Ing.

William Marchand

11/12/2012

Redes Inalmbricas
Redes y Telecomunicaciones

Ing. William Marchand Nio

Caractersticas de las redes

inalmbricas
Ventajas
Movilidad
Facilidad y rapidez de instalacin
Flexibilidad
Reduccin del coste de mantenimiento
Escalabilidad

Desventajas
Velocidad
Rango de conectiv idad
Regulacin
Seguridad

Ing. William Marchand

11/12/2012

Infrarrojos y Radiofrecuencia
Infrarrojos
1 tecnologa usada en las WLAN (IBM 1979)
Actualmente no es utilizada debido a sus limitaciones
Alcance limitado
Transmisin en condiciones d e lnea vista
Factores externos (luz, niebla,) afectan a la buena recepcin de la seal
La suciedad influye negativamente en el rendimiento
Radiofrecuencia (RF)
Tecnologa en la que actualmente se basan las redes inalmbricas
Principalmente se utilizan tcnicas de espectro ensanchado: DSSS, FHSS
Nuevas tecnologas d e RF en auge como es el caso de OFDM.
Mayor alcance
Proteccin frente a interferencias de otros dispositivos de RF

Tecnologas basadas en RF
Tecnologa

Banda de
frecuencias

Mxima velocidad

Organizacin

802.11

2.4Ghz / 5Ghz

54 Mbps

IEEE

HiperLAN

5Ghz

54 Mbps

ETSI

HomeRF

2.4Ghz

2 Mbps

HRFWG (Intel)

Bluetooth

2.4Ghz

2 Mbps

Bluetooth SIG

WiMax

< 11Ghz

70 Mbps

IEEE 802.16a

Ing. William Marchand

11/12/2012

Estndares IEEE 802.11

Estndares IEEE 802.11 (cont.)

Norma

Banda de
frecuencia

modulacin

alcance

Velocidad mxima

802.11 a

5Ghz

OFDM

50 m

2Mbps / 54 Mbps

802.11 b

2.4Ghz

DSSS

100 m

11 Mbps

802.11 g

2.4Ghz

OFDM

100 m

54 Mbps

802.11 n

2.4Ghz/5Ghz

250 m

300 600 Mbps

Norma

Ampliacin

802.11 e

Define niveles de QoS

802.11 i

Mecanismos de seguridad AES (Advanced Encryption Standard)

Ing. William Marchand

11/12/2012

Tcnicas de modulacin

DSSS (Espectro extendido de secuencia

directa). Divide una franja de ancho de
banda en canales separados y nunca
transmite por mucho tiempo en una
frecuencia del canal.

FHSS (Espectro extendido con salto de

frecuencia). Las frecuencias de las ondas
sobre las que se transmiten los datos
cambian rapidamente

Tcnicas de modulacin (cont.)

OFDM (Multiplexacin por divisin de frecuencia
ortogonal). Es una tcnica de comunicacin que
divide un canal, de frecuencia, en un nmero
determinado de bandas de frecuencias
equiespaciadas, en cada banda se transmite un
subportadora que transporta una porcin de la
informacin del usuario. Cada subportadora es
ortogonal al resto, dndole el nombre a esta tcnica
de multiplexacin por divisin de frecuencia

Ing. William Marchand

11/12/2012

Espectro electromagntico

Zona de trabajo de las

WLAN:
Microondas (UHF,EHF,SHF)
Infrarrojos
9

Velocidades reales
Valores inferiores debido a diversos factores: e l medio de
transmisin, tcnica de modulacin y codificacin de la seal,
distancias, potencia de transmisin, overhead introducido por
los protocolos
Rendimiento o throughput disminuye considerablemente
Norma

Velocidad mxima

Velocidad efectiva

802.11 b

11 Mbps

6 Mbps

802.11 a

54 Mbps

32 Mbps

802.11 g

54 Mbps

~ 20 Mbps

802.11 n

300 Mbps

~ 100 Mbps

10

Ing. William Marchand

11/12/2012

Aspectos para implementar Wireless

Evaluacin de los objetivos.

Eleccin del equipamiento adecuado.
Evaluacin de la cobertura.
Seleccin y sintonizacin de canales.
Implantacin de medidas de seguridad

11

Evaluacin de objetivos
Tipo de red:

Red corporativa.

Hotspot.

La seguridad es un aspecto fundamental en el despliegue.

DHCP.
No es eficiente aplicar filtrado de direcciones MAC.

Red en una pequea oficina o una casa.

Equipamiento de costes y prestaciones ms reducidas.

Lugar del despliegue:

Tipos de obstculos, materiales,

Ms redes inalmbricas en el mismo espacio.

Otros focos de interferencias.

Tipos de usuarios.

