Seguridad y control de acceso en redes inalmbricas.

Arnold Suarez
Universidad Latina de Panam
aesaun68@gmail.com

Abstrac -En este artculo se describe la importancia de la Seguridad y control de acceso en redes inalmbricas, Por la misma naturaleza de las redes inalmbricas que utilizan como medio fsico de transmisin el aire el factor de seguridad es crtico. La seguridad de este tipo de redes se ha basado en la implantacin de la autenticacin del punto de acceso y los clientes con tarjetas inalmbricas permitiendo o denegando los accesos a los recursos de la red. I. INTRODUCCIN

lugar prximo donde le llegase la seal. Es ms, en el caso de un ataque pasivo, donde slo se escucha la informacin, ni siquiera se dejan huellas que posibiliten una identificacin posterior. El canal de las redes inalmbricas, al contrario que en las redes cableadas privadas, debe considerarse inseguro. Cualquiera podra estar escuchando la informacin transmitida. Y no slo eso, sino que tambin se pueden inyectar nuevos paquetes o modificar los ya existentes (ataques activos). Las mismas precauciones que tenemos para enviar datos a travs de Internet deben tenerse tambin para las redes inalmbricas.

A travs de los aos la humanidad se ha visto en la necesidad de utilizar protocolos de seguridad, ya que se han producido muchos robos de datos realizados por intrusos de redes inalmbricas. Seguridad en Redes Inalmbrica nos presenta mecanismos fundamentales y estrategias para la seguridad en redes inalmbricas. La transmisin de datos a travs de ondas de radio, implica amenazas adicionales para la seguridad de nuestra red. La informacin se enva por un canal, al cual cualquier persona puede acceder, mediante un dispositivo wireless, e introducirse en nuestra red. La seguridad es un aspecto que cobra especial relevancia cuando hablamos de redes inalmbricas. Para tener acceso a una red cableada es imprescindible una conexin fsica al cable de la red. Sin embargo, en una red inalmbrica desplegada en una oficina un tercero podra acceder a la red sin ni siquiera estar ubicado en las dependencias de la empresa, bastara con que estuviese en un

II. PARA EVITAR ESTO SE HAN DESARROLLADO VARIAS MEDIDAS, A CONTINUACIN DETALLAMOS LAS MS BSICAS SEGURIDAD EN REDES Privacidad: La informacin no debe ser accesible a cualquiera Integridad: La informacin no debe ser modificada por intrusos Autenticidad: Asegurar que la informacin provenga de un usuario contrastado Disponibilidad: Asegurar la accesibilidad de los recursos (Wireless network en ingls) es un trmino que se utiliza en informtica para designar la conexin de nodos sin necesidad de una conexin fsica (cables), sta se da por medio de ondas electromagnticas. La transmisin y la recepcin se realizan a travs de puertos.

III. TIPOS INALAMBRICAS

DE

REDES

IV.

LAS EN

TECNOLOGAS REDES

UTILIZADAS INALMBRICAS

Es la interconexin de distintos dispositivos con la capacidad de compartir informacin entre ellos, pero sin un medio fsico de transmisin. Las Redes Inalmbricas facilitan la operacin en lugares donde la computadora no puede permanecer en un solo lugar, como en almacenes o en oficinas que se encuentren en varios pisos. Wireless WANs: es una red de computadores que abarca un rea geogrfica relativamente extensa, tpicamente permiten a mltiples organismos como oficinas de gobierno, universidades y otras instituciones conectarse en una misma red. Las WAN tradicionales hacen estas conexiones generalmente por medio de lneas telefnicas, o lneas muertas. Wireless MANs: son redes que permiten la conectividad inalmbrica en areas que abarquen una metrpolis, para dicha redes se utiliza la conexin atreves de wimax, ondas de radio en las frecuencias de 2,3 a 3,5 ghz velocidades de hasta 75 Mbps con distancias de 80km Wireless LANs: las cuales permiten conectar una red de computadores en una localidad geogrfica, de manera inalmbrica para compartir archivos, servicios, impresoras, y otros recursos. Usualmente utilizan redes wifi, seales de radio, las cuales son captadas por PC-Cards, o tarjetas PCMCIA conectadas a laptops, o a slots PCI para PCMCIA de PCs de escritorio. Wireless PANs: es aquella que permite interconectar dispositivos electrnicos dentro de un rango de pocos metros, para comunicar y sincronizar informacin. La tecnologa lder en esta rea es Bluetooth, y ms adelante en publicaremos algunos artculos sobre esta tecnologa.

