You are on page 1of 87

INSTITUTO POLITÉCNICO NACIONAL

SECCIÓN DE ESTUDIOS DE POSGRADO E INVESTIGACIÓN

ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA Y ELÉCTRICA

Sistema de Acceso Seguro a Recursos de Información para Redes Inalámbricas 802.11

TESIS QUE PARA OBTENER EL GRADO DE MAESTRO EN CIENCIAS EN INGENIERÍA DE TELECOMUNICACIONES Presenta: Ing. Jose Luis Mejia Nogales Director de Tesis: M. en C. Sergio Vidal Beltrán

México D. F. 2006

Maestría en Ciencias en Ingeniería de Telecomunicaciones

-i-

Maestría en Ciencias en Ingeniería de Telecomunicaciones

INSTITUTO POLITECNICO NACIONAL
SECRETARIA DE INVESTIGACION Y POSGRADO

CARTA CESION DE DERECHOS

En la Ciudad de México, D. F., el día el que sus

13

del mes

de marzo

del año

2006

MEJIA NOGALES JOSE LUIS A030630

alumno del Programa de

MAESTRÍA EN CIENCIAS EN INGENIERÍA DE TELECOMUNICACIONES con número de registro adscrito a la Sección de Estudios de Posgrado e M. EN C. SERGIO VIDAL BELTRÁN Investigación de la E.S.I.M.E. Unidad Zacatenco, manifiesta que es autor intelectual del presente Trabajo de Tesis bajo la dirección del y cede los derechos del trabajo intitulado: "SISTEMA DE ACCESO SEGURO A RECURSOS DE INFORMACIÓN PARA REDES INALÁMBRICAS 802.11”, al Instituto Politécnico Nacional para su difusión, con fines Académicos y de Investigación.

Los usuarios de la información no deben reproducir el contenido textual, gráficas o datos del trabajo sin el permiso expreso del autor y/o director del trabajo. Este puede ser obtenido escribiendo a la siguiente dirección: mejianogales@yahoo.com

Si el permiso se otorga, el usuario deberá dar el agradecimiento correspondiente y citar la fuente del mismo.

JOSE LUIS MEJIA NOGALES

- ii -

Maestría en Ciencias en Ingeniería de Telecomunicaciones

“Todo se debe hacer lo más sencillo posible, pero no más sencillo” Albert Einstein

- iii -

por su cariño desinteresado. . por su infinito amor hacia sus hijos. A mis hermanos Marisol y Ramiro. por compartirme sus conocimientos en forma desprendida.iv - .Maestría en Ciencias en Ingeniería de Telecomunicaciones Agradezco: A mis padres Antonio y Marela. Al Instituto Politécnico Nacional por acogerme como uno más de sus alumnos A mis profesores. por su constante apoyo y ánimo. Y a todos mis amigos y familiares.

Componentes de PAPI 7.4. Fase de Autenticación 7. Algoritmo WPA 6. Referencias Capítulo 3 Diseño del Sistema 1. Introducción 2. Claves Temporales 7.11i 6.2 Protocolo Modo Contador con CBC-MAC 7.1. Punto de Acceso 5. Distribución PAPI 8.2. Introducción 2. Portal Cautivo 3. Fase de Control de Acceso 7.1x 6.11 3.1 Estándar 802. Introducción 2.Maestría en Ciencias en Ingeniería de Telecomunicaciones Contenido Relación de Figuras y Tablas Resumen Abstract Antecedentes Justificaciones Objetivo General Objetivos Específicos Introducción Capítulo 1 Seguridad Inalámbrica 1. Esquema de Implementación 3.3. Referencias Capítulo 2 Análisis del Sistema 1. Punto de Acceso para Proveedores de Información 7. Estándar 802. Riesgos de las Redes Inalámbricas 4. Resultados Conclusiones Recomendaciones Sugerencias para Trabajos Futuros Bibliografía Apéndice A Estándar de Encriptación Avanzado Apéndice B Software Libre Glosario vi vii viii ix x xi xi 1 3 3 5 7 10 12 12 15 16 16 18 20 21 22 22 24 25 27 30 33 34 34 36 39 45 45 54 58 60 61 62 64 67 71 -v- . Introducción 2. Servidor de Autenticación 4. Redes Inalámbricas 802. Descripción de Funciones Capítulo 4 Implementación 1. Algoritmo WEP 5. Escenario Principal 3.5. Definición de Estados 4.

Utilización de Claves Compartidas Figura 1.1 Características del Punto de Acceso de la Red Inalámbrica Tabla 4.1 Arquitectura del Sistema de Acceso Seguro Figura 2.2 Características del Servidor Central Tabla 4.5 Ventana con Autenticación Rechazada Figura 4.1 Sistema Abierto Figura 1.2 Diagrama de Red Figura 4.5 Subsistema Punto de Acceso Figura 2.2 Flujo del Portal Cautivo Figura 2.2 Simbología Warchalking Tabla 3.1 Familia 802.11 Tabla 1.7 Diagrama en Bloque del Cifrado TKIP Figura 1.8 Arquitectura de un Sistema de Autenticación 802.1 Componentes del Sistema de Acceso Seguro a Recursos de Información para Redes Inalámbricas Figura 4.1 Estados del Caso de Uso: Capturar Primer Pedido Tabla 3.3 Ventana de Presentación Figura 4.6 Flujo de Datos del Caso de Uso: Autenticar Usuario Tabla 3.2.9 Diálogo EAPOL – RADIUS Figura 1.13 Interacción entre PoA y GPoA Figura 2.6 Estructura de Encriptación TKIP Figura 1.7 Flujo de Datos del Caso de Uso: Controlar Acceso Tabla 4.4 Diagrama de Estados del Caso de Uso: Controlar Acceso Figura 3.7 Respuesta a la Opción Salir Tabla 1.4 Subsistema Servidor de Autenticación Figura 2.3 Estados del Caso de Uso: Controlar Acceso Tabla 3.3 Flujo del Servidor de Autenticación Figura 2.4 Diagrama en Bloque del Descifrado WEP Figura 1.Maestría en Ciencias en Ingeniería de Telecomunicaciones Relación de Figuras y Tablas Figura 1.5 Flujo de Datos del Caso de Uso: Capturar Primer Pedido Tabla 3.6 Diagrama de Secuencias del Caso de Uso: Autenticar Usuario Figura 3.3 Software Utilizado 4 5 8 8 9 11 11 13 14 15 15 17 19 25 26 28 29 30 32 35 36 37 38 40 41 42 47 54 55 55 56 57 57 4 6 37 38 39 40 41 42 44 46 46 47 .1 Casos de Uso del Sistema Figura 3.7 Diagrama de Secuencias del Caso de Uso: Controlar Acceso Figura 4.4 Ventana con Enlaces Autorizados Figura 4.5 Estructura de Encriptación WEP Figura 1.10 Estructura de Encriptación CCMP Figura 1.4 Componentes del Sistema Tabla 3.6 Estructura de Claves Temporales Figura 3.2 Estados del Caso de Uso: Autenticar Usuario Tabla 3.3 Diagrama de Estados del Caso de Uso: Autenticar Usuario Figura 3.1x Figura 1.6 Respuesta a la Opción Test Figura 4.vi - .12 La Arquitectura PAPI Figura 1.5 Diagrama de Secuencias del Caso de Uso: Capturar Primer Pedido Figura 3.2 Diagrama de Estados del Caso de Uso: Capturar Primer Pedido Figura 3.3 Diagrama en Bloque del Cifrado WEP Figura 1.11 Diagrama en Bloques de CCMP Figura 1.

todo el procedimiento de seguridad es transparente para los usuarios. solo utiliza su navegador web. lo que da origen a la necesidad de crear un sistema de seguridad específico para este tipo de tecnología.Maestría en Ciencias en Ingeniería de Telecomunicaciones Resumen La seguridad siempre ha sido uno de los factores más delicados al momento de diseñar un sistema de comunicaciones y más aún cuando se transmite información confidencial a través de él. Además.vii - . El navegador almacena estas cookies que serán la forma de identificar al usuario en peticiones posteriores.11. pero su principal objetivo es redireccionar todas las peticiones de nuevos usuarios hacia el Servidor de Autenticación. La característica principal del sistema propuesto es que el usuario no necesita de componentes adicionales para acceder a la información. si son válidos entrega al navegador web del usuario claves codificadas como cookies. La seguridad del sistema se distribuye en tres procesos: un Portal Cautivo. Las redes inalámbricas son un caso muy particular porque los datos viajan a través de un medio totalmente inseguro. El Portal Cautivo es un firewall que solamente acepta tráfico HTTP y consultas al DNS. Todo usuario que pretenda ingresar a la información confidencial deberá pasar previamente por el Servidor de Autenticación central. El Punto de Acceso verifica los datos presentados por el usuario. el usuario recibe de manera codificada datos que deberá presentarlos al Punto de Acceso que actúa como guardián de la información. Una vez autenticado. el cual lanza un reto al usuario nuevo para autenticarlo. . un Servidor de Autenticación y un Punto de Acceso. El sistema aquí propuesto proporciona a sus usuarios un acceso seguro a recursos de información confidencial a través de redes inalámbricas del tipo 802.

that throws a challenge to authenticate a new user. Once authenticated. but the principal objective is forward all the requests of new users to the Authentication Server. The Access Point verifies the information presented by the user. Every user who tries to access to the confidential information will have to pass before for the Authentication Server. only a web browser. The wireless networks are a very particular case because the information travels across a totally insecure way. the whole procedure of security is transparent for the users. that’s why a specific security system creation is needed for this kind of technology.Maestría en Ciencias en Ingeniería de Telecomunicaciones Abstract The security always has been one of the most delicate factors to the moment to design a communications system and even more when confidential information is transmitted across it. Besides. if they are valid the user’s web browser receives a key codified like a cookie. The Captive Portal is a firewall that only accepts HTTP traffic and consults to the DNS.viii - . The principal characteristic of the proposed system is that the user does not need additional components to access to the information. The security of the system is distributed in three processes: a Captive Portal. The proposed system provides to the users a sure access to confidential information resources across wireless networks 802.11. an Authentication Server and an Access Point. The web browser stores this cookie as an identification of the user in posterior requests. . the user receives codified information that will have to provide to the Access Point as protector of the information.

comunidades de negocios y universidades. uno de los grandes obstáculos al que sea ha enfrentado el crecimiento en las redes inalámbricas ha sido la seguridad. restaurantes. la mayor cantidad de hotspots implementados se ubica principalmente en hoteles. Sin embargo. Pese al problema de inseguridad el uso de redes inalámbricas ha aumentado.WLAN).11. en la edición de 1999. Para cubrir todas las necesidades de seguridad sobre las redes inalámbricas el IEEE publicó su estándar 802. cafés. debido a que utilizan el espacio libre como medio de transmisión. aeropuertos.Maestría en Ciencias en Ingeniería de Telecomunicaciones Antecedentes Una de las tecnologías que más ha evolucionado en los últimos años son las Redes de Área Local Inalámbricas (Wireless Local Area Networks . Las redes inalámbricas son más difíciles de proteger que las redes convencionales.11i a mediados de 2004. Otro servicio que ha crecido son los hotspots o lugares públicos de acceso a Internet a través de tecnología inalámbrica. Pero los equipos portátiles no tienen cabida únicamente en el ámbito profesional.ix - . No obstante. Se calcula que el segmento de las computadoras de escritorio está creciendo entre el cinco y el siete por ciento al año. que ofrecen a sus usuarios conexión a una red de computadoras local o a Internet sin la necesidad de enlazarse físicamente. Para garantizar la seguridad en redes inalámbricas el Instituto de Ingenieros Eléctricos y Electrónicos (Institute of Electrical and Electronics Engineers . necesidades de comunicación. incluso al aire libre. centros comerciales. Estimaciones sugieren que para el próximo año los hotspots tendrán unos 44 millones de usuarios en el mundo. información y entretenimiento.IEEE) define mecanismos de encriptación y autenticación dentro de su estándar 802. este nuevo estándar incorpora una capa de seguridad específica. Todo esto refleja la tendencia que ha experimentado el mercado en los últimos tiempos. en 2001 se publicaron una serie de artículos que expusieron la vulnerabilidad de este mecanismo de encriptación y cuestionaron la forma de autenticar del estándar 802. . mientras que el de portátiles lo hace al 20 por ciento.11. aprovechando que muchos campus están implementando redes inalámbricas. que están asociadas con la movilidad. se estima que en los próximos años las computadoras de escritorio sean desplazadas en buena medida por las computadoras portátiles. son utilizados también por estudiantes para desarrollar sus actividades académicas. Esto se debe a que la tecnología inalámbrica cumple mejor con las expectativas de los consumidores.

Uno de los inconvenientes de la utilización de estos mecanismos es la necesidad de configurar o instalar algún software específico en el equipo móvil del usuario. sin embargo. los cuales impide el acceso a personas no autorizadas y que algún intruso que intercepte una comunicación pueda descifrarla. la intercepción de la señal transmitida con el propósito de recopilar información confidencial. como contraseñas. la conexión a Internet es la funcionalidad que resulta más apreciada por los usuarios. Además. -x- . los cuales son cada vez más populares debido a su rápida difusión. la sencillez en la reubicación de equipos y la rapidez de instalación. Una de las principales razones para instalarlas es poder compartir servicios y recursos entre los dispositivos móviles. Para proteger el acceso a redes inalámbricas se utiliza métodos de autentificación y cifrado. Existe una gran variedad de técnicas de ataques a las redes inalámbricas. Solamente se necesita colocar un receptor dentro del área de cobertura de una red inalámbrica para detectarla. Muchos de los puntos de acceso utilizados en la construcción de redes inalámbricas no traen ningún tipo de seguridad activa. los administradores de redes inalámbricas no activan los mecanismos de seguridad disponibles y cuando lo hacen utilizan mecanismos vulnerables como el algoritmo WEP. para que el montaje de la red sea simple.Maestría en Ciencias en Ingeniería de Telecomunicaciones Justificaciones El funcionamiento de las redes inalámbricas se basa en la emisión y recepción de datos a través de frecuencias de radio. por ejemplo. Las principales ventajas que presentan las redes de este tipo son su libertad de movimiento. Pero el punto más débil de este tipo de redes está asociado a la seguridad que ofrecen. datos de autenticación o cualquier dato sensible. una vez detectada es susceptible a sufrir ataques.

Diseñar un procedimiento de acceso a la red inalámbrica mediante mecanismos centralizados y completamente transparentes. • • • .11 para diseñar un sistema de seguridad estandarizado.Maestría en Ciencias en Ingeniería de Telecomunicaciones Objetivo General Diseñar un sistema seguro que permita a un usuario móvil ingresar a contenidos de información a través de un punto de acceso de una red inalámbrica. para que el usuario pueda acceder de forma sencilla. Construir un prototipo del sistema de seguridad para redes inalámbricas utilizando software libre. para proteger la información personal del usuario cuando acceda a la red inalámbrica.xi - . Diseñar un sistema de autenticación seguro. Diseñar un procedimiento acceso a los contenidos de información confidencial para que únicamente los usuarios autorizados puedan acceder. sin hacer pública su información personal de acceso. Objetivos Específicos • • Evaluar la evolución de la seguridad en redes inalámbricas 802.

por otro lado. El impacto del problema de seguridad depende en gran medida del tipo de red inalámbrica que se esté utilizando. No obstante. En el capítulo 1 se describen los ataques más comunes a redes inalámbricas y la evolución por la que ha pasado esta tecnología en el área de seguridad. en la mayoría de los casos.11. Podemos dividir la seguridad en las redes inalámbricas en dos categorías: la seguridad al momento de autenticar los usuarios e identificar sus correspondientes permisos. y la seguridad al momento de transmitir los datos entre dispositivos inalámbricos usando ondas de radio. la red interna de una empresa privada necesita una fuerte autenticación de usuarios debido a la información confidencial que maneja. es ofrecer mecanismos de control de acceso seguros. la aparición de estos nuevos servicios implica nuevas necesidades y requerimientos. este sistema facilita el acceso -1- . transparentes para los usuarios.11 y los sistemas de control de acceso que cubren las necesidades a satisfacer. instalar algún software específico en los equipos de los usuarios o utilizar las direcciones físicas y lógicas de los componentes móviles para crear un filtro de acceso. El sistema propuesto abarca únicamente la primera categoría de seguridad. pero sobre todo. El propósito de diseñar una nueva alternativa mediante el sistema aquí propuesto. En este trabajo se desarrolla un sistema que brinda acceso seguro a recursos de información confidencial a través de redes inalámbricas del tipo 802. Antes de construir el sistema propuesto se debe conocer los estándares de seguridad para redes inalámbricas 802. entre los cuales uno de los más críticos es la seguridad. actualmente existen técnicas que podrían brindar este servicio de manera eficaz. abiertos y flexibles. Además. pero su implementación implicaría. se explica el funcionamiento del sistema PAPI (Punto de Acceso a Proveedores de Información) desarrollado por la RedIris. Una red inalámbrica de tipo público no requiere una seguridad de acceso para sus usuarios.Introducción Introducción Con la evolución tecnológica de las redes inalámbricas y el abaratamiento de los equipos móviles ha crecido una gama de nuevos servicios que intentan explotar las ventajas que ofrecen las redes inalámbricas.

Introducción a recursos de información a través de Internet y sus características son similares a las del sistema propuesto. El diseño del sistema se desarrolla en el capítulo 3. y para facilitar el estudio se divide al sistema en tres subsistemas. También. donde se describe de forma detallada los estados de cada subsistema.11. el Servidor de Autenticación. en este capítulo se detallan los componentes involucrados en el sistema propuesto y cómo interactúan entre sí. Se realizaron diferentes configuraciones y adecuaciones en el software de código abierto utilizado y se siguieron diferentes pasos al momento de construir el prototipo. es el que dará la bienvenida a los usuarios y lo enviará hacia el segundo subsistema. haciendo énfasis en sus características particulares. toda esta información es detallada en este capítulo. el subsistema del Punto de Acceso que negará el ingreso a la información confidencial a usuarios no autorizados. juntamente con las propiedades del hardware y software utilizado en la implementación del prototipo del sistema propuesto. El primero se denomina Portal Cautivo. Finalmente. -2- . Al final del presente trabajo se muestran las conclusiones. En el capítulo 2 se hace un análisis general del ambiente de trabajo del sistema propuesto. este último se encargará de identificar a los usuarios válidos. las recomendaciones y los posibles trabajos futuros que complementarían al sistema de acceso seguro a recursos de información para redes inalámbricas 802. La parte práctica de este trabajo se describe en el capítulo 4.

el cual proporciona control de acceso a recursos de información mediante mecanismos transparentes para el usuario. se detalla el funcionamiento del Punto de Acceso para Proveedores de Información PAPI. Posteriormente se muestra los mecanismos de seguridad implementados para las redes inalámbricas dentro del estándar 802.11 Existen diferentes tipos de estándares y productos para las Redes Inalámbricas de Área Local. Redes Inalámbricas 802. la distancia entre transmisor y receptor. Finalmente. Para las redes de área local inalámbricas el Instituto de Ingenieros Eléctricos y Electrónicos sugiere su estándar 802.11i.11b: Introducido en 1999 para redes domésticas y pequeños negocios.11. algoritmo WPA y el estándar 802. Introducción En este capítulo se establece las características principales de las Redes Inalámbricas de Área Local. permite lograr una velocidad límite de 11 Mbps. En la práctica se logran velocidades entre 2 y 5 Mbps que depende de: el número de usuarios. los obstáculos y la interferencia causada -3- . tiene un rango de operación óptima de 50 metros en interiores y 100 metros en exteriores.11 [1].Seguridad Inalámbrica Capítulo 1 Seguridad Inalámbrica 1. Dentro de la familia 802. además de los ataques más comunes a los que están expuestos este tipo de redes. Los estándares determinan los detalles físicos de transmisión y recepción. entre los que se encuentran el algoritmo WEP. como la velocidad de los datos.11 los estándares más conocidos son: • 802. 2. la banda de radio donde operan y las potencias máximas de transmisión.

