Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Dirección de Servicios Tecnologías de Información Vicerrectoría de

Anuncio 
Dirección de Servicios Tecnologías de Información
Vicerrectoría de Asuntos Económicos y Gestión Institucional
Universidad de Chile
Recomendaciones para la instalación de un sistema WIFI
La Dirección de Servicios Tecnologías de Información (STI) ha evaluado el
sistema WIFI y esta liberando aplicaciones inalámbricas en las redes de la
Universidad, se espera que la comunidad Universitaria pueda disponer de
elementos compatibles con la solución WIFI Institucional por razones que se
explican a continuación.
Una de las claves principales que motivan la creación de este artículo es que
diferentes organismos han estado adquiriendo sistemas WIFI de distintos
fabricantes y solo instalan los equipos sin ver las consecuencias de hacerlo.
Algunas de las razones se explican a continuación: El estándar IEEE 802.11b/g
utiliza tres de los 13 canales disponibles del espectro de radio frecuencia (RF), de
instalarse una solución de bajo rendimiento o no estándar, simplemente se
utilizaran estos canales RF lo cual provocaría traslape de frecuencias y mala
recepción de señal cuando llegue el proyecto institucional. También el tema de
seguridad es importante, por eso se ha resuelto disponer de sistemas
completamente estándares todos combinados WIFI con WPA, 801.1x, EAP y
servidores de autenticación Radius.
Se espera que cualquier iniciativa de instalación respecto a redes inalámbricas
pueda considerar los aspectos de seguridad y utilización de las bandas de RF al
interior de Campus y de edificios en organismos, por esta razón se ha preparado
un material informativo indicando como se resuelve el sistema inalámbrico por
parte de servicios centrales.
Consideraciones habituales para la habilitación de servicio Wireless LAN o WLAN.
-
-
Estar al tanto de quien posee estaciones base o Access Point inalámbricos.
Evaluar el rango de cobertura de o las estaciones base o Access Point
instalados, si el sistema inalámbrico interfiere, habrá que tratar de regular
las potencias, si esta medida no resulta, se deberá encontrar una solución
que involucre el cubrimiento de la red instalada, modificando el diseño de la
red inalámbrica.
Es importante contar con sistemas inalámbricos WIFI con WPA, el estándar
fue liberado el año 2003, por lo que todos los dispositivos WIFI nuevos
deben cumplir con esta capacidad.
Diagonal Paraguay Nº 265, piso 20, oficina 2003
Teléfonos: 678 26 62 – 678 26 01 / Fax: 678 26 67
1
Dirección de Servicios Tecnologías de Información
Vicerrectoría de Asuntos Económicos y Gestión Institucional
Universidad de Chile
Equipos Recomendados
Estaciones Base o Access Point:
-
Que tengan soporte para estándar 802.11g idealmente. (802.11g con
capacidad hasta 54 Mbps es compatible con 802.11b que tiene capacidad
para 11 Mbps)
Access Point de nivel "corporativo", es decir con manejo de varias SSID y
encriptación por hardware.
Soporte para estándar de seguridad WPA
Antenas omnidireccionales (sería bueno probar, según cada caso) y
direccionales, todo dependerá del resultado de análisis de radiación RF con
el sector que se desea cubrir.
Tarjetas de Red:
La interfaz inalámbrica requiere cumplir simplemente con WIFI y WPA.
Conexión a la red Cableada
El sistema inalámbrico funciona en forma similar a un HUB, es decir, posee
colisiones, dado que es un medio compartido. Su rendimiento es de
aproximadamente el 60% de su velocidad de transferencia, es decir, una red
inalámbrica debe ser diseñada y dimensionada pues debe considerar a un grupo
de usuarios por estación base.
Es importante mejorar la calidad de la conexión de la estación base mediante una
conexión directa a un switch de puertas 10/100 Ethernet. No se recomienda
instalar una estación base a un HUB pues el nivel de colisiones y broadcast puede
aumentar la degradando de la señal.
