5.3. Amenazas y ataques.

Para establecer la adecuada seguridad en nuestras redes deberemos seguir unas normas generales como mantener al da la configuracin de nuestros antivirus, tanto en servidores como en equipos personales, configuraremos los firewall y podremos utilizar alguna tcnica aprendida anteriormente, como las conexiones VPN. En cualquier caso, hablar de seguridad en las redes es hacerlo de los posibles ataques que podemos sufrir y cmo defendemos. Recordamos, de forma sucinta, cules son estos posibles ataques: Ataque de suplantacin. Usando este tipo de ataque, el atacante se hace pasar por una tercera persona o empresa, para dar informaciones falsas. Es habitual encontrar este tipo de ataques en pginas bancarias que son donadas para que usuarios poco precavidos introduzcan sus datos pensando que son webs lcitas. Ataque de intromisin. Suelen ser ataques internos o de alguien que consigue colarse en la red y navega por ella explorando archivos y documentos hasta encontrar informacin relevante que pueda ser de utilidad, normalmente con fines delictivos. Ataque de modificacin. Se modifican archivos o documentos que se consideran vlidos. En caso de que el atacante adquiera permisos de administrador, los daos suelen suponer la baja total del sistema. Ataque de interceptacin. La informacin que queremos controlar, o bien toda la informacin, es desviada de su destino original para ser analizada con detenimiento. Ataque de espionaje en lneas. Normalmente se da a travs de redes inalmbricas, donde alguien no autorizado analiza el trfico observando las comunicaciones. Ataque de denegacin de servicio. Se trata de impedir el correcto funcionamiento de los sistemas a los usuarios autorizados para ellos. Son muy habituales, en el caso de las redes, saturar servidores web a base de accesos simultneos de forma que las peticiones de los usuarios no puedan ser atendidas. Estos tipos de ataques, adems de mediante las tcnicas aprendidas, se pueden controlar desde nuestro navegador. Por ejemplo, Mozilla Firefox incluye una opcin de seguridad que permite establecer filtros contra los ataques de suplantacin e interceptacin y avisos contra sitios presuntamente falsos.

5.4. Redes cableadas e inalmbricas.

Redes cableadas
Mediante este tipo de red se conectan equipos y perifricos y su limitacin es fisica, ya que el alcance de los cables ser limitado y, normalmente, dentro de un mismo edificio. Este tipo de redes son las ms utilizadas en empresas y edificios para conectar los equipos locales a los servidores y trabajar con los datos almacenados en ellos.

Para que se lleve a cabo un ataque dentro de una red LAN, el atacante deber estar fsicamente conectado a ella, lo que implica encontrarse dentro de la empresa. Es por esto que este tipo de ataques lo suelen realizar personas de confianza descontentas o bien intrusos profesionales que consiguen burlar la seguridad del entorno fsico. Debemos establecer unas normas de seguridad en su instalacin para evitar el acceso fsico. Podemos introducir el cable en canaletas de proteccin, que pueden ser de plstico o metlicas, y en ningn caso realizar la instalacin fuera de la zona de seguridad del edificio. Que el cable no est visible ayuda a que el atacante tarde ms tiempo en cumplir su objetivo. Tambin debemos elegir un cable de red adecuado en cada momento, ya que la resistencia de este, as como su grosor y forma de fabricacin, mejorarn el estado de la red en general. Generalmente usaremos cable de categora 5 o mejores para instalaciones LAN. Los cables de categora 5 tienen un alcance de 100 metros y comunican a 100 Mbps. Tambin existe una categora 5e que minimiza las interferencias y la atenuacin, por lo que tiene mayor alcance que la categora 5 tradicional. En cualquier caso, lo ataques ms habituales son mediante software, como los sniffer. Un sniffer es un programa que registra todo el trfico de la red en busca de conrrasefias y datos relevantes que se transmiten. Para que el sniffer funcione correctamente, debe establecer la tarjeta de red en lo que se denomina modo promiscuo. La mejor forma de protegernos de los sniffer y analizadores de protocolos es crear una conexin privada para cada dispositivo de forma que ese canal que usemos est al margen del sniffer. Se pueden, adems, realizar filtrados por MAC, que es el identificador exclusivo de una tarjeta de red, y por IP, as como cenar y abrir puertos del router, accediendo al mismo mediante un navegador, para impedir el ataque a travs de los puertos estndar de aplicaciones peligrosas. Pero, sobre todo, el cifrado de documentos es una garanta en caso de que un sniffer capte paquetes de informacin.

Redes inalmbricas
Propiamente dicha, la tecnologa wireless o inalmbrica se refiere a la transmisin de voz/datos sin cable. El concepto de WLAN (Wireless Local Area Network) se corresponde con un sistema de comunicacin de datos flexible utilizado como alternativa a la redes locales cableadas. Este tipo de redes se diferencia de las convencionales principalmente en la capa fsica y en la capa de enlace de datos, segn el modelo de referencia OSI. Aparte de poder utilizarse como una red mvil, ya que la unin a un cable fsico supone una gran restriccin, una de sus grandes ventajas es su instalacin como red fija ya que ofrece muchos beneficios comparada con la red de cableado actual.

La capa Fsica (PHY) indica cmo son enviados los bits de una estacin a otra. La capa de Enlace de Datos (MAC) se encarga de describir cmo se empaquetan y verifican los bits de manera que no tengan errores. Las dems capas se encargan de los protocolos, de los bridges, routers o gateways que se utilizan para conectarse. Los dos mtodos que se emplean para reemplazar la capa fsica en una red inalmbrica son la transmisin de Radio Frecuencia y la Luz Infrarroja. Esta es la manera en la que transmiten los datos entre uno o ms dispositivos, en lugar de ser por medio de cables. Los sistemas por infrarrojos, segn el ngulo de apertura con que se emite la informacin, pueden clasificarse en: Sistemas de corta apertura, tambin denominados de rayo dirigido o de lnea de visin (LOS, line of sight). Sistemas de gran apertura, tambin denominados reflejados o difusos.

Por otra parte, las comunicaciones inalmbricas que utilizan radiofrecuencia pueden clasificarse en: Sistemas de banda estrecha (narrow band) o de frecuencia dedicada. Este tipo trabaja de una forma similar a las ondas de una estacin de radio. Esta seal puede atravesar paredes por lo que puede alcanzar una red bastante amplia, sin embargo tienen problemas con las reflexiones que sufren las ondas de radio, para establecer esto hay que evitar las posibles interferencias. Sistemas basados en espectro disperso o extendido (spread spectrum). La FCC (Comisin Federal de Comunicaciones) a partir de 1985 permiti la operacin sin licencia de dispositivos que utilicen 1 watio de energa o menos, en tres bandas de frecuencias: 902 a 928 MHz, 2.400 a 2.483,5 MHz y 5.725 a 5.850 MHz.

Tecnologa Wireless
La tecnologa Wireless abarca desde sistemas complejos, tales como Redes de rea Local Inalmbrica (WLAN) y telefona celular a dispositivos simples, como telfonos inalmbricos, micrfonos y otros dispositivos que no procesan o almacenan informacin. Tambin incluye dispositivos infrarrojos (IR), como controles remotos, teclados y ratones sin cables, y todo lo que requiera una lnea directa de seal entre el transmisor y el receptor para establecer un enlace.

