You are on page 1of 9

1.

2 Configura los parmetros de seguridad en los dispositivos de red inalmbricos por medio de las herramientas que proveen los dispositivos de red. 1.2.1 Realiza la prctica para la resolucin de los siguientes problemas relacionados con la redes inalmbricas: Prctica nm. 2

Evidencias: Reporte de la prctica que incluya la problemtica y procedimiento de resolucin.

A. Identificacin de amenazas comunes a la seguridad inalmbrica. La seguridad inalmbrica es un aspecto esencial de cualquier red inalmbrica. Es de gran preocupacin porque las redes inalmbricas son altamente propensas a amenazas de seguridad accidental. La seal inalmbrica puede ser fcilmente detectado por alguien que est cerca de la red inalmbrica y est equipado con el receptor de la derecha. Las redes inalmbricas deben ser garantizadas por completo. A veces fallas de seguridad se producen accidentalmente. Alguien que trabaja en su computadora porttil en un lugar dentro del rango de nuestra red inalmbrica puede recibir la seal en su computadora porttil accidentalmente o intencionalmente se puede hacer mediante el uso de un receptor. ACCESO NO AUTORIZADO Un problema de seguridad ms persistente pero menos publicitado que el fenmeno del ataque a las redes inalmbricas y es la prctica de los empleados de configurar sus propios puntos de acceso inalmbrico y/o traer su propio equipo inalmbrico a la oficina. Los empleados podran gastar algunos cientos de pesos en el punto de acceso inalmbrico y la tarjeta Ethernet para conectarse a la red empresarial de forma que puedan trabajar desde diversos sitios de la oficina. Generalmente estos puntos de acceso no autorizados son inseguros y el departamento de TI de la empresa no los conoce. Aqu radica el gran peligro de la tecnologa inalmbrica: al traspasar un punto de acceso inalmbrico inseguro del empleado, con frecuencia el atacante puede tener total acceso sin filtros a la red empresarial. Esta prctica comn deja relegado al equipo de seguridad empresarial que lucha por actualizarse y proteger la tecnologa inalmbrica no reglamentada que fue introducida por los empleados. Algunas veces los departamentos de TI estn tratando de proteger la tecnologa inalmbrica que an no comprenden por completo. Algunas cifras indican que el 70 % de las empresas que instalan las redes inalmbricas tienen este problema.

PUNTOS DE ACCESO NO AUTORIZADO Un punto de acceso no autorizado, y por tanto vulnerable, puede poner en peligro la seguridad de la red inalmbrica y dejarla completamente expuesta al mundo exterior. Para poder eliminar este amenaza, el responsable de red debe primero detectar la presencia de un punto de acceso vulnerable y, a continuacin, localizarlo. Los dos mtodos ms comunes de localizacin de puntos de acceso vulnerables son el de convergencia y el de vectores. Ambos mtodos presentan ventajas, pero requieren herramientas distintas. Conociendo estos procedimientos, el responsable de red podr garantizar la seguridad de la red inalmbrica. Localizacin

Un punto de acceso vulnerable puede poner en peligro la seguridad de la red inalmbrica. Se dice que un punto de acceso es vulnerable cuando ste es instalado por un usuario sin el conocimiento o aprobacin del responsable de la red. Por ejemplo, un empleado trae su router inalmbrico a la oficina para tener acceso inalmbrico en una reunin. O bien, otra posibilidad con peores intenciones, es que alguien ajeno a la empresa instale un punto de acceso a la red para obtener conexin gratuita a Internet o para acceder a informacin confidencial. En cualquiera de los casos, estos puntos de acceso no autorizados carecen de la configuracin de seguridad adecuada, bien por ignorancia o de manera intencionada. La red de la empresa queda totalmente expuesta al mundo exterior por culpa de estos puntos de acceso. Los responsables de redes disponen de diferentes soluciones que facilitan la deteccin de los puntos de acceso vulnerables de la red. Sin embargo, la identificacin de una vulnerabilidad no es ms que la mitad del trabajo. El responsable de red debe a continuacin localizar la ubicacin de dicho punto de acceso. Una vez localizado, puede eliminarlo de la red o reconfigurarlo de acuerdo con los parmetros de seguridad adecuados. Los dos mtodos ms utilizados para localizar puntos de acceso vulnerables son el de convergencia y el de vectores. El mtodo de bsqueda utilizado depende de las herramientas de que se dispongan.