a) Wimax, siglas de Worldwide Interoperability for Microwave Access (Interoperabilidad mundial para acceso por microondas), es una norma de transmisin de datos que utiliza las ondas de radio en las frecuencias de 2,3 a 3,5 Ghz. Distancias de hasta 80 kilmetros, con antenas muy direccionales y de alta ganancia. Velocidades de hasta 75 Mbps, 35+35 Mbps, siempre que el espectro est completamente limpio. Es una tecnologa Es Simtrico Fig 1 Logo Wimax

Fig 1 - ImgWi

b) Wi-Fi ("Wireless Fidelity"): en lenguaje espaol significa literalmente fidelidad sin cables. Tambin se les denomina WLAN ("Wireless Local Area Network") redes de rea loca inalmbricas. Se trata de una tecnologa de transmisin inalmbrica por medio de ondas de radio con muy buena calidad de emisin para distancias cortas (hasta tericamente 100 m). Ofrecen velocidades de 11 Mbps (Megabits por segundo) Fig 2 Logo WiFi

Fig 2 - ImgWiFi

c) Infrarrojo (Ir): se trata de una tecnologa de transmisin inalmbrica por medio de ondas de calor a corta distancia (hasta 1 m), capaces de traspasar cristales. Tiene una velocidad promedio de transmisin de datos hasta de 115 Kbps (Kilobits por segundo), no utiliza ningn tipo de antena, sino un diodo emisor semejante al de los controles remoto para televisin. Funciona solamente en lnea recta. Fig 3 Logo Ir

e) Microondas: se trata de comunicaciones a gran escala, muy caras y con poco uso domstico. Las hay de dos tipos: Satelitales: se realizan a travs de bases terrestres con antenas que envan seales al satlite, este se encarga de direccionarlas hacia la estacin receptora con la onda amplificada para evitar prdidas. Terrestres: se basan en conexiones denominadas punto a punto, ya que sus antenas deben estar sin obstculos fsicos para evitar fallas en la transmisin.

Fig 3 Img Ir

d) BlueTooth: en lenguaje espaol significa literalmente diente azul. Se trata de una tecnologa de transmisin inalmbrica por medio de ondas de radio de corto alcance (1, 20 y 100 m a la redonda dependiendo la versin). Las ondas pueden incluso ser capaces de cruzar cierto tipo de materiales, incluyendo muros. Fig 4 Logo BlueTooth

f) Lser: son tecnologas de muy alta velocidad, basadas en el envo de datos en grandes regiones por medio de un haz de luz lser emitida por un diodo especial (hasta 5 Km de distancia) y un fotodiodo que reciba las seales. Tiene la desventaja de que es necesaria una conexin punto a punto, esto es que el emisor y el receptor no cuenten con ningn tipo de obstculo entre s. V. MECANISMO DE SEGURIDAD EN REDES INALMBRICAS SEGURIDAD WEP La IEEE public un mecanismo opcional de seguridad, denominado WEP, en la norma de redes inalmbricas 802.11. WEP (Wired Equivalent Privacy, Privacidad Equivalente al Cable) es el algoritmo opcional de seguridad para brindar proteccin a las redes inalmbricas, incluido en la primera versin del estndar IEEE 802.11, mantenido sin cambios en las nuevas 802,11a y 802.11b, con el fin de garantizar compatibilidad entre distintos fabricantes. El WEP es un sistema de encriptacin estndar implementado en la MAC y soportado por la mayora de las soluciones inalmbricas. En ningn caso es compatible con IPSec. El propsito de WEP es garantizar que los sistemas WLAN dispongan de un nivel de

Fig 3 Img BlueTooth

confidencialidad equivalente al de las redes LAN cableadas, mediante el cifrado de los datos que son transportados por las seales de radio. Un propsito secundario de WEP es el de evitar que usuarios no autorizados puedan acceder a las redes WLAN (es decir, proporcionar autenticacin). Este propsito secundario no est enunciado de manera explcita en el estndar 802.11, pero se considera una importante caracterstica del algoritmo WEP. Estndar: El estndar IEEE 802.11 proporciona mecanismos de seguridad mediante procesos de autenticacin y cifrado. En el modo de red Ad Hoc o conjunto de servicios avanzados, la autenticacin puede realizarse mediante un sistema abierto o mediante clave compartida. Una estacin de red que reciba una solicitud puede conceder la autorizacin a cualquier estacin, o slo a aquellas que estn incluidas en una lista predefinida. En un sistema de clave compartida, slo aquellas estaciones que posean una llave cifrada sern autenticadas. WEP emplea el algoritmo RC4 de RSA Data Security, y es utilizado para cifrar las transmisiones realizadas a travs del aire. WEP es un elemento crtico para garantizar la confidencialidad e integridad de los datos en los sistemas WLAN basados en el estndar 802.11, as como para proporcionar control de acceso mediante mecanismos de autenticacin. Consecuentemente, la mayor parte de los productos WLAN compatibles con 802.11 soportan WEP como caracterstica estndar opcional. Seguridad WEP Es un sistema de encriptacin estndar 802.11 Se implementa en la capa MAC Soportada por la mayora de vendedores de soluciones inalmbricas