Redes Inalmbricas

Sirven como mecanismo de transporte entre distintos dispositivos, y entre estos dispositivos y las redes cableadas tradicionales (redes empresariales e Internet). Las redes wireless son muchas y muy diversas, pero se categorizan en tres grupos basados en su alcance de cubrimiento: Redes de rea Amplia Inalmbricas (WWAN), Redes de rea Local Inalmbricas (WLAN) y Redes de rea Personal Inalmbricas (WPAN). Las WWAN incluyen una amplia rea de cubrimiento en tecnologas como 2G cellular, Cellular Digital Packet Data (CDPD), Global System for Mobile Communications (GSM), y Mobitex. Las WLAN incluyen el estndar 802.11, HiperLAN y otros. WPAN representan redes personales como Bluetooth e IR. Todas estas tecnologas son tetherless, reciben y transmiten informacin utilizando ondas electromagnticas (EM).

Wireless LAN

Las WLAN permiten mayor flexibilidad y portabilidad que las LAN cableadas tradicionales. A diferencia de stas, que requieren un cable para conectar la computadora de un usuario a la red, una WLAN conecta computadoras y otros componentes a la red utilizando un dispositivo como punto de acceso. Un punto de acceso se comunica con dispositivos equipados con adaptadores de redes inalmbricas, y por otro lado, se conecta a una LAN Ethernet cableada a travs de un puerto RJ-45. Los dispositivos de punto de acceso tpicamente tienen reas que cubren hasta 300 pies (aproximadamente 100 metros). Esta rea de cubrimiento se llama celda (cell) o alcance. Los usuarios se mueven libremente dentro de la celda con su laptop u otro dispositivo de red sin dejar de transmitir. Las celdas de los puntos e acceso se pueden unir para que los usuarios puedan hasta vagar o andar dentro de un edificio o entre edificios. Recomendaciones de seguridad en wlan Dado que el acceso a redes inalmbricas plantea un punto muy dbil de seguridad en redes corporativas algunas recomendaciones para mejorar la seguridad son: Asegurar la administracin del punto de acceso (AP), por ser un punto de control de las comunicaciones de todos los usuarios, y por tanto crtico en la red, cambiando la contrasea por defecto. Actualizar el firmware disponible del dispositivo para mejorar sus prestaciones, sobre todo de seguridad. Aumentar la seguridad de los datos transmitidos: usando encriptacin WEP o WPAIWPA2 o servidor Radius, y cambiando las claves regularmente. Cambiar el SSID por defecto y desactiva el broadcastirig SSID. Los posibles intrusos tendrn que introducir manualmente el SSID y conocerlo previamente. Aunque la administracin de los clientes se complica ya que debern conocer el nombre exacto del SSID. Realizar una administracin y monitorizacin minuciosa. Desactivar el servidor DHCP, y asignar manualmente en los equipos las direcciones IP. Cambiar lasdirecciones IP del punto de acceso y el rango de la red por defecto. Activar el filtrado de conexiones permitidas mediante direcciones MAC. Establecer un nmero mximo de dispositivos que pueden conectarse. Analizar peridicamente los usuarios conectados verificando si son autorizados o no. Desconexin del AP cuando no se use. Actualizar el firmware del dispositivo, para evitar vulnerabilidades o aadir nuevas funciones de seguridad.

Redes Ad Hoc

Estas redes, tales como Bluetooth estn diseadas para conectar dinmicamente dispositivos remotos, como telfonos celulares, laptops y PDAs. Estas redes se identifican como ad hoc a

causa de sus topologas de red cambiantes. Mientras que las WLAN utilizan una infraestructura de red fija, las redes ad hoc mantienen configuraciones de red aleatorias, confiando en un sistema maestro-esclavo conectado por enlaces inalmbricos para que los dispositivos puedan comunicarse. En una red Bluetooth, el master of the piconet controla los cambios de topologa de esas redes. Tambin controla el flujo de datos entre los dispositivos que son capaces de soportar enlaces directos entre s. Como los dispositivos se mueven de una manera impredecible, estas redes deben ser reconfiguradas en el momento para manejar la topologa dinmica. El ruteo que emplea el protocolo Bluetooth permite que el master establezca y mantenga estas redes cambiantes. La siguiente figura muestra un ejemplo de un telfono mvil habilitado por Bluetooth, conectado a una red de telfonos mvil, que se sincroniza con una libreta de direcciones PDA, y se est descargando e-mail en una WLAN IEEE 802.11.

Figura 5.7. Ejemplo de red ad hoc.

Topologa de una red inalmbrica

Una red inalmbrica est compuesta de dos elementos bsicos: Tarjetas wireless en las estaciones cliente (PCMCIA - adaptador USB) Puntos de Acceso (AP)

Tambin incluye otros dispositivos: Bridges Workgroups Bridge Antenas ACS

Componentes de una red wireless

Figura 5.8. Componentes de una red Wireless.

Puntos de Acceso (Access Point). Este dispositivo nos permite conectar a la red cableada y a los clientes de la red inalmbrica; su funcin es convertir los datos que llegan por la interface de UTP a seales de radio y viceversa en las instalaciones indoor o outdoor de corto alcance (en las indoor la distancia mxima es de 40m a la redonda). Los puntos de acceso suelen disponer de dos antenas, un interfaz LAN RJ-45 10/100 Mbps para conectividad WAN y, en la mayora de los casos, un puerto de consola para su configuracin inicial. Generalmente tambin disponen de varias bocas de red LAN 10/100 al tener integrado un hub o un switch. Tarjetas cliente. Este dispositivo permite conectar las computadoras clientes mviles a la red inalmbrica. Contiene integrada la parte de radio y el procesamiento de las seales a bits de datos, por lo que existen tarjetas para Laptop y Desktop. Esto es porque las estaciones de trabajo necesitan conectarse a los puntos de acceso mediante interfaces de red que sean capaces de recibir y enviar tramas de radiofrecuencia 802.11. Usualmente estas tarjetas se conectan a la misma mediante PCMCIA (porttiles), PCI (sistemas de escritorio) USB (ambos).

Bridge. Este dispositivo nos permite conectar lugares remotos a larga distancia con alcance mximo de 40 KM. En l se encuentra el transmisor de radio y el procesamiento de las seales a bits de datos. Workgroup Bridge. Este dispositivo nos permite conectar rpidamente a un grupo de 8 computadoras conectadas por cableado al Workgroup Bridge mediante un enlace inalmbrico con un Access Point, facilitndonos la conectividad al backbone de la red LAN. Pasarelas Wireless. La funcin de una pasarela wireless, es poder gestionar de forma centralizada y homognea una poltica de acceso, autenticacin (Radius, Kerberos, certificados digitales, LDAP), cifrado y Calidad de Servicio, aplicando esta poltica a mltiples puntos de acceso muchas veces incompatibles entre s. La primera pasarela de este tipo fue Symbol Mobius, que encapsulaba tramas 802.11 en tramas 802.3 Ethernet, hasta llegar a la pasarela. Sin embargo, las tendencias ms modernas permiten visibilidad IP directa entre la pasarela wireless y el punto de acceso, delegando la conversin de tramas en estos ltimos y convirtindose la pasarela en una interface homogeneizadora. De esta forma es posible gestionar la pasarela wireless estableciendo un tnel VPN "sin clientes VPN" desde cualquier punto de la red. Entre ellas destacan: Bluesocket, ReefEdge y Vernier. Conmutadores wireless. Al igual que en las redes LAN, tambin existen conmutadores de red para Wireless, que monitorizan las ondas de radio midiendo el rendimiento en tiempo real y reajustando las potencias de emisin para equilibrar la carga y evitar puntos ciegos. Incluso el software que incluyen permite importar los planos del edificio y situar los puntos de acceso en base a los clculos de propagacin por la base de datos de materiales, situando visualmente los accesos no autorizados mediante triangulacin de los puntos de acceso. Entre los principales fabricantes de conmutadores wireless se encuentran Airespace, Aruba, Chantry Networks, Extreme Networks, Symbol Technologies, y Trapeze Networks. Antenas. Este dispositivo nos permite transmitir y recibir las seales de radio y las envan a los Access Point y Bridges para transformar en bits de datos. Dependiendo del alcance es la antena a utilizar. ACS. Son servidores de control de acceso que funcionan como un sistema servidor centralizado y pueden controlar la autenticacin, autorizacin y contabilidad (AAA) de los usuarios que acceden a los recursos corporativos a travs de la red.

