada. Cabe mencionar que dicha red se encontraba implantada desde hace 1 ao aproximadamente.
Establecer un procedimiento por parte de la Coordinacin de Control de Acceso en donde se indique los pasos a seguir para la certificacin de las redes inalmbricas implantadas en la Compaa; as mismo, dicho procedimiento debe ser divulgado al rea responsable de la configuracin de los equipos inalmbricos; a fin de garantizar que las redes implantadas cumplan con la seguridad requerida para su certificacin de acuerdo a las polticas de seguridad establecidas en la Compaa.
Verificar la configuracin de los puntos de acceso en cuanto a:
Localizacin de puntos de acceso (AP) en lugares que cubran nicamente las reas internas de la Compaa. Los puntos de acceso se La Coordinacin de Soporte a Redes es la encargada de la instalacin y configuracin de los puntos de acceso de las redes inalmbricas implantadas en la Compaa de acuerdo a lo establecido en la poltica de seguridad para redes inalmbricas.
De la verificacin de los datos suministrados por el administrador de la red en el cheklist de seguridad y la configuracin de los puntos de acceso a travs del comando (show running- config) versus el test aplicado con el software NMAP , se detect lo siguiente:
Aislar totalmente la parte inalmbrica de la parte cableada de la red, utilizando firewall que establezca unas reglas adecuadas para permitir la unin de una forma segura.
Definir listas de control de acceso basado en direcciones MAC lo cual proporciona una capa de
53 encuentren colocados en reas seguras. El modo ad-hoc est deshabilitado Slo los administradores de red tienen el privilegio de ejecutar la opcin reset de los equipos. Cambio del SSID default de los puntos de acceso. Cambio de los valores default de configuracin de los equipos. La opcin SSID broadcast se encuentre desactivada. Existencia de listas de direcciones MAC Bloqueo de los puertos TCP/UDP. Opciones de seguridad de los equipos WLAN se encuentren activas. (WEP) Las Llaves de encriptamiento manejada por WEP son de al menos de 128 bits o tan grandes como sea posible. Acceso a la red protegida se realice mediante un canal encriptado y utilizando
No exista un firewall entre la red cableada (protegida) y la red inalmbrica. No se encontraba definida listas de direcciones MAC. Las estaciones inalmbricas no tenan instalados antivirus. Las estaciones inalmbricas no tenan instalados firewalls personales.
Adicionalmente, se observ que el nico mecanismo de seguridad usado en los puntos de acceso es WEP, el mismo no proporciona una seguridad robusta que garantice la confidencialidad e integridad de los datos.
seguridad que asegura de que solamente los dispositivos inalmbricos autorizados estn permitidos a conectarse con la red cableada.
Instalar software de antivirus en los clientes inalmbricos para asegurar que el cliente inalmbrico no introduzca virus a la red cableada; as mismo, protege al cliente inalmbrico contra los virus que se originan en la red cableada.
Evaluar la posibilidad de la instalacin de firewalls personales que ayuden a proteger contra ataques de la red inalmbrica, ofreciendo una proteccin adicional de los puntos de acceso contra los intrusos que se pueden instalar en cualquier lugar.
Considerar cambiar el mecanismo de seguridad usado WEP por Wi-Fi Protected Access (WPA) con autenticacin 802.1X EAP y cifrado TKIP (Protocolo de integridad de claves temporales), por considerarse una red empresarial.
54 mecanismos de autenticacin (VPN basado en IPSec). Existencia de un firewall entre la red cableada y la inalmbrica. Actualizacin del firmware/software de los equipos que implementan la red inalmbrica. Instalacin en los clientes inalmbricos de un firewall personal. Instalacin en los clientes inalmbricos de un software antivirus. Instalacin de switches en lugar de hubs para la conectividad del punto de acceso. Servicio Telnet deshabilitado. El acceso remoto a los equipos por parte de usuarios administradores est encriptado, usando Secure Shell (ssh). Implementacin de SNMPv2 como mnimo. Tiempo de sesin inactiva en un terminal para los usuarios. Asignacin automtica
55 de direcciones (DHCP) deshabilitado.
Autenticacin en la WLAN Riesgo Especfico: Acceso indebido o no controlado de usuarios no autorizados en la red inalmbrica. Trabajo Realizado Tcnica de Control Actual Oportunidades de Mejora Plan de Accin (Propuesta) Verificar: Sistema de autenticacin abierto habilitado Que los equipos utilicen mecanismos AAA para autenticar usuarios. Existencia de bitcoras (logs) que permita registrar las actividades relevantes de los usuarios de los equipos. Que se exporten automticamente las bitcoras de la plataforma hacia los servidores de anlisis de bitcoras de seguridad de informacin. Que los distintos perfiles de usuarios estn definidos en el servicio AAA. Si el acceso de todos los usuarios del sistema Para la autenticacin de los usuarios y manejo de contraseas en la red inalmbrica, se utiliza el protoclo TACACS+(Sistema Avanzado de Control de Acceso mediante Controladora de Acceso a Terminal), el cual proporciona una seguridad centralizada para la validacin de los usuarios que acceden a la red. Asimismo, proporciona los servicios de autenticacin y autorizacin.
Se observ que los equipos inalmbricos no utilizan mecanismos AAA para la autenticacin de usuarios, ya que el protocolo TACACS+no proporciona el servicio de auditora impidiendo poder realizar auditora de las actividades de los usuarios mientras acceden a la red. Asimismo, no se encontraba definido los distintos perfiles de usuarios.