ATAQUES MAN-IN-THE MIDDLE (intermediarios). En criptografa, un ataque man-in-the-middle (MitM o intermediario, en espaol) es un ataque en el que el enemigo adquiere la capacidad de leer, insertar y modificar a voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado. El atacante debe ser capaz de observar e interceptar mensajes entre las dos vctimas. El ataque MitM es particularmente significativo en el protocolo original de intercambio de claves de Diffie-Hellman (El protocolo criptogrfico de establecimiento de claves), cuando ste se emplea sin autenticacin Posibles subataques El ataque MitM puede incluir algunos de los siguientes subataques: o o o o o Intercepcin de la comunicacin, incluyendo anlisis del trfico y posiblemente un ataque a partir de textos planos conocidos. Ataques a partir de textos cifrados escogidos, en funcin de lo que el receptor haga con el mensaje descifrado. Ataques de sustitucin. Ataques de repeticin. Ataque por denegacin de servicio (denial of service).

El atacante podra, por ejemplo, bloquear las comunicaciones antes de atacar una de las partes. La defensa en ese caso pasa por el envo peridico de mensajes de status autenticados. MitM se emplea tpicamente para referirse a manipulaciones activas de los mensajes, ms que para denotar intercepcin pasiva de la comunicacin. Defensas contra el ataque La posibilidad de un ataque de intermediario sigue siendo un problema potencial de seguridad serio, incluso para muchos criptosistemas basados en clave pblica. Existen varios tipos de defensa contra estos ataques MitM que emplean tcnicas de autenticacin basadas en: o Claves pblicas o Autenticacin mutua fuerte o Claves secretas (secretos con alta entropa) o Passwords (secretos con baja entropa) o Otros criterios, como el reconocimiento de voz u otras caractersticas biomtricas La integridad de las claves pblicas debe asegurarse de alguna manera, pero stas no exigen ser secretas, mientras que los passwords y las claves de secreto compartido tienen el requerimiento adicional de la confidencialidad. Las claves pblicas pueden ser verificadas por una autoridad de certificacin (CA), cuya clave pblica sea distribuida a travs de un canal seguro (por ejemplo, integrada en el navegador web o en la instalacin del sistema operativo). DENEGACIN DE SERVICIOS. Es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legtimos. Normalmente provoca la prdida de la conectividad de la red por el consumo del ancho de banda de la red. Cmo se instala? Para aprovechar la tecnologa ADSL Telefnica debe instalar un "discriminador" tanto en el domicilio del usuario como en la central, antes de que el cable entre en la centralita de conmutacin. El discriminador tiene dos conexiones: a una se conectan los aparatos telefnicos que siguen

funcionando como siempre, a la otra se conecta un mdem especial ADSL que a su vez se conecta al ordenador (en el domicilio del usuario) o a la red de datos (en la central telefnica). El mdem ADSL tpicamente se conecta a una tarjeta de red instalada en el ordenador, ya que la velocidad de un puerto serie no es suficiente. Para evitar el desplazamiento de un tcnico en el domicilio del usuario para instalar el discriminador y el mdem ADSL se ha creado una variacin de este sistema, que se llama ADSL LITE. Sacrifica las prestaciones un poco pero simplifica la instalacin: un usuario puede comprar el mdem en una tienda, enchufarlo en su casa, llamar para que activen el servicio en la central y ya est. En los enchufes donde se ponen telfonos habr que poner filtros (incluidos con el mdem).