Por razones de seguridad, la puerta del switch al cual se conecta el sistema
inalámbrico, debe ser compatible con el protocolo IEEE 802.1X, este protocolo es
estándar y permite la negociación para protocolos autenticación y seguridad
mejorados como WPA o EAP los cuales son estándares en la industria.
Diagonal Paraguay Nº 265, piso 20, oficina 2003
Teléfonos: 678 26 62 – 678 26 01 / Fax: 678 26 67
2
Dirección de Servicios Tecnologías de Información
Vicerrectoría de Asuntos Económicos y Gestión Institucional
Universidad de Chile
Características deseables de seguridad para una red WLAN.
-
Autentificación dinámica de cifrado e intercambio de llave soportado por el
estándar IEEE 802.1X
Encripción de datos usando “Temporal Key Integrity Protocol (TKIP)”, Wired
Equivalent Privacy (WEP) y si es posible Advanced Encryption Standard
(AES).
Mitigación de ataques de seguridad.
Soporte de alianza WIFI con el estándar WIFI Protected Access (WPA),
introducido en el 2003.
En el Articulo adjunto, se detalla el porque se llega a una solución corporativa
como se muestra en la lamina 1.0, se buscan sistemas multimarca y estándares
sin dejar de lado la privacidad y seguridad.
RESPECTO A LA TECNOLOGIA INALAMBRICA WIRELESS LAN (WLAN)
Con la adopción masiva de telefonía celular, los usuarios se han acostumbrado a
contar con cualquier medio de comunicación que les permita estar conectados en
cualquier momento. Sin embargo, esta movilidad en las redes de datos no había
sido, hasta ahora un tema relevante. Para dar cuenta del incremento en la
movilidad de los usuarios, donde las tecnologías tradicionales de redes no son
capaces de entregar esta característica, han surgido los estándares para redes
inalámbricas de área local (WLAN).
El instituto de Ingenieros Eléctricos y Electrónicos (IEEE) ha desarrollado una
familia 802.11, que en sus últimos estándares IEEE (802.11b, 802.11g), los
usuarios pueden disfrutar de mejores rendimientos en términos de velocidad,
disponibilidad y facilidad de uso.
Esta tecnología de acceso ha tenido un crecimiento excepcional. Para obtener
este crecimiento ha sido fundamental el hecho que se trata de una tecnología
basada en un estándar abierto, con un amplio apoyo de la industria. El apoyo de la
industria se refleja en el establecimiento de un programa de certificación de
equipos, que garantiza la interoperabilidad entre equipos de distintos proveedores.
Aquellos equipos que aprueban el plan de certificación obtienen el sello “WIFI”
(Wireless Fidelity) para equipos 802.11b y “WIFI5” 802.11a. Por esta razón, las
redes 802.11b son conocidas comercialmente como redes WIFI.
En la Tabla siguiente se indican las características básicas de un sistema
inalámbrico
Diagonal Paraguay Nº 265, piso 20, oficina 2003
Teléfonos: 678 26 62 – 678 26 01 / Fax: 678 26 67
3
Dirección de Servicios Tecnologías de Información
Vicerrectoría de Asuntos Económicos y Gestión Institucional
Universidad de Chile
Estándar
802.11
802.11a
802.11b
IEEE
Despliegue
Obsoleto
Bajo
Amplio
Velocidad
2Mbps
54Mbps
11Mbps
Frecuencia
2,4GHz / IR
5GHz
2,4GHz
Alcance
30m a 50m
15m a 25m
30m a 50m
Costo
Bajo
Alto
Bajo
Tabla 1 – Estándares IEEE para Redes Inalámbricas
802.11g
Medio
54Mbps
2,4GHz
30m a 50m
Medio
Los elementos que conforman una red inalámbrica IEEE 802.11 son:
Access Point (AP): (opcional) Encargado de realizar la transformación entre
frames 802.11 y aquellos utilizados en el Sistema de Distribución. El punto de
acceso es el encargado de hacer (entre otras cosas) la conexión o bridging entre
el medio inalámbrico y el medio cableado.