Evaluar la posibilidad de cambiar de protocolo de autenticacin por un servidor RADIUS que proporciona los servicios de auditora, autorizacin y accounting, permitiendo rastrear las actividades del usuario mientras accede a la red. Adicionalmente, definir los diferentes perfiles de usuarios en la red.
56 requiere autenticacin. Que las contraseas acepten como mnimo siete (7) caracteres. Colocacin de una contrasea vlida a todas las cuentas que tenan contrasea vaca. Si se fuerza a que las contraseas se conformen con todos los siguientes tipos de caracteres: numricos, alfabticos en minscula y mayscula y smbolos. Existencia de un proceso automatizado que permita a los usuarios realizar cambios de sus contraseas. Que las contraseas iniciales emitidas a nuevos usuarios slo son validas para una sesin, en la cual se pide al usuario que la actualice. Que las contraseas tengan un perodo de expiracin mnimo de 30 das. Que las contraseas tienen un perodo de expiracin mximo de 60 das, obligando a los
57 usuarios a cambiarlas al transcurrir este tiempo. Utilizacin de archivos de diccionarios para validar los cambios de contrasea. Que se mantenga un histrico de 6 contraseas para evitar que los usuarios rehsen valores usados previamente.
Monitoreo de puntos de acceso Riesgo Especfico: Ataque por insercin de usuarios o instalaciones de puntos de acceso no autorizados interceptando la red inalmbrica. Trabajo Realizado Tcnica de Control Actual Oportunidades de Mejora Plan de Accin (Propuesta) Usando el mtodo de deteccin de redes inalmbricas Wardriving y el software Network Stumbler versin 4.0, verificar puntos de acceso abiertos no autorizados.
La unidad encargada de la instalacin de las WLANs debe monitorear regularmente todos los puntos de acceso y detectar aquellos que no hayan sido autorizados y desconectarlos.
De la exploracin de puntos de acceso efectuado en el piso 2 de la Compaa WiNet, se detect:
Existan 25 puntos de acceso no autorizados de los cuales 20 (80%) presentaban buena seal lo que significa que cualquier usuario puede intentar conectarse y 5 (20%) presentaban seal dbil. 25 (100%) puntos de Realizar un escaneo de red peridico, por ejemplo 1 vez al mes, mediante el uso de una herramienta de exploracin inalmbrica, con el fin de detectar puntos de acceso no autorizados o equipos que estn ejerciendo de intrusos y desconectarlos.
Definir el rea responsable de realizar el monitoreo de puntos de acceso.
Evaluar la posibilidad del uso de
58
acceso estaban localizados en reas no seguras. 17 de 25 (68%) puntos de acceso no tenan habilitado el mecanismo de seguridad WEP. 8 de 25 (32%) puntos de acceso tenan el mecanismo de seguridad WEP activado pero con el SSID utilizado por defecto. Por ejemplo: linksys, default, default_SSID.
Se observ que no se estaba realizando peridicamente un monitoreo de puntos de acceso.
un sistema de deteccin de intrusos (IDS) que permita determinar si usuarios no autorizados estn intentando tener acceso o haber tenido acceso a la red.
Solicitar a la Gerencia de Seguridad de Informacin un listado a la fecha de revisin del inventario de puntos de acceso instalados en la Compaa.
La unidad encargada de la instalacin de los puntos de acceso debe mantener actualizado e informar a la Gerencia de Seguridad de Informacin del inventario de los puntos de acceso con la informacin completa de su ubicacin y configuracin.
Se evidenci que la Gerencia de Seguridad de Informacin no tena un inventario de los puntos de acceso instalados que le permitiese llevar el control de los mismos.
La Coordinacin de Soporte a Redes informar y mantener actualizado a la Gerencia de Seguridad de Informacin de los puntos de acceso instalados.
59 Polticas y procedimientos. Riesgo Especfico: Dificultad en la aplicacin de normas y polticas para el control y manejo de seguridad en la WLAN que ayuden a mantener una red segura. Trabajo Realizado Tcnica de Control Actual Oportunidades de Mejora Plan de Accin (Propuesta) Revisar en el procedimiento o poltica de seguridad para redes inalmbricas que contenga lo siguiente:
Identificacin de quien puede utilizar tecnologa inalmbrica en la Compaa. Si el acceso a Internet es requerido Personal quien puede instalar puntos de acceso y otros equipos inalmbricos. Ubicacin de los puntos de acceso Identificacin del tipo de informacin que se puede enviar sobre la red inalmbrica. La condiciones sobre las cuales se permiten dispositivos inalmbricos. Definicin de estndares para la configuracin de seguridad de los puntos de acceso. La Gerencia de Seguridad de Informacin es la encargada de la elaboracin, actualizacin y aprobacin del procedimiento de seguridad para redes inalmbricas, en donde se establece las normas a seguir para realizar conexiones a las redes inalmbricas existentes.
La Gerencia de Seguridad de Informacin se encarga de la difusin y publicacin del procedimiento a travs de medios de comunicacin interna a toda la Compaa, para el conocimiento de todos los trabajadores y contratados.
