Вы находитесь на странице: 1из 28

FUNDAMENTOS DE REDES LOCALES INALMBRICAS

FASE_2
ARQUITECTURA Y SEGURIDAD WLAN

PRESENTADO POR

GEOVANNY ALEXIS PARRA MARTINEZ (COD: 88258818)


CARLOS ALBERTO PEDRAZA CRUZ COD: 91135628
ROGER BAUTISTA ROJAS COD: 80900911
ROBINFEL STEVEN PUERTO PACHECO (COD: XXXX)
DANILO ALFONSO ARIAS CARREO COD: 80199311
GRUPO_208059_2

TUTOR:
ING. EDGAR RODRIGO ENRQUEZ ROSERO

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA
INGENIERIA EN TELECOMUNICACIONES
BOGOT NOVIEMBRE 01 DE 2017
Contenido
INTRODUCCIN ...................................................................................................................................... 3
OBJETIVOS................................................................................................................................................ 4
DESARROLLO........................................................................................................................................... 5
1. Elaborar el planteamiento del problema, realizar la justificacin que permita argumentar de
manera clara y objetiva el desarrollo del proyecto (ver documento Gua Proyecto del Curso en el
entorno de aprendizaje prctico). .............................................................................................................. 5
2. Presentar la topologa que se sugiere en la solucin del proyecto a desarrollar. .............................. 7
3. Determinar los componentes de la infraestructura WLAN y los equipos sugeridos....................... 10
4. Describir las amenazas para las WLAN y los mecanismos para mitigarlas, as mismo relacionar
los mecanismos que se sugieren para tener en cuenta en la seguridad de las redes WLAN. .................. 12
CONCLUCIONES. ................................................................................................................................... 27
REFERENCIAS ........................................................................................................................................ 28
INTRODUCCIN

El siguiente documento contiene informacin acerca del planteamiento de un escenario


relacionado con el rea de Redes Locales Inalmbricas en el cual se debe plantear, justificar y
argumentar una situacin problema de conectividad; para la cual se debe realizar el diseo de
una red WLAN, buscando la topologa de red que ms se ajuste a esta solucin.
Para tal fin se debe realizar el diseo de una topologa de red, que cumpla con las necesidades
del problema de conectividad planteado, adicionalmente se debe realizar un listado de los
componentes a emplear en esta solucin.

La gran importancia es permitir el acceso a Internet a usuarios con dispositivos mviles, como
porttiles o smartphones, en lugares en los que no se dispone normalmente de red cableada. Se
ha creado para complementar la red cableada, no para sustituirla.
OBJETIVOS

Elaborar, justificar y argumentar el planteamiento del problema de conectividad sobre el


cual se desea trabajar.
Adelantar el diseo de la topologa de red que ms se ajuste a la solucin del problema de
conectividad planteado.
Realizar un listado detallado de los componentes a emplear en esta solucin de
conectividad.
Investigar acerca de las amenazas para las WLAN y los mecanismos para mitigarlas
Realizar un debate argumental que permita seleccionar el mejor problema de
conectividad, para ser trabajado en las prximas fases.
Disponer de un cliente inalmbrico que sea compatible con alguno de los estndares
IEEE 802.11a,b,g o n.
DESARROLLO

1. Elaborar el planteamiento del problema, realizar la justificacin que permita argumentar


de manera clara y objetiva el desarrollo del proyecto (ver documento Gua Proyecto del
Curso en el entorno de aprendizaje prctico).

PLANTEAMIENTO DEL PROBLEMA:

Descripcin del problema: La empresa Tecni equipos con sede en la ciudad de Bogot, cuenta
con una red almbrica con topologa lgica de red tipo estrella con conexin directa hacia un
Switch, formando varios grupos de trabajo y ofreciendo servicio de conectividad a todos los
empleados de la empresa.

Ante la necesidad de prestar un mejor servicio a sus clientes, Tecni equipos decidi ajustar su
organizacin empresarial, adquiriendo equipos de cmputo con mejores caractersticas y con
tecnologa de ltima generacin. Sin embargo, la actual infraestructura instalada no permite
explotar todas las bondades de los nuevos equipos. Adicionalmente la red almbrica actual,
desde hace varios meses viene presentado fallas por desconexin y perdida de datos por fallos en
la conectorizacion de los extremos del cableado que impiden desarrollar de manera adecuada las
tareas diarias.

Formulacin del problema: Para poder determinar que problemas se presentan en cuanto a
rendimiento de esta red, es necesario poder hacer un anlisis de las necesidades:

Determinar el nmero de usuarios, el tipo de uso, la velocidad de conexin necesaria (sta ser
determinada de acuerdo al nmero de dispositivos conectados). Definir los puntos de acceso
inalmbricos necesarios para suplir la necesidad donde los nuevos procesos que se llevan en la
empresa.

Luego, se deben revisar de los parmetros que especifican las normas (tanto por los estndar de
cableado estructurado as como por la norma IEEE 802.11x) frente a los hallazgos determinados
en sitio, de tal manera que se pueda realizar una comparacin. Esta informacin permitir
establecer caractersticas de rendimiento de la red almbrica de la empresa.

Entonces nuestra pregunta de investigacin se relaciona con: El rendimiento de la red almbrica


de la empresa Tecni equipos se encuentra dentro de los parmetros establecidos por las normas
y el trfico que se le exige es soportada por ella?
JUSTIFICACIN

Aprovechar las ventajas que puede ofrecer Internet, puede llegar a determinar de manera directa
la productividad dentro de una empresa. Segn investigaciones realizadas en las empresas, se
conoce que la tecnologa ha venido incrementando su participacin notablemente en los ltimos
aos y la aplicacin de herramientas informticas que posibilitan la comunicacin e interaccin y
procesado de datos se hacen indispensables para la toma de decisiones.

La implementacin de esta solucin beneficiara a todos los funcionarios de la empresa


permitindoles tener acceso a una mejorada y moderna red, no solo desde sus estaciones de
trabajo, sino tambin desde equipos porttiles con tecnologa inalmbrica de tal manera que se
debe ofrecer una conexin con rendimiento aceptable y calidad de servicio QoS, para suplir las
necesidades que existen dentro del mbito empresarial.