Cifra los datos enviados a travs de las ondas de radio Utiliza el algoritmo de encriptacin RC4 Funcionamiento de WEP Concatena la llave simtrica compartida de 40 a 64 bits, de la estacin con un vector de iniciacin aleatorio (IV) de 24 bits, esta estructura se denomina Seed El Seed se utiliza para un nmero pseudoaleatorio, de longitud igual al playload (datos+ CRC), y un valor de 32 bits para chequear la integridad (ICV) Esta llave y el ICV, junto con el payload (datos + CRC) se combinan a travs de un proceso XOR que producir el texto cifrado La trama envianda incluye el texto cifrado y el IV y ICV sin encriptar El ICV acta checksum, ser utilizado pro la estacin receptora para recalcularlo y compararlo con la recibida Si el ICV no concuerda con el ICV calculado, se descarta la trama e incluso al emisor de la misma El IV se utiliza para desencriptar, junto con la llave simtrica compartida, los datos y el CRC de la trama Debilidad de WEP Longitud del vector IV (24 bits) insuficientes El IV se repetir dad cierto tiempo de transmisin continua para paquetes distintos, pudiendo averiguar la llave compartida Utilizacin de llaves estticas, el cambio de llave se debe realizar manualmente

 A pesar de todo, WEP Ofrece un mnimo de seguridad Cifrado: WEP utiliza una clave secreta compartida entre una estacin inalmbrica y un punto de acceso. Todos los datos enviados y recibidos entre la estacin y el punto de acceso pueden ser cifrados utilizando esta clave compartida. El estndar 802.11 no especifica cmo se establece la clave secreta, pero permite que haya una tabla que asocie una clave exclusiva con cada estacin. Para proteger el texto cifrado frente a modificaciones no autorizadas mientras est en trnsito, WEP aplica un algoritmo de comprobacin de integridad (CRC-32) al texto en claro, lo que genera un valor de comprobacin de integridad (ICV). Dicho valor de comprobacin de integridad se concatena con el texto en claro. El valor de comprobacin de integridad es, de hecho, una especie de huella digital del texto en claro. El valor ICV se aade al texto cifrado y se enva al receptor junto con el vector de inicializacin. El receptor combina el texto cifrado con el flujo de clave para recuperar el texto en claro. Al aplicar el algoritmo de integridad al texto en claro y comparar la salida con el vector ICV recibido, se puede verificar que el proceso de descifrado ha sido correcto que los datos han sido corrompidos. Si los dos valores de ICV son idnticos, el mensaje ser autenticado; en otras palabras, las huellas digitales coinciden. Autenticacin: WEP proporciona dos tipos de autenticacin: un sistema abierto, en el que todos los usuarios tienen permiso para acceder a la WLAN, y una autenticacin mediante clave compartida, que controla el acceso a la WLAN y evita accesos no autorizados a la red. De los dos niveles, la autenticacin mediante clave compartida es el modo seguro. En l se utiliza una clave secreta compartida entre todas las estaciones y

