Академический Документы
Профессиональный Документы
Культура Документы
FASE_2
ARQUITECTURA Y SEGURIDAD WLAN
PRESENTADO POR
TUTOR:
ING. EDGAR RODRIGO ENRQUEZ ROSERO
La gran importancia es permitir el acceso a Internet a usuarios con dispositivos mviles, como
porttiles o smartphones, en lugares en los que no se dispone normalmente de red cableada. Se
ha creado para complementar la red cableada, no para sustituirla.
OBJETIVOS
Descripcin del problema: La empresa Tecni equipos con sede en la ciudad de Bogot, cuenta
con una red almbrica con topologa lgica de red tipo estrella con conexin directa hacia un
Switch, formando varios grupos de trabajo y ofreciendo servicio de conectividad a todos los
empleados de la empresa.
Ante la necesidad de prestar un mejor servicio a sus clientes, Tecni equipos decidi ajustar su
organizacin empresarial, adquiriendo equipos de cmputo con mejores caractersticas y con
tecnologa de ltima generacin. Sin embargo, la actual infraestructura instalada no permite
explotar todas las bondades de los nuevos equipos. Adicionalmente la red almbrica actual,
desde hace varios meses viene presentado fallas por desconexin y perdida de datos por fallos en
la conectorizacion de los extremos del cableado que impiden desarrollar de manera adecuada las
tareas diarias.
Formulacin del problema: Para poder determinar que problemas se presentan en cuanto a
rendimiento de esta red, es necesario poder hacer un anlisis de las necesidades:
Determinar el nmero de usuarios, el tipo de uso, la velocidad de conexin necesaria (sta ser
determinada de acuerdo al nmero de dispositivos conectados). Definir los puntos de acceso
inalmbricos necesarios para suplir la necesidad donde los nuevos procesos que se llevan en la
empresa.
Luego, se deben revisar de los parmetros que especifican las normas (tanto por los estndar de
cableado estructurado as como por la norma IEEE 802.11x) frente a los hallazgos determinados
en sitio, de tal manera que se pueda realizar una comparacin. Esta informacin permitir
establecer caractersticas de rendimiento de la red almbrica de la empresa.
Aprovechar las ventajas que puede ofrecer Internet, puede llegar a determinar de manera directa
la productividad dentro de una empresa. Segn investigaciones realizadas en las empresas, se
conoce que la tecnologa ha venido incrementando su participacin notablemente en los ltimos
aos y la aplicacin de herramientas informticas que posibilitan la comunicacin e interaccin y
procesado de datos se hacen indispensables para la toma de decisiones.
El desarrollo del trabajo busca presentar una propuesta que permita a las directivas de la empresa
un replanteamiento de la infraestructura de la red actual (que admita conexin a equipos
inalmbricos) y determinar la importancia de contar con sistema de seguridad serio contra
ataques de personas mal intencionado que pueden hacerle espionaje, borrar archivos, entre otros
ataques.
DELIMITACIN
Espacio.
La solucin propuesta ser diseada para ser implementada en las instalaciones de la empresa
Tecni equipos.
Tiempo.
El desarrollo del proyecto se realizara en un periodo de 12 semanas, desde el 18 de Septiembre
de 2017 al 10 de Diciembre de 2017.
2. Presentar la topologa que se sugiere en la solucin del proyecto a desarrollar.
01FortiGate 60D: Proteccin contra las amenazas cibernticas con SD-WAN seguro y
lder en la industria Protege contra exploits conocidos, malware y sitios Web maliciosos.
Imagen recuperada de: (fortinet, 2017)
01 SWITCH LAN: Alcatel-Lucent OmniSwitch OS6450-P48: Proporciona un
rendimiento excepcional al admitir voz, datos en tiempo real, y aplicaciones de video
para convergentes redes escalables.
01 Cable 1000Base-T UTP Cat5e cruzado: Cables de conexin entre PoE switch y switch
central de LAN.
Cable 100Base-TX UTP Cat5 plano: Cables de conexin.