El desarrollo del trabajo busca presentar una propuesta que permita a las directivas de la empresa
un replanteamiento de la infraestructura de la red actual (que admita conexin a equipos
inalmbricos) y determinar la importancia de contar con sistema de seguridad serio contra
ataques de personas mal intencionado que pueden hacerle espionaje, borrar archivos, entre otros
ataques.

DELIMITACIN

Espacio.
La solucin propuesta ser diseada para ser implementada en las instalaciones de la empresa
Tecni equipos.

Tiempo.
El desarrollo del proyecto se realizara en un periodo de 12 semanas, desde el 18 de Septiembre
de 2017 al 10 de Diciembre de 2017.
2. Presentar la topologa que se sugiere en la solucin del proyecto a desarrollar.

Planos del edificio


Esquema simulacin red planteada Cisco Packet Tracer. Fuente: El autor.
La siguiente figura muestra la arquitectura fsica de la solucin adoptada:
3. Determinar los componentes de la infraestructura WLAN y los equipos sugeridos.

Teniendo en cuenta la distribucin de las zonas, la cantidad de equipos a interconectar y el


trfico que van a soportar las terminales, se determina que la mejor opcin por implementar en
esta empresa, corresponde a una topologa en estrella, adicionalmente este tipo de topologa
permite agregar nuevos equipos fcilmente, reconfiguracin rpida, fcil de prevenir daos y/o
conflictos, centralizacin de la red y facilidad para encontrar fallos. La WLAN ir integrada en la
LAN de datos. Ms adelante se evaluara si la topologa de red escogida para la WLAN ser la de
modo BSS extendido o ESS (Extended Service Set).

Servicios a Dispositivo Tipo de


Uso principal
implementar principal conexin

Red de rea local Conmutadores Conectar servidores, Cablear la LAN


(LAN) almbrica dispositivos y PCs

Conectividad Puntos de acceso Conectar dispositivos Seguridad


almbrica segura almbricos (APs) habilitados de manera Velocidad de la
en la LAN inalmbrica (tales transmisin
como PCs porttiles,
Tablet PCs y PDAs)

Conexin segura a Firewall Proporcionar acceso Seguridad datos


Internet de entrada y salida a
Internet

Equipos requeridos para la implementacin de la red:

01FortiGate 60D: Proteccin contra las amenazas cibernticas con SD-WAN seguro y
lder en la industria Protege contra exploits conocidos, malware y sitios Web maliciosos.
Imagen recuperada de: (fortinet, 2017)
01 SWITCH LAN: Alcatel-Lucent OmniSwitch OS6450-P48: Proporciona un
rendimiento excepcional al admitir voz, datos en tiempo real, y aplicaciones de video
para convergentes redes escalables.

Imagen recuperada de: (enterprise.alcatel-lucent, 2017)

01 switch PoE ZyXEL ES-2420PWR

02 NETGEAR RangeMax Wireless Access Point WPN802: Punto de acceso


inalmbrico.

01 Cable 1000Base-T UTP Cat5e cruzado: Cables de conexin entre PoE switch y switch
central de LAN.
Cable 100Base-TX UTP Cat5 plano: Cables de conexin.
4. Describir las amenazas para las WLAN y los mecanismos para mitigarlas, as mismo
relacionar los mecanismos que se sugieren para tener en cuenta en la seguridad de las
redes WLAN.

Principales amenazas para la seguridad de las redes inalmbricas (Microsoft Corporation, 2004)
Actualmente cualquier empresa tiene que hacer frente a una mayor demanda de accesos
inalmbricos, ya sea por parte clientes, proveedores o empleados. Desafortunadamente, tambin
los hackers continan intentando lograr acceder dentro de las redes. Para proteger una red
inalmbrica, primero hay que conocer las principales amenazas a las que se ven afectadas y
que ponen en riesgo la seguridad del usuario. Las rene WatchGuard con motivo del lanzamiento
de un nuevo punto de acceso inalmbrico para empresas:
Amenaza Descripcin de la amenaza

Interceptacin (revelacin de La interceptacin de datos trasmitidos puede resultar en la


datos) revelacin de datos confidenciales y de credenciales de
usuario sin proteccin, adems de la usurpacin de la
identidad. Permite tambin que usuarios malintencionados
con cierto grado de sofisticacin puedan recopilar
informacin sobre su entorno de TI y la utilicen para atacar
sistemas o datos que, de otra forma, no seran vulnerables.

Interceptacin y modificacin de Si un atacante consigue acceso a la red, puede introducir un


datos transmitidos equipo falso que intercepte y modifique las comunicaciones
entre dos usuarios o equipos legtimos.

Imitacin El acceso fcil a la red interna permite a posibles atacantes


falsificar datos aparentemente legtimos de modos que no
sera posible hacerlo desde fuera de la red; por ejemplo,
pueden imitarse mensajes de correo electrnico. Los
usuarios, incluso los administradores de sistemas, suelen
confiar en los elementos originados dentro de la red
corporativa mucho ms que en los procedentes del exterior.

Denegacin del servicio (DoS) Un atacante puede provocar un ataque de denegacin de


servicio de varios modos. Por ejemplo, la interrupcin de las
seales de radio se puede conseguir utilizando algo tan
simple como un microondas. Existen ataques ms complejos
cuyo objetivo son los protocolos inalmbricos de nivel bajo,
y otros menos complejos cuyo objetivo son las redes
mediante un gran incremento del trfico aleatorio en la
WLAN.
Amenaza Descripcin de la amenaza

Carga libre (robo de recursos) Es posible que el objetivo del intruso sea algo tan simple
como el uso de su red como punto de libre acceso a Internet.
Aunque este tipo de amenaza no es tan preocupante como
las anteriores, la carga libre no slo reducir el nivel de
servicio disponible para los usuarios legtimos, sino que
podra dar lugar a la introduccin de virus y otras amenazas.

Amenazas accidentales Algunas caractersticas de WLAN facilitan la incidencia de


amenazas no intencionadas. Por ejemplo, un visitante
autorizado podra iniciar su equipo porttil sin la intencin
de conectarse a la red pero la conexin a la WLAN de la
compaa se produce de forma automtica. As, el equipo
porttil del visitante se convierte en un punto de entrada de
virus en la red. Este tipo de amenaza slo se da en WLAN
desprotegidas.