Estticos, Semiestticos, Itinerantes.

12

Ing. William Marchand

11/12/2012

Evaluacin de objetivos (cont.)

Cantidad de usuarios soportados.

Prestaciones necesarias por usuario.

El acceso al medio es por contienda:

El ancho de banda total, efectivo, disponible en un canal dado en el

que no se sufra interferencias se encuentra alrededor del 50% del
ancho de banda ofrecido por cada modulacin dada.
Si el nmero de usuarios n es muy elevado, cada usuario ver
un ancho de banda menor que la ensima parte del total.
20-25 usuarios, 100Kbps mnimo por usuario por AP.

Es muy importante tener en cuenta el nmero de usuarios que

vamos a soportar de cara a dimensionar adecuadamente la
conexin de nuestra red al exterior.
25 usuarios x 100kbps mnimo = 2,5 Mbps de BW de salida a
Internet

13

Eleccin del equipamiento adecuado

Gama alta:

Mltiples medios de acceso y configuracin del equipo (ssh, SNMP, puerto de

consola local, ).
Diseados para garantizar en lo posible la integridad de la infraestructura de red y
de las comunicaciones que la atraviesan.

Configuracin aspera

Mltiples opciones de configuracin:

Direccionalidad de las antenas.

Control de potencia emitida.

Gama para uso en pequeas oficinas y hogares:

Medios de acceso y configuracin limitados:

Habitualmente va web.

Diseados para facilitar en lo posible su uso de cara a un usuario poco avanzado.

Permiten un despliegue bsico en modo infraestructura con la configuracin de fbrica.

Ejemplo: CISCO y Linksys.

14

Ing. William Marchand

11/12/2012

Eleccin del equipamiento adecuado

(cont.)
Funcionalidades que debe ofrecer la red inalmbrica:

Punto de acceso:

Actan como interfaz entre la red cableada y la inalmbrica. Traduccin entre los
protocolos Ethernet/IEEE 802.11.

Router inalmbrico:

Suele situarse justo como siguiente equipo al modem en una conexin a

Internet:

interfaz para conectar al modem.

Una serie de interfaces para conectar equipamiento cableado.

Interfaz IEEE 802.11.

Aade otras funcionalidades:

Servidor DHCP incorporado.

NAT y PAT automtico.

Puentes inalmbricos.

especficos para enlaces punto a punto.

15

Eleccin del equipamiento adecuado

(cont.)

Las antenas con las que vienen equipados los AP, los
routers inalmbricos, las tarjetas inalmbricas, son por lo
general omnidireccionales.
Puede ser necesario realizar un enlace punto a punto.

Unir dos edificios cercanos de la misma empresa.

Crear un ncleo de red inalmbrico

Una parte del equipamiento WiFi permite modificar el

diagrama de radiacin de la antena de omnidireccional a
semicircular.
Otros equipo permiten el cambio de la antena de fbrica
a otra ms adecuada a nuestros objetivos:

antenas direccionales o sectoriales

16

Ing. William Marchand

11/12/2012

Evaluacin de cobertura
De cara a posicionar un AP en nuestra red es OBLIGATORIO evaluar siempre el
rango de cobertura:
Minimizar las zonas en las que damos cobertura sin desearlo.

Observar los efectos que tienen sobre el rea de cobertura los obstculos:

Microondas.
Pantallas.
Otras redes cercanas.

Solapar ligeramente las zonas de cobertura:

Paredes gruesas.
Puertas metlicas.

Posibles focos de interferencias:

Cambio del diagrama de radiacin de la antena.

Control de la potencia emitida.

Permitir itinerancia.
Zonas con exceso de cobertura pueden ser conflictivas:

Dentro de la red (mismo SSID) las tarjetas seleccionan el AP que este emitiendo
mayor potencia.

17

Evaluacin de cobertura (cont.)

18

Ing. William Marchand

11/12/2012

Evaluacin de cobertura (cont.)

19

Obstculos y atenuacin de seal

20

10

Ing. William Marchand

11/12/2012

Seleccin de canales

cobertura o necesitamos situar ms de un punto de acceso

dando cobertura en la misma zona:

Situando sobre un plano los APs y dibujando su zona de

cobertura, podemos seleccionar los canales en los que
sintonizar los APs:

sintonizar los APs en canales suficientemente separados.

la interferencia puede penalizar hasta en un 50% las prestaciones.

Canales no solapados (1, 6, 11).

Canales lo ms alejados posibles (separados, al menos, en 5 canales).

Si las celdas se solapan muy poco no es tan acuciante el

problema de la interferencia.
Algunos fabricantes ofrecen software que facilita esta
planificacin.
21

Seleccin de canales (cont.)

22

11

Ing. William Marchand

11/12/2012

Seleccin de canales (cont.)

