Академический Документы
Профессиональный Документы
Культура Документы
APLICACIONES DE LA CRIPTOGRAFIA
En la actualidad que vivimos hoy en dia, la informacin es un bien que cobra cada vez
mayor importancia, lo cual involucra que sea apreciado por delincuentes que tienen perfiles
muy caracteristicos.
Su valor es tal que, con mayor regularidad encontramos delitos que tienen como objeto el
robo de datos o la manipulacin de los mismos, con las logicas consecuencias que estos
hechos pueden acarrear. Debido a esta situacion, organismos estatales y privados en todo el
mundo, tienen como objetivo el desarrollo constante de sistemas de seguridad que hagan
mas dificil el accionar de los delincuentes.
Cualquiera de nosotros, cuando hacemos operaciones bancarias por internet (Home
Banking), compramos productos en sitios de subastas online (EBay, MercadoLibre,
Deremate), nos logueamos en alguna pagina de internet ingresando nuestro nombre de
usuario y contrasea, etc, enviamos informacin al ciberespacio, la cual, de ser interceptada
por un pirata informatico pondra en serio peligro nuestro patrimonio.
Este trabajo trata acerca de los medios que se implementan para hacer ilegible la
informacion enviada al ciberespacio y que la misma no sea de utilidad en el caso de que
caiga en las manos de un pirata informatico.
Autenticacin: permite a quien recibe un mensaje, estar seguro que quien lo enva
es quien dice ser.
Confidencialidad: asegura que nadie ley el mensaje desde que parti. Slo el
destinatario podr leerlo.
Para entender como lograr esto detallaremos tres conceptos bsicos de criptografa:
A. Algoritmos hash en un sentido
Pagina n 6
Hash
Un hash, tambin denominado valor hash o sntesis del mensaje, es un tipo de
transformacin de datos. Un hash es la conversin de determinados datos de cualquier
tamao, en un nmero de longitud fija no reversible, mediante la aplicacin a los datos de
una funcin matemtica unidireccional denominada algoritmo hash. La longitud del valor
hash resultante puede ser tan grande que las posibilidades de encontrar dos datos
determinados que tengan el mismo valor hash son mnimas. Supongamos que quiero
hashear el siguiente mensaje: mi mam. Quiero que el mensaje se resuma en un solo
nmero (valor hash). Podra por ejemplo, asociar a cada carcter ASCII su nmero (ASCII
code number) asociado:
"m i <espacio> m a m a"
109 + 105 + 32 + 109 + 97 + 109 + 97 = 658
As el mensaje se "resumi" (digest) en un solo nmero. Notemos que sta es una funcin
en una direccin (no reversible). No hay manera de que alguien adivine el mensaje mi
mam a partir del 658 a menos que pruebe todos los posibles mensajes (infinitos) (y
Pagina n 7
calcule sus valor hash (digest). An as tendra muchsimos con 658 y debera adivinar
cul es el correcto (imposible). Destacamos que la funcin (algoritmo) hash usada fue de lo
ms simple. En la vida real son usados algoritmos mucho ms complejos. Podriamos por
ejemplo, usar ese nmero para verificar si un mensaje enviado fue modificado en el
camino: el remitente genera con un algoritmo un valor hash del mensaje, lo encripta y enva
el hash encriptado junto con el mensaje. A continuacin, el destinatario desencripta el hash,
produce otro hash a partir del mensaje recibido y compara los dos hashes. Si son iguales, es
muy probable que el mensaje se transmitiera intacto. Aqu supusimos que ambos conocen la
llave para encriptar/desencriptar.
MD5. MD5 es un algoritmo hash diseado por Ron Rivest que produce un valor
hash de 128 bits. El diseo de MD5 est optimizado para los procesadores Intel. Los
elementos del algoritmo se han visto comprometidos, lo que explica su menor uso.
SHA-1. Al igual que el algoritmo de llaves pblicas DSA, Secure Hash Algorithm-1
(SHA-1) fue diseado por la NSA e incorporado por el NSIT en un FIPS para datos
de hash. Produce un valor hash de 160 bits. SHA-1 es un conocido algoritmo hash
de un sentido utilizado para crear firmas digitales.
Pagina n 8
Existen muchos algoritmos para la encriptacin con llaves simtricas, pero todos tienen el
mismo objetivo: la transformacin reversible de texto sin formato (datos sin encriptar,
tambin denominado texto no encriptado) en texto encriptado.