WLAN falsas Aunque su organizacin no disponga oficialmente de una


WLAN, existe el riesgo de amenazas por parte de WLAN
no administradas que pueden hacer su aparicin en la red.
Hoy da es posible comprar hardware de WLAN muy
barato, con lo que pueden introducirse vulnerabilidades no
intencionadas en la red.

Cracking de contrasea Wi-Fi Los puntos de acceso inalmbricos que todava utilizan
protocolos de seguridad antiguos, como WEP, son blancos
fciles porque las contraseas son muy fcil de craquear.

Hotspots falsos Nada impide fsicamente a un cibercriminal el hecho de


permitir que un punto de acceso exterior est cercano o
coincida con un punto de acceso SSID, que invita a los
usuarios a identificarse. Los usuarios que son vctimas de un
Rogue AP son susceptibles de verse afectados por cdigo
malicioso, que a menudo pasa desapercibido.

Proteccin real de la WLAN

Desde el descubrimiento de las vulnerabilidades de seguridad de WLAN, proveedores de redes,


organismos de estndares y analistas han dedicado gran parte de sus esfuerzos a la bsqueda de
remedios para hacer frente a estos problemas. Esto ha dado lugar a diferentes reacciones en lo
que respecta a la preocupacin por la seguridad de la tecnologa. Las alternativas principales son:
No implementar tecnologa WLAN
Continuar usando la seguridad de WEP esttica 802.11.
Utilizar una red privada virtual para proteger los datos en la WLAN.
Utilizar IPsec para proteger el trfico de la WLAN
Utilizar cifrado de datos y autenticacin 802.1X para proteger la WLAN.

Estas estrategias alternativas se presentan ordenadas de menor a mayor segn su eficacia,


tomando como base una combinacin de las caractersticas de seguridad, funcionalidad y
capacidad de uso, aunque esto sea algo subjetivo. Microsoft recomienda la ltima de estas
alternativas: cifrado WLAN y autenticacin 802.1X.

Proteccin de WLAN mediante cifrado de datos y autenticacin 802.1X

Existen muy buenas razones para recomendar este enfoque (aunque su ttulo y los trminos poco
claros que se utilizan para describirlo no sean una de ellas). Antes de pasar a la descripcin de las
ventajas que ofrecen las soluciones basadas en este enfoque, es importante esclarecer la
terminologa y explicar el funcionamiento de esta solucin.

La seguridad de WLAN

La proteccin de una WLAN se compone de tres elementos principales:


Autenticacin del usuario (o dispositivo) que se conecta a la red, lo que le permitir
disfrutar de un alto grado de confianza en lo que respecta a intentos de conexin a la red.
Autorizacin del usuario o dispositivo para utilizar la WLAN, lo que le permitir
controlar el acceso a la red.
Proteccin de la informacin transmitida en la red contra interceptaciones y
modificaciones no autorizadas.

Adicionalmente es posible que requiera una funcin de auditora para su WLAN, aunque la
auditora constituye principalmente un modo de comprobar y reforzar el resto de los elementos
de seguridad.

Autorizacin y autenticacin de red

La seguridad de WEP esttica se basa en un sistema sencillo de secretos compartidos (contrasea


o clave) para la autenticacin de usuarios y dispositivos en la WLAN. Cualquier usuario que
posea la clave secreta podr acceder a la WLAN. Los defectos de cifrado de WEP presentan una
gran oportunidad para cualquier atacante dispuesto a descubrir la clave de WEP esttica en uso
en la WLAN mediante herramientas que pueden conseguirse fcilmente. Adems, el estndar
WEP original no proporciona un mtodo para actualizar o distribuir la clave de WEP, con lo que
resulta muy difcil cambiarla. Una vez que se ha conseguido acceso no autorizado a una WLAN
de WEP esttica, resulta muy difcil restaurar la seguridad.

Con el objetivo de proporcionar un mtodo de autenticacin y autorizacin mucho ms seguro,


Microsoft y otros proveedores propusieron un marco de seguridad de WLAN con el protocolo
802.1X. El protocolo 802.1X es un estndar del IEEE que sirve para realizar la autenticacin del
acceso a una red y, si se desea, para administrar las claves utilizadas en la proteccin del trfico.
Su uso no se limita a las redes inalmbricas, sino que se implementa frecuentemente en
conmutadores de LAN por cable de alto nivel.

El protocolo 802.1X hace uso del usuario de la red, un dispositivo de acceso a la red (o puerta de
enlace) como, por ejemplo, un punto de acceso inalmbrico, y un servicio de autenticacin y
autorizacin llevado a cabo por un servidor de servicio de usuario de acceso telefnico de
autenticacin remota (RADIUS, Remote Authentication Dial-In User Service). El servidor
RADIUS se ocupa de autenticar las credenciales de los usuarios y autorizar su acceso a la
WLAN.
El protocolo 802.1X se basa en el protocolo de autenticacin extensible (EAP, Extensible
Authentication Protocol) del IETF para llevar a cabo el intercambio de autenticacin entre el
cliente y el servidor RADIUS. El punto de acceso retransmite este intercambio. EAP es un
protocolo general de autenticacin compatible con muchos mtodos de autenticacin, basados en
contraseas, certificados digitales u otros tipos de credenciales.

EAP proporciona opciones de mtodos de autenticacin, de modo que no existe un nico tipo de
autenticacin estndar de EAP. Diferentes circunstancias pueden requerir mtodos de EAP
igualmente diferentes, con diferentes tipos de credenciales y protocolos de autenticacin.