De la revisin al procedimiento de seguridad para redes inalmbricas se observ:
En el procedimiento no indica si el acceso a Internet es requerido. No especifica la coordinacin responsable de la instalacin y configuracin de los puntos de acceso. No indica el tipo de informacin que se puede enviar sobre la red inalmbrica. No describe la configuracin de hardware y software de los equipos inalmbricos. No indica lineamientos para la divulgacin de prdidas de dispositivos y de incidencia de seguridad. No especifica con que frecuencia se debe monitorear los puntos de acceso y que unidad es la responsable de realizar Integrar las polticas inalmbricas a las actuales polticas de seguridad de la red cableada; Asimismo, incluir en las polticas lo siguiente:
Si el acceso a Internet es requerido. Unidad responsable de la instalacin y configuracin de los puntos de acceso. Tipo de informacin que se puede enviar sobre la red inalmbrica. Descripcin de la configuracin de hardware y software de los equipos inalmbricos. Lineamientos para la divulgacin de prdidas de dispositivos y de incidencia de seguridad. Frecuencia de monitoreo de puntos de acceso y la unidad responsable de realizar dicha tarea. Actualizacin de software de mejoras de la seguridad.
60 Descripcin de la configuracin de hardware y software de los equipos inalmbricos. Lineamientos para la divulgacin de prdida de dispositivos y de incidentes de seguridad. Lineamientos para el uso de cifrado y manejo de claves. Definicin de la frecuencia de la realizacin de exploracin de puntos de acceso no autorizados. Considerar actualizaciones del software.
dicha tarea. No indica que el administrador de la red realice actualizaciones del software de mejoras en la seguridad.
61 CAPITULO V
ESTRATEGIA DE IMPLANTACION 1. Propuesta de accin como alternativa de solucin Continuamente aparecen brechas de seguridad y se acrecienta el ingenio para identificarlas y utilizarlas por parte de personal no autorizado. Queda entonces claro que esperar la ocurrencia de fallas para proceder a corregirlas es precisamente en lo que se apoyan posibles intrusos para penetrar las redes. Por otro lado, pretender detectar las debilidades antes de que ocurran, puede ser una labor costosa en personal y tiempo. Para cumplir con los objetivos planteados, se realiz un diagnstico y evaluacin del ambiente de seguridad de la tecnologa inalmbrica existente. En el Capitulo IV se presentaron los hallazgos de la evaluacin realizada, conjuntamente a las recomendaciones propuestas para cada situacin, las cuales fueron analizadas y discutida con el personal de seguridad de informacin, soporte a redes y la directiva de la Compaa WiNet. La propuesta de accin busca definir estrategias tcnicas basadas en las mejores prcticas de seguridad para redes inalmbricas, que solventaran las situaciones identificadas, sin incurrir en inversiones mayores. En trminos generales, los principales hallazgos identificados son: La red inalmbrica en evaluacin no se encontraba certificada en cuanto a seguridad de los equipos inalmbricos y autenticacin y contrasea; lo que significa que no se le haba aplicado el checklist de seguridad que garantiza que la red tenga una seguridad bsica. De la aplicacin del checklist se detect que no se haba colocado un firewall entre la red
62 cableada y la red inalmbrica, no existiendo reglas que permitan la unin de forma segura, y que gestione los accesos desde la red inalmbrica a la cableada (aplicando polticas de seguridad adecuadas), y de forma recproca (de la cableada a la inalmbrica). Se detect que no se haban definido listas de control de acceso basado en direcciones MAC, es conveniente el uso de las mismas ya que utilizando esta tcnica se consigue que nicamente se le d el acceso a los equipos que tengan una direccin MAC registrada en la lista, hasta tanto se considere el cambio del mecanismo de seguridad por uno ms robusto, ya que hay que estar claros que este mecanismo es vulnerable. En los clientes inalmbricos no se encontraba instalado software de antivirus, no garantizando que el cliente inalmbrico no introduzca virus a la red cableada y viceversa. Se observ que la red en evaluacin tiene habilitado WEP como nico mecanismo de seguridad y el uso del WEP bsico no proporciona altos niveles de seguridad debido a las vulnerabilidades existentes en l. En una organizacin con tendencia a seguir creciendo en las implementaciones de redes inalmbricas, no se puede mantener WEP como nica estrategia de seguridad, ya que no es del todo seguro. La alternativa de WPA que utiliza autenticacin 802.1X EAP con cifrado TKIP, proporciona una autenticacin ms segura que el sistema abierto o la clave compartida. Se observ que los equipos inalmbricos no tienen el servicio accounting, el cual permite rastrear la actividad del usuario mientras accede a la red y poder realizar auditoras que permita conocer el tiempo que permanece conectado, servicios a los que accede, datos transferidos durante la sesin, entre otros.
63 Se observ que no se estaba realizando peridicamente un monitoreo de puntos de acceso, y se identificaron puntos de accesos no autorizados, ubicados en reas no seguras, deshabilitado el mecanismo de seguridad WEP y algunos puntos de acceso tenan activado WEP pero con el SSID por defecto. Esta situacin puede originar que intrusos puedan tener acceso a informacin confidencial, que la red sea ms vulnerable a ataques de virus y que estos puntos de acceso pueden interferir con los puntos de acceso instalados por la Coordinacin de Soporte a Redes, lo cual reducira la calidad del servicio de la red. En cuanto a las polticas de seguridad se observ ausencia de las polticas si el acceso a Internet es requerido, definicin de la unidad responsable de la instalacin y configuracin de los puntos de acceso, tipo de informacin que se puede enviar sobre la red inalmbrica, descripcin y configuracin de hardware y software de los equipos inalmbricos, lineamientos para la divulgacin de prdidas de dispositivos, actualizacin de las mejoras del software en la seguridad. Todas estas polticas mencionadas ayudan a mitigar riesgos de seguridad existente. A tales efectos, la propuesta de accin como alternativa de solucin est en reforzar los esquemas de seguridad en cuanto al control de acceso de los dispositivos a la red, la seguridad en los datos que circulan a travs de la misma, la seguridad de los elementos fsicos y polticas de seguridad integradas. De igual manera se recomienda el establecimiento de estrategias de educacin y concientizacin al personal, en los cuales se informe a los empleados sobre las polticas de seguridad, explicar los riesgos que conlleva la instalacin de puntos de acceso no autorizados y enfatizar las consecuencias de la violacin de la seguridad, normando con esta prctica la cultura de seguridad de los usuarios en procura de una
64 participacin activa de los mismos sobre la seguridad de la informacin que viaja sobre las redes inalmbricas. 2. Planificacin estratgica de implantacin La planificacin estratgica de seguridad involucra un conjunto de actividades complementarias una de otra, que se apoyan mutuamente para la creacin de un entorno seguro. Para implantar el esquema de recomendaciones, es necesario medir el impacto de cada oportunidad de mejora y posteriormente definir el tiempo de implantacin. En este sentido, se elabor un esquema grfico que permite clasificar las oportunidades de mejora en relacin a su impacto y su probabilidad de ocurrencia, siendo ambos parmetros medidos cualitativamente en alto, medio o bajos; este esquema nos induce posteriormente a definir las estrategias de implantacin, las cuales pudieran ser a corto, mediano o largo plazo, y se presentan a continuacin en los cuadros anexos.