4. Describir las amenazas para las WLAN y los mecanismos para mitigarlas, as mismo
relacionar los mecanismos que se sugieren para tener en cuenta en la seguridad de las
redes WLAN.
Principales amenazas para la seguridad de las redes inalmbricas (Microsoft Corporation, 2004)
Actualmente cualquier empresa tiene que hacer frente a una mayor demanda de accesos
inalmbricos, ya sea por parte clientes, proveedores o empleados. Desafortunadamente, tambin
los hackers continan intentando lograr acceder dentro de las redes. Para proteger una red
inalmbrica, primero hay que conocer las principales amenazas a las que se ven afectadas y
que ponen en riesgo la seguridad del usuario. Las rene WatchGuard con motivo del lanzamiento
de un nuevo punto de acceso inalmbrico para empresas:
Amenaza Descripcin de la amenaza
Carga libre (robo de recursos) Es posible que el objetivo del intruso sea algo tan simple
como el uso de su red como punto de libre acceso a Internet.
Aunque este tipo de amenaza no es tan preocupante como
las anteriores, la carga libre no slo reducir el nivel de
servicio disponible para los usuarios legtimos, sino que
podra dar lugar a la introduccin de virus y otras amenazas.
Cracking de contrasea Wi-Fi Los puntos de acceso inalmbricos que todava utilizan
protocolos de seguridad antiguos, como WEP, son blancos
fciles porque las contraseas son muy fcil de craquear.
Existen muy buenas razones para recomendar este enfoque (aunque su ttulo y los trminos poco
claros que se utilizan para describirlo no sean una de ellas). Antes de pasar a la descripcin de las
ventajas que ofrecen las soluciones basadas en este enfoque, es importante esclarecer la
terminologa y explicar el funcionamiento de esta solucin.
La seguridad de WLAN
Adicionalmente es posible que requiera una funcin de auditora para su WLAN, aunque la
auditora constituye principalmente un modo de comprobar y reforzar el resto de los elementos
de seguridad.
El protocolo 802.1X hace uso del usuario de la red, un dispositivo de acceso a la red (o puerta de
enlace) como, por ejemplo, un punto de acceso inalmbrico, y un servicio de autenticacin y
autorizacin llevado a cabo por un servidor de servicio de usuario de acceso telefnico de
autenticacin remota (RADIUS, Remote Authentication Dial-In User Service). El servidor
RADIUS se ocupa de autenticar las credenciales de los usuarios y autorizar su acceso a la
WLAN.
El protocolo 802.1X se basa en el protocolo de autenticacin extensible (EAP, Extensible
Authentication Protocol) del IETF para llevar a cabo el intercambio de autenticacin entre el
cliente y el servidor RADIUS. El punto de acceso retransmite este intercambio. EAP es un
protocolo general de autenticacin compatible con muchos mtodos de autenticacin, basados en
contraseas, certificados digitales u otros tipos de credenciales.
EAP proporciona opciones de mtodos de autenticacin, de modo que no existe un nico tipo de
autenticacin estndar de EAP. Diferentes circunstancias pueden requerir mtodos de EAP
igualmente diferentes, con diferentes tipos de credenciales y protocolos de autenticacin.
Las decisiones sobre el uso de autenticacin de 802.1X y el acceso a la red constituyen una sola
parte de la solucin. El otro componente importante ser lo que se utilice para proteger el trfico
en la red inalmbrica.
Los defectos en el cifrado de datos WEP descritos anteriormente quizs no hubieran sido tan
graves si la WEP esttica hubiese incluido un mtodo para actualizar las claves de cifrado
regularmente de forma automtica. Las herramientas utilizadas para averiguar la clave de acceso
a una WEP esttica necesitan recopilar entre uno y diez millones de paquetes cifrados con la
misma clave para tener xito. Las claves de WEP esttica suelen permanecer sin variaciones
durante semanas o meses, por lo que no es difcil para un atacante recopilar esta cantidad de
informacin. Todos los equipos en una WLAN comparten la misma clave esttica, de modo que
el atacante puede recopilar transmisiones de datos de todos los equipos en la WLAN para
descubrir la clave.