4 GHz. la comunicación puede realizarse entre estaciones o a través de puntos de acceso. en la práctica alcanza hasta 22 Mbps. sin la necesidad de aplicar ningún mecanismo de autenticación por parte del punto de acceso sobre el dispositivo móvil. una estación después de recibir esta señal inicia la autenticación mediante el envío de una trama [2]. Esta norma ofrece velocidades hasta de 54 Mbps en la banda de 2.11 provee la seguridad mediante dos métodos primarios: autenticación y encriptación [3].1 se resumen las características principales de los estándares más conocidos de la familia 802.1 Familia 802.11b 802.11a Máxima Velocidad de Transmisión 2 Mb/s 11 Mb/s 22 Mb/s 54 Mb/s Tabla 1. El estándar IEEE 802.11g: Surgió en 2003. Ofrece velocidades de hasta 54 Mbps.11b y opera en la banda de 5 GHz. por lo que son compatibles. con la intención de constituirla en la norma para redes inalámbricas para uso empresarial. Este sistema se utiliza normalmente en puntos de acceso públicos y se describe en la figura 1.4 GHz.Seguridad Inalámbrica por otros dispositivos.11 [2]. define dos tipos de servicios de autenticación: sistema abierto y claves compartidas: • Sistema Abierto.11g 802. Un punto de acceso transmite señales de gestión periódicamente.11b.4 GHz 5 GHz La topología de las redes inalámbricas consta de dos elementos clave: las estaciones y los puntos de acceso.11a: Se introdujo al mismo tiempo que 802. porque los equipos 802.11b operan en la banda libre de 2.11 802. Además.11b. la cual está regulada en algunos países.11 Frecuencia 2.4 GHz 2. • 802. • En la tabla 1.4 GHz 2. Petición de Conexión Ins piron 7000 Conexión Concedida 000 Power LAN LINK ACT LINK ADSL ACT Test Dispositivo Móvil Figura 1. su rango de operación óptima es menor a la del 802. Estándar 802. Permite al dispositivo móvil establecer una conexión con el punto de acceso.1. Una vez realizada la autenticación se produce la asociación entre los dos equipos. La interferencia es el factor más crítico. como una evolución del estándar 802.1 Sistema Abierto Punto de Acceso -4- . 802.

• Con el afán de interceptar. Riesgos de las Redes Inalámbricas La utilización del espacio libre como medio de transmisión es un factor que pone en riesgo la información confidencial [4]. 2. La autenticación se muestra en la figura 1. en caso contrario se niega el acceso. entre los más comunes podemos citar: El warchalking.2 y se realiza en cuatro pasos: 1. A los ataques dirigidos a la seguridad de una red inalámbrica se los puede dividir en dos tipos: • Ataques Pasivos. Ataques Activos. indicando la presencia del punto de acceso y el tipo -5- . el punto de acceso permitirá al dispositivo móvil establecer una asociación.2. buscando la señal que emiten los puntos de acceso [5]. El principal objetivo de este tipo de atacante es obtener información confidencial o hacer uso ilegítimo de los recursos de la red. Si la trama es igual a la original. 3. Cuando se encuentra una señal. Tras la recepción de ésta. el dispositivo móvil debe codificar dicha trama y reenviarla al punto de acceso. 4. un intruso puede configurar un punto de acceso propio para que dispositivos móviles de la red se conecten a él y de esta manera dañar directamente a los usuarios. Utilización de Claves Compartidas Punto de Acceso 3. Por ejemplo. En este servicio de autenticación existen claves que están en posesión del punto de acceso y el dispositivo móvil. En este tipo de ataques se realizan modificaciones en el flujo de datos o se crean falsos flujos en la transmisión de datos. atacar y descubrir redes inalámbricas se crearon y difundieron diferentes métodos de intercepción.Seguridad Inalámbrica • Claves Compartidas. El punto de acceso pide al dispositivo móvil que se autentique mediante el envío de una trama de datos. Petición de Conexión Trama a Codificar Ins piron 7000 Trama Codificada Power 000 LAN LINK ACT LINK ADSL ACT Test Conexión Concedida Dispositivo Móvil Figura 1. consiste en caminar por la calle con un computador portátil dotado de una tarjeta WLAN. se dibuja un símbolo característico en la acera o en un muro. El punto de acceso decodificará la trama retransmitida por el dispositivo móvil. Son agresiones como monitoreos o escuchas de la red.

Seguridad Inalámbrica de seguridad que tiene configurado. La Privacidad Equivalente al Cableado (Wired Equivalent Privacy . Clave Símbolo ssid Nodo Abierto ancho de banda ssid Nodo Cerrado ancho de banda ssid Nodo WEP W ancho de banda Tabla 1. en la que se falsifica información para enviarla a través de la red.2 se muestran los símbolos más utilizados. la forma más sencilla de esta técnica es redefinir la dirección física de la tarjeta WLAN del -6- . y software especializado en detección de redes inalámbricas [6]. WEP posee un vector de inicialización de 24 bits y claves estáticas de encriptación [7]. podría determinar los valores compartidos entre tramas y de esta forma determinar una clave. como contraseñas. En esta técnica el intruso pretende hacerse pasar por un usuario real. De este modo cualquier persona puede conocer la localización de la red inalámbrica.2 Simbología Warchalking. consiste en localizar puntos de acceso desde un automóvil. el atacante intentará recopilar información del sistema que pueda ser considerada confidencial. el atacante puede utilizar la técnica Spoofing o burla. dando la posibilidad de decodificar en su totalidad las tramas capturadas. Tras haber interceptado la señal. WEP Cracking.11 para codificar los datos que se transfieren a través de una red inalámbrica. una antena especial de construcción casera. Si un atacante recopila suficientes tramas basadas en el mismo vector de inicialización. este atacante intenta identificar el origen y el destino de la transmisión [5]. datos de autenticación o cualquier otra información sensible. Por ejemplo.WEP) es un mecanismo de seguridad propuesto por el estándar 802. Para realizar este ataque se requiere de un computador portátil con una tarjeta WLAN. Interceptar una señal. un dispositivo GPS para localizar exactamente los puntos de acceso en un mapa. Suplantación. El wardriving. en la tabla 1.

Existen varias técnicas para realizar este ataque. La concatenación de la clave secreta y el vector de inicialización se emplea como la entrada de un generador RC4 de números pseudo-aleatorios. El generador RC4 es capaz de generar una secuencia seudo-aleatoria tan larga como se desee a partir de su entrada. Algoritmo WEP La Privacidad Equivalente al Cableado WEP fue el primer mecanismo de seguridad que se implementó bajo el estándar 802.3 se describe el proceso de cifrado del algoritmo WEP. la clave secreta se concatena con un número aleatorio llamado Vector de Inicialización (Initialization Vector IV) de 24 bits. del mismo tamaño de la trama a cifrar. esta concatenación se conoce como semilla. obteniéndose como resultado la trama cifrada. haciendo un total de 64 bits. y es empleado por el receptor para comprobar si la trama ha sido alterada durante la transmisión. Se ejecuta una operación XOR bit por bit con la trama y la secuencia llave. Este código de integridad se concatena con la trama. enviándola a todos los usuarios de la red. 4. También. el atacante puede utilizar la técnica de Hijacking o secuestro. WEP se basa en el algoritmo de encriptación RC4. aumentando el tráfico de la red y pudiendo negar una petición de respuesta de una IP que pertenece a la red. Se escoge una clave secreta compartida entre emisor y receptor. en nuestro caso el generador RC4 origina una secuencia seudo-aleatoria. una de ellas es el ataque Smurf. con la dirección física de la tarjeta WLAN del intruso. En la figura 1. − − − − -7- . el cual se realiza de la siguiente manera: − A la trama original se le agrega un código de integridad ICV (Integrity Check Value) mediante el algoritmo CRC-32. Para codificar los paquetes de información. De este modo cada usuario contesta la petición dirigida a una IP falsa. el cual utiliza a la entrada 4 claves estáticas de 40 bits junto con un vector de inicialización aleatorio de 24 bits. que inserta dentro de una red una petición de respuesta a una dirección IP falsa.11 aprobado por la IEEE y opera en la capa dos del modelo OSI. Este algoritmo permite codificar los datos que se transfieren a través de una red inalámbrica y autenticar los dispositivos móviles que se conectan al punto de acceso [8]. denominada secuencia llave. en la que se intenta asociar una dirección IP válida del sistema atacado. El vector de inicialización al ser aleatorio es distinto para cada trama. Para evitar que las tramas cifradas sean similares. Este atacante intenta ocupar la mayoría de los recursos disponibles de una red inalámbrica. para impedir a los usuarios disponer de estos [5].Seguridad Inalámbrica atacante por una dirección válida dentro del sistema atacado. Negación de Servicio.

-8- . Vector de Inicialización Clave Secreta ‫װ‬ ‫װ‬ Semilla Generador RC4 Secuencia Llave Mensaje ⊕ Trama Algoritmo CRC-32 Código de Integridad Trama Cifrada ‫װ‬ Figura 1.4 Diagrama en Bloque del descifrado WEP En el receptor se lleva a cabo el proceso inverso para el descifrado. Un generador RC4 produce la secuencia llave a partir de la semilla.ICV Figura 1.4 se describe este proceso que sigue los pasos siguientes: − − Se concatenan el vector de inicialización recibido y la clave secreta compartida para generar la misma semilla que se utilizó en el transmisor.Seguridad Inalámbrica − El vector de inicialización y la trama cifrada se transmiten juntos.3 Diagrama en Bloque del Cifrado WEP Clave Secreta Vector de Inicialización Mensaje ‫װ‬ ‫װ‬ ‫װ‬ Trama Semilla Generador RC4 Secuencia Llave Trama Cifrada ⊕ Trama Algoritmo CRC-32 ICV’ ICV’ = ICV Código de Integridad . en la figura 1.

WEP emplea claves de cifrado estáticas. puede efectuar un XOR entre ellas y obtener los textos de ambas tramas mediante un − − -9- . en caso contrario se rechaza. Finalmente. − La estructura de encriptación del algoritmo WEP se muestra en la figura 1. El vector de inicialización tiene una longitud de tres octetos. Un intruso puede acumular grandes cantidades de texto cifrado con la misma clave e intentar un ataque por fuerza bruta. que se compara con el código de integridad recibido. Si un atacante logra conseguir dos tramas con los vectores de inicialización idénticos. las cuales son configuradas manualmente y deben ser cambiadas periódicamente. calculada con el algoritmo CRC-32. la trama se acepta. Encriptado IV (4 octetos) Trama Cifrada (n octeto) ICV (4 octetos) Vector de Inicialización (3 octetos) (1 Octeto) Relleno (6 bits) ID Clave (2 bits) Figura 1.5. para obtener la trama original y el código de integridad. Si los códigos de integridad coinciden. Esto implica que datos de control necesarios para gestionar la red pueden ser capturados por dispositivos móviles extraños. más seis bits de relleno y dos bits que indican la llave compartida que se utilizó en el cifrado. En una red de alto tráfico se pueden agotar los vectores de inicialización en corto tiempo. pero no protege a nivel físico.5 Estructura de Encriptación WEP ICV es una secuencia de verificación de grupo sobre la trama cifrada. el algoritmo WEP presenta algunas debilidades: − La encriptación WEP no cubre las transmisiones desde el principio hasta el final. solamente protege la información de los paquetes de datos. a la trama obtenida se le aplica el algoritmo CRC-32 para obtener un segundo código de integridad.Seguridad Inalámbrica − − Se ejecuta la operación XOR bit por bit entre la secuencia de clave y la trama cifrada. El vector de inicialización es de longitud insuficiente. Sin embargo.

(Message Integration Code – MIC). Simplemente se requiere introducir una clave compartida en el punto de acceso y en los dispositivos móviles.TSC). WPA implementa como método de autenticación el estándar 802. . fue propuesto por los miembros de la Wi-Fi Alliance en colaboración con el grupo de trabajo 802. Únicamente los dispositivos móviles cuya clave compartida estática coincida con la del punto de acceso podrán asociarse. El cliente no puede autenticar a la red.WPA) se desarrolló para mejorar el nivel de seguridad existente en WEP. pueden enviarse 248 paquetes utilizando una sola clave temporal. 5. Modalidad Pre-Clave Temporal: WPA opera en esta modalidad cuando no se dispone de un servidor de autenticación en la red. utiliza el protocolo de integridad de clave temporal (Temporary Key Integrity Protocol . El protocolo TKIP incorpora dos elementos nuevos en el proceso de encriptación: Un código de integración de mensajes.11i de la IEEE [9]. Es decir. Esta medida protege contra ataques por suplantación. ni el punto de acceso puede autentificar al usuario. WPA implementa el protocolo TKIP que se encarga de cambiar la clave compartida entre el punto de acceso y el dispositivo móvil periódicamente [10]. El punto de acceso emplea 802.EAP).1x: Para operar en esta modalidad se requiere de un servidor de autenticación RADIUS (Remote Authentication Dial-In User Service) en la red. mientras que el servidor RADIUS suministra las claves compartidas que se usarán para encriptar las tramas.10 - .TKIP).Seguridad Inalámbrica ataque estadístico. un punto de acceso que implementa el algoritmo WPA puede operar en dos modalidades: Modalidad 802. Un vector de inicialización de 48 bits. como método de encriptación. Además. Para solucionar los problemas de encriptación descubiertos en WEP.1x y EAP para la autenticación. Algoritmo WPA El algoritmo de Acceso Protegido Wifi (Wifi Protected Access . Con el texto de una trama y su respectivo texto cifrado se puede obtener la secuencia de clave.1x y el Protocolo de Autenticación Extensible (Extensible Authentication Protocol . Teniendo esta información y utilizando el algoritmo RC4 es posible obtener la clave estática compartida y descifrar toda la transmisión. Solo es necesario que el equipo móvil y el punto de acceso compartan la clave estática WEP para que la comunicación pueda llevarse a cabo. Se utiliza esta secuencia para extender la vida útil de la clave temporal. Según la complejidad en la autenticación. − WEP no ofrece un servicio de autenticación real. Este código de integridad es más robusto que el utilizado en la encriptación WEP. denominado secuencia de conteo TKIP (TKIP Sequence Counter .

antes de pasar a la encriptación WEP.Seguridad Inalámbrica TKIP extiende la estructura de encriptación WEP agregando doce octetos. Si es necesario.11 - . es decir. que son claves compartidas generadas en el proceso previo de autenticación. La secuencia de conteo TSC se construye con los primeros dos octetos de vector de inicialización original y los cuatro octetos del vector de inicialización extendido [11]. El código de integración de mensajes MIC se calcula sobre la dirección física origen y destino y la trama original. . En la figura 1. utilizando la clave MIC y la secuencia de conteo TSC.6 Estructura de Encriptación TKIP La clave temporal. en caso contrario se descarta el paquete para prevenir posibles ataques. la dirección del emisor y la secuencia de conteo TSC se combinan para obtener una clave temporal de 128 bits. cuatro octetos para el vector de inicialización extendido y ocho octetos para el código de integración de mensajes. el vector de inicialización de 24 bits y la clave secreta de 104 bits. Esta clave se divide para generar las entradas en la encriptación WEP.7 Diagrama en Bloque del Cifrado TKIP En la desencriptación se examina la secuencia de conteo TSC para asegurar que el paquete recibido tiene un valor mayor que el anterior.7 se describe el proceso de cifrado TKIP: Dirección Origen Clave Temporal ‫װ‬ TSC Clave Secreta WEP Vector de Inicialización WEP WEP Trama Cifrada Direcciones Origen y Destino Trama Trama MIC MIC +TSC Clave MIC Figura 1. Encriptado IV (4 octetos) IV Extendido (4 octetos) Trama Cifrada (n octeto) MIC (8 octetos) ICV (4 octetos) Figura 1. la trama original puede ser segmentada incrementando la secuencia de conteo TSC para cada segmento. En la encriptación se utilizan la clave temporal y la clave MIC. como se muestra en la figura 1.6.