Proteccin de datos de WLAN

Las decisiones sobre el uso de autenticacin de 802.1X y el acceso a la red constituyen una sola
parte de la solucin. El otro componente importante ser lo que se utilice para proteger el trfico
en la red inalmbrica.
Los defectos en el cifrado de datos WEP descritos anteriormente quizs no hubieran sido tan
graves si la WEP esttica hubiese incluido un mtodo para actualizar las claves de cifrado
regularmente de forma automtica. Las herramientas utilizadas para averiguar la clave de acceso
a una WEP esttica necesitan recopilar entre uno y diez millones de paquetes cifrados con la
misma clave para tener xito. Las claves de WEP esttica suelen permanecer sin variaciones
durante semanas o meses, por lo que no es difcil para un atacante recopilar esta cantidad de
informacin. Todos los equipos en una WLAN comparten la misma clave esttica, de modo que
el atacante puede recopilar transmisiones de datos de todos los equipos en la WLAN para
descubrir la clave.
El uso de una solucin basada en 802.1X permite la modificacin frecuente de las claves de
cifrado. Como parte del proceso de autenticacin segura de 802.1X, el mtodo EAP genera una
clave de cifrado nica para cada cliente. El servidor RADIUS exige la generacin de claves de
cifrado nuevas regularmente para mitigar ataques contra la clave de WEP (descritos
anteriormente). Esto le permite utilizar algoritmos de cifrado WEP (presentes en la mayora de
los componentes de hardware de WLAN actuales) de un modo mucho ms seguro.

WPA y 802.11i

Aunque WEP con claves de registro dinmicas de 802.1X constituye un sistema seguro en la
mayora de los casos, presenta algunos problemas persistentes, entre ellos:
WEP utiliza una clave esttica independiente para transmisiones globales como paquetes
de difusin. Al contrario que ocurre con las claves por usuario, la clave global no se
renueva de forma regular. Es poco probable que se transmitan datos confidenciales
mediante paquetes de difusin pero el uso de una clave esttica para transmisiones
globales proporciona a usuarios malintencionados la posibilidad de descubrir informacin
sobre la red como, por ejemplo, direcciones IP y nombres de usuarios y equipos.
Los marcos de red protegidos por WEP cuentan con un nivel de proteccin de integridad
muy bajo. El uso de tcnicas de cifrado permite a posibles atacantes modificar la
informacin en la WLAN y actualizar el valor de comprobacin de integridad del marco
sin que el receptor pueda detectar el cambio.
Al tiempo que aumenta la velocidad de transmisin de WLAN y mejoran las tcnicas de
cifrado y la capacidad informtica, las claves de WEP deben renovarse con mayor
frecuencia. Es posible que esto suponga una carga inaceptable en los servidores
RADIUS.

Para solucionar estos problemas, el IEEE est trabajando en un nuevo estndar de seguridad de
WLAN llamado 802.11i y conocido tambin como "red de seguridad slida" (RSN, Robust
Security Network). La Wi-Fi Alliance, un consorcio formado por los principales proveedores de
Wi-Fi, ha tomado una versin adelantada de 802.11i y la ha publicado en el estndar de
seguridad de acceso protegido Wi-Fi (WPA, Wi Fi Protected Access).
WPA incluye un amplio subconjunto de caractersticas de 802.11i. La publicacin de WPA ha
permitido a la Wi-Fi Alliance exigir el uso del estndar WPA con todos los componentes que
presentan el logotipo de Wi-Fi. Ahora, los proveedores de hardware de red Wi-Fi pueden ofrecer
una opcin estndar de alta seguridad previa a la publicacin de 802.11i. WPA rene un
conjunto de caractersticas de seguridad ampliamente aceptadas como los mtodos ms seguros
disponibles en la actualidad para proteger las WLAN.
WPA incluye dos modos de uso: uno que utiliza 802.1X y autenticacin de RADIUS
(simplemente conocido como WPA) y un esquema ms sencillo para entornos de SOHO que
utiliza una clave previamente compartida (conocido como WPA PSK). WPA proporciona una
combinacin ptima de cifrado slido y el mecanismo de autorizacin y autenticacin seguro del
protocolo 802.1X. La proteccin de datos que ofrece elimina las vulnerabilidades conocida de
WEP por medio de:
Una clave de cifrado nica para cada paquete.
Un vector de inicializacin mucho ms largo, con 128 bits adicionales de material de
generacin de claves, lo que duplica el espacio de claves.
Un valor de comprobacin de integridad de mensaje firmado imposible de alterar o imitar
Un contador de marcos cifrado incorporado para impedir ataques de reproduccin.

Sin embargo, WPA utiliza algoritmos de cifrado similares a los utilizados por WEP, de modo
que es posible implementar este estndar en hardware existente por medio de una simple
actualizacin de firmware.

El modo PSK de WPA permite a organizaciones pequeas y a usuarios de oficinas domsticas


utilizar WLAN de claves compartidas sin las vulnerabilidades de WEP esttica. La viabilidad de
esta opcin depende de la eleccin de una clave previamente compartida que sea lo
suficientemente segura como para evitar simples ataques destinados a averiguar la contrasea. Al
igual que WEP dinmica y WPA basado en RADIUS, las claves de cifrado individuales se
generan para cada cliente inalmbrico. La clave previamente compartida se utiliza como
credencial de autenticacin; si el usuario posee la clave, recibe autorizacin para usar la WLAN
y una clave de cifrado nica para proteger los datos.

El estndar RSN 802.11i llevar las WLAN a un nivel de seguridad an superior que incluir
proteccin mejorada contra ataques de denegacin de servicio (DoS). La publicacin del nuevo
estndar se esperaba para mediados de 2004.

Mtodos de autenticacin de EAP

EAP es compatible con varios mtodos de autenticacin que pueden utilizar protocolos de
autenticacin diferentes, como la versin 5 de Kerberos, el protocolo de seguridad de la capa de
transporte (TLS, Transport Layer Security) y el protocolo de Microsoft de autenticacin por
desafo mutuo (MS-CHAP, Microsoft Challenge Handshake Authentication). Adicionalmente
pueden utilizar distintos tipos de credenciales, como contraseas, certificados, tokens de
contraseas de uso nico y biomtrico. Aunque en teora es posible utilizar cualquier mtodo de
EAP con el protocolo 802.1X, no todos son apropiados para el uso con WLAN. Especialmente,
el mtodo seleccionado debe ser adecuado para su uso en entornos desprotegidos y contar con la
capacidad de generar claves de cifrado.
Los mtodos de EAP principales que se utilizan con WLAN son: EAP-TLS, EAP protegido
(PEAP, Protected EAP), TLS de tnel (TTLS, Tunneled TLS) y EAP ligero (LEAP, Lightweight
EAP). PEAP y EAP-TLS son compatibles con Microsoft.