El uso de una solucin basada en 802.1X permite la modificacin frecuente de las claves de
cifrado. Como parte del proceso de autenticacin segura de 802.1X, el mtodo EAP genera una
clave de cifrado nica para cada cliente. El servidor RADIUS exige la generacin de claves de
cifrado nuevas regularmente para mitigar ataques contra la clave de WEP (descritos
anteriormente). Esto le permite utilizar algoritmos de cifrado WEP (presentes en la mayora de
los componentes de hardware de WLAN actuales) de un modo mucho ms seguro.
WPA y 802.11i
Aunque WEP con claves de registro dinmicas de 802.1X constituye un sistema seguro en la
mayora de los casos, presenta algunos problemas persistentes, entre ellos:
WEP utiliza una clave esttica independiente para transmisiones globales como paquetes
de difusin. Al contrario que ocurre con las claves por usuario, la clave global no se
renueva de forma regular. Es poco probable que se transmitan datos confidenciales
mediante paquetes de difusin pero el uso de una clave esttica para transmisiones
globales proporciona a usuarios malintencionados la posibilidad de descubrir informacin
sobre la red como, por ejemplo, direcciones IP y nombres de usuarios y equipos.
Los marcos de red protegidos por WEP cuentan con un nivel de proteccin de integridad
muy bajo. El uso de tcnicas de cifrado permite a posibles atacantes modificar la
informacin en la WLAN y actualizar el valor de comprobacin de integridad del marco
sin que el receptor pueda detectar el cambio.
Al tiempo que aumenta la velocidad de transmisin de WLAN y mejoran las tcnicas de
cifrado y la capacidad informtica, las claves de WEP deben renovarse con mayor
frecuencia. Es posible que esto suponga una carga inaceptable en los servidores
RADIUS.
Para solucionar estos problemas, el IEEE est trabajando en un nuevo estndar de seguridad de
WLAN llamado 802.11i y conocido tambin como "red de seguridad slida" (RSN, Robust
Security Network). La Wi-Fi Alliance, un consorcio formado por los principales proveedores de
Wi-Fi, ha tomado una versin adelantada de 802.11i y la ha publicado en el estndar de
seguridad de acceso protegido Wi-Fi (WPA, Wi Fi Protected Access).
WPA incluye un amplio subconjunto de caractersticas de 802.11i. La publicacin de WPA ha
permitido a la Wi-Fi Alliance exigir el uso del estndar WPA con todos los componentes que
presentan el logotipo de Wi-Fi. Ahora, los proveedores de hardware de red Wi-Fi pueden ofrecer
una opcin estndar de alta seguridad previa a la publicacin de 802.11i. WPA rene un
conjunto de caractersticas de seguridad ampliamente aceptadas como los mtodos ms seguros
disponibles en la actualidad para proteger las WLAN.
WPA incluye dos modos de uso: uno que utiliza 802.1X y autenticacin de RADIUS
(simplemente conocido como WPA) y un esquema ms sencillo para entornos de SOHO que
utiliza una clave previamente compartida (conocido como WPA PSK). WPA proporciona una
combinacin ptima de cifrado slido y el mecanismo de autorizacin y autenticacin seguro del
protocolo 802.1X. La proteccin de datos que ofrece elimina las vulnerabilidades conocida de
WEP por medio de:
Una clave de cifrado nica para cada paquete.
Un vector de inicializacin mucho ms largo, con 128 bits adicionales de material de
generacin de claves, lo que duplica el espacio de claves.
Un valor de comprobacin de integridad de mensaje firmado imposible de alterar o imitar
Un contador de marcos cifrado incorporado para impedir ataques de reproduccin.
Sin embargo, WPA utiliza algoritmos de cifrado similares a los utilizados por WEP, de modo
que es posible implementar este estndar en hardware existente por medio de una simple
actualizacin de firmware.