El texto encriptado con una llave secreta es ininteligible para quien no tenga la llave para
descifrarlo. Como la criptografa de claves simtricas utiliza la misma llave tanto para la
encriptacin como para desencriptar, la seguridad de este proceso depende de la posibilidad
de que una persona no autorizada consiga la clave simtrica. Esta es la razn por la que
tambin se denomina criptografa de clave secreta. Quienes deseen comunicarse mediante
criptografa de claves simtricas deben encontrar algn mecanismo para intercambiar de
forma segura la clave antes de intercambiar datos encriptados.
El criterio principal para valorar la calidad de un algoritmo simtrico es el tamao de su
llave. Cuanto mayor sea el tamao de la llave, habr que probar ms combinaciones de
diferentes llaves para encontrar la correcta que desencripte los datos.
Cuantas ms claves sean necesarias, ms difcil ser romper el algoritmo. Con un buen
algoritmo criptogrfico y un tamao adecuado de clave, es imposible, desde un punto de
vista informtico, que alguien invierta el proceso de transformacin y obtenga el texto sin
formato del texto encriptado en una cantidad de tiempo razonable.
Algoritmos de claves simtricas:
Pagina n 10
RSA: para las firmas digitales y los intercambios de llaves. Hoy en da, los
algoritmos criptogrficos Rivest-Shamir-Adleman (RSA) son los algoritmos de
llave pblica ms utilizados, especialmente para los datos que se envan a travs de
Internet. El algoritmo toma su nombre de sus tres inventores: Ron Rivest, Adi
Shamir y Leonard Adleman. La seguridad del algoritmo RSA se basa en la
dificultad (en trminos de velocidad y tiempo de procesamiento) de comparacin de
nmeros altos. El algoritmo RSA es nico entre los algoritmos de llaves pblicas
utilizados habitualmente ya que puede realizar operaciones tanto de firma digital
como de intercambio de llaves. Los algoritmos criptogrficos RSA son compatibles
con Microsoft Base Cryptographic Service Provider (Microsoft Base CSP1 ) y con
Microsoft Enhanced Cryptographic Service Provider (Microsoft Enhanced CSP2 ),
y estn integrados en numerosos productos software, incluido Microsoft Internet
Explorer.
Pagina n 11
calcular logaritmos discretos. Este algoritmo slo puede utilizarse para realizar
operaciones de firma digital (no para la encriptacin de datos). Microsoft CSP es
compatible con el algoritmo DSA.
Certificado
Registracin
Inscripcin de certificados
Revocacin de certificados
Certificado
Un certificado de claves pblicas, a menudo denominado simplemente certificado, se
utiliza para autenticar y asegurar el intercambio de informacin en Internet, extranets e
intranets. Al emisor y firmante del certificado se le conoce como entidad emisora de
certificados (Certification Authority, CA), que se describe en la siguiente seccin. La
entidad a la que se le emite el certificado es el tema (subject) del certificado.
Un certificado de claves pblicas es una declaracin firmada digitalmente que vincula el
valor de una clave pblica a la identidad del subject (persona, dispositivo o servicio) que
posee la clave privada correspondiente. Al firmar el certificado, la entidad emisora de
certificados (CA) atestigua que la clave privada asociada a la clave pblica del certificado
est en posesin del subject indicado en el certificado.
Los certificados pueden emitirse con objetivos diferentes, entre ellos la autenticacin de
usuarios Web, la autenticacin de servidores Web, la seguridad del correo electrnico con
Secure/Multipurpose Internet Mail Extensions (S/MIME), IP Security (IPSec), Secure
Sockets Layer/Transaction Layer Security (SSL/TLS) y firma de cdigo. Si por ejemplo en
una organizacin se utiliza la entidad emisora de certificados empresarial de Windows
2000, los certificados podrn utilizarse para iniciar sesin en dominios de Windows 2000.
Los certificados tambin pueden emitirse de una entidad emisora de certificados (CA) a
otra con el fin de establecer una jerarqua de certificados.
En el certificado, el subject puede especificarse con varios nombres. Como nombre
principal de usuario (para certificados de usuarios finales), nombre de directorio, nombre de
correo electrnico, nombre DNS, etc. Los certificados tambin contienen la siguiente
informacin:
Pagina n 13
Los usos que se darn al par de claves (la clave pblica y su clave privada asociada)
identificadas en el certificado.
Los certificados proporcionan un mecanismo para establecer una relacin entre una clave
pblica y la entidad que posee la clave privada correspondiente. El formato ms comn de
los certificados utilizados actualmente se define en la versin 3 del estndar internacional
ITU-T X.509 (X.509v3). RFC 2459, un perfil de X.509v3, clarifica los campos definidos
en X.509v3. La PKI de Windows 2000 utiliza el estndar X.509v3. Los certificados de
Windows estn programados de acuerdo a las aclaraciones especificadas en RFC 2459,
pero an as se les denomina certificados X.509v3. ITU-T X.509 no es la nica forma de
certificacin. Por ejemplo, el correo electrnico seguro Pretty Good Privacy (PGP) se basa
en una forma propia de certificados.