Distribution System (DS): (opcional) Sistema de interconexión de AP, que permite
aumentar el área de cobertura de la red al combinar distintos AP.
Wireless Medium (WM): Es el medio inalámbrico en sí. El diseño modular de la
capa de acceso al medio (MAC) del estándar 802.11, permite definir múltiples
especificaciones para capa física. Actualmente existen cinco especificaciones.
Estaciones: En General, cualquier dispositivo con una interfaz de red inalámbrica.
Problemas de Seguridad en WIFI
A diferencia de las redes cableadas tradicionales, en las que alguien que quisiera
“sniffear” el tráfico de la red necesita tener una conexión por cable, en una red
inalámbrica el tráfico puede ser capturado en forma pasiva sin necesidad de estar
físicamente dentro de las dependencias de la empresa, utilizando hardware
estándar y software libre. Con estas herramientas, un usuario puede violar la
confidencialidad y/o la integridad de los datos en la red, hacer uso no autorizado
de sus recursos o incluso interferir las comunicaciones legítimas. En el último
tiempo se han publicano numerosos artículos que explican cómo realizar un “wardriving” que consiste en detectar redes inalámbricas con un notebook y determinar
sus falencias en seguridad. En general, entre la mitad y dos tercios de las redes
inalámbricas desplegadas tienen sus sistemas de seguridad desactivados, debido
principalmente a que estos vienen desactivados por defecto y a que al activarlos,
el rendimiento de los equipos se reduce.
Finalmente, los puntos de acceso WIFI instalados dentro de las dependencias de
la organización son generalmente instalados detrás de las defensas perimetrales,
tales como los firewalls. Esto causa una vulnerabilidad en la seguridad de la red,
Diagonal Paraguay Nº 265, piso 20, oficina 2003
Teléfonos: 678 26 62 – 678 26 01 / Fax: 678 26 67
4
Dirección de Servicios Tecnologías de Información
Vicerrectoría de Asuntos Económicos y Gestión Institucional
Universidad de Chile
ya que quienes obtengan acceso a la red WIFI ganan inmediato acceso al resto de
la red corporativa.
Métodos Estándares de Autenticación y Autorización
Para que un punto de acceso permita a las estaciones tener acceso a la red, las
estaciones móviles deben asociarse con el punto de acceso. Antes de permitir la
asociación, las estaciones y el punto de acceso deben autenticarse mutuamente.
Sin embargo el método de autenticación por defecto del estándar 802.11 original,
llamado Open System Authentication, autorizaba el acceso a todas las estaciones
registradas con un determinado nombre (ID de Red o “SSID”). El sistema de
autenticación abierto es muy común porque es fácil de usar. Un método de
autenticación opcional (WEP) utiliza una llave compartida para realizar un cifrado
simétrico de los frames de la red. Finalmente, a pesar de no ser parte del estándar,
es común que los puntos de acceso puedan permitir el acceso de las estaciones
por dirección MAC.
A pesar que WEP encripta o cifra los frames de la red, el nivel de seguridad
ofrecido por este sistema no es suficiente para utilizarlo en ambientes corporativos.
Esto se debe a que WEP utiliza la misma llave para cifrar los frames de todos los
puntos de acceso y de todos los usuarios móviles. Distribuir la clave de la red
entre todos los usuarios es posible, pero si la clave es compartida por todos los
usuarios de la red, finalmente será de público conocimiento. WEP no ofrece
facilidades para distribuir las llaves, por lo que sería prácticamente imposible
cambiar la llave de la red si en algún momento fuese necesario.
