SEGURIDAD

Arturo Gonzlez Jaimes

La seguridad de una red es el proceso por el que los

recursos de informacin digitales son protegidos.

Los objetivos de la seguridad son mantener la

integridad, proteger la confidencialidad y garantizar
la disponibilidad.

El propsito esencial de la seguridad es proteger los

recursos y mantener los procesos de red y
empresariales.

Vulnerabilidad de una WLAN

Las WLAN son vulnerables a ataques especializados. Muchos de
esos ataques explotan los puntos dbiles de la tecnologa por que
la seguridad de las WLAN 802.11 es relativamente nueva.
Vulnerabilidad de seguridad 802.11:

Dbil autenticacin, solo del dispositivo: los dispositivos cliente

estn autenticados, los usuarios no estn autenticados. Esto
permite que los usuarios sin autorizacin accedan a los recursos
y ventajas de la red.

Cifrado dbil de los datos. La privacidad equivalente al cableado

se ha mostrado ineficaz como medio para cifrar los datos.

No hay integridad del mensaje. El valor de comprobacin de la

integridad (ICV Integrity Check Value) tambin se a mostrado
ineficaz.

Amenazas WLAN
Hay cuatro clases principales de amenazas a la
seguridad inalmbrica:

Amenazas
Amenazas
Amenazas
Amenazas

no estructuradas.
estructuradas.
externas.
internas.

Ataques contra las WLAN

Los mtodos de ataque inalmbrico pueden clasificarse en tres categoras:

Ataques de reconocimiento

Es el descubrimiento y asignacin no autorizados de sistemas, servicios o

vulnerabilidades.

Ataques de acceso

En este contexto, el acceso al sistema se refiere a la posibilidad de que

un intruso no autorizado obtenga acceso a un dispositivo para el que no
dispone de una cuenta o una contrasea.

Entrar o accesar a un sistema para el que no se tiene un acceso

autorizado implica normalmente la ejecucin de un script de pirateo o
una herramienta que explote una vulnerabilidad conocida del sistema o
de la aplicacin que se intenta piratear.

Los siguientes son ejemplos de ataques de acceso:

Explotacin de contraseas dbiles o inexistentes.

Explotacin de servicios, como HTTP, FTP, SNMP,

CDP, y Telnet.

Ataques de AP falso
La mayora de los clientes se asocia al AP que tiene la
seal mas fuerte. Si un AP no autorizado, que
normalmente es un AP falso, tiene una seal fuerte,
los clientes se asociaran a el. El AP falso tendra acceso
al trafico de red de todos los clientes asociados.

Ataques contra la WEP

Entre los ataques contra la WEP podemos citar los de
volcado de bits(bit flopping), los de repeticin (replay) y los
vectores de inicializacin dbiles (IV initalization vector).
Ataques de denegacin del servicio
La denegacin del servicio (DoS, Denial of Service) se da
cuando un intruso deshabilita o corrompe redes, sistemas o
servicios inalmbricos con la intencin de denegar el
servicio a los usuarios autorizados. Los ataques de DoS
adoptan muchas formas. En la mayora de los casos, un
ataque de este tipo solo implica la ejecucin de un hack,
script o herramienta automatizada.

Tecnologas de seguridad
bsicas en una WLAN
La seguridad WLAN es un proceso continuo construido alrededor de
una poltica de seguridad inalmbrica los cuatro pasos de seguridad
son:
Paso 1 asegurar. Este paso implementa las soluciones de
seguridad WLAN para detener o evitar el acceso a las actividades no
autorizadas y para proteger la informacin utilizando lo siguiente:

Autenticacin (802.1x).
Encriptacin o cifrado (WEP o AES).
Integridad (CRC o MIC)
Filtros del trafico.
VLAN y VPN.
Deshabilitar o asegurara los servicios.
Control del are de cobertura inalmbrica.

Paso 2 monitorizar. Este paso implica

las siguientes acciones:

detectar violaciones de la poltica de seguridad

de la WLAN.

Auditar los sistemas implicados, anotar registros

y detectar intrusiones en tiempo real.

