Beruflich Dokumente
Kultur Dokumente
WIFI, WIMAX, GSM, Bluetooth, Infrarrojos (IrDA), etc, son algunas de las nuevas tecnologas inalmbricas que han proliferado en los ltimos aos. Los dispositivos inalmbricos constituyen una de las grandes revoluciones de este siglo.
Las tecnologas inalmbricas (Wireless, en ingls) han contribudo en gran manera a otro fenmeno que es la movilidad. Esta ha cambiado en el ltimo par de aos, sin que muchos lo perciban, la estructura y la topologa de las redes empresariales. Los dispositivos de almacenamiento de informacin que antes eran fijos y estaban protegidos por las defensas perimetrales, ahora son mviles y "pasean" por todo el planeta.PC porttiles, PDAs y telfonos celulares portan, muchas veces, archivos con informacin confidencial de las organizaciones.. Cada una de las tecnologas inalmbricas (Wireless) reseadas tiene su mbito de aplicacin y sus ventajas y debilidades. Analizaremos con ms detalle slo un par de las ms populares y complementarias de WIFI. WIMAX (Estndar IEEE 802.16 y sus variantes) : Es una tecnologa inalmbrica (wireless), complementaria de WIFI y que ha sido concebida y desarrollada para cubrir las necesidades de la "ltima milla", o sea para suministrar servicios de Banda Ancha a campus universitarios, urbanizaciones, etc en tramos de pocos kilmetros. El rango tpico de WIMAX es de tres a diez kilmetros, aunque puede alcanzar ms de 40 Kms..Como veremos ms adelante WiFi / 802.11, es muy til en distancias que no excedan los 80/100 metros y en ambientes internos. Se han hecho y se siguen haciendo conexiones con Wi-Fi a distancias mucho mayores, utilizando antenas y/o amplificadores, pero no es la tecnologa ideal para esto. Los estndares WiMax aprobados y que se estn comenzando a utilizar son los siguientes: Estndar WIMAX IEEE 802.16 IEEE 802.16a IEEE 802.16-2004 IEEE 802.16e-2005 Aprobado Dec. 2001 Ene. 2003 Jun. 2004 Dec. 2005 Frecuencia Finalidad 10 - 66 GHz 2 - 11 GHz Banda Ancha Fija 2 - 11 GHz Soporte para Usuarios 2 - 11 GHz (<6GHz) Aadir Movilidad
Existe un estndar similar a WIMAX que es el HiperMAN, generado por el ETSI (European Telecomunications Standards Institute) y que suministra servicios de Banda Ancha Inalmbrica (Wireless) en las frecuencias 2-11 GHz.
La organizacin que regula, homologa y certifica los productos WIMAX, se llama WIMAX Forum y tiene caractersticas similares a la Wi-Fi Alliance. Slo los equipos y dispositivos que sean "WIMAX Forum Certified" nos aseguran una compatibilidad probada con equipos y dispositivos de otras marcas. Bluetooth (Estndar IEEE 802.15): Es una tecnologa inalmbrica de corto alcance orientada a la transmisin de voz y datos. Funciona en la banda de frecuencia de 2.4 GHz que no requiere licencia y tiene un alcance de 10/100 metros dependiendo de los dispositvos. Los ms comunes de uso empresarial suelen ser del tipo 2, o sea con un radio de accin de 10 metros. Existen, bsicamente, dos versiones: La 1.2 aprobada en Noviembre de 2003 que transmite a una velocidad de 1 Mbps y la 2.0 adoptada en Noviembre de 2004 que transmite a 3 Mbps. La organizacin que regula y promueve la tecnologa Bluetooth es el "SIG" - Special Interest Group. Su funcin es la de desarrollar la tecnologa y coordinar a los miles de fabricantes que la incluyen en sus productos. Como hemos visto hasta ahora, la tecnologa Bluetooth se utiliza para conexiones de corto alcance (hasta 10 metros y generalmente dentro de una oficina). La tecnologa WIMAX , es muy til para conexiones de unos kilometros y es excelente para servicios de banda ancha. La particularidad de WIFI es que nos cubre el rango de 1 a 100 metros y es ideal para disear redes empresariales inalmbricas - wireless . Esa es su principal importancia.
Tecnologa WiFi
Como veremos a lo largo de este curso, la instalacin de redes wifi resulta generalmente un poco engaosa. Montarlas parece sencillo, an ms sencillo que las redes cableadas, pero luego resulta bastante complejo lograr configurarlas ptimamente, si no se tienen las herramientas adecuadas y slidos conocimientos. Ms difcil an resulta protegerlas. Por lo tanto antes de montar una Red Inalmbrica WiFi es importante recordar la siguiente conclusin: La Tecnologa WiFi utilizada en las Redes Inalmbricas tiene ciertas peculiaridades que la caracterizan: 1. Las Redes inalmbricas WIFI, son muy fciles de adquirir 2. Las Redes inalmbricas WIFI, son bastante difciles de configurar 3. Las Redes inalmbricas WIFI, son extremadamente difciles de proteger
Aclaremos, entonces, Qu es WiFi?. Wi-Fi , es el nombre comercial del estndar IEEE 802.11. Algunos dicen, errneamente, que es la abreviatura de "Wireless Fidelity", pero en realidad es un nombre de "fantasa" que se eligi por la semejanza con "Hi-Fi".Adems, es una tecnologa novedosa y prctica que se est difundiendo muy rpidamente por todo el
planeta. Por estos mismos motivos, WiFi es una tecnologa inmadura, que va requiriendo nuevos estndares o modificaciones en los estndares existentes, a medida que van apareciendo inconvenientes.
Un tema fundamental a tener en cuenta es que, a diferencia de Etherneth que enva seales elctricas a travs del cable, WIFI enva energa de Radio Frecuencia a travs del aire. El cable es un medio exclusivo, mientras que el aire es un medio compartido, por lo tanto, la informacin que se transmite por el cable es privada, a diferencia de la que se transmite por el aire que es pblica. El alcance aproximado de las ondas de RF en las redes WiFi es de 100 metros. Como se discutir ampliamente en prximos captulos, el hecho de que la informacin en las redes inalmbricas WIFI "viaje" por el aire, y no por cable, genera grandes problemas de seguridad. Red Cableada Ethernet Enva la informacin a travs de un medio exclusivo: CABLE Ethernet enva seales elctricas La informacin que "viaja" por cable no puede ser vista por extraos Red Inalmbrica WIFI Enva la informacin a travs de un medio compartido: AIRE WIFI enva energa, ondas de RF La informacin que "viaja" por el aire puede ser vista por cualquiera
b) Dispositivos Mviles
Los hay muy diversos como computadores porttiles (Notebooks), PDAs , telfonos celulares. Estos tienen instalados tarjetas PCMCIA o dispositivos USB con capacidades WI-FI y pueden, por lo tanto, recibir o enviar informacin a los Puntos de Acceso o a otros dispositivos de manera inalmbrica (RF). En la actualidad ya abundan los que tienen la tecnologa WI-FI incorporada en el procesador (Intel, Atheros, etc.) y por lo tanto no necesitan de agregados USB o PCMCIAs. Ver figura 2 del archivo Redes-Inalmbricas-Cu rso-Gratis.pdf c)Dispositivos Fijos Los computadores de sobremesa o fijos (desktops), las impresoras, cmaras de vigilancia, etc. tambin pueden incorporar tecnologa WI-FI y, por lo tanto, ser parte de una red inalmbrica. d)Otros elementos Tambin existen amplificadores y antenas que se pueden agregar, segn las necesidades, a instalaciones WI-FI y sirven para direccionar y mejorar las seales de RF transmitidas
b)Red WIFI Ad-Hoc Esta arquitectura se basa en 1 slo elemento: Estaciones cliente (fijas o mviles). Estas se conectan entre s para intercambiar informacin de manera inalmbrica como se observa en la figura 4 del archivo Redes-Inalmbricas-Cu rso-Gratis.pdf c) Identificacin de Puntos de Acceso y Estaciones WIFI en Redes Inalmbricas
Direcciones MAC (MAC Media Access Control Address) : Es un nmero de 48 bits asignado por el fabricante a los dispositivos inalmbricos: Puntos de Acceso, tarjetas WI-FI, USBs WI-FI, etc.. Aunque est grabado en el hard, se puede modificar por soft. b)SSID (Service Set Identifier) : Cada AP tiene uno de hasta 32 bytes. Sirve para identificar a la red inalmbrica. c)IBSS (Independent Basic Service Set) : Identifica a las redes Ad-Hoc pues hay que recordar que en stas no hay Punto de Acceso
b) Dispositivos Mviles Los hay muy diversos como computadores porttiles (Notebooks), PDAs , telfonos celulares. Estos tienen instalados tarjetas PCMCIA o dispositivos USB con capacidades WI-FI y pueden, por lo tanto, recibir o enviar informacin a los Puntos de Acceso o a otros dispositivos de manera inalmbrica (RF). En la actualidad ya abundan los que tienen la tecnologa WI-FI incorporada en el procesador (Intel, Atheros, etc.) y por lo tanto no necesitan de agregados USB o PCMCIAs. Ver figura 2 del archivo Redes-Inalmbricas-Cu rso-Gratis.pdf c)Dispositivos Fijos Los computadores de sobremesa o fijos (desktops), las impresoras, cmaras de vigilancia, etc. tambin pueden incorporar tecnologa WI-FI y, por lo tanto, ser parte de una red inalmbrica. d)Otros elementos
Tambin existen amplificadores y antenas que se pueden agregar, segn las necesidades, a instalaciones WI-FI y sirven para direccionar y mejorar las seales de RF transmitidas
b)Red WIFI Ad-Hoc Esta arquitectura se basa en 1 slo elemento: Estaciones cliente (fijas o mviles). Estas se conectan entre s para intercambiar informacin de manera inalmbrica como se observa en la figura 4 del archivo Redes-Inalmbricas-Cu rso-Gratis.pdf c) Identificacin de Puntos de Acceso y Estaciones WIFI en Redes Inalmbricas Direcciones MAC (MAC Media Access Control Address) : Es un nmero de 48 bits asignado por el fabricante a los dispositivos inalmbricos: Puntos de Acceso, tarjetas WI-FI, USBs WI-FI, etc.. Aunque est grabado en el hard, se puede modificar por soft. b)SSID (Service Set Identifier) : Cada AP tiene uno de hasta 32 bytes. Sirve para identificar a la red inalmbrica. c)IBSS (Independent Basic Service Set) : Identifica a las redes Ad-Hoc pues hay que recordar que en stas no hay Punto de Acceso
El estndar 802.11 es bastante ambiguo y no define con claridad todas las funciones que debera realizar un Punto de Acceso y slo lo describe de una manera muy superficial. Esto dio lugar a que cada fabricante lo diseara segn su criterio y, por lo tanto existen en el mercado decenas de Puntos de Acceso con caractersticas y funcionalidades muy dispares. En el captulo correspondiente a Puntos de Acceso (Access Points) analizaremos en detalle estas caractersticas.