El estndar RSN 802.11i llevar las WLAN a un nivel de seguridad an superior que incluir
proteccin mejorada contra ataques de denegacin de servicio (DoS). La publicacin del nuevo
estndar se esperaba para mediados de 2004.
EAP es compatible con varios mtodos de autenticacin que pueden utilizar protocolos de
autenticacin diferentes, como la versin 5 de Kerberos, el protocolo de seguridad de la capa de
transporte (TLS, Transport Layer Security) y el protocolo de Microsoft de autenticacin por
desafo mutuo (MS-CHAP, Microsoft Challenge Handshake Authentication). Adicionalmente
pueden utilizar distintos tipos de credenciales, como contraseas, certificados, tokens de
contraseas de uso nico y biomtrico. Aunque en teora es posible utilizar cualquier mtodo de
EAP con el protocolo 802.1X, no todos son apropiados para el uso con WLAN. Especialmente,
el mtodo seleccionado debe ser adecuado para su uso en entornos desprotegidos y contar con la
capacidad de generar claves de cifrado.
Los mtodos de EAP principales que se utilizan con WLAN son: EAP-TLS, EAP protegido
(PEAP, Protected EAP), TLS de tnel (TTLS, Tunneled TLS) y EAP ligero (LEAP, Lightweight
EAP). PEAP y EAP-TLS son compatibles con Microsoft.
EAP-TLS
EAP-TLS es un estndar del IETF (RFC 2716) y probablemente sea el mtodo de autenticacin
ms utilizado hoy da, tanto en clientes inalmbricos como en servidores RADIUS. Usa
certificados de claves pblicas para autenticar los clientes inalmbricos y los servidores RADIUS
mediante el establecimiento de una sesin TLS cifrada entre ellos.
PEAP
PEAP es un mtodo de autenticacin en dos fases. La primera establece una sesin de TLS con
el servidor y permite que el cliente lleve a cabo la autenticacin del mismo mediante el
certificado digital del servidor. La segunda fase requiere un segundo mtodo de EAP de tnel
dentro de la sesin PEAP para llevar a cabo la autenticacin del cliente con el servidor RADIUS.
Esto ofrece a PEAP la posibilidad de utilizar mtodos de autenticacin de clientes diferentes,
como contraseas con la versin 2 del protocolo MS-CHAP (MS CHAP v2) y certificados que
usan EAP-TLS de tnel dentro de PEAP. Los mtodos de EAP como MS-CHAP v2 no son lo
suficientemente seguros como para usarse sin proteccin PEAP, pues quedaran susceptibles a
ataques de diccionario sin conexin. La compatibilidad con PEAP est muy extendida en el
sector; Microsoft Windows XP SP1 y Pocket PC 2003 presentan compatibilidad incorporada
para PEAP.
TTLS
TTLS es un protocolo de dos fases similar a PEAP que utiliza sesiones TLS para proteger la
autenticacin de clientes de tnel. Adems de mtodos EAP de tnel, TTLS tambin puede
presentarse en la forma de versiones de protocolos de autenticacin ajenos a EAP, como CHAP y
MS-CHAP, entre otros. Microsoft y Cisco no son compatibles con TTLS, aunque otros
proveedores disponen de clientes TTLS para plataformas diferentes.
LEAP
LEAP es un mtodo de EAP desarrollado por Cisco que utiliza contraseas para autenticar
clientes. A pesar de su popularidad, LEAP solamente funciona con hardware y software de Cisco
y algunos otros proveedores. Adicionalmente, LEAP cuenta con varias vulnerabilidades de
seguridad, como la propensin a ataques de diccionario sin conexin (que permiten a los
atacantes averiguar las contraseas de los usuarios) y ataques de intermediario. En un entorno de
dominio, LEAP nicamente puede llevar a cabo la autenticacin del usuario, no del equipo, con
la WLAN. Sin el proceso de autenticacin de equipos, las directivas de grupo no se ejecutarn
correctamente, pueden fallar los ajustes de instalacin de software, los perfiles mviles y las
secuencias de comandos de inicio de sesin, y los usuarios no podrn cambiar las contraseas
caducadas.