EAP-TLS

EAP-TLS es un estndar del IETF (RFC 2716) y probablemente sea el mtodo de autenticacin
ms utilizado hoy da, tanto en clientes inalmbricos como en servidores RADIUS. Usa
certificados de claves pblicas para autenticar los clientes inalmbricos y los servidores RADIUS
mediante el establecimiento de una sesin TLS cifrada entre ellos.

PEAP

PEAP es un mtodo de autenticacin en dos fases. La primera establece una sesin de TLS con
el servidor y permite que el cliente lleve a cabo la autenticacin del mismo mediante el
certificado digital del servidor. La segunda fase requiere un segundo mtodo de EAP de tnel
dentro de la sesin PEAP para llevar a cabo la autenticacin del cliente con el servidor RADIUS.
Esto ofrece a PEAP la posibilidad de utilizar mtodos de autenticacin de clientes diferentes,
como contraseas con la versin 2 del protocolo MS-CHAP (MS CHAP v2) y certificados que
usan EAP-TLS de tnel dentro de PEAP. Los mtodos de EAP como MS-CHAP v2 no son lo
suficientemente seguros como para usarse sin proteccin PEAP, pues quedaran susceptibles a
ataques de diccionario sin conexin. La compatibilidad con PEAP est muy extendida en el
sector; Microsoft Windows XP SP1 y Pocket PC 2003 presentan compatibilidad incorporada
para PEAP.

TTLS

TTLS es un protocolo de dos fases similar a PEAP que utiliza sesiones TLS para proteger la
autenticacin de clientes de tnel. Adems de mtodos EAP de tnel, TTLS tambin puede
presentarse en la forma de versiones de protocolos de autenticacin ajenos a EAP, como CHAP y
MS-CHAP, entre otros. Microsoft y Cisco no son compatibles con TTLS, aunque otros
proveedores disponen de clientes TTLS para plataformas diferentes.

LEAP

LEAP es un mtodo de EAP desarrollado por Cisco que utiliza contraseas para autenticar
clientes. A pesar de su popularidad, LEAP solamente funciona con hardware y software de Cisco
y algunos otros proveedores. Adicionalmente, LEAP cuenta con varias vulnerabilidades de
seguridad, como la propensin a ataques de diccionario sin conexin (que permiten a los
atacantes averiguar las contraseas de los usuarios) y ataques de intermediario. En un entorno de
dominio, LEAP nicamente puede llevar a cabo la autenticacin del usuario, no del equipo, con
la WLAN. Sin el proceso de autenticacin de equipos, las directivas de grupo no se ejecutarn
correctamente, pueden fallar los ajustes de instalacin de software, los perfiles mviles y las
secuencias de comandos de inicio de sesin, y los usuarios no podrn cambiar las contraseas
caducadas.

Hay varias soluciones de seguridad de WLAN que usan el protocolo 802.1X con otros mtodos
de EAP. Algunos de estos mtodos, como EAP-MD5, presentan puntos dbiles importantes de
seguridad cuando se usan en un entorno de WLAN. Por este motivo no deben utilizarse. Existen
otros mtodos compatibles con el uso de token de contraseas de uso nico y otros protocolos de
autenticacin, como el protocolo Kerberos. Sin embargo, estos mtodos no han conseguido
todava causar un impacto sustancial en el mercado de WLAN.

Uso de seguridad bsica mediante 802.11 (WEP esttica).

Esta alternativa utiliza una clave compartida para controlar el acceso a la red y la misma clave
sirve para cifrar el trfico inalmbrico. Este modelo simple de autorizacin suele
complementarse con el filtrado de puertos basado en direcciones de hardware de tarjeta de
WLAN, aunque este proceso no forma parte de la seguridad 802.11. El mayor atractivo de este
enfoque es su sencillez. Si bien ofrece una seguridad mayor que las WLAN desprotegidas, este
sistema conlleva serios inconvenientes de administracin y seguridad, sobre todo para empresas
de gran tamao.
Entre los inconvenientes derivados del uso de WEP esttica se incluyen los siguientes:
Las claves de WEP esttica se pueden averiguar en cuestin de horas en una red muy
ocupada por medio de un equipo que cuente con un adaptador de WLAN y herramientas
de piratera como Airsnort o WEPCrack.
El punto ms dbil de WEP esttica es que no existe ningn mecanismo para asignar ni
actualizar la clave de cifrado de red dinmicamente. Sin 802.1X y EAP para implementar
la actualizacin frecuente de la clave, el algoritmo de cifrado que utiliza la WEP esttica
queda vulnerable a ataques de recuperacin de claves.
Es posible cambiar las claves estticas pero el proceso de modificacin en los clientes
inalmbricos y puntos de acceso es, por lo general, manual y laborioso. Adems, las
claves deben actualizarse simultneamente en los clientes y los puntos de acceso para
conservar la conectividad de los clientes. En la prctica, esto es tan difcil de conseguir
que las claves suelen dejarse sin cambiar permanentemente.
La clave esttica necesita compartirse entre todos los usuarios de la WLAN y todos los
puntos de acceso inalmbricos. Ya de por s, esta situacin crea una vulnerabilidad, ya
que un secreto compartido por multitud de personas y dispositivos no suele ser secreto
durante mucho tiempo.

La WEP esttica proporciona a las WLAN un mecanismo de control de acceso muy limitado
basado en el conocimiento de la clave de WEP. Si se descubre el nombre de la red (lo que es
muy fcil) y la clave de WEP, es posible conectarse a la red.
Un modo de mejorar esta situacin es la configuracin de los puntos de acceso inalmbricos de
forma que slo admitan un conjunto predefinido de direcciones de adaptadores de red cliente.
Esto recibe el nombre de filtrado de direcciones de control de acceso a medios (MAC, Media
Access Control). La capa MAC hace referencia al firmware de nivel bajo del adaptador de red.
El filtrado de direcciones de adaptadores de red para controlar el acceso tiene los problemas
siguientes:
La capacidad de administracin deja mucho que desear. El mantenimiento de una lista de
direcciones de hardware para algo ms que un nmero reducido de clientes es una tarea
compleja. Adems, la distribucin y la sincronizacin de esta lista en todos los puntos de
acceso constituyen un desafo considerable.
La escalabilidad tampoco es buena. Los puntos de acceso pueden tener un lmite finito
del tamao de la tabla de filtros, lo que restringe el nmero de clientes que se pueden
admitir.
No hay forma de asociar una direccin de MAC a un nombre de usuario, por lo que slo
se puede autenticar por identidad de equipo y no por identidad de usuario.
Un usuario malintencionado podra suplantar una direccin de MAC "autorizada". Si se
puede descubrir una direccin de MAC legtima, resulta muy fcil para un intruso
utilizarla en lugar de la predefinida grabada en el adaptador.