b) Dispositivos Mviles Los hay muy diversos como computadores porttiles (Notebooks), PDAs , telfonos celulares. Estos tienen instalados tarjetas PCMCIA o dispositivos USB con capacidades WI-FI y pueden, por lo tanto, recibir o enviar informacin a los Puntos de Acceso o a otros dispositivos de manera inalmbrica (RF). En la actualidad ya abundan los que tienen la tecnologa WI-FI incorporada en el procesador (Intel, Atheros, etc.) y por lo tanto no necesitan de agregados USB o PCMCIAs. Ver figura 2 del archivo Redes-Inalmbricas-Cu rso-Gratis.pdf c)Dispositivos Fijos Los computadores de sobremesa o fijos (desktops), las impresoras, cmaras de vigilancia, etc. tambin pueden incorporar tecnologa WI-FI y, por lo tanto, ser parte de una red inalmbrica. d)Otros elementos Tambin existen amplificadores y antenas que se pueden agregar, segn las necesidades, a instalaciones WI-FI y sirven para direccionar y mejorar las seales de RF transmitidas
b)Red WIFI Ad-Hoc Esta arquitectura se basa en 1 slo elemento: Estaciones cliente (fijas o mviles). Estas se conectan entre s para intercambiar informacin de manera inalmbrica como se observa en la figura 4 del archivo Redes-Inalmbricas-Cu rso-Gratis.pdf c) Identificacin de Puntos de Acceso y Estaciones WIFI en Redes Inalmbricas Direcciones MAC (MAC Media Access Control Address) : Es un nmero de 48 bits asignado por el fabricante a los dispositivos inalmbricos: Puntos de Acceso, tarjetas WI-FI, USBs WI-FI, etc.. Aunque est grabado en el hard, se puede modificar por soft. b)SSID (Service Set Identifier) : Cada AP tiene uno de hasta 32 bytes. Sirve para identificar a la red inalmbrica. c)IBSS (Independent Basic Service Set) : Identifica a las redes Ad-Hoc pues hay que recordar que en stas no hay Punto de Acceso
IEEE 802.11 IEEE 802.11a IEEE 802.11b IEEE 802.11g IEEE 802.11n
a) Estndar 802.11: Fue el primero y las velocidades de 1 y 2 Mbps eran muy pequeas y no permitan implementar aplicaciones empresariales de envergadura, por lo tanto se crearon nuevos grupos de trabajo para crear otros estndares. b) Estndar 802.11a: Permite realizar transmisiones con velocidades mximas de 54 Mbps y opera en una banda de frecuencia superior a los 5 GHz, por lo tanto no es compatible con el estndar 802.11b y el estndar 802.11g. A pesar de ser el "a" es, prcticamente, el ms nuevo pues esa banda de frecuencia estaba asignada en muchos pases a fuerzas pblicas (bomberos, cruz roja, etc) y recin ltimamente est siendo liberada. Es muy til, como veremos en otros captulos, en ciertos casos. Por ejemplo para
separar el trfico o para zonas con mucho ruido e interferencias. Adems con el estndar 802.11a se pueden llegar a utilizar hasta 8 canales no superpuestos. c) Estndar 802.11b: Las conexiones funcionan a una velocidad mxima de 11 Mbps y opera en una banda de 2,4 GHz. Es el ms popular pues fue el primero en imponerse y existe un inventario muy grande de equipos y dispositivos que manejan esta tecnologa. Adems, al ser compatible con el estndar 802.11g permiti la incorporacin de ste ltimo a las redes inalmbricas wifi ya existentes. Con el estndar 802.11b, slo se pueden utilizar 3 canales no superpuestos (de los 11 existentes) en la mayora de los pases. En Europa, segn los estndares ETSI, se pueden utilizar 4 canales de los 13 existentes. No todos lo Puntos de Acceso Inalmbrico sirven para los 2 sistemas, as que es importante tenerlo en cuenta a la hora de adquirir un Access Point. c) Estndar 802.11g: Las conexiones funcionan a una velocidad mxima de 54 Mbps y opera en una banda de 2,4 GHz. El estndar 802.11g fue aprobado a mediados del ao 2003 y se populariz rpidamente por su compatibilidad con el estndar 802.11b. Lo que muchos desconocen es que al mezclar equipos del estndar 802.11b con equipos del estndar 802.11g la velocidad la fija el equipo ms lento, o sea que la instalacin mixta seguir funcionando generalmente a velocidades lentas. Respecto de los canales aqu caben las mismas observaciones que para el estndar 802.11b, o sea que con el estndar 802.11g se pueden utilizar 3 canales no superpuestos de los 11 disponibles y en Europa 4 de los 13 canales disponibles. Los canales que generalmente se utilizan con el estndar 802.11g y con el estndar 802.11b son: "1", "6" y "11" y en Europa: "1", "4", "9" y "13". c) Estndar 802.11n: Es un estndar nuevo que an est en elaboracin. Si bien se est trabajando en l desde el ao 2004, slo se ha logrado hasta ahora un borrador, que todava no es definitivo y que, como suele suceder , puede ser modificado hasta la aprobacin final del estndar 802.11n. El objetivo es elaborar un estndar con velocidades de transmisin superiores a 100 Mbps. El proceso se est demorando pues entre los promotores del estndar se han formado dos grupos antagnicos WWiSE y TGn Sync. Ninguno de los dos tiene una mayora suficiente para imponer su tecnologa y por lo tanto estn trabadas las negociaciones. En 2005 se cre otro grupo con empresas de ambos bandos para tratar de encontrar algn punto medio. Este grupo es el "Enhanced Wireless Consortium - EWC". En lo nico que estn los dos grupos de acuerdo es en la utilizacin de una nueva tecnologa conocida como MIMO ( ) que permite incrementar el ancho de banda y el alcance en WIFI utilizando Multiplexing. Segn se apruebe la propuesta de un grupo u otro, las velocidades podran variar entre 135 Mbps y 300 Mbps y las bandas de frecuencia seran 10GHz, 20GHz o 40GHz. c) El Dilema Pre-estndar 802.11n: En las redes inalmbricas WIFI, el tema de la homologacin y certificacin de equipos, no es un tema menor. Conviene aclarar, desde ya, y enfatizar que la compra de equipos homologados y certificados por la WiFi Alliance (Organizacin que agrupa a los fabricantes de productos WiFi) es de vital importancia para garantizar un funcionamiento armnico de los diversos elementos que componen una red inalmbrica wifi. Debido a las demoras que se estn produciendo con este estndar, y ante la avidez de los
consumidores por instalar redes inalmbricas wifi con velocidades superiores a 54 Mbps, existen algunos fabricantes que desde hace varios meses estn ofreciendo productos "supuestamente" del estndar 802.11n. Como se explic anteriormente, el estndar 802.11n an no existe y slo hay un borrador que todava puede ser modificado una o ms veces. Por consiguiente la WiFi Alliance, ha comunicado que no certificar productos respecto del inexistente estndar 802.11n. Por todo esto es importante dejar claro a todos los usuarios que cualquier producto que compren de 802.11n no es estndar y puede presentar ahora y, an ms en el futuro, problemas de compatibilidad con otros elementos de la red inalmbrica wifi. Entiendes Ingls? Aqu podrs ver un video sobre los estndares WIFI de transmisin y los elementos de una red inalmbrica WIFI Aqu puedes ver como instalar una tarjeta PCI WIFI en un PC Ver ms videos sobre Internet e Informtica: * 1 * 2 * 3 * 4 *
Qu es la WI-FI Alliance?
Es una asociacin constituda en el ao 1999 con la finalidad de agrupar a todos los fabricantes de productos WI-FI: Puntos de Acceso inalmbricos, tarjetas cliente WIFI, software para WI-FI, etc. Desde el comienzo de la industria, existieron muchos problemas de interoperatividad y compatibilidad en redes inalmbricas wifi, debido a la utilizacin de equipos de diferentes fabricantes. Es muy comn la situacin en que en una instalacin haya Puntos de Acceso inalmbricos de una marca, y vengan visitas (proveedores o clientes, por ejemplo) con estaciones clientes equipadas con hardware de otros fabricantes. Para evitar que subsistan estos problemas, la Alianza WI-FI, testea y homologa todos los productos del estndar 802.11 y les otorga un certificado donde se especifica para cada modelo qu funcionalidades estn homologadas. Este punto es de suma importancia pues permite al consumidor verificar las especificaciones de cada modelo independientemente de las aseveraciones del distribuidor local. En la pgina web de la WI-FI Alliance (www.wi-fi.org) se pueden encontrar las especificaciones de todos los productos homologados segn distintas clasificaciones: por marca, por tipo de producto, por estndar, etc. El consejo de VIRUSPROT.COM es comprar slo productos homologados por la WIFI Alliance. Estos productos deben incluir en la caja y en los catlogos el logo correspondiente que es el que se ve en la figura 6.
Los paquetes de Management establecen y mantienen la comunicacin.Los principales son: ssociation request, ssociation response, Beacon, Probe request, Probe response untenticacin, etc
Los paquetes de Control ayudan en la entrega de datos. Tienen funciones de coordinacin. Los paquetes de Datos contienen la direccin MAC del remitente y destinatario, el SSID, etc
a) Paquetes de Management Association Request: Incluye informacin necesaria para que el Access Point considere la posibilidad de conexin. Uno de los datos es el SSID de la red inalmbrica WIFI o del Punto de Acceso al que se intenta conectar. Association Response: Es el tipo de paquete que enva el Access Point avisando de la aceptacin o denegacin del pedido de conexin. Beacon: Los Puntos de Acceso inalmbricos WIFI, peridicamente envan "seales", como los faros, para anunciar su presencia y que todas las estaciones que estn en el rango (100 ms, aproximadamente) sepan cuales Acess Point estn disponibles. Estos paquetes se denominan "Beacons" y contienen varios parmetros, entre ellos el SSID de Punto de Acceso. Authentication: Es el paquete por el cual el Punto de Acceso Inalmbrico acepta o rechaza a la estacin que pide conectarse. Como veremos en la parte de seguridad wifi, hay redes inalmbricas wifi abiertas donde no se requiere autenticacin y las redes inalmbricas protegidas donde se intercambian varios paquetes de autenticacin con "desafos" y "respuestas" para verificar la identidad del cliente Disassociation: Es un tipo de paquete que enva la esstacin cuando desea terminar la conexin, de esta manera el Punto de Acceso Inalmbrico sabe que puede disponer de los recursos que haba asignado a esa estacin.
Existen algunos tipos ms de paquetes de Management. Daremos ms datos sobre alguno de ellos en la seccin de seguridad wifi
b) Paquetes de Control Request to Send (RTS): Su funcin es la de evitar colisiones. Es la primer fase antes de enviar paquetes de datos. Clear to Send (CTS): Tiene la funcin de responder a los RTS. Todas las estaciones que captan un CTS, saben que deben esperar un tiempo para transmitir pues alguien est ya usando el canal. Existe un tiempo de espera - "slot time", en ingls - que es distinto para el estndar WiFi 802.11b y para el estndar WiFi 802.11g. Acknowledgement (ACK): La estacin receptora del paquete enviado, chequea el paquete recibido por si tiene errores. Si lo encuentra correcto, enva un "ACK" con lo cual el remitente sabe que el paquete lleg correcto, pues si no, lo debe enviar otra vez. Una vez que las dems estaciones captan el ACK, saben que el canal est libre y pueden intentar ellas enviar sus paquetes c) Paquetes de Datos: Estos paquetes llevan mucha informacin "administrativa" y, adems los datos que queremos transmitir a travs de la red inalmbrica WIFI. Generalmente la red inalmbrica wifi debe utilizar muchsimos paquetes de datos, para transmitir un archivo de datos. Mucho ms an cuando lo que se desea transmitir es video. Los paquetes de datos wifi, tienen muchos campos con informacin necesaria para la transmisin. Uno de ellos es la "Mac Adress" de la estacin receptora y del remitente, el BSSID , el nmero de secuencia de ese paquete, etc.
Qu esperas? Conoce las soluciones YA !!! ****Ver Video Capacitacin "In-Company" Cursos especiales para Universidades Seguridad de REDES WIFI En la figura 7, del archivo Redes-Inalmbricas-Cu rso-Gratis.pdf , se puede observar un grfico donde se muestra como en las redes inalmbricas wifi van decreciendo las velocidades de transmisin a medida que nos alejamos del Punto de Acceso Inalmbrico. Esto se debe a que paredes y transmisiones de otros equipos van atenuando la seal. Como se ve en la figura, las velocidades promedio del estndar 802.11b son de 4-5 Mbps y no de 11 Mbps como muchos creen. De la misma manera, las velocidades promedio del estndar Wifi 802.11g son 20-22 Mbps y no 54 Mbps. En el grfico vemos tambin un recuadro con una funcin que conviene recordar: La velocidad de transmisin de una red inalmbrica wifi, ser funcin de la distancia, los obstculos y las interferencias. Los factores de Atenuacin e Interferencia de una red inalmbrica wifi 802.11b o 802.11g son:
Tipo de construccin Micro-ondas Telfonos fijos inalmbricos Dispositivos Bluetooth Elementos metlicos como escaleras de emergencia y armarios Peceras Humedad ambiente Trfico de personas
Hay que aclarar que la lista anterior es vlida para el estndar wifi 802.11b y el estndar wifi 802.11g. En cuando al estndar wifi 802.11a, si bien el concepto terico de obstculos e interferencias es similar, en la prctica existen varias diferencias, que en general son ventajas. Como se explic esta tecnologa utiliza una banda de frecuencia superior a 5 GHz que an est muy poco "poblada" o utilizada. Por ejemplo, las interferencias de Microondas, Dispositivos Bluetooth y Telfonos fijos Inalmbricos, aqu no existen y por lo tanto es ms facil "estabilizar" una red inalmbrica wifi que se base en el estndar wifi 802.11a.
Prdidas de Seal en Wifi. Si nos interesa permitir la itinerancia (roaming, en ingls) y movilidad de los usuarios, es necesario colocar los Access Point de tal manera que haya "overlapping" - superposicin - entre los radios de cobertura, como indica la figura 8 del archivo Redes-Inalmbricas-Cu rso-Gratis.pdf En ella vemos la zona de superposicin indicada por la flecha roja y como es posible desplazarse de A a B, sin perder la seal de Wifi. El usuario est conectado al comienzo al Punto de Acceso A y en un determinado momento pasa a recibir la seal del Punto de Acceso B. Veremos como funciona este proceso. a)El Roaming y los Paquetes Beacons. 1.- Como se vi en "Transmisin de la Informacin en WiFi", los Puntos de Acceso Inalmbricos emiten intermitentemente unos paquetes denominados Beacons . Cuando una estacin se aleja demasiado de un Access Point, "pierde la seal", es decir que deja de percibir estos Beacons que le indican la presencia del Access Point 2.- Si hay superposicin, se comienzan a captar los Beacons del otro Access Point, hacia el cual se est dirigiendo, a la vez que se van perdiendo gradualmente los del anterior.. b) El Roaming y los Paquetes ACK 1.- Tambin se vi en "Transmisin de la Informacin en Wifi" , que una vez que se enva un paquete de datos en las redes inalmbricas WiFi, la estacin receptora enva un "O.K.", denomidado ACK . Si la estacin emisora se aleja demasiado de la transmisora, es decir que sale del radio de cobertura, no captar los ACK enviados. 2.- Los equipos de WIFI incorporan un algoritmo de decisin que debe determinar en que momento se desconectan del Access Point A y se conectan al Access Point B, como se ve en la figura. c) La Problemtica del Roaming El estndar 802.11 WiFi, no contiene instrucciones detalladas sobre el tema del roaming, por lo tanto cada fabricante disea el algoritmo de decisin segn su criterio y con los parmetros que estima convenientes. Por esta razn pueden existir problemas, sobre todo en grandes ambientes, al mezclar Puntos de Acceso de diferentes fabricantes o Puntos de Acceso de un fabricante con dispositivos mviles de otras marcas. Cada uno tendr otro algoritmo de decisin y pueden producirse "desavenencias" en el roaming.