Principales estndares
Las tecnologas Wireless conforman una variedad de estndares y ofrecen varios niveles de caractersticas de seguridad. La ventaja principal de los estndares es que fomentan la produccin en masa y permiten que puedan interoperar productos de distintos fabricantes. Dos de los principales estndares (existen otros tambin) son el IEEE 802.11 y el estndar Bluetooth. Las WLAN se basan en el estndar IEEE 802.11, y las redes Ad Hoc siguen las tcnicas propietarias o estn basadas en el estndar Bluetooth, que fue desarrollado por un

consorcio de compaas comerciales que conformaron el Bluetooth Special Interest Group (SIG). Existen 4 tipos de redes inalmbricas, la basada en tecnologa BlueTooth, la IrDa (Infrared Data Association), la HomeRF y la WECA (Wi-Fi). La primera de ellas no permite la transmisin de grandes cantidades de datos entre ordenadores de forma continua y la segunda tecnologa, estndar utilizado por los dispositivos de ondas infrarrojas, debe permitir la visin directa entre los dos elementos comunicantes. Las tecnologa HomeRF y Wi-Fi estn basados en las especificaciones 802.11 (Ethernet Inalmbrica) y son las que utilizan actualmente las tarjetas de red inalmbricas. IEEE 802.11. Las WLAN estn basadas en el estndar IEEE 802.11, que fue el primero desarrollado por IEEE en 1997. Describe las normas a seguir por cualquier fabricante de dispositivos Wireless para que puedan ser compatibles entre s. Fue diseado para soportar un alcance medio, aplicaciones con tasas de datos ms altas, tales como redes Ethernet, y para direccionar estaciones mviles y porttiles. 802.11 es el estndar original para WLAN, diseado para transmisiones inalmbricas de 1 Mbps a 2Mbps. En 1999 fue continuado por 802.11a, que se estableci como estndar WLAN de alta velocidad para una banda de 5 GHz y 54 Mbps soportados. Tambin se complet el estndar 802.11b en 1999, que opera en una banda de 2.4-2.48 GHz y soporta 11 Mbps. El estndar 802.11b es actualmente el estndar dominante para WLANs, proveyendo suficiente velocidad para la mayora de las aplicaciones de hoy en da. Otro estndar, el 802.11g, opera a 2.4 GHz (waveband). Otros dos estndares relacionados e importantes para WLAN son el 802.1X y 802.11i. El primero, un protocolo de control de acceso a nivel de puerto, provee un marco de seguridad para redes IEEE, incluyendo Ethernet y redes inalmbricas. El estndar 802.11i, fue creado para funciones de seguridad especficas de redes inalmbricas, que operan con IEEE 802.1X. Resumen de estos estndares:

Bluetooth. Surgi como un estndar de redes ad hoc muy popular actualmente. Este estndar es una especificacin de la industria de telecomunicaciones y computacin que describe cmo los telfonos mviles, las computadoras y las PDAs deben interconectarse entre s, con telfonos de hogares e industrias, y con computadoras, usando conexiones inalmbricas de corto alcance. Las aplicaciones de redes Bluetooth incluyen sincronizacin inalmbrica, acceso a e-mail /Internet /intranet usando conexiones de PC local, ocultando la computacin a travs de aplicaciones automatizadas y networking, y aplicaciones que pueden utilizarse para tales dispositivos. El estndar Bluetooth especifica operaciones inalmbricas en frecuencia de radio de 2.45 GHz y soporta una tasa de datos de hasta 720 kbps. Tambin soporta hasta tres canales de voz simultneos y emplea esquemas de frequency-hopping y reduccin de energa para reducir la interferencia con otros dispositivos que operan en la misma banda de frecuencia. La organizacin IEEE 802.15 ha derivado una tecnologa de networking de WPAN basada en especificaciones de Bluetooth v1.1.

Ventajas y desventajas de una red inalmbrica

A continuacin se muestran algunos aspectos a favor de este tipo de redes frente a las fijas: Economa: el precio para instalacin de una WLAN depende de los requisitos y de las caractersticas de la implementacin, sin embargo en una red cableada el costo se puede triplicar por los problemas fsicos del cableado. Rapidez de implementacin: el tiempo que ms consume en la instalacin de una red inalmbrica es la instalacin de los puntos de acceso con la red local de la empresa, la cual puede durar das. Sin embargo la implementacin en redes fijas puede durar semanas. Movilidad: esta es la ventaja ms fuerte frente a las cableadas, tanto a nivel empresarial como en un hogar, debido al gran auge de los porttiles. Esttica: en una red de cableado se necesitan metros de cables que se introducen en rosetas, lo que desaparece en una red wireless. Este es un pequeo ejemplo que en ocasiones se convierte en fundamental. Provisionalidad: si se va a instalar una red provisional esta es la mejor opcin, por ejemplo en ferias, oficinas temporales o crecimientos urgentes en una red ya establecida. Robustez: Las redes basadas en cableado estructurado son por lo general ms robustas frente a interferencias y condiciones adversas que las inalmbricas. Sin embargo, en ciertos entornos como fbricas con elevada humedad, agentes qumicos agresivos, calor, etc. Las instalaciones cableadas pueden sufrir una rpida degradacin o ser inviables. Una instalacin wireless adecuadamente ubicada para resguardarse de dichas inclemencias puede ser la alternativa idnea.

Pero no todo son ventajas, hay una serie de parmetros en los que las redes cableadas ofrecen mayores prestaciones que las inalmbricas. La velocidad binaria es mucho mayor, obtenindose en general lmites mximos de 100 Mbps, como Fast Ethernet, frente a 54 Mbps en una WLAN 802.11g compartidos entre varios usuarios. Tambin son ms inmunes a interferencias, ms seguras y requieren de menos mantenimiento.