B. Configuracin de parmetros para el establecimiento de la seguridad y proteccin de dispositivos inalmbricos.

La seguridad es un aspecto que cobra especial relevancia cuando hablamos de redes inalmbricas. Para tener acceso a una red cableada es imprescindible una conexin fsica al cable de la red. Sin embargo, en una red inalmbrica desplegada en una oficina un tercero podra acceder a la red sin ni siquiera estar ubicado en las dependencias de la empresa, bastara con que estuviese en un lugar prximo donde le llegase la seal. Es ms, en el caso de un ataque pasivo, donde slo se escucha la informacin, ni siquiera se dejan huellas que posibiliten una identificacin posterior. El canal de las redes inalmbricas, al contrario que en las redes cableadas privadas, debe considerarse inseguro. Cualquiera podra estar escuchando la informacin transmitida. Y no slo eso, sino que tambin se pueden inyectar nuevos paquetes o modificar los ya existentes (ataques activos). Las mismas precauciones que tenemos para enviar datos a travs de Internet deben tenerse tambin para las redes inalmbricas. Conscientes de este problema, el IEEE public un mecanismo opcional de seguridad, denominado WEP, en la norma de redes inalmbricas 802.11. Pero WEP, desplegado en numerosas redes WLAN, ha sido roto de distintas formas, lo que lo ha convertido en una proteccin inservible. Para solucionar sus deficiencias, el IEEE comenz el desarrollo de una nueva norma de seguridad, conocida como 802.11i, que permitiera dotar de suficiente seguridad a las redes WLAN. El problema de 802.11i est siendo su tardanza en ver la luz. Su aprobacin se espera para finales de 2004. Algunas empresas en vistas de que WEP (de 1999) era insuficiente y de que no existan alternativas estandarizadas mejores, decidieron utilizar otro tipo de tecnologas como son las VPNs (Virtual Private
Network = red privada virtual, tecnologa que permite tener una red privada entre puntos geogrficamente distantes sin necesidad de un enlace privado, ya que funciona a travs de la internet.) para asegurar los extremos de la

comunicacin(por ejemplo, mediante IPSec). La idea de proteger los datos de usuarios remotos conectados desde Internet a la red corporativa se extendi, en algunos entornos, a las redes WLAN. No ajena a las necesidades de los usuarios, la asociacin de empresas Wi-Fi decidi lanzar un mecanismo de seguridad intermedio de transicin hasta que estuviese disponible 802.11i, tomando aquellos aspectos que estaban suficientemente avanzados del desarrollo de la norma. El resultado, en 2003, fue WPA. En este documento se pretende ilustrar las caractersticas, funcionamiento, aplicaciones, fallas y alternativas del protocolo de seguridad WEP. WEP es un elemento crtico para garantizar la confidencialidad e integridad de los datos en los sistemas WLAN basados en el estndar 802.11, as como para proporcionar control de acceso mediante mecanismos de autenticacin. Consecuentemente, la mayor parte de los productos WLAN compatibles con 802.11 soportan WEP como caracterstica estndar opcional. Cifrado: WEP utiliza una clave secreta compartida entre una estacin inalmbrica y un punto de acceso. Todos los datos enviados y recibidos entre la estacin y el punto de acceso pueden ser cifrados utilizando esta clave compartida. El estndar 802.11 no especifica cmo se establece la clave secreta, pero permite que haya una tabla que asocie una clave exclusiva con cada estacin. En la prctica general, sin embargo, una misma clave es compartida entre todas las estaciones y puntos de acceso de un sistema dado.

La autenticacin es el proceso con el que demostramos ser quienes decimos. Eso es, decimos ser determinado Usuario y lo demostramos introduciendo la contrasea del mismo. El sistema verificar que la contrasea sea la correcta, lo cual le probar que somos quien decimos ser pues conocemos el secreto La mayora de los sistemas de autenticacin estn basados en una tcnica conocida como SecretoCompartido y se explica de la siguiente forma: si slo dos conocemos un secreto y yo soy uno, el que me demuestre que conoce el secreto tiene que ser el otro. Llevado a trminos de inicio de sesin: Si el Controlador de Dominio conoce la contrasea del usuario Usuario1, quien diga ser Usuario1 y conozca la contrasea correspondiente, debe ser el usuario Usuario1. Mediante esta tcnica se produce el proceso de Autenticacin, la verificacin de identidad, que no es lo mismo que la autorizacin para acceder a un recurso. Debemos tener en cuenta que un equipo tambin es un recurso. Durante el inicio de sesin, la autorizacin es el permiso de acceso a la mquina local; cuando se accede a un recurso compartido es el permiso de acceso al recurso. A partir que se ha autenticado a la cuenta, comienza la segunda parte, verificar que el usuario tenga los privilegios necesarios para acceder al recurso y en la forma solicitada. Si inicia sesin, verifica si tiene el derecho de Inicio de sesin interactivo; y si intenta abrir un archivo, con acceso de lecturaescritura por ejemplo, si tiene los permisos necesarios. Recin cuando el sistema ha verificado que la cuenta est Autorizada para hacer lo que intenta, le da acceso. Cuando iniciamos sesin, verifica identidad (Autenticacin), luego controla si tenemos derecho de inicio de sesin interactivo (Autorizacin), y finalmente arma el escritorio de Windows. Cuando nos conectamos a un recurso remoto, tambin verifica la identidad primero (Autentica), y luego controla si tenemos los permisos requeridos para acceder al recurso. La diferencia con el caso anterior es que estos procesos los ejecuta el equipo remoto al que estamos intentando acceder. } Es fcil ver que Autenticacin y Autorizacin son dos procesos distintos: podemos verificar la identidad (Usuario-Contrasea) correcta, pero no estar autorizados para ejecutar determinada accin. Iniciamos sesin, pero recibimos acceso denegado sobre una carpeta por ejemplo.