Pagina n 14
mismo para que lo utilice como una credencial de seguridad dentro de una PKI. Puesto que
las diferentes entidades emisoras de certificados utilizan mtodos variados para comprobar
el enlace entre la clave pblica y el subject, es importante comprender las directivas de la
entidad emisora de certificados (explicadas a continuacin) antes de decidirse a confiar en
dicha autoridad.
Una entidad emisora de certificados puede ser otra entidad como VeriSign. Por otra parte,
puede ser una entidad emisora de certificados creada dentro de su organizacin, por
ejemplo mediante la instalacin de Servicios de Certificate Server de Windows 2000. Cada
entidad emisora de certificados puede pedir distintos requisitos de prueba de identidad a los
solicitantes de certificados. Por ejemplo: una cuenta de dominio de Windows 2000, una
insignia de identificacin de un empleado, una licencia de conductor, una solicitud con
alguna certificacin o una direccin fsica.
Entidad emisora de certificados raz (root CA). El cliente confa plenamente en una
entidad emisora de certificados raz, que ocupa la posicin ms alta en una jerarqua
de certificados. Todas las cadenas de certificados terminan en una entidad emisora
de certificados raz. La entidad raz debe firmar su propio certificado porque no
existe ninguna entidad emisora de certificados superior en la jerarqua de
certificados.
Todas las entidades emisoras de certificados con autofirma son entidades raz, ya que la
cadena de certificados termina cuando se alcanza una entidad emisora de certificados con
autofirma.
Pagina n 16
en lnea puede publicar la informacin actual acerca del estado de un certificado. El estado
de revocacin publicado desde una entidad emisora de certificados sin conexin debe
distribuirse a una ubicacin en lnea mediante un mtodo externo.
Las entidades emisoras ms vulnerables son aquellas que se encuentran en lnea, su
seguridad fsica es baja y firman un gran nmero de certificados. Por tanto, cuando se
establezcan las entidades emisoras de certificados raz y las subordinadas, se debe lograr un
equilibrio entre la seguridad y la disponibilidad. Lo ms recomendable es establecer una
jerarqua de tres niveles que incluya una entidad emisora de certificados raz y una entidad
de directiva subordinada, ambas independientes y sin conexin, y otra entidad de empresa
en lnea que emita certificados a la subordinada.
Entidades emisoras raz sin conexin (offline root CA). Disee la jerarqua de
entidades emisoras de certificados otorgando a las entidades raz la seguridad ms
elevada. Mantenga una entidad emisora raz sin conexin en un lugar seguro y
utilcela
para
firmar
nicamente
un
nmero
reducido
de
certificados.
certificados subordinadas no son realmente desechables, pero pocas son las ventajas
que se obtienen atacndolas, y pueden bloquearse rpida y fcilmente si la revoca
una entidad superior.
Registracin
Registrarse es el proceso por el cual los subjects se dan a conocer a una entidad emisora
de certificados (CA). El registro puede estar implcito en el acto de solicitud de un
certificado, puede llevarse a cabo mediante otra entidad de confianza (como una estacin de
inscripcin de tarjetas inteligentes) que avale el subject o bien puede llevarse a cabo como
informacin resultante recibida de una fuente de confianza (como un administrador de
dominio). Una vez registrado con la entidad emisora, se emite un certificado al subjects
siempre y cuando el certificado cumpla con los criterios establecidos en la directiva de
entidades emisoras de certificados.
clave pblica y el subject y, a continuacin, firma la solicitud generada por el subject para
probar a la entidad emisora de certificados que la autoridad de registro est garantizando el
enlace. En esencia, el uso de la autoridad de registro es una forma de delegacin
administrativa ya que la entidad emisora de certificados delega a la autoridad de registro la
comprobacin del enlace entre una clave pblica y una entidad.
La autoridad de registro genera certificados que establecen un fuerte enlace entre el tema y
la clave pblica. En el sistema operativo Windows 2000, Servicios de Certificate Server
utiliza la autenticacin de dominio para identificar al usuario que efecta solicitudes para la
mayora de los tipos de certificados. Un autoridad de registro utiliza la estacin de
inscripcin de tarjetas inteligentes de Windows 2000, que crea certificados de inicio de
sesin con tarjetas inteligentes. La autoridad de registro valida la identidad del destinatario
de la tarjeta inteligente, lo que proporciona un enlace ms fuerte entre el subject y la clave
pblica que la que se puede conseguir si slo se utiliza autenticacin de dominio.
