Seguridad en Redes Inalambricas

La seguridad es una de los temas ms importantes cuando se habla de redes inalmbricas. Desde el nacimiento de stas, se ha intentado el disponer de protocolos que garanticen las comunicaciones, pero han sufrido de escaso xito. Por ello es conveniente el seguir puntual y escrupulosamente una serie de pasos que nos permitan disponer del grado mximo de seguridad del que seamos capaces de asegurar.

Historia de la seguridad en redes inalmbricas

La falta de confianza en esta tecnologa por parte de los responsables de T.I., posiblemente el principal factor que ralentiza su despegue, tiene cierto fundamento. Tras la publicacin de los primeros estndares que determinaron el nacimiento de las redes wireless ethernet (IEEE 802.11a y b), tambin denominadas Wi-Fi por el consorcio que empuja su implantacin e interoperabilidad de los productos, surgi la necesidad inmediata de proporcionar un protocolo que proporcionase seguridad frente a intrusiones en este tipo de transmisiones: WEP (Wired Equivalent Privacy). Este protocolo proporciona tres mecanismos de seguridad (por nombre de la red o SSID, por clave esttica compartida y por autentificacin de direccin MAC) que se pueden utilizar por separado pero que es ms recomendable combinarlos. Sin embargo pronto se descubri que todos ellos eran fcilmente desbloqueados en corto tiempo (incluso minutos) por expertos utilizando herramientas de escucha en redes (sniffers). Para paliar este grave inconveniente, se han diseado soluciones no estandarizadas apuntando en diferentes reas. La primera de ellas es sustituir el mecanismo de clave esttica por uno de clave dinmica WEP (TKIP u otros), lo que dificulta su identificacin, puesto que el tiempo de computacin que lleva es mayor que la frecuencia de cambio. Sin embargo debe ser complementada con otras tcnicas como sistemas Radius para forzar la identificacin del usuario, tneles VPN con cifrado IPSEC o anlogo entre el terminal de usuario y un servidor seguro interno para imposibilitar el anlisis de las tramas enviadas por radio. Los consorcios reguladores, conscientes de la gravedad de esta debilidad y su fuerte impacto negativo en el crecimiento de las WLAN, han propuesto una recomendacin provisional denominada WPA (Wi-Fi Protected Access) que conjuga todas las nuevas tcnicas anteriormente expuestas. Se estima que a mediados del 2003 los productos Wi-Fi incorporen este mecanismo. Desafortunadamente WPA no es el ltimo movimiento: realmente es un subconjunto de una especificacin final que prepara el consorcio IEEE que se denominar 802.11i y que pretende ser la clave definitiva para que las redes ethernet inalmbricas puedan ser equiparables en materia de seguridad a las cableadas. De nuevo seguramente habr que esperar hasta el 2004 para que se cierre la recomendacin y la incorporen los equipos.

Problemtica actual en los despliegues de WLANs

Una vez conocidas las inseguridades de las redes wireless, no tardaron en aparecer los ataques. Y una de las ms sofisticadas formas se ha denominado "wardriving". Consiste en que expertos en redes wireless ethernet se desplazan en un coche con un porttil con tarjeta de red inalmbrica y una antena pequea, realizando una exploracin de las frecuencias empleadas por estas redes en zonas

empresariales y centros de negocios de grandes ciudades. Los resultados de estas bsquedas revelan que con mnimo esfuerzo se puede penetrar en una gran mayora de las redes. Las razones de ello son: elevados porcentajes de redes con los parmetros por defecto de los equipos, no activadas las reglas de seguridad bsicas o slo parcialmente, exceso de potencia de seal que permite su fcil recepcin desde el exterior, empleados que implantan su propio punto de acceso inalmbrico sin conocimiento de la empresa, seguridad slo basada en WEP, etc. Solamente una muy pequea proporcin responda a un patrn de diseo cuidadoso, habiendo introducido mecanismos adicionales de proteccin (tneles, radius, ...).

Terminologa
Para poder entender la forma de implementar mejor la seguridad en una red wireless, es necesario comprender primero ciertos elementos: - WEP. Significa Wired Equivalet Privacy, y fue introducido para intentar asegurar la autenticacin, proteccin de las tramas y confidencialidad en la comunicacin entre los dispositivos inalmbricos. Puede ser WEP64 (40 bits reales) WEP128 (104 bits reales) y algunas marcas estn introduciendo el WEP256. Es INSEGURO debido a su arquitectura, por lo que el aumentar los tamaos de las claves de encriptacin slo aumenta el tiempo necesario para romperlo. - OSA vs SKA. OSA (Open System Authentication), cualquier interlocutor es vlido para establecer una comunicacin con el AP. SKA (Shared Key Authentication) es el mtodo mediante el cual ambos dispositivos disponen de la misma clave de encriptacin, entonces, el dispositivo TR pide al AP autenticarse. El AP le enva una trama al TR, que si ste a su vez devuelve correctamente codificada, le permite establecer comunicacin. - ACL. Significa Access Control List, y es el mtodo mediante el cual slo se permite unirse a la red a aquellas direcciones MAC que estn dadas de alta en una lista de direcciones permitidas. - CNAC. Significa Closed Network Access Control. Impide que los dispositivos que quieran unirse a la red lo hagan si no conocen previamente el SSID de la misma. - SSID. Significa Service Set IDentifier, y es una cadena de 32 caracteres mximo que identifica a cada red inalmbrica. Los TRs deben conocer el nombre de la red para poder unirse a ella.