Hay varias soluciones de seguridad de WLAN que usan el protocolo 802.1X con otros mtodos
de EAP. Algunos de estos mtodos, como EAP-MD5, presentan puntos dbiles importantes de
seguridad cuando se usan en un entorno de WLAN. Por este motivo no deben utilizarse. Existen
otros mtodos compatibles con el uso de token de contraseas de uso nico y otros protocolos de
autenticacin, como el protocolo Kerberos. Sin embargo, estos mtodos no han conseguido
todava causar un impacto sustancial en el mercado de WLAN.
Esta alternativa utiliza una clave compartida para controlar el acceso a la red y la misma clave
sirve para cifrar el trfico inalmbrico. Este modelo simple de autorizacin suele
complementarse con el filtrado de puertos basado en direcciones de hardware de tarjeta de
WLAN, aunque este proceso no forma parte de la seguridad 802.11. El mayor atractivo de este
enfoque es su sencillez. Si bien ofrece una seguridad mayor que las WLAN desprotegidas, este
sistema conlleva serios inconvenientes de administracin y seguridad, sobre todo para empresas
de gran tamao.
Entre los inconvenientes derivados del uso de WEP esttica se incluyen los siguientes:
Las claves de WEP esttica se pueden averiguar en cuestin de horas en una red muy
ocupada por medio de un equipo que cuente con un adaptador de WLAN y herramientas
de piratera como Airsnort o WEPCrack.
El punto ms dbil de WEP esttica es que no existe ningn mecanismo para asignar ni
actualizar la clave de cifrado de red dinmicamente. Sin 802.1X y EAP para implementar
la actualizacin frecuente de la clave, el algoritmo de cifrado que utiliza la WEP esttica
queda vulnerable a ataques de recuperacin de claves.
Es posible cambiar las claves estticas pero el proceso de modificacin en los clientes
inalmbricos y puntos de acceso es, por lo general, manual y laborioso. Adems, las
claves deben actualizarse simultneamente en los clientes y los puntos de acceso para
conservar la conectividad de los clientes. En la prctica, esto es tan difcil de conseguir
que las claves suelen dejarse sin cambiar permanentemente.
La clave esttica necesita compartirse entre todos los usuarios de la WLAN y todos los
puntos de acceso inalmbricos. Ya de por s, esta situacin crea una vulnerabilidad, ya
que un secreto compartido por multitud de personas y dispositivos no suele ser secreto
durante mucho tiempo.
La WEP esttica proporciona a las WLAN un mecanismo de control de acceso muy limitado
basado en el conocimiento de la clave de WEP. Si se descubre el nombre de la red (lo que es
muy fcil) y la clave de WEP, es posible conectarse a la red.
Un modo de mejorar esta situacin es la configuracin de los puntos de acceso inalmbricos de
forma que slo admitan un conjunto predefinido de direcciones de adaptadores de red cliente.
Esto recibe el nombre de filtrado de direcciones de control de acceso a medios (MAC, Media
Access Control). La capa MAC hace referencia al firmware de nivel bajo del adaptador de red.
El filtrado de direcciones de adaptadores de red para controlar el acceso tiene los problemas
siguientes:
La capacidad de administracin deja mucho que desear. El mantenimiento de una lista de
direcciones de hardware para algo ms que un nmero reducido de clientes es una tarea
compleja. Adems, la distribucin y la sincronizacin de esta lista en todos los puntos de
acceso constituyen un desafo considerable.
La escalabilidad tampoco es buena. Los puntos de acceso pueden tener un lmite finito
del tamao de la tabla de filtros, lo que restringe el nmero de clientes que se pueden
admitir.
No hay forma de asociar una direccin de MAC a un nombre de usuario, por lo que slo
se puede autenticar por identidad de equipo y no por identidad de usuario.
Un usuario malintencionado podra suplantar una direccin de MAC "autorizada". Si se
puede descubrir una direccin de MAC legtima, resulta muy fcil para un intruso
utilizarla en lugar de la predefinida grabada en el adaptador.