Existen diversos tipos de Puntos de Acceso Inalmbricos como se coment en el captulo Elementos Bsicos de una Red Wifi. Se acostumbra a agrupar a los Access Point en dos categoras: Puntos de Acceso Bsicos, "Thin" en ingls, y Puntos de Acceso Robustos, "Fat" en ingls. Cules son sus caractersticas? Caractersticas de Puntos de Acceso Inalmbricos Robustos: - Son bastante inteligentes e incorporan funciones adicionales de gestin y seguridad -Son ms costosos -Son ms complicados de gestionar -Sobrecargan el trfico -En algunos casos tienen slots libres para futuras actualizaciones Caractersticas de Puntos de Acceso Inalmbricos Bsicos: - Ms econmicos - Ms sencillos de gestionar y configurar - Es ms fcil compatibilizarlos con otras marcas Algunas de las funciones de gestin y seguridad que incorporan los Puntos de Acceso Inalmbricos Robustos son:
Firewall Utilidades para Site survey de redes inalmbricas Opcin de no emitir SSID Antenas wifi opcionales Ajuste de potencia
Hay que comprender que "nadie regala nada" por lo tanto, las funciones extra que incorporan los Access Point Fat - Robustos, se terminan pagando. Por ello es importante evaluar seriamente, si est previsto utilizar esas funciones adicionales y si no es mejor ahorrar el dinero y comprar Access Point Thin - Bsicos. Es importante aclarar que existen en el mercado decenas de marcas y cientos de modelos de Access Points, por lo tanto esta divisin en Puntos de Acceso Robustos y Puntos de Acceso Bsico es para tener una primera orientacin pues, evidentemente, en el medio de las 2 categoras se pueden encontrar varias sub-categoras. Nuestra recomendacin es, una vez ms, antes de comprar un Punto de Acceso Inalmbrico, verificar sus caractersticas en la pgina web de la Wi-Fi Alliance. Tambin recomendamos leer "Eleccin correcta de Puntos de Acceso Quin se atreve?" y "Breve gua para la eleccin de Puntos de Acceso Inalmbricos"
Independientemente de cual sea la motivacin, siempre habr una condicin primordial que cumplir: Hay que lograr una buena productividad de los usuarios y que la calidad de servicio no sea muy inferior a la de las redes cableadas. Esta condicin nos enfrenta a un primer inconveniente: Los usuarios de un Access Point, deben compartir el ancho de banda. Es decir que mientras ms usuarios estn conectados a un punto de acceso
inalmbrico, menos ancho de banda habr disponible para cada uno. Por lo tanto debemos evitar cometer un error muy comn de los principiantes, que desconocen el funcionamiento de las redes inalmbricas wifi:
Error Comn en Redes Inalmbricas WIFI: Buscar slo cobertura y descuidar la capacidad Muchos estn preocupados al principio por el alcance o cobertura de la red wifi. Si el access point alcanza 110 metros o 95 metros. En las redes empresariales, no suele ser ese el punto lgido. El verdadero desafo en las redes WIFI inalmbricas consiste en proveer a cada usuario el ancho de banda suficiente para sus labores a) La Funcin Auto-Step - Distribucin de Velocidades en Redes Inalmbricas Wifi En el captulo Prdidas de Seal en WIFI - Obstculos e Interferencias y en la figura 7, del archivo Redes-Inalmbricas-Cu rso-Gratis.pdf se mostr como se reducian las velocidades en redes wifi. En realidad esta disminucin no es gradual, como se ve en la figura 7, si no que es en escalones, a saltitos, pues los access point, como los modems, incorporan una funcin denominada "Auto-Step". As por ejemplo en el estndar 802.11b, las velocidades bajan de 11Mbps a 5.5 Mbps y luego a 2 Mbps y a 1 Mbps. O sea que hay slo 4 escalones. Si la comunicacin no se hace efectiva a 11 Mbps, se pasa directamente a 5.5Mbps . En este curso no entraremos en detalles, pero es bueno saber que en 802.11g y 802.11a, existen ms escalones:54Mbps, 48Mbps, 36Mbps..... Conclusin: Los usuarios que estn ms lejos del Punto de Acceso establecern comunicaciones a velocidades ms bajas que los que estn muy cerca b) El Tamao de la Celda de una Red WiFi Es el rea que cubre la seal de un Access Point o Punto de Acceso. Es un concepto especfico de Redes Wireless (WIFI, WIMAX, GSM).
Cuanto ms fuerte es la seal de RF de un Access Point, mayor ser el rea cubierta. Reduciendo la potencia de la seal se pueden conseguir "micro-celdas". Sumando microceldas se puede conseguir mayor capacidad de la red wifi, que con una celda muy grande pues, de esta manera, se evita tener usuarios que estn muy lejos de los access point y por lo tanto que se conecten a bajas velocidades (1 Mbps, 2Mbps). Es preciso aclarar que cuanto ms celdas tengamos, harn falta ms Access Point y, como en 802.11b y 802.11g slo disponemos de 3 canales (4 en Europa), ser necesario planificar muy cuidadosamente la distribucin de los Puntos de Acceso para evitar interferencias. Ver ms videos sobre Internet e Informtica: * 1 * 2 * 3 * 4 *
distribuirlos como en el grfico para que no se superpongan y, tambin, para que haya roaming.
Todos los que estn en un radio de 100 ms. aprox son intrusos potenciales La informacin se transmite por el aire y, por lo tanto, puede ser "vista" por cualquiera que est en el radio de 100 ms. Nuestros usuarios pueden conectarse equivocadamente (o voluntariamente) a redes que se encuentren abiertas en el radio de 100 ms y esto puede ser muy peligroso para la seguridad de nuestra organizacin Cualquier "vecino" puede captar los login y las contraseas cuando los usuarios intentan conectarse
WIFI, el Asesino Silencioso: Es importante enfatizar que, como se explic en el captulo de. Tecnologa WIFI , la informacin se transmite por ondas de RF que viajan por el aire y es imposible evitar que sean "vistas" o "interceptadas", pues el aire es un medio compartido, pblico. Por este motivo acostumbro a denominar a wifi, como el "asesino silencioso".Muchos nos estn "escuchando" las 24 horas del da, pero no los vemos!!! En los prximos capitulos se presentarn diversos mtodos de encriptacin y autenticacin utilizados para mejorar la seguridad de las redes inalmbricas wifi. Algunos acostumbran a pensar, o a decir, que sus sistemas no corren peligro pues no tienen redes wifi en su organizacin. Esta aseveracin es incorrecta pues, en realidad, los peligros que acabamos de mencionar son de la tecnologa Wifi y no de las redes wifi. Aunque en la empresa no existan an redes inalmbricas wifi, es suficiente que hayan algunos computadores wifi (porttiles ?!) para que nuestros sistemas se tornen ms frgiles y vulnerables. o por nada Wifi, es..."el asesino silencioso!!!"
Segn numerosas estadsticas existe muy poca conciencia de todas estas amenazas y peligros, por parte de los usuarios de redes inalmbricas wifi. Por ello todas demuestran que
ms del 60% de las redes wifi en las grandes ciudades del planeta estn abiertas totalmente o, en su defecto, muy mal protegidas. Recomendamos leer sobre una prctica muy difundida que es el Warchalking o Wardriving Ver ms videos sobre Internet e Informtica: * 1 * 2 * 3 * 4 *
A medida que fu aumentando la difusin de las Redes Inalmbricas WIFI, se fueron detectando graves problemas de seguridad informtica en el Protocolo de Encriptacin WEP, lo que gener hace unos aos muy mala prensa a las redes inalmbricas WIFI. Ver: "De Nuevo: Las Redes Wireless no son Seguras" Resumen de Debilidades del Protocolo WEP 1. El Vector de Inicializacin IV, es demasiado corto pues tiene 24 bits y esto ocasiona que en redes inalmbricas WIFI con mucho trfico se repita cada tanto. 2. Hay algunos dispositivos clientes (tarjetas, USB) muy simples que el primer IV que generan es cero y luego 1 y as sucesivamente. Es fcil de adivinar. 3. Las claves que se utilizan son estticas y se deben cambiar manualmente. o es fcil modificarlas frecuentemente. 4. o tiene un sistema de control de secuencia de paquetes. Varios paquetes de una comunicacin pueden ser robados o modificados sin que se sepa.
Esta situacin gener la aparicin de mltiples aplicaciones capaces de crackear la seguridad WEP en poco tiempo. Segn la capacidad de los equipos utilizados y la habilidad del hacker y el trfico de la red inalmbrica WIFI, se puede tardar desde 15 minutos a un par de horas en descifrar una clave WEP. Adems del Airsnort mencionado en el artculo recomendado, estn el WEPCrack, el NetStumbler, etc. En los ltimos aos hemos publicado en VIRUSPROT.COM, muchsimos artculos sobre este tema. Ver ms videos sobre Internet e Informtica: * 1 * 2 * 3 * 4 *
definitiva para aplicar en nuevos Puntos de Acceso, y no en los existentes, que se llam WPA2. Los Puntos de Acceso existentes hasta ese momento (2001/2002) ya tenan la capacidad de su hardware ocupada al 90% con diversas funciones, por lo tanto cualquier modificacin que se le hiciera al WEP, no podra requerir mucha capacidad de proceso. Se desarroll un protocolo temporal denominado TKIP (Temporal Key Integrity Protocol) que es una "envoltura" del WEP y es conocido como WPA. El WPA (primera fase del estndar 802.11i) fue aprobado en Abril de 2003. Desde Diciembre de 2003 fue declarado obligatorio por la WiFi Alliance. Esto quiere decir que todo Punto de Acceso Inalmbrico que haya sido certificado a partir de esta fecha, ya debe soportar "nativamente" WPA. Todo Punto de Acceso anterior a Diciembre de 2003 puede soportar "nativamente" slo WEP. Recuerde!: Todos los fabricantes miembros de la WiFi Alliance deben poner gratuitamente a disposicin de sus clientes un "parche" para actualizar los Puntos de Acceso antiguos de WEP a WPA. Mejoras a la Seguridad WIFI introducidas en WPA 1. Se increment el Vector de Inicializacin (IV) de 24 bits a 48. 2. Se aadi una funcin MIC (Message Integrity Check) para controlar la Integridad de los mensajes. Detecta la manipulacin de los paquetes. 3. Se reforz el mecanismo de generacin de claves de sesin
Existen 2 versiones de WPA, una "home" o "Personal" que es para uso casero y de pymes, y otra ms robusta denominada "Enterprise". No vienen activadas por defecto y deben ser activadas durante la configuracin. Los Puntos de Acceso antiguos "emparchados" o actualizados de WEP a WPA se vuelven ms lentos, generalmente y, si bien aumenta la seguridad, disminuye el rendimiento La idea de los promotores del estndar 802.11b consista en encriptar el trfico entre Puntos de Acceso y estaciones mviles y compensar as la falta de seguridad que se obtiene al enviar la informacin por un medio compartido como es el aire. Es as como, todos los Puntos de Acceso y dispositivos WIFI incluyen la opcin de encriptar las transmisiones con el Protocolo de Encriptacin WEP. Cmo Funciona el Mecanismo de Encriptacin WEP? Brevemente diremos que hay que establecer una clave secreta en el Punto de Acceso, que es compartida con los clientes WIFI. Con esta clave, con el algoritmo RC4 y con un Vector de Inicializacin (IV) se realiza la encriptacin de los datos transmitidos por Radio Frecuencia.
A medida que fu aumentando la difusin de las Redes Inalmbricas WIFI, se fueron detectando graves problemas de seguridad informtica en el Protocolo de Encriptacin WEP, lo que gener hace unos aos muy mala prensa a las redes inalmbricas WIFI. Ver: "De Nuevo: Las Redes Wireless no son Seguras" Resumen de Debilidades del Protocolo WEP 1. El Vector de Inicializacin IV, es demasiado corto pues tiene 24 bits y esto ocasiona que en redes inalmbricas WIFI con mucho trfico se repita cada tanto. 2. Hay algunos dispositivos clientes (tarjetas, USB) muy simples que el primer IV que generan es cero y luego 1 y as sucesivamente. Es fcil de adivinar. 3. Las claves que se utilizan son estticas y se deben cambiar manualmente. o es fcil modificarlas frecuentemente. 4. o tiene un sistema de control de secuencia de paquetes. Varios paquetes de una comunicacin pueden ser robados o modificados sin que se sepa.
Esta situacin gener la aparicin de mltiples aplicaciones capaces de crackear la seguridad WEP en poco tiempo. Segn la capacidad de los equipos utilizados y la habilidad del hacker y el trfico de la red inalmbrica WIFI, se puede tardar desde 15 minutos a un par de horas en descifrar una clave WEP. Adems del Airsnort mencionado en el artculo recomendado, estn el WEPCrack, el NetStumbler, etc. En los ltimos aos hemos publicado en VIRUSPROT.COM, muchsimos artculos sobre este tema. Ver ms videos sobre Internet e Informtica: * 1 * 2 * 3 * 4 *
Los Puntos de Acceso existentes hasta ese momento (2001/2002) ya tenan la capacidad de su hardware ocupada al 90% con diversas funciones, por lo tanto cualquier modificacin que se le hiciera al WEP, no podra requerir mucha capacidad de proceso. Se desarroll un protocolo temporal denominado TKIP (Temporal Key Integrity Protocol) que es una "envoltura" del WEP y es conocido como WPA. El WPA (primera fase del estndar 802.11i) fue aprobado en Abril de 2003. Desde Diciembre de 2003 fue declarado obligatorio por la WiFi Alliance. Esto quiere decir que todo Punto de Acceso Inalmbrico que haya sido certificado a partir de esta fecha, ya debe soportar "nativamente" WPA. Todo Punto de Acceso anterior a Diciembre de 2003 puede soportar "nativamente" slo WEP. Recuerde!: Todos los fabricantes miembros de la WiFi Alliance deben poner gratuitamente a disposicin de sus clientes un "parche" para actualizar los Puntos de Acceso antiguos de WEP a WPA. Mejoras a la Seguridad WIFI introducidas en WPA 1. Se increment el Vector de Inicializacin (IV) de 24 bits a 48. 2. Se aadi una funcin MIC (Message Integrity Check) para controlar la Integridad de los mensajes. Detecta la manipulacin de los paquetes. 3. Se reforz el mecanismo de generacin de claves de sesin
Existen 2 versiones de WPA, una "home" o "Personal" que es para uso casero y de pymes, y otra ms robusta denominada "Enterprise". No vienen activadas por defecto y deben ser activadas durante la configuracin. Los Puntos de Acceso antiguos "emparchados" o actualizados de WEP a WPA se vuelven ms lentos, generalmente y, si bien aumenta la seguridad, disminuye el rendimiento Hay que tener mucho cuidado con productos anteriores a esas fechas, pues no son capaces de soportar WPA2. Por ejemplo, hay muchos PDA o Palm que se utilizan en redes inalmbricas WIFI que no se pueden utilizar con WPA2. Tampoco loscomputadores porttiles con Centrino de los primeros modelos soportan WPA2. La implementacin de proteccin que se aplica en el estndar de seguridad Wifi 802.11i, se conoce con el acrnimo CCMP y est basada, como ya se coment, en el algoritmo de encriptacin AES (ver: Rijndael). El cifrado que se utiliza es simtrico de 128 bits - ver: Criptografa Simtrica y Asimtrica - y el Vector de Inicializacin (IV) tienen una longitud de 48 bits. El nuevo estndar exigi cambios en los paquetes que utilizan las redes inalmbricas WIFI para transmitir la informacin. Por ejemplo en los paquetes de "Beacons" o "Association Request" hubo que incluir datos sobre el tipo de encriptacin: WEP, TKIP, CCMP, o sobre el tipo de autenticacin: 802.1x (se ver en los prximos captulos) o contrasea. Esto explica una vez ms, porque los Puntos de Acceso y dispositivos Palm o PDA muy antiguos no funcionan con WPA2.