Las soluciones de claves previamente compartidas solamente resultan prcticas para nmeros
reducidos de usuarios y puntos de acceso debido a la dificultad asociada a la administracin de
actualizaciones de claves en ubicaciones mltiples. Los problemas de cifrado con WEP dan a su
utilidad un carcter dudoso incluso en entornos pequeos.
Por su parte, el modo de clave previamente compartida de WPA proporciona a organizaciones
pequeas un nivel de seguridad alto a cambio de una carga en la infraestructura muy baja. Existe
una amplia gama de componentes de hardware compatibles con WPA PSK y es posible
configurar clientes WLAN manualmente. Todas estas razones hacen que WPA PSK sea la
configuracin preferida para entornos de SOHO.

Uso de redes privadas virtuales.

Probablemente, las VPN constituyen la forma ms popular de cifrado de red; son muchos los
usuarios que confan en las tecnologas probadas y de confianza de VPN para proteger la
confidencialidad de los datos transmitidos por Internet. Cuando se descubrieron las
vulnerabilidades de WEP esttica, VPN se present rpidamente como el mejor modo de
proteger los datos en una WLAN. Este enfoque recibi el apoyo de analistas, como Gartner
Group, y, como era de esperar, los proveedores de soluciones VPN promocionaron su uso con
entusiasmo.
VPN constituye una solucin excelente para el desplazamiento seguro en una red hostil como
Internet (aunque la calidad de las implementaciones VPN puede variar considerablemente). Sin
embargo, no es necesariamente la mejor solucin para asegurar WLAN internas. Para este tipo
de entorno, una VPN no ofrece prcticamente ningn grado de seguridad adicional en
comparacin con las soluciones 802.1X. Adicionalmente, incrementa la complejidad y los costos
significativamente, reduce la capacidad de uso y anula el funcionamiento de caractersticas
importantes.

Nota: estas limitaciones no se aplican al uso de VPN para proteger el trfico en puntos de
conexin pblicos de LAN inalmbrica. La proteccin de los datos de red de usuarios que se
conectan a redes remotas hostiles constituye un uso legtimo de VPN. En este tipo de escenario,
los usuarios aceptan que la conectividad segura sea ms rigurosa y menos funcional que una
conexin de LAN, algo que no espera que ocurra en las oficinas de la empresa.

Las ventajas asociadas con el uso de VPN para proteger WLAN incluyen las siguientes:
La mayora de las organizaciones ya cuentan con una implementacin de VPN, de modo
que los usuarios y el personal de TI ya estn familiarizados con la solucin.

La proteccin de datos VPN suele utilizar cifrado de software que permite la


modificacin y actualizacin de los algoritmos de forma mucho ms sencilla que con
cifrado basado en hardware.
Quizs pueda usar hardware de costo algo ms reducido, ya que la proteccin VPN es
independiente del hardware de WLAN (aunque el precio elevado de hardware de red
compatible con 802.1X ya ha desaparecido prcticamente).

Los inconvenientes del uso de VPN en lugar de seguridad de WLAN nativa incluyen:
VPN no ofrece transparencia de usuario. Normalmente, los clientes VPN requieren que el
usuario inicie la conexin con el servidor VPN de forma manual. Por lo tanto, la
conexin nunca ser tan transparente como una conexin de LAN por cable. Es probable
que los clientes VPN ajenos a Microsoft necesiten especificar credenciales de inicio de
sesin al intentar conectar a la red, adems del inicio de sesin de dominio o red estndar.
Los clientes tendrn que volver a conectarse a la red en caso de que la VPN los
desconecte como consecuencia de una seal de WLAN de baja calidad o si el usuario se
desplaza entre puntos de acceso.
El inicio de la conexin de VPN debe llevarlo a cabo el usuario, por lo que los equipos
inactivos no estarn conectados a la red privada virtual (y, consecuentemente, a la LAN
corporativa). Por lo tanto, no puede realizarse la administracin ni la supervisin remota
de los equipos a menos que haya usuarios conectados. Esto podra impedir la aplicacin
de algunos aspectos de la configuracin de objetos de directiva de grupo (GPO, Group
Policy Object) de equipos como, por ejemplo, secuencias de comandos de inicio de
sesin y software asignado a equipos.
Es posible que los perfiles mviles, las secuencias de comandos de inicio de sesin y el
software implementado mediante GPO no funcionen como debera. A menos que el
usuario decida iniciar la sesin por medio de la conexin VPN desde el inicio de sesin
de Windows, el equipo no se conectar a la LAN corporativa hasta que el usuario haya
iniciado la sesin y la conexin VPN. Hasta entonces, fallar cualquier intento de acceso
a la red segura. Quizs resulte imposible llevar a cabo un inicio de sesin completo en
una conexin VPN con clientes VPN ajenos a Microsoft.
La reanudacin de la actividad tras la suspensin o hibernacin no restablece la conexin
VPN de forma automtica; el usuario tendr que hacerlo manualmente.
Aunque la informacin en el tnel de VPN est protegida, la VPN no ofrece proteccin
alguna a la WLAN. Un intruso puede conectarse a la WLAN y sondear o atacar cualquier
dispositivo conectado a ella.
Los servidores VPN pueden convertirse en limitaciones. Todo acceso de clientes WLAN
a la LAN corporativa se realiza a travs del servidor VPN. Normalmente, los dispositivos
de VPN dan servicio a muchos clientes remotos de baja velocidad. Por lo tanto, la
mayora de las puertas de enlace de VPN no pueden soportar decenas o cientos de
clientes ejecutndose a la velocidad mxima de LAN.
Seguramente, el costo del hardware adicional y la administracin constante de
dispositivos VPN ser muy superior al costo de una solucin de WLAN nativa. Por lo
general, cada sitio necesita su propio servidor VPN adems de puntos de acceso de
WLAN.
Las sesiones de VPN son ms propensas a la desconexin cuando los clientes se
desplazan entre puntos de acceso. Normalmente, las aplicaciones toleran una desconexin
momentnea durante el cambio de puntos de acceso inalmbricos; sin embargo, incluso
una breve interrupcin de la conexin VPN requerir que el usuario vuelva a establecerla
de forma manual.
El costo de licencias de software cliente y servidor VPN, adems del costo de la
implementacin del software, podra suponer un problema para soluciones VPN ajenas a
Microsoft. Es posible que se produzcan problemas referentes a la compatibilidad de
software cliente VPN, ya que los clientes ajenos a Microsoft suelen sustituir
caractersticas bsicas de Windows.
Muchos analistas y proveedores dan por hecho que el nivel de seguridad de VPN es
siempre superior al nivel de seguridad de WLAN. Quizs esto sea cierto en lo que
respecta a WEP esttica pero no lo es necesariamente para las soluciones 802.1X basadas
en EAP descritas en este captulo. Particularmente, los mtodos de autenticacin de VPN
son a menudo mucho menos seguros y, en el mejor de los casos, no ofrecen una
seguridad considerablemente mayor. Por ejemplo, las soluciones de WLAN compatibles
con Microsoft utilizan exactamente los mismos mtodos de autenticacin de EAP que sus
soluciones de VPN (EAP-TLS y MS-CHAP v2). Muchas implementaciones de VPN,
especialmente las basadas en el modo de tnel IPsec, usan la autenticacin de clave
previamente compartida (una contrasea de grupo). Se ha demostrado que este sistema
conlleva vulnerabilidades de seguridad graves; irnicamente, comparte algunas de ellas
con WEP esttica.
Las VPN no ofrecen ningn tipo de seguridad a la WLAN. Aunque la informacin en los
tneles de VPN est protegida, cualquiera puede conectarse a la WLAN e intentar atacar
clientes inalmbricos legtimos y otros dispositivos en la WLAN.