Una solución creada por la industria para reparar los problemas de WEP, es el
estándar WPA (WIFI Protected Access). Este estándar es una versión reducida del
futuro estándar IEEE 802.11i, que aún no ha sido ratificado. WPA soluciona la
mayoría de los defectos de WEP. Está diseñado fundamentalmente para
soluciones WIFI de tipo empresarial. La principal característica de WPA es que
permite autenticar y proteger la información de usuarios, al utilizar una
combinación de protocolos ya existentes, como 802.1x, EAP y servidores de
autenticación Radius. Adicionalmente, el principal defecto de WEP, sus llaves
estáticas es solucionado al utilizar llaves de cifrado dinámicas y asignadas por
usuario y sesión.
Seguridad Básica: SSIDs, WEP, y Autenticación por MAC
La seguridad Básica incluye el uso de un “Conjunto de servicios Identificadores”
(SSIDs por siglas en Ingles), la cual tiene una llave abierta que se comparte al
momento de autenticar un cliente, una llave estática WEP, y una autenticación
opcional de autenticación por dirección MAC. Esta combinación provee un
rudimentario nivel de control de privacidad, el cual puede ser vulnerado.
Diagonal Paraguay Nº 265, piso 20, oficina 2003
Teléfonos: 678 26 62 – 678 26 01 / Fax: 678 26 67
5
Dirección de Servicios Tecnologías de Información
Vicerrectoría de Asuntos Económicos y Gestión Institucional
Universidad de Chile
La “SSID” es el nombre de la red para un dispositivo en un subsistema WLAN;
este sirve para subdividir lógicamente en segmentos el sistema inalámbrico. Un
SSID previene acceso a cada cliente que no tiene SSID. Por defecto, sin embargo,
un punto de acceso envía por difusión o broadcast el SSID. Lamentablemente
podría ocurrir que un hacker detectara la SSID a través de un “sniffer” o equipo
que pueda realizar monitoreo de red.
El estándar 802.11, es un grupo de especificaciones para WLAN creado por el
IEEE, soporta dos elementos de autenticación: una llave compartida de
autenticación y una llave secreta administrada por WEP. Una autenticación abierta
involucra un poco más que suministrar el correcto SSID. Con autenticación
compartida, el Access Point envía al cliente un paquete con que el cliente debe
cifrar correctamente sus datos con WEP para retornar al Access Point. Sin la llave
correcta, la autenticación puede fallar y al cliente no se le permite asociar con el
Access Point. La autenticación compartida no se considera segura, puesto que es
de fácil de detectar por un intruso ya que todo traspaso de información se
comparte en texto claro (Sin cifrado), y con esta información es posible detectar la
llave privada WEP de cifrado.
Con autenticación abierta, cada vez que el cliente puede completar la
autenticación y asociarla al Access Point, el uso de WEP previene que el cliente
envíe datos al Access Point, a menos que el cliente tenga la misma llave de WEP.
Una llave WEP esta compuesta de 40 o 128 bits y usualmente es definida
estáticamente por el administrador de la red.
Si el dispositivo que usa una llave WEP es conocida por un intruso, el procesador
del dispositivo puede acceder a la red WLAN. Un administrador no puede ser
capaz de detectar un acceso infiltrado de Wireless, a menos que sea reportado. El
administrador entonces debe cambiar la llave WEP para cada dispositivo que
utiliza la misma llave WEP. Por supuesto, si la llave es descifrada con una
herramienta como “AirSnort” el administrador de la red no tendrá forma de conocer
cuan comprometido esta con el intruso.
Algunos vendedores WLAN soportan autenticación basados en la dirección física,
o MAC de la interfaz de red inalámbrica (NIC). Un Access Point podrá permitir la
asociación con un cliente solo si su dirección MAC corresponde a una dirección
aceptada por el Access Point. Pero la autenticación por MAC es una medida de
seguridad inadecuada, porque la dirección MAC puede ser cambiada, perdida o
robada.
Seguridad Básica con WPA con llave precompartida.
