Professional Documents
Culture Documents
11
ABSTRACT RESUMEN
Lack of security in wireless LANs is La falta de seguridad en las redes
a problem which has not been correc- inalmbricas es un problema que, a
tly assessed by network managers pesar de su gravedad, no ha recibido
and people in charge of information, la atencin debida por parte de los
in spite of its seriousness. This arti- administradores de redes y los res-
cle presents the existing technologies ponsables de la informacin. Este
for heightening the security level in artculo presenta las tecnologas exis-
802.11 wireless LANs, among with tentes para mejorar el nivel de segu-
their advantages, disadvantages and ridad en las redes inalmbricas
application scenarios. 802.11, con sus ventajas, desventajas
y escenarios de aplicacin.
KEYWORDS
Information Security, Network Secu- PALABRAS CLAVES
rity, Wireless Networks. Seguridad informtica, seguridad en
redes, redes inalmbricas.
Clasificacin: B
SISTEMAS
& TELEMTICA 13
INTRODUCCIN En el momento existen tres estnda-
Las redes inalmbricas de rea local res diferentes para las WLAN, desa-
(WLAN) tienen un papel cada vez rrollados por la IEEE:2,16
ms importante en las comunicacio- 802.11b: Introducido en 1999,
nes del mundo de hoy. Debido a su como extensin al estndar 802.11
facilidad de instalacin y conexin, se publicado en 1997. Los equipos
han convertido en una excelente al- inalmbricos que operaban con la
ternativa para ofrecer conectividad norma 802.11 nunca llegaron a
en lugares donde resulta inconve- tener una buena acogida, porque
niente o imposible brindar servicio la mxima velocidad de conexin
con una red alambrada. La populari- que ofrecan era de 2 Mbps. La
dad de estas redes ha crecido a tal norma 802.11b subsan este pro-
punto que los fabricantes de compu- blema al permitir lograr una ve-
tadores y motherboards estn inte- locidad ms alta de transferencia
grando dispositivos para acceso a de datos. Dicha velocidad tiene un
WLAN en sus equipos; tal es el caso lmite de 11 Mbps (similar al de
de Intel,1 que fabrica el chipset Cen- una red Ethernet convencional).
trino para computadores porttiles. En la prctica, se logran velocida-
Una WLAN se puede conformar de des entre 2 y 5 Mbps, lo que de-
dos maneras: pende del nmero de usuarios, de
la distancia entre emisor y recep-
En estrella. Esta configuracin tor, de los obstculos y de la in-
se logra instalando una estacin terferencia causada por otros dis-
central denominada punto de ac- positivos. El factor interferencia
ceso (Access Point), a la cual acce- es uno de los que ms influye, por-
den los equipos mviles. El punto que los equipos 802.11b operan en
de acceso acta como regulador de la banda de 2.4 GHz, en la que se
trfico entre los diferentes equi- presenta interferencia de equipos
pos mviles. Un punto de acceso como telfonos inalmbricos y
tiene, por lo regular, un cubri- hornos microondas. A pesar de sus
miento de 100 metros a la redon- problemas, el estndar 802.11b se
da, dependiendo del tipo de ante- ha convertido en el ms popular.
na que se emplee, y del nmero y
tipo de obstculos que haya en la 802.11a: Se introdujo al mismo
zona. tiempo que 802.11b, con la inten-
cin de constituirla en la norma
Red ad hoc. En esta configura- para redes inalmbricas para uso
cin, los equipos mviles se conec- empresarial (802.11b se enfoc
tan unos con otros, sin necesidad hacia las redes caseras y para pe-
de que exista un punto de acceso. queos negocios). Ofrece velocida-
El tipo de conformacin ms comn des de hasta 54 Mbps (tpicamen-
es en estrella; se emplea por lo gene- te 22 Mbps) y opera en la banda
ral cuando se desea ofrecer acceso de 5 GHz. Su alto precio, el hecho
inalmbrico a una red alambrada ya de que la banda de 5 GHz est
existente. regulada en algunos pases, y su
14 SISTEMAS
& TELEMTICA
menor cubrimiento ha hecho que blema ms grande de este tipo de re-
los equipos 802.11a sean menos des en cuanto a seguridad se refiere.