puntos de acceso del sistema WLAN. Cuando una estacin trata de conectarse con un punto de acceso, ste replica con un texto aleatorio, que constituye el desafo (challenge). La estacin debe utilizar la copia de su clave secreta compartida para cifrar el texto de desafo y devolverlo al punto de acceso, con el fin de autenticarse. El punto de acceso descifra la respuesta utilizando la misma clave compartida y compara con el texto de desafo enviado anteriormente. Si los dos textos son idnticos, el punto de acceso enva un mensaje de confirmacin a la estacin y la acepta dentro de la red. Si la estacin no dispone de una clave, o si enva una respuesta incorrecta, el punto de acceso la rechaza, evitando que la estacin acceda a la red. La autenticacin mediante clave compartida funciona slo si est habilitado el cifrado WEP. Si no est habilitado, el sistema revertir de manera predeterminada al modo de sistema abierto (inseguro), permitiendo en la prctica que cualquier estacin que est situada dentro del rango de cobertura de un punto de acceso pueda conectarse a la red. Esto crea una ventana para que un intruso penetre en el sistema, despus de lo cual podr enviar, recibir, alterar o falsificar mensajes. Es bueno asegurarse de que WEP est habilitado siempre que se requiera un mecanismo de autenticacin seguro. Incluso, aunque est habilitada la autenticacin mediante clave compartida, todas las estaciones inalmbricas de un sistema WLAN pueden tener la misma clave compartida, dependiendo de cmo se haya instalado el sistema. En tales redes, no es posible realizar una autenticacin individualizada; todos los usuarios, incluyendo los no autorizados, que dispongan de la clave compartida podrn acceder a la red. Esta debilidad puede tener como resultado accesos no autorizados, especialmente si el sistema incluye un gran nmero de usuarios. Cuantos ms usuarios haya, mayor ser la probabilidad de que la clave compartida pueda caer en manos inadecuadas. Caractersticas Segn el estndar, WEP debe proporcionar confidencialidad, autentificacin y control de acceso en redes WLAN. WEP utiliza una

misma clave simtrica y esttica en las estaciones y el punto de acceso. El estndar no contempla ningn mecanismo de distribucin automtica de claves, lo que obliga a escribir la clave manualmente en cada uno de los elementos de red. Esto genera varios inconvenientes. Por un lado, la clave est almacenada en todas las estaciones, aumentando las posibilidades de que sea comprometida. Y por otro, la distribucin manual de claves provoca un aumento de mantenimiento por parte del administrador de la red, lo que conlleva, en la mayora de ocasiones, que la clave se cambie poco o nunca. Algoritmos: El algoritmo de encriptacin utilizado es RC4 con claves (seed), segn el estndar, de 64 bits. Estos 64 bits estn formados por 24 bits correspondientes al vector de inicializacin ms 40 bits de la clave secreta. Los 40 bits son los que se deben distribuir manualmente. El vector de inicializacin (IV), en cambio, es generado dinmicamente y debera ser diferente para cada trama. El objetivo perseguido con el IV es cifrar con claves diferentes para impedir que un posible atacante pueda capturar suficiente trfico cifrado con la misma clave y terminar finalmente deduciendo la clave. Como es lgico, ambos extremos deben conocer tanto la clave secreta como el IV. Lo primero sabemos ya que es conocido puesto que est almacenado en la configuracin de cada elemento de red. El IV, en cambio, se genera en un extremo y se enva en la propia trama al otro extremo, por lo que tambin ser conocido. Observemos que al viajar el IV en cada trama es sencillo de interceptar por un posible atacante. SEGURIDAD WPA WPA fue diseado y evaluado por conocidos criptgrafos y puede ser implementado rpida y econmicamente como software o actualizacin de firmware de los actuales access points certificados Wi-Fi o

dispositivos cliente con una mnima degradacin en el nivel de desempeo de la red. Asimismo, ofrece seguridad Wi-Fi certificada y basada en estndares, lo cual asegura a los usuarios que los dispositivos podrn ser compatibles con mltiples marcas y proveedores. WPA brinda un alto nivel de resguardo a las empresas o usuarios hogareos. Para las empresas que ya tienen autenticacin IEEE 802.1X desplegada, WPA ofrece la ventaja de mejorar la autenticacin a sus bases de datos e infraestructura. WPA asumi desde su desarrollo inicial todas las vulnerabilidades conocidas y detectadas en WEP, la cual era menos segura por contar con un nivel de encriptacin menos avanzado. WPA, asimismo, aportaba un elemento del que WEP careca: autenticacin de usuario. Diseado para asegurar la actual y las futuras versiones de los dispositivos 802.11, WPA puede entenderse como una parte de la especificacin 802.11i. As, WPA reemplaza WEP con una nueva y ms robusta tecnologa de encriptacin llamada TKIP con Message Integrity Check (MIC), sistema que garantiza que un paquete no ha sido modificado en trnsito. Esto provee un esquema de autenticacin mutua usando cualquier autenticacin IEEE802.1X EAP (Extensible Authentication Protocol) o tecnologa PSK (Pre Shared Key).

mecanismos de seguridad mediante procesos de autenticacin y cifrado. En el modo de red Ad Hoc o conjunto de servicios avanzados, la autenticacin puede realizarse mediante un sistema abierto o mediante clave compartida.