Para finalizar, digamos que al igual que con WPA, existen 2 versiones: "WPA2 Personal" que slo requiere contrasea y "WPA2 Enterprise" que requiere 802.1x y EAP. En el momento de la configuracin se debe estipular cual se va a utilizar. Ver ms videos sobre Internet e Informtica: * 1 * 2 * 3 * 4 *
Resumiendo, las VP pueden ser una buena solucin cuando ya estn siendo utilizadas en la organizacin y se necesita proteger a los primeros usuarios de WIFI. En cuanto se masifica la utilizacin de las redes inalmbricas WIFI, su gestin se complica y los costos aumentan de manera innecesaria. El estndar 802.1x constituye la columna vertebral de la Seguridad WIFI y es imprescindible y muy recomendable su utilizacin en toda red empresarial que pretenda lograr una seguridad robusta. 802.1x introduce importantes cambios en el esquema de seguridad wifi. Estndar 802.1x: Modificaciones en Seguridad WIFI
Se necesita autenticar a los usuarios antes de conectarse a una red inalmbrica WIFI La autenticacin se realiza con un protocolo conocido como EAP - Extensible Authentication Protocol. Existen varias versiones de EAP:LEAP, TLS, TTLS, PEAP, FAST La autenticacin se realiza mediante un servidor de tipo RADIUS
Es de resaltar, algunos cambios de fundamental importancia: En el esquema de 802.1x, se autentica al usuario y no al dispositivo, como se haca, por ejemplo en el filtrado de Direcciones MAC (MAC Address). Esto es muy importante porque impide que se pueda entrar a la red, an cuando a uno le roben o pierda su laptop o PDA. La otra diferencia importante es que con 802.1x, el Punto de Acceso no puede "autorizar" a nadie el acceso a la red. La funcin de autorizacin recae en el servidor RADIUS.
El esquema bsico de funcionamiento segn se define en el estndar es el siguiente: En 802.1x el puerto no se abre y no se permite la conexin hasta que el usuario est autenticado. El estndar define 3 elementos: 1. Servidor de Autenticacin: Es el que verificar las credenciales de los usuarios. Generalmente es un servidor RADIUS. 2. Autenticador: Es el dispositivo que recibe la informacin del usuario y la traslada al servidor de autenticacin (esta funcin la cumple el Punto de Acceso) 3. Suplicante: Es una aplicacin "cliente" que suministra la informacin de las credenciales del usuario al Autenticador. (soft cliente) En la figura 11, del archivo Redes-Inalmbricas-Cu rso-Gratis.pdf se ve grficamente una configuracin de red inalmbrica WIFI, segn el estndar de Seguridad Wifi IEEE 802.1x. Ver ms videos sobre Internet e Informtica: * 1 * 2 * 3 * 4 *
Servidor RADIUS
RADIUS es el acrnimo de Remote Authentication Dial In User Service. Sus diversas funciones y carctersticas estn definidas en varias RFC de la IETF. Algunas de las importantes son: RFC 2058, 2138 y 2548 . Como su nombre lo indica es un servidor que tiene la funcin de autenticar a los usuarios que se conectan remotamente. Originalmente estaba pensado para accesos por lneas cableadas, pero cuando se modific el estndar 802.1x para seguridad WIFI, se adapt tambin como herramienta de autenticacin para las redes inalmbricas wifi. El servidor RADIUS cumple varias funciones en la arquitectura de seguridad de una red inalmbrica WIFI, las cuales se detallan a continuacin: Funciones del Servidor RADIUS en Redes Inalmbricas WIFI
Recibir pedido de conexin de los usuarios wifi Auntenticar a los clientes wifi y luego Autorizar su acceso a la red Devolver toda la informacin de configuracin necesaria para que el cliente acceda a la red entre ellas la clave Para robustecer la seguridad wifi, el servidor RADIUS puede generar claves "dinmicas", es decir que las puede ir cambiando cada tanto. El administrador puede configurar el intervalo
El servidor RADIUS generalmente es un software aunque existen algunos appliance. Las versiones servidor de Windows 2000 y Windows 2003 incluyen un servidor RADIUS, que se denomina IAS - Internet Access Server. Este, como la mayora de los servidores RADIUS tiene varias limitaciones de plataforma, S.O, etc que se comentarn ms adelante. Como se vi, el servidor RADIUS tiene la funcin de Autenticar y de Autorizar a los clientes de WIFI. Los servidores RADIUS ms completos incluyen una tercera funcin que es el Accounting, por eso se denominan "AAA" o "Triple A". Para finalizar, digamos que en lo que respecta a Seguridad WIFI, los Servidores RADIUS, adems de autenticar y autorizar el acceso de usuarios aaden otras ventajas muy relevantes:
A diferencia de las VP , protegen la capa 2 pues cifran el canal antes que el usuario sea autenticado y reciba su IP. La VPN necesita una direccin IP para autenticar al usuario.
El servidor RADIUS genera claves dinmicamente, lo que mitiga significativamente las deficiencias del protocolo de encriptacion WEP.
1) EAP - LEAP, fue desarrollado y patentado por Cisco y una de sus limitaciones consiste en que requiere infraestructura de Cisco y un RADIUS "LEAP aware", es decir que no se puede utilizar con cualquier servidor RADIUS. Adems, desde mediados de 2003, se sabe que EAP-LEAP es vulnerable a "ataques de diccionario" - Ver: "Cisco Reacciona ante la vulnerabilidad del Protocolo LEAP". Por ello no se aconseja su utilizacin, dado que existen mecanismos de autenticacin ms seguros.
2) EAP - TLS, lo desarroll Microsoft. Una caracterstica del protocolo EAP-TLS, que muchos lo ven como un inconveniente, es que requiere Certificado Digital en cada dispositivo cliente. Por este motivo muchas organizaciones renuncian a utilizarlo. En el caso de las empresas que ya tienen implementado un sistema de PKI, este inconveniente no existe. Otra limitacin es que EAP - TLS, slo soporta las bases de datos de Microsoft como Active Directory, y no soporta SQL ni LDAP. EAP - TLS, es soportado por Windows XP y Windows 2003 y por los ltimos service pack de Windows 2000. 3) EAP - TTLS, fue desarrollado por programadores independientes con la idea de crear un protocolo EAP muy flexible. EAP- TTLS, tiene la ventaja de que funciona con todas las plataformas y S.O y es, a su vez, compatible con los otros EAP y con mltiples bases de datos como SQL y LDAP. 4) EAP - PEAP, es un proyecto conjunto de Cisco, Microsoft y RCA. Fue desarrollado para poder suministrar un protocolo ms flexible que el EAP - LEAP y que el EAP - TLS. El EAP - PEAP, es muy similar al EAP - TTLS y existen dos versiones similares del mismo pero no iguales, una de Microsoft y otra de Cisco. La versin de Microsoft de EAP - PEAP, est includa en Windows XP y Windows 2003. 5) EAP - FAST, es un protocolo de autenticacin bastante nuevo creado por Cisco. Es presentado como ms sencillo que los dems, pero en realidad existen 2 versiones, una "sencilla" y otra muy similar a los otros EAP. La versin sencilla de FAST, no tiene una seguridad muy robusta. Es compatible con EAP - LEAP y fcil de migrar. EAP - FAST, soporta Active Directory y LDAP y utiliza un secreto compartido para las autenticaciones. En definitiva, es muy importante comprender, que la eleccin del protocolo de autenticacion EAP, es una de las decisiones claves en la implementacin de una red inalmbrica wifi. Esto influir luego en otros elementos que se empleen en la red wifi.
Suplicantes
Como se ve en la figura 11, del archivo Redes-Inalmbricas-Cu rso-Gratis.pdf , en el esquema de una red inalmbrica wifi con autenticacin, la conexin la debe iniciar el dispositivo mvil, que es el que solicita al Servidor RADIUS, por medio del Punto de Acceso, ser autenticado. Esta tarea la realiza un software "cliente" instalado en el dispositivo mvil, que segn se vi en "Seguridad WIFI: Estndar IEEE 802.1x" , se denomina "Suplicante", pues es el que "pide" o "solicita" la autenticacin. Existen diversos tipos de suplicantes para redes inalmbricas wifi, algunos muy simples y otros ms sofisticados y con diversas funciones. Su eleccin tambin requerir un anlisis previo, en el caso de las redes inalmbricas wifi empresariales. Generalmente los muy simples se descargan gratis de internet o vienen includos en el CD de los Puntos de Acceso Inalmbrico. Los ms sofisticados deben adquirirse comercialmente y pagar las licencias correspondientes. Al elegir un Suplicante hay que tener el cuenta, en que sistemas operativos funciona, que EAP soporta, y otras funciones como transparencia para el usuario, si est protegido por contrasea para que los usuarios no puedan modificar la configuracin, etc. Existen tambin varios Suplicantes para Linux.. Uno de los ms conocidos es el "XSupplicant" que soporta EAP-LEAP, EAP-TLS, EAP TTLS y EAP-PEAP, aunque no funciona bien con el RADIUS DE MICROSOFT, llamado IAS - Internet Access Server. El Suplicante de Microsoft est includo en Windows XP, en Windows 2000 y en Windows 2003 y, como ya se coment, soporta EAP-TLS y EAP- PEAP, versin de Microsoft y requiere certificados digitales en cada uno de los clientes. Estas amenazas, o peligros, tienen su origen en la misma esencia de la tecnologa WIFI. Las ondas - los paquetes - de RF transmitidas por cada dispositivo estn en el aire, que es un medio compartido y no se puede impedir que sean capturadas o "vistas" por extraos. Ver: Transmisin de la Informacin en WIFI. Adems, no siempre es necesario un Punto de Acceso para establecer una conexin, pues estas se pueden realizar entre 2 dispositivos WIFI. Ver: "Tipos de Redes WiFi". Para comprender mejor este tema se recomienda leer "Cuidado con los Aviones!!!" y "WIFI Despega - Abrchense los cinturones"
As como nosotros tenemos nuestros puntos de acceso (la cantidad depender si somos particulares o empresas) es muy probable (cada da que pasa, es ms probable) que nuestros vecinos u otras empresas que estn en el mismo edificio o en la misma manzana (recordar que el alcance de las ondas WIFI, son aprox. 100 ms), tengan sus Access Points. Estos, representan una amenaza permanente - las 24 horas del da - a nuestra red inalmbrica wifi y a nuestros dispositivos cliente wifi (notebooks, PDA, telfonos celularer Wifi), pero no hay nada que podamos hacer para evitarlos. o podemos
impedirle a los vecinos que instalen sus propios Puntos de Acceso y sus propias redes inalmbricas. Es un peligro con el que debemos convivir, saber que existe y estar lo ms alertas posibles, pues evidentemente, con tantos "vecinos" no sabemos cuales son las intenciones de cada uno y de cada uno de sus empleados. En la figura 12, del archivo Redes-Inalmbricas-Cu rso-Gratis.pdf se ve la altsima densidad de Access Points en Washington DC en el ao 2005, pero las principales ciudades de Espaa y Amrica Latina ya estn muy cerca de esta situacin, en 2007, en algunas zonas de alta densidad de oficinas y empresas. Definamos ahora qu se entiende por Punto de Acceso Hostil: Es todo punto de acceso que no ha sido instalado y autorizado por la organizacin. Bsicamente existen 3 fuentes de Puntos de Acceso Hostiles: 1. Los vecinos 2. Los "insiders" - empleados de nuestra organizacin, visitantes, etc. 3. Los hackers
Es decir que, adems del peligro potencial que representan todos los Access Points instalados en la vecindad (y que si no tenemos herramientas apropiadas para su deteccin, ni siquiera sabemos que existen) estn los que puedan "insertarse" dentro de nuestra organizacin por parte de empleados o visitantes (proveedores, clientes, etc) con diversas finalidades: "practicar", facilitar alguna tarea, o hasta robar informacin. Insisto en que la deteccin de estos puntos de acceso hostiles es muy complicada y requiere equipos muy sofisticados, sobre todo en organizaciones de gran tamao como universidades, ministerios, industrias, aeropuertos, hoteles, etc. Por ltimo, el tercer caso, el de los hackers, como se ve en la figura 12, del archivo Redes-Inalmbricas-Cu rso-Gratis.pdf , es el ms obvio, pero no por ello el ms sencillo de detectar. Como se coment "el auto rojo" puede estar slo unos pocos minutos y es muy difcil detectar la conexin durante ese corto lapso de tiempo. El auto rojo con el access point hostil, puede estar en el parking de la empresa o de la universidad, o tambin los hackers pueden estar en el mismo hotel que nos hospedamos, en otra habitacin, o en el aeropuerto, en una sala contigua o tambin en el parking. Si nos conectamos a ese punto de acceso pirata, en vez del que nos ofrece la universidad o el hotel, estaremos poniendo nuestra informacin y nuestro sistema en peligro. Acciones Posibles para Combatir los Puntos de Acceso Hostiles Existen 5 acciones posibles, aunque muchas veces podemos llevarlas a cabo. Estas son: 1. Prevencin 2. Deteccin 3. Bloqueo
4. Localizacin 5. Eliminacin Como es obvio, no podemos eliminar el access point de un vecino. Pero si podremos detectarlo y localizarlo para luego tratar de prevenir. Cuando se trata de un punto de acceso hostil, de un hacker, si tendremos derecho a eliminarlo, despus de haberlo detectado y localizado.
Constituyen una va de penetracin fcil a PC, PDA y redes empresariales, an para hackers con escasos conocimientos Rompen la seguridad perimetral, pues a travs de los dispositivos inalmbricos wifi, es muy sencillo "escalar" al corazn de los sistemas Sirven de puerta de entrada de Virus Informticos, Spyware, Keyloggers que adems de infectar el permetro, pueden robar informacin valiosa y contraseas Son uno de los puntos ms dbiles en los esquemas de seguridad modernos, donde los dispositivos wifi como notebooks y PDA, crecen incesantemente El mito " o tenemos redes inalmbricas wifi, as que wifi no es nuestro problema" queda totalmente desvirtuado. TODA ORGA IZACI QUE TE GA DE TRO DE SUS PAREDES ALG EQUIPO WIFI: OTEBOOKS, PDA, PALM, EST EXPUESTO A ATAQUES I ALMBRICOS !!!
Como se vi en el captulo "Transmisin de la Informacin en WIFI" existen en el estndar 802.11 unos Paquetes de Control, cuya finalidad es la de evitar colisiones entre los paquetes transmitidos en una red inalmbrica WIFI, por los distintos equipos mviles. Estos son el RTS - Request to Send, el CTS - Clear to Send y el ACK - Acknowledgement. Cuando un cliente WIFI est transmitiendo (es porque ha recibido el CTS), los dems deben callar pues el canal est ocupado (han odo un CTS) y si no se producen colisiones entre los paquetes de ambos. Cuando por algn motivo un cliente de una red inalmbrica WIFI, no puede captar los paquetes de otro cliente, se produce una descordinacin y pueden intentar trasmitir ambos a la vez, producindose as colisiones en la red WIFI.