populares que los 802.11b. Cualquier equipo que se encuentre a
100 metros o menos de un punto de
802.11g: Surgi en 2003, como la
acceso, podra tener acceso a la red
evolucin del estndar 802.11b.
inalmbrica. Por ejemplo, si varias
Esta norma ofrece velocidades
empresas tienen sede en un mismo
hasta de 54 Mbps (22 Mbps tpi-
edificio, y todas ellas poseen red ina-
camente) en la banda de 2.4 GHz,
lmbrica, el equipo de un empleado
y es compatible hacia atrs con los
podra encontrarse en cierto momen-
equipos 802.11b, por lo cual ha
to en el rea de influencia de dos o
tenido una gran acogida, y se pre-
ms redes diferentes, y dicho emplea-
v que reemplace por completo al
do podra conectarse (intencional-
estndar 802.11b en un futuro no
mente o no) a la red de una compa-
muy lejano.
a que no es la suya. An peor, como
las ondas de radio pueden salir del
EL PROBLEMA
edificio, cualquier persona que posea
DE LA SEGURIDAD
un equipo mvil y entre en el rea de
El acceso sin necesidad de cables, la
influencia de la red, podra conectar-
razn que hace tan populares a las
se a la red de la empresa.
redes inalmbricas, es a la vez el pro-
SISTEMAS
& TELEMTICA 15
la seal del punto de acceso, tendr Equivalent Protocol). Adems, cien de
acceso a la red de la compaa, con la estos puntos de acceso estaban divul-
posibilidad de navegar gratis en la gando informacin que permita iden-
internet, emplear la red de la compa- tificar la empresa a la que pertene-
a como punto de ataque hacia otras can, y 208 tenan la configuracin
redes y luego desconectarse para no con la que vienen de fbrica.
ser detectado, robar software y/o in-
Existen dos prcticas bien conocidas
formacin, introducir virus o software
para localizar redes inalmbricas:
maligno, entre muchas otras cosas.
Un punto de acceso inalmbrico mal El warchalking,3 que consiste en
configurado se convierte en una puer- caminar por la calle con un com-
ta trasera que vulnera por completo putador porttil dotado de una
la seguridad informtica de la com- tarjeta WLAN, buscando la seal
paa. de puntos de acceso. Cuando se
encuentra uno, se pinta con tiza
La mala configuracin de un acceso
un smbolo especial en la acera o
inalmbrico es, desgraciadamente,
en un muro, indicando la presen-
una cosa muy comn. Un estudio
cia del punto de acceso y si tiene
publicado en 2003 por RSA Security
configurado algn tipo de seguri-
Inc.4 encontr que de 328 puntos de
dad o no. De este modo, otras per-
acceso inalmbricos que se detecta-
sonas pueden conocer la localiza-
ron en el centro de Londres, casi las
cin de la red.
dos terceras partes no tenan habili-
tado el cifrado mediante WEP (Wired
lets warchalk!
Key Symbol
ssid
OPEN
NODE
bandwidth
ssid
CLOSE
NODE
ssid access
WEP
contact
NODE
bandwidth
blackbeltjones.com/warchalking
16 SISTEMAS
& TELEMTICA
El wardriving, propio para loca- lata de conservas o de papas fri-
lizar puntos de acceso inalmbri- tas,5) un GPS para localizar los
co desde un automvil. Para este puntos de acceso en un mapa, y
fin se necesita de un computador software para deteccin de redes
porttil con una tarjeta WLAN, inalmbricas, que se consigue li-
una antena adecuada (que se pue- bremente en la internet.