65 2.1. Ubicacin de los puntos de acceso
Figura 20. Matriz de riesgos: Ubicacin de los puntos de acceso
Tabla 7. Estrategia de Implantacin: Ubicacin de los puntos de acceso
Nmero Resumen de Oportunidad de Mejora Estrategia de Implantacin Recomendada
1 Se observ que dentro del proceso de mantenimiento normal de la red inalmbrica no estaba definida la revisin peridica de las seales de salida de los puntos de acceso instalados; a fin de reducir al mnimo el riesgo de acceso por fuerza bruta. Mediano Plazo
Explicacin de la matriz de riesgos: Para la ubicacin en el grfico de la oportunidad de mejora (Nro.1) se tom en cuenta, cual es el impacto de no realizar de forma peridica una revisin de las seales de salida de los puntos de acceso instalados en la red, la cual es alta ya que aumenta el riesgo de acceso por fuerza bruta y la probabilidad de ocurrencia de la oportunidad de mejora es alta; teniendo en cuenta que la revisin de las seales es peridica; es decir, con alta probabilidad de ocurrencia . 4 1 7 5,6 11 2 3 8,9 10 12 13 14 15 16 17 18 19 20 23 22 24 25 21 26 PROBABILIDAD Alto Alto Bajo PROBABILIDAD Alto Alto Bajo
1
IMPACTO
66 2.2. Seguridad de los equipos inalmbricos
Figura 21. Matriz de riesgos: Seguridad de los equipos inalmbricos
Tabla 8. Estrategia de Implantacin: Seguridad de los equipos inalmbricos
Nmero Resumen de Oportunidad de Mejora Estrategia de Implantacin Recomendada
1 No se encontraba certificada la red inalmbrica en evaluacin. Corto Plazo 2 No exista un firewall entre la red cableada y la red inalmbrica Mediano Plazo 3 No se encontraba definida listas de direcciones MAC. Mediano Plazo 4 Las estaciones inalmbricas no tenan instalados antivirus Mediano Plazo 5 Las estaciones inalmbricas no tenan instalados firewalls personales. Largo Plazo 6 El nico mecanismo de seguridad usado en los puntos de acceso es WEP no proporcionando una seguridad robusta. Mediano Plazo
Figura 22. Matriz de riesgos: Autenticacin en la WLAN
Tabla 9. Estrategia de Implantacin: Autenticacin en la WLAN
Nmero Resumen de Oportunidad de Mejora Estrategia de Implantacin Recomendada
1 Se observ que los equipos inalmbricos no utilizan mecanismos AAA para la autenticacin de usuarios, ya que el protocolo TACACS+no proporciona el servicio de auditora, impidiendo poder realizar auditora de las actividades de los usuarios mientras acceden a la red. Mediano Plazo 2 No se encontraba definido los distintos perfiles de usuarios. Mediano Plazo
Figura 23. Matriz de riesgos: Monitoreo de puntos de acceso
Tabla 10. Estrategia de Implantacin: Monitoreo de puntos de acceso
Nmero Resumen de Oportunidad de Mejora Estrategia de Implantacin Recomendada
1 Existan 25 puntos de acceso no autorizados de los cuales 20 (80%) presentaban buena seal, lo que significa que cualquier usuario puede intentar conectarse y 5 (20%) presentaban seal dbil. Corto Plazo 2 25 puntos de acceso estaban localizados en reas no seguras. Corto Plazo 3 17 de 25 (68%) puntos de acceso no tenan habilitado el mecanismo de seguridad WEP. Corto plazo 4 8 de 25 (32%) puntos de acceso tenan el mecanismo de seguridad WEP activado pero con el SSID utilizado por defecto. Por ejemplo: linksys, default, default_SSID. Corto Plazo 5 No se estaba realizando peridicamente un monitoreo de puntos de acceso. Mediano Plazo 6 La Gerencia de seguridad de Informacin no tena un inventario de los puntos de acceso instalados que le permitiese llevar el control de los mismos. Mediano Plazo 4 1 7 5,6 11 2 3 8,9 10 12 13 14 15 16 17 18 19 20 23 22 24 25 21 26 PROBABILIDAD Alto Alto Bajo PROBABILIDAD Alto Alto Bajo
1 2 3 4 5 6
IMPACTO
69 2.5. Polticas y Procedimiento de Seguridad
Figura 24. Matriz de riesgos: Polticas y Procedimiento de Seguridad
Tabla 11. Estrategia de Implantacin: Polticas y Procedimiento de Seguridad
Nmero Resumen de Oportunidad de Mejora Estrategia de Implantacin Recomendada
1 Integrar las polticas inalmbricas a las actuales polticas de seguridad de la red cableada, e incluir lo siguiente: si el acceso a Internet es requerido, unidad responsable de la instalacin y configuracin de los puntos de acceso, tipo de informacin que se puede enviar sobre la red inalmbrica, descripcin de la configuracin de hardware y software de los equipos inalmbricos, lineamientos para la divulgacin de prdidas de dispositivos, frecuencia de monitoreo de puntos de acceso y la unidad responsable de realizar dicha tarea, actualizacin de del software de mejoras de seguridad. Mediano Plazo