Como un método de encriptación opcional se puede utilizar el Protocolo de Autenticación Robusto para Redes Inalámbricas (Wireless Robust Authentication Protocol . 802.1x es un estándar de control de acceso y autenticación basado en la arquitectura cliente / servidor. pero se ha extendido a las redes inalámbricas [14]. porque un intruso sólo necesita interceptar el tráfico inicial de intercambio de claves y con un ataque de diccionario se puede obtener la clave compartida [12].1 Estándar 802. 2.1x Control de Acceso a Red Basado en Puerto (Port-Based Network Access Control) [13].Seguridad Inalámbrica El código de integración de mensaje MIC se vuelve a calcular utilizando la trama recibida desencriptada.12 - .AES) con el algoritmo CBC-MAC. 6.WRAP) en lugar de CCMP. En este control de acceso se puede utilizar los protocolos TKIP o CCMP para la encriptación y se utilizará el estándar IEEE 802. la cual se divide en tres categorías: 1. Protocolo Modo Contador con CBC-MAC (Counter Mode with CBC-MAC Protocol -CCMP).11i pero finalmente fue remplazado por CCMP. Para desarrollar este tipo de encriptación se requiere de un procesador con un alto desempeño por lo que es necesario contar con hardware 802. fue el originalmente propuesto para el estándar IEEE 802.11 actual para implementar el protocolo CCMP.11 para proveer integridad y confidencialidad. En la figura 1. cuando las claves compartidas utilizadas son de una longitud corta. utiliza en el proceso de encriptación el Estándar de Encriptación Avanzado (Advanced Encryption Standard . Este estándar fue inicialmente creado por la IEEE para uso en redes de área local cableadas.1x para la autenticación. WPA se vuelve inseguro. Sin embargo.1x. El protocolo TKIP se implementó en la encriptación WPA como una solución a los problemas de la encriptación WEP.1x 802. este nuevo valor se compara con el recibido para verificar la integridad del mensaje. que restringe la conexión de equipos no autorizados a una red. 6.11i El estándar de seguridad 802. Protocolo de Integridad de Clave Temporal. Estándar 802.11i propuesto por la IEEE fue ratificado en junio de 2004. Este nuevo estándar incorporará una capa de seguridad específica para redes inalámbricas. Este protocolo también está basado en el algoritmo AES.8 se muestra la arquitectura de un sistema de autenticación 802. El protocolo CCMP está documentado en el RFC2610. TKPI puede ser usada en los viejos equipos 802. . 3.

en el cual envía información de un reto que debe ser resuelto . con los datos de identificación del usuario. En el proceso de autenticación del usuario se utiliza el Protocolo de Autenticación Extensible y se realizan los siguientes pasos: − El proceso inicia cuando el usuario logra enlazarse con la red. solamente permite el acceso del suplicante cuando el servidor de autenticación lo autoriza. Estos servidores fueron creados inicialmente para autenticar el acceso de usuarios remotos por conexión vía telefónica.1x El protocolo 802. El autenticador solicita a la estación que se identifique.Seguridad Inalámbrica PO WER BU SY ATTEN E NT ESC EAPOL Ins piron 7000 EAP sobre Radius 000 Power LAN LINK ACT LINK ADSL ACT Test 1 2 3 4 5 6 7 Suplicante Autenticador Infortrend Servidor de Autenticación Figura 1. mediante un mensaje EAP-Request-Identity. es un equipo de red que recibe la conexión del suplicante. que contiene toda la información necesaria para saber qué equipos o usuarios están autorizados para acceder a la red. 802. La estación se identifica mediante un mensaje EAP-Response/Identity. El punto de acceso tiene el acceso bloqueado para tráfico normal.1x fue diseñado para emplear servidores RADIUS. lo único que admite es el tráfico EAPOL (EAP over LAN). Una vez recibida la información de identidad. El Servidor de Autenticación. actúa como intermediario entre el suplicante y el servidor de autenticación.8 Arquitectura de un Sistema de Autenticación 802. que es el requerido para efectuar la autenticación. el autenticador envía un mensaje RADIUS-Access-Request al servidor de autenticación.13 - − − − − − . El Autenticador.1x involucra tres participantes: • • • El Suplicante. cuya especificación se puede consultar en la RFC 2058. indicando que desea iniciar el proceso de autenticación. o equipo del usuario que desea conectarse con la red. El servidor de autenticación responde con un mensaje RADIUS-AccessChallenge. El dispositivo móvil envía un mensaje EAPOL-Start al autenticador.

el diálogo de autenticación es largo.9 Diálogo EAPOL . . el protocolo de autenticación extensible que utilizan contraseñas es susceptible a ataques de diccionario. que autoriza al autenticador a otorgar acceso al usuario. El autenticador envía un mensaje EAP-Success al usuario y le autoriza el acceso. además envía un juego de claves dinámicas para cifrar la conexión.RADIUS Punto de Acceso El protocolo de autenticación extensible que emplea certificados de seguridad requiere de la instalación de certificados en los usuarios y en el servidor de autenticación. el servidor envía al autenticador un mensaje RADIUS-Access-Accept. el atacante puede cifrar múltiples contraseñas hasta que encuentre una cuyo texto cifrado coincida con una contraseña cifrada capturada [8].9 se muestra el diálogo básico entre un nuevo usuario y el punto de acceso a la red.Seguridad Inalámbrica correctamente por el usuario para lograr el acceso. Por otro lado. − − Existen variantes del protocolo de autenticación extensible según la modalidad de autenticación utilizada. no se puede garantizar que el usuario se está conectando a la red correcta. Petición de Acceso Desafío Ins piron 7000 Respuesta a Desafío Power 000 LAN LINK ACT LINK ADSL ACT Test Dispositivo Móvil Acceso Aceptado o Rechazado Figura 1. es decir. En este tipo de autenticación el cliente no tiene manera de autenticar al servidor. − El cliente responde al desafío mediante un mensaje EAP-Response. El autenticador reenvía el desafío al usuario en un mensaje EAP-Request. El autenticador reenvía el desafío al servidor en un mensaje RADIUS-AccessResponse. el servidor autentica al cliente y el cliente autentica al servidor. se puede emplear certificados de seguridad o contraseñas [14]. El servidor RADIUS se encarga de cambiar las claves periódicamente. Cuando un usuario en movimiento cambia de un punto de acceso debe reautenticarse. durante el proceso de autenticación. En la figura 1. Sin embargo. Si toda la información de autenticación es correcta.14 - . Proporciona una autenticación mutua. Dicho desafío puede ser una contraseña o involucrar una función criptográfica más elaborada. la administración de los certificados de seguridad es costosa y complicada.

2 Protocolo Modo Contador con CBC-MAC El Protocolo Modo Contador con CBC-MAC (Counter Mode with CBC-MAC Protocol CCMP) utiliza el estándar de encriptación AES con el algoritmo CBC-MAC. el cual se utiliza para el cálculo del código de integración de mensaje y para encriptar la trama [3].10. Encriptado IV (4 octetos) IV Extendido (4 octetos) Trama Cifrada (n octeto) MIC (8 octetos) Figura 1. AES es un cifrado de bloque iterativo simétrico.11 Diagrama en Bloques de CCMP Para el cálculo del código de integración de mensajes MIC se utiliza un vector de inicialización formado por el número de paquete. Este vector de inicialización ingresa a un bloque AES . La estructura de encriptación del protocolo CCMP se muestra en la figura 1. encripta en bloques de 128 bits de longitud y utiliza la misma clave al encriptar y al desencriptar [3]. también el cálculo del código de integración de mensajes y la encriptación de la trama se realizan en forma paralela. CCMP utiliza un vector de inicialización de 48 bits denominado número de paquete PN.10 Estructura de Encriptación CCMP Como en el protocolo TKIP.15 - .Seguridad Inalámbrica 6. la clave temporal se genera en el proceso previo de autenticación. la clave temporal y datos del encabezado de la trama original. VI AES Cálculo MIC AES AES AES AES Trama Contador Encabezado PN Datos MIC AES Encriptación AES AES Trama Encriptada Encabezado PN Datos MIC Figura 1.

para compararlo con el recibido y de esta forma verificar la integridad del mensaje transmitido. se puede considerar al control de acceso PAPI completamente ortogonal a otros mecanismos.PAPI) es un sistema que proporciona mecanismos de control de acceso a recursos de información a través de Internet [15]. se tomarán los primeros 64 bits del resultado final de este proceso como el código de integración de mensajes MIC final. Este proceso continúa hasta capturar el último segmento de la trama original.Seguridad Inalámbrica y luego pasa por un operador XOR junto a un segmento de la trama original. Esta estructura hace que el sistema tenga una gran flexibilidad y permite su integración en diferentes entornos operativos. dado que no impone requisitos a ningún procedimiento adicional.16 - . Posteriormente el contador se incrementa y se repite el mismo proceso con el siguiente segmento de datos para generar los siguientes 128 bits encriptados. la clave temporal. este proceso dará como resultado los primeros 128 bits encriptados. Este contador precarga entra en un bloque AES y su salida pasa por un operador XOR junto con un segmento de 128 bits de los datos de la trama. datos del encabezado de la trama original y un contador que inicializa en 1. En la figura 1. Componentes de PAPI PAPI consta de dos elementos independientes: el Servidor de Autenticación (AS) y el Punto de Acceso (PoA). El proceso de desencriptación es esencialmente la reversa del proceso de encriptación. el resultado de este proceso pasa a ser la entrada del siguiente bloque AES y la salida de este bloque junto con el siguiente segmento de la trama original pasan por un operador XOR.12 se describe la arquitectura PAPI. el procedimiento continúa hasta encriptar la totalidad de los datos. como la protección por medio de contraseñas. en la figura 1. Estos mecanismos de control de acceso son completamente transparentes al usuario y compatibles con prácticamente todos los navegadores y sistemas operativos.11 se muestra el diagrama en bloques del proceso completo de encriptación del protocolo CCMP. En el proceso de encriptación de la trama original se utiliza un contador precarga formado por el número de paquete. el código de integración de mensaje MIC se vuelve a calcular utilizando la trama recibida desencriptada. 7. Punto de Acceso para Proveedores de Información El Punto de Acceso para Proveedores de Información (Point of Access to Providers of Information . que se deseara emplear para este propósito. su salida pasa por un operador XOR junto con el código de integración de mensajes calculado anteriormente. El propósito del Servidor de Autenticación es ofrecer a los usuarios un punto único de autenticación y proporcionarles de manera transparente las claves temporales que les permitirán acceder a los recursos. El último contador se pone en 0 y entra en el bloque AES. para los que estén autorizados. El sistema PAPI también es compatible con otros sistemas de control. 7. filtros basados en direcciones IP o control de acceso por medio de certificados. Al igual que en el protocolo TKIP. .1. Por tanto.

únicamente se limita a preparar un mensaje sobre la identidad del usuario en los términos requeridos por el Punto de Acceso y lo firma digitalmente usando su clave privada. Una vez autenticado. El único requisito de este mensaje es que el identificador de la misma debe mantenerse único durante el tiempo que sean válidas las claves temporales proporcionadas por el Punto de Acceso. Los Puntos de Acceso pueden ser combinados de manera jerárquica en grupos. usualmente proporciona datos que no desea se hagan públicos [16]. Un Punto de Acceso PAPI puede ser adaptado a cualquier servidor web. Inicialmente. Las características del sistema PAPI permiten a un servidor web contener más de un Punto de Acceso o a un Punto de Acceso controlar más de un servidor web. Un Punto de Acceso es capaz de manejar peticiones desde cualquier número de servidores de autenticación y dirigirlos hacia cualquier número de servidores web.17 - .Seguridad Inalámbrica El Punto de Acceso realiza el control de acceso para un conjunto de localizaciones web dentro de un determinado servidor.12 La Arquitectura PAPI No se requiere ningún tipo de correspondencia entre un determinado Servidor de Autenticación y un determinado Punto de Acceso. el usuario es automáticamente dirigido hacia el punto de entrada del Punto de Acceso. a través del cual se validan los intentos iniciales de acceso. el usuario establece su identidad por medio del Servidor de Autenticación de la organización con la que está directamente relacionado. Servidor de Autenticación Datos de Autenticación Aserciones de Identidad Petición HTTP Claves Temporales Claves Nuevas BD de Claves Navegador Página WEB Punto de Acceso Petición HTTP Página WEB Servidor WEB Figura 1. El Servidor de Autenticación no envía ningún dato proporcionado por el usuario hacia el Punto de Acceso. con independencia de la plataforma sobre la que esté implementado. El proveedor de información tiene la responsabilidad de gestionar el Punto de Acceso de acuerdo a políticas establecidas. . controlados por un Punto de Acceso de Grupo (GPoA).

Cuando las claves temporales se copian a otro navegador y son empleadas por otro usuario. para decidir si permite el acceso del usuario. Los sucesivos accesos al recurso que el Punto de Acceso protege serán aceptados o denegados por medio de estas claves temporales. El protocolo empleado por PAPI puede dividirse en dos fases: la Autenticación y el Control de Acceso. que se almacenan por medio de cookies HTTP (Hypertext Transport Protocol – Protocolo de Transporte de Hipertexto) en el navegador del usuario. se genera una lista de URLs (Uniform Resource Locator – Localizador de Recursos Uniforme) que corresponden a los puntos de acceso que deben ser contactados para descargar las claves temporales. Esto puede ocurrir si las cookies son borradas explícitamente o si el archivo de cookies es dañado. establecidas por cada organización. Esta lista de URLs se envía al navegador del usuario integrada en una página HTML (HyperText Markup Language Lenguaje de Marcación de Hipertexto). Si la autenticación es correcta se siguen las políticas de acceso a los recursos disponibles. este usuario no necesita volver a pasar por esta fase [17]. Cuando ocurre una corrupción de las claves temporales.18 - . que da cuenta del resultado positivo del proceso de autenticación. Entonces. . Cuando la clave simétrica principal del Punto de Acceso ha sido cambiada. Durante el período que dura la validez de estas claves. Fase de Autenticación Esta etapa se inicia en el Servidor de Autenticación. donde el usuario es autenticado y finaliza cuando un conjunto de claves temporales es almacenado por el navegador del usuario. La fase de autenticación comienza cada vez que un usuario accede al Servidor de Autenticación para obtener claves temporales válidas. • • • El usuario accede al Servidor de Autenticación por medio de un navegador web y proporciona los datos que el Servidor de Autenticación requiere para reconocerlo como un usuario válido. 7. El usuario debe reiniciar la fase de autenticación antes de la expiración de sus claves en los siguientes casos: • Cuando las claves temporales son eliminadas del navegador. La política de acceso puede basarse en atributos tales como el tipo de usuario o su relación con la organización.Seguridad Inalámbrica El Punto de Acceso utiliza la información firmada digitalmente por el Servidor de Autenticación y las políticas de la organización que administra el Punto de Acceso. Una vez que el Punto de Acceso acepta el mensaje proveniente del Servidor de Autenticación se generan dos claves temporales.2.

se almacenan en un registro de claves temporales administrado por el Punto de Acceso. junto con tres parámetros que se envían empleando el método GET de HTTP: el identificador del Servidor de Autenticación.13 Interacción entre PoA y GPoA . junto con una cadena generada de manera aleatoria. empleando para ello la clave pública del Servidor de Autenticación. La duración que se solicita para la clave temporal principal que se va a generar. Los puntos de acceso son contactados de manera completamente transparente para el usuario.Seguridad Inalámbrica Cada una de los URLs incluyen una referencia al procedimiento que el Punto de Acceso correspondiente emplea para generar las claves temporales. dado que el navegador recibe la lista de URLs incorporados en una página HTML. para evitar ataques por medio de repeticiones de los datos. Redirección + Claves del GPoA Servidor de Autenticación Datos de Autenticación Claves Petición HTTP sin Claves del PoA Punto de Acceso de Grupo Redirección + Datos para el PoA Navegador Página WEB Claves del PoA Punto de Acceso Figura 1. El mensaje creado por el servidor de acceso contiene: • • • • Una cadena de texto que describe al usuario y sus derechos. Una marca de tiempo. Una descripción típica del usuario. También se verifican las reglas de control de acceso aplicables según los datos que se reciben acerca del usuario. Si todos los datos son correctos. codificadas como cookies HTTP.19 - . Ambas claves temporales se envían al navegador del usuario. se generan dos claves temporales: la clave temporal principal Hcook y la clave temporal secundaria Lcook. que incluye referencias al usuario y a los grupos a los que pertenezca. La clave temporal principal. El Punto de Acceso verifica la integridad y la marca de tiempo de la petición. un código de petición y un mensaje encriptado acerca del usuario.

Si los procedimientos de control de acceso devuelven un resultado válido para el Punto de Acceso de grupo. se trata de evitar accesos no autorizados por medio de duplicación de las claves e intenta evitar la repetición excesiva de cálculos criptográficos largos [17].3. el Punto de Acceso subordinado decide si genera su par de claves temporales. En función a los datos que recibe por medio de esta redirección. Hcook es la clave temporal primaria. aunque más corta que la utilizada en Hcook. compara el bloque aleatorio que contiene con el último que generó y almacenó en su registro. Claves Temporales El uso de dos claves temporales diferentes pretende un balance entre seguridad y eficiencia del protocolo. éste construye un URL similar al descrito para el Servidor de Autenticación y redirige el navegador de vuelta al Punto de Acceso subordinado que lo contactó inicialmente. Los campos que contiene la clave temporal son: • • La localización a la que da acceso esta clave. El momento en que la clave expira. Lcook la clave temporal secundaria.Seguridad Inalámbrica Además de ser contactado directamente por un Servidor de Autenticación. codificados con otra clave simétrica. El momento en que la clave fue generada. Los campos de control de acceso son: • • • • Un código de usuario. codificados con una clave simétrica que es exclusiva del Punto de Acceso. derivado del mensaje recibido desde el AS. Un bloque generado de manera aleatoria. un Punto de Acceso puede también ser contactado por otros puntos de acceso. este proceso esta descrito en la figura 1. Este registro se usa para evitar los accesos ilegales por medio de duplicación de cookies. . se emplea en la fase de control de acceso para realizar comprobaciones más rápidas y consiste también en un conjunto de campos de control de acceso. Contiene un conjunto de campos con información de control de acceso. cuando está incluido en un grupo controlado por un Punto de Acceso de grupo. criptográficamente más fuerte y que contiene más datos. En el registro de claves temporales del Punto de Acceso se mantienen las claves temporales primarias que son válidas.13. 7. La localización a la que da acceso esta clave. Un Punto de Acceso de grupo recibe peticiones de sus puntos de acceso subordinados por medio de redirecciones HTTP. que también es exclusiva del Punto de Acceso.20 - . cada vez que el Punto de Acceso comprueba la validez de una Hcook recibida.

por lo que el PoA asume que se ha producido una duplicación de cookies y rechaza la petición. Si el tiempo de validez de Lcook ya ha expirado es necesario proceder a la verificación de la clave primaria Hcook. En otro caso. A partir de este momento.21 - . . 7. 2.4. Busca las claves temporales almacenadas en las cookies identificadas como Lcook y Hcook. La clave temporal primaria puede considerarse como una clave de página HTML. Asimismo. es generada y almacenada en el registro de claves temporales. el navegador las envía automáticamente sin necesidad de ninguna intervención por parte del usuario. mientras que el uso de la clave temporal secundaria pretende evitar retardos adicionales cuando se cargan los elementos que componen la página HTML. Si no se han recibido las cookies. mientras que las claves primarias son recalculadas en intervalos del orden de varios minutos. la petición es aceptada. a la vez que se envían los resultados de la petición original. 4. 3.Seguridad Inalámbrica El tiempo de vida típico de una clave secundaria es de unos pocos segundos. La localización codificada en la clave es válida. una nueva clave primaria conteniendo un nuevo bloque aleatorio. luego comprueba si son correctas la localización y la marca de tiempo. cada vez que se intenta acceder a una localización controlada. si se reciben nuevas peticiones con el valor antiguo de Hcook. La petición es aceptada si cumple las siguientes condiciones: • • • El período de acceso no ha expirado. el valor de su bloque aleatorio no coincidirá con el almacenado en el registro. el Punto de Acceso intenta redirigir la petición hacia su correspondiente Punto de Acceso de grupo. Si Hcook es correcta. El bloque aleatorio codificado en la clave coincide con el que se encuentra almacenado en el registro de claves temporales. Cuando un Punto de Acceso recibe una petición de acceso a una localización protegida. Si esta comprobación tiene éxito. la petición es rechazada. si está definido. una nueva clave secundaria es generada. Fase de Control de Acceso En esta fase el Punto de Acceso se encarga de verificar las claves temporales asociadas con la localización que el navegador ha solicitado [17]. y los dos nuevos valores son enviados codificados como cookies hacia el navegador del usuario. El Punto de Acceso verifica la clave secundaria: decodifica Lcook usando su clave simétrica correspondiente. Dado que las claves están almacenadas como cookies HTTP. lleva a cabo los siguientes pasos: 1. la cual se decodifica usando su clave simétrica correspondiente.

pdf [2] [3] [4] [5] [6] [7] .ieee. Ingeniero Técnico de Telecomunicación. Arbaugh.org/getieee802/download/802. 8. Consultor y Formador en TI edubis. Distribución PAPI La distribución PAPI contiene un Servidor de Autenticación basado en Perl.sindominio. 2004. Real 802. http://standards.Seguridad Inalámbrica 7.php3?id_article=127 The Evolution of Wireless Security in 802.11 Standards.Interfaz de Puerta de Enlace Común) dentro de cualquier servidor web y proporciona una interfaz para extenderlo por medio de métodos de autenticación adicionales [18]. The Institute of Electrical and Electronics Engineers. que incluye soporte para diferentes métodos de validación de la identidad del usuario y de sus derechos de acceso.sans. Seguridad en Redes Inalámbricas. de manera que no se requiere formación adicional.es/antena/pdf/154/06c_Reportaje_Seguridad. http://suburbia. 192 p. WPA.coitt. Francisco García López.11. May 20.22 - .11 Wireless Networks: The Definitive Guide.com. Todos los procedimientos son transparentes para el usuario. www. Incubus. Puede ser integrado con cualquier servidor web basado en Apache y configurado por medio de directivas específicas dentro del propio fichero de configuración de Apache.pdf Seguridad en WiFi. 1999 Edition.net/article. 451 p. 15 julio 2004. Referencias [1] Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) SpecificationsANSI/IEEE Std 802. Diciembre 2003. 802.11i. por lo que el sistema puede ser fácilmente incorporado en cualquier organización. basados en LDAP (Lighweight Directory Access Protocol). Jon Edney.11-1999. August 2003. 20 August 1999. William A. Editorial McGraw-Hill. GSEC Practical v1. http://www. El Punto de Acceso incluido en la distribución PAPI se basa en el módulo mod_perl de Apache.11 Networks: WEP. Editorial Addison-Wesley. Editorial O'Reilly & Associates.5.11 Security: Wi-Fi Protected Access and 802. Stanley Wong. Miller. La arquitectura y los protocolos en los que se basa el sistema están diseñados para garantizar la independencia de los actores y preservar la privacidad de los usuarios. 2001.pdf Pescando Sin Sedal Wardriving. El Servidor de Autenticación puede emplearse como un CGI (Common Gateway Interface . Matthew Gast.4b.org/rr/papers/68/1109. 2003. POP3 (Post Office Protocol 3) o una base de datos interna derivada del formato Berkeley. 268 p. WPA and 802. Stewart S.