Revocacin de certificados
Los certificados tienen una duracin especfica, pero las entidades emisoras de certificados
pueden reducir esta duracin mediante el proceso conocido como revocacin de
certificados. La entidad emisora de certificados publica una lista de revocacin de
certificados (CRL) con los nmeros de serie de aquellos certificados que considera que ya
no pueden utilizarse ms. La duracin establecida para las listas de revocacin de
certificados suele ser mucho ms corta que la que se establece para los certificados. La
entidad emisora de certificados tambin puede incluir en la CRL la razn por la que se
revoc el certificado. Tambin incluye una fecha a partir de la cual se aplica este cambio de
estado.
Para revocar un certificado se pueden indicar las razones siguientes:
Cambio de afiliacin
Reemplazo
Pagina n 20
SSH
Desarrollado por la firma SSH Communications Security Ltd., SSH (Secure SHell o shell
seguro) es un servicio que permite conectarse a un equipo remoto con el fin de ejecutar
comandos en el mismo. Surgi como un reemplazo de servicios inseguros como telnet,
rlogin, rcp,rsh y rdist.
Este servicio, que realiza las conexiones sobre el puerto 22, se ocupa de brindar
confidencialidad e integridad de la informacin que se transmite puesto que inicia una
Pagina n 21
Pagina n 22
Fig.1
Pagina n 23
Los diferentes mtodos utilizados por el protocolo para garantizar la seguridad del mensaje
incluyen un mtodo de firma, uno de codificacin, y comprobaciones del remitente y la
autenticidad del mensaje.
Un mensaje S-HTTP combina el cuerpo codificado del mensaje y la cabecera, que puede
incluir, la informacin sobre cmo puede decodificar el destinatario el cuerpo del mensaje y
cmo debera procesarlo una vez descifrado el texto.
Para crear un mensaje S-HTTP, el servidor integra las preferencias de seguridad del
servidor con las del cliente. Por ejemplo, si el servidor est configurado para utilizar el
Estndar 7 de Codificacin mediante Clave Pblica (PKCS-7) y la lista de codificacin del
cliente incluye este protocolo, el servidor lo utilizar para codificar el mensaje. Al existir
coincidencia en alguno de los mtodos, el servidor lo utiliza para codificar el mensaje en
texto plano y convertirlo en un mensaje S-HTTP. Para recuperar el mensaje, el cliente
realiza el proceso contrario, es decir, evala que la transmisin coincida con sus propias
preferencias criptogrficas. Si no es as, intentar decodificarlo utilizando las opciones
criptogrficas del servidor (inicialmente el servidor y el cliente mantienen una conversacin
donde, por acuerdo el servidor afirma las operaciones criptogrficas que realizar en el
mensaje). Una vez que encuentra el estndar de codificacin, decodifica el mensaje
mediante alguna combinacin de claves entre remitente y destinatario. Cuando se haya
decodificado el mensaje se muestra en el explorador Web el cdigo HTTP.
Pagina n 24
enviado (en segundo plano) su propia clave pblica y el sistema criptogrfico que emple,
para que el servidor lo sepa y lo utilice. Una vez recibida la clave del cliente, el servidor
genera una clave de sesin (su clave privada encriptada con la pblica del cliente) y se la
enva a ste para que le pueda enviar mensajes seguros.
Pagina n 25
Fig.2
Pagina n 26
Pagina n 27
Fig.3
Pagina n 28
cliente recibe la respuesta, enva otra peticin al servidor. Ahora el cliente codifica esta
segunda peticin con su clave pblica, ahora que el cliente ya la conoce. La segunda
peticin del cliente le indica al servidor que enve la clave de sesin que utilizarn para la
comunicacin. A su vez, el servidor devuelve la clave de sesin, que codifica con la clave
pblica del cliente.
Una vez que el cliente recibi la clave de sesin, utilizar esta para codificar toda
informacin que se transmita. Ver Figura 4.
Fig.4
Las transmisiones que utilizan SSL permanecen activas hasta que el explorador o el
servidor cierran la conexin (en general cuando el explorador solicita una URL diferente).
Pagina n 29
Para saber si un documento proviene de un sitio seguro, debemos mirar el campo donde
escribimos las URLs y observar una s tras el protocolo http , es decir que el sitio en
cuestin comenzar con https:// . Adems, en el momento de entrar en un sitio seguro, en
Internet Explorer se podr visualizar un candadito amarillo cerrado en la parte inferior
izquierda del navegador.