2.6. Resumen de la estrategia de implantacin La Figura 25 resume la estrategia de implantacin de las oportunidades de mejora identificadas, en funcin de aportar una visin clara del resultado de la evaluacin en conjunto con las matrices de riesgos presentadas. Obsrvese que mayoritariamente las oportunidades de mejoras se estiman sean solventadas a mediano plazo, objetivo a alcanzar siempre que exista un compromiso de la Compaa por fortalecer el entorno de control. 63% 31% 6% Mediano Corto largo
Figura 25. Resumen de la estrategia de implantacin
71
CONCLUSIONES
Para las organizaciones invertir en seguridad de redes est muy lejos de ser un gasto. Es una decisin que les permitir prevenir posibles prdidas cuantiosas. La seguridad en las redes inalmbricas es una necesidad dadas las caractersticas de la informacin que por ella se transmite; sin embargo, las redes inalmbricas actualmente instaladas poseen un nivel de seguridad muy dbil, con lo cual se est poniendo en peligro la confidencialidad e integridad de dicha informacin. Cada vez son ms las noticias de violaciones a la seguridad de las redes inalmbricas, generalmente, vienen de los puntos de acceso no autorizados, aquellos instalados sin el conocimiento de los administradores de la red, o que operan con las funcionalidades de proteccin deshabilitadas (que es la configuracin por omisin en los dispositivos inalmbricos). Estos hoyos en la seguridad, pueden ser aprovechados por el personal no autorizado (hackers), que en caso de asociarse con el punto de acceso, ponen en riesgo no nicamente la infraestructura inalmbrica, sino tambin la red almbrica a la cual se conecta. Estas fallas en la seguridad de redes tienen un impacto econmico valorado en millones de dlares, no slo por las prdidas originadas debido al uso ilegal de la informacin sino tambin por los efectos negativos en la reputacin de las empresas atacadas. La seguridad de redes inalmbricas es hoy un elemento crtico para las empresas; las redes son el vehculo de comunicacin entre clientes, empleados y proveedores. Y el que la red sea segura permitir que la
72 informacin, el activo ms importante de las empresas, se encuentre segura. Por esto, debido al valor estratgico de la red y su importancia para los negocios y al valor de la informacin que circula por ella, la red se ha convertido en objetivo de todo tipo de ataques por parte de personas inescrupulosas o empleados resentidos. Por todas estas razones, las empresas deben reforzar sus sistemas de seguridad de redes. El plan de recomendaciones sugeridas a la Compaa WiNet, y sustentada sobre una estrategia de implantacin, definitivamente depender de la disponibilidad y necesidades de la Gerencia de Seguridad de Informacin en la aplicacin de las mismas. No obstante, el esquema planteado no busca la incorporacin de componentes dentro de la red, sino aprovechar las facilidades de seguridad de los sistemas existentes, lo cual minimizara los costos asociados al proyecto. El desarrollo de este tipo de trabajos en trminos generales mejora rpida y efectivamente los niveles de calidad en la prestacin de los servicios de tecnologa ofrecidos por la Compaa a los clientes internos y externos, no solamente desde el punto de vista de mejora del rendimiento, sino tambin asegurando la informacin, su integridad, y confiabilidad y dedicando los recursos para lo que estn realmente planificados.
73
RECOMENDACIONES
Indudablemente y dados los beneficios asociados a las redes inalmbricas, se hace necesario iniciar la planificacin de una estrategia de seguridad en la Compaa WiNet, la cual iniciara con la aplicacin del conjunto de recomendaciones descritas anteriormente, y cuyo seguimiento y supervisin debera asignarse a una estructura organizacional creada para la atencin y control de la seguridad en las redes inalmbricas. Adicionalmente, recomendamos definir un plan de revisin de las restantes redes inalmbricas implantadas en la organizacin y que no formaron parte de la revisin y que en definitiva permitira minimizar el riesgo del acceso a la informacin a travs de las redes inalmbricas. Las acciones recomendadas tendrn un efecto mnimo sobre los usuarios finales, ms sin embargo algunas polticas de seguridad definidas podrn impactar, mientras se difunde la cultura de seguridad en la organizacin, la cual traer beneficios a la Compaa a mediano plazo.