En la figura 14, del archivo Redes-Inalmbricas-Curso-Gratis.pdf , se ve un ejemplo de como pueden producirse las interferencias entre clientes de una red inalmbrica WIFI. Las ondas de RF de los clientes "rojos" que estn transmitiendo en canal 1 se propagan tambin hacia donde estn estaciones mviles que estn asociadas a otros Access Point (el amarillo, el verde y el azul) . Una situacin que se puede dar, por ejemplo, es que un cliente "rojo" intente transmitir, para lo cual enviar un RTS y si el canal est libre recibir un CTS. Ese CTS, va dirigido a todos los clientes "rojos". Si algn cliente de "otro color" capta el CTS, se quedar callado durante el Slot Time (Ver "Transmisin de la Informacin en WIFI"). Este "silencio intil" representa una ineficiencia y prdida de tiempo en el sistema, que si se repite mucho, generar una pobre calidad de servicio de dicha red inalmbrica WIFI. En la figura 15, del archivo Redes-Inalmbricas-Curso-Gratis.pdf vemos 2 casos de "Nodos Ocultos" de una Red Inalmbrica WIFI. En el caso A, se muestra una celda conformada por un Access Point con un radio de cobertura de 80 metros. Sin embargo la Estacin Mvil 1 (EM-1) est a una distancia de 140 metros de la Estacin Mvil 2 (EM-2) y en ese caso es muy probable que una no capte los RTS-CTS de la otra y transmitan a la vez produciendo colisiones o que las 2 se callen a la vez, produciendo una gran ineficiencia que produce grandes demoras y baja calidad de servicio. En la figura 15, del archivo Redes-Inalmbricas-Curso-Gratis.pdf se ve tambin el caso B, donde dos estaciones mviles de la red inalmbrica WIFI estn oculta la una de la otra, por paredes y dems obstculos e interferencias que puedan existir dentro del edificio entre las 2 paredes. Aqu, entonces puede repetirse lo del caso A, en que un cliente de la red inalmbrica WIFI no "escucha" al otro cliente de la red. Es importante recordar que una de las caractersticas principales de una red inalmbrica WIFI, es la movilidad y, por lo tanto, estas situaciones generalmente son transitorias. Pueden durar minutos o algunas horas hasta que EM-1 o EM-2 se desconecten o se muevan. Si no se cuentan con herramientas apropiadas para su deteccin, simplemente confunden y "enloquecen" a los administradores de la red wireless pues la calidad de la red baja "inexplicablemente" y luego de un rato sube otra vez y as sucesivamente.
Site Survey
Como se ha visto en captulos anteriores, las redes inalmbricas WIFI utilizan un medio compartido, el aire, para transmitir ondas de RF. En este existen obstculos e interferencias como se resea en "Prdidas de Seal en Wifi", que afectan a la calidad del aire. Dos redes similares (por ejemplo, 2 sucursales bancarias de arquitectura similar) pueden dar rendimientos muy diferentes, por causa del entorno: vecinos, ruidos, materiales de construccin, decorados, etc. Por lo tanto es de vital importancia, antes de desplegar una red inalmbrica WIFI, estudiar previamente "el terreno" y el entorno. A este estudio se lo conoce como "Site Survey" - Estudio del Sitio. Al realizar el Site Survey, es importante aceptar ciertas premisas bsicas: a)Aceptar que el Site Survey es temporal y debe revisarse peridicamente, pues se trata de una "foto" en determinado momento y, logicamente, con el tiempo las condiciones cambiarn b)No limitarse a las paredes de nuestra instalacin. Es importante tratar de conseguir informacin tambin sobre el entorno: Puntos de Acceso existentes, ruidos, interferencias, etc.Si tenemos como vecino a una cafetera o restaurante, es muy probable que tengan varios micro-ondas que puedan producir interferencias intermitentes en la frecuencia de 2.4 MHz, o sea que afectaran a las transmisiones de redes wifi 802.11b y 802.11g. La finalidad del Site Survey es:
Determinar el lugar ptimo de emplazamiento de los Puntos de Acceso Inalmbricos Detectar las "zonas oscuras" , es decir zonas de mucho ruido, detectar los obstculos, que influirn en la calidad de la red. Estos debern ser tenidos en cuenta al disear esa red especfica. Asegurar una cobertura adecuada a todos los usuarios
En muchos casos el site survey se realiza superficialmente o se cometen ciertos errores que luego generan costos evitables. A continuacin podr encontrar un listado con los pasos a seguir Pasos a Seguir en la Realizacin de un Site Survey antes de Instalar una Red Inalmbrica WIFI 1. Conseguir un plano del sitio 2. Recorrer fsicamente las instalaciones. Obstculos y fuentes de interferencias como peceras, micro-ondas, grandes masas de metal, etc no figuran en los planos. Deben ser indicadas en los planos.
3. Determinar la ubicacin preliminar de cada Punto de Acceso 4. Testear las ubicaciones preliminares y comprobar que se alcanzan las coberturas y rendimientos esperados 5. Evaluar la re-ubicacin de los Puntos de Acceso para alcanzar mejores coberturas y rendimientos 6. Evaluar la posibilidad de aadir o quitar Access Point rediseando las celdas previstas 7. Identificar fuentes de energa y conexiones de red para los Puntos de Acceso. Quizs no estn muy disponibles y haya que realizar ciertas obras para acercar los cables. 8. Documentar la ubicacin final de Access Point, enchufes y cableados. Insisto en este tema pues es un error muy comn. Especialmente en grandes instalaciones (Universidades, Hospitales, Edificios Pblicos, etc) y/o donde se trabaja en equipo, suele suceder que unos meses despus nadie sabe en donde est instalado cada Access Point y se pierden muchas horas de trabajo localizndolos.
Para finalizar, es interesante destacar que en la actualidad ya existen diversos sofwares y utilidades y herramientas como los switches para redes inalmbricas WIFI, que facilitan muchsimo esta tarea. Recomendamos la lectura de "Business Case - Implementacin exitosa de Redes Wireless - primera parte" y "Business Case - Implementacin exitosa de Redes Wireless - segunda parte" Desde los comienzos, las redes inalmbricas WIFI fueron creciendo de una manera catica. En casi todas las organizaciones se instalaron al comienzo 2 o 3 Puntos de Acceso y luego se fueron aadiendo ms y ms, dando lugar a una arquitectura que se conoce como "Mar de Puntos". Cada Access Point, est conectado por un cable a la red de la empresa y se dedica a transmitir la informacin de los dispositivos WIFI a la red cableada empresarial. Ningn Access Point, sabe de la existencia de los dems Access Point, aunque sean vecinos. No tienen ningn modo de saberlo...y, a decir verdad, hoy en da tampoco les interesa pues el estndar 802.11 WIFI no lo exige .
As es, por ejemplo, que un Punto de Acceso puede estar muy congestionado y hasta colapsado por un gran nmero de usuarios, mientras el vecino est "aburrido" sin usuarios conectados o muy poquitos y, no tiene ninguna posibilidad de ayudar al Punto de Acceso vecino porque, fundamentalmente, no lo sabe. Lo que es ms grave es que nadie lo sabe, ni el administrador de la red. Dijimos que las conexiones de una red inalmbrica wifi son "voltiles" por el hecho de ser "mviles". Entonces la carga de trabajo de cada Access Point, vara permanentemente. En realidad, sin herramientas apropiadas, no sabemos nada de lo que est sucediendo en la red y entonces, siempre vamos "a remolque". Cuando hay quejas de los usuarios o cuando algo no funciona, debemos reaccionar y comenzar a analizar que est sucediendo, o que puede haber sucedido. No sabemos cuantos usuarios hay conectados en un momento
puntual a cada Access Point, no sabemos con que estndar se est conectando cada uno, por ejemplo, cuantos estn utilizando 802.11b y cuantos estn utilizando 802.11g, et, etc.. Todo este desconocimiento y descontrol, no permiten una gestin "predictiva" y profesional de la red inalmbrica WIFI, como es de desear. Por todo ello, la IETF, cre hace ya varios aos, un grupo denominado CAPWAP - Control and Provisioning of Wireless Access Points - que est estudiando nuevos estndares para el "gobierno" de los Access Point. La idea es que en las redes inalmbricas WIFI, exista un "cerebro" al cual se conecten todos los Access Points y que ste sepa lo que est sucediendo en cada uno y pueda coordinar sus tareas. En este caso, la arquitectura de la red inalmbrica WIFI, sera centralizada (en vez de un ocano o mar de puntos) y funcionara verdaderamente como un sistema, como una verdadera red y no como recursos independientes y autnomos. Entonces, toca especificar que funciones y tareas son necesarias para gestionar profesionalmente una red inalmbrica WIFI: Funciones y Tareas Requeridas para la Gestin y Control de una Red WIFI 1. 2. 3. 4. 5. Instalacin y Configuracin Administracin Problemas de Conexin y Mantenimiento Control del Rendimiento Gestin de la Seguridad
Aunque muchos crean lo contario la Gestin de una Red Inalmbrica WIFI es un proceso permanente y continuo, las 24 horas del dia. Muchos se conforman con el primer paso de la tabla anterior: Instalan y configuran y creen que ya la red inalmbrica Wifi funcionar sola. Desgraciadamente no es as, se presentarn continuamente problemas de conexin, de mantenimiento, de seguridad, de rendimiento, etc que veremos detalladamente ms adelante. Por lo tanto, y como se ve en la figura 16, del archivo Redes-Inalmbricas-CursoGratis.pdf existe un Ciclo de Gestin de una Red Inalmbrica WIFI. En primer lugar es necesario "capturar" informacin, saber que est sucediendo en cada Punto de Acceso Inalmbrico y en cada dispositivo wifi y lo que es ms importante, an, que est sucediendo en el aire, en el espectro de RF. Luego, hay que analizar y comprender el significado de toda esa informacin recabada. En tercer lugar hay que responder, actuar para coregir o mejorar los problemas que se estn presentando y por ltimo hay que realizar el anlisis forense, sacar conclusiones para corregir y mejorar nuestra red: reconfigurar Access Points, re-ubicarlos, o cualquier otra medida que resulte de las conclusiones.
Controlar la Potencia de RF en cada Punto de Acceso Inalmbrico Balancear las cargas entre Puntos de Acceso vecinos Informar cuantos usuarios hay conectados a cada Punto de Acceso Detectar Interferencias y Obstculos Calcular S R - Relacin Seal / Ruido Informar estndar 802.11 utilizado por cada usuario para conexin Informar sobre velocidades de transmisin Detectar bloqueos en el canal Detectar paquetes perdidos Detectar nodos ocultos Detectar Access Point, mal configurados Detectar Redes Ad-Hoc Detectar ataques de Denegacin de Servicio -DoS Detectar Access Point Hostiles Detectar Access Point con fallos, que requieran mantenimiento Generar Alarmas ante situaciones que requieran intervencin inmediata Generar Estadsticas
A continuacin se aclaran algunos conceptos del listado anterior: Balanceo de cargas en una Red Inalmbrica WIFI : Consiste en transferir usuarios de un Access Point muy "colapsado" a otro contiguo que est mucho menos "ocupado".Esto se logra modificando el tamao de las celdas. Si se aumenta la potencia de RF del "desocupado" se aumenta su cobertura y si a la vez se reduce la potencia de RF del "colapsado" se disminuye su cobertura. De esta manera se puede conseguir transferir usuarios de uno a otro, equiparando o balanceando la carga de trabajo. SNR - Relacin Seal / Ruido en Redes Inalmbricas WIFI : Es la relacin que se obtiene de dividir el nivel de la seal por el nivel del ruido en cada lugar cubierto por la red inalmbrica wifi. Siempre habr lugares de nuestra organizacin donde haya ms obstculos e interferencias. En dichos puntos, entonce, subir el ruido y la relacin entre la seal y el ruido ser menor. Es obvio que en los puntos donde esta relacin sea muy baja, primar el ruido y se "chupar" a la seal. La calidad de la red ser muy pobre y en algunos
casos, inadmisible. Se aconseja verificar al realizar el Site Survey, que en todos los puntos de la instalacin, esta relacin sea igual o mayor al 30%. Los Analizadores para Wifi, nos permiten capturar el espectro de RF y comprender, por lo tanto, lo que est sucediendo en el "aire que nos rodea". Con la versin de PDA, es ms fcil desplazarse por las instalaciones para detectar interferencias, obstculos, Access Points de los vecinos, etc.. Tambin los podremos utilizar para realizar el Site Survey y optimizar el lugar de emplazamiento de cada Punto de Acceso Inalmbrico. Estas herramientas son, tambin de mucha utilidad, para solucionar problemas que se vayan presentando en la red inalmbrica Wifi. Por ejemplo conexiones que dejan de funcionar (quizs por interferencias, o por desconfiguracin de algn Access Point).
Es obvio que estas herramientas son de gran ayuda para el administrador de una red inalmbrica WIFI. Sin ellas no sera posible mapear el aire y el espectro de RF. Pero, tienen una carencia fundamental. Son herramientas estticas. Uno slo puede observar lo que est sucediendo en un instante determinado. Sacar una "foto" de la situacin y, nada ms. Dijimos que una de las problemticas de Wifi, es la volatilidad y la movilidad. Muchas situaciones, slo duran unos momentos. Supongamos que un grupo de usuarios se est quejando que la red inalmbrica se cae por unos instantes y luego se levanta nuevamente. Quizs se est produciendo una interferencia, un ruido, que dura slo unos minutos. Puede existir, por ejemplo, un micro-ondas en la vecindad y la interferencia aparecer por 1, 2 o 3 minutos , cada vez que es encendido. Si uno tarda unos minutos en llegar al sitio con su analizador, el ruido puede ya no estar y no descubriremos el motivo del fallo. Igualmente si un hacker est atacando algn Punto de Acceso Inalmbrico, o a algn usuario de nuestra red wifi, slo lo podremos descubrir si aparecemos con nuestro analizador, en el momento preciso del ataque. Si llegamos tarde, nunca sabremos cul era el inconveniente. Resumiendo, los Analizadores Wifi, son herramientas muy tiles pero con ciertas limitaciones. Es lo mnimo (no lo mximo) que se debe tener para administrar y gestionar de manera profesional una red inalmbrica wifi.