Guide for Beginners. Engineering. 2003.es/doc/PAPI_Protocol_Detailed. RedIRIS. Rodrigo Castro-Rojo.org/OpenSection/pdf/Whitepaper_Wi-Fi_Enterprise26-03. Editorial O'Reilly & Associates.rediris.es/dist/pod/PAPI-gb. RedIRIS. IEEE Std 802.wi-fi. RedIRIS.pdf [14] EAP Methods for 802. WPA: A Key Step Forward in Enterpriser-class Wireless LAN (WLAN) Security. Wi-Fi Alliance. López.pdf [11] Securing Wi-Fi Wireless Networks with Today’s Technologies.ieee. December 2002. http://papi. Rodrigo Castro-Rojo.rediris.1X-2001.es/doc/TERENA-2001/ [17] PAPI . Approved 14 June 2001 IEEE-SA Standards Board and Approved 25 October 2001American National Standards Institute. 2003. http://papi. Meetinghouse Whitepaper.wifi. The International Engineering Consortium. http://papi. Diego R. Jon A.Seguridad Inalámbrica [8] [9] 802. Rodrigo Castro-Rojo. interoperable security for today’s Wi-Fi networks. Wi-Fi Alliance. http://www. Wi-Fi Alliance.html . Web ProForum Tutorials. February 6.es/dist/pod/PAPI-gb.pdf [13] IEEE Standard for Local and Metropolitan Area Networks—Port-Based Network Access Control. RedIRIS.mtghouse.iec. standards-based.23 - . LaRosa. López.org/online/tutorials/acrobat/eap_methods.org/getieee802/download/802.11 Wireless LAN Security. http://www. 2003. 192 p. 2003.pdf [12] Wi-Fi Protected Access: Strong.org/OpenSection/pdf/Whitepaper_Wi-Fi_Networks2-6-03. http://papi. López. http://www. http://standards. April 29.Point of Access to Providers of Information. The Institute of Electrical and Electronics Engineers. http://www.html [18] Acceso Ubicuo a Recursos de Información en Internet: El Sistema PAPI. Bruce Potter.org/OpenSection/pdf/Whitepaper_Wi-Fi_Security4-29-03. The PAPI Development Team.pdf [16] The PAPI System .pdf [15] A Detailed Description of the PAPI Protocol.rediris.pdf [10] Enterprise Solutions for Wireless LAN Security. VP. Bob Fleck. Diego R. May 26.11 Security. http://www. 2003.rediris.com/MDC_WP_052603.wifi. February 6. 2003.1X-2001. Diego R.

Un Hotspot común en un WISP tiene instalado uno o varios puntos de acceso. también se ha vuelto común el acceso a recursos restringidos de información. Tras identificar estos conceptos. El control del punto de acceso se encarga de impedir el acceso a Internet a los clientes conectados que no hayan sido previamente autenticados. o por mecanismos basados en la dirección IP origen de la petición. un gateway o control del punto de acceso y una línea de acceso a Internet. Entre los sistemas más comunes se encuentran: los Hotspot un sistema público o semi-público que dispone de conexión a Internet a través de tecnología WLAN y los Proveedores de Servicios de Internet Inalámbricos (Wireless Internet Service Provider .24 - . cafeterías. aceptando sólo aquéllas provenientes de determinados rangos. para ello se les suele mostrar una página HTML donde deben introducir su nombre de usuario y contraseña. donde gente equipada con dispositivos móviles son capaces de conectarse a Internet. surge la necesidad de un sistema que permita a usuarios inalámbricos tener acceso a recursos restringidos de información de una red .Análisis del Sistema Capítulo 2 Análisis del Sistema 1. El control de acceso a estos recursos restringidos de información se realiza por medio del uso del tradicional nombre de usuario y contraseña. como publicaciones y bibliotecas digitales. Introducción En un principio las WLAN se dirigían solamente a aplicaciones muy concretas.WISP). parques. bibliotecas y aeropuertos. convirtiéndose en una solución idónea para prácticamente todos los sectores. instalando Hotspots en lugares como hoteles. restaurantes. pero ahora se está generalizando su uso. En la Internet. Los WISP son empresas dedicadas a ofrecer conectividad inalámbrica a sus clientes.

Autenticar usuario: una vez que un usuario ha sido capturado. Controlar Acceso: una vez autenticado el usuario será necesario establecer mecanismos para garantizar una comunicación segura con el usuario. Servidor de Autenticación 3. Además. La arquitectura del sistema de acceso seguro a recursos de información para redes inalámbricas se muestra en la figura 2. Por esta razón utilizaremos el concepto de Portal Cautivo. Portal Cautivo 2. • • 2.1.Análisis del Sistema privada y al mismo tiempo acceder a la red pública o Internet.25 - . dependiendo del tipo de permiso que posean. este sistema se dividirá en tres subsistemas: 1. es decir. .1 Arquitectura del Sistema de Acceso Seguro En atención a los requerimientos de seguridad se deben definir una serie de fases que son necesarias cumplir: • Capturar Primer Pedido: debemos establecer los mecanismos necesarios para que cada vez que un nuevo usuario entre en el radio de acción de la red inalámbrica. Punto de Acceso Usuario Portal Cautivo Servidor de Autenticación Punto de Acceso Base de Datos Red Pública Figura 2. seamos capaces de limitarle el acceso a los servicios de la red. que no cuenta con un software especializado adicional para comunicarse a la red. Portal Cautivo Se considerará que el usuario no es especializado. para que pueda tener acceso a los recursos de la red es necesario que se autentique. el sistema garantizará a los usuarios una comunicación segura.

El diagrama de flujo del Portal Cautivo se muestra en la figura 2. Proporcionar una dirección IP a cada nuevo usuario que llega. hasta que el usuario no sea autenticado no se le permitirá ningún tipo de tráfico a través del punto de acceso de la red inalámbrica. .2 Flujo del Portal Cautivo Se utilizará un Portal Cautivo para controlar los accesos a la red inalámbrica. el punto de acceso actuará como el gateway. se puede resumir en dos pasos: 1.Análisis del Sistema La arquitectura del sistema de Portal Cautivo es un gateway que redirige las conexiones [1]. Cada vez que un nuevo usuario entra en la red inalámbrica es necesario capturarle para que solo pueda acceder a los servicios de la red una vez se haya autenticado a través del Servidor de Autenticación.2. es capturado. La filosofía del subsistema del Portal Cautivo para una red inalámbrica. Puesto que lo que queremos es dar acceso a una red inalámbrica. Cuando el usuario situado detrás del portal intente acceder a una página HTML. esto significa que el usuario es redirigido a una página HTML con información acerca de la red WLAN a la que está conectado.26 - . además se le suministra un formulario de acceso. Usuario abre el navegador ¿Tiene página HTML de inicio? no Usuario ingresa una URL sí Página HTML por defecto Usuario Contraseña Figura 2. Capturar la primera petición HTTP que hace el usuario. 2.

recuperar las políticas que necesite de un repositorio. reenviar la petición a otro servidor AAA.1x se habla de los servidores de autenticación en términos genéricos [3]. tras lo cual el servidor realiza el proceso de autenticación del usuario y devuelve al punto de acceso la información de configuración necesaria para que éste trate al usuario de la manera adecuada. determinar qué autorización se está pidiendo. o bien. También se debe tomar en cuenta algunas necesidades al momento de configurar el Portal Cautivo como: controlar qué usuarios han sido capturados ya. que es capturado. antes de tener acceso a los servicios de la red. contra los datos del servidor RADIUS. para ello es necesario que el usuario sea reconocido como un cliente DHCP (Dynamic Host Configuration Protocol . Como el sistema de acceso seguro a recursos de información permite la autenticación a cualquier cliente que desee conectarse a la red inalámbrica. Es precisamente cuando el usuario intenta cargar la primera página HTML en su navegador. se realizará una validación de cualquier dato introducido en el formulario de autenticación. Toda la comunicación entre el punto de acceso . Autorización y Contabilidad (Authentication Authorization and Accounting .Protocolo de Configuración Dinámica de Servidor). que tenga la interfaz WLAN configurada para que haga uso del protocolo DHCP. 3.Análisis del Sistema Cuando un nuevo usuario accede a la red interna recibe una dirección IP. manejar peticiones de autorización y realizar la contabilidad del sistema. Una vez que el usuario ha sido configurado a través del protocolo DHCP puede comenzar a navegar por la red. evaluar la petición y obtener la respuesta a la petición.AAA). Servidor de Autenticación De acuerdo con el concepto descrito en el estándar 802. Este punto de acceso mandan al servidor la información que un nuevo usuario intenta conectarse. examinar el contenido de dichas peticiones. Este marco define los elementos básicos necesarios para autenticar usuarios. En este subsistema del Servidor de Autenticación se puede utilizar el servidor RADIUS para proporcionar un mecanismo centralizado de toma de decisiones de autenticación.1x implementaremos un Servidor de Autenticación que sea quien verifique la autenticidad del usuario utilizando los datos capturados en la transmisión HTTP.27 - . Un servidor AAA debe ser capaz de recibir peticiones. RADIUS es un protocolo encuadrado dentro del marco AAA y utilizado principalmente en entornos donde los usuarios envían información a un punto de acceso a la red. Para pedir los datos del usuario se establece una comunicación segura. en la práctica se trata de elementos diseñados según los criterios del marco Autenticación. para que una vez autenticados puedan navegar sin restricciones e implementar algún mecanismo que nos permita redirigir una petición HTTP a un servidor web de nuestra red [2]. es decir. en la que se presenta al usuario un formulario donde debe introducir los datos necesarios para su autenticación. Aunque en la especificación 802. La primera petición HTTP del nuevo usuario se redirige a una página HTML donde se le informa que es necesario realizar una autenticación previa.

En la figura 2.4 y está compuesta por los siguientes módulos: • • El Módulo de Autenticación implementa los mecanismos de autenticación que pueden ser configurados por los administradores del sistema.Análisis del Sistema y el servidor RADIUS se encuentra cifrada mediante claves compartidas que nunca se transmiten por la red. .3 se muestra el diagrama de flujo del Servidor de Autenticación. proveer de forma transparente todas las claves temporales que permitirán el acceso a los servicios autorizados. Página HTML por defecto Usuario Contraseña ¿Usuario válido? sí no ¿Usuario miembro? sí sí / no Página HTML con información restringida Página HTML pública en Internet Fin de sesión Figura 2.28 - . La estructura del Servidor de Autenticación se muestra en la figura 2. utilizando la información acerca del usuario y reglas administrativas de acceso al sistema.3 Flujo del Servidor de Autenticación El propósito del Servidor de Autenticación es proveer al usuario un solo punto de autenticación y después. El Módulo Base de Datos genera una lista de las páginas HTML con información restringida que cada usuario puede acceder.

en una página HTLM con el resultado de la autenticación. El formato de cada URL será: . el cual identifica al usuario utilizando los datos recibidos y los métodos establecidos en el sistema. para acceder a la página con información restringida. 2. Cada elemento de esta lista es encriptado usando una clave privada que representa al Servidor de Autenticación. Si la autenticación es válida y dependiendo de las autorizaciones que posea el usuario.29 - . En el caso que un usuario no fue autenticado por el Servidor de Autenticación se envía un mensaje de error. se envía al navegador del usuario la información en forma de una lista de URLs para conectarse. 5 Módulo Base de Datos Base de Datos 6 4 Datos de autenticación Lista de sitios autorizados 3 Módulo de Autenticación OK / Error Interfase del Servidor 2 Datos de autenticación 1 Datos de autenticación 7 Lista de URLs Servidor Web Figura 2.Análisis del Sistema • La Interfase del Servidor de Autenticación presenta el formulario de autenticación que el usuario debe llenar y enviar al Módulo de Autenticación para ser identificado. se extrae de la base de datos la lista de las direcciones URLs a las que el usuario puede acceder. se genera la lista de URLs correspondiente a los puntos de acceso donde el usuario enviará su petición.4 y está compuesta por los siguientes pasos: 1.4 Subsistema Servidor de Autenticación La fase de autenticación se muestra en la figura 2. El usuario envía el formulario de autenticación al Servidor de Autenticación. Una vez identificado el usuario. como si fuera una firma digital [4]. Finalmente.

que son: o El código identificador del usuario. Módulo de Generación de Claves Servidor Web 1 Lista de sitios autorizados 2 Claves temporales 4 Navegador Web 3 Petición HTTP Clave temporales Clave Temporal Clave Temporal Página Web Nuevas Claves Módulo de Control de Acceso 3’ Hcook Base de Datos 5 Figura 2.30 - . Punto de Acceso El subsistema Punto de Acceso controla los accesos al conjunto de recursos de información restringida. El navegador del usuario recibirá la lista de URLs y accederá a un Punto de Acceso de la lista. El Punto de Acceso puede controlar uno o más servidores web [5].5 Subsistema Punto de Acceso La estructura del subsistema Punto de Acceso está descrita en la figura 2. o Un sello de tiempo de la URL. es la responsabilidad del administrador de este subsistema. para que la petición no sea reutilizada.Análisis del Sistema • • • La dirección del generador de claves temporales. o El tiempo de expiración de la clave temporal que será generada. El nombre del Servidor de Autenticación que verificó al usuario. La lista de parámetros encriptados con la clave privada del Servidor de Autenticación.5 y se compone de dos tipos de módulos: • Un Módulo de Generación de Claves para la fase de autenticación. 4. todo de forma transparente para el usuario. . la entrega de esta información confidencial presentada en formato HTML. en este módulo se generan y envían las claves temporales para acceder a los servicios controlados por este subsistema. 3.

El tiempo de creación. Un sello de tiempo para la última modificación • Lcook se usa en la fase de control de acceso para mejorar el desempeño. La clave temporal primaria junto a un bloque aleatorio de bits es almacenado en una base de datos de claves temporales en el Punto de Acceso [4].31 - . verifica la integridad del mensaje. ambas claves temporales son enviadas al navegador del usuario por medio de cookies HTTP. Los atributos almacenados por cada clave primaria son: o o o o o El código de usuario. La dirección que esta clave da acceso. Los formatos utilizados en este proceso son: • Hcook. estos módulos reciben las peticiones de las páginas HTML con información restringida. cuando se verifica una clave Hcook el Punto de Acceso necesita comparar el bloque aleatorio de la clave Hcook con el que tiene almacenado. Esta clave se utiliza para evitar accesos por copia de cookies. Un bloque aleatorio. La clave temporal Database es el registro de todas las claves primarias temporales válidas. que también es privada para el Punto de Acceso pero es más corta que la clave K1. El tiempo de expiración. En cada petición se controla la clave temporal específica de la página HTML a la que se quiere acceder. además verifica el sello de tiempo para asegurarse que la petición es reciente. . enviada por el navegador web del usuario. Los campos de control de acceso son: o o o o • El código de usuario. Esta clave contiene un conjunto de datos de control de acceso encriptados con otra clave simétrica K2. contiene información de control de acceso encriptada con una clave simétrica K1 que es privada para el Punto de Acceso. Un bloque aleatorio actual para esta clave. Si la verificación es válida se atiende a la petición y se envía el resultado al usuario. Si toda la verificación es correcta se generan las dos claves temporales: la clave temporal primaria Hcook y la clave temporal secundaria Lcook. para lo cual utiliza la clave privada del Servidor de Autenticación para desencriptar los parámetros encriptados. Cuando el Punto de Acceso recibe una petición de un usuario válido.Análisis del Sistema • Módulos de Control de Acceso. La dirección que esta clave da acceso. Además. Los campos de esta clave son: o o La dirección que esta clave da acceso. El tiempo de expiración.

se verifica la clave temporal primaria: • • • • • Desencripta la clave temporal primaria con K1. Cada vez que el usuario trata de acceder a una dirección controlada. Si la dirección en la cookie no es válida.32 - . Si la dirección es errónea la petición es rechazada. 3. Si la clave temporal secundaria ha expirado. la petición se rechaza. 2. Luego se genera una nueva clave temporal secundaria y se envían las dos nuevas claves al navegador del usuario junto con la respuesta a la petición.Análisis del Sistema Hcook Código del Usuario La Dirección a Controlar Tiempo de Expiración Bloque Aleatorio Lcook Código del Usuario La Dirección a Controlar Tiempo de Creación Figura 2. Si el bloque aleatorio en la clave temporal primaria es diferente al bloque aleatorio almacenado en la clave temporal Database. Con el Portal Cautivo .6 se muestra la estructura de las claves temporales. Si son correctas se responde a la petición. Esto se logra porque las claves temporales están implementadas como cookies. la clave temporal primaria es verificada. se genera una nueva clave temporal primaria. El Punto de Acceso verifica la clave temporal secundaria: • • • • Desencripta la cookie usando K2. Los pasos de la fase de Punto de Acceso son: 1.6 Estructura de Claves Temporales En la figura 2. ambos son almacenados en la clave temporal Database. Cuando expira la clave temporal secundaria se desarrolla una verificación más robusta. la petición es rechazada. Si la clave temporal primaria es correcta se genera una nueva y un nuevo bloque aleatorio. La utilización de dos claves temporales se justifica porque la clave secundaria es válida durante un periodo de tiempo corto y no requiere de una verificación compleja al reducirse los cálculos criptográficos en el Punto de Acceso [6]. la petición es rechazada. Si la clave ha expirado. Controla si la dirección y el sello de tiempo en la cookie son correctas. El propósito de este sistema es satisfacer la necesidad de los usuarios que acceden a recursos de información por medio de una red inalámbrica. se almacena en la clave temporal Database y se envía al navegador del usuario [7]. el navegador del usuario envía las claves temporales junto con la petición en forma transparente para el usuario.