Se trata de una medida de seguridad que es usada para almacenar o transferir informacin delicada que no debera ser accesible a terceros. Pueden ser contraseas, nos. de tarjetas de crdito, conversaciones privadas, etc. Para encriptar informacin se utilizan complejas frmulas matemticas y para desencriptar, se debe usar una clave como parmetro para esas frmulas. El texto plano que est encriptado o cifrado se llama criptograma. Aclaracin: encriptacin vs. Cifrado Se prefiere el uso de la palabra "cifrado" en lugar de "encriptacin", debido a que esta ltima es una mala traduccin del ingls encrypt.

La Tarjeta PC de la computadora porttil recibe y transmite informacin digital sobre una frecuencia de radio de 2,4 GHz. La tarjeta convierte la seal de radio en datos digitales (en realidad, pequeos paquetes de informacin) que la PC puede comprender y procesar. La tarjeta PCI se conecta a una computadora de escritorio y funciona de modo similar a la Tarjeta PC, con la diferencia de que es especial para Porttiles. El punto de acceso de software permite que una PC conectada a una red Ethernet (un tipo de red de rea local muy comn) pueda desempearse como punto de acceso de hardware. El punto de acceso de hardware recibe y transmite informacin de forma similar a la tarjeta PC. Se conecta a la red Ethernet mediante un conector RJ-45 y maneja el trfico entrante y saliente entre la red fija y los usuarios de la LAN INALMBRICA o "clientes", actuando as como un hub inalmbrico. En otras palabras, el punto de acceso de hardware se desempea como portal o rampa de ingreso, para que los usuarios inalmbricos puedan acceder a una LAN cableada. Es importante destacar que, tal como ocurre en una autopista en horas de mximo trfico, cuantos ms usuarios se hallan en el punto de acceso, tanto ms lento ser el trfico. El punto de acceso de hardware se conecta a un hub, conmutador o encaminado, pero tambin puede conectarse directamente a un servidor mediante un adaptador de cable. Modo de infraestructura.- Cuando se selecciona el modo de infraestructura (en la PC mediante la utilidad de configuracin), el usuario puede enviar y recibir seales de radio (informacin) a travs de un punto de acceso, el cual puede ser mediante hardware o software. Este punto de acceso se conecta a una red convencional mediante un cable, recibe la seal de radio del cliente y la convierte a formato digital que la red y el servidor pueden comprender y procesar. Si el usuario solicita informacin (por ejemplo, una pgina web), el punto de acceso enva una seal de radio a la PC del usuario de la LAN INALMBRICA. Los puntos de acceso estn ubicados en las conexiones de red donde cualquier computadora, impresora u otro dispositivo de red se conectara mediante un cable RJ-45 (similar a un enchufe telefnico, pero ligeramente ms grande).