Las soluciones de claves previamente compartidas solamente resultan prcticas para nmeros
reducidos de usuarios y puntos de acceso debido a la dificultad asociada a la administracin de
actualizaciones de claves en ubicaciones mltiples. Los problemas de cifrado con WEP dan a su
utilidad un carcter dudoso incluso en entornos pequeos.
Por su parte, el modo de clave previamente compartida de WPA proporciona a organizaciones
pequeas un nivel de seguridad alto a cambio de una carga en la infraestructura muy baja. Existe
una amplia gama de componentes de hardware compatibles con WPA PSK y es posible
configurar clientes WLAN manualmente. Todas estas razones hacen que WPA PSK sea la
configuracin preferida para entornos de SOHO.
Probablemente, las VPN constituyen la forma ms popular de cifrado de red; son muchos los
usuarios que confan en las tecnologas probadas y de confianza de VPN para proteger la
confidencialidad de los datos transmitidos por Internet. Cuando se descubrieron las
vulnerabilidades de WEP esttica, VPN se present rpidamente como el mejor modo de
proteger los datos en una WLAN. Este enfoque recibi el apoyo de analistas, como Gartner
Group, y, como era de esperar, los proveedores de soluciones VPN promocionaron su uso con
entusiasmo.
VPN constituye una solucin excelente para el desplazamiento seguro en una red hostil como
Internet (aunque la calidad de las implementaciones VPN puede variar considerablemente). Sin
embargo, no es necesariamente la mejor solucin para asegurar WLAN internas. Para este tipo
de entorno, una VPN no ofrece prcticamente ningn grado de seguridad adicional en
comparacin con las soluciones 802.1X. Adicionalmente, incrementa la complejidad y los costos
significativamente, reduce la capacidad de uso y anula el funcionamiento de caractersticas
importantes.
Nota: estas limitaciones no se aplican al uso de VPN para proteger el trfico en puntos de
conexin pblicos de LAN inalmbrica. La proteccin de los datos de red de usuarios que se
conectan a redes remotas hostiles constituye un uso legtimo de VPN. En este tipo de escenario,
los usuarios aceptan que la conectividad segura sea ms rigurosa y menos funcional que una
conexin de LAN, algo que no espera que ocurra en las oficinas de la empresa.
Las ventajas asociadas con el uso de VPN para proteger WLAN incluyen las siguientes:
La mayora de las organizaciones ya cuentan con una implementacin de VPN, de modo
que los usuarios y el personal de TI ya estn familiarizados con la solucin.
Los inconvenientes del uso de VPN en lugar de seguridad de WLAN nativa incluyen:
VPN no ofrece transparencia de usuario. Normalmente, los clientes VPN requieren que el
usuario inicie la conexin con el servidor VPN de forma manual. Por lo tanto, la
conexin nunca ser tan transparente como una conexin de LAN por cable. Es probable
que los clientes VPN ajenos a Microsoft necesiten especificar credenciales de inicio de
sesin al intentar conectar a la red, adems del inicio de sesin de dominio o red estndar.
Los clientes tendrn que volver a conectarse a la red en caso de que la VPN los
desconecte como consecuencia de una seal de WLAN de baja calidad o si el usuario se
desplaza entre puntos de acceso.
El inicio de la conexin de VPN debe llevarlo a cabo el usuario, por lo que los equipos
inactivos no estarn conectados a la red privada virtual (y, consecuentemente, a la LAN
corporativa). Por lo tanto, no puede realizarse la administracin ni la supervisin remota
de los equipos a menos que haya usuarios conectados. Esto podra impedir la aplicacin
de algunos aspectos de la configuracin de objetos de directiva de grupo (GPO, Group
Policy Object) de equipos como, por ejemplo, secuencias de comandos de inicio de
sesin y software asignado a equipos.