En 1996, Netscape Communications Corp. mand el SSL a la IETF, organismo que se
encargara de su estandarizacin. El resultado fue TLS (Transport Layer Security). Los
cambios hechos a SSL fueron pequeos pero, sin embargo resultaron suficientes para que
SSL versin 3 y TLS no puedan interoperar. Lo que se busc es obtener un protocolo con
claves ms fuertes que sea ms difcil de criptoanalizar. La versin TLS 1.0 se la conoce
como SSL 3.1. Si bien las primeras implementaciones aparecieron en 1999, an no queda
claro si TLS reemplazar a SSL en la prctica, aunque es ligeramente ms fuerte.
Pagina n 30
PGP. El mensaje es encriptado con una clave de sesin de 128 bits generada aleatoriamente
la cual se encriptada con la clave de 2048 bits del destinatario.
Firma digital DSA. La clave de verificacin de firma es de 1024 bits. Esto garantiza la
integridad de un mensaje y la autenticidad de la direccin de respuesta.
SSL. El mensaje viaja a lo largo de un canal seguro donde es adicionalmente encriptado. La
longitud de la clave de encriptacin es de hasta 1024 bits.
Autenticaciones
En el caso Windows, si nos referimos a un servidor VPN se deber entender Windows 2000
Server o Windows Server 2003 con RRAS (Routing and Remote Access) activado.
Finalmente, se deber decidir si se desea que el usuario remoto pueda acceder a la Intranet
o si se lo limitar a reas especficas. En la Fig. 1, por ejemplo, solamente se da acceso al
servidor de Exchange. Se puede implementar esta restriccin de diferentes modos: en el
Server VPN, en los routers, o en las workstations y servers usando IPSec y polticas
asociadas. En servidores VPN con W2K existe la posibilidad de usar Remote Access
Policies (RAP).
Pagina n 33
Pagina n 34
autenticarse los servidores VPN entre s. Cuando se establece la conexin VPN, uno de los
servidores VPN asume el rol de cliente e inicia una conexin con otro servidor VPN.
Despus de establecida la conexin VPN, los usuarios de cada sitio puede conectarse a los
servidores como si estuvieran en la misma red local.
Cmo saben los servidores VPNs que el otro es autntico y no un impostor? De acuerdo
con el protocolo y el SO instalado en los servidores VPN, se puede basar la autenticacin
site-to-site en contraseas asociadas con cuentas de usuario creadas para cada servidor, en
llaves secretas pre-acordadas o en certificados para cada mquina emitidos por una
autoridad certificadora (CA, Certificate Authority).
Pagina n 35
Pagina n 36
Es importante conocer cules son los protocolos usados en VPNs y como se interrelacionan
con las diferentes autenticaciones posibles.
Cada una de las dos arquitecturas antes mencionadas soportan uno o ms protocolos para
establecer la VPN. Las posibilidades hoy son PPTP, L2TP/IPsec y IPsec Tnel.
Los distintos protocolos permiten diferentes algoritmos de enciptacin. A su vez diferentes
autenticaciones sern posibles en cada caso. IPsec y L2TP representan los protocolos ms
actuales y soportan autenticaciones que difieren en su nivel de riesgo. PPTP ha debido ser
corregido en las vulnerabilidades descubiertas por Counter Pane Sustems en 1998 y
representa an una opcin muy segura para requerimientos corporativos, siempre que se
implementen passwords fuertes (strong).
Pagina n 37
Pagina n 38
Esto no parece ser tan complicado si la WLAN consta de pocos dispositivos. En cambio si
se trata de un campus universitario o de una gran empresa, el trabajo de cambiar las claves
se convierte en una terrible pesadilla. Reiteramos adems que la clave WEP es la misma
clave que se utiliza para codificar el modo de autenticacin por clave compartida, por lo
que vulnerar sta en la primera etapa significa que se encontrar ya vulnerada en el proceso
de encriptacin, no resultando conveniente la combinacin clave compartida WEP.
802.1X
Si bien este estndar naci para las redes cableadas, pronto fue adoptado por la industria de
las WLAN y su uso se masific. 802.1X utiliza el Protocolo de Autenticacin Extensible
(EAP) y un servidor RADIUS para autenticar usuarios y distribuir las claves. Esta opcin
es ms bien empresarial y no hogarea aunque nada impide que dispongamos de un
servidor RADIUS en nuestro hogar o pequea oficina.