de elaborar fcilmente con una
Una vez localizada una red inalm- Las ondas de radio deben confi-
brica, una persona podra llevar a narse tanto como sea posible. Esto
cabo dos tipos de ataques: es difcil de lograr totalmente,
pero se puede hacer un buen tra-
Ingresar a la red y hacer uso ile-
bajo empleando antenas direccio-
gtimo de sus recursos.
nales y configurando adecuada-
Configurar un punto de acceso mente la potencia de transmisin
propio, orientando la antena de tal de los puntos de acceso.
modo que los computadores que
Debe existir algn mecanismo de
son clientes legtimos de la red
autenticacin en doble va, que
atacada se conecten a la red del
permita al cliente verificar que se
atacante. Una vez hecho esto, el
est conectando a la red correcta,
atacante podra robar la informa-
y a la red constatar que el cliente
cin de dichos computadores, ins-
est autorizado para acceder a
talarles software maligno o daar
ella.
la informacin.
Los datos deben viajar cifrados por
GARANTIZANDO LA el aire, para evitar que equipos aje-
SEGURIDAD DE UNA RED nos a la red puedan capturar da-
INALMBRICA tos mediante escucha pasiva.
Para poder considerar una red ina-
Existen varios mtodos para lograr
lmbrica como segura, debera cum-
la configuracin segura de una red
plir con los siguientes requisitos:
SISTEMAS
& TELEMTICA 17
inalmbrica; cada mtodo logra un capturadas a la tarjeta de su com-
nivel diferente de seguridad y presen- putador, empleando programas
ta ciertas ventajas y desventajas. Se tales como AirJack6 o WellenRei-
har a continuacin una presentacin ter,7 entre otros. De este modo, el
de cada uno de ellos. atacante puede hacerse pasar por
un cliente vlido.
Mtodo 1:
En caso de robo de un equipo ina-
Filtrado de direcciones MAC
lmbrico, el ladrn dispondr de un
Este mtodo consiste en la creacin dispositivo que la red reconoce como
de una tabla de datos en cada uno de vlido. En caso de que el elemento
los puntos de acceso a la red inalm- robado sea un punto de acceso el
brica. Dicha tabla contiene las direc- problema es ms serio, porque el
ciones MAC (Media Access Control) punto de acceso contiene toda la ta-
de las tarjetas de red inalmbricas bla de direcciones vlidas en su me-
que se pueden conectar al punto de moria de configuracin.
acceso. Como toda tarjeta de red po-
see una direccin MAC nica, se lo- Debe notarse adems, que este mto-
gra autenticar el equipo. do no garantiza la confidencialidad de
la informacin transmitida, ya que no
Este mtodo tiene como ventaja su prev ningn mecanismo de cifrado.
sencillez, por lo cual se puede usar
para redes caseras o pequeas. Sin Mtodo 2:
embargo, posee muchas desventajas Wired Equivalent Privacy
que lo hacen imprctico para uso en (WEP)
redes medianas o grandes:
El algoritmo WEP10 forma parte de
No escala bien, porque cada vez la especificacin 802.11, y se dise
que se desee autorizar o dar de con el fin de proteger los datos que se
baja un equipo, es necesario edi- transmiten en una conexin inalm-
tar las tablas de direcciones de to- brica mediante cifrado. WEP opera a
dos los puntos de acceso. Despus nivel 2 del modelo OSI y es soportado
de cierto nmero de equipos o de por la gran mayora de fabricantes de
puntos de acceso, la situacin se soluciones inalmbricas.
torna inmanejable.
El algoritmo WEP cifra de la siguien-
El formato de una direccin MAC te manera (ver Figura 4):
no es amigable (normalmente se
A la trama en claro se le compu-
escriben como 6 bytes en hexade-
ta un cdigo de integridad (Inte-
cimal), lo que puede llevar a co-
grity Check Value, ICV) median-
meter errores en la manipulacin
te el algoritmo CRC-32. Dicho
de las listas.
