Seguridad en Redes I nalmbricas

Wi-Fi


Wi-Fi (WIFI, Wireless Fidelity) es un conjunto de estndares para redes inalmbricas
basados en las especificaciones IEEE
802.11. Creado para ser utilizado en redes locales inalmbricas, es frecuente que en la
actualidad tambin se utilice para acceder a Internet.
Los elementos fundamentales dentro de una red inalmbrica Wi-Fi son los puntos de
acceso o AP (Access Point), que centralizan el servicio de acceso a la red inalmbrica
(como un hub o switch en una red de cable tradicional) y los nodos inalmbricos o
estaciones WSTA, que son los diferentes aparatos (normalmente ordenadores
personales) que se conectan a la red inalmbrica utilizando algn tipo de adaptador de
red sin cables.
Hay tres tipos de Wi-Fi, basado cada uno de ellos en un estndar IEEE 802.11. Un
cuarto estndar, el 802.11n, est siendo elaborado y se espera su aprobacin final para la
segunda mitad del ao 2007. Los estndares IEEE 802.11b e IEEE 802.11g disfrutan de
una aceptacin internacional debido a que la banda de 2.4 GHz est disponible casi
universalmente, con una velocidad de hasta 11 Mbps y 54 Mbps, respectivamente.
Existe tambin un primer borrador del estndar IEEE 802.11n que trabaja a 2.4 GHz a
una velocidad de 108 Mbps. En la actualidad se maneja tambin el estndar IEEE
802.11a, conocido como WIFI 5, que opera en la banda de 5 GHz y que disfruta de una
operatividad con canales relativamente limpios. La banda de 5 GHz ha sido
recientemente habilitada y, adems no existen otras tecnologas (Bluetooth, microondas,
etc.) que la estn utilizando, por lo tanto hay muy pocas interferencias. La tecnologa
inalmbrica Bluetooth tambin funciona a una frecuencia de 2.4 GHz por lo que puede
presentar interferencias con Wi-Fi, sin embargo, en la versin 1.2 y mayores del
estndar Bluetooth se ha actualizado su especificacin para que no haya interferencias
en la utilizacin simultnea de ambas tecnologas.












Seguridad Wi-Fi

Los ataques que sufren las redes de telecomunicaciones son muchos y variados, y van
desde la intrusin de virus y troyanos hasta la alteracin y robo de informacin
confidencial. Para ms informacin sobre seguridad se puede consultar el apndice C.
Uno de los problemas ms graves a los cuales se enfrenta actualmente la tecnologa Wi-
Fi es la seguridad. Un elevado porcentaje de redes son instaladas por administradores de
sistemas y redes por su simplicidad de implementacin sin tener en consideracin la
seguridad y, por tanto, convirtiendo sus redes en redes abiertas, sin proteger la
informacin que por ellas circulan. Existen varias alternativas para garantizar la
seguridad de estas redes. Las ms comunes son la utilizacin de protocolos de cifrado
de datos para los estndares Wi-Fi como el WEP y el WPA que se encargan de codificar
la informacin transmitida para proteger su confidencialidad, proporcionados por los
propios dispositivos inalmbricos, o IPSEC (tneles IP) en el caso de las VPN y el
conjunto de estndares IEEE 802.1X, que permite la autenticacin y autorizacin de
usuarios. Actualmente existe el protocolo de seguridad llamado WPA2 (estndar
802.11i), que es una mejora relativa a WPA, es el mejor protocolo de seguridad para
Wi-Fi en este momento.



Peligros y ataques

Las violaciones de seguridad en las redes wireless (WLAN) suelen venir de los puntos
de acceso no autorizados (rogu AP), es decir, aquellos instalados sin el conocimiento
del administrador del sistema. Estos agujeros de seguridad son aprovechados por los
intrusos que pueden llegar a asociarse al AP y, por tanto, acceder a los recursos de la
red.


Warchalking y wardriving

El warchalking hace referencia a la utilizacin de un lenguaje de smbolos para reflejar
visualmente la infraestructura de una red inalmbrica y las caractersticas de alguno de
sus elementos. Estas seales se suelen colocar en las paredes de edificios situados en las
zonas en las que existen redes inalmbricas para indicar su condicin y facilitar el
acceso a las mismas.
El wardriving se refiere a la accin de ir recorriendo una zona en busca de la existencia
de redes wireless y conseguir acceder a ellas. Requiere de un software especial que
capture las tramas broadcast que difunden los AP.










Ruptura de la clave WEP

El mecanismo de seguridad especificado en el estndar 802.11 es el cifrado de la
informacin utilizando una clave simtrica denominada WEP. Sin embargo, WEP tiene
deficiencias conocidas, como la corta longitud de su clave o la propagacin de la
misma, que permiten acceder a redes protegidas solamente mediante WEP.