RADIUS (Remote Authentication Dial-In User Service) es un servidor destinado a la
autenticacin y acreditacin de usuarios que se conectan a una red. Su origen reside en los
proveedores de Internet. Cuando nos conectamos a uno de ellos, debemos ingresar nuestro
nombre de usuario y contrasea, el servidor contrasta dicha informacin con la que posee
de antemano y si coinciden, lograremos conectarnos.
WEP regula el acceso a la red a travs de direcciones MAC, mientras que EAP provee una
infraestructura que permite a los usuarios autenticarse frente a un servidor central basado en
claves pblicas. El servidor le pide al ACCESS POINT una prueba de identidad la cual
obtiene del usuario, acto seguido el ACCESS POINT se la enva al servidor. Cuando el
servidor prueba la identidad del cliente, enva a ste y al ACCESS POINT la clave,
cerrando una relacin de confianza entre ambos.
stas tcnicas aseguran tambin que las nuevas claves de encriptacin sean generadas y
distribuidas frecuentemente. Esto se conoce como distribucin de clave dinmica, un
Pagina n 39
elemento esencial para obtener una buena solucin de seguridad. Al expirar rpidamente el
tiempo de uso de una clave, dado su constante cambio, hace que los atacantes tengan menos
tiempo para recoger datos y deducir la clave. Existen actualmente una cantidad de variantes
de EAP las cuales se encuentran en estudio para su probable incorporacin dentro del
estndar.
Pagina n 40
Introduccin
En 1999 el Standard 802.11b fue aprobado por el IEEE (Instituto de Ingenieros Elctricos y
Electrnicos). As nacen las WLANs (Greles LANs (Local Area Networks)). Las
computadoras podan interconectarse en red con un buen ancho de banda sin tener que estar
conectadas por cables. Surgi la posibilidad de conectar mltiples computadoras en el
hogar compartiendo una conexin a Internet comn. O juegos en red que podan realizarse
sin necesidad de cables y conexiones costosas y complicadas. En la empresa la
conectividad greles y la aparicin de dispositivos ms reducidos permitan estar en
reuniones o seminarios y an poder estar realizando tareas como si estuvisemos sentados
en nuestro escritorio. Surgi una era de elegancia del trabajo en red donde con una
laptop y desde cualquier lugar es posible acceder a los recursos informticos de la empresa
o Internet.
Pero qu sucede con la seguridad y los riesgos de esta nueva tecnologa wireless
(inalmbrica). Algunos de estos riesgos son similares a aquellos en redes por cables.
Algunos estn magnificados bajo una tecnologa wireless. Algunos son nuevos. Quizs la
fuente de riesgo ms significativa en una red inalmbrica sea el hecho de que el medio
sostn de las comunicaciones, ondas electromagnticas en el aire, estn disponibles para
Pagina n 41
los intrusos, siendo equivalente a tener puertos Ethernet disponibles a cualquiera en nuestra
vereda.
Las comunicaciones inalmbricas son posibles gracias a las ondas electromagnticas que
pueden desplazarse a gran velocidad por el aire e incluso por el vaco. Estas ondas no son ni
ms ni menos que campos elctricos y magnticos que oscilan en cuadratura, es decir
perpendiculares entre s, a una frecuencia dada. Por frecuencia entendemos que lo hacen
con cierta regularidad, una cierta cantidad de veces por segundo y siempre de la misma
manera. Por ejemplo, si nos remitimos a una estacin emisora de radio FM, sta transmite
a una cierta frecuencia, digamos 105.5 MHz (se lee Mega Hertz). Su antena transmite y la
nuestra recibe campos electromagnticos que oscilan a razn de 105,5 millones de veces
en un segundo!
Este ejemplo es para que Ud. tenga una idea de lo que sucede en el aire. Pero resulta que las
redes inalmbricas que comunican datos tienen asignadas bandas de frecuencias diferentes
a las de la radio comercial AM y FM. Estas bandas son licenciadas y las emisoras deben
pagar por su uso. Las redes inalmbricas hogareas o empresariales tienen asignadas la
banda de microondas, banda en la que operan, entre otras cosas, los hornos a microondas y
algunos telfonos inalmbricos. Esta banda es de uso libre por lo que se desarrollaron
diferentes tcnicas para minimizar la interferencia de las redes con otros dispositivos que
operan libremente en dicha banda. Dentro de esta gama de frecuencias una muy tpica es la
de 2,4 GHz (Giga Hertz) cuyos campos oscilan a razn de 2.400 millones de veces por
segundo en todas las direcciones.
Una red local inalmbrica o WLAN (del ingls, Wireless Local Area Network) tiene dos
modos posibles de comunicacin entre los dispositivos:
Figura 1.