ICV se concatena con la trama, y
Las direcciones MAC viajan sin es empleado ms tarde por el re-
cifrar por el aire. Un atacante po- ceptor para comprobar si la tra-
dra capturar direcciones MAC de ma ha sido alterada durante el
tarjetas matriculadas en la red transporte.
empleando un sniffer, y luego
Se escoge una clave secreta com-
asignarle una de estas direcciones
partida entre emisor y receptor.
18 SISTEMAS
& TELEMTICA
Esta clave puede poseer 40 128 es capaz de generar una secuen-
bits. cia seudo-aleatoria (o cifra de flu-
jo) tan larga como se desee a par-
Si se empleara siempre la misma
tir de la semilla.
clave secreta para cifrar todas las
tramas, dos tramas en claro igua- El generador RC4 genera una ci-
les produciran tramas cifradas si- fra de flujo, del mismo tamao de
milares. Para evitar esta eventua- la trama a cifrar ms 32 bits (para
lidad, se concatena la clave secreta cubrir la longitud de la trama y el
con un nmero aleatorio llamado ICV).
vector de inicializacin (IV) de 24
Se hace un XOR bit por bit de la
bits. El IV cambia con cada trama.
trama con la secuencia de clave,
La concatenacin de la clave se- obtenindose como resultado la
creta y el IV (conocida como semi- trama cifrada.
lla) se emplea como entrada de un
El IV y la trama se transmiten
generador RC4 de nmeros seu-
juntos.
do-aleatorios. El generador RC4
Vector IV
de inicializacin (IV)
Semilla GNSA Cifra de flujo
Texto
Clave secreta cifrado
Texto en claro
Algoritmo de integridad
Cdigo de
integridad Mensaje
(ICV)
SISTEMAS
& TELEMTICA 19
Clave secreta
Semilla Cifra de flujo Trama en claro
IV GNSA
ICV*
Algoritmo de integridad
ICV OK
Trama cifrada ICV = ICV*?
20 SISTEMAS
& TELEMTICA
Mtodo 3: es insegura. Esto quiere decir que la
Las VPN parte de la red que maneja el acceso
Una red privada virtual (Virtual Pri- inalmbrico debe estar aislada del
vate Network, VPN) emplea tecnolo- resto de la red, mediante el uso de
gas de cifrado para crear un canal una lista de acceso adecuada en un
virtual privado sobre una red de uso enrutador, o agrupando todos los
pblico. Las VPN resultan especial- puertos de acceso inalmbrico en una
mente atractivas para proteger redes VLAN si se emplea switching. Dicha
inalmbricas, debido a que funcionan lista de acceso y/o VLAN solamente
sobre cualquier tipo de hardware ina- debe permitir el acceso del cliente ina-
lmbrico y superan las limitaciones lmbrico a los servidores de autori-
de WEP. zacin y autenticacin de la VPN.
Deber permitirse acceso completo al
Para configurar una red inalmbrica cliente, slo cuando ste ha sido de-
utilizando las VPN, debe comenzar- bidamente autorizado y autenticado.
se por asumir que la red inalmbrica
Servidor de
autorizacin,
autenticacin y
cifrado de datos
Red corporativa
Cliente Punto de Switch o
inalmbrico acceso enturador
SISTEMAS
& TELEMTICA 21
ticacin, que contiene toda la in- dad se opt por emplearlos tam-
formacin necesaria para saber bin para autenticacin en las
cules equipos y/o usuarios estn LAN.
autorizados para acceder a la red.
El autenticador, que es el equipo
802.1x fue diseado para emplear
de red (switch, enrutador, servi-
servidores RADIUS (Remote Au-
dor de acceso remoto...) que reci-
thentication Dial-In User Servi-
be la conexin del suplicante. El
ce), cuya especificacin se puede
autenticador acta como interme-
consultar en la RFC 2058. Estos
diario entre el suplicante y el ser-
servidores fueron creados inicial-
vidor de autenticacin, y solamen-
mente para autenticar el acceso
te permite el acceso del suplican-
de usuarios remotos por conexin
te a la red cuando el servidor de
va telefnica; dada su populari-
autenticacin as lo autoriza.