Detectar los AP falsos.

Paso 4 Mejorar.

utilizar la informacin de los pasos 3 y 4

para mejorar la implementacin WLAN.

Paso 3 Probar:
este paso valida la eficacia de la poltica
de seguridad de la WLAN mediante la
auditoria del sistema y la bsqueda de
vulnerabilidades
inalmbricas
y
cableadas.

Autenticacin y asociacin.
La autenticacin abierta y la autenticacin por clave
compartida son los dos mtodos que el estndar
802.11 define para que los clientes se conecten a un
AP.

Autenticacin abierta.
Ejecuta todo el proceso de autenticacin en
texto plano. La autenticacin abierta es
bsicamente una autenticacin nula, es decir,
no hay ninguna verificacin del usuario o de la
maquina.

Autenticacin por clave compartida.

Funciona de forma parecida a la autenticacin
abierta, excepto por que utiliza el cifrado WEP
para el paso de la autenticacin.
La clave compartida requiere que el cliente y el AP
tengan la misma clave WEP.

Interoperabilidad.
En la mayora de los AP, incluyendo los cisco, es
posible utilizar la autenticacin abierta con o sin
una clave WEP. En la interoperabilidad bsica que
requiere WEP, AP de cisco de puede configurar
utilizando la autenticacin abierta.
El cifrado de los datos debe establecerse a
Required, y desactivar TKIP (Protocolo de
integracin de clave, Temporal Key Integrity
Protocol), MIC (Comprobacin de la integridad del
mensaje, Message Integrity Check) y BKR
(Rotacin de clave de difusin, Brodcast Key
Rotation).

Configuracin de la seguridad bsica

de una WLAN

Tener una poltica de seguridad inalmbrica.

Tener una seguridad fsica fuerte y una instalacin correcta.

Controlar los niveles de potencia, la cobertura de la antena y el tamao de la clula.

Evitar los ajustes predeterminados para las contraseas, los SSID, etc.

Desactivar los protocolos, servicios, la difusin de los SSID.

Utilizar WEP de 128 bits.

Utilizar contraseas solidas.

Utilizar filtros de las capas 2,3 y 4.

Mantener actualizado el firmware.

Administrar los dispositivos a travs de conexiones SSH o SSL.

Acceso fsico.
La mayora de los AP inalmbricos son fcilmente
accesibles. Normalmente se ubican cerca de los
usuarios y fuera de salas cerradas. Esto hace que
los AP corran un riesgo especial, pues pueden ser
robados y verse comprometidos por usuarios
malintencionados.

Acceso de consola.
Las cuentas y los privilegios de administrador
deben configurarse correctamente. Si es posible,
instale los AP en ubicaciones seguras para evitar
el acceso a travs de la consola. En cualquier
caso, el puerto de consola debe estar protegido
mediante una contrasea.

Telnet/ SSH (Secure Shell, interprete

de ordenes segura)
Telnet es un protocolo inseguro y sin cifrar. Si es
del todo posible, debera utilizarse SSH para todas
las funciones de la interfaz de lnea de comandos.
telnet y SSH deben estar protegidos mediante
contrasea.

TFTP/FTP
El protocolo trivial de transferencia de archivos
(TFTP, Trivial File Transfer Protocol) y el protocolo
de transferencia de archivos (FTP, File Transfer
Protocol) se utilizan ambos para enviar y recibir
archivos a travs de una red. TFTP no permite el
uso de contraseas y esta limitado a archivos
inferiores a los 16 MB. FTP permite utilizar
nombres de usuarios y contraseas, pero sigue
siendo un protocolo no cifrado.

SSID
El SSID no debe considerarse una caracterstica de
seguridad. Varios AP de una red o subred pueden utilizar
los mismos SSID. Los SSID
se pueden utilizar en
combinacin con las VLAN para permitir a los invitados
un acceso limitado.
Es posible configurar hasta 16 SSID en los AP de cisco y
asignar diferentes ajustes de configuracin en cada uno.
Todos los SSID se activan al mismo tiempo, es decir, los
dispositivos cliente se pueden asociar al AP utilizando
cualquiera de los SSID.