Otra forma de seguridad básica esta ahora disponible, es el WPA con llave
precompartida o (PSK). El PSK verifica al usuario vía password o código de
identificación. Un cliente puede tener acceso a la red inalámbrica solo si ingresa la
Diagonal Paraguay Nº 265, piso 20, oficina 2003
Teléfonos: 678 26 62 – 678 26 01 / Fax: 678 26 67
6
Dirección de Servicios Tecnologías de Información
Vicerrectoría de Asuntos Económicos y Gestión Institucional
Universidad de Chile
password correcta. La password provee una relación de acuerdo único para
generar el cifrado TKIP en la red. Siendo WPA más segura que WEP, WPA PSK
es similar a WEP estática en el sentido que se compromete con la estación cliente,
la diferencia es que es única y dinámica lo cual hace difícil de descubrir.
Acceso Remoto para Redes Wireless LAN
En algunas condiciones, las empresas pueden requerir proteger una conexión
extremo a extremo. Para proteger sus aplicaciones de negocio. Para acceso
remoto, los administradores utilizan un conjunto de Red Privada virtual (VPN) para
permitir a usuarios móviles, por ejemplo, usuarios de hots spots de: aeropuertos,
hoteles y centros de convención, realizar túneles para llegar a las redes de la
corporación.
Algunas empresas, tales como instituciones financieras, que requieren importantes
medidas de seguridad podrían implementar VPN para su WLANs en la intranet.
Esta solución, sin embargo, agrega procesamiento al envío de paquetes, desde
este punto de vista es una solución costosa. Es decir implementar VPN
protegiendo la seguridad para redes WLAN no es necesaria pues existen los
estándares adecuados para el tratamiento de seguridad.
RECOMENDACIONES STI PARA SERVICIO WIRELESS LAN
Equipos Recomendados
Estaciones Base o Access Point:
-
Que tengan soporte para estándar 802.11g idealmente. (802.11g con
capacidad hasta 54 Mbps es compatible con 802.11b que tiene capacidad
para 11 Mbps)
Access Point de nivel "corporativo", es decir con manejo de varias SSID y
encriptación por hardware.
Soporte para estándar de seguridad WPA
Antenas omnidireccionales (sería bueno probar, según cada caso) y
direccionales, todo dependerá del resultado de análisis de radiación RF con
el sector que se desea cubrir.
Tarjetas de Red:
La interfaz inalámbrica requiere cumplir simplemente con WIFI y WPA.
Conexión a red cableada:
Diagonal Paraguay Nº 265, piso 20, oficina 2003
Teléfonos: 678 26 62 – 678 26 01 / Fax: 678 26 67
7
Dirección de Servicios Tecnologías de Información
Vicerrectoría de Asuntos Económicos y Gestión Institucional
Universidad de Chile
-
Para instalación de Access Point considerar inyector de energía (provisto
por fabricante), o por tecnología Power over Ethernet.
Conectar el Access Point a un switch con soporte de IEEE 802.1X, para
negociación WPA.
Sistema de autenticación:
-
Se recomienda utilizar el servicio Radius corporativo.
Para acceder al servicio corporativo de autenticación se debe hacer uso de
pasaporte. http://www.pasaporte.uchile.cl
Diagonal Paraguay Nº 265, piso 20, oficina 2003
Teléfonos: 678 26 62 – 678 26 01 / Fax: 678 26 67
8
Documentos relacionados
Leer Nota (Formato )
Leer Nota (Formato )
Cómo poner las cosas difíciles a alguien que pretenda robar tu WiFi
Cómo poner las cosas difíciles a alguien que pretenda robar tu WiFi
Manual configuración Cisco Scientific Atlanta EPC2434
Manual configuración Cisco Scientific Atlanta EPC2434
200602-comunicacion segura con Linux
200602-comunicacion segura con Linux
Tecnologías inalámbricas - Inicio | Departamento de Sistemas y
Tecnologías inalámbricas - Inicio | Departamento de Sistemas y
Cablemel S.L. ofrece unas Condiciones inmejorables de alta y
Cablemel S.L. ofrece unas Condiciones inmejorables de alta y
Desde los inicios de la informática ha existido siempre la necesidad
Desde los inicios de la informática ha existido siempre la necesidad
Descargar
Anuncio
Anuncio