EAP sobre
RADIUS
EAPOL
(EAP over LAN)
Servidor de
autenticacin
(RADIUS)
Autenticador
Frontera de la red
Suplicante
22 SISTEMAS
& TELEMTICA
La estacin de trabajo enva un sencillo como una contrasea, o
mensaje EAPOL-Start al auten- involucrar una funcin criptogr-
ticador, indicando que desea ini- fica ms elaborada. El autentica-
ciar el proceso de autenticacin. dor enva el desafo al cliente en
un mensaje EAP-Request.
El autenticador solicita a la es-
tacin que se identifique, me- El cliente da respuesta al desafo
diante un mensaje EAP-Request/ mediante un mensaje EAP-Res-
Identity. ponse (Credentials) dirigido al au-
tenticador. Este ltimo reenva el
La estacin se identifica median-
desafo al servidor en un mensaje
te un mensaje EAP-Response/
RADIUS-Access-Response.
Identity.
Si toda la informacin de auten-
Una vez recibida la informacin
ticacin es correcta, el servidor
de identidad, el autenticador en-
enva al autenticador un mensaje
va un mensaje RADIUS-Access-
RADIUS-Access-Accept, que auto-
Request al servidor de autentica-
riza al autenticador a otorgar ac-
cin, y le pasa los datos bsicos
ceso completo al cliente sobre el
de identificacin del cliente.
puerto, adems de brindar la in-
El servidor de autenticacin res- formacin inicial necesaria para
ponde con un mensaje RADIUS- efectuar la conexin a la red.
Access-Challenge, en el cual en-
El autenticador enva un mensa-
va informacin de un desafo que
je EAP-Success al cliente, y abre
debe ser correctamente resuelto
el puerto de acuerdo con las ins-
por el cliente para lograr el acce-
trucciones del servidor RADIUS.
so. Dicho desafo puede ser tan
Router, switch,
punto de acceso...
EAP-Success RADIUS-Access-Accept
ACCESO OTORGADO
SISTEMAS
& TELEMTICA 23
En el caso del acceso inalmbrico, el tal como PAP, CHAP, MS-CHAP
servidor RADIUS despacha en el MS-CHAP v2.
mensaje RADIUS-Access-Accept un
juego de claves WEP dinmicas, que PEAP: Desarrollado por Micro-
se usarn para cifrar la conexin en- soft, Cisco y RSA Security. Fun-
tre el cliente y el punto de acceso. El ciona de manera parecida a EAP-
servidor RADIUS se encarga de cam- TTLS, en el sentido de que sola-
biar esta clave dinmica peridica- mente requiere de certificado de
mente (por ejemplo, cada cinco minu- seguridad en el servidor. Provee
tos), para evitar el ataque de rompi- proteccin a mtodos ms anti-
miento de la clave descrito en la sec- guos de EAP, mediante el estable-
cin referente a WEP. cimiento de un tnel seguro TLS
entre el cliente y el autenticador.
Existen varias variantes del protoco-
lo EAP,13 segn la modalidad de au- El empleo de certificados permite una
tenticacin que se emplee. Se puede autenticacin fuerte entre cliente y
hablar de dos grupos de variantes: las servidor, sin embargo posee tambin
que emplean certificados de seguri- varias desventajas:
dad, y las que utilizan contraseas. La administracin de los certifi-
Las variantes de EAP que emplean cados de seguridad puede ser cos-
certificados de seguridad son las si- tosa y complicada, especialmente
guientes: en los esquemas donde se necesi-
tan certificados en los clientes y
EAP-TLS: Requiere de instalacin en el servidor. Es necesario com-
de certificados en los clientes y en prar los certificados a una autori-
el servidor. Proporciona autenti- dad de certificacin (CA) conoci-
cacin mutua fuerte (es decir, el da, o montar una CA propia.