Las Switches WLA o Controladores Wifi, son herramientas muy sofisticadas, diseadas y pensadas especialmente para monitorear, administrar, gestionar y controlar redes inalmbricas WIFI. Para cumplir todas estas "maravillosas" funciones, obviamente lo primero que hay que hacer, como se ve en la figura 16, del archivo Redes-Inalmbricas-Curso-Gratis.pdf, es "capturar" la informacin que est en el aire. Dicho en otras palabras: monitorear. Esta funcin se puede llevar a cabo, de distintas maneras. Bsicamente existen 3 mtodos de monitoreo del espectro de RF Mtodos de monitoreo del espectro de RF de una Red WIFI 1. Por medio de Computadores de Usuarios: Se pueden utilizar computadores dedicados, o compartidos. No es mtodo ms eficaz, pero si el ms barato y puede ser una buena solucin en Pymes. 2. Por medio de Acces Points: Los resultados son mejores que con el mtodo anterior, pero tambin tiene limitaciones. Si ese Punto de Acceso es atacado, perdemos al Acces Point, y al monitor. 3. Por medio de Sensores: Es el mejor mtodo, pero por supuesto, el ms caro, pues hay que aadir un costo adicional a la instalacin de la red inalmbrica Wifi.
Cmo es lgico, toda la informacin que recopilemos por cualquiera de los 3 mtodos, ser de gran utilidad para las tareas de anlisis, gestin y control de la red inalmbrica. Es imposible, gestionar y controlar una red inalmbrica wifi, sin monitorear. Es la nica manera de saber puntualmente, las 24 horas del da qu est sucediendo en nuestro sistema. Gracias a estas herramientas "inteligentes", las Switches WLA , podremos detectar ataques a nuestra red wifi en tiempo real: Puntos de Acceso Hostiles, Redes Ad-Hoc no deseadas, Ataques de Denegacin de Servicio - DoS -, resolver problemas de mantenimiento, detectar los puntos de bajo rendimiento en nuestra red inalmbrica, las fuentes de ruidos, interferencias, etc.. Adems, permiten configurar decenas de alarmas, que nos llegarn por email, por SMS, etc. Si las alimentamos con un plano de las instalaciones, tambin nos indicarn con bastante exactitud, el lugar donde se est produciendo el incidente que debemos solucionar. En virusprot.com hay decenas de artculos y noticias publicados durante los ltimos aos sobre diferentes versiones y modelos de Analizadores Wifi y Switches WLan / Controladores WiFi. Para el que quiera muchsima ms informacin sobre este tema, recomendamos leer:
Nueva Solucin para Detectar Usuarios Wireless Ocultos, Mejora la Seguridad Wifi Las Interferencias de RF en Wifi, Afectan la Seguridad Avance en La Seguridad de las Redes Inalmbricas Proteccin para Redes Inalmbricas La Configuracin de la Voz y la Seguridad WiFi
Herramienta para Seguridad Wifi en Exteriores y Anlisis del Espectro de Radio Frecuencia Nuevas Herramientas para Incrementar la Seguridad Wireless. Combaten el Wi-Phishing y las Redes Inalmbricas Ad-Hoc (27/01/06)
ms lecturas sobre Switches WIFI y Redes Inalmbricas WIFI Puntos de Acceso Hbridos Los fabricantes y desarrolladores de Switches WLA , fabrican tambin Access Points, que son denominados "Hbridos". Estos Access Point, se integran con mucha facilidad con los Switches WLA , incluyen una funcin de "Auto-aprendizaje", simplifican el despliegue de la red inalmbrica, colaboran en la deteccin de Puntos de Acceso Hostiles y mejoran las funciones de roaming. Los Analizadores para Wifi, nos permiten capturar el espectro de RF y comprender, por lo tanto, lo que est sucediendo en el "aire que nos rodea". Con la versin de PDA, es ms fcil desplazarse por las instalaciones para detectar interferencias, obstculos, Access Points de los vecinos, etc.. Tambin los podremos utilizar para realizar el Site Survey y optimizar el lugar de emplazamiento de cada Punto de Acceso Inalmbrico. Estas herramientas son, tambin de mucha utilidad, para solucionar problemas que se vayan presentando en la red inalmbrica Wifi. Por ejemplo conexiones que dejan de funcionar (quizs por interferencias, o por desconfiguracin de algn Access Point).
Es obvio que estas herramientas son de gran ayuda para el administrador de una red inalmbrica WIFI. Sin ellas no sera posible mapear el aire y el espectro de RF. Pero, tienen una carencia fundamental. Son herramientas estticas. Uno slo puede observar lo que est sucediendo en un instante determinado. Sacar una "foto" de la situacin y, nada ms. Dijimos que una de las problemticas de Wifi, es la volatilidad y la movilidad. Muchas situaciones, slo duran unos momentos. Supongamos que un grupo de usuarios se est quejando que la red inalmbrica se cae por unos instantes y luego se levanta nuevamente. Quizs se est produciendo una interferencia, un ruido, que dura slo unos minutos. Puede existir, por ejemplo, un micro-ondas en la vecindad y la interferencia aparecer por 1, 2 o 3 minutos , cada vez que es encendido. Si uno tarda unos minutos en llegar al sitio con su analizador, el ruido puede ya no estar y no descubriremos el motivo del fallo. Igualmente si un hacker est atacando algn Punto de Acceso Inalmbrico, o a algn usuario de nuestra red wifi, slo lo podremos descubrir si aparecemos con nuestro analizador, en el momento preciso del ataque. Si llegamos tarde, nunca sabremos cul era el inconveniente. Resumiendo, los Analizadores Wifi, son herramientas muy tiles pero con ciertas limitaciones. Es lo mnimo (no lo mximo) que se debe tener para administrar y gestionar de manera profesional una red inalmbrica wifi.
Cmo es lgico, toda la informacin que recopilemos por cualquiera de los 3 mtodos, ser de gran utilidad para las tareas de anlisis, gestin y control de la red inalmbrica. Es imposible, gestionar y controlar una red inalmbrica wifi, sin monitorear. Es la nica manera de saber puntualmente, las 24 horas del da qu est sucediendo en nuestro sistema. Gracias a estas herramientas "inteligentes", las Switches WLA , podremos detectar ataques a nuestra red wifi en tiempo real: Puntos de Acceso Hostiles, Redes Ad-Hoc no deseadas, Ataques de Denegacin de Servicio - DoS -, resolver problemas de mantenimiento, detectar los puntos de bajo rendimiento en nuestra red inalmbrica, las fuentes de ruidos, interferencias, etc.. Adems, permiten configurar decenas de alarmas, que nos llegarn por email, por SMS, etc. Si las alimentamos con un plano de las instalaciones, tambin nos indicarn con bastante exactitud, el lugar donde se est produciendo el incidente que debemos solucionar.
En virusprot.com hay decenas de artculos y noticias publicados durante los ltimos aos sobre diferentes versiones y modelos de Analizadores Wifi y Switches WLan / Controladores WiFi. Para el que quiera muchsima ms informacin sobre este tema, recomendamos leer:
Nueva Solucin para Detectar Usuarios Wireless Ocultos, Mejora la Seguridad Wifi Las Interferencias de RF en Wifi, Afectan la Seguridad Avance en La Seguridad de las Redes Inalmbricas Proteccin para Redes Inalmbricas La Configuracin de la Voz y la Seguridad WiFi Herramienta para Seguridad Wifi en Exteriores y Anlisis del Espectro de Radio Frecuencia Nuevas Herramientas para Incrementar la Seguridad Wireless. Combaten el Wi-Phishing y las Redes Inalmbricas Ad-Hoc (27/01/06)
ms lecturas sobre Switches WIFI y Redes Inalmbricas WIFI Puntos de Acceso Hbridos Los fabricantes y desarrolladores de Switches WLA , fabrican tambin Access Points, que son denominados "Hbridos". Estos Access Point, se integran con mucha facilidad con los Switches WLA , incluyen una funcin de "Auto-aprendizaje", simplifican el despliegue de la red inalmbrica, colaboran en la deteccin de Puntos de Acceso Hostiles y mejoran las funciones de roaming. Es fcil de imaginar qu pasara si en una Red inalmbrica WIFI de una Universidad, o de un Hospital todos los Access Point y todos los clientes WIFI debieran ser de la misma marca para que el sistema funcione. Esto significara que todos los alumnos y profesores de una universidad o los mdicos y pacientes de un hospital deberan comprar sus adaptadores WIFI de una marca establecida que, a su vez, debiera ser la misma marca de los Puntos de Acceso Inalmbricos instalados. Sera un caos y uno se quedara sin conectarse a muchas redes por falta de compatibilidad.
Una vez dicho esto, digamos que como se ve en la figura 17, del archivo RedesInalmbricas-Curso-Gratis.pdf, el proceso de estandarizacin es un proceso muy largo y complejo, similar al de la aprobacin de una ley en el congreso de cualquier pas. Requiere mltiples correcciones y votaciones. En el caso de los estndares del IEEE - Institute of Electrical and Electronic Engineers - estos requieren un 75% de votos favorables para ser aprobados y existen muchsimos intereses en juego. Los ingenieros que participan en su elaboracin, generalmente representan a distintas organizaciones que cada una quiere "imponer" su tecnologa. Para evitar demoras y conseguir una aprobacin ms gil, muchas veces los estndares son un poco ambiguos o no muy detallados, para permitir a cada empresa ms grados de libertad en el diseo de los productos. Esta bsqueda de consensos y la redaccin de estndares "poco detallados" genera muchas veces incompatibilidades entre productos de distintos fabricantes. Por eso, por ejemplo, fue
necesaria la creacin de la "WiFi Alliance" que agrupa a los fabricantes de productos WIFI y "pone orden" para evitar el descrdito de la industria WIFI. Cuando se acumulan temas sin resolver, o problemticas nuevas , el IEEE crea un "Grupo de Trabajo" que estudie las posibles soluciones a las necesidades planteadas. Una vez que el grupo tenga una solucin que obtenga el 75% de los votos de los integrantes, se publica un "borrador". Ese borrador se circula para recopilar las observaciones que se vayan planteando y efectuar las correcciones necesarias. Luego se emite otro borrador y, as sucesivamente hasta llegar a un estndar aprobado y ratificado por el directorio del IEEE.
802.11a - Transmisin de Datos en la Banda de 5GHz 802.11b - Transmisin de Datos en la Banda de 2.4GHz 802.11e - QoS - Calidad de Servicio 802.11g - Transmisin de Datos Adicional Banda 2.4 GHz 802.11h - Espectro y Potencia en Europa - Banda 5 GHz 802.11i - Mejoras en Seguridad WIFI (WPA/WPA2) 802.11k - Mediciones y Gestin de RF en WIFI 802.11n - Transmisin de Datos - Altas Velocidades (MIMO) 802.11p - WAVE (WIFI en vehculos) 802.11r - Fast Roaming 802.11s - Redes Mesh / Wifi Municipal 802.11u - Internetworking con otras Redes 802.11v - Access Points, Gestin de Clientes (MIB) 802.11w - Seguridad de Paquetes de Management.
Para comprender mejor, la importancia de la estandarizacin en WIFI, se recomienda leer : "El Estndar WIFI 802.11n - La Gran Confusin" y "El Dilema Pre-Estndar 802.11n". Es un tema de suma actualidad, ahora que se est empezando a comercializar equipos de esa nueva tecnologa, que an no es estndar por haberse aprobado, slo un borrador. En los links del recuadro se pueden encontrar conceptos ms amplios sobre varios de los estndares WIFI enumerados. El trfico de voz en redes inalmbricas WIFI, se conoce como VoWIP - Voice Wireless IP - en vez de VoIP. Aunque se estn empezando a utilizar otros nombres como VoFI Voice en WIFI-, VoWLAN - Voice en WLAN, etc.. Con el nuevo estndar 802.11e se pueden establecer 4 colas distintas segn el tipo de servicio. La categora ms prioritaria, espera menos y la categora menos prioritaria, espera su turno que es el cuarto. La idea es que el trfico de voz, sea el de mxima prioridad, pues este tipo de servicios no admite demoras. Luego vendra el trfico de video, luego el trfico de datos ms importantes y luego el resto de los datos. En este ltimo se incluye a todos los dispositivos antiguos que no estn diseados para gestionar QoS.
Es necesario conocer que si se desea implementar una Red Inalmbrica WIFI con QoS - Calidad de Servicio - deben cumplirse varias condiciones: 1. Los Access Points deben estar certificados para QoS y adems, deben tener esta funcin activada. 2. Los clientes tambin deben tener activada la opcin de QoS y estar certificados al respecto. 3. Las aplicaciones deben soportar QoS y deben saber asignar los niveles de prioridades que permite el estndar 802.11e al trfico que ellas genera. Est claro que el cumplimiento de estas 3 condiciones, en la actualidad, es un poco complicado. Por ejemplo si disponemos de PDAs o de Access Points, o de computadores con chip Centrino, que tengan ms de un par de aos de antiguedad, seguramente no estn certificados para QoS. Lo mismo sucedern, posiblemente, con diversas aplicaciones que querramos utilizar y que deberan ser re-escritas para saber soportar QoS y asignar prioridades al trfico. La certificacin 802.11e - QoS es voluntaria. No es obligatoria. Por lo tanto habr equipos de gama baja, que no soporten 802.11e pero que estn certificados para los otros estndares como 802.11a, 802.11b, 802.11g, 802.11i, etc.
El estndar IEEE 802.11k se titula "Radio Resource Management" y busca incorporar varias funciones que an no existen en los Access Point y en los clientes WIFI. Ya se han generado 7 borradores y se espera su aprobacin final para finales de este ao (2007). Un gran inconveniente en la actualidad es que los dispositivos de una red inalmbrica WIFI, se conectan a los Access Point que emiten la seal ms potente. Esto no conduce necesariamente a una mejor conexin o calidad de la red. Por ejemplo en una sala de reuniones o un auditorio. El Punto de Acceso seguramente se recargar primero y luego se colapsar. Evidentemente, el uso de recursos no es eficaz. Los dispositivos deberan aprender a cambiarse de Punto de Acceso. Para ello deberan saber medir los recursos de RF y tambin compartir esa informacin entre los Access Point y los dispositivos Wifi. Por ejemplo cual es la carga del canal, si el canal est bloqueado, hacer un histograma del ruido, etc. La idea final es que los dispositivos Wifi, en vez de conectarse al Access Point que emite la seal ms potente, tengan la informacin suficiente para saber seleccionar el Access Point ms adecuado, donde haya "menos competencia" . El rendimiento de los clientes de una red inalmbrica wifi, baja significativamente cuando hay muchos usuarios compitiendo en un Punto de Acceso. Se est trabajando con unos algoritmos que sabrn suministrar al dispositivo wifi "postulante" a conectarse, un listado de todos los Access Point disponibles clasificados desde el mejor hasta el peor. Una vez aprobado el estndar IEEE 802.11k, el funcionamiento ser el siguiente: El Access Point le pedir al dispositivo WIFI que intente conectarse a la red inalmbrica WIFI, que le informe todos los Access Point que est oyendo. El Punto de Acceso analizar esta informacin y luego suministrar el listado indicando cuales son los Access Point ms convenientes para esa estacin. Los dispositivos tambin podrn saber si hay nodos ocultos, y los Puntos de Acceso sabrn cuales son los confines de su celda. Segn est estipulado, cuando se apruebe el estndar los Access Point y los dispositivos WIFI se debern poder actualizar por medio de software. LLegado el momento habr que ver, si todos los equipos son capaces de funcionar con la actualizacin. Seguramente, los muy antiguos tendrn inconvenientes. Es necesario aclarar, que los usuarios esperan de VoWIP, las siguientes caractersticas:. 1. 2. 3. 4. 5. Excelente calidad de voz Alta disponibilidad Seguridad robusta Movilidad Bajos costos
Estas caractersticas son las que pueden garantizar una alta penetracin de esta tecnologa, pues si la calidad de la voz fuera mala o el sistema no llegara a estar disponible, sera poco
requerido. Por otro lado si hubiera problemas de seguridad o los costos fueran altos, sera conveniente utilizar los sistemas de voz tradicionales.