Es posible que los perfiles mviles, las secuencias de comandos de inicio de sesin y el
software implementado mediante GPO no funcionen como debera. A menos que el
usuario decida iniciar la sesin por medio de la conexin VPN desde el inicio de sesin
de Windows, el equipo no se conectar a la LAN corporativa hasta que el usuario haya
iniciado la sesin y la conexin VPN. Hasta entonces, fallar cualquier intento de acceso
a la red segura. Quizs resulte imposible llevar a cabo un inicio de sesin completo en
una conexin VPN con clientes VPN ajenos a Microsoft.
La reanudacin de la actividad tras la suspensin o hibernacin no restablece la conexin
VPN de forma automtica; el usuario tendr que hacerlo manualmente.
Aunque la informacin en el tnel de VPN est protegida, la VPN no ofrece proteccin
alguna a la WLAN. Un intruso puede conectarse a la WLAN y sondear o atacar cualquier
dispositivo conectado a ella.
Los servidores VPN pueden convertirse en limitaciones. Todo acceso de clientes WLAN
a la LAN corporativa se realiza a travs del servidor VPN. Normalmente, los dispositivos
de VPN dan servicio a muchos clientes remotos de baja velocidad. Por lo tanto, la
mayora de las puertas de enlace de VPN no pueden soportar decenas o cientos de
clientes ejecutndose a la velocidad mxima de LAN.
Seguramente, el costo del hardware adicional y la administracin constante de
dispositivos VPN ser muy superior al costo de una solucin de WLAN nativa. Por lo
general, cada sitio necesita su propio servidor VPN adems de puntos de acceso de
WLAN.
Las sesiones de VPN son ms propensas a la desconexin cuando los clientes se
desplazan entre puntos de acceso. Normalmente, las aplicaciones toleran una desconexin
momentnea durante el cambio de puntos de acceso inalmbricos; sin embargo, incluso
una breve interrupcin de la conexin VPN requerir que el usuario vuelva a establecerla
de forma manual.
El costo de licencias de software cliente y servidor VPN, adems del costo de la
implementacin del software, podra suponer un problema para soluciones VPN ajenas a
Microsoft. Es posible que se produzcan problemas referentes a la compatibilidad de
software cliente VPN, ya que los clientes ajenos a Microsoft suelen sustituir
caractersticas bsicas de Windows.
Muchos analistas y proveedores dan por hecho que el nivel de seguridad de VPN es
siempre superior al nivel de seguridad de WLAN. Quizs esto sea cierto en lo que
respecta a WEP esttica pero no lo es necesariamente para las soluciones 802.1X basadas
en EAP descritas en este captulo. Particularmente, los mtodos de autenticacin de VPN
son a menudo mucho menos seguros y, en el mejor de los casos, no ofrecen una
seguridad considerablemente mayor. Por ejemplo, las soluciones de WLAN compatibles
con Microsoft utilizan exactamente los mismos mtodos de autenticacin de EAP que sus
soluciones de VPN (EAP-TLS y MS-CHAP v2). Muchas implementaciones de VPN,
especialmente las basadas en el modo de tnel IPsec, usan la autenticacin de clave
previamente compartida (una contrasea de grupo). Se ha demostrado que este sistema
conlleva vulnerabilidades de seguridad graves; irnicamente, comparte algunas de ellas
con WEP esttica.
Las VPN no ofrecen ningn tipo de seguridad a la WLAN. Aunque la informacin en los
tneles de VPN est protegida, cualquiera puede conectarse a la WLAN e intentar atacar
clientes inalmbricos legtimos y otros dispositivos en la WLAN.
VPN resulta ideal para proteger el trfico en redes hostiles, tanto si el usuario est utilizando una
conexin de banda ancha desde casa como si se trata de un punto de conexin pblico
inalmbrico. Sin embargo, VPN no se dise para proteger trfico de red en redes internas. En
esta funcin, VPN resulta demasiado torpe para la mayora de las organizaciones, la
funcionalidad es demasiado restrictiva para el usuario y su mantenimiento demasiado costoso y
complejo para el departamento de TI.