74
GLOSARIO DE TRMINOS
A AAA. Abreviatura de Autenticacin, Autorizacin y Auditora, sistemas en redes IP para a qu recursos informticos tiene acceso el usuario y rastrear la actividad del usuario en la red. Acceso. Con respecto a la privacidad, es la habilidad de un individuo para ver, modificar y refutar lo completa y precisa que pueda ser la informacin personal identificable reunida sobre l o ella. AES Estndar de Cifrado Avanzado. Tambin conocido como Rijndael, algoritmo de encriptacin simtrica de 128 bit. Amenaza. Situacin o evento con que puede provocar daos en un sistema. Antivirus. Es el software diseado especficamente para la deteccin y prevencin de virus conocidos. Ataque de negacin de servicio (DoS, por sus siglas en ingls). Ataque a una red diseada para deshabilitarla mediante congestionamientos intiles de trfico. Ataque Activo. Ataque al sistema para insertar informacin falsa o corromper la ya existente. Ataque de Fuerza Bruta. Mtodo para romper la seguridad va contrasea probando todas las combinaciones posibles de palabras. Un ataque de fuerza bruta tericamente no puede ser resistido por ningn sistema, siempre y cuando se disponga del tiempo suficiente y del equipo adecuado. As, las claves lo suficientemente largas (y mejor an si combinan caracteres alfanumricos) ponen una limitacin fsica, pero no lgica, al xito de este tipo de ataque. Autenticacin. Es el proceso de verificar que alguien o algo es quien o lo que dice ser.
75 Autorizacin. Con referencia a la computacin, especialmente en los equipos remotos en una red, es el derecho otorgado a un individuo o proceso para utilizar el sistema y la informacin almacenada en ste. B C
Cliente inalmbrico. Todo dispositivo susceptible de integrarse en una red wireless. Cifrado. Traduccin de datos a un cdigo secreto. El cifrado es la manera ms eficaz de proteger datos, ya que para leer los archivos cifrados es necesario tener acceso a una clave secreta o contrasea que te permita descifrar la informacin. Los datos no cifrados se denominan texto sin formato, mientras que los cifrados se conocen como texto cifrado. Existen dos tipos principales de cifrado: cifrado asimtrico (tambin llamado cifrado por clave pblica) y cifrado simtrico. Clave de encriptacin. Serie de nmeros utilizados por un algoritmo de encriptacin para transformar texto sin encriptar que se puede leer directamente en datos encriptados o cifrados y viceversa.
Confidencialidad. Calidad de secreto, que no puede ser relevado a terceros o personas no autorizadas.
Control de Accesos. Se utiliza para restringir el acceso a la red. El permiso o la denegacin de acceso puede realizarse en funcin de la direccin IP, el nombre del dominio, nombre de usuario y password, certificados del cliente, protocolos de seguridad de redes, etc.
Cortafuegos. Software y hardware de seguridad encargado de chequear y bloquear el trfico de la red. Sistema que se coloca entre una red e Internet para asegurar que todas las comunicaciones se realicen conforme a las polticas de seguridad de la organizacin que lo instala.
D
76
DSSS Espectro Amplio mediante Secuencia directa. A diferencia de la tcnica de transmisin de Espectro Amplio (Spread Spectrum) FHSS, DSSS no precisa enviar la informacin a travs de varias frecuencias sino mediante transmisiones; cada transmisor agrega bits adicionales a los paquetes de informacin y nicamente el receptor que conoce el algoritmo de estos bits adicionales es capaz de descifrar los datos. Es precisamente el uso de estos bits adicionales lo que permite a DSSS transmitir informacin a 10Mbps y una distancia mxima entre transmisores de 150 metros. Un estndar que utiliza DSSS es IEEE 802.11b.
E
EAP Protocolo de Autenticacin Extensible. Al utilizar EAP, se pueden agregar varios esquemas de autenticacin, entre los cuales se incluyen tarjetas de identificacin, contraseas de un solo uso, autenticacin por clave pblica mediante tarjetas inteligentes y otros. J unto con los mtodos de autenticacin EAP de alto nivel, es un componente tecnolgico crtico para las conexiones seguras a travs de una red privada virtual (VPN), puesto que ofrece mayor seguridad frente a ataques fsicos o de diccionario y de investigacin de contraseas, que otros mtodos de autenticacin como CHAP.
Estndar. Norma que se utiliza como punto de partida para el desarrollo de servicios, aplicaciones, protocolos, etc
F
FHSS Espectro Amplio mediante Saltos de Frecuencia. Primer desarrollo de la tcnica de transmisin del Espectro Amplio (Spread Spectrum) que, al igual que Ethernet, divide los datos en paquetes de informacin pero que, por motivos de seguridad, para dificultar su interceptacin por terceros, los enva a travs de varias frecuencias (Hopping Pattern) seleccionadas al azar y que no se superponen entre s. Para llevar a cabo la transmisin adems es necesario que tanto el aparato emisor como el receptor coordinen este Hopping Pattern.
Firmware. Software escrito en la memoria de slo lectura. El firmware es una combinacin de software y hardware. ROMs, PROMs e EPROMs que tienen datos o programas grabados dentro son firmware.
77
G Gateway. O compuerta es un programa o equipo que se encarga de traducir la informacin contenida en dos protocolos diferentes.
H Hash. Un valor hash, tambin conocido como message digest, es un nmero generado a partir de una cadena de texto. El hash es sustancialmente ms pequeo que el texto en s, y es generado por una frmula de tal forma que sea poco probable que algn otro texto produzca el mismo valor. Los hashes juegan un papel crucial en la seguridad donde se emplean para asegurar que los mensajes transmitidos no han sido manipulados. I IEEE Instituto de Ingenieros Elctricos y Electrnicos. Formada a fecha de julio de 2003 por 377.000 miembros en 150 pases. Cuenta con 900 estndares activos y 700 en desarrollo. Internet (De inter, internacional y net, en ingls, red). Todas las computadoras del mundo conectadas entre si. Como si se tratara de una enredadera o red. En su primera etapa la conexin de las computadoras es a travs de la red telefnica existente. En su ltima etapa la conexin ser por medio de fibra ptica, si es que no aparecen tecnologas que le permitan hacerlo va inalmbrica. IPsec - IP Security. Conjunto de protocolos desarrollado por el IETF para soportar intercambio seguros de paquetes a nivel IP donde el emisor y receptor deben compartir una llave pblica. Ampliamente extendido para la implementacin de Redes Privadas Virtuales (VPNs), soporta dos modos de encriptacin: Transporte y Tnel. El primero slo encripta la parte relativa a los de datos (payload) de cada paquete, pero deja la cabecera intacta. Por su parte, el modo Tnel, ms seguro, encripta todo. ISO 17999. Estndar para la gestin de la seguridad de la informacin.