Pagina n 42
de acceso que generalmente est conectado a una red cableada como Internet o
una red corporativa. Figura 2.
Tipo de autenticacin
Antes de que cualquier otra comunicacin se lleve a cabo entre un cliente wireless y un
ACCESS POINT, ellos comienzan un dilogo. Este proceso se conoce como asociacin.
Posterior a esto existe una etapa de autenticacin donde el cliente debe acreditarse frente al
ACCESS POINT y ste debe asegurarse de que aquel es quin dice ser. Esto agrega una
proteccin extra frente al mero uso de SSID. La autenticacin puede ser de dos tipos:
autenticacin abierta.
La ms simple y por defecto es la autenticacin abierta donde cualquiera puede iniciar una
conversacin con el ACCESS POINT pues no provee seguridad alguna. Cuando se utiliza
autenticacin de clave compartida, el cliente le enva al ACCESS POINT una solicitud de
asociacin, acto seguido el ACCESS POINT le contesta envindole una cadena de texto de
desafo que el cliente debe encriptar y devolver. Si el texto fue encriptado correctamente, al
cliente se le permite comunicarse con el ACCESS POINT pudiendo pasar a la prxima
etapa de seguridad. La debilidad de esta etapa reside en el envo por parte del ACCESS
POINT de la cadena de texto en forma plana (sin encriptar). Si un atacante conoce la
cadena de texto plano y la cadena despus de haber sido encriptada, puede fcilmente
conocer la clave compartida. Como veremos a continuacin, WEP y la autenticacin de
clave compartida utilizan la misma clave para encriptar, de esta manera queda
comprometida la seguridad pues un atacante podra descifrar todo el trfico a y desde el
ACCESS POINT. Irnicamente conviene configurar el modo de autenticacin como abierto
y dejar que cualquiera acceda al ACCESS POINT, recayendo en otros mtodos que
manejen la seguridad. A pesar de que remover una etapa de seguridad pueda parecer
contradictorio, esta capa en particular entorpece la seguridad ms de lo que ayuda.
Pagina n 43
Pagina n 44
Todo esto es actualmente de fcil implementacin pues los access point actuales poseen
funciones de firewall incorporado.
Conclusiones
Si bien la seguridad al 100% no existe, todas las medidas que tomemos ayudarn a
minimizar los riesgos. A continuacin brindaremos una serie de consejos prcticos
generales que pueden ajustarse a la mayora de los casos.
Pagina n 45
De ser posible, debemos colocar nuestra WLAN detrs de un firewall si el ACCESS POINT
no incorpora funciones de tal.
Debemos escoger un SSID que no sea fcil de adivinar por el atacante, nombres largos con
caracteres alfanumricos y simblicos alternados y, por supuesto, siempre en nuestra
memoria, nunca anotado en un papelito colgado del ACCESS POINT.
Debemos habilitar WEP si no tenemos una opcin de mayor seguridad como WPA. Muchos
ACCESS POINT requieren por defecto que el modo de autenticacin sea por clave
compartida si se habilita WEP.
Debe colocar su red en modo cerrado, es decir asignando un tiempo grande a la emisin
del SSID por parte del ACCESS POINT.
Si elige WEP y su dispositivo lo permite, elija claves de la mayor cantidad de dgitos
posible. Establezca filtrado MAC e IP si es posible.
Si opta por WPA, recuerde que el modo de autenticacin est basado en un servidor central
al que el ACCESS POINT tiene acceso (servidor RADIUS), de nada sirve filtrar
direcciones MAC localmente.
Si bien hemos hecho uso de adaptadores de red y ACCESS POINTS de empresas en
particular, las configuraciones pueden ser igualmente hechas en forma similar en
dispositivos de otras marcas y/o modelos.
Rotacin de claves
La rotacin de la clave es otro mtodo que ayuda contra los defectos en WEP. En la
especificacin 802.11b existen dos claves WEP. Una es para encriptar el flujo de datos entre
el ACCESS POINT y los clientes wireless, la otra es para encriptar la difusin de mensajes
de broadcast tales como DHCP o peticiones ARP. A causa de que esta clave es idntica a la
clave esttica WEP, la empresa Cisco introdujo la idea de que sea generada dinmicamente
y que posea una vida corta. Esta caracterstica no requiere una instalacin extra pues es de
muy fcil implementacin. El administrador debe especificar en el ACCESS POINT una
cantidad de tiempo, en segundos, y cada vez que se inicialice el contador dicho ACCESS
POINT difundir una nueva clave pero encriptndola con la vieja! Con estos parmetros
no habr el tiempo suficiente para que un atacante pueda interceptar una determinada
Pagina n 46
cantidad de paquetes necesaria para corromper la clave. Este mtodo representa slo una
parte del plan de seguridad.