Uso de seguridad de IP
IPsec permite a dos usuarios de red autenticarse mutuamente de forma segura y autenticar o
cifrar paquetes de red individuales. Puede usar IPsec para colocar una red sobre la otra en modo
de tnel de forma segura o simplemente para proteger paquetes IP transmitidos entre dos
equipos.
El modo de tnel IPsec suele utilizarse en conexiones VPN de sitio a sitio o de acceso de cliente.
Constituye una forma de VPN que funciona mediante la encapsulacin de un paquete IP
completo dentro de un paquete IPsec protegido. Al igual que ocurre con otras soluciones VPN,
esto aade una carga a la comunicacin que no se necesita realmente para la comunicacin entre
sistemas en la misma red. Las ventajas y los inconvenientes del modo de tnel IPsec se trataron
en la descripcin de VPN en la seccin anterior.
IPsec tambin puede proteger el trfico entre dos equipos de un extremo a otro (sin tnel)
mediante el modo de transporte IPSec. Al igual que VPN, IPSec es una excelente solucin en
muchas circunstancias, si bien no puede sustituir directamente a la proteccin de WLAN nativa
que se implementa en la capa de hardware de red.
Algunas de las ventajas de la proteccin por medio del modo de transporte IPsec son:
La transparencia para los usuarios. Al contrario que ocurre con VPN, no se requiere ningn
procedimiento de inicio de sesin especial.
La proteccin de IPsec es independiente del hardware de WLAN. Solamente requiere una
WLAN abierta, sin autenticar. Una vez ms, al contrario que ocurre con VPN, no se necesitan
servidores o dispositivos adicionales, ya que la negociacin de la seguridad se lleva a cabo
directamente entre los equipos a cada extremo de la comunicacin.
El uso de algoritmos de cifrado no est restringido por el hardware de WLAN.
Los inconvenientes del uso de IPsec en lugar de seguridad de WLAN nativa incluyen:
IPSec utiliza slo la autenticacin de nivel de equipo y no hay forma de implementar a la vez
un esquema de autenticacin basado en el usuario. En muchas organizaciones, esto no
constituir necesariamente un problema pero si algn usuario no autorizado consigue iniciar la
sesin en un equipo autorizado, podr acceder tambin a otros equipos protegidos por IPsec en
la red.
La solucin de WLAN 802.1X es la mejor de todas las alternativas disponibles sin lugar a dudas.
Sin embargo, tal y como se mencion en la seccin La seguridad de WLAN, tras tomar la
decisin de utilizar una solucin 802.1X, tendr que elegir entre varias opciones para que su
funcionamiento sea correcto.
Las dos opciones principales son las siguientes:
De ser posible, WPA debera ser su primera eleccin. Sin embargo, compruebe que las
cuestiones siguientes no crearn problemas a la hora de usar WPA:
Es posible que el hardware de la red no sea compatible con WPA (esto no suele ocurrir con
dispositivos nuevos pero quizs tenga instalada una amplia base de componentes de hardware
anteriores a WPA).
La compatibilidad con la configuracin controlada por GPO se har disponible en la prxima
actualizacin de Windows Server 2003. Otras versiones no disponen de la compatibilidad y, en
equipos con Windows XP, tendr que llevar a cabo la configuracin de WPA manualmente.
Quizs no todos los clientes en su entorno sean compatibles con WPA; por ejemplo, Windows
2000 (y las versiones anteriores) y Pocket PC no ofrecen compatibilidad integrada para WPA.
Si decide que an no est preparado para implementar WPA, debera utilizar una solucin de
WEP dinmica y considerar la migracin a WPA en cuanto las circunstancias lo permitan.
CONCLUCIONES.
Durante la fase de diseo de una solucin inalmbrica se requiere conocimiento sobre los
equipos a implementar y la elaboracin de mapas de radiacin con el fin de tener claridad
de los sitios a instalar los Ap.
El diseo de la solucin inalmbrica implica equipos sobre las diferentes capas del
modelo OSI, equipos de capa 2 como es el switch, equipos de capa 3-4 como es el
firewall y Aps que podran ser usados como dispositivos de capa 2 o capa 3.