Seguridad en redes inalmbricas

La irrupcin de la nueva tecnologa de comunicacin basada en redes inalmbricas ha proporcionado nuevas expectativas de futuro para el desarrollo de sistemas de comunicacin, as como nuevos riesgos. La flexibilidad y la movilidad que nos proporcionan las nuevas redes inalmbricas han hecho que la utilizacin de estas redes se haya disparado en el ao 2002 siendo la mejor manera de realizar conectividad de datos en edificios sin necesidad de cablearlos. Pero como todas la nuevas tecnologas en evolucin, presenta algunos riesgos debidos al optimismo inicial y en la adopcin de la nueva tecnologa sin observar los riesgos inherentes a la utilizacin de un medio de transmisin tan observable como son las ondas de radio.
Riesgos de las redes inalmbricas

La topologa de estas redes consta de dos elementos clave, las estaciones cliente (STA) y los puntos de acceso (AP). La comunicacin puede realizarse directamente entre estaciones cliente o a travs del AP. El intercambio de datos slo es posible cuando existe una autentificacin entre el STA y el AP y se produce la asociacin entre ellos (un STA pertenece a un AP). Por defecto, el AP transmite seales de gestin peridicas, la STA las recibe e inicia la autentificacin mediante el envo de una trama de autentificacin. Una vez realizada sta, la estacin cliente enva una trama asociada y el AP responde con otra. La utilizacin del aire como medio de transmisin de datos mediante la propagacin de ondas de radio ha proporcionado nuevos riesgos de seguridad. La salida de estas ondas de radio fuera del edificio donde est ubicada la red permite la exposicin de los datos a posibles intrusos que podran obtener informacin sensible a la empresa y a la seguridad informtica de la misma. Varios son los riesgos derivables de este factor. 1. Por ejemplo, se podra consumar un ataque por insercin, bien de un usuario no autorizado o por la ubicacin de un punto de acceso ilegal ms potente que capte las estaciones cliente en vez del punto de acceso legtimo, interceptando la red inalmbrica. 2. Tambin sera posible crear interferencias y una ms que posible denegacin de servicio con slo introducir un dispositivo que emita ondas de radio a una frecuencia de 2.4GHz (frecuencia utilizada por las redes inalmbricas). 3. La posibilidad de comunicarnos entre estaciones cliente directamente, sin pasar por el punto de acceso permitira atacar directamente a una estacin cliente, generando problemas si esta ofrece servicios TCP/IP o comparte archivos. Existe tambin la posibilidad de duplicar las direcciones IP o MAC de estaciones cliente legtimas. 4. Los puntos de acceso estn expuestos a un ataque de fuerza bruta para averiguar los passwords, por lo que una configuracin incorrecta de los mismos facilitara la irrupcin en una red inalmbrica por parte de intrusos. A pesar de los riesgos anteriormente expuestos, existen soluciones y mecanismos de seguridad para impedir que cualquiera con los materiales suficientes pueda introducirse en una red. Algunos mecanismos son seguros, otros, como el protocolo WEP, son fcilmente rompibles por programas distribuidos gratuitamente por Internet.

El libro de NIST Una introduccin a la seguridad de computadoras clasifica genricamente las amenazas de seguridad en nueve categoras que van desde errores y omisiones hasta amenazas a la privacidad personal. Sin embargo los asuntos ms inmediatos para las comunicaciones inalmbricas son el robo de dispositivos, denegacin de servicios, crackers, cdigo malicioso, robo de servicios, y espionaje industrial y externo. El robo comnmente ocurre con los dispositivos inalmbricos a causa de su portabilidad. Los usuarios autorizados y no autorizados del sistema pueden comprometer fraude y robo. Sin embargo, los usuarios autorizados son los que generalmente llevan a cabo estos ataques, ya que conocen los recursos y las debilidades del sistema. Los crackers son individuos que irrumpen en un sistema sin autorizacin, usualmente para beneficio personal o para producir dao; en general son individuos externos a una agencia u organizacin. Estos pueden ganar acceso a los AP de una red inalmbrica escuchando las comunicaciones en los dispositivos inalmbricos. El cdigo malicioso involucra virus, worms, troyanos, bombas lgicas, u otro software no deseado que est diseado para daar o romper un sistema. El robo de un servicio ocurre cuando un usuario no autorizado obtiene acceso a la red y consume recursos de la red. El espionaje industrial y externo involucra recoleccin de datos propietarios de corporaciones o informacin de inteligencia gubernamental a travs de la escucha. En redes inalmbricas, el robo de espionaje proviene de la facilidad relativa con la se puede realizar escuchas en transmisiones de radio. Los ataques que resultan de estos robos, si son exitosos, ponen los sistemas de una organizacin y sus datos (lo ms importante) en riesgo. Asegurar la confidencialidad, integridad, autenticidad y disponibilidad son los principales objetivos de toda poltica y prctica de seguridad gubernamental. La publicacin especial (SP) 800-26 de NIST Security Self-Assessment Guide For Information Technology Systems, establece que la informacin debe ser protegida de modificacin no autorizada, no anticipada o no intencionada. Los requerimientos de seguridad incluyen los siguientes: Autenticidad: Una tercera parte debe ser capaz de verificar que el contenido de un mensaje no ha sido cambiado durante su transmisin. No repudio: El origen o el recibo de un mensaje especfico debe ser verificado por una tercera parte. Contabilidad (Accountability): las acciones de una entidad deben determinar el origen nicamente de esa entidad.

La disponibilidad de la red es la propiedad de permanecer accesible y utilizable bajo demanda por una entidad autorizada. Los recursos de tecnologa de informacin (sistema o datos) deben estar disponibles oportunamente (a tiempo) para satisfacer los requerimientos o evitar prdidas sustanciales. La disponibilidad tambin incluye asegurar que los recursos se utilicen slo para los propsitos establecidos. Para mitigar los riesgos expuestos, las organizaciones necesitan adoptar medidas y prcticas de seguridad que ayuden a llevar sus riesgos a un nivel manejable. Necesitan por ejemplo, realizar evaluaciones de seguridad antes de la implementacin para determinar las amenazas y vulnerabilidades especficas que las redes inalmbricas introducirn en sus entornos. Al realizar la evaluacin deben considerar polticas de seguridad existentes, amenazas y

vulnerabilidades conocidas, legislacin y regulacin, proteccin, confiabilidad, performance del sistema, los costos del ciclo de vida de las medidas de seguridad y requerimientos tcnicos. Una vez que la evaluacin de riesgos est completa, la organizacin puede empezar a planificar e implementar las medidas que llevar a cabo para resguardar sus sistemas y disminuir sus riesgos de seguridad a un nivel manejable. La organizacin debera reevaluar peridicamente las polticas y medidas que llev a cabo, o lo que puso en marcha, a causa de que las tecnologas de computacin y las amenazas maliciosas estn continuamente cambiando. Los riesgos en las redes inalmbricas son la suma del riesgo de operar una red cableada (por operar una red en general) ms los nuevos riesgos introducidos por las debilidades en los protocolos inalmbricos.
Posibles ataques y amenazas a una red inalmbrica Ataques propios de una WLAN

Espionaje (surveillance). Este tipo de ataque consiste simplemente en observar el entorno donde se encuentra instalada la red inalmbrica. No se necesita ningn tipo de hardware o software especial. Sirve para recopilar informacin y se puede combinar con otros tipos de ataques.