Muchos creen que por que ya tienen una red inalmbrica wifi en funcionamiento, automticamente pueden aadir un sistema de Voz IP. ada ms lejos de la realidad. Como se coment en Estndar 802.11e - QoS la calidad de la mayora de las redes inalmbricas wifi de datos es bastante pobre y en trminos generales no se puede controlar, a menos que se disponga de Switches WLAN o de una red inalmbrica wifi que soporte el Estndar 802.11e - QoS . La voz es muy sensible a las demoras y cualquier demora superior a 30 mseg. generar cortes e interrupciones. Si no disponemos de QoS, la red transmitir sin ningn orden de prioridades tanto los paquetes de datos como los de voz y, quizs estos tengan que esperar bastante tiempo para ser transmitidos. Esto se agrava cuando hay ms de 3 o 4 usuarios concurrentes intentando llamar por telfono. Para evitar colisiones el estndar 802.11 obliga a los paquetes a esperar un RTS. Esto genera ineficiencias que se incrementan a medida que ms usuarios compiten por el ancho de banda de un Access Point determinado. Tambin est el problema del Roaming donde existe una pequea indecisin en el sistema y que puede generar corte en las comunicaciones. Otro problema a tener en cuenta al implementar una red inalmbrica WIFI IP, es la batera de los PC. En telefona mvil, GSM, los telfonos suelen estar "dormidos" en "standby" y se despiertan cuando entra una llamada. Este mecanismo permite ahorrar bateras. La red GSM controla el sistema. Esto no sucede en redes inalmbricas WIFI donde los telfonos estn todo el tiempo despierto y por lo tanto se genera un alto consumo de bateras.
Antenas WIFI
Toda transmisin wifi depende de la potencia de transmisin del Access Point que la emite, y de la sensibilidad del receptor. Muchas veces esto no es suficiente para una buena transmisin y se puede aadir una antena que suministre una "ganancia" y mejore la calidad de la seal. La ganancia de una antena se expresa en "dBi". Cuantos ms dBi tenga, ser mayor la ganancia que proporciones (y su alcance). Existen bsicamente 3 tipos de antenas wifi: 1. Omnidireccionales 2. Direccionales 3. Sectoriales
Antenas Omnidireccionales: Transmiten en todas las direcciones indiscriminadamente en un radio de 360. Estas emiten la informacin hacia todos lados. Esto hace que su alcance, generalmente sea menor que el de las antenas direccionales o sectoriales. La mayora de los Puntos de Acceso inalmbricos incorporan una antena omnidireccional. Algunos modelos incluyen 1 o 2 antenas como valor aadido. Generalmente suelen ser de poca ganancia, pero algo aportan para el que las necesite. Antenas Direccionales: Transmiten en una direccin determinada. Por lo tanto su haz ser ms potente y a igualdad de ganancia que una omnidireccional llegar ms lejos. Fuera de la zona de cobertura casi no habr seal. Sus aplicaciones principales son cuando queremos hacer una conexin punto a punto y dirigir toda la energa en una direccin muy determinada y cuando por cuestiones de seguridad queremos evitar la fuga de la seal ms all de nuestras paredes. Antenas Sectoriales: Son una solucin intermedia entre las 2 anteriores, transmiten en una direccin, pero no tan enfocadas, o sea que cubre un ngulo mayor, un sector. Por lo tanto su alcance, o ganancia es mayor que las omnidireccionales y menor que las direccionales. Todo depende del ngulo. Por lo tanto este es un dato a tener en cuenta a la hora de adquirirlas. Si se necesita mucho alcance o potencia en todas las direcciones se pueden utilizar, varias sectoriales que sumen los 360 grados En general, los ataques que realizan hackers o intrusos a los sistemas pueden dividirse en 2 grandes categoras: 1. Ataques Pasivos: Son aquellos donde alguien no-autorizado accede a la informacin sin modificarla. 2. Ataques Activos: Son aquellos donde alguien no autorizado modifica o altera el contenido de la informacin o impide la utilizacin de la misma.
Entre los ataques pasivos podemos mencionar a: Vigilancia/Espiar: El hacker monitorea el contenido de las transmisiones para descubrir el contenido de la informacin. Anlisis de Trfico: El atacante captura la informacin transmitida y trata de descubrir datos sobre los parmetros de la comunicacin: SSID, contraseas, Direcciones MAC. Entre los ataques activos estn: Enmascaramiento (Robo de Identidad): El hacker se hace pasar por un usuario autorizado para acceder a la informacin Retransmisin (Man-in-the-middle): El atacante se coloca entre el emisor y el receptor. Recibe la informacin y la retransmite, para evitar ser descubierto. Alteracin: El hacker modifica un mensaje legtimo aadiendo o quitando algo del contenido Denegacin de Servicio (DoS): El atacante impide la utilizacin normal de las transmisiones WIFI. En redes inalmbricas WIFI, son muy difciles de evitar este tipo de ataques y, por otro lado, muy sencillos de realizar.
Enviar spam y estropear la reputacin de nuestro dominio Sembrar virus informticos y troyanos en Internet Distribuir Spyware Hackear a otras organizaciones Crear Redes Zombies
Adems, aunque muchos no lo piensen, la banda ancha tambin tiene un costo y si se utilizan nuestros recursos masivamente, deberemos ampliar el servicio. Por extensin, a la prctica de enviar spam por medio del Warchalking o Wardriving se la denomina "Warspamming" y a la de sembrar virus informticos en Internet se la llama "Warvirusing". Saturar el Ambiente con Ruido de RF: En Prdidas de Seal en WIFI , se comentaron las influencias negativas de las interferencias (el ruido) en las redes inalmbricas Wifi. Uno de los ejemplos eran los micro-ondas. Tambin se analiz la importancia de la Relacin Seal/Ruido - SNR y que esta debe estar por encima de ciertos lmites, pues sino la calidad
de la transmisin wifi es muy mala y la red inalmbrica no funciona. Esto quiere decir que, si alguien deliberadamente "produce" ruido o interferencias en nuestro "aire" (que como se viene repitiendo en todo este curso, no es "nuestro" pues es un medio compartido. El aire es de todos), la relacin Seal/Ruido bajar por el aumento del ruido y nuestros usuarios se quedarn sin red inalmbrica wifi.
Este ataque es muy sencillo y se puede realizar con micro-ondas, o ms profesionalmente con un generador de Ruido. Si el administrador de la red no cuenta con herramientas apropiadas, le ser muy difcil detectar esta situacin. Los usuarios de la red inalmbrica se quejarn y, a los pocos minutos todo funcionar correctamente, hasta el prximo ataque.
Torrente de Autenticaciones: Cuando se trabaja con el estndar 802.1x y servidor RADIUS, es preciso que cada usuario se autentique. Este procedimiento es criptogrficamente complejo y requiere un consumo considerable del procesador, pues se deben tirar tneles y realizar bsquedas en las bases de datos. Si el usuario no es autenticado, obviamente ser rechazado despus de realizar todo el proceso. Si un hacker se dedicara a enviar falsas peticiones de autenticacin (desconoce la contrasea y dems datos de conexin), repetitivas y en gran cantidad y, adems, simultaneas, tendra todo el tiempo ocupada a la red inalmbrica wifi con estos complejos procesos de autenticacin y lograra impedir que los usuarios legtimos lleguen a autenticarse ante el servidor RADIUS pues siempre este estara ocupado con el falso usuario. De esta manera se denegara el servicio a los usuarios verdaderos.
WPA - Modificacin de Paquetes: Uno de los fallos importantes que tiene el protocolo WEP de encriptacin, consiste en la falta de un mtodo de chequeo de integridad. Los paquetes puedes ser alterados o sustrados, sin conocimiento de nadie, pues el protocolo no verifica que lleguen todos los paquetes y, adems, sin modificaciones. Una de las mejoras que introduce WPA es un sistema de chequeo de integridad. Este incluye un mecanismo que se dise con "buenas intenciones" pero que permite, sin proponrselo, los ataques de DoS. Este mecanismo (MIC) de chequeo de integridad que incluye TKIP-WPA, verifica si los paquetes han sido modificados o manipulados. Si detecta que 2 paquetes o ms se han modificado en un minuto, el sistema asume que alguien lo est atacando y, por precausin, desconecta a todos los usuarios de la red inalmbrica. De esta manera, un hacker puede alterar o modificar un par de paquetes y lograr que el sistema desconecte a todos los usuarios. Una vez que todos se vuelvan a re-conectar, podr repetir la operacin, manipulando un par de paquetes y consiguiendo que todos sean echados otra vez. De esta manera nadie podr trabajar en la Red Inalmbrica Wifi y se producir una situacin de Denegacin de Servicio - DoS
Existen otros mtodos y diferentes herramientas, la mayora free para este tipo de ataques de Denegacin de Servicio (DoS) contra redes inalmbricas wifi. Por ejemplo, DesAutenticar, a usuarios wifi que ya estn autenticados y trabajando correctamente con la red inalmbrica. Entre las ms conocidas estn "Air-Jack", y "Hunter Killer". As se logra echar de la red inalmbrica Wifi a quienes ya estn conectados y autenticados. Obviamente por limitaciones de espacio y de la breve extensin de este curso, no se podrn analizar otro tipo de ataques y otras herramientas. MAC Address Spoofing: En el captulo Filtrado Direcciones MAC se coment que las MAC Address o Direcciones MAC se podan imitar o suplantar. Si la red inalmbrica Wifi atacada est defendida mediante el sistema muy poco seguro de Filtrado Direcciones MAC, los hackers podrn detectar alguna direccin MAC autorizada y utilizarla en su computador, suplantando la original de esa mquina. Esto se puede realizar de manera muy sencilla mediante el software Air Jack, disponible en Internet. El Access Point creer que el computador pirata, con la direccin MAC "falsa", es el de un usuario legtimo y le permitir la conexin a la red inalmbrica wifi. Se recomienda la lectura de "Filtrado de Direcciones MAC, Seguridad WIFI?"
Este ataque es muy sencillo y se pueden conseguir las MAC address tambin con otras herramientas ya mencionadas, como Netstumbler o Ethereal. No hay que olvidarse que la direccin MAC, est siempre en el "aire" y sin encriptar.
Man-In-The-Middle /MITM: Como su nombre lo indica, "Hombre en el Medio", significa que el hacker consigue ubicarse entre el Access Point y el dispositivo WIFI cliente. De esta manera las comunicaciones de ese cliente de la red inalmbrica wifi, estarn controladas por el hacker, quien podr realizar 3 tipos diferentes de acciones segn su inters. Mediante un ataque Man-in-the-Middle, un hacker puede lograr: 1. Modificar o alterar la informacin que se est transmitiendo a travs suyo y de esta manera confundir o engaar al receptor. 2. Transmitir la informacin sin ningn cambio. De esta manera lograr enterarse del contenido 3. Bloquear la informacin transmitida y lograr que sta nunca llegue a conocimiento del receptor. Para realizar este ataque, el hacker deber primero localizar una red inalmbrica wifi (o la red inlmbrica wifi) para atacar. Debe tambin juntar informacin sobre los SSID y dems parmetros del Access Point de la red inalmbrica y del cliente wifi que eligi para su ataque.
Para el ataque necesitar un Punto de Acceso Inalmbrico y un computador cliente wifi. Existe en la actualidad software que permite emular un Access Point en un PC, con lo cual puede ser suficiente un computador que cumpla las 2 funciones: Access Point y cliente wifi, a la vez. El Access Point del hacker deber "atraer" al cliente (o los clientes) de la red inalmbrica wifi que va a atacar, para que se conecte a l y no al Access Point legtimo. Por otro lado, su PC har de cliente legtimo y enviar esta informacin al Punto de Acceso "verdadero". Por supuesto, una vez logrado este objetivo, de ser el "Hombre en el Medio" o Man-in-theMiddle, el hacker podr tambin "participar" de las actividades de la red inalmbrica wifi y lanzar ataques de Denegacin de Servicio - DoS, si lo desea.
Session Hijacking : La traduccin exacta sera "Secuestro de la Sesin". En realidad, este ataque consiste en "echar" a un usuario ya conectado y autenticado y reemplazarlo. De esta manera el hacker participar de la red inalmbrica wifi, en lugar o en reemplazo de un usuario legtimo que quedar desconectado. La manera prctica de realizar el ataque de "Session Hijacking" a una red inalmbrica wifi, es el siguiente: 1. El hacker detecta y elige previamente, la red inalmbrica wifi que va a atacar 2. El atacante monitorea esa red wifi, analiza el trfico y junta informacin como SSID, MAC address, etc. 3. El hacker lanza un ataque de Denegacin de Servicio - DoS - contra el usuario que desea desconectar, hasta que consigue echarlo de la red wifi 4. Con los datos conseguidos en la etapa 2, puede conectarse rpidamente a la red inalmbrica wifi, en reemplazo del usuario expulsado, suplantandolo. El usuario intentar infructuosamente conectarse nuevamente a la red wifi, pero no lo lograr, pues en realidad, ya hay alguien que lo suplant. 5. Luego de unos pocos segundos, el hacker se retira y permite al usuario atacado, re-conectarse a la red 6. Este ataque se puede repetir sucesivamente, desconectando al mismo usuario o a otro. Como se ve, este ataque suele durar en cada intento, muy pocos segundos y luego puede repetirse. Generalmente, si los administradores de la red inalmbrica wifi no cuentan con herramientas muy avanzadas como Switches WLA , no tendrn ninguna posibilidad de detectar estos ataques.