es/dist/pod/PAPI-gb. Rodrigo Castro-Rojo. Diego R. con el Punto de Acceso aseguramos que solo los usuarios con autorización verificable puedan acceder a la información restringida.es/dist/pod/PAPI-gb. 2003. por último. http://papi.Análisis del Sistema tratamos de restringir los accesos no deseados o peligrosos para la seguridad de nuestra información.Point of Access to Providers of Information.es/doc/TERENA2001/ [5] A Detailed Description of the PAPI Protocol. 5. Óscar Cánovas Reverte. Rodrigo Castro-Rojo. 192 p. http://nocat. Editorial O'Reilly & Associates.rediris. con el Servidor de Autenticación tipificamos a nuestros usuarios válidos enviándoles las direcciones donde se encuentra la información restringida a la que pueden acceder.rediris.11 Wireless Networks: The Definitive Guide. XIV Jornadas de Paralelismo . NoCatAuth. Manuel Sánchez Cuenca. Diego R. septiembre 2003.rediris.33 - .es/doc/PAPI_Protocol_Detailed. 2001.pdf [6] Acceso Ubicuo a Recursos de Información en Internet: El Sistema PAPI. Matthew Gast. [3] Una Arquitectura de Control de Acceso a Redes de Área Local Inalámbricas 802. RedIRIS. The PAPI Development Team. López.Guide for Beginners. RedIRIS. 2003. http://papi. Rodrigo Castro-Rojo. http://papi. http://papi. Referencias [1] NoCat Authentication System. López.Leganes. López.net/download/NoCatAuth/ [2] 802.rediris. [4] The PAPI System .html [7] PAPI . Madrid. Diego R.11.html . RedIRIS. Toni Díaz. RedIRIS.

basados en los subsistemas definidos en el capítulo anterior.1. descrito en el análisis del sistema. Posteriormente. que se encargará de que ningún usuario tenga acceso a los servicios de la red inalámbrica sin antes pasar por un proceso de autenticación. basados en los casos de uso definidos en el escenario principal. como se muestra en la figura 3. A partir de las características de este subsistema se construirá el primer caso de uso Capturar Primer Pedido. .Diseño del Sistema Capítulo 3 Diseño del Sistema 1. esta primera etapa hace referencia al subsistema Portal Cautivo.34 - . se muestra el flujo de información dentro del sistema. Introducción En este capítulo se muestra el diseño del sistema de acceso seguro a recursos de información para redes inalámbricas. Finalmente. 2. Escenario Principal Para cumplir con las características deseadas del sistema de acceso seguro a recursos de información para redes inalámbricas. Inicialmente el usuario debe acceder a la red inalámbrica de forma controlada. Primeramente se define el escenario principal del sistema para lo cual utilizaremos los diagramas del Lenguaje Unificado de Modelado (Unified Modelling Language . este diseño es uno de los principales aportes del presente documento. se establece los diferentes estados por los cuales el sistema pasará durante su utilización. por tal razón debe pasar un reto antes de utilizar los servicios que ofrece la red local. El usuario interactuará directamente con cada uno de los casos de uso en forma independiente. describiendo las funciones de cada uno de los participantes involucrados en la ejecución del mismo. dividiremos el sistema completo en tres casos de uso.UML).

envía al usuario una clave temporal con su identificador para que el Punto de Acceso a los contenidos de información sepa quién autorizó el acceso. Controlar Acceso Internet Usuario Figura 3. sólo se aceptarán peticiones HTTP y todas las peticiones las redireccionará al URL de presentación del Servidor de Autenticación donde se pide al usuario una contraseña. además de las URLs. Sistema de Acceso Seguro 1. en forma de enlaces a sus correspondientes URLs.1 Casos de Uso del Sistema El último caso de uso Controlar Acceso tiene como objetivo que solamente los usuarios autorizados accedan a los contenidos de información. .35 - . Para controlar el acceso a los contenidos de información se utilizarán claves temporales que identificarán a cada usuario en todo momento. Si el usuario no cumple con el reto se le negará cualquier acceso a la red local. El Servidor de Autenticación enviará al usuario un reto. el usuario devolverá al servidor una respuesta al reto y si el servidor determina que el usuario ha pasado el reto le enviará las direcciones de los contenidos de información a los que tiene permiso de acceso. En la construcción del prototipo del sistema se utilizará como reto el método básico de autenticación basado en el nombre de usuario asociado a una contraseña de texto plano. El segundo caso de uso Autenticar Usuario hace referencia al subsistema Servidor de Autenticación que se ocupa de identificar al usuario.Diseño del Sistema En el primer caso de uso Capturar Primer Pedido. Las claves temporales serán enviadas al usuario como parte de la página web que solicitó el usuario en su petición HTTP. Autenticar Usuario Información Confidencial 3. este caso de uso hace referencia al subsistema Punto de Acceso. Capturar Primer Pedido Datos del Usuario 2. El Servidor de Autenticación.

haga una petición al Servidor DHCP. la dirección del Gateway y las direcciones de los DNSs. solo permitirá el tráfico HTTP y peticiones DNS. Detectar usuario El equipo móvil del usuario debe estar configurado como cliente DHCP para que una vez que tenga acceso al sistema por parte del punto de acceso de la red inalámbrica.36 - .Diseño del Sistema 3. es decir. definiremos los estados de cada uno de los tres casos de uso construidos anteriormente. independientemente de la dirección a la que esté dirigida. Esperar petición La red local contará con un Firewall que controlará en todo momento los accesos al sistema. . puesto que son independientes. éste último devuelve la configuración de red al cliente que incluye una dirección IP. Con la configuración de red el equipo móvil del usuario está en condiciones de interactuar con la red local.2 Diagrama de Estados del Caso de Uso: Capturar Primer Pedido Caso de Uso 1: Capturar Primer Pedido Estado Descripción Escuchar nuevo El punto de acceso de la red inalámbrica se encuentra en usuario sistema abierto sin cifrado. Escuchar nuevo usuario Detectar usuario Redireccionar petición Esperar petición Asignar IP Mostrar página para la autenticación Figura 3. Redireccionar petición Cuando el sistema reciba una nueva petición HTTP. Definición de Estados Para describir cómo se comporta el sistema de acceso seguro a recursos de información para redes inalámbricas. que cualquier usuario dentro del alcance de la red inalámbrica puede ingresar al sistema. Asignar IP Cuando el usuario configurado como cliente se conecta al Servidor DHCP. ésta será redireccionada hacia el Servidor de Autenticación.

Diseño del Sistema Mostrar página para la Cuando se redirecciona la nueva petición HTTP. se enviará al usuario otra página web con un mensaje de error. se enviará al usuario una página web. Basándose en estos permisos.37 - . la cual está compuesta por una bienvenida a la red inalámbrica y la petición de nombre de usuario y contraseña. para determinar si dicho usuario es válido.3 Diagrama de Estados del Caso de Uso: Autenticar Usuario Caso de Uso 2: Autenticar Usuario Estado Descripción Esperar ingreso de El Servidor de Autenticación se pondrá en un estado de espera contraseña después de enviar su página web de presentación. Autenticar usuario Cuando el Servidor de Autenticación recibe un nombre de usuario y su contraseña. el Servidor de Autenticación manejará las contraseñas de forma codificada. Tabla 3. Entonces. se cambia el autenticación URL original por el URL de la presentación del Servidor de Autenticación. que consta de una bienvenida a la red inalámbrica y una petición para que el usuario ingrese su nombre de usuario junto con su contraseña. Codificar datos del Posteriormente el Servidor de Autenticación codifica la usuario información del usuario obtenida en su base de datos utilizando su clave privada. se capturan de la base de datos del Servidor de Autenticación las URLs de los contenidos de información a los que el usuario tiene permitido el acceso.1 Estados del Caso de Uso: Capturar Primer Pedido Esperar ingreso de contraseña Autenticar usuario Mostrar URLs autorizadas Codificar datos del usuario Consultar permisos del usuario Figura 3. Consultar permisos Una vez realizada la autenticación. . compara estos datos con su base de datos. Por motivos de seguridad. se procede a determinar los del usuario permisos que posee el usuario válido. Si los datos del usuario no coinciden con los almacenados en el servidor.

2 Estados del Caso de Uso: Autenticar Usuario Comprobar datos del usuario Esperar petición HTTP Capturar página web Crear nueva clave temporal Verificar clave temporal Enviar página web Figura 3. Esperar petición El Punto de Acceso cuenta con un servidor web donde se HTTP almacenan los contenidos de información confidencial.4 Diagrama de Estados del Caso de Uso: Controlar Acceso Caso de Uso 3: Controlar Acceso Estado Descripción Comprobar datos del Cuando el navegador del usuario recibe la lista de URLs desde usuario el Servidor de Autenticación. se conecta con el Punto de Acceso de los contenidos de información de forma transparente al usuario. pero si está vencida se desencripta y verifica la clave Hcook [8]. si es correcta se procede con la petición. . que recibe desde el navegador [8]. Sin embargo. A esta información se le adiciona los datos del usuario en forma codificada.Diseño del Sistema Mostrar URLs autorizadas Finalmente. Verificar clave Cuando el Punto de Acceso recibe una petición HTTP verifica temporal si en las cookies recibidas se encuentran las claves temporales Hcook y Lcook. Si se encuentra alguna falla en el proceso de verificación se niega la petición y se envía un mensaje de error al usuario. más el identificador del Servidor de Autenticación. En primera instancia se desencripta y se verifica la clave Lcook. El Punto de Acceso utiliza la clave pública del Servidor de Autenticación para verificar la integridad de la información codificada del usuario.38 - . Si todo está correcto se crean las claves temporales Hcook y Lcook. ambas son enviadas al navegador del usuario codificadas como cookies y se almacena el cuerpo de las claves en la base de datos del Punto de Acceso. solo los usuarios autorizados y previamente autenticados podrán acceder a esta información. Tabla 3. el servidor estará activo en todo momento en espera de alguna petición HTTP. cada enlace corresponde a un contenido de información donde el usuario tiene permitido el acceso. se envía al usuario una página web con varios enlaces.

39 - . El Firewall realiza un filtrado de paquetes según las políticas de seguridad de la red local. las cuales permitirán al usuario acceder a los recursos de información. incluida: una dirección IP que utilizará el equipo móvil del usuario. Servidor que ofrece a los usuarios un punto único de autenticación. Este software utiliza las claves temporales codificadas como cookies para determinar a los usuarios con acceso autorizado. la dirección del Gateway y las direcciones de los DNSs. El Servidor de Autenticación utiliza estos datos para cumplir su función. Repositorio de los datos de los diferentes contenidos de información confidencial. Componente Usuario Punto de Acceso de la red Servidor DHCP Firewall Servidor de Autenticación Base de Datos Usuario Base de Datos URLs Punto de Acceso Descripción Persona con equipo móvil que desea utilizar alguno de los servicios de la red inalámbrica local. Programa que realiza el control de acceso efectivo para un conjunto de localizaciones web dentro del servidor HTTP. se crean nuevas claves temporales Hcook y Lcook y se almacena el cuerpo de las claves en la base de datos del Punto de Acceso. Tabla 3. el Punto de Acceso captura del servidor web la página en formato HTML solicitada en la petición HTTP. el Punto de Acceso envía al usuario la página web solicitada con las nuevas claves temporales Hcook y Lcook codificadas como cookies. dentro de esta información se encuentra sus localizaciones dentro del servidor HTTP. Servidor encargado de enviar la configuración de red al cliente. si fueron creadas. Además permite la obtención de las claves temporales de manera totalmente transparente. para los que estén autorizados. Equipo de hardware que permite la comunicación entre la red local y los equipos inalámbricos. Base de Datos Claves . Cuando las claves temporales han sido verificadas. Repositorio de datos donde se almacenan el cuerpo de las claves temporales que crea el Punto de Acceso para cada usuario autenticado. se describirán los roles o participantes involucrados en el funcionamiento del sistema. Finalmente. Dispositivo lógico que controla el acceso entre el punto de acceso de la red inalámbrica y la red local.3 Estados del Caso de Uso: Controlar Acceso 4. Cada registro de este repositorio está asociado a un contenido de información donde el usuario tiene autorizado el acceso. Repositorio de los datos confidenciales de los usuarios que incluye el nombre de usuario y la contraseña. que conforman el sistema de acceso seguro a recursos de información para redes inalámbricas.Diseño del Sistema Crear nueva clave temporal Capturar página web Enviar página web Después de desencriptar y verificar satisfactoriamente la clave Hcook. Descripción de Funciones Una vez identificados los estados de los tres casos de uso.

Redireccionamiento 7. SSID El punto de acceso de la red inalámbrica transmite periódicamente su identificador de conjunto de servicio (Service Set Identifier – SSID). Petición de IP 4. Petición HTTP 6. Este protocolo de transporte soporta la transferencia de archivos codificados con el lenguaje HTML. Servidor de Autenticación Usuario Punto de Acceso Servidor DHCP 1. SSID 2. Dirección IP 5. Petición de IP El equipo móvil del usuario envía una petición DHCP al servidor.Diseño del Sistema Servidor HTTP Programa que implementa el protocolo HTTP. Petición de acceso El equipo móvil de usuario escucha el SSID del punto de acceso de la red inalámbrica y lo retransmite para lograr una asociación. 3. Tabla 3.4 Componentes del Sistema La relación entre los componentes del sistema está definida por el flujo de información. Petición de acceso 3. Estado Asociado Escuchar nuevo usuario Detectar usuario Detectar usuario . por lo que se hace necesario describir qué datos son enviados y recibidos por cada componente en los diferentes estados del sistema. Estos archivos son almacenados en servidores dedicados.5 Diagrama de Secuencias del Caso de Uso: Capturar Primer Pedido Caso de Uso 1: Capturar Primer Pedido Flujo de Datos Descripción 1. A continuación se describirán los flujos de información para los tres casos de uso del sistema de acceso seguro a recursos de información para redes inalámbricas. 2. Petición de contraseña Figura 3.40 - .

Contraseña de El usuario envía una respuesta de usuario autenticación con su nombre de usuario y contraseña. Contraseña El Servidor de Autenticación envía una incorrecta página web al usuario. 3. Petición HTTP El usuario hace una petición HTTP con una dirección URL específica. 2. Redireccionamiento El Portal Cautivo de la red inalámbrica cambia la dirección URL de la petición HTTP recibida. Datos del usuario 4. informándole que los datos recibidos no son válidos. 7. Lista de enlaces Figura 3. Contraseña incorrecta 3’.5 Flujo de Datos del Caso de Uso: Capturar Primer Pedido Usuario Servidor de Autenticación Datos Usuario URLs 1. Datos del usuario 3. Petición de El Servidor de Autenticación envía su contraseña página web de presentación tras recibir la petición HTTP. Estado Asociado Esperar ingreso de contraseña Autenticar usuario Autenticar usuario . Dirección IP El Servidor DHCP devuelve la configuración de red al usuario. Contraseña de usuario 2. 6. Permisos 5. la dirección del Gateway y las direcciones de los servidores DNSs. que incluye una dirección IP. por la dirección URL del servidor de autenticación y la reenvía. Asignar IP Esperar petición Redireccionar petición Mostrar página para la autenticación Tabla 3. Datos del usuario El Servidor de Autenticación lee los nombres de usuario y contraseñas de su base de datos para comparar con los datos del usuario recibidos.Diseño del Sistema 4.6 Diagrama de Secuencias del Caso de Uso: Autenticar Usuario Caso de Uso 2: Autenticar Usuario Flujo de Datos Descripción 1.41 - . 5.

Firma del S A Punto de Acceso Servidor HTTP Claves 2. Página web claves temporales 8’. Claves temporales 3’. los datos del usuario codificados y su identificador. Permisos 5. El Servidor de Autenticación lee los datos de los contenidos de información donde el usuario tiene autorizado el acceso. Petición HTTP 7.6 Flujo de Datos del Caso de Uso: Autenticar Usuario Usuario 1. Lista de enlaces El Servidor de Autenticación utiliza el nombre de usuario para consultar en la base de datos de las URLs. Acceso rechazado Figura 3. Cuerpo de claves temporales 8. Acceso rechazado 4. Petición HTTP 5. Consultar permisos del usuario Consultar permisos del usuario Mostrar URLs autorizadas Tabla 3.7 Diagrama de Secuencias del Caso de Uso: Controlar Acceso . Cuerpo de 6.Diseño del Sistema 3’. Cuerpo de claves temporales 3. El Servidor de Autenticación envía una página web de enlaces que incluye: las URLs de los contenidos de información. Datos del usuario 4.42 - . los permisos del usuario.

Diseño del Sistema Caso de Uso 3: Controlar Acceso Flujo de Datos Descripción 1. Firma del Servidor El navegador del usuario envía al de Autenticación Punto de Acceso las URLs de los contenidos de información. Claves temporales El Punto de Acceso envía a la página web de enlaces. Cuerpo de claves El Punto de Acceso lee de su base de temporales datos el cuerpo de las claves temporales. para verificar la validez de las claves temporales recibidas en la petición HTTP. los datos del usuario codificados y el identificador del Servidor de Autenticación. el tiempo de expiración de las claves. 5. 4. Cuerpo de claves El Punto de Acceso almacena el temporales cuerpo de las nuevas claves temporales que se compone de: el nombre de usuario. 3’. 6. Estado Asociado Comprobar datos del usuario Comprobar datos del usuario Comprobar datos del usuario Comprobar datos del usuario Esperar petición HTTP Verificar clave temporal Capturar página web . También se envía de forma transparente al usuario las claves temporales codificadas como cookies. un bloque aleatorio y un registro de la última modificación. El objeto generalmente es una imagen característica que aparece al lado izquierdo de cada enlace. las claves temporales codificadas como cookies y un objeto para informar al usuario a qué enlaces tiene autorizado el acceso. El objeto es una imagen característica que aparece al lado izquierdo del enlace. Petición HTTP El usuario envía una petición HTTP por medio del enlace de la página web que está cargada en su navegador. 2. Petición HTTP El Punto de Acceso reenvía la petición HTTP al servidor correspondiente. 3.43 - . Acceso rechazado El Punto de Acceso envía un objeto a la página web de enlaces para informar al usuario a qué enlaces no tiene autorizado el acceso. URL donde las claves dan acceso.