(Wired Equivalent Privacy, Privacidad Equivalente al

Cable) es el algoritmo opcional de seguridad para brindar proteccin a las redes inalmbricas, incluido en la primera versin del estndar IEEE 802.11, mantenido sin cambios en las nuevas 802,11a y 802.11b, con el fin de garantizar compatibilidad entre distintos fabricantes. El WEP es un sistema de encriptacin estndar implementado en la MAC y soportado por la mayora de las soluciones inalmbricas. En ningn caso es compatible con IPSec.

VI.

CONCLUSIN

La seguridad en las redes inalmbricas es un aspecto crtico que no se puede descuidar. Debido a que las transmisiones viajan por un medio no seguro, se requieren mecanismos que aseguren la confidencialidad de los datos as como su integridad y autenticidad. A pesar de la fortaleza potencial de WEP, incluido en la norma IEEE para proporcionar seguridad, para proteger la confidencialidad e integridad de los datos, tiene una serie de limitaciones que solo se pueden evitar mediante una adecuada gestin. La distribucin de claves constituye otro problema. La mayor parte de las redes WLAN comparte una misma clave entre todas las estaciones y puntos de acceso de la red. Resulta poco probable que una clave compartida entre muchos usuarios permanezca secreta indefinidamente. Algunos administradores de red abordan este problema configurando las estaciones inalmbricas con la clave secreta ellos mismos, en lugar de permitir que los usuarios finales realicen esta tarea. sta es una solucin imperfecta, porque la clave compartida contina estando almacenada en las computadoras de los usuarios, donde es vulnerable. Adems, si queda comprometida la clave en una nica estacin, todas las otras estaciones del sistema debern ser reconfiguradas con una clave nueva. La mejor solucin entonces consiste en asignar una clave unvoca a cada estacin y efectuar cambios de clave frecuentes. RECOMENDACIONES Use una clave de seguridad de red. Si tiene una red inalmbrica, debe configurar una clave de seguridad de red, que activa el cifrado. Con el cifrado activado, nadie podr conectarse a su red sin la clave de seguridad. Adems, cualquier informacin que se enve a travs de la red se cifrar y, por lo tanto, slo podrn leerla los equipos que tienen la clave para descifrar la informacin. Esto puede ayudar a impedir los intentos de acceso no autorizado a la red y a los archivos. WPA

(Acceso protegido Wi-Fi) y WPA2 son mtodos de cifrado de red inalmbrica comunes. Para obtener ms informacin, consulte Configurar una clave de seguridad para una red inalmbrica. Cambie el nombre y la contrasea de administrador predeterminados del enrutador o el punto de acceso Si tiene un enrutador o un punto de acceso, es probable que use un nombre y una contrasea predeterminados para configurar el equipo. La mayora de los fabricantes usan el mismo nombre y contrasea predeterminados para todos los equipos. Es posible que alguien pueda usarlos para obtener acceso al enrutador o al punto de acceso sin su conocimiento. Para evitar ese riesgo, cambie el nombre de usuario y la contrasea predeterminados del enrutador. Consulte la documentacin que acompaa al dispositivo para obtener instrucciones acerca de cmo cambiar el nombre y la contrasea. Cambie el SSID predeterminado. Los enrutadores y los puntos de acceso usan un nombre de red inalmbrica conocido como identificador de red (SSID). La mayora de los fabricantes usan el mismo SSID para todos lo enrutadores y puntos de acceso. Se recomienda que cambie el SSID predeterminado para evitar que la red inalmbrica se confunda con otras redes inalmbricas que pueden utilizar el SSID predeterminado. Esto facilitar la identificacin de su red inalmbrica si existen varias alrededor, ya que el SSID suele aparecer en la lista de redes disponibles. Consulte la documentacin que acompaa al dispositivo para obtener instrucciones acerca de cmo cambiar el SSID predeterminado.

Elija cuidadosamente la ubicacin enrutador o el punto de acceso.

del

Las seales inalmbricas pueden alcanzar varias decenas de metros y, por lo tanto, la seal de su red puede difundirse fuera de los lmites de su hogar. Puede limitar el rea de alcance de la seal inalmbrica colocando el enrutador o el punto de acceso en un lugar central de la casa, en lugar de ponerlo junto a una pared exterior o una ventana. REFERENCIA Sitios Web Axis Comunication http://www.axis.com/es/products/video/about _networkvideo/security_wireless.htm Seguridad y control de acceso en redes inalmbricas. Saulo http://www.saulo.net/pub/inv/SegWiFiart.htm Seguridad y control de acceso en redes inalmbricas. Libros ROSCH WINN L. (2006) Todo sobre Multimedia. Editorial Prentice Hall

Hispanoamericana, S. A. Visita Nuestro Blog http://aesaulat.blogspot.com/