C. Identificacin de procedimientos para la resolucin de problemas relacionados con las redes Inalmbricas.

La solucin consiste en utilizar un programa como NetStumbler. Este programa generar una lista de las redes inalmbricas WiFi cercanas a la tuya y de la cual podrs elegir el canal menos utilizado para que puedas mejorar la velocidad de tu conexin inalmbrica. Que es Netstumbler? Netstumbler es un programa para Windows que permite detectar WLANs usando tarjetas wireless 802.11a, 802.11b y 802.11g. Tiene varios usos, como: 1.- Verificar que nuestra red est bien configurada. 2.- Estudiar la cobertura o seal que tenemos en diferentes puntos de nuestro domicilio de nuestra red. 3.- Detectar otras redes que pueden causar interferencias a la nuestra. 4.- Es muy til para orientar antenas direccionales cuando queremos hacer enlaces de larga distancia, o simplemente para colocar la antena o tarjeta en el punto con mejor calidad de la seal. 5.- Sirve para detectar puntos de acceso no autorizados (Rogue APs). 6.- Por ltimo, tambin nos sirve para WarDriving, es decir, detectar todos los APs que estn a nuestro alrededor. Y si tenemos GPS nos permitir no solo detectar sino tambin localizar los APs

El firmware de un dispositivo hardware -como puede ser un lector de CD-ROM o un disco duroconsiste en un driver interno o pequeo software que permite a los ordenadores detectar de qu dispositivo se trata, as como sus prestaciones (capacidad de almacenamiento, velocidad de lectura/escritura...etc) y caractersticas principales. Este firmware es actualizable, y cada fabricante optimiza estos drivers en busca de obtener ms rendimiento del mismo dispositivo hardware. Total, que el firmware es un pequeo driver que se descarga de la web del fabricante o de pginas de terceros, y se "instala" en el dispositivo en cuestin, que en este caso es tu disco duro. Una vez consigas el firmware ms reciente que encuentres (suelen ir etiquetados con la fecha de su creacin), has de proceder a sobrescribir el firmware que ahora mismo tiene tu disco duro, con el nuevo firmware.

PROBLEMAS CON LA AUTENTICACIN Y ENCRIPTACIN

Autenticacin Hay ingresos no autorizados los cuales son incapaces de autentificar o identificar. Existen redes que tienen nombres raros y en ocasiones no tienen contrasea, as como tampoco pueden ser identificados.

Encriptacin WPA (WI-FI protected access) Surgi como alternativa segura y eficaz al WEP, se basa en el cifrado de la informacin mediante claves dinmicas, que se calculan a partir de una contrasea. Es precisamente aqu donde est el punto flaco, si no se emplea una contrasea suficientemente larga y compleja, es posible que lleguen a desvelarla. En el router o punto de acceso: al igual que anteriormente, hay que ir al apartado de Wireless y seleccionar la opcin WPA. En este caso no tendremos una simple opcin, pues habr que escoger entre WPA-Radius o WPA-PreSharedKey (WPA-PSK), como su propio nombre indica, su nico requerimiento es compartir una clave entre los diferentes clientes que se van a autentificar en un determinado punto de acceso o router que tambin la conoce. Este mtodo no es tan seguro como el uso de un servidor de autentificacin central del tipo Radius, pero es suficiente en entornos que necesiten conectar de forma segura a unos pocos equipos. Por sencillez es recomendable el WPAPSK, que simplemente pide escoger la encriptacin (AES o TKIP) y una clave de, mnimo, 8 dgitos y de mximo 63. TKIP es el algoritmo aprobado y certificado para WPA, algunos productos son compatibles con el cifrado avanzado (AES) pero no han sido certificados porque no funcionan con el hardware de distintos suministradores. As que selecciona TKIP para evitar que el router trabaje innecesariamente o bien la combinacin de los dos mtodos disponibles (TKIP+AES), as no tendrs problemas de compatibilidad. En el PC: vamos a la ventana de Propiedades de la Red Inalmbrica, pulsamos sobre el botn Agregar, y configuramos los mismos parmetros que introdujimos en el router/punto de acceso: El nico problema de este tipo de encriptacin es que no todos los adaptadores de red inalmbricos o routers/puntos de acceso lo soportan, aunque la tendencia actual es que el hardware sea compatible. En el caso de que no lo sea, comprueba si existen actualizaciones disponibles, descrgalas e instlalas. Tambin debes asegurarte de que tu versin de Windows admite el cifrado WPA.