VPN resulta ideal para proteger el trfico en redes hostiles, tanto si el usuario est utilizando una
conexin de banda ancha desde casa como si se trata de un punto de conexin pblico
inalmbrico. Sin embargo, VPN no se dise para proteger trfico de red en redes internas. En
esta funcin, VPN resulta demasiado torpe para la mayora de las organizaciones, la
funcionalidad es demasiado restrictiva para el usuario y su mantenimiento demasiado costoso y
complejo para el departamento de TI.

En casos excepcionales, cuando se necesita un nivel de seguridad superior para un tipo


especfico de trfico o conexin, esta seguridad adicional puede proporcionarla un tnel de VPN
o un modo de transporte IPsec, adems de la proteccin de WLAN nativa. ste supone un uso
mucho ms razonable de los recursos de red.

Uso de seguridad de IP

IPsec permite a dos usuarios de red autenticarse mutuamente de forma segura y autenticar o
cifrar paquetes de red individuales. Puede usar IPsec para colocar una red sobre la otra en modo
de tnel de forma segura o simplemente para proteger paquetes IP transmitidos entre dos
equipos.
El modo de tnel IPsec suele utilizarse en conexiones VPN de sitio a sitio o de acceso de cliente.
Constituye una forma de VPN que funciona mediante la encapsulacin de un paquete IP
completo dentro de un paquete IPsec protegido. Al igual que ocurre con otras soluciones VPN,
esto aade una carga a la comunicacin que no se necesita realmente para la comunicacin entre
sistemas en la misma red. Las ventajas y los inconvenientes del modo de tnel IPsec se trataron
en la descripcin de VPN en la seccin anterior.

IPsec tambin puede proteger el trfico entre dos equipos de un extremo a otro (sin tnel)
mediante el modo de transporte IPSec. Al igual que VPN, IPSec es una excelente solucin en
muchas circunstancias, si bien no puede sustituir directamente a la proteccin de WLAN nativa
que se implementa en la capa de hardware de red.

Algunas de las ventajas de la proteccin por medio del modo de transporte IPsec son:

La transparencia para los usuarios. Al contrario que ocurre con VPN, no se requiere ningn
procedimiento de inicio de sesin especial.
La proteccin de IPsec es independiente del hardware de WLAN. Solamente requiere una
WLAN abierta, sin autenticar. Una vez ms, al contrario que ocurre con VPN, no se necesitan
servidores o dispositivos adicionales, ya que la negociacin de la seguridad se lleva a cabo
directamente entre los equipos a cada extremo de la comunicacin.
El uso de algoritmos de cifrado no est restringido por el hardware de WLAN.

Los inconvenientes del uso de IPsec en lugar de seguridad de WLAN nativa incluyen:

IPSec utiliza slo la autenticacin de nivel de equipo y no hay forma de implementar a la vez
un esquema de autenticacin basado en el usuario. En muchas organizaciones, esto no
constituir necesariamente un problema pero si algn usuario no autorizado consigue iniciar la
sesin en un equipo autorizado, podr acceder tambin a otros equipos protegidos por IPsec en
la red.

Nota: algunas implementaciones de IPSec en plataformas ajenas a Windows utilizan slo la


autenticacin de usuario. Sin embargo, al igual que sucede con la solucin de VPN, el equipo
no estar conectado a la red a menos que el usuario haya iniciado la sesin, lo que impide que
se lleven a cabo determinadas operaciones administrativas y desactiva la funcionalidad de la
configuracin del usuario.