Uso de filtros.
El filtrado puede ofrecer una capa adicional de
seguridad inalmbrica. Los filtros se pueden crear
para filtrar una direccin MAC, el protocolo IP o el
puerto IP. Los filtros de protocolo impiden o
permiten el uso de protocolos especificos a traves
del AP.

SNMP
SNMP (protocolo simple de administracin de
redes, Simple Network Management Protocol)
permite que los programas de administracin de
redes vean y cambien la configuracin del equipo.
Se puede utilizar para ver los ajustes mediante
una solicitud Get o Set.

Administracin HTTP/web
La administracin HTTP/web es til, pero su uso en un
equipo de red podra debilitar la seguridad de la red.
HTTP debe desactivarse en la pagina services: HTTPWeb Server en una red de produccin. Si se utiliza
HTTP, debe estar protegido mediante una contrasea.
HTTP es un protocolo web seguro y seguro que utiliza
SSL para proteger la conexin.

Autenticacin de segunda generacin.

Autenticacin de usuarios inalmbricos.
Algunas limitaciones de la WEP son las siguientes:

Autenticacin

La autenticacin esta basada en el dispositivo, no en el usuario.

El cliente no autentica la red.
Las bases de datos de autenticacin existentes no son
niveladas.

Administracin de clave

Las claves son estticas.

Las claves se comparten entre los dispositivos y los AP.

Una limitacin severa de una WLAN con solo

WEP es que los usuarios no son autenticados.
WPA permite la autenticacin del usuario a
travs del protocolo IEEE 802.1x.
802.1x
es un protocolo recientemente
completado destinado a controlar la entrada en
las LAN cableadas e inalmbricas. 802.1x
proporciona autenticacin mutua, significa que
la red y el usuario comprueban su identidad
mutuamente.

Fundamentos de 802.1x
802.1x requiere atencin en el cliente, en el AP y en el
servidor de autenticacin. 802.1x utiliza un proxy
RADIUS para autenticar los clientes en la red. Este
dispositivo proxy debe ser un dispositivo como un
switch o un AP. Este dispositivo en la capa de acceso.

Protocolos EAP
LEAP
Es una tecnologa patentada por cisco que proporciona
una solucin WLAN completa. LEAP debe utilizarse
cuando solo se requiera un inicio se sesin en el
dominio Windows NT o en Active Directory.
LEAP tambin se puede utilizar cuando se necesita
una clave WEP dinmica y la autenticacin mutua.
LEAP es el mtodo menos complicado de implementar
802.1x; solo requiere un servidor RADIUS.

EAP-TLS
EAP se utiliza cuando se necesitan certificados
digitales para la identificacin del usuario. EAP es la
mejor solucin cuando ya existe PKI. PKI garantiza
que las comunicaciones electrnicas delicadas son
privadas y estn protegidas contra el sabotaje.
Los certificados digitales proporcionan un nivel de
mayor seguridad en comparacin con los nombres
de usuario y contraseas estticos, que es lo que
se utiliza en las implementaciones LEAP.

PEAP
Se puede utilizar cuando son necesarios la clave
WEP dinmica y la autenticacin mutua. Tambin
se puede utilizar EAP-TLS para asegurar el inicio
de sesin.

MIC
Las claves WEP mas solidas son proporcionadas por
las mejores TKIP y MIC. MIC evita los ataques por
volcado de los bits en los paquetes cifrados en los
paquetes cifrados.
Durante un ataque de este tipo, el intruso intercepta
un mensaje cifrado, lo altera ligeramente y lo
retransmite. El receptor acepta el mensaje
retransmitido como legitimo. El controlador del
adaptador cliente y el firmware deben soportar la
funcionalidad MIC, y el AP debe activarse MIC.

Algunos de los aspectos mas importantes de MIC son los

siguientes:

Protege los tramas de datos WEP del sabotaje.

La MIC esta incluida en la sobrecarga cifrada con WEP,

junto con un numero de secuencia para evitar la
repeticin.