War-Chalking. Se trata de un lenguaje de smbolos utilizado para marcar sobre el terreno la existencia de las redes inalmbricas, de forma que puedan ser utilizadas por aquellos que pasen por all. Es decir, es la prctica de dibujar en paredes o aceras una serie de smbolos para indicar a otros la proximidad de un acceso inalmbrico. En este tipo de ataque los smbolos eran pintados con tiza (chalk en ingls) aunque actualmente se utilizan otros medios, como la pintura normal, spray de color, etc. El significado de cada smbolo existente es el siguiente:

War-driving. Es el mtodo ms conocido para detectar las redes inalmbricas inseguras. Se realiza habitualmente con un dispositivo mvil, como una notebook o un PDA. El mtodo es realmente simple: el atacante pasea con el dispositivo mvil, y en el momento en que detecta la existencia de la red, se realiza una anlisis de la misma. El dispositivo mvil puede estar equipado con un sistema GPS para marcar la posicin exacta donde la seal es ms fuerte, o incluso una antena direccional para recibir el trfico de la red desde una distancia considerable. Si la red tiene DHCP, el dispositivo mvil se configura para preguntar continuamente por una IP dentro de un cierto rango, si la red no tiene DHCP activado se puede ver la IP que figure en algn paquete analizado. Existen varias herramientas tiles para detectar redes inalmbricas, las ms conocidas son el AirSnort o Kismet para Linux y el NetStumbler para sistemas Windows. Para realizar el Wardriving se necesitan realmente pocos recursos. Los ms habituales son una computadora porttil con una tarjeta inalmbrica, un dispositivo GPS para ubicar el PA en un mapa y el software apropiado (AirSnort para Linux, BSD- AriTools para BSD o NetStumbler para Windows). Interceptar una seal. El atacante intenta identificar el origen y el destino que posee la informacin. Es decir, la toma de posesin y el uso del ancho de banda de las WLAN privadas y de los hotspot pblicos, mediante un kit bsico del wardriver: programas sniffer descargables de la Red, antenas direccionales hechas de las formas ms inverosmiles (incuso con paquetes de papas fritas Pringles) e instrucciones colgadas en los sitios de Net-activismo ms visitados. Tras haber interceptado la seal, el atacante intentar recopilar informacin sensible del sistema. El wireless hacking puede requerir que el wardriver tenga que exponerse peligrosamente, teniendo que acercarse a la red para poder capturar la seal. Esto puede provocar una probable tendencia a una mayor prudencia.

Figura 5.9. Ejemplo de wireless hacking.

Tcnicas de intrusin
Suplantar una fuente real

Esta tcnica de ataque se engloba dentro de los ataques activos, donde un intruso pretende ser la fuente real u original.
Sniffing y Eavesdropping (escuchas-intercepcin)

El programa monitoriza los datos y determina hacia donde van, de donde vienen y qu son, siempre que haya una tarjeta de red que acta en modo promiscuo. El modo promiscuo es un modo de operacin en el que una computadora conectada a una red compartida captura todos los paquetes, incluyendo los paquetes destinados a otras computadoras. Es muy til para supervisar la red, pero presenta un riesgo de seguridad dentro de una red de produccin.
Spoofing (burla) y Hijacking (secuestro)

El atacante falsifica informacin, un identificador de usuario o una contrasea permitidos por el sistema atacado. Esto lo hace redefiniendo la direccin fsica o MAC de la tarjeta inalmbrica por una vlida (hijacking). De esta manera, asocia una direccin IP vlida del sistema

atacado. La idea es secuestrar la comunicacin entre dos sistemas suplantando a uno de ellos, para lo que es necesario estar situado en la ruta de comunicacin.
Denegacin de servicio (DoS) o ataques por inundacin (flooding attacks)

La denegacin de servicio sucede cuando un atacante intenta ocupar la mayora de los recursos disponibles de una red inalmbrica. Impide a los usuarios legtimos de sta, disponer de dichos servicios o recursos. Puede producirse a travs de: Ataques por sincronizacin (SYN Flooding) Ataque smurf Sobrecarga del sistema Falsedad de nombres de dominio (DNS spoofing)

Mecanismos de seguridad
El canal de las redes inalmbricas, al contrario que en las redes cableadas privadas, debe considerarse inseguro. Cualquiera podra estar escuchando la informacin transmitida. Y no slo eso, sino que tambin se pueden inyectar nuevos paquetes o modificar los ya existentes (ataques activos). Las mismas precauciones que tenemos para enviar datos a travs de Internet deben tenerse tambin para las redes inalmbricas. Conscientes de este problema, el IEEE public un mecanismo opcional de seguridad, denominado WEP, en la norma de redes inalmbricas 802.11. Pero WEP, desplegado en numerosas redes WLAN, ha sido roto de distintas formas, lo que lo ha convertido en una proteccin inservible. Para solucionar sus deficiencias, el IEEE desarroll una nueva norma de seguridad, conocida como 802.11i, que permite dotar de suficiente seguridad a las redes WLAN. Algunas empresas en vistas de que WEP (de 1999) era insuficiente y de que no existan alternativas estandarizadas mejores, decidieron utilizar otro tipo de tecnologas como son las VPNs para asegurar los extremos de la comunicacin (por ejemplo, mediante IPSec). La idea de proteger los datos de usuarios remotos conectados desde Internet a la red corporativa se extendi, en algunos entornos, a las redes WLAN. De hecho, como hemos comentado antes, ambos canales de transmisin deben considerarse inseguros. Pero la tecnologa VPN es quizs demasiado costosa en recursos para su implementacin en redes WLAN. No ajena a las necesidades de los usuarios, la asociacin de empresas Wi-Fi decidi lanzar un mecanismo de seguridad intermedio de transicin hasta que estuviese disponible 802.11i, tomando aquellos aspectos que estaban suficientemente avanzados del desarrollo de la norma. El resultado, en 2003, fue WPA.

Figura 5.10. Protocolos de seguridad para Wireless.

WEP (Wired Equivalent Protocol) Caractersticas y funcionamiento

WEP (Wired Equivalent Privacy, privacidad equivalente al cableado) es el algoritmo opcional de seguridad incluido en la norma IEEE 802.11. Los objetivos de WEP, segn el estndar, son proporcionar confidencialidad, autentificacin y control de acceso en redes WLAN. WEP utiliza una misma clave simtrica y esttica en las estaciones y el punto de acceso. El estndar no contempla ningn mecanismo de distribucin automtica de claves, lo que obliga a escribir la clave manualmente en cada uno de los elementos de red. Esto genera varios inconvenientes. Por un lado, la clave est almacenada en todas las estaciones, aumentando las posibilidades de que sea comprometida. Y por otro, la distribucin manual de claves provoca un aumento de mantenimiento por parte del administrador de la red, lo que conlleva, en la mayora de ocasiones, que la clave se cambie poco o nunca. El algoritmo de encriptacin utilizado es RC4 con claves (seed), segn el estndar, de 64 bits. Estos 64 bits estn formados por 24 bits correspondientes al vector de inicializacin ms 40 bits de la clave secreta. Los 40 bits son los que se deben distribuir manualmente. El vector de inicializacin (IV), en cambio, es generado dinmicamente y debera ser diferente para cada trama. El objetivo perseguido con el IV es cifrar con claves diferentes para impedir que un posible atacante pueda capturar suficiente trfico cifrado con la misma clave y terminar finalmente deduciendo la clave. Como es lgico, ambos extremos deben conocer tanto la clave secreta como el IV. La clave secreta es conocida puesto que est almacenada en la configuracin de cada elemento de red. El IV, en cambio, se genera en un extremo y se enva en la propia trama al otro extremo, por lo que tambin ser conocido. Observemos que al viajar el IV en cada trama es sencillo de interceptar por un posible atacante. El algoritmo de encriptacin de WEP es el siguiente: 1. Se calcula un CRC de 32 bits de los datos. Este CRC-32 es el mtodo que propone WEP para garantizar la integridad de los mensajes (ICV, Integrity Check Value).