78 J, K
L
LAN. Red de rea Local Red informtica que cubre que rea relativamente pequea (generalmente un edificio o grupo de edificios). La mayora conecta puestos de trabajo (workstations) y PCs. Cada nodo (ordenador individual) tiene su propia CPU y programas pero tambin puede acceder a los datos y dispositivos de otros nodos as como comunicarse con stos (e- mail)... Sus caractersticas son: Topologa en anillo o lineal, Arquitectura punto a punto o cliente/servidor, Conexin por fibra ptica, cable coaxial o entrelazado, ondas de radio.
Listas de Control de Acceso. Una lista secuencial con condiciones permisivas y prohibitivas. La lista define las conexiones permitidas a pasar por un dispositivo, normalmente un ruteador. Las listas de control de acceso actan como un mtodo crudo de dar acceso a una red.
Log (Log File). Archivo creado por un servidor que contiene toda la informacin relativa al acceso a un sitio.
M
N
O
OFDM Orthogonal Frequency Divisin Multiplexing. Tcnica de modulacin FDM (empleada por el 802.11 wi-fi) para transmitir grandes cantidades de datos digitales a travs de ondas de radio. OFDM divide la seal de radio en mltiples subseales ms pequeas que luego sern transmitidas de manera simultnea en diferentes frecuencias al receptor. OFDM reduce la cantidad de ruido en las transmisiones de la seal.
P
Payload. Efectos destructivos, nocivos o molestos que cualquier virus puede producir cuando ya ha tenido lugar su infeccin, adems de los efectos secundarios de dicha infeccin. (cambios en la configuracin del
79 sistema, reenvo de e-mail, ejecucin del virus en el arranque del sistema o de Windows,)
Perfil de usuario. Configuraciones que definen las preferencias de personalizacin de un usuario en particular, tales como las configuraciones de escritorio, conexiones de red persistentes, informacin personal identificable, utilizacin de un sitio Web y otros comportamientos y datos demogrficos.
PEAP Protected Extensible Authentication Protocol. Protocolo del tipo EAP desarrollado conjuntamente por Microsoft, RSA Security y Cisco para la transmisin de datos autenticados, incluso claves, sobre redes inalmbricas 802.11. Autentica clientes de red wi-fi empleando slo certificados del lado del servidor creando un tnel SSL/TLS encriptado entre el cliente y el servidor de autenticacin. El tnel luego protege el resto de intercambios de autenticacin de usuario.
PKI Infraestructura de Clave Pblica. Sistema de certificados digitales, Autoridades Certificadores y otras entidades de registro que verifican y autentican la validez de cada una de las partes implicadas en una transaccin va Internet. Los estndares PKI siguen evolucionando, aunque se estn implementando de forma generalizada como elemento necesario del comercio electrnico. La infraestructura de claves pblicas se llama tambin PKI.
Plataforma (Platform). El sistema operativo de la mquina, tal como Windows 95, Windows NT, UNIX, LINUX, etc.)
Poltica de seguridad: 1. Conjunto de estatutos que describen la filosofa de una organizacin respecto a la proteccin de su informacin y sistemas informticos. 2. Conjunto de reglas que ponen en prctica los requisitos de seguridad del sistema.
Proteccin. Trmino que se refiere a las tcnicas usadas para evitar la lectura y el dao intencional de los datos guardados en un computador. La mayora de las medidas de proteccin exigen el cifrado de los datos y el uso de contraseas.
Protocolo (Protocol). El conjunto de reglas que permite intercambiar datos entre dos mquinas.
Puerto. Un punto para realizar una conexin lgica por medio de TCP/IP.
80 Punto de Acceso (AP). Dispositivo inalmbrico central de una WLAN que mediante un sistema de radio frecuencia (RF) se encarga de recibir informacin de diferentes estaciones mviles bien para su centralizacin, bien para su enrutamiento.
Q
QoS (s). Calidad de Servicio.
R
RADIUS Remote Authentication Dial In User Service. Sistema de autenticacin y accounting empleado por la mayora de proveedores de servicios de Internet (ISPs) si bien no se trata de un estndar oficial. Cuando el usuario realiza una conexin a su ISP debe introducir su nombre de usuario y contrasea, informacin que pasa a un servidor RADIUS que chequear que la informacin es correcta y autorizar el acceso al sistema del ISP si es as.
Red Privada Virtual VPN. Red de informacin privada que hace uso de una red pblica, como Internet, al cifrar informacin en un nodo y utilizar procedimientos de seguridad que proporcionan un tnel a travs del cual la informacin puede pasar a otro nodo.
S
Seguridad. Es la disciplina, tcnicas y herramientas diseadas para ayudar a proteger la confidencialidad, integridad y disponibilidad de informacin y sistemas
Servidor (Server). Mquina conectada a otras que ejecuta una accin a solicitud de las otras (clientes).