Frecuencias y Canales
U.S.A.
: 2.412 a 2.462 GHz, 11 canales
Europa
: 2.412 a 2.472 GHz, 13 canales
Francia
: 2.457 a 2.472 GHz, 4 canales
Japn
: 2.412 a 2.484 GHz, 14 canales

En Latinoamrica se ha reproducido lo usado en EE.UU

23

Tipos de red inalmbrica Ad-hoc

24

12

Ing. William Marchand

11/12/2012

Tipos de red inalmbrica Infraestructura

25

Topologas inalmbricas
WLAN puenteada de universidad a universidad

26

13

Ing. William Marchand

11/12/2012

Topologas inalmbricas

Red de rea metropolitana

27

Topologas inalmbricas

Red de rea local

28

14

Ing. William Marchand

11/12/2012

Consideraciones de Seguridad

Elegir un SSID que no identifique a nuestra red o al fabricante de nuestros

equipos.

Deshabilitar el broadcast del SSID:

Si la finalidad de nuestra red nos los permite.

Algoritmos de encriptacin:

Deshabilitar la Shared Key Authentication.

Habilitar el filtrado de direcciones MAC:

No anunciar nuestra red si es posible.

Utilizar siempre Open Authentication:

Nunca dejar el SSID por defecto del fabricante.

No dar pistas al atacante de la red de la que recibe cobertura.

Habilitar como mnimo WEP: Cambiar de forma asidua la clave.

La opcin ms recomendable es actualizar el firmware/driver de los equipos y
utilizar WPA-PSK. (WPA2)

En entornos empresariales la opcin ms adecuada es implementar una

solucin WPA/WPA2 con servidor de autentificacin RADIUS o TACACS+
29

Problemas de seguridad

30

15

Ing. William Marchand

11/12/2012

Problemas de seguridad (cont.)

31

WEP (Privacidad Equivalente a Cableado)

Objetivo: Dotar a las comunicaciones inalmbricas del

mismo nivel de seguridad de las que tienen las realizadas
a travs de una LAN Ethernet.

Se basa en el algoritmo RC4 desarrollado por RSA

Systems.

Solo las personas con un punto de conexin a la red podran

escuchar el intercambio de datos.

Algoritmo de clave simtrica.

Las dos partes de la comunicacin (emisor y receptor)

comparten un secreto, una clave comn, con la que
encriptan/desencriptan las comunicaciones.
Versiones con claves de 64 y 128 bits.
32

16

Ing. William Marchand

11/12/2012

WEP (cont.)

33

WEP (cont.)

WEP fija el mecanismo mediante el cual se autentica al

grupo de usuarios al que se le permite acceder a la red.

No autentifica usuarios individuales.

No autentifica a los puntos de acceso.

WEP fija el mecanismo mediante el cual se

encriptan/desencriptan los datos transportados en la
trama MAC.
WEP no fija ningn mecanismo de determinacin ni
distribucin de claves

34

17

Ing. William Marchand

11/12/2012

WEP. Cifrado de datos

Se calcula un campo de proteccin de la integridad del

paquete (ICV) y se aade este al final de los datos.
Un vector de inicializacin (IV) de 24 bits se concatena a la
clave WEP.
El resultado del paso 2 (IV, clave WEP) se usa como entrada a
un generador de nmeros pseudoaleatorio que genera una
secuencia de bits (PRNG) que es del mismo tamao que el
resultado del paso 1 (datos, ICV).
Se calcula PRNG XOR (datos, ICV) lo que da como resultado
los datos encriptados que se van a enviar entre el AP y el
cliente inalmbrico.
Se introduce en la carga de datos de la trama MAC la
concatenacin de IV y el encriptado de (datos, ICV).
35

WEP. Cifrado de datos

36

18

Ing. William Marchand

11/12/2012

Trama MAC cifrada con WEP

37

WEP. Mecanismos de autenticacin

38

19

Ing. William Marchand

11/12/2012

Problemas de los mecanismos de

seguridad bsicos
Autenticacin en base al SSDI

El SSID, ya que es un identificador de red y sirve para diferenciar

distintas redes inalmbricas, en los primeros despliegues de redes
IEEE 802.11b era utilizado como una especie de password de
acceso.
PROBLEMAS:

Los APs, en su configuracin por defecto, transmiten en claro en ciertas

tramas de gestin el SSID cada 10ms.
Facilita el procedimiento de descubrir nuevas redes y puntos de acceso.
Permite que cualquier usuario equipado con una tarjeta IEEE 802.11 y el
driver de la tarjeta pueda descubrir nuestra red y hacerse con el SSID.
El SSID solo sirve para evitar asociaciones accidentales con Aps
pertenecientes a otras redes.