Suplantacin

La suplantacin es un ataque en el que el intruso pretende tomar la identidad de un
usuario autorizado.
Tambin existen suplantaciones activas, como el spoofing. Consiste en que el intruso
consigue suplantar la identidad de una fuente de datos autorizada para enviar
informacin errnea a travs de la red. El mecanismo ms simple es emplear una
direccin MAC vlida.
Otra tcnica activa es la captura de canales (hacking). Sucede cuando un intruso se hace
con un canal que, desde ese momento, ya no estar accesible para usuarios autorizados
disminuyendo as las prestaciones de la red. Otra posibilidad es que un punto de acceso
intruso logre conectarse a la red para que las estaciones le enven informacin reservada
como son nombres de usuario o contraseas.




Denegacin de servicio

Son aquellos ataques en los que el intruso consigue que los usuarios autorizados no
puedan conectarse a la red. Existen los siguientes ataques de denegacin de servicio:
Crear un nivel elevado de interferencias en una zona cercana al punto de acceso.
Ataques por sincronizacin. Smurf. El intruso enva un mensaje broadcast con una
direccin IP falsa que, al ser recibida, causar un aumento enorme de la carga de red.

Mecanismos de seguridad
La seguridad WIFI abarca dos niveles. En el nivel ms bajo se encuentra los
mecanismos de cifrado de la informacin. y en el nivel superior los procesos de
autenticacin.

Autenticidad y privacidad

Al igual que en el resto de redes la seguridad para las redes wireless se concentra en el
control y la privacidad de los accesos. Un control de accesos fuerte impide a los
usuarios no autorizados comunicarse a travs de los AP, que son los puntos finales que
en la red Ethernet conectan a los clientes WLAN con la red. Por otra parte, la privacidad
garantiza que slo los usuarios a los que van destinados los datos trasmitidos los
comprendan. As, la privacidad de los datos transmitidos slo queda protegida cuando
los datos son encriptados con una clave que slo puede ser utilizada por el receptor al
que estn destinados esos datos.
Por tanto, en cuanto a seguridad, las redes wireless incorporan dos servicios: de
autenticacin y privacidad.

Autenticidad
Los sistemas basados en 802.11 operan muy frecuentemente como sistemas abiertos, de
manera que cualquier cliente inalmbrico puede asociarse a un punto de acceso si la
configuracin lo permite. Tambin existen listas de control de accesos basadas en la
direccin MAC, disponiendo en el AP de una lista con los clientes autorizados para
rechazar a los que no lo estn. Tambin es posible permitir el acceso a cualquier nodo
que se identifique y que proporcione el SSID (Service Set ID) correcto.

Privacidad
Por defecto, los datos se envan sin utilizar ningn cifrado. Si se utiliza la opcin WEP
los datos se encriptan antes de ser enviados utilizando claves compartidas, que pueden
ser estticas o dinmicas. Para realizar el cifrado se emplea la misma clave que se usa
para la autenticacin WEP. Tambin se pueden utilizar otros mecanismos ms potentes,
como WPA o el nuevo estndar 802.11i.








Cifrado WEP


El mecanismo de cifrado bsico definido en el estndar 802.11 es el WEP (Wireless
Equivalent Privacy). WEP es un algoritmo de encriptacin que permite codificar los
datos que se transfieren a travs de la red inalmbrica y autenticar los dispositivos
mviles que se conectan a los puntos de acceso.
El cifrado WEP se basa en un cifrado de flujo simtrico que utiliza el algoritmo RC4.
La clave del cifrado de flujo se obtiene de aplicar al conjunto de una clave esttica de
longitud variable (entre 40 y 104 bits) y un vector de inicializacin (IV) fijo de 24 bits
el algoritmo de cifrado. Todo ello se suma, bit a bit, con los datos en claro para obtener
el resultado final. Su funcionamiento se muestra en la figura 3.2.
La utilizacin del IV es conseguir que el mismo texto en claro no vuelva a generar el
mismo texto cifrado. Se aconseja cambiar su valor en cada trama. Como se genera sin
ningn patrn fijo, y dado que el destinatario lo necesita para descifrar la informacin,
se enva en claro dentro de la cabecera de la trama 802.11.
Una de las vulnerabilidades ms claras de WEP es que se utiliza la misma clave para
cifrar todas las tramas, ya que tanto la clave esttica como el vector de inicializacin son
fijos (aunque el estndar recomienda cambiar su valor en cada trama).
As, cualquier intruso con una antena adecuada podra captar la informacin enviada al
AP y mediante cierto software obtener la clave WEP.



Autenticacin

802.11X es un protocolo de control de acceso empleado en redes basadas en puertos, de
manera que no es posible enviar ni recibir tramas en un puerto para el que el proceso de
autenticacin ha sido fallido.

Autenticador (authenticator). Es un puerto que exige una autenticacin previa a permitir
el acceso a los servicios que se ofrece a travs de el. En redes WLAN es el puerto del
AP inalmbrico con el que se comunican los clientes para acceder a los recursos de la
red.
Solicitante (supplicant). Es el puerto que pide acceder a los servicios disponibles a
travs del puerto Autenticador.
Est ubicado en los clientes que intentan asociarse al AP. Los puertos solicitantes y el
autenticador pertenecen al mismo segmento de red y estn conectados puntos a punto,
tanto a nivel lgico como a nivel fsico.