Access Point "Honeypot" Roaming a Access Point "pirata" Aprovechamiento de Puntos de Acceso mal configurados Redes Ad-Hoc - Ver Conexiones WIFI Incontrolabes Puntos de Acceso Hostiles
Ataque a Redes WIFI - Cisco: EAP-LEAP Aprovechamiento de Vulnerabilidades de WIFI en hard y soft
A continuacin se comentarn algunos de estos mtodos. . Ataque a Cisco: EAP-LEAP : En Agosto de 2003 se present en la conferencia DEFCON un paper describiendo las vulnerabilidades del mtodo de autenticacin EAP-LEAP desarrollado por Cisco y la metodologa para lanzar un ataque "off-line". Ms detalles sobre la vulnerabilidad de EAP-LEAP se pueden encontrar en Cisco reacciona ante la
vulnerabilidad del protocolo LEAP (15/04/2004)
Por principio todo algoritmo basado en claves o contraseas puede ser atacado con la finalidad de descubrir la contrasea de acceso. En este caso se realiza un ataque de diccionario. Existe una herramienta en Internet llamada "ASLEAP" que automatiza y facilita la realizacin del ataque de diccionario a las redes inalmbricas WIFI, que utilizan como mtodo de autenticacin a EAP-LEAP. Para los usuarios de LEAP se recomienda la utilizacin de contraseas no menores a 10 dgitos. Como este ataque se puede realizar "off-line", es posible capturar una cantidad de trfico determinada, y luego atacarla hasta descubrir la contrasea. Aprovechamiento de Puntos de Acceso mal configurados: Esta es una de las situaciones ms comunes en la actualidad y que facilita enormemente la tarea de intrusin y hacking de redes inalmbricas WIFI. Todos los modelos de Access Point vienen con caractersticas de default (predeterminadas) de fbrica. Hay algunos que tienen una contrasea de fbrica o que directamente vienen sin contrasea. Lo mismo sucede con el SSID. Estos datos predeterminados son conocidos por muchsimas personas y es imprescindible cambiarlos en el momento de la instalacin. Adems, existen varias pginas web donde se pueden encontrar listados de las contraseas de default y SSID de los modelos ms difundidos de Access Points. As como estos, existen muchos otros errores de configuracin de Puntos de Acceso Inalmbrico que atraern y facilitarn la tarea de hacking. Cualquiera que haya comenzado sus "andaduras" por los mundos de las redes inalmbricas wifi, se habr asombrado de la cantidad de Access Points que existen en cualquier ciudad mal configurados o noconfigurados. Esto sucede en la mayora de los casos por desconocimiento. Aprovechamiento de Vulnerabilidades de WIFI en hard y soft: En la actualidad ya existen numerosas vulnerabilidades relacionadas con WIFI, tanto en Access Points, como en los clientes y tambin en los mismsimos protocolos de WIFI Aqu podr encontrar algunas de las Vulnerabilidades que afectan a Redes
Inalmbricas WIFI:
Hackers Pueden Crackear la Seguridad de Redes Inalmbricas. Fallos en Seguridad WiFi. Access Point de Cisco Vulnerable a Ataques DoS. Descubierta importante vulnerabilidad en el estndar IEEE 802.11b Seguridad Wi-Fi: Cisco avisa de nuevas vulnerabilidades en sus sistemas wireless
Como se coment estas son slo algunas de las vulnerabilidades encontradas. Si desea leer ms sobre Redes Inalmbricas Wifi y sus vulnerabilidades visite el ndice de oticias sobre Redes Inalmbricas Wifi que tiene VIRUSPROT.COM o la pgina web de la organizacin que recopila todas las vulnerabilidades relacionadas con WIFI: http://www.wirelessve.org Obviamente, cada uno debe estar atento a las vulnerabilidades que le ataen, segn los equipos y los softwares que est utilizando. Si se poseen equipos de CISCO habr que estar actualizado sobre las vulnerabilidades de CISCO. Si se poseen equipos de Apple, habr que estar atentos a los fallos de este fabricante. Si estos fallos no son "parcheados", proporcionarn un acceso fcil a nuestros sistemas de hackers e intrusos. Sobre los otros mtodos de intrusin o hacking de redes inalmbricas wifi, no hay mucho para aadir pues son bastante triviales y, adems, se han ido comentando casos similares en otros captulos de "Hacking WIFI". El Access Point "Honeypot" consiste en utilizar un Access Point "pirata" con un SSID vlido y seal fuerte para conseguir engaar a algn usuario. Si este se conecta, le quedar al hacker su login y contrasea que luego le permitirn penetrar en la red inalmbrica wifi. El Roaming a Access Point "pirata" consiste en lograr que un usuario que est en desplazamiento y haciendo roaming , en algn momento se desenganche de un Access Point legtimo y haga roaming a un "Access Point Pirata" en vez de al legtimo.
Como resmen cabe destacar que se han visto numerosos mtodos en que un hacker, muchas veces sin grandes conocimientos y sin gran infraestructura , puede penetrar una red inalmbrica wifi. Adems del instrumental tcnico para defenderse ser imprescindible, como se ver, muchsima capacitacin a los usuarios y polticas muy claras y definidas.
Eleccin Correcta de Puntos de Acceso Quin se atreve? Filtrado de Direcciones MAC Seguridad WiFi? WPA Un mal necesario? Seguridad WIFI Diseo de Red Inalmbrica Noticias de Actualidad de Redes Wireless Cuidado con los aviones!
Este tema es muy importante, pues se debe comprender que los puntos de acceso pblico o hotspots son muy inseguros y que slo nosotros y, nadie ms que nosotros, se puede ocupar de nuestra seguridad. Si el usuario no lo hace, su conexin quedar totalmente desprotegida. Por lo tanto el tramo de conexin inalmbrica que va desde el computador del cliente hasta el punto de acceso inalmbrico pblico podr ser interceptado y visto por cualquiera. . Wi - Phishing : Cuando uno se conecta en un sitio pblico y le aparecen access points ofreciendo conexiones, lo primero que debe tratar de averiguar o de cerciorarse (cosa nada fcil, por cierto) quin nos est haciendo ese ofrecimiento. La universidad? la direccin del aeropuerto? un proveedor de servicios (ISP) o algn pirata que busca aprovecharse de la falta de conocimientos de la mayora de los usuarios. Existen en la actualidad, numerosos casos en que hackers colocan access point piratas (ilegtimos) en sitios pblicos para atrapar a vctimas inocentes y desconocedoras de los peligros y de las posibilidades de la tecnologa wifi. De esta manera, muchos se conectan a estos puntos de acceso inalmbrico pblicos ilegales y resultan, generalmente, damnificados. Al conectarse, uno se encuentra con un men de bienvenida, similar al que esperamos ver, pues generalmente, desconocemos exactamente como es ese men pues no lo utilizamos muy frecuentemente. Por supuesto que
tratarn de preguntarnos por datos "delicados" como contraseas, nmeros de identidad, cuentas bancarias, nmeros de tarjetas de crdito, etc. Adems, al estar conectados con un access point "maligno", pueden introducirnos un virus informtico, un spyware, un keylogger, un troyano, o cualquier otro tipo de cdigo indeseado. A este tipo de phishing que se realiza a travs de wifi, se le denomina WIPHISHI G. Evil Twin : El Evil Twin, es un tipo de ataque muy similar al WiPhishing, pero ms ambicioso en cuanto a sus alcances. La metodologa de acceso o de engao a la vctima es similar, pero se busca conseguir ms datos. El Evil Twin, es en realidad, un ataque de "Man-in-the-Middle" que redirige al usuario a pginas web peligrosas, donde es atacado por medio de spyware, troyanos, etc. Se conoce un caso donde con slo activar o mover el mouse, se descarga un spyware
o los use si no est convencido que son seguros : Le deben dar una clave de encriptacin, como mnimo WEP. Si es WPA o WPA2, mejor Trate de usar slo correos de tipo web: Correos como Yahoo, Gmail y Hotmail
o use Mensajera Instantnea: Hotmail y Yahoo, envan los mensajes en claro. Encrptelos, si puede. Verifique que su tarjeta o hard Wifi est configurado de modo seguro: Desactive el modo Ad-Hoc y configrela para que no se conecte automticamente a cualquier red Evite conectarse a la red de su empresa: Slo debe hacerlo si est protegido por una VPN Trate de utilizar Hotspots conocidos: Existen proveedores a nivel nacional en casi todos los pases como las empresas telfonicas, que cuentan , en la actualidad, con grandes redes de servicio de hotspots. Le costar ms caro que los gratuitos, pero aqu contar con medidas de seguridad como certificado digital, encriptacin WEP / WPA / WPA2. Muchas veces, lo gratuito puede salir bastante caro. Verifique que tiene activado el firewall de Windows XP: O cualquier otro firewall personal Preste mucha atencin a las pantallas y mensajes: No diga "YES" a todo. Es una muy mala costumbre !!! y, adems, muy peligrosa.
Resumen de Ataques a Redes Inalmbricas WIFI - Hacking Wireless A manera de recapitulacin y para facilitar el estudio, brindamos a continuacin un listado o ndice de los temas de Hacking WIFI Hacking Wireless - Enumeracin de Ataques a Redes WIFI
Hacking de Redes Inalmbricas WIFI - Introduccin Hacking WIFI - Warchalking / Wardriving Hacking de Redes Inalmbricas WIFI - Denegacin de Servicio (DoS) Torrente de Autenticaciones: WPA - Modificacin de Paquetes: Hacking de Redes Inalmbricas WIFI - Imitacin / Falsificacin Mac Address Spoofing: Man-In-The-Middle /MITM: Session Hijacking : Hacking de Redes Inalmbricas WIFI - Intrusin en Redes y Clientes Ataque a Cisco: EAP-LEAP Aprovechamiento de Puntos de Acceso mal configurados: Aprovechamiento de Vulnerabilidades de WIFI en hard y soft:
Hacking de Redes Inalmbricas WIFI - Hotspots / WiPhishing Wi - Phishing Evil Twin : Hotspots - Consejos tiles contra el Wi-Phishing y Evil Twin Resumen de Ataques a Redes Inalmbricas WIFI - Hacking Wireless
Segn se ha venido comentando a lo largo de este curso, las redes inalmbricas WIFI, son altamente inseguras y ofrecen muchas facilidades a los intrusos potenciales. Temas como el de los Puntos de Acceso Hostiles y las Conexiones WIFI Incontrolables son un buen ejemplo de ello. En la actualidad la tecnologa que existe, como los Switches WLA / Controladores WIFI no es perfecta y, adems es muy cara y no est al alcance de la mayora de los usuarios. Como es sabido, la seguridad informtica, y mucho ms la seguridad wifi, no se logra slo con tecnologa. Las polticas y la capacitacin de los usuarios desempean un papel fundamental en el logro de los objetivos.
El NIST (National Institute of Standards and Technology), ha publicado un muy completo documento sobre la implementacin de redes inalmbricas WIFI en las dependencias del gobierno de USA y entre sus recomendaciones principales est la de desarrollar polticas de seguridad para wireless antes de comprar los equipos. Esta recomendacin es justo lo que nadie hace. La mayora de las empresas primero se dedican a comprar tecnologa wifi y luego, cuando ven los problemas, se dan cuenta que necesitan establecer polticas que regulen y controlen la utilizacin de las redes inalmbricas wifi . . En otro interesante documento publicado por la oficina del contralor de USA (GAO - Government Accountability Office) se estipula que "Hay que reconocer que el desarrollo de polticas es esencial para reducir de una manera econmica el riesgo a la informacin debido al uso de las redes inalmbricas wifi" Las polticas que hay que establecer para la utilizacin de las redes inalmbricas wifi, se refieren a: 1. Viajeros frecuentes de la organizacin: Se debe estipular la manera correcta de utilizar los recursos wifi cuando se est por fuera de la organizacin. 2. Visitantes: Son muchos los temas a decidir. Pueden utilizar su mquina en nuestra red wifi? A qu servicios pueden acceder?, etc. 3. Vigilancia: Se pueden ingresar Access Points a la empresa sin autorizacin? 4. Temas laborales : Pueden los empleados traer Puntos de Acceso Inalmbricos sin autorizacin? Pueden utilizar sus equipos wifi (notebooks, PDAs, etc) particulares? A continuacin se detallan, brevemente, algunas polticas relevantes que se aconseja establecer en las empresas e instituciones. Polticas de Seguridad y Gestin en Redes Inalmbricas WIFI
Verificar que los usuarios estn debidamente entrenados en el uso de la tecnologa WIFI y conocen los riesgos asociados con su utilizacin Cambiar el SSID por defecto Desactivar el broadcast del SSID Verificar que el SSID no contenga datos de la organizacin Poltica de instalacin de parches en Access Point y clientes WIFI
Auditar peridicamente que los Puntos de Acceso no hayan sido reseteados Poltica de contraseas para Access Points y clientes Poltica de configuracin de los Access Point Cmo configurar los suplicantes y proteger la configuracin con contrasea, si es posible Auditoras peridicas de la red inalmbrica wifi
Por la brevedad de este curso no es posible extenderse ms en este tema tan amplio. En las prximas semanas publicaremos un documento especfico sobre el tema de Polticas y Best Practices en Redes Inalmbricas WIFI
Redes Inalmbricas WIFI - Capacitacin En los documentos citados anteriormente se establece tambin la necesidad de entrenar a empleados y contratistas en el buen uso de las redes inalmbricas wifi. El captulo de capacitacin se puede dividir en 2 categoras. Una mnima y fundamental que es la informacin y luego la capacitacin y el entrenamiento propiamente dichos. A continuacin citamos varios ataques a redes inalmbricas wifi que se pueden reducir o suprimir informando adecuadamente a los usuarios:
La experiencia demuestra que informando a los usuarios sobre estos temas de seguridad desconocidos para la mayora, se pueden mitigar enormemente los riesgos en una red inalmbrica wifi. La capacitacin y el entrenamiento se pueden realizar o bien "incompany" con un grupo de empleados que se desee capacitar o bien enviando a estos a cursos externos. Lo importante es que la organizacin tenga entre sus polticas el entrenamiento de todos los usuarios de la red inalmbrica wifi. Es una excelente inversin y, muchas veces, aporta ms a la seguridad wifi que herramientas tecnolgicas de dudosa efectividad.