Página web 8’.7 Flujo de Datos del Caso de Uso: Controlar Acceso .Diseño del Sistema 7. el tiempo de expiración de las claves. Crear nueva clave temporal Enviar página web Enviar página web Tabla 3. El Punto de Acceso envía al usuario la página web que solicitó.44 - . un bloque aleatorio y un registro de la última modificación. Cuerpo de claves temporales 8. El Punto de Acceso envía al usuario una página web informándole que no tiene autorizado el acceso al contenido de información que solicitó. junto con las claves temporales codificadas como cookies. URL donde las claves dan acceso. Acceso rechazado El Punto de Acceso almacena el cuerpo de las nuevas claves temporales que se compone de: el nombre de usuario.

1. 2. en la implementación del prototipo se utilizó un equipo de la marca 3Com con las características descritas en la tabla 4. Se tomó como punto de partida del sistema al usuario móvil con necesidad de conexión a la red local. juntamente con las características del hardware utilizado. Punto de Acceso 3Com OfficeConnect Código 3CRWE41196 Usuarios soportados Hasta 128 usuarios simultáneos .Implementación Capítulo 4 Implementación 1. el software instalado y las configuraciones lógicas que se hicieron para obtener el prototipo deseado. Primeramente se muestra el esquema de implementación que se siguió. Para finalizar. Esquema de Implementación La construcción del prototipo se basó fielmente en los componentes descritos en el diseño del sistema. Introducción En este capítulo se describe los pasos que se siguieron para instalar y configurar los diferentes componentes del sistema de acceso seguro a recursos de información para redes inalámbricas. por consiguiente el primer componente con el que interactúa este usuario es el punto de acceso de la red inalámbrica. El objetivo de esta implementación es construir un prototipo que cumpla las características propuestas en el análisis y el diseño del sistema. se muestra la información que recibe el usuario cuando el prototipo está ejecutándose en una red local.45 - . también se utilizó el flujo de información del sistema para mostrar una implementación ordenada y coherente.

IEEE 802.4835 GHz Máxima en interiores: 91 metros Máxima en exteriores: 457 metros 1 Mbps.3.5.11b 1.5 Mbps.4 .34 5. -88 dBm 2 Mbps.1 Características del Punto de Acceso de la Red Inalámbrica Por otra parte. 5. -81 dBm DSSS (Espectro Disperso de Secuencia Directa) CSMA/CA 1 .Implementación Compatibilidad con normas inalámbricas Velocidades de datos soportadas Banda de frecuencias Distancia operativa Sensibilidad en recepción Medio inalámbrico Protocolo de acceso al medio Canales operativos Alimentación Certificación Wi-Fi.20 1. y Canadá) 1 . Lenguaje de programación .2 Características del Servidor Central Los equipos anteriormente descritos conforman todo el hardware utilizado en la conexión entre la red local y la red inalámbrica.UU. servidor de páginas web. Adicionalmente y con el objeto de poner en marcha el servidor central se instaló el software descrito en la tabla 4.2. 2. Software GNU Linux Apache Perl Versión Red Hat 9 con kernel 2. 64 y 128 bits Puertos físicos Seguridad Tabla 4.11 (EE. -84 dBm 11 Mbps.13 (mundial) Suministrada usando una fuente de alimentación externa con: Tensión de entrada operativa: 10-30V Frecuencia operativa: 47-63Hz Consumo máximo de potencia: 6.4.7MB Partición raíz hda2 73. Servidor Hewlett Packard NetServer E 800 Marca del procesador Intel Pentium III Velocidad del procesador 800MHz Memoria Cache 256 KB Memoria RAM 128MB ECC SDRAM expandible hasta 2GB Disco Duro Partición boot hda1 98.46 - .0GB Dispositivos Dos conexiones Ethernet Controlador Ultra2 SCSI de dos canales Tabla 4.5W LAN: 1 Puerto 10/100 Encriptación por clave compartida WEP de 40.2.0 Descripción Sistema Operativo Servidor HTTP. el punto de acceso de la red inalámbrica se conectó a un Servidor Central de la marca Hewlett Packard con las características descritas en la tabla 4. -85 dBm 5..3.8. 11 Mbps 2.

4 del kernel.47 - .1 se muestran todos los componentes del sistema. y utilizando el hardware y software anteriormente mencionado.9.7 Software instalado en Apache que permite introducir en los ficheros HTML código desarrollado en Perl. El primer componente es un Firewall que se encarga de filtrar la información no deseada. antes que cualquier otro componente procese la información enviada a la red local a través de la red inalámbrica.1 Componentes del Sistema de Acceso Seguro a Recursos de Información para Redes Inalámbricas En la figura 4. que son parte del sistema de acceso seguro a recursos de información para redes inalámbricas: • • • • • • • Firewall Servidor de Autenticación Base de Datos del Usuario Base de Datos URLs Punto de Acceso a contenidos de información Base de Datos de Claves Servidor HTTP Base de Datos del Usuario Base de Datos de Claves Firewall Servidor de Autenticación Punto de Acceso a Contenidos de Información Servidor HTTP Figura 4. los datos pasarán por el Firewall. se implementó en el servidor central los siguientes componentes.3 Software Utilizado Tomando en cuenta el análisis y el diseño del sistema descrito en capítulos anteriores. Para lograr un filtrado óptimo se utilizó el sistema de firewall IPtables vinculado al sistema operativo Linux.29 0.Implementación ModPerl OpenSSL 1. . Conjunto de herramientas de administración y librerías relacionadas con la criptografía. el cual fue extendido a partir de la versión 2. Tabla 4.

iptables -A FORWARD -i eth1 -j DROP iptables -A FORWARD -o eth1 -j DROP # Se establece al servidor central como el gateway de la red inalámbrica. iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE echo "1" > /proc/sys/net/ipv4/ip_forward Con la implementación de estas reglas se logra que todos los paquetes desde y hacia el punto de acceso de la red inalámbrica sean administrados por el Portal Cautivo. iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -i lo -j ACCEPT # Se niega cualquier tráfico de otras redes que pase por el punto de acceso de la red inalámbrica.48 - . iptables -P INPUT DROP iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT # Se niega el acceso de toda señal proveniente del punto de acceso a través de la primera conexión ethernet del servidor central. y aceptando el tráfico de salida y hacia otras redes. iptables -A INPUT -p tcp -m tcp --dport 80 --syn -j ACCEPT iptables -A INPUT -p tcp -m tcp --dport 443 --syn -j ACCEPT # Se acepta cualquier tráfico interno del servidor central. por lo que incorpora las siguientes reglas de filtrado al servidor central: # Primeramente se borran todas las reglas anteriores de filtrado iptables -F # Se inicializa el firewall negando el acceso a todas las señales de entrada. en la segunda política el firewall se convierte en un muro infranqueable aunque es más complejo configurarlo porque se debe tener un conocimiento amplio de cómo funciona el sistema. es . o con una política donde todo está denegado y solo se permite pasar por el firewall aquellos paquetes que se indiquen explícitamente.Implementación Existen dos maneras de implementar un firewall: con una política de aceptar en principio todos los paquetes que entran y salen por el firewall y solo denegar lo que se indique explícitamente. El Firewall del sistema de acceso seguro a recursos de información para redes inalámbricas se basa en la segunda política de implementación. ya que simplemente se ocupa en proteger los puertos o direcciones específicas. La primera política facilita la gestión de un firewall. iptables -A INPUT -i eth1 -j DROP # Se acepta todo el tráfico entrante HTTP hacia el servidor central.

cuando se encuentra en el estado no autenticado toda petición que envíe a través de la red inalámbrica será redireccionada hacia el Servidor de Autenticación. Los CGIs son programas que utiliza el servidor HTTP para interactuar con el navegador web del usuario. y para implementarlo se utilizó reglas IPtables vinculado al sistema operativo Linux del servidor central. en donde se tiene cargado el programa que activa el Servidor de Autenticación. el intercambio de claves públicas y la encriptación del tráfico basado en cifrado simétrico. Al utilizar el protocolo SSL (Secure Sockets Layer) proporcionamos privacidad de la información entre el usuario y el servidor central mediante el uso de criptografía. FTP y SMTP. Una de estas soluciones que goza de más estabilidad y reputación es OpenSSL. el cual es un servidor de código abierto y para uso comercial que se emplea en la mayoría de los sitios web de Internet. que permite no sólo el uso de SSL en servidores HTTP. La versión Apache incluida en Red Hat Linux ofrece la posibilidad de configurar servidores HTTP seguros con la eficaz función de cifrado SSL de los paquetes mod_ssl y OpenSSL. Para implementar el Servidor de Autenticación y el Punto de Acceso a los contenidos de información.Implementación decir.129/cgi-bin/AuthServer. la clave privada del Servidor de Autenticación y la clave pública asociada. las cuales fueron configuradas para reenviar todas las primeras peticiones HTTP de los usuarios a la dirección: http://148. Con objeto de ajustar el Servidor de Autenticación a las necesidades del prototipo se propone la siguiente configuración: # Se elige una autenticación basada en nombre de usuario y contraseña. Para implementar el componente Servidor HTTP se utilizó el software Apache. El usuario únicamente puede estar en dos estados: no autenticado o autenticado. se utilizó el software de código abierto PAPI en su versión 1.4. El Servidor de Autenticación está conformado por un directorio de trabajo que contiene los documentos con formato HTML que verá el usuario cuando se autentifique. Adicionalmente se tienen un archivo ejecutable y un archivo de configuración que deberán estar almacenados en el directorio de los CGIs del servidor HTTP. el cual está desarrollado en el lenguaje de programación Perl. SSL supone una serie de fases básicas: negociar entre las partes el algoritmo que se usará en la comunicación. El siguiente componente del sistema es el Portal Cautivo. .49 - .204. La comunidad Linux en su constante interés por ofrecer los servicios de cualquier solución comercial en el campo de las redes de forma gratuita. creó distintas soluciones para implementar el protocolo SSL. sino que añade esta funcionalidad a diversos protocolos como el POP. El cifrado simétrico es aquel método criptográfico que emplea una misma clave para cifrar y para descifrar los mensajes. my $authType = "basic". entre otros. use PAPI::BasicAuth. que todo el tráfico HTTP nuevo sea redireccionado hacia el Servidor de Autenticación.31.

los cuales están localizadas en el directorio de trabajo del servidor de autenticación. $$cfg{workingDirectory} = '/var/www/cgi-bin/etc'.html"). La dirección donde se almacenará los datos confidenciales que controla el Punto de Acceso a contenidos de información. # Se define la localización donde se almacenarán las cookies y el periodo de tiempo en el cual una cookie será validada después de generarse.html").50 - .Implementación # Se define el directorio de trabajo del servidor de autenticación. $$cfg{defService}= 'mitpoa'. $$cfg{authCookieDB} = '/var/www/cgi-bin/etc/PAPIAuthenCookies'. $$cfg{basicAuthDB} = "Basic. $$cfg{publicKey} = 'pubkey. $$cfg{defLocation} = '/'.pem'.129/local'. el identificador. .pdb".html"). $$cfg{testTemplate} = fromFile("test. $$cfg{defLocation}.129/cgi-bin/AuthServer'.31. $$cfg{privateKey} = 'privkey. # Se define la localización.pem'.html"). Los valores definidos como características del Punto de Acceso a contenidos de información predeterminado serán utilizados por el Servidor de Autenticación para acceder a los datos confidenciales protegidos. Para almacenar estas características se definen las siguientes variables: $$cfg{defTimeToLive}. $$cfg{defAuthURI} = '/papi/cookie. El tiempo que esperará el Servidor de Autenticación la respuesta del Punto de Acceso a contenidos de información. $$cfg{serverID} = 'SAuno'.cgi'. # Se definen los documentos con formato HTML que se mostrarán al usuario. $$cfg{asLocation} = 'http://148. $$cfg{acceptTemplate} = fromFile("accept. $$cfg{loginTemplate} = fromFile("login.204.html"). $$cfg{logoutTemplate} = fromFile("logout. $$cfg{defPoA} = 'http://148.204.31. # Se define el fichero donde se almacenarán los datos de los usuarios necesarios en el proceso de autenticación. $$cfg{defTimeToLive} = 1800. # Se definen las características del punto de acceso a contenidos de información predeterminado. la clave privada de codificación y la clave pública de codificación del servidor de autenticación. $$cfg{authCookieTimeToLive} = 3600. $$cfg{rejectTemplate} = fromFile("reject. $$cfg{defDescription} = 'LOCAL MIT'.

extramit user::user2::papAq5PwY/QQM::Prueba2::group1::localmit #Grupos #grupo::ID:: lista de URLs group::group1::group01::localmit #Sitios #sitio::ID::descripción::URL::punto de acceso::TTL::servicio::localización site::localmit::LOCALMIT::http://148.html site::extramit::EXTRASMIT::http://148. El método de acceso y el nombre de dominio para el Punto de Acceso a contenidos de información.31. $$cfg{defAuthURI}. $$cfg{defPoA}. En este archivo se encuentran los nombres de usuario. Es una dirección que no corresponde a un documento HTML o a un CGI real.129/local::/papi/cookie.pdb con el uso del siguiente comando: . se construyó la Base de Datos codificada con la información de los usuarios en el archivo binario Basic.Implementación $$cfg{defService}. $$cfg{defDescription}. A continuación se muestra la información que forma parte de la Base de Datos del Usuario: #Usuarios #usuario::ID::contraseña::ID alternativo::grupo::lista de URLs user::user1::papAq5PwY/QQM::Prueba1::group1::localmit. las contraseñas codificadas.pem openssl rsa –in privkey. El identificador de servicio que utilizará el Punto de Acceso a contenidos de información para identificarse en la Base de Datos del Usuario.204.31.pem Posteriormente.129/extra::/papi/cookie.204.html Esta información de los usuarios deberá ser almacenada en un archivo simple de autenticación y autorización Basic.51 - . esta dirección se utiliza como credencial cuando el usuario accede por primera vez al Punto de Acceso a contenidos de información.src. Para obtener la clave privada y la clave pública del Servidor de Autentificación se puede utilizar los siguientes comandos: Clave Privada: Clave Pública: openssl genrsa 1024 > privkey. el grupo al que pertenece cada usuario y las URLs a las que tienen permitido el acceso. También aparecen en este archivo las características del Punto de Acceso a contenidos de información que controlan los datos confidenciales.cgi::1800: :defaul::/::index. Una descripción de los datos que controla el Punto de Acceso a contenidos de información. localizado en el directorio de trabajo del Servidor de Autenticación. para luego ser codificada y almacenada en el archivo binario Basic.pdb.cgi::1800:: mitpoa::/::index.pem –pubout –out pubkey.

129 </PAPI_Main> # Se crea un alias para el directorio que contiene los datos confidenciales dentro del Servidor HTTP y se habilita este directorio para responder a peticiones de información. PerlModule PAPI::Conf # Se definen las características predeterminadas del Punto de Acceso a contenidos de información.204. Domain 148.deny Allow from all . y se implementa añadiendo al archivo de configuración del Servidor HTTP Apache las siguientes líneas de código: # Mediante el software mod_perl se carga el programa principal del Punto de Acceso a contenidos de información.52 - .cgi # Se define las imágenes que avisarán al usuario cuándo tiene permitido el acceso a la información confidencial y cuándo no. HKEY_File /papi/PoA/hkey LKEY_File /papi/PoA/lkey Hcook_DB /papi/PoA/hcookdb Lcook_Timeout 1800 # Se define la dirección virtual que se utiliza como credencial cuando el usuario accede por primera vez al Punto de Acceso a contenidos de información. Auth_Location /papi/cookie. Alias /local/ "/papi/prueba1/" <Directory "/papi/prueba1"> Options Indexes FollowSymLinks MultiViews AllowOverride None Order allow. <PAPI_Main> # Se define la ubicación de las claves temporales del Punto de Acceso a contenidos de información.pdb El Punto de Acceso a contenidos de información es el último componente con el que interactúa el usuario. Hcook y Lcook. Pubkeys_Path /papi/PoA/ # Se define el nombre de dominio del Servidor HTTP. Accept_File /papi/PoA/puerta.gif Reject_File /papi/PoA/candado.Implementación Pdimport –n -s Basic. y por consiguiente del Punto de Acceso a contenidos de información.src Basic.gif # Se define la clave pública de codificación del Servidor de Autenticación.31.

204. PAPI_AS SAuno http://148.deny Allow from all </Directory> <Location /extra> PerlSendHeader On PerlAccessHandler PAPI::Main <PAPI_Local> Service_ID defaul </PAPI_Local> </Location> . Service_ID mitpoa # Se definen las características del Servidor de Autenticación confiable.31. <Location /local> PerlSendHeader On # Se habilitan las características predeterminadas del Punto de Acceso a contenidos de información.Implementación </Directory> # Se habilita el Punto de Acceso a contenidos de información confidencial para rechazar peticiones no autorizadas. su localización y su identificador. Alias /extra/ "/papi/prueba2/" <Directory "/papi/prueba2"> Options Indexes FollowSymLinks MultiViews AllowOverride None Order allow. <PAPI_Local> # Se define el identificador de servicio que utilizará el Punto de Acceso a contenidos de información para identificarse en la Base de Datos del Usuario. PerlAccessHandler PAPI::Main # Se definen las características locales del Punto de Acceso a contenidos de información específicos.129/cgi-bin/AuthServer SAuno </PAPI_Local> </Location> # De la misma forma que se configuró para el primer contenido de información se define para el segundo. es decir.53 - .

Implementación Es importante destacar que el nombre de dominio es el mismo para el Servidor de Autenticación. Otra característica fundamental que ofrece el sistema es su transparencia frente al usuario. El usuario no advierte en su totalidad este flujo de información.2 se muestra el diagrama de red después de implementar el prototipo del sistema de acceso seguro a recursos de información para redes inalámbricas 802. 3.11.3: . Cuando el usuario abra su navegador HTTP le aparecerá automáticamente la ventana de presentación del Servidor de Autenticación que se muestra en la figura 4.11b y habilitar su configuración de red como cliente DHCP. Figura 4. es decir. esta característica diferencia al sistema propuesto con otros sistemas de seguridad similares. Resultados El sistema diseñado en el presente trabajo proporciona acceso seguro a recursos de información confidencial a través de una red inalámbrica 802. comienza el intercambio de información entre los componentes del sistema de acceso seguro a recursos de información para redes inalámbricas.2 Diagrama de Red El usuario que pretenda conectarse al prototipo propuesto simplemente debe cumplir con los siguientes requisitos mínimos: tener un equipo móvil con tarjeta de red inalámbrica compatible con el estándar 802.11. debido a que todos están instalados en el mismo equipo. el Servidor HTTP y el Punto de Acceso a contenidos de información. que no percibe el envió de datos codificados entre el sistema y su navegador HTTP de su equipo móvil. El nombre de dominio que se utilizó en la implementación del prototipo es una dirección IP que pertenece a la red local cableada. En la figura 4. Una vez que el usuario intente conectase al punto de acceso de la red inalámbrica.54 - .