Servidor de autenticacin (AS, Authentication Server). Comprueba las credenciales del
puerto solicitante remitida por l al puerto autenticador y responde a este ultimo con la
aceptacin o la denegacin del acceso a los servicios del autenticador. Existen dos tipos:
AS integrado en el punto de acceso.
AS externo. Suele tratarse de un servidor RADIUS (Remote Authentication
Dial-In User Service), que es el servidor de autenticacin recomendado por la
WiFi Alliance.




Adems, hay que distinguir entre puertos no controlados y puertos controlados. Los
primeros son los empleados por el
AP para comunicarse con el AS independientemente de que se haya autorizado al
cliente la utilizacin de la conexin inalmbrica. Por otra parte, los puertos controlados
son aquellos que nicamente pueden utilizarse si el cliente ha superado con xito el
proceso de autenticacin. En la figura 3.4 se explica todo el proceso de autenticacin.
EAP (Extensible Authentication Protocol) es un protocolo de autenticacin mutua entre
los extremos de una comunicacin. Es una extensin del protocolo punto a punto (PPP).
Realizada la autenticacin mutua, el cliente y el servidor de autenticacin acuerdan una
clave base especfica para ese cliente, que se empleara nicamente durante la sesin
activa.
Las contraseas y las claves de sesin nunca se envan en claro, sino que se cifran con
WEP.

EAP/TLS Se trata de un estndar de IETF basado en el protocolo TLS (Transport Layer
Security). EAP/TLS utiliza certificados digitales tanto para el cliente como para el
servidor de autenticacin. El servidor de autenticacin enva su certificado al cliente en
lo que se denomina fase 1 de la autenticacin (autenticacin TLS del servidor). El
cliente valido el certificado del servidor verificando su emisor (autoridad de
certificacin) y sus contenidos. Finalizada esta operacin, el cliente enva su certificado
al servidor de autenticacin, comenzando as la segunda fase (autenticacin TLS del
cliente).
El servidor de autenticacin valida el certificado del cliente comprobando su emisor y
su contenido y, en caso de xito, enva un mensaje EAP-success al cliente y ambos
acuerdan una clave WEP.
PEAP (Protected EAP) utiliza un certificado digital para la autenticacin del servidor y
para la del cliente se emplean varios mtodos sobre un tnel seguro TLS. La fase 1 es
idntica a EAP/TLS y tiene como resultado la creacin de un tnel TLS cifrado entre el
cliente y el servidor de autenticacin por el que circularn los mensajes EAP. En la fase
2, el servidor autentica al cliente mediante algn otro tipo de EAP, como puede ser una
contrasea OTP (One Time Password).



Otros mecanismos de seguridad

Una red inalmbrica no deja de ser una red, por lo que, adems de las medidas
anteriores, es posible aplicar las polticas de seguridad tpicas de las redes cableadas,
que proporcionen una forma segura de conexin. Las medidas ms extendidas son las
siguientes.
Cortafuegos
Un cortafuegos o firewall es un dispositivo formado por uno o varios equipos que se
sita entre una red interna y una red externa; de forma que todo el trfico con la red
exterior, tanto de entrada como de salida, debe pasar a travs de el para que ste lo
analice y decida si lo bloquea o no.


VPN

Las redes privadas virtuales o VPN resultan de la utilizacin de los recursos pblicos de
un operador para construir parte de una red corporativa privada. Con el fin de garantizar
que las comunicaciones a travs de los segmentos pblicos son seguras, se emplean
tecnologas de entune lado que consiguen establecer un canal de comunicaciones seguro
a travs de la red pblica.
El principal inconveniente de las soluciones basadas en VPN es que la informacin se
cifra dos veces: una en la red inalmbrica (WEP o WPA) y otra en el tnel de la VPN.
Este proceso introduce retardos y aade complejidad a la red.
El protocolo ms utilizado para el entunelamiento de las VPN es IPSec.


WVLAN

Las redes WVLAN (Wireless VLAN) son una extensin del concepto de VLAN propio
de las redes cableadas. El principal beneficio que aportan es que consiguen disminuir el
nmero de puntos de acceso necesario para dar servicio a grupos de trabajo.

Conclusin

Una red WiFi en s misma no es segura o insegura. Este valor lo dar la implementacin
de la misma. Lo que se puede afirmar al analizar el estndar 802.11i, es que se estn
haciendo las cosas bien, pues tanto 802.1X, como AES (o CCMP), son dos mecanismos
extremadamente slidos y que actualmente se los puede catalogar como seguros en los
tres aspectos fundamentales que hoy se ponen en dudas respecto a WiFi, es decir en
autenticacin, control de accesos y confidencialidad.
Por ltimo, como conclusin a este captulo, se aaden una serie de recomendaciones
bsicas de seguridad en redes WiFi:

Utilizar filtrado MAC, si es posible.
Utilizar sistemas adicionales de seguridad. (Firewall, DMZ)
Actualizar peridicamente el firmware y software de los AP.
Implementar 802.11X y RADIUS o un sistema de autenticacin.