SMTP (Simple Mail Transfer Protocol o Protocolo Sencillo de transferencia de correo). El protocolo con el que se transmite un mensaje de correo electrnico de una mquina a otra.
Sniffer. Programa o dispositivo capaz de leer los datos transmitidos por una red. Los programas de espionaje informtico se pueden usar con fines
81 legtimos de gestin de la red y para robar informacin de la red. En las redes TCP/IP en las que espan la informacin de los paquetes, suelen recibir el nombre de programas de espionaje informtico de paquetes o packet sniffers.
Spoofing. Tcnica basada en la creacin de tramas TCP/IP utilizando una direccin IP falseada; desde su equipo, un atacante simula la identidad de otra mquina de la red (que previamente ha obtenido por diversos mtodos) para conseguir acceso a recursos de un tercer sistema que ha establecido algn tipo de confianza basada en el nombre o la direccin IP del host suplantado.
SSID. Identificador de red inalmbrica, similar al nombre de la red pero a nivel WI-FI.
T
TCP/IP. Tomado de la expresin en ingls Transmission Control Protocol/Internet Protocol (Protocolo de control de transmisiones y protocolo de la Internet). Es el conjunto de Protocolos que definen la comunicacin Internet.
TKIP Protocolo de Integridad de Clave Temporal. Cifra las llaves utilizando un algoritmo Hash y, mediante una herramienta de chequeo de integridad, asegura que las llaves no han sido manipuladas.
TLS Transport Layer Security. Protocolo del tipo EAP que garantiza la privacidad y la seguridad de datos entre aplicaciones cliente/servidor que se comunican va Internet
U
V
Virus. Programa o parte de un cdigo que se carga secretamente en tu computadora, por lo general a travs de un documento adjunto a un mensaje de correo electrnico, y se ejecuta sin tu conocimiento.
82 Vulnerabilidades: Debilidades en un sistema que pueden ser utilizadas para violar las polticas de seguridad.
W
WAN - Red de rea Amplia. Tipo de red compuesta por dos o ms redes de rea local (LANs) conectas entre si va telfono (generalmente digital).
Warchalking. Es la prctica de dibujar en paredes o aceras una serie de smbolos para indicar a otros la proximidad de un acceso inalmbrico.
WEP - Wired Equivalent Privacy. Protocolo para la transmisin de datos segura. La encriptacin puede ser ajustada a 128 bits, 64 bits o deshabilitada. La configuracin de 128 bits da el mayor nivel de seguridad. Tambin hay que recordar que todas las estaciones que necesiten comunicarse deben usar la misma clave para generar la llave de encriptacin.
Wi-Fi. Abreviatura de Wireless Fidelity. Es el nombre comercial con que se conoce a todos los dispositivos que funcionan sobre la base del estndar 802.11 de transmisin inalmbrica. En lenguaje popular: Redes wifi.
WLAN Red de rea Local Inalmbrica. Tambin conocida como red wireless. Permite a los usuarios comunicarse con una red local o a Internet si estar fsicamente conectado. Opera a travs de ondas y sin necesidad de una toma de red (cable) o telfono.
WPA Acceso Wi-Fi Protegido. Estndar Wi-Fi, aprobado en abril 2003, desarrollado para mejorar las caractersticas de seguridad del estndar WEP y permitir su implementacin en productos inalmbricos que actualmente soportan WEP, pero la tecnologa incluye dos mejoras con respecto a este ltimo: emplea el protocolo de integridad de claves TKIP y la autenticacin de usuarios se realiza mediante el protocolo EAP.
X, Y, Z
83
REFERENCIAS BIBLIOGRAFICAS
ACUA BALESTRINI, Mirian. Como se elabora el proyecto de investigacin. Sexta Edicin. BL Consultores Asociados, Caracas. Venezuela, 2002.
HERNNDEZ SAMPIERI, Roberto, Carlos FERNNDEZ COLLADO y Pilar BAPTISTA LUCIO. Metodologa de la Investigacin. Segunda Edicin. Mc Graw Hill. Espaa, 1991.
FUENTES ELECTRONICAS
Tipos de Investigacin [1]http://medusa.unimet.edu.ve/faces/fpag40/criterios.htm#TIPOS%20DE%2 0INVESTIGACIN [2]http://www.une.edu.ve/inproasune/esquema_tesis.htm http://www.train4you.com/UNY/programas/metodologia_de_la_investigacion .html
Cisco Wireless LAN Security Overview http://www.cisco.com/en/US/products/hw/wireless/ps430/prod_brochure091 86a00801f7d0b.html
Seguridad en redes inalmbricas 802.11 http://www.icesi.edu.co/es/publicaciones/publicaciones/contenidos/sistemas _telematica/3/jamdrid-seguridad_redes_inalambricas.pdf
Seguridad de las redes inalmbricas: Wardriving y Warchalking http://www.hispasec.com/unaaldia/1486
WirelessSniffer http://wiki.personaltelco.net/index.cgi/WirelessSniffer?action=show&redirect = Como reforzar la seguridad Inalmbrica LAN http://www.symantec.com/region/mx/enterprisesecurity/content/framework/L AM_3245.html
Configuracin de redes inalmbricas IEEE 802.11 http://www.netscum.dk/latam/technet/productos/windows/windowsxp/wifisoh o.mspx http://www.cnice.mec.es/Configuracin de Redes Inalmbricas Observatorio Tecnolgico Ministerio de Educacin y Ciencia.htm
Polticas de seguridad para Redes Inalmbricas http://contactodiario/seccion.asp?pid=1&sid=207¬id=2151