Si la autenticación es correcta le aparecerá la ventana que se muestra en la figura 4.4 Ventana con Enlaces Autorizados .3 Ventana de Presentación El usuario tendrá que ingresar su Username y su Password para poder acceder a la información de la red local.4.Implementación Figura 4.55 - . Figura 4.

7 se muestra la ventana que se envía como resultado de esta opción. Además. la primera de ellas evalúa las cookies almacenadas por el navegador web y envía una nueva ventana con la lista de enlaces a los que el usuario tiene permitido el acceso y si estos enlaces están habilitados. también se le muestra los enlaces a los que tiene autorizado el acceso. esta ventana se muestra en la figura 4.4 se informa al usuario que ha sido identificado correctamente por el Servidor de Autenticación. Es importante reiterar que el usuario solamente utiliza su navegador web para ingresar a la información confidencial. Desde el ingreso de su contraseña hasta que le aparece la información deseada. el .56 - . Figura 4. todos los procesos que realiza el sistema de acceso seguro a recursos de información para redes inalámbricas son transparentes para él.6. En la figura 4. el punto de acceso al contenido de información avisa al usuario si los enlaces están habilitados. Después de ser autenticado el usuario podrá acceder a la red de Internet de forma normal y a los contenidos de información confidencial habilitados haciendo uso de su enlace correspondiente. Al elegir la opción salir se borra todas las cookies almacenadas por el navegador del usuario. mediante una imagen característica que se muestra al lado izquierdo de cada enlace.5 Ventana con Autenticación Rechazada En la ventana de presentación aparecen dos opciones auxiliares: Test y Salir. según la base de datos del Servidor de Autenticación. el usuario recibirá la ventana que se muestra en la figura 4. Si la autenticación falla.5.Implementación En la ventana de la figura 4.

7 Respuesta a la Opción Salir .Implementación usuario no se percata de la codificación y verificación de claves o de la generación e intercambio de cookies. Figura 4.6 Respuesta a la Opción Test Figura 4.57 - .

sin hacer pública su información personal. se describió el funcionamiento del nuevo estándar 802.Conclusiones Conclusiones Las redes inalámbricas comenzaron como una ventaja competitiva en el ámbito empresarial. por tanto no conviene tratarlas como tales y más aún cuando hay información confidencial involucrada. logrando una independencia entre sus tres subsistemas: o El Portal Cautivo ofrece al usuario un mecanismo de acceso seguro. bibliotecas.11i que está siendo implementado por los fabricantes en sus nuevos productos. . En este trabajo se diseñó un sistema de acceso seguro a recursos de información para redes inalámbricas 802. donde se mostró las debilidades de los algoritmos WEP y WAP. Pero. centralizado y completamente transparente. las redes inalámbricas actualmente no son totalmente seguras.11. Existen muchos trabajos de investigación para aumentar la seguridad de las redes inalámbricas. El Punto de Acceso protege los contenidos de información para que únicamente los usuarios previamente autenticados puedan acceder.1x y AES. para lograrlo utiliza claves temporales. Se realizó un análisis del sistema propuesto. A pesar de su rápido desarrollo.1x y proteger la información personal del usuario al cifrarla. Además.11i haciendo énfasis en los métodos que utiliza para proveer seguridad. estos diagramas proporcionan una sencilla interpretación del funcionamiento del sistema propuesto. uno de los más recientes es el estándar 802.11. actualmente están cada vez más presentes en nuestra vida diaria. ya sea en empresas. domicilios particulares.58 - . el cual permite a un usuario móvil ingresar a contenidos de información confidencial a través de un punto de acceso. mientras este estándar sea aceptado por los consumidores o exista la necesidad de mantener el hardware de redes inalámbricas ya existente se deberán considerar algunas precauciones de seguridad extras al momento de diseñar una red inalámbrica. El Servidor de Autenticación cumple con la estructura del estándar 802. Para lograr los objetivos planteados se realizaron los siguientes pasos: • Se evaluó la seguridad en redes inalámbricas 802. entre ellos los estándares 802. • o o • Se utilizó los diagramas UML para desarrollar el diseño del sistema. restaurantes o aeropuertos.

59 - . Procedimientos transparentes. de manera que no se requiere de una capacitación adicional para la utilización del sistema. Flexibilidad. a Internet o a ambos. En el análisis y el diseño del sistema se consideraron las recomendaciones del estándar IEEE 802. La arquitectura del sistema está diseñada para garantizar la independencia entre los tres subsistemas. para lo cual se utilizó únicamente software libre. Fácil implementación. la única herramienta que utilizará para lograrlo será su navegador web preferido. Compatibilidad. Para proporcionar accesos seguros. Después de autenticar a un usuario el sistema propuesto determinará sus permisos utilizando su base de datos.11. ofrece las siguientes ventajas: Estandarización. Cada usuario tendrá un perfil único. El usuario móvil simplemente debe autenticarse con el sistema para acceder a la información confidencial. dependiendo de su perfil de usuario. Utilización de Software Libre. es decir.Conclusiones • Se construyó un prototipo basado en el análisis y el diseño del sistema propuesto. El administrador de una red inalámbrica que implemente el sistema propuesto tendrá la opción de emplear esquemas de autenticación propios. Los requisitos necesarios para implementar el sistema de acceso seguro a recursos de información para redes inalámbricas son mínimos. En ningún momento el usuario necesita instalar programas específicos. podrá acceder a determinados contenidos de información restringida dentro de la red local. Esta ventaja ofrece a los administradores de la red inalámbrica la posibilidad de realizar cambios según las políticas de seguridad o los requerimientos de la red.11i y los artículos que pusieron en evidencia la vulnerabilidad de sus predecesores. Luego de implementar el prototipo se determinó que el sistema de acceso seguro a recursos de información para redes inalámbricas 802. según sus políticas de seguridad. Este aspecto ayuda a realizar modificaciones y actualizaciones a cada subsistema sin afectar el funcionamiento de los demás. el sistema propuesto utiliza procedimientos completamente transparentes a los usuarios. mediante la dirección IP o la MAC de su tarjeta de red. realizar configuraciones complicadas o informar la identidad de su equipo móvil. Independencia entre subsistemas. Se deberá tener conocimientos de programación y del funcionamiento del sistema para realizar cambios en el código fuente del software utilizado. solo se necesita el hardware para la puesta en marcha de una red inalámbrica y la obtención del Software Libre. . El sistema propuesto ofrece compatibilidad con cualquier otro procedimiento adicional de seguridad. es decir. que puede trabajar en forma paralela con otros sistemas de control de acceso.

1x. .Conclusiones Recomendaciones Por definición. es decir.60 - . Definir procedimientos de contingencia a posibles ataques con el propósito de no interrumpir el servicio a los usuarios. • • • • Además de considerar estas actividades se debe consultar permanentemente las recomendaciones publicadas por el IEEE sobre el estándar 802. Limitar el área de trabajo mediante la adecuada colocación del punto de acceso de la red inalámbrica. basadas en los tipos de usuarios que recibirá y los servicios que proporcionará. Las políticas de filtrado del firewall deberán adecuarse a las políticas de seguridad de la red. las redes inalámbricas tienen un problema de seguridad inherente porque su medio físico es común. Monitorear de forma periódica el tráfico de entrada y salida en los puntos de acceso de la red inalámbrica. Construir un firewall entre el punto de acceso de la red inalámbrica y la red local cableada.11 y los trabajos de investigación relacionados. Instalar un servidor de autenticación de usuarios basado en el estándar 802. Identificar y proteger con mecanismos de acceso seguro. la información clasificada en las políticas de seguridad como importante o confidencial. en cada punto de acceso de la red inalámbrica. que todos los datos transmitidos son accesibles para todo el mundo. por tanto siempre existe la posibilidad de sufrir ataques que técnicamente son sencillos de realizar. Al momento de implementar una red inalámbrica que brinde el acceso a información confidencial. se debe considerar la realización de las siguientes tareas: • • • Definir e implementar políticas de seguridad para la red inalámbrica.

Conclusiones Sugerencias Para Trabajos Futuros Es importante señalar que el prototipo implementado cumple con las características del sistema de acceso seguro a recursos de información para redes inalámbricas 802.11. Con el objeto de ampliar la funcionalidad del sistema se propone considerar los siguientes desarrollos: • Implementar otro tipo de mecanismos de autenticación. Realizar pruebas de descentralización del sistema para optimizar el desempeño del sistema en ambientes más complejos y de mayor tráfico. Se deberá seleccionar el mecanismo más apropiado para trabajar sobre un ambiente de redes inalámbricas.16.61 - . para equilibrar el tráfico de los usuarios basado en sus privilegios y limitar el tráfico restante.11. . • • • Para medir la aceptación en los usuarios y la flexibilidad del sistema. como por ejemplo. al nuevo estándar emergente IEEE 802. la utilización de certificados digitales. Migrar el sistema de acceso seguro a recursos de información para redes inalámbricas del tipo 802. Adicionar calidad de servicio al sistema de acceso seguro a recursos de información. también se sugiere implementarlo en redes inalámbricas que ya tengan tiempo funcionando y que utilicen otros mecanismos de seguridad.

es/dist/pod/PAPI-gb.pdf IEEE Standard for Local and Metropolitan Area Networks—Port-Based Network Access Control. http://papi. Matthew Gast.11 Wireless Networks: The Definitive Guide.org/getieee802/download/802.1X-2001.es/dist/pod/PAPI-gb.rediris.rediris. December 2002. 2001. http://papi. NoCatAuth. IEEE Std 802. RedIRIS.wi-fi. 802.rediris.Bibliografía Bibliografía 802. Web ProForum Tutorials.org/OpenSection/pdf/Whitepaper_Wi-Fi_Enterprise2-6-03. Wi-Fi Alliance. The PAPI Development Team. RedIRIS.11 Wireless LAN Security. Editorial O'Reilly & Associates. López. February 6. 2003. Editorial O'Reilly & Associates. RedIRIS. Bob Fleck.pdf NoCat Authentication System.11 Security. 192 p. http://nocat. The Institute of Electrical and Electronics Engineers. The International Engineering Consortium.62 - .html A Detailed Description of the PAPI Protocol.ieee. López. Toni Díaz.iec. http://papi.es/doc/PAPI_Protocol_Detailed. http://standards. Acceso Ubicuo a Recursos de Información en Internet: El Sistema PAPI. 2003.Guide for Beginners. Rodrigo Castro-Rojo. 192 p.1X-2001.net/download/NoCatAuth/ PAPI .html .pdf EAP Methods for 802. http://www. Approved 14 June 2001 IEEE-SA Standards Board and Approved 25 October 2001American National Standards Institute.org/online/tutorials/acrobat/eap_methods. http://www. Rodrigo Castro-Rojo. Diego R. Diego R.pdf Enterprise Solutions for Wireless LAN Security. Bruce Potter.

April 29. May 26. 451 p. 20 August 1999. López. Manuel Sánchez Cuenca. Editorial McGraw-Hill.ieee. 15 julio 2004.wifi.11.php3?id_article=127 Real 802. Wi-Fi Alliance. Engineering.wi-fi. septiembre 2003 Wi-Fi Protected Access: Strong. Editorial Addison-Wesley.Bibliografía Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) SpecificationsANSI/IEEE Std 802. Francisco García López. VP.11-1999.org/OpenSection/pdf/Whitepaper_WiFi_Networks2-6-03. August 2003. http://www. GSEC Practical v1. Seguridad en Redes Inalámbricas.org/getieee802/download/802.es/doc/TERENA-2001/ Una Arquitectura de Control de Acceso a Redes de Área Local Inalámbricas 802. Rodrigo CastroRojo.pdf Seguridad en WiFi. 2003.sans.mtghouse.Leganes. http://www.4b. Diciembre 2003. www. http://www.com/MDC_WP_052603. Incubus.com. The Evolution of Wireless Security in 802. http://papi. Madrid. interoperable security for today’s Wi-Fi networks. February 6.11 Standards.coitt. May 20. 2003. 268 p.pdf WPA. Meetinghouse Whitepaper. The Institute of Electrical and Electronics Engineers. 1999 Edition. Óscar Cánovas Reverte. Miller. standards-based.11 Networks: WEP.11i. http://www. Consultor y Formador en TI edubis.org/OpenSection/pdf/Whitepaper_Wi-Fi_Security4-29-03.11 Security: Wi-Fi Protected Access and 802. XIV Jornadas de Paralelismo . Diego R. Stewart S.pdf WPA: A Key Step Forward in Enterpriser-class Wireless LAN (WLAN) Security. 2003.rediris. 2003. RedIRIS.11. Jon Edney.63 - . William A.es/antena/pdf/154/06c_Reportaje_Seguridad.Point of Access to Providers of Information. Jon A.org/rr/papers/68/1109. Stanley Wong.net/article.pdf . WPA and 802. Arbaugh. http://suburbia. Securing Wi-Fi Wireless Networks with Today’s Technologies. 2003. Wi-Fi Alliance.pdf Pescando Sin Sedal Wardriving. LaRosa.sindominio. http://standards.pdf The PAPI System . 2004. Ingeniero Técnico de Telecomunicación.

11i. 192. El diseño del algoritmo se basa en un conocido y respetado algoritmo llamado SQUARE. su nombre impronunciable proviene de la concatenación de los nombres de sus diseñadores Vincent Rijmen y Joan Daemen. NIST explicó que los criterios para escoger el algoritmo ganador serían: seguridad. La versión de AES con una clave de 128 bits puede ser implementada en el estándar 802.64 - . velocidad y sencillez del diseño. de los cuales se eligió el algoritmo Rijndael de Bélgica. . o 256 bits y usa claves simétricas también de 128.Estándar de Encriptación Avanzado). ShiftRow o corrimiento de renglones. porque su longitud es suficiente para proporcionar seguridad y requiere menos tiempo de procesamiento que una clave más larga. Los participantes de esta contienda tenían que escribir un código en los lenguajes de programación ANSI-C y Java. MixColumn o mezcla de columnas. todo participante oficial en el concurso debía garantizar que si ganase renunciaría a todo derecho de propiedad intelectual sobre su algoritmo. Como plataforma se especificó el procesador Pentium de Intel de 32 bits y procesadores de 8 bits que se utilizan en tarjetas inteligentes. 192 o 256 bits. Además. El algoritmo consiste en iteraciones que se componen de 4 transformaciones que se denominan: • • • • ByteSub o substitución de bytes. El nuevo algoritmo AES cifra bloques de 128. NIST aceptó 15 candidatos oficiales. AddRoundKey o suma de subclave.Apéndice A Apéndice A Estándar de Encriptación Avanzado El Instituto Nacional de Estándares y Tecnología (National Institute of Standards and Technology – NIST) organizó una competencia internacional para definir el algoritmo AES (Advanced Encryption Standard .

concretamente la longitud de W[m] es [Nb*(Nr+1)].65 - . En la versión de AES con una clave de 128 bits. tenemos: W[i] = W[i-Nk] xor W[i-1] Donde: Nk = 4. donde Nb es el número de columnas de B[i. donde cada bloque de 4 palabras constituye una subclave.W[2] y W[3]. es decir. con este bloque se forma una matriz cuadrada B[ji] llamada state array de la siguiente forma: Sean el bloque de entrada los 16 bytes: B[00]B[10]B[20]B[30]B[01]B[11]B[21]B[31]B[02]B[12]B[22]B[32]B[03]B[13]B[23]B[33] La matriz mapeada queda como: B[00] B[01] B[02] B[03] B[10] B[11] B[12] B[13] B[20] B[21] B[22] B[23] B[30] B[31] B[32] B[33] Antes de iniciar el cifrado se debe realizar la derivación de las subclaves K[r]. que la longitud de W será [4*(10+1)] = 44 palabras de 32 bits cada una. que se obtiene de un proceso de extensión de la clave original K. se tiene Nb = 4. posteriormente se realiza un número r de rondas que pueden ser 10.Apéndice A Para iniciar el algoritmo se realiza la transformación AddRoundKey..j] y Nr el número de rondas. ShiftRow y AddRoundKey. tenemos: W[i] = W[i-Nk] xor temp W[4] W[5] W[6] W[7] W[8] . Las primeras r-1 rondas consisten de las 4 transformaciones y la última ronda consiste solo de ByteSub. Para la versión de AES con una clave de 128 bits. Como una forma de almacenamiento se utilizan los arreglos W[m] que tienen una longitud que depende tanto de la longitud del bloque de entrada y del número de rondas. Nr = 10..W[1]. Las subclaves posteriores se derivan de la primera y la regla de obtención se describe a continuación: = W[0] xor temp = W[1] xor W[4] = W[2] xor W[5] = W[3] xor W[6] = W[4] xor temp . quedando así llenos W[0]. Cuando i mod Nk = 0. La primera subclave se denota como K[0] y es la copia de la clave original. W[43] = W[39] xor W[42] W[44] = W[40] xor temp Cuando i mod Nk <> 0. la entrada del algoritmo también es un bloque de 128 bits o 16 bytes.12 o 14 dependiendo de la longitud del bloque y de la clave.

A continuación se realiza MixColumn o mezcla de columnas. que es copia de la clave original. la fila 3 se recorre 2 bytes y la fila 4 se recorre 3 bytes.i] y K[r][j. El resultado se almacena en la misma matriz B[j.i] XOR K[0][j.. 00. Para finalizar la ronda se aplica la transformación AddRoundKey o suma de subclave. la fila 2 se recorre 1 byte.. La primera operación asocia el inverso multiplicativo de cada elemento B[j.i]^-1 y salen los bits y7.i]. donde se substituye byte por byte de la matriz de entrada B[j.i] y la subclave K[0][j.i] = B[j.i] Esta transformación solo implica un XOR entrada por entrada de las matrices B[j. Luego se aplica la transformación ShiftRow o corrimiento de renglones.y0 que es el [j. es decir en las filas de B[j.. 00.66 - . Una vez calculadas las subclaves K[r] se inicia el proceso de cifrado con la transformación AddRoundKey o suma de subclave: B[j. el cero se asocia al cero. con RC[1] = 1 y RC[i] = X*RC[i-1] = X^(i-1). esta transformación se aplica a las columnas de B[j.i] y se obtiene como resultado de multiplicar cada columna vista como un polinomio de GF(2^8)[x] por un polinomio fijo c(x).i] simplemente se efectúa un corrimiento de bytes.i]) que es el resultado de la transformación ByteSub.x0 de a[j. En el proceso de descifrado se aplican las transformaciones inversas que en general no tienen grandes cambios. visto como un elemento de GF(2^8). [0] a[j. 00). .i]..Apéndice A Donde: temp = ByteSub [S(1)(W[i-1])] xor rcon[r] ByteSub se aplica a W[i-1] con un byte recorrido y rcon[i] está definido como rcon[i]=(RC[i]..i].i] elemento de ByteSub(a[j. que es un simple XOR byte por byte de las matrices B[j.i]^-1 = [0] La segunda operación aplica una transformación lineal de GF(2^8) en GF(2^8) que tiene la forma ilustrada entran los bits x7.. Para concluir el cifrado se deben realizar las 10 rondas estipuladas con sus respectivas transformaciones. Posteriormente se inicia la primera ronda con la transformación ByteSub o substitución de bytes.i] por el resultado de dos operaciones.i] en GF(2^8) representado con una base polinomial usando el polinomio irreducible f(x)=x^8+x^4+x^3+x+1. La fila 1 no se recorre.