2. Se concatena la clave secreta a continuacin del IV formando el seed. 3. El PRNG (Pseudo-Random Number Generator) de RC4 genera una secuencia de caracteres pseudo aleatorios (keystream), a partir del seed, de la misma longitud que los bits obtenidos en el punto 1. 4. Se calcula el OR exclusivo (XOR) de los caracteres del punto 1 con los del punto 3. El resultado es el mensaje cifrado. 5. Se enva el IV (sin cifrar) y el mensaje cifrado dentro del campo de datos (frame body) de la trama IEEE 802.11. El algoritmo para descifrar es similar al anterior. Debido a que el otro extremo conocer el IV y la clave secreta, tendr entonces el seed y con ello podr generar el keystream. Realizando el XOR entre los datos recibidos y el keystream se obtendr el mensaje sin cifrar (datos y CRC-32). A continuacin debe comprobar que el CRC-32 es correcto.

Debilidad del vector de inicializacin

La implementacin del vector de inicializacin (IV) en el algoritmo WEP tiene varios problemas de seguridad. Recordemos que el IV es la parte que vara de la clave (seed) para impedir que un posible atacante recopile suficiente informacin cifrada con una misma clave. Sin embargo, el estndar 802.11 no especifica cmo manejar el IV. Slo se indica que debera cambiarse en cada trama para mejorar la privacidad, pero no obliga a ello. Queda abierta a los fabricantes la cuestin de cmo variar el IV en sus productos. La consecuencia de esto es que buena parte de las implementaciones optan por una solucin sencilla: cada vez que arranca la tarjeta de red, se fija el IV a 0 y se incrementa en 1 para cada trama. Y esto ocasiona que los primeras combinaciones de IVs y clave secreta se repitan muy frecuentemente. Ms an si tenemos en cuenta que cada estacin utiliza la misma clave secreta, por lo que las tramas con igual clave se multiplican en el medio. Por otro lado, el nmero de IVs diferentes no es demasiado elevado (224=16 millones aprox.), por lo que terminarn repitindose en cuestin de minutos u horas. El tiempo ser menor cuanto mayor sea la carga de la red. Lo ideal sera que el IV no se repitiese nunca, pero como vemos, esto es imposible en WEP. La cantidad de veces que se repite un mismo IV depender de la implementacin elegida para variar el IV por el fabricante (secuencial, aleatoria, etc.) y de la carga de la red. Observemos que es trivial saber si dos tramas han sido cifradas con la misma clave, puesto que el IV se enva sin cifrar y la clave secreta es esttica. La longitud de 24 bits para el IV forma parte del estndar y no puede cambiarse. Bien es cierto que existen implementaciones con claves de 128 bits (lo que se conoce como WEP2), sin embargo, en realidad lo nico que se aumenta es la clave secreta (104 bits) pero el IV se conserva con 24 bits. El aumento de la longitud de la clave secreta no soluciona la debilidad del IV. Qu podemos hacer una vez que hemos capturado varias tramas con igual IV, es decir, con igual keystream?. Necesitamos conocer el mensaje sin cifrar de una de ellas. Haciendo el XOR entre un mensaje sin cifrar y el mismo cifrado, nos dar el keystream para ese IV. Conociendo el keystream asociado a un IV, podremos descifrar todas las tramas que usen el mismo IV. El problema es entonces conocer un mensaje sin cifrar, aunque esto no es tan complicado,

porque existen trficos predecibles o bien, podemos provocarlos nosotros (mensajes ICMP de solicitud y respuesta de eco, confirmaciones de TCP, etc.). Con lo que hemos descripto no podemos deducir la clave secreta, aunque s es posible generar una tabla con los IVs de los que sabemos su keystream, la cual permitir descifrar cualquier mensaje que tenga un IV contenido en la tabla. Sin embargo, podemos llegar a ms y deducir la clave secreta. Una nueva vulnerabilidad del protocolo WEP permite deducir la clave total conociendo parte de la clave (justamente, el IV que es conocido). Para ello necesitamos recopilar suficientes IVs y sus keystreams asociados obtenidos por el procedimiento anterior.

Otras debilidades de WEP

WEP tambin adolece de otros problemas adems de los relacionados con el vector de inicializacin y la forma de utilizar el algoritmo RC4. Entre los objetivos de WEP, se encuentra proporcionar un mecanismo que garantice la integridad de los mensajes. Con este fin, WEP incluye un CRC-32 que viaja cifrado. Sin embargo, se ha demostrado que este mecanismo no es vlido y es posible modificar una parte del mensaje y a su vez el CRC, sin necesidad de conocer el resto. Esto permitira, por ejemplo, modificar algn nmero de la trama sin que el destino se percatara de ello. En lugar del algoritmo de CRC se recomienda como ICV (Integrity Check Value) un algoritmo diseado para tal fin como SHA1 HMAC. El estndar IEEE 802.11 incluye un mecanismo de autentificacin de las estaciones basado en un secreto compartido. Para ello se utiliza la misma contrasea de WEP en la forma que describimos a continuacin. Una estacin que quiere unirse a una red, solicita al punto de acceso una autentificacin. El punto de acceso enva un texto en claro a la estacin y sta lo cifra y se lo devuelve. El punto de acceso finalmente descifra el mensaje recibido, comprueba que su ICV es correcto y lo compara con el texto que envi. El mecanismo anterior de autentificacin de secreto compartido tiene el problema de enviar por la red el mismo texto sin cifrar y cifrado con la clave WEP (esta clave coincide con la utilizada para asegurar la confidencialidad). El estndar es consciente de esta debilidad y aconseja no utilizar el mismo IV para el resto de transmisiones. Sin embargo, tanto si las implementaciones repiten ese IV como si no, el mecanismo ofrece informacin que podra ser aprovechada para romper la clave WEP utilizando las debilidades del vector de inicializacin explicadas ms arriba. WEP no incluye autentificacin de usuarios. Lo ms que incluye es la autentificacin de estaciones descrita (podrn entrar aquellas estaciones que en su configuracin tengan almacenada la clave WEP). El sistema de autentificacin descrito es tan dbil que el mejor consejo sera no utilizarlo para no ofrecer informacin extra a un posible atacante. En este caso tendramos una autentificacin de sistema abierto, es decir, sin autentificacin. Entre la larga lista de problemas de seguridad de WEP se encuentra tambin la ausencia de mecanismos de proteccin contra mensajes repetidos (replay). Esto permite que se capture un mensaje y se introduzca en la red en un momento posterior. El paquete podra ser, por ejemplo, el que contiene la contrasea de un usuario para utilizar un determinado servicio.

Todos los problemas comentados unidos a las caractersticas propias de WEP como es la distribucin manual de claves y la utilizacin de claves simtricas, hacen que este sistema no sea apropiado para asegurar una red inalmbrica.