servidor autentica al cliente y vi-
ceversa) y soporta el uso de cla- El dilogo de autenticacin es lar-
ves dinmicas para WEP. La se- go. Esto ocasiona que el proceso
sin de autenticacin entre el sea algo demorado, siendo espe-
cliente y el autenticador se cifra cialmente molesto para usuarios
empleando el protocolo TLS que tienen que reautenticarse con
(Transparent Layer Substrate). mucha frecuencia (por ejemplo,
usuarios en movimiento que cam-
EAP-TTLS: Desarrollada por bien de un punto de acceso a otro).
Funk Software y Certicom. Pro-
porciona servicios similares a La manipulacin del certificado
EAP-TLS, con la diferencia de que puede ser engorrosa para el usua-
requiere solamente la instalacin rio. En muchos casos se elige ins-
de un certificado en el servidor. talar el certificado en la terminal
Esto garantiza la autenticacin del usuario, con lo cual, si la ter-
fuerte del servidor por parte del minal es robada y el certificado es
cliente; la autenticacin del clien- el nico nivel de seguridad que se
te por parte del servidor se efec- posee, la seguridad de la red es-
ta una vez que se establece la se- tara en riesgo. Otra solucin se-
sin TLS, utilizando otro mtodo ra llevar el certificado en una tar-
24 SISTEMAS
& TELEMTICA
jeta inteligente (smart card), lo una contrasea) a travs de un
que obligara a instalar hardware medio inseguro. Se ha comproba-
adicional en las terminales para do que el mtodo es muy seguro,
leer dichas tarjetas. aun con contraseas cortas. Ofre-
ce proteccin contra ataques de
Las variantes de EAP que utilizan diccionario, as como el servicio de
contraseas son las siguientes: autenticacin mutua sin necesi-
EAP-MD5: Emplea un nombre de dad de certificados. Muchos pro-
usuario y una contrasea para la veedores lo implementan por ser
autenticacin. La contrasea se un mtodo de autenticacin robus-
transmite cifrada con el algorit- to y sencillo.
mo MD5. Su gran inconveniente
consiste en el bajo nivel de segu- MTODO 5
ridad que maneja, ya que es sus- WPA (WI-FI Protected Access)
ceptible a ataques de diccionario WPA14 es un estndar propuesto por
(un atacante puede ensayar a ci- los miembros de la Wi-Fi Alliance
frar mltiples contraseas con (que rene a los grandes fabricantes
MD5 hasta que encuentre una de dispositivos para WLAN) en cola-
cuyo texto cifrado coincida con la boracin con la IEEE. Este estndar
contrasea cifrada capturada an- busca subsanar los problemas de
teriormente). Adems, el cliente WEP, mejorando el cifrado de los da-
no tiene manera de autenticar al tos y ofreciendo un mecanismo de
servidor (no se podra garantizar autenticacin.
que el cliente se est conectando
Para solucionar el problema de cifra-
a la red adecuada), y el esquema
do de los datos, WPA propone un nue-
no es capaz de generar claves
vo protocolo para cifrado, conocido
WEP dinmicas. Por estos pro-
como TKIP (Temporary Key Integri-
blemas, EAP-MD5 ha cado en
ty Protocol). Este protocolo se encar-
desuso.
ga de cambiar la clave compartida
LEAP: Esta variante es propieta- entre punto de acceso y cliente cada
ria de Cisco. Emplea un esquema cierto tiempo, para evitar ataques que
de nombre de usuario y contrase- permitan revelar la clave. Igualmen-
a, y soporta claves dinmicas te se mejoraron los algoritmos de ci-
WEP. Al ser una tecnologa pro- frado de trama y de generacin de los
pietaria, exige que todos los pun- IVs, con respecto a WEP.
tos de acceso sean marca Cisco, y
El mecanismo de autenticacin usado
que el servidor RADIUS sea com-
en WPA emplea 802.1x y EAP, que fue-
patible con LEAP.
ron discutidos en la seccin anterior.