MIC es pre estndar, as que actualmente es propiedad de

cisco. Los dispositivos WLAN de cisco utilizan cisco MIC
(CMIC).

Cuando MIC esta completamente definida

interoperable, ser una actualizacin software.

sea

BKR
Tambin es una mejora de TKIP.
Protege el trafico de multidifusin del AP ante el
hecho de ser saboteado por un cambio dinmico
de la clave de cifrado multidifusin.

Otros servicios de seguridad

empresarial
Se pueden utilizar otras tecnologas, productos o
servicios de seguridad empresarial para aumentar
la seguridad global de la red.

Firewalls
VPN
Sistema de deteccin de instrucciones (IDS,
Instrusion Detection System)
Monitorizacin

Uso de VPN
Las VPN IPSec utilizan los servicios definidos en IPSec
para garantizar la confidencialidad, integridad y
autenticidad de las comunicaciones de datos a travs de
las redes, como internet.
Al implementar IPSec en un entorno WLAN, se coloca un
cliente IPSec en cada PC conectado a la red inalmbrica.
IPSec proporciona la confidencialidad del trafico IP.
Tambin tiene capacidades de autenticacin y
antirrepeticin.

VLAN
Una
VLAN
es
una
red
conmutada
segmentada de forma lgica en funciones,
equipos de proyecto o aplicaciones, en lugar
de estar dividida fsica o geogrficamente.
Las VLAN se utilizan para configurar la red
con ayuda de software, en lugar de hacerlo
fsicamente desconectando o moviendo los
dispositivos o los cables.

rbol de extensin
En un entorno WLAN , solo es necesario un rbol
de extensin al utilizar puentes inalmbricos. Debe
permanecer desactivado para los AP y los
repetidores al menos que en la red se den
circunstancias especiales.
El algoritmo de rbol de extensin se utiliza para
evitar los bucles de puente. Calcula las rutas de
red disponibles y cierra las rutas redundantes, de
modo que solo existe una ruta entre cualquier par
de LAN en la red.

Aplicaciones, diseo y
preparacin de la inspeccin del
emplazamiento

Una buena inspeccin ayuda a determinar la

viabilidad de la cobertura deseada, la interferencia
por radiofrecuencias y las limitaciones de la
conectividad cableada.
A la hora de preparar la inspeccin de un
emplazamiento, el ingeniero debe considerar
muchos factores. Algunas de las mas importantes
son las aplicaciones y la infraestructura que una
institucin quiere implementar.
El ingeniero del emplazamiento debe ser totalmente
consiente de como ha de implementarse la LAN
inalmbrica (WLAN) en el sitio.

Inspeccin del emplazamiento

Es
importante
realizar
una
inspeccin
del
emplazamiento. Antes de instalar los AP de la WLAN,
debe investigar unas cuantas cosas acerca de la
instalacin del cliente:

Radiofrecuencia
Ubicacin de la instalacin
Numero de conexiones que se servirn
Rendimiento
Cobertura de la WLAN

Una buena inspeccin del emplazamiento

ayuda a determinar lo siguiente:

Viabilidad de la cobertura deseada

Interferencia de radiofrecuencia
Ubicaciones optimas para la instalacin
Espacio entre AP
Limitaciones de la conectividad cableada

Consideraciones de la inspeccin del

emplazamiento
Las siguientes son algunas de las condiciones
operativas y ambientales que se deben tener en
consideracin:

Velocidades de transmisin.
Tipo de antena y ubicacin
Entornos fsicos
Obstculos
Materiales de construccin
Lnea de visin

El propsito principal de la inspeccin de

emplazamientos es colocar los AP e inspeccionar
la superposicin adecuada.
Un exceso o un defecto de superposicin puede
provocar
la
interrupcin
de
la
conexin
inalmbrica con el cliente.

Diseo de una WLAN

Los cuatro principales requisitos de diseo de una
solucin WLAN son los siguientes:

Alta disponibilidad
Escalabilidad
Manejabilidad
Interoperabilidad