Alternativas a WEP

Aunque no forma parte del estndar, los fabricantes de productos Wi-Fi decidieron ofrecer la posibilidad de utilizar claves del doble de longitud (de 64 bits a 128 bits). WEP utilizado con claves de 128 bits es lo que se conoce generalmente como WEP2. Sin embargo, debemos observar que la longitud del vector de inicializacin sigue siendo de 24 bits (las tramas IEEE 802.11 no contemplan un mayor nmero de bits para enviar el IV), por lo que lo nico que se ha aumentado es la clave secreta (de 40 bits a 104 bits). Debido a que la longitud del IV y su forma de utilizarlo no varan, las debilidades del IV pueden seguir siendo aprovechadas de la misma manera. WEP2 no resuelve los problemas de WEP. Otra variante de WEP utilizada en algunas implementaciones es WEP dinmico. En este caso se busca incorporar mecanismos de distribucin automtica de claves y de autentificacin de usuarios mediante 802.1x/EAP/RADIUS. Requiere un servidor de autentificacin (RADIUS normalmente) funcionando en la red. En el caso de que la misma clave (clave secreta + WEP) no se utilice en ms de una trama, este mecanismo sera suficiente para compensar las principales debilidades de WEP. Sin embargo, la solucin preferida por las empresas como alternativa a WEP ha sido la utilizacin de VPNs, de la misma manera que se hara si los usuarios estuviesen conectados remotamente a la oficina. La tecnologa de VPNs est suficiente probada y se considera segura, aunque no ha sido diseada especficamente para redes WLAN. Tiene como inconveniente la falta de interoperabilidad entre dispositivos de distintos fabricantes. Los mecanismos diseados especficamente para redes WLAN para ser los sucesores de WEP son WPA y WPA2 (IEEE 802.11i).

WPA

WPA (Wi-Fi Protected Access, acceso protegido Wi-Fi) es la respuesta de la asociacin de empresas Wi-Fi a la seguridad que demandan los usuarios y que WEP no puede proporcionar. WPA soluciona todas las debilidades conocidas de WEP y se considera suficientemente seguro.
Caractersticas de WPA

Las principales caractersticas de WPA son la distribucin dinmica de claves, utilizacin ms robusta del vector de inicializacin (mejora de la confidencialidad) y nuevas tcnicas de integridad y autentificacin. WPA incluye las siguientes tecnologas: IEEE 802.1X. Estndar del IEEE de 2001 para proporcionar un control de acceso en redes basadas en puertos. El concepto de puerto, en un principio pensado para las ramas de un switch, tambin se puede aplicar a las distintas conexiones de un punto de acceso con las estaciones. Las estaciones tratarn entonces de conectarse a un puerto del punto de acceso. El punto de acceso mantendr el puerto bloqueado hasta que el usuario se autentifique.

Con este fin se utiliza el protocolo EAP y un servidor AAA (Authentication Authorization Accounting) como puede ser RADIUS (Remote Authentication Dial-In User Service). Si la autorizacin es positiva, entonces el punto de acceso abre el puerto. El servidor RADIUS puede contener polticas para ese usuario concreto que podra aplicar el punto de acceso (como priorizar ciertos trficos o descartar otros). EAP. EAP, definido en la RFC 2284, es el protocolo de autentificacin extensible para llevar a cabo las tareas de autentificacin, autorizacin y contabilidad. EAP fue diseado originalmente para el protocolo PPP (Point-to-Point Protocol), aunque WPA lo utiliza entre la estacin y el servidor RADIUS. Esta forma de encapsulacin de EAP est definida en el estndar 802.1X bajo el nombre de EAPOL (EAP over LAN). TKIP (Temporal Key Integrity Protocol). Segn indica Wi-Fi, es el protocolo encargado de la generacin de la clave para cada trama.

MIC (Message Integrity Code) o Michael. Cdigo que verifica la integridad de los datos de las tramas.

Mejoras de WPA respecto a WEP

WPA soluciona la debilidad del vector de inicializacin (IV) de WEP mediante la inclusin de vectores del doble de longitud (48 bits) y especificando reglas de secuencia que los fabricantes deben implementar. Los 48 bits permiten generar 248 combinaciones de claves diferentes, lo cual parece un nmero suficientemente elevado como para tener duplicados. El algoritmo utilizado por WPA sigue siendo RC4. La secuencia de los IV, conocida por ambos extremos de la comunicacin, se puede utilizar para evitar ataques de repeticin de tramas (replay). Para la integridad de los mensajes (ICV), se ha eliminado el CRC-32 que se demostr inservible en WEP y se ha incluido un nuevo cdigo denominado MIC. Las claves ahora son generadas dinmicamente y distribuidas de forma automtica por lo que se evita tener que modificarlas manualmente en cada uno de los elementos de red cada cierto tiempo, como ocurra en WEP. Para la autentificacin, se sustituye el mecanismo de autentificacin de secreto compartido de WEP as como la posibilidad de verificar las direcciones MAC de las estaciones por la terna 802.1X / EAP / RADIUS. Su inconveniente es que requiere de una mayor infraestructura: un servidor RADIUS funcionando en la red, aunque tambin podra utilizarse un punto de acceso con esta funcionalidad.

Modos de funcionamiento de WPA

WPA puede funcionar en dos modos: Con servidor RADIUS normalmente. Este es el modo indicado para las empresas. Requiere un servidor configurado para desempear las tareas de autentificacin, autorizacin y contabilidad. Con clave inicial pre-compartida (PSK). Este modo est orientado para usuarios domsticos o pequeas redes. No requiere un servidor radius, sino que se utiliza una

clave compartida en las estaciones y punto de acceso. Al contrario que en WEP, esta clave slo se utiliza como punto de inicio para la autentificacin, pero no para el cifrado de los datos.

WPA2 (IEEE 802.11i)

WPA2 incluye el nuevo algoritmo de cifrado AES (Advanced Encryption Standard), desarrollado por el NIST. Se trata de un algoritmo de cifrado de bloque (RC4 es de flujo) con claves de 128 bits. Requerir un hardware potente para realizar sus algoritmos. Este aspecto es importante ya que significa que dispositivos antiguos sin suficientes capacidades de proceso no podrn incorporar WPA2. Para asegurar de la integridad y autenticidad de los mensajes, WPA2 utiliza CCMP (CounterMode / Cipher Block Chaining / Message Authentication Code Protocol) en lugar de los cdigos MIC. Otra mejora respecto a WPA es que WPA2 incluye soporte no slo para el modo BSS sino tambin para el modo IBSS (redes ad-hoc).

Figura 5.11. Comparacin entre WEP y WPA.

OSA (Open System Authentication)

Es otro mecanismo de autenticacin definido por el estndar 802.11 para autentificar todas las peticiones que recibe. El principal problema que tiene es que no realiza ninguna comprobacin de la estacin cliente, adems las tramas de gestin son enviadas sin encriptar, an activando WEP, por lo tanto es un mecanismo poco fiable.

ACL (Access Control List)

Este mecanismo de seguridad es soportado por la mayora de los productos comerciales. Utiliza, como mecanismo de autenticacin, la direccin MAC de cada estacin cliente, permitiendo el acceso a aquellas MAC que consten en la Lista de Control de Acceso.

Se utiliza para minimizar el riesgo de conexin de dispositivos no autorizados. Se debe utilizar con un nmero no muy elevado de dispositivos mviles. Este mtodo no es recomendable porque una direccin MAC se puede duplicar, o si se daa la tarjeta de un cliente hay que dar de baja la antigua MAC y declarar la nueva direccin MAC; este proceso puede complicarse en medida del tamao de la empresa.