EAP-SPEKE: Esta variante em-
Segn la complejidad de la red, un
plea el mtodo SPEKE (Simple
punto de acceso compatible con WPA
Password-authenticated Expo-
puede operar en dos modalidades:
nential Key Exchange), que per-
mite verificar que tanto cliente Modalidad de red empresarial:
como servidor comparten una in- Para operar en esta modalidad se
formacin secreta (en este caso, requiere de la existencia de un
SISTEMAS
& TELEMTICA 25
servidor RADIUS en la red. El poseen un nivel de seguridad muy
punto de acceso emplea entonces dbil, con lo cual se est poniendo en
802.1x y EAP para la autentica- peligro la confidencialidad e integri-
cin, y el servidor RADIUS sumi- dad de dicha informacin.
nistra las claves compartidas que
Existen diversas soluciones para
se usarn para cifrar los datos.
mejorar la seguridad en las redes ina-
Modalidad de red casera, o PSK lmbricas. Su implementacin depen-
(Pre-Shared Key): WPA opera en de del uso que se vaya a dar a la red
esta modalidad cuando no se dis- (casera o empresarial), de si es una
pone de un servidor RADIUS en red ya existente o una nueva, y del
la red. Se requiere entonces intro- presupuesto del que se disponga para
ducir una contrasea compartida implantarla, entre otros factores.
en el punto de acceso y en los dis-
positivos mviles. Solamente po- La restriccin de acceso mediante di-
drn acceder al punto de acceso recciones MAC es insuficiente para
los dispositivos mviles cuya con- cualquier red, dado el gran nmero
trasea coincida con la del punto de herramientas disponibles libre-
de acceso. Una vez logrado el ac- mente para cambiar la direccin
ceso, TKIP entra en funciona- MAC de una tarjeta cualquiera.
miento para garantizar la seguri- El mtodo mediante WEP con clave
dad del acceso. Se recomienda que esttica es el mnimo nivel de protec-
las contraseas empleadas sean cin que existe. En una red casera
largas (20 o ms caracteres), por- puede ser suficiente; en una corpora-
que ya se ha comprobado que WPA tiva, el uso de WEP est formalmen-
es vulnerable a ataques de diccio- te desaconsejado, por la facilidad con
nario si se utiliza una contrasea la que se pueden romper las claves
corta.15 WEP en un entorno de alto trfico.
La norma WPA data de abril de 2003, El uso de las VPN es una alternativa
y es de obligatorio cumplimiento para interesante cuando ya se tiene una red
todos los miembros de la Wi-Fi Allian- inalmbrica, y no se posee hardware
ce a partir de finales de 2003. Segn inalmbrico que soporte el protocolo
la Wi-Fi Alliance, todo equipo de red 802.1x. Requiere de la instalacin de
inalmbrica que posea el sello Wi- software especializado en los clientes
Fi Certified podr ser actualizado inalmbricos, y de un servidor o una
por software para que cumpla con la serie de servidores que manejen las
especificacin WPA. tareas de cifrado de datos, autentica-
cin y autorizacin de acceso.
CONCLUSIONES
La seguridad en las redes inalmbri- La alternativa de 802.1x y EAP es la
cas es una necesidad, dadas las ca- adecuada si los equipos de la red ina-
ractersticas de la informacin que lmbrica se pueden actualizar, o si se
por ellas se transmite. Sin embargo, va a montar una red nueva. Puede
la gran cantidad de las redes inalm- usarse la solucin de WEP con clave
bricas actualmente instaladas no tie- dinmica, o la de WPA; ambas ofre-
nen configurada seguridad alguna, o cen un excelente grado de proteccin.