Pasos para asegurar una red inalmbrica

En primer lugar hay que situarse dentro de lo que seguridad significa en el mundo informtico. Se dice que una red es segura cuando casi nadie puede entrar la misma o los mtodos de entrada son tan costosos que casi nadie puede llevarlos a cabo. Casi nadie puede significar que es segura en un 99.99%, por ello debemos desechar la idea de que los sistemas informticos son seguros al 100%. No es cierto. Un sistema es seguro cuando tiene la proteccin adecuada al valor de la informacin que contiene o que puede llegar a contener. Una vez situados vamos a ver los pasos que podemos seguir para introducir una seguridad razonablemente alta a nuestra red wireless. Debemos tener en cuenta que cuando trabajamos con una red convencional cableada disponemos de un extra de seguridad, pues para conectarse a la misma normalmente hay que acceder al cable por el que circula la red o a los dispositivos fsicos de

comunicacin de la misma. En nuestro caso no, de hecho vamos a estar desperdigando la informacin hacia los cuatro vientos con todo lo que esto conlleva Paso 1, debemos activar el WEP. Parece obvio, pero no lo es, muchas redes inalmbricas, bien por desconocimiento de los encargados o por desidia de los mismos no tienen el WEP activado. Esto viene a ser como si el/la cajero/a de nuestro banco se dedicase a difundir por la radio los datos de nuestras cuentas cuando vamos a hacer una operacin en el mismo. WEP no es completamente seguro, pero es mejor que nada. Paso 2, debemos seleccionar una clave de cifrado para el WEP lo suficientemente difcil como para que nadie sea capaz de adivinarla. No debemos usar fechas de cumpleaos ni nmeros de telfono, o bien hacerlo cambiando (por ejemplo) los ceros por oes... Paso 3, uso del OSA. Esto es debido a que en la autenticacin mediante el SKA, se puede comprometer la clave WEP, que nos expondra a mayores amenazas. Adems el uso del SKA nos obliga a acceder fsicamente a los dispositivos para poder introducir en su configuracin la clave. Es bastante molesto en instalaciones grandes, pero es mucho mejor que difundir a los cuatro vientos la clave. Algunos dispositivos OSA permiten el cambiar la clave cada cierto tiempo de forma automtica, lo cual aade un extra de seguridad pues no da tiempo a los posibles intrusos a recoger la suficiente informacin de la clave como para exponer la seguridad del sistema. Paso 4, desactivar el DHCP y activar el ACL. Debemos asignar las direcciones IP manualmente y slo a las direcciones MAC conocidas. De esta forma no permitiremos que se incluyan nuevos dispositivos a nuestra red. En cualquier caso existen tcnicas de sniffing de las direcciones MAC que podran permitir a alguien el descubrir direcciones MAC vlidas si estuviese el suficiente tiempo escuchando las transmisiones. Paso 5, Cambiar el SSID y modificar su intervalo de difusin. Cada casa comercial reconfigura el suyo en sus dispositivos, por ello es muy fcil descubrirlo. Debemos cambiarlo por uno lo suficientemente grande y difcil como para que nadie lo adivine. As mismo debemos modificar a la baja la frecuencia de broadcast del SSID, deteniendo su difusin a ser posible. Paso 6, hacer uso de VPNs. Las Redes Privadas Virtuales nos dan un extra de seguridad que nos va a permitir la comunicacin entre nuestros dispositivos con una gran seguridad. Si es posible aadir el protocolo IPSec. Paso 7, aislar el segmento de red formado por los dispositivos inalmbricos de nuestra red convencional. Es aconsejable montar un firewall que filtre el trfico entre los dos segmentos de red. Actualmente el IEEE est trabajando en la definicin del estndar 802.11i que permita disponer de sistemas de comunicacin entre dispositivos wireless realmente seguros. Tambin, en este sentido hay ciertas compaas que estn trabajando para hacer las comunicaciones ms seguras. Un ejemplo de stas es CISCO, la cual ha abierto a otros fabricantes la posibilidad de realizar sistemas con sus mismos mtodos de seguridad. Posiblemente algn da estos mtodos se conviertan en estndar.