CNAC (Closed Network Access Control)

Este mecanismo pretende controlar el acceso a la red inalmbrica y permitirlo solamente a aquellas estaciones cliente que conozcan el nombre de la red (SSID) actuando ste como contrasea. El SSID (Service Set Identifier) es el nombre que le asignamos a nuestra red inalmbrica y es conocido por los dispositivos autorizados. Se utiliza para determinar por parte del dispositivo mvil, a qu punto de acceso est conectado y autenticarse en el mismo. Tambin se denomina ESSID (Extended Service Set Identifier). Service Set Identifier no es un mtodo de autentificacin, ms bien es un nombre comn para los subsistemas wireless (clientes y otros AP), como un identificador. A todos los dispositivos que no tienen por defecto ese SSID no los deja pasar, es la forma en como se diferencian las redes wireless. Por defecto este SIID est en broadcast y por lo tanto cualquier cliente puede identificar y unirse al SSID existente. Si se elimina la opcin de broadcast del AP, un intruso con un sniffer no puede identificar el SIID y unirse al AP.

Defensa a travs de DMZ

La arquitectura Screened Subnet, tambin conocida como red perimtrica o De-Militarized Zone (DMZ) es con diferencia la ms utilizada e implantada hoy en da, ya que aade un nivel de seguridad en las arquitecturas de cortafuegos situando una subred (DMZ) entre las redes externa e interna, de forma que se consiguen reducir los efectos de un ataque exitoso al host bastin: en otros modelos toda la seguridad se centra en el bastin, de forma que si la seguridad del mismo se ve comprometida, la amenaza se extiende automticamente al resto de la red. Como la mquina bastin es un objetivo interesante para muchos piratas, la arquitectura DMZ intenta aislarla en una red perimtrica de forma que un intruso que accede a esta mquina no consiga un acceso total a la subred protegida. Screened subnet es la arquitectura ms segura, pero tambin la ms compleja; se utilizan dos routers, denominados exterior e interior, conectados ambos a la red perimtrica. En esta red perimtrica, que constituye el sistema cortafuegos, se incluye el host bastin y tambin se podran incluir sistemas que requieran un acceso controlado, como bateras de mdems o el servidor de correo, que seran los nicos elementos visibles desde fuera de nuestra red. El router exterior tiene como misin bloquear el trfico no deseado en ambos sentidos (hacia la red perimtrica y hacia la red externa), mientras que el interior hace lo mismo pero con el trfico entre la red interna y la perimtrica: as, un atacante habra de romper la seguridad de ambos routers para acceder a la red protegida. Esta arquitectura de cortafuegos elimina los puntos nicos de fallo presentes en otras: antes de llegar al bastin (por definicin, el sistema ms vulnerable) un atacante ha de saltarse las medidas de seguridad impuestas por el router externo.

Cortafuegos o firewall

Los firewalls son soluciones basadas en software o en hardware que residen en una mquina y pueden ser administradas por el cliente o de manera centralizada. Permiten definir filtros para denegar o permitir el acceso a ciertos usuarios o a ciertos hosts de la red.
Sistemas Detectores de Intrusos

Los sistemas detectores de intrusos (IDS) totalmente integrados en las redes clsicas cableadas, estn tomando forma tambin en las redes inalmbricas. Sin embargo, an son pocas las herramientas disponibles y sobretodo realmente efectivas, aunque empresas privadas estn desarrollando y adaptando sus sistemas detectores de intrusos para redes inalmbricas (como ISS en su software Real Secure). Las redes inalmbricas nos proporcionan cambios nuevos respecto a los sistemas de deteccin de intrusos situados en las redes clsicas cableadas. En primer lugar, la localizacin de la estacin capturadora del trfico debe estar instalado en la misma rea de servicios WLAN que queramos monitorizar. Este punto es crtico y obtendremos muchos falsos positivos si la localizacin es inapropiada o la sensibilidad del agente tan elevada que puede incluso capturar trfico procedente de otras WLANs ajenas a la nuestra. Otro punto crtico en los sistemas detectores de intrusos para redes es la identificacin de trfico anmalo, ya que existen aplicaciones como el NetStumbler y Dstumbler que utilizan tcnicas de descubrimiento de redes inalmbricas especificadas en 802.11 junto con otras propias, por lo que el agente IDS debe detectar y distinguir un trfico de otro. Como punto positivo encontramos que ya existen patrones para distinguir a estos programas utilizados por los intrusos. Adems de todos estos mecanismos de seguridad, tambin se pueden utilizar otros, para complementarlos y reforzar la seguridad, como es el uso de PKI, Smart Cards, o tcnicas biomtricas, por ejemplo.

Diseo recomendado
Se podran hacer varias recomendaciones para disear una red inalmbrica e impedir lo mximo posible el ataque de cualquier intruso. Como primera medida, se debe separar la red de la organizacin en un dominio pblico y otro privado. Los usuarios que proceden del dominio pblico (los usuarios de la red inalmbrica) pueden ser tratados como cualquier usuario de Internet (externo a la organizacin). As mismo, instalar cortafuegos y mecanismos de autentificacin entre la red inalmbrica y la red clsica, situando los puntos de acceso delante del cortafuegos y utilizando VPN a nivel de cortafuegos para la encriptacin del trfico en la red inalmbrica. Los clientes de la red inalmbrica deben acceder a la red utilizando SSH, VPN o IPSec y mecanismos de autorizacin, autenticacin y encriptacin del trfico (SSL). Lo ideal sera aplicar un nivel de seguridad distinto segn qu usuario accede a una determinada aplicacin. La utilizacin de VPNs nos impedira la movilidad de las estaciones cliente entre puntos de acceso, ya que estos ltimos necesitaran intercambiar informacin sobre los usuarios conectados a ellos sin reiniciar la conexin o la aplicacin en curso, cosa no soportada cuando utilizamos VPN.

Como contradiccin, es recomendable no utilizar excesivas normas de seguridad porque podra reducir la rapidez y la utilidad de la red inalmbrica. La conectividad entre estaciones cliente y PA es FCFS, es decir, la primera estacin cliente que accede es la primera en ser servida, adems el ancho de banda es compartido, motivo por el cual nos tenemos que asegurar un nmero adecuado de puntos de acceso para atender a los usuarios. Tambin se podran adoptar medidas extraordinarias para impedir la intrusin, como utilizar receivers (Signal Leakage Detection System) situados a lo largo del permetro del edificio para detectar seales anmalas hacia el edificio, adems de utilizar estaciones de monitorizacin pasivas para detectar direcciones MAC no registradas o clonadas y el aumento de tramas de reautentificacin. Por ltimo tambin podran ser adoptadas medidas fsicas en la construccin del edificio o en la utilizacin de ciertos materiales atenuantes en el permetro exterior del edificio, debilitando lo mximo posible las seales emitidas hacia el exterior. Algunas de estas recomendaciones podran ser, an a riesgo de resultar extremadas: Utilizar cobertura metlica en las paredes exteriores. Vidrio aislante trmico (atena las seales de radiofrecuencia). Persianas venecianas de metal, en vez de plsticas. Poner dispositivos WLAN lejos de las paredes exteriores. Revestir las rosetas de la red con un revestimiento de aluminio. Utilizar pintura metlica. Limitar el poder de una seal cambiando la atenuacin del transmisor.

Figura 5.12. Resumen de los requerimientos de una red segura.