La administracin de directivas de IPSec puede ser muy complicada en grandes


organizaciones. Los intentos de forzar la proteccin general del trfico de IP podran interferir
con otros usos ms especializados de IPSec, donde la proteccin de extremo a extremo es
realmente necesaria.
La seguridad completa exige el cifrado de todo el trfico de extremo a extremo pero algunos
dispositivos pueden ser incompatibles con IPSec, con lo que el trfico se transmitir a estos
dispositivos sin cifrar. IPsec no proporcionar ningn tipo de proteccin a estos dispositivos,
de modo que estarn expuestos a cualquiera que se conecte a la WLAN.
La proteccin de IPSec se manifiesta al nivel de la red en lugar de producirse en la capa de
MAC, por lo que no es totalmente transparente para dispositivos de red, como los servidores
de seguridad. Algunas implementaciones de IPsec no funcionarn en un dispositivo de
traduccin de direcciones de red (NAT, Network Address Translation).
IPsec de extremo a extremo no puede proteger trfico de difusin o multidifusin, ya que IPsec
se basa en dos partes que se autentican e intercambian claves mutuamente.
Aunque la informacin en los paquetes IPsec est protegida, la WLAN no lo est. Un intruso
puede conectarse a la WLAN y sondear o atacar cualquier dispositivo conectado a ella o
escuchar trfico que no est protegido por IPsec.
El cifrado y descifrado de trfico de red IPsec incrementa la carga en las CPU de los equipos.
A su vez, esto puede sobrecargar los servidores de uso intensivo. Esta carga de procesamiento
puede desviarse a tarjetas de red especiales pero no suelen venir integradas en los servidores.
Al igual que VPN, IPsec constituye una solucin excelente para muchos escenarios de seguridad
pero no se ocupa de la seguridad de WLAN tan satisfactoriamente como la proteccin de WLAN
nativa.

La solucin de WLAN 802.1X es la mejor de todas las alternativas disponibles sin lugar a dudas.
Sin embargo, tal y como se mencion en la seccin La seguridad de WLAN, tras tomar la
decisin de utilizar una solucin 802.1X, tendr que elegir entre varias opciones para que su
funcionamiento sea correcto.
Las dos opciones principales son las siguientes:

El uso de contraseas o certificados para la autenticacin de usuarios y equipos.


El uso de proteccin de datos de WLAN WPA o WEP dinmica.

Estas dos opciones son independientes una de la otra.


Como ya mencionamos anteriormente en este captulo, Microsoft cuenta con dos guas de
soluciones de seguridad de WLAN: una de ellas utiliza autenticacin de contraseas y la otra, de
certificados. Ambas soluciones funcionan con WPA o WEP dinmica.

Seleccin de WPA o WEP dinmica

En combinacin con la autenticacin segura y la actualizacin de claves dinmicas que ofrecen


802.1X y EAP, la proteccin de datos de WEP proporciona un nivel de seguridad que resulta
ms que apropiado para la mayora de las organizaciones. Sin embargo, el estndar WPA mejora
esta situacin y proporciona niveles de seguridad an mayores.
Las diferencias entre el uso de WPA y una WEP dinmica en cualquiera de las soluciones son
mnimas y la migracin de un entorno de WEP dinmica a un entorno de WPA es muy simple.
Los cambios principales que conlleva la migracin son los siguientes:

Si el hardware no es compatible con WPAit, deber obtener e implementar actualizaciones de


firmware para su hardware de red (puntos de acceso y adaptadores de red inalmbricos). Las
actualizaciones de firmware para los adaptadores suelen incluirse en las actualizaciones de
controladores de red.
Deber activar WPA en los puntos de acceso inalmbricos.
Deber cambiar la configuracin de clientes WLAN para el uso de WPA en lugar de seguridad
de WEP.
Debera incrementar los tiempos de espera para el cierre de la sesin en la directiva de acceso
remoto del servicio de autenticacin de Internet (IAS, Internet Authentication Service), que se
utiliza para exigir la actualizacin de claves WEP y reducir la carga en el servidor IAS.

Nota: IAS es la implementacin del servidor RADIUS de Microsoft. Se incluye en Windows


Server 2003 pero no se instala de forma predeterminada.

De ser posible, WPA debera ser su primera eleccin. Sin embargo, compruebe que las
cuestiones siguientes no crearn problemas a la hora de usar WPA:

Es posible que el hardware de la red no sea compatible con WPA (esto no suele ocurrir con
dispositivos nuevos pero quizs tenga instalada una amplia base de componentes de hardware
anteriores a WPA).
La compatibilidad con la configuracin controlada por GPO se har disponible en la prxima
actualizacin de Windows Server 2003. Otras versiones no disponen de la compatibilidad y, en
equipos con Windows XP, tendr que llevar a cabo la configuracin de WPA manualmente.
Quizs no todos los clientes en su entorno sean compatibles con WPA; por ejemplo, Windows
2000 (y las versiones anteriores) y Pocket PC no ofrecen compatibilidad integrada para WPA.

Si decide que an no est preparado para implementar WPA, debera utilizar una solucin de
WEP dinmica y considerar la migracin a WPA en cuanto las circunstancias lo permitan.
CONCLUCIONES.

Los protocolos utilizados sobre las redes inalmbricas Wep-Wpa-Wpa2 contienen


vulnerabilidades por tanto es necesario la implementacin de polticas de seguridad
adicionales.

La implementacin de una solucin inalmbrica parte de la necesidad por parte del


cliente y de los requerimientos a suplir.

Durante la fase de diseo de una solucin inalmbrica se requiere conocimiento sobre los
equipos a implementar y la elaboracin de mapas de radiacin con el fin de tener claridad
de los sitios a instalar los Ap.

El diseo de la solucin inalmbrica implica equipos sobre las diferentes capas del
modelo OSI, equipos de capa 2 como es el switch, equipos de capa 3-4 como es el
firewall y Aps que podran ser usados como dispositivos de capa 2 o capa 3.

Dispusimos de un cliente inalmbrico compatible con alguno de los estndares IEEE


802.11a,b,g o n.
REFERENCIAS

enterprise.alcatel-lucent. (2017). ALCATEL-LUCENT ENTERPRISE. Obtenido de


STACKABLE GIGABIT ETHERNET, LAN SWITCH FAMILY.:
http://enterprise.alcatel-lucent.com/assets/documents/OmniSwitch_6450_24-
48_Datasheet_EN.pdf
fortinet. (2017). DATA SHEET FortiGate/FortiWiFi 60D Series. Obtenido de
https://www.fortinet.com/content/dam/fortinet/assets/data-
sheets/FortiGate_FortiWiFi_60D_Series.pdf
Microsoft Corporation. (24 de noviembre de 2004). Determinacin de una estrategia
segura para redes inalmbricas. Obtenido de Principales amenazas fsicas para WLAN:
https://www.microsoft.com/latam/technet/articulos/wireless/pgch02.mspx

Вам также может понравиться