El broadcast del SSID en los mensajes de anuncio de la red puede

deshabilitarse:

Pero sigue viajando en claro en las respuestas desde el AP.

39

Problemas de los mecanismos de

seguridad bsicos (cont.)
Autenticacin basada en direcciones MAC

Los APs guardan listas de direcciones MAC admitidas.

Si la direccin MAC de la trama est en la lista el cliente puede

continuar con la autenticacin y la asociacin.

La cabecera de las tramas MAC siempre viaja en claro por el

espectro electromagntico.
Con un equipo IEEE 802.11 y un programa adecuado (Ethereal,
tcpdump) podemos ponernos a la escucha de paquetes (sniffing)
esperando a ver una comunicacin entre un AP y un cliente
admitido.
Una vez analizado los paquetes el usuario malintencionado puede
ocultar su direccin MAC real tras esta nueva direccin MAC
admitida, proceso conocido como spoofing, de forma sencilla.
Paquetes software como SMAC (KLC Consulting, Inc) permiten el
cambio software de la direccin MAC en los paquetes sin
manipular la direccin hardware real de los dispositivos.
40

20

Ing. William Marchand

11/12/2012

Spoofing de la direccin MAC

41

Problemas de los mecanismos de

seguridad bsicos (cont.)
Encriptacin de datos con WEP

La clave que utiliza el algoritmo RC4 es el vector IV (24 bits)

concateneado con la clave WEP (40 o 104 bits).

IV es un vector pseudoaleatorio de 24 bits.

El vector IV se transmite en claro en las tramas MAC.

16.777.216 valores distintos.
El vector IV se cambia en cada trama enviada.

2 paquetes encriptados con la misma clave WEP, en los que se

repita el vector IV, provocan que un atacante pueda extraer la
clave WEP.

Hay programas (WEPCrack, AirSnort, ) que obtienen la clave WEP.

Diversos estudios afirman que con 1GByte de informacin
intercambiada entre el AP y los clientes esta clave IV se repite.

Horas en un red corporativa altamente utilizada.

Varios das-semanas en otro tipo de redes.

42

21

Ing. William Marchand

11/12/2012

WPA (WiFi Protected Access)

Subconjunto de medidas del estndar 802.11i.

No es una solucin propietaria con lo que se garantiza la

interoperabilidad.

Diseado para que todos los equipos WiFi vendidos puedan

ajustarse a sus requerimientos tras una actualizacin de software o
de firmware.
Nuevas funcionalidades:

Implementa mecanismos de autentificacin mutua:

Utiliza nuevos algoritmos sobre RC4 que sustituyen a WEP:

Utiliza nuevos mecanismos para garantizar la integridad de los mensajes

IEEE 802.1x.
TKIP (Temporal Key Integrity Protocol).

Define 3 tipos de entidades:

Solicitante.
Autentificador.
Servidor de autentificacin.

43

Escenario WPA-RADIUS

44

22

Ing. William Marchand

11/12/2012

WPA 2

Nuevo estndar de seguridad para redes inalmbricas. Posiblemente no sea

compatible con el equipamiento antiguo:

WPA/WEP.
WPA2/WPA.

Soporte para itinerancia rpida:

requiere coprocesador.

Modos duales:

no es suficiente con una actualizacin de firmware.

Ms potencia de clculo.

Usuario pre-autenticado contra todos los puntos de acceso cercanos no solo

con el que esta asociado.

Encriptacin AES (Advanced Encryption System):

Algoritmo de Rijndael.
Sustituye a DES y 3DES, tpicos en la encriptacin de VPNs y las comunicaciones
bancarias.
Aprobado por el NIST (National Institute of Standars).
Resistente a todos los ataques de criptoanlisis conocidos.

45

Desafos y problemas de las WLAN

Interferencias y degradacin de la seal de radio

Administracin de la energa
Interoperabilidad
Seguridad de la red
Fiabilidad y conectividad
Problemas de instalacin y de diseo del sitio
Temas de salud
Rumbos futuros

46

23

Ing. William Marchand

11/12/2012

Interferencias y degradacin de seal

47

Interoperabilidad

48

24

Ing. William Marchand

11/12/2012

Fiabilidad y conectividad

Las LANs inalmbricas incluyen mecanismos para mejorar

la confiabilidad de las transmisiones de paquetes, para que
al menos tengan el mismo nivel que la Ethernet cableada.
El uso de protocolos TCP/IP ayudar a proteger la red
contra cualquier prdida o corrupcin de datos en el aire.
La mayora de los sistemas de WLAN utilizan una
tecnologa de espectro expandido o multiplexado por
divisin de frecuencia ortogonal (OFDM).

49

Problemas de instalacin y de diseo del

sitio

50

25