. Por otro lado. sus autores también tenían la libertad de tomar prestadas a su vez estas modificaciones. Además. sin restricciones. Luego las empresas pedían prestadas esas modificaciones para incorporarlas en versiones actualizadas para el mercado comercial. Durante los años 80. Los programadores en la década de los 70 podían tomar prestadas copias de software para poder modificar el código fuente del programa. se pensaba que el software tendería de volverse de conocimiento público. El compromiso de mantener en secreto el software durante sus primeras etapas de desarrollo les permitía trabajar en los mejores proyectos. Las empresas tenían la política de donar sus máquinas y programas de software a los laboratorios y universidades. en aquél entonces no existían las leyes de copyright que controlaran y penaran por modificar un programa. como la mayoría de los acuerdos de privacidad tenía fecha de expiración. También publicaban el código fuente en archivos legibles para que cualquier programador pudiera leer y mejorar los programas. sin privar a sus autores del uso del programa original. debido a que el código fuente se encontraba disponible junto con el programa. Richard Stallman es considerado el creador del movimiento del Software Libre y empezó a trabajar en los laboratorios informáticos del MIT en la década de los 70. programadores del MIT abandonaron el Laboratorio de Inteligencia Artificial y firmaron acuerdos comerciales con diversas empresas.67 - . Si un programador al pedir prestado el código fuente introducía mejoras al programa. Los programadores de aquella época podían examinar los programas y modificarlos.Apéndice B Apéndice B Software Libre El movimiento de Software Libre tuvo sus orígenes en el Instituto de Tecnología de Massachussets (MIT).

Esta postura indujo a Richard Stallman a crear la Fundación del Software Libre (Free Software Foundation . a cualquiera y en cualquier lugar. La libertad de distribuir copias. El sistema GNU fue diseñado para ser totalmente compatible con UNIX. Libertad 2. Por ello el término ha ocasionado confusiones dándose a entender equivocadamente que el software libre es gratuito. El acceso al código fuente es un requisito previo para esto. El concepto de Software Libre se refiere a la libertad de los usuarios para ejecutar. El software libre permite al usuario el ejercicio de las siguientes cuatro libertades básicas: Libertad 0. distribuir. permitiendo que un mismo software sea desarrollado en distintas partes del mundo. Los usuarios tienen la posibilidad y la libertad de distribuir copias. con o sin modificaciones. El ser libre de hacer esto significa que no es necesario pedir o pagar permisos por las acciones antes detalladas. con cualquier propósito. UNIX es un sistema operativo propietario técnicamente estable. El acceso al código fuente es una condición previa para esto. Libertad 3.68 - . GNU es un acrónimo recursivo que significa "GNU No es UNIX". La libertad de mejorar el programa y hacer públicas las mejoras a los demás.Apéndice B Stallman rechazó las propuestas laborales que incluían acuerdos de mantener en secreto el software porque consideraba que en esos tipos de contratos no se respetaba la libertad de los programadores para compartir los códigos fuentes de los programas que ellos escribían. estudiar. El vocablo free en inglés posee dos significados: gratis y libre. cambiar y mejorar el software. de forma gratuita o cobrando una cantidad de dinero por la distribución. Para asegurar que el software GNU permaneciera libre el proyecto debía ser liberado bajo una licencia diseñada para garantizar esos derechos y a la vez que evitase restricciones posteriores de los mismos. Libertad 1. La libertad de usar el programa. Un programa es Software Libre sólo si permite todas estas libertades. este hecho permite a los profesionales de la informática y a los desarrolladores de sistemas un libre intercambio de información e investigación sobre cómo funcionan los programas. La libertad de estudiar cómo funciona el programa y adaptarlo a las necesidades del usuario. Se puede compartir conocimiento y experiencias con este tipo de software. también se puede trabajar en proyectos remotamente. El usuario al poseer el código fuente podrá modificar los programas adquiridos. copiar. De acuerdo a la licencia que poseen y según la Fundación del Software Libre. de modo que toda la comunidad se beneficie.FSF) y el Proyecto GNU con el objetivo de crear un sistema operativo completo totalmente libre. los tipos de software libre se clasifican en: .

debe ser Software Libre. El Software Libre no protegido por copyleft tiene la autorización para que cualquier persona lo pueda redistribuir y modificar así como añadirle restricciones adicionales. El software con licencia Open Source podría traducirse como código fuente abierto. El software protegido con copyleft es aquél Software Libre cuyos términos de distribución no permiten a los redistribuidores agregar ninguna restricción adicional cuando éstos redistribuyen o modifican el software. aún si ha sido modificado el código fuente. es decir. Con muchos programadores a la vez escrutando el mismo trabajo. los desarrolladores pueden modificar los programas de acuerdo a sus necesidades. los errores se detectan y corrigen antes. una empresa de software puede compilar el programa. sin discriminar a personas ni a grupos de personas que quiera utilizarlo. algunas copias o versiones modificadas pueden no ser totalmente libres. A la idea esencial del Open Source. Rapidez de desarrollo. Una licencia de software es un contrato que determina en qué condiciones el usuario puede utilizar el programa informático y qué obligaciones adquiere para su uso. Significa que cada copia del software. Software libre no protegido por copyleft. Además.Apéndice B Software protegido por copyleft o GPL (General Public License). En este sentido la licencia es el instrumento que regula las maneras en que el usuario puede utilizar el software. se están aceptando las condiciones de su licencia de software. Pero no sólo hace referencia al libre acceso al código fuente. es decir. van unidas los siguientes conceptos: Flexibilidad. o a veces por el simple hecho de abrir el sobre que lo contiene. Software de dominio público. Fiabilidad y seguridad. por lo que el producto resultante es más fiable y eficaz que el comercial.69 - . con o sin modificaciones. se produce un flujo constante de ideas que mejora la calidad de los programas. Cuando se instala un programa informático. El propósito de establecer una definición oficial de Open Source es establecer la esencia de lo que los programadores quieren que signifique: que aseguren que los programas distribuidos con licencia Open Source estarán disponibles para su continua revisión y mejora para que alcancen niveles de fiabilidad que no pueda conseguir ningún programa comercial cerrado. El software de dominio público es un tipo especial de Software Libre no protegido con copyleft. Es un tipo particular de software que ofrece al usuario la posibilidad de entrar en su interior para poder estudiarlo o modificarlo. Mediante la licencia un autor permite el uso de su creación a otras personas. Si el código fuente está disponible. Las actualizaciones y ajustes se realizan a través de una comunicación constante vía Internet. y vender el archivo ejecutable. de la manera que él cree aceptable. ofrecer programas con acceso al código fuente. .

Apéndice B

Relación con el usuario. El programador se acerca mucho más a las necesidades reales de su cliente, y puede crear un producto específico para él. Es necesario aclarar que Open Source y Software Libre son esencialmente lo mismo, la diferencia radica en que los defensores del Software Libre no están ciento por ciento de acuerdo con que las empresas usen y distribuyan Software Libre ya que, según ellos, el mercado corporativo antepone la utilidad a la libertad, a la comunidad y a los principios y por ende no va de la mano con la filosofía original detrás del Software Libre. Para la Fundación del Software Libre el software Open Source posee inaceptables restricciones. El argumento principal de emplear el término Software de Código Fuente Abierto en lugar de Software Libre se debe a que éste último concepto no es fácil de entender para ciertas personas. Debido a que Software Libre implica hablar sobre libertad, sobre tópicos éticos, sobre responsabilidades, así como también sobre conveniencia. Cuestiones que puede producir malestar y conducir a que algunas personas rechacen la idea por esos motivos. Mientras que el movimiento del Código Abierto permite tomar una aplicación de código abierto, modificarla y no exige publicar el código fuente de estas modificaciones, el movimiento de Software Libre exige explícitamente que cualquier mejora que se realice y se publique debe ir acompañada de su correspondiente código fuente. Esta diferencia, que puede parecer pequeña, tiene grandes connotaciones. El Software Libre, al obligar a publicar el código fuente de los trabajos derivados, no permite a terceros tomar un programa, aplicarle modificaciones y apropiarse de la versión modificada. De este modo, se garantiza que cualquier trabajo derivado de un proyecto de Software Libre continuará siendo libre. También recalcan que la relación entre el movimiento Software Libre y el movimiento Fuente Abierta, son por igual dos partes políticas dentro de la misma comunidad. Están en desacuerdo en los principios básicos, pero están, sin embargo de acuerdo en la mayoría de recomendaciones prácticas y trabajan juntos en muchos proyectos específicos. En el movimiento del Software Libre, no piensan en el movimiento de Fuente Abierta como un enemigo. El enemigo común de ambos movimientos es el software privativo.

- 70 -

Glosario

Glosario

AES

Estándar de Encriptación Avanzado (Advanced Encryption Standard), también conocido como Rijndael, es un esquema de cifrado por bloque adoptado como un estándar de encriptación por el gobierno de los Estados Unidos, y se espera que sea usado en el mundo entero. Fue adoptado por el Instituto Nacional de Estándares y Tecnología (NIST) en noviembre del 2001 después de 5 años del proceso de estandarización. Interfaz de Puerta de Enlace Común (Common Gateway Interface) es una importante tecnología de la World Wide Web que permite a un cliente solicitar datos de un programa ejecutado en un servidor web. CGI especifica un estándar para transferir datos entre el cliente y el programa. Es un mecanismo de comunicación entre el servidor web y una aplicación externa. Es un fragmento de información que se almacena en el disco duro del visitante de una página web a través de su navegador, a petición del servidor de la página. Esta información puede ser luego recuperada por el servidor en posteriores visitas. Protocolo de Configuración Dinámica de Servidor (Dynamic Host Configuration Protocol) es un protocolo de red en el que un servidor provee los parámetros de configuración a las computadoras conectadas a la red informática que los requieran y también incluye un mecanismo de asignación de direcciones IP. Sistema de Nombre de Dominio (Domain Name System) es una base de datos distribuida y jerárquica que almacena información asociada a nombres de dominio en redes como Internet. Aunque como base de datos el DNS es capaz de asociar distintos tipos de información a cada nombre, los usos más comunes son la asignación de nombres de dominio a direcciones IP y la localización de los servidores de correo electrónico de cada dominio.

CGI

Cookies

DHCP

DNS

- 71 -

Glosario

Firewall

Es un elemento de hardware o software utilizado en una red de computadoras para prevenir algunos tipos de comunicaciones prohibidas por las políticas de la red, las cuales se fundamentan en las necesidades del usuario. Protocolo de Transferencia de Archivos (File Transfer Protocol) es un protocolo de la red Internet, y es el ideal para transferir grandes bloques de datos por la red. Sistema de Posicionamiento Global (Global Positioning System) es un Sistema Global de Navegación por Satélite (GNSS) el cual permite determinar en todo el mundo la posición de una persona, un vehículo o una nave, con una precisión de entre cuatro y quince metros. El sistema fue desarrollado e instalado, y actualmente es operado, por el Departamento de Defensa de los Estados Unidos. Es una zona con cobertura Wi-Fi, en el que un punto de acceso o varios proveen servicios de red a través de un proveedor de Internet inalámbrico. Los hotspots se encuentran en lugares públicos, como aeropuertos, bibliotecas, centros de convenciones, cafeterías u hoteles. Este servicio permite mantenerse conectado a Internet en lugares públicos. Este servicio puede brindarse de manera gratuita o pagando una suma que depende del proveedor. Acrónimo de Lenguaje de Formato de Documentos de Hipertexto (Hypertext Markup Language), es un lenguaje de marcas diseñado para estructurar textos y presentarlos en forma de hipertexto, que es el formato estándar de las páginas web. Gracias a Internet y a los navegadores, el HTML se ha convertido en uno de los formatos más populares que existen para la construcción de documentos. Protocolo de Transferencia de Hipertexto (HyperText Transfer Protocol) es el protocolo usado en cada transacción de la web. El hipertexto es el contenido de las páginas web, y el protocolo de transferencia es el sistema mediante el cual se envían las peticiones de acceder a una página web, y la respuesta de esa web, remitiendo la información que se verá en pantalla. También sirve el protocolo para enviar información adicional en ambos sentidos, como formularios con mensajes y otros similares. Instituto de Ingenieros Eléctricos y Electrónicos (Institute of Electrical and Electronics Engineers) es una asociación técnicoprofesional mundial dedicada a la estandarización, entre otras cosas. Es la mayor asociación internacional sin fines de lucro formada por profesionales de las nuevas tecnologías, como ingenieros de telecomunicaciones, ingenieros electrónicos e ingenieros en informática.

FTP

GPS

Hotspots

HTML

HTTP

IEEE

- 72 -

Glosario

IEEE 802.11

Es un estándar de protocolo de comunicaciones de la IEEE que define el uso de los dos niveles más bajos de la arquitectura OSI (capas física y de enlace de datos), especificando sus normas de funcionamiento en una WLAN. Es una norma de la IEEE para el control de admisión de red basada en puertos. Permite la autenticación de dispositivos conectados a un puerto LAN, estableciendo una conexión punto a punto o previniendo el acceso por ese puerto si la autenticación falla. Es utilizado en algunos puntos de acceso inalámbricos cerrados y se basa en el protocolo de autenticación extensible. Protocolo de Acceso a Directorios (Lighweight Directory Access Protocol) es un protocolo de red que permite el acceso a un servicio de directorio ordenado y distribuido para buscar diversa información en un entorno de red. LDAP puede considerarse una base de datos a la que pueden realizarse consultas. Es una aplicación de software que permite al usuario recuperar y visualizar documentos de hipertexto, comúnmente descritos en HTML, desde servidores web de todo el mundo a través de Internet. Instituto Nacional de Estándares y Tecnología (National Institute of Standards and Technology) es un organismo de los Estados Unidos que se ocupa de la Ciencia, de la medida en Ciencia y Tecnología. Lenguaje Práctico de Extracción y Reporte (Practical Extraction and Report Language) es un lenguaje de programación desarrollado por Larry Wall inspirado en otras herramientas de UNIX. Protocolo de Oficina de Correos 3 (Post Office Protocol 3) es la tercera versión del protocolo diseñado para la gestión, el acceso y la transferencia de mensajes de correo electrónico entre dos máquinas, habitualmente un servidor y una máquina de usuario. El puerto que utiliza es generalmente el 110. Acrónimo de Remote Access Dial-In User Server, es un protocolo de autenticación, autorización y reporte para aplicaciones de acceso a la red o movilidad IP. Una de las características más importantes del protocolo RADIUS es su capacidad de manejar sesiones, notificando cuándo comienza y termina una conexión, así que al usuario se le podrá determinar su consumo y facturar en consecuencia; los datos se pueden utilizar con propósitos estadísticos.

IEEE 802.1x

LDAP

Navegador web

NIST

Perl

POP3

RADIUS

- 73 -

Servidor HTTP SMTP SSID SSL UML URL Web o WWW . World Wide Web es un sistema de hipertexto que funciona sobre Internet. de los servidores web y mostrarlos en la pantalla del usuario. especificar. EL UML ofrece un estándar para escribir un plano del sistema. esquemas de bases de datos y componentes de software reutilizables. incluyendo aspectos conceptuales tales como procesos de negocios y funciones del sistema. Este protocolo está diseñado para transferir lo que llamamos hipertextos. Todos los dispositivos inalámbricos que intentan comunicarse entre sí deben compartir el mismo SSID.74 - . Para ver la información se utiliza una aplicación llamada navegador web para extraer elementos de información. A la acción de seguir hiperenlaces se le suele llamar navegar por la Web. Como tal provee de servicios de conexión a Internet a universidades y centros de investigación. y aspectos concretos como expresiones de lenguajes de programación. Existe un URL único para cada página de cada uno de los documentos de la web. El usuario puede entonces seguir hiperenlaces que hay en la página a otros documentos o incluso enviar información al servidor para interactuar con él. Es un programa que implementa el protocolo HTTP (Hypertext Transfer Protocol). Identificador de Conjunto de Servicio (Service Set Identifier) es un código incluido en todos los paquetes de una red inalámbrica WiFi para identificarlos como parte de esa red. Localizador Uniforme de Recurso (Uniform Resource Locutor) es la cadena de caracteres con la cual se asigna una dirección única a cada uno de los recursos de información disponibles en Internet. El código consiste en un máximo de 32 caracteres alfanuméricos. Lenguaje Unificado de Modelado (Unified Modelling Language) es el lenguaje de modelado de sistemas de software. construir y documentar un sistema de software. Protocolo Simple de Transferencia de Correo Electronico (Simple Mail Transfer Protocol) es un protocolo de red basado en texto utilizado para el intercambio de mensajes de correo electrónico entre computadoras o distintos dispositivos. llamados páginas web. Es un lenguaje gráfico para visualizar. Capa de Protección Segura (Secure Sockets Layer) es un protocolo criptográfico que proporciona comunicaciones seguras en Internet. páginas web.Glosario RedIris Es la red española para Interconexión de los Recursos Informáticos de las Universidades y centros de investigación.

11. Wi-Fi es una marca de la Wi-Fi Alliance.11i. y utiliza claves de 64bits. es el sistema de cifrado incluido en el estándar 802. Utilizan tecnología de radiofrecuencia que permite mayor movilidad a los usuarios al minimizarse las conexiones cableadas.11i era preparado. WPA implementa la mayoría del estándar IEEE 802.11. Redes de Área Local Inalámbricas (Wireless Local Area Networks) son sistemas de comunicación de datos inalámbricos flexibles muy utilizados como alternativa a las redes de computadoras cableadas o como una extensión de éstas. Acceso Protegido Wi-Fi (Wi-Fi Protected Access) es un sistema para asegurar redes inalámbricas. y fue creado como una medida intermedia para ocupar el lugar de WEP mientras 802. Proporciona encriptación a nivel 2. es un conjunto de estándares para redes inalámbricas basado en las especificaciones IEEE 802. Wi-Fi se creó para ser utilizada en redes locales inalámbricas. WPA fue creado por la Alianza Wi-Fi. pero es frecuente que en la actualidad también se utilice para acceder a Internet.11 como protocolo para redes Wi-Fi que permite encriptar la información que se transmite.Glosario WEP Acrónimo de Privacidad Equivalente al Cableado (Wired Equivalency Privacy). Wi-Fi WLAN WPA . Está basado en el algoritmo de encriptación RC4. Es inseguro debido a su arquitectura. creado para corregir la seguridad del sistema previo WEP. Acrónimo de Wireless Fidelity.75 - . por lo que el aumentar los tamaños de las claves de encriptación sólo aumenta el tiempo necesario para romperlo. la organización comercial que prueba y certifica que los equipos cumplen los estándares IEEE 802. de 128bits o de 256 bits.