26 SISTEMAS
& TELEMTICA
Finalmente, todo mecanismo de pro- 9. AirSnort Homepage. http://
teccin de informacin en una red airsnort.shmoo.com/
debe estar enmarcado dentro de una
poltica de seguridad adecuada. El se- 10. Authentication and Privacy. En
guimiento de una poltica consisten- ANSI / IEEE Standard 802.11,
te evita que las medidas de protec- 1999 Edition. http://
cin se vuelvan un obstculo para el standards.ieee.org/getieee802/
trabajo habitual con los sistemas de download/802.11-1999.pdf , 59-
informacin, y garantiza la calidad 68 pp.
y confidencialidad de la informacin 11. Suhdir Nath. 802.1x Overview.
presente en los sistemas de la em- Noviembre de 2003 http://
presa. www.cisco.com/warp/public/732/
Tech/security/docs/
BIBLIOGRAFA
8021xoverview.ppt
1. Intel Centrino Mobile Technolo-
gy. http://www.intel.com/pro- 12. Paul Congdon. IEEE 802.1x
ducts/mobiletechnology/ Overview Port Based Network
Access Control. Marzo de 2000.
2. 802.11 standards: 802.11b,
http://www.ieee802.org/1/files/
802.11a, 802.11g: Which one is
public/docs2000/
right for you? http://
P8021XOverview.PDF
compnetworking.about.com/cs/
wireless80211/a/ 13. IEC. EAP Methods for 802.11
aa80211standard.htm Wireless LAN Security. http://
www.iec.org/online/tutorials/
3. Warchalking. http://
acrobat/eap_methods.pdf
www.warchalking.org
14. Wi-Fi Alliance. Overview: Wi-Fi
4. Dennis Fisher. Study Exposes
Protected Access. Octubre 31 de
WLAN Security Risks. Marzo 12
2002. http://www.weca.net/
de 2003. http://www.eweek.com/
OpenSection/pdf/Wi-
print_article/
Fi_Protected_Access_Overview.pdf
0,3048,a=38444,00.asp
15. WPAs Little Secret. Noviembre 4
5. Rob Flickenger. Antenna on the
de 2003. http://
Cheap (er, Chip). Julio 5 de
www.stargeek.com/item/
2001. http://www.oreillynet.com/
20270.html
pub/wlg/448
16. Eduardo Tabacman. Seguridad
6. AirJack. http://802.11ninja.net/
en Redes Wireless. En las memo-
airjack/
rias de la I Jornada de Telemtica
7. Wellenreiter WLAN Hacking. Comunicaciones Inalmbricas,
http://www.wellenreiter.net/ Computacin Mvil. ACIS,
Bogot (Colombia), Noviembre 13
8. WEPCrack Project Info. http://
y 14 de 2003.
sourceforge.net/projects/wepcrack
SISTEMAS
& TELEMTICA 27
17. Nikita Borisov, Ian Goldberg, to a Doctor en Ciencias de la
David Wagner. Security of the Computacin de la Universidad
WEP algorithm. http:// de Kansas, con la disertacin
www.isaac.cs.berkeley.edu/isaac/ Aspectos temporales de perfi-
wep-faq.html les para bsqueda en la Web.
Ha estado vinculado laboral-
18. Wireless LAN in London. Enero mente con la Universidad Icesi
26 de 2002. http:// desde 1994, y desempe hasta
www.hoobie.net/wlan 1999 funciones de soporte tc-
nico a sistemas, diseo, puesta
CURRCULO en marcha y administracin de
Juan Manuel Madrid Molina es la red institucional. En la actua-
Ingeniero de Sistemas de la lidad es profesor de tiempo com-
Universidad Icesi (1995), Espe- pleto del Departamento de Re-
cialista en Gerencia de Inform- des y Comunicaciones y direc-
tica con concentracin en Redes tor del programa de Ingeniera
y Comunicaciones de la misma Telemtica.
Universidad (1999) y candida-
28 SISTEMAS
& TELEMTICA