Las especificaciones para el armado de una WLAN fueron establecidas en 1999 por el
IEEE bajo el estndar 802.11. Uno de los estndares utilizados hoy en da es el 802.11b
que, entre tantas cosas, define una frecuencia de trabajo de 2,4 GHz, una distancia operativa
que ronda los 100 metros y una tasa de transferencia de datos de 11 Mbps (mega bits por
segundo). El estndar IEEE 802.11 y sus variantes a, b, g, h son conocidos como Wi-Fi por
Wireless Fidelity (Fidelidad inalmbrica).
El modelo de infraestructura es el ms utilizado a causa de que se implementa toda la
seguridad en torno al dispositivo central o access point. El estndar define 15 canales que
pueden ser utilizados para realizar la comunicacin. Cada placa de red ubicada en cada
computadora rastrea cada uno de los 15 canales en busca de una WLAN. Tan pronto como
los parmetros configurados en el cliente y en access point coincidan, stos iniciarn la
comunicacin y la computadora cliente pasar a formar parte de la red. Los canales son
rastreados por la placa de red y configurados en el access point. Algunos modelos slo
permiten el uso de 11 canales nicamente.
WPA
WPA, contraccin de Wi-Fi Protected Access, es un estndar Wi-Fi diseado para mejorar
la encriptacin de WEP. Fue contemplado como una solucin de seguridad que no requiera
de hardware adicional sino que presente como una solucin actualizable va software.
Diseado para contemplar las funcionalidades de 802.1X y EAP, pero agregndole mejoras
como ser un nuevo esquema de encriptacin y de distribucin de claves, WPA utiliza un
protocolo de integridad de clave temporal TKIP (Temporal Key Integrity Protocol) que
produce una clave temporal de 128 bits para encriptar los datos. Otros estndares como
AES utilizan algoritmos matemticos similares pero que no son completamente
compatibles con los dispositivos certificados, por lo que habra que adquirir nuevo
hardware
Pagina n 47
Seguridad
Es muy evidente que si las ondas electromagnticas se propagan en todas las direcciones
pudiendo atravesar obstculos como paredes, puertas y ventanas, la seguridad de nuestra
empresa se ver seriamente comprometida.
Actualmente la empresa inglesa BAE Systems se encuentra desarrollando una cobertura
para paredes capaz de filtrar las frecuencias que utiliza Wi-Fi dejando pasar aquellas
destinadas a radio y comunicaciones celulares. El material, una suerte de capa de cobre
sobre un polmero llamado Kapton, posee el mismo tratamiento que los circuitos impresos
y hasta ahora era utilizado en aviones de combate. El panel tendr un espesor de 50 a 100
micrones (milsimas de milmetro) y podr ser aplicado a la mayora de las superficies
incluso vidrio. Aunque an no se encuentra a la venta, la compaa asegura que no costar
caro y lo comercializar a travs de sus subsidiarias.
sta es una forma de evitar que el trfico de nuestra empresa sea visto desde el exterior de
la misma. Pero incluso existen otras tcnicas que ayudan a que la informacin sea un poco
ms difcil sino imposible de ser accedida desde el exterior. Imagnese que cualquier
persona podra estar interceptando informacin desde la calle con una simple notebook
adaptada con Wi-Fi, tiempo y voluntad y estar robndole los datos de su clave bancaria
mientras Ud. confa en que su sistema es seguro? A este tipo de hacking se lo llama
Wardriving.
Closed Network
Uno de los primeros intentos por encauzar la inseguridad de las redes inalmbricas fue
desarrollado por la empresa Lucent para su propio equipamiento. Haban desarrollado lo
que llamaban una red cerrada que difera de las redes estndar 802.11b en que los access
points no difundan peridicamente las tramas que componen el SSID (beacon) sino cada
una cantidad prefijada de tiempo mayor que en las redes estndar. A pesar de que el SSID
es todava transmitido en el aire en texto plano (sin encriptar), el hecho de retransmitirlo
cada una cantidad de tiempo mayor hace que sea ms difcil encontrar la red. Muchos de
los clientes wireless actuales permiten el ingreso manual del SSID, medida un poco ms
Pagina n 48
segura que el simple proceso automtico de exploracin. Si bien esta tcnica no resulta
persuasiva frente a un ataque planificado, protege la red contra atacantes casuales.
Bibliografia:
Los datos presentados en este trabajo, son una recopilacion de notas que fueron publicadas
en la revista Argentina de IT NEX IT SPECIALIST
Pagina n 49