INSTITUTO POLITÉCNICO NACIONAL ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA Y ELECTRICA UNIDAD CULHUACAN TESINA Seminario de Titulación: “Las tecnologías aplicadas en redes de computadoras” DES/ ESME-CU 5092005/07/2009 ESTUDIO E IMPLEMENTACIÓN DE SEGURIDAD EN LA RED WI-FI Que como prueba escrita de su examen Profesional para obtener el Título de: Licenciado en Ciencias de la Informática Presenta: JOSÉ ANTONIO FLORES TORRES RACHEL HERNÁNDEZ CABRAL MARIA DE LOURDES LÓPEZ VEGA MARTHA IVONNE MENDOZA CASTILLO VIRGINIA GUADALUPE RAMÍREZ HERNÁNDEZ México D.F Noviembre 2009. OBJETIVO Plantear los diferentes tipos de seguridad que existen para disminuir al máximo los riesgos y ataques que sufre la red inalámbrica. Investigar y dar a conocer las lasitudes a las que se enfrentan las redes Wi-Fi. JUSTIFICACIÓN Las redes inalámbricas de área local, tienen un papel cada vez más importante en las comunicaciones del mundo de hoy. Debido a su facilidad de instalación y conexión, la popularidad de estas redes ha ido creciendo a tal punto que es imposible dejar de lado el uso, instalación y estándares de las redes inalámbricas. En la actualidad existen diferentes sistemas de envío de datos de manera inalámbrica, no obstante, se hará referencia a las redes Wi- Fi, las cuales fomentan tecnología inalámbrica fácilmente asegurando la compatibilidad de los equipos y así poder trabajar juntos sin problemas, independientemente de cada uno de los fabricantes de hardware. Sin embargo, un elevado porcentaje de redes inalámbricas son instaladas por administradores de sistemas o de redes por su simplicidad de implementación, sin tener en consideración la seguridad y por tanto han convertido sus redes en redes abiertas, sin proteger el acceso a la información que por ellas circulan, haciendo que ésta sea sumamente vulnerable a los hackers y que la información que circula en ella no este totalmente protegida. II I Por esta razón se darán a conocer diferentes alternativas para garantizar la seguridad en las redes Wi-Fi y de esta manera todas las empresas o personas que hagan uso de una red inalámbrica Wi-Fi tengan presente los requerimientos mínimos y necesarios con los que debe de contar toda red inalámbrica Wi-Fi para que la transmisión de la información sea lo más segura posible reduciendo así el espionaje, robo de información, fraude, hackers y crackers, entre otros. III Índice Introducción 1 Capítulo I. Introducción a las redes inalámbricas 1.1 Tipos de redes inalámbricas 2 1.1.1 WPAN (Wireless Personal Área Networks o Red Inalámbrica de 2 Área Personal) 1.1.2 WLAN (Wireless Local Área Network o Red Inalámbrica de Área 4 Local) 1.1.3 WMAN (Wireless Metropolitan Área Network o Red Inalámbrica de 4 Área Metropolitana) 1.1.4 WAN (Wide Área Network o Red de Área Amplia) 6 1.2 Redes inalámbricas WLAN 7 1.3 Medios de Transmisión 9 1.3.1 Satélites o Microondas 9 1.3.2 Radio 11 1.3.3 Rayos infrarrojos 12 1.3.4 Láser 13 1.4 Componentes 13 1.4.1 Access Point (Punto de Acceso) 13 1.4.2 CPE (Customer Premise Equipment / Tarjeta de acceso a la red 14 inalámbrica) 1.4.3 Router inalámbrico 17 1.5 Topologías inalámbricas 19 1.5.1 Topología Ad-hoc 19 1.5.2 Topología con infraestructura 20 1.5.3 Topología Mesh 21 1.6 Tecnologías inalámbricas 22 1.6.1 Tipos de Tecnologías Inalámbricas 22 IV Capítulo II. Redes WI-FI 2.1 Antecedentes históricos 23 2.2 Concepto de WI-FI 24 2.3 Ventajas y Desventajas 25 2.4 Estándar IEEE 802.11 26 2.4.1 Nivel MAC 28 2.4.2 Nivel Físico 36 Capítulo III. Ataques y riesgos de la red WI-FI 3.1 Falta de seguridad 40 3.2 War-driving (Búsqueda de redes inalámbricas WI-FI desde un vehículo en 40 movimiento) 3.3 Riesgos de seguridad 41 3.3.1 Intercepción de datos 41 3.3.2 Crackeo 41 3.3.3 Interferencias de trasmisión 42 3.4 Amenazas 42 3.4.1 Denegación del servicio 43 3.4.2 Phishing (Delito informático que se usa mediante la ingeniería social 44 para la obtención de información) 3.4.3 Spyware (Programa espía) 45 3.4.4 Riesgos físicos 46 Capítulo IV. Seguridades en la red WI-FI 4.1 Políticas 48 4.2 Firewall (Cortafuegos) 54 4.3 4.2.1 Ventajas del Firewall 56 4.2.2 Desventajas del Firewall 56 Encriptación 57 V 4.3.1 WEP (Privacidad Equivalente a Cableado) 58 4.3.2 WPA (Acceso Protegido WI-FI) 64 4.3.3 WPA2 (Acceso protegido WI-FI 2) 66 4.4 Sugerencias de seguridad 67 Capítulo V. Implementación de seguridad en una red WI-FI 5.1 Planteamiento y Estudio del caso 69 5.2 Planteamiento de la solución 70 5.3 Justificación de la solución 71 5.4 Implantación de la solución 72 Conclusiones 75 Bibliografía 77 Glosario 80 VI Índice de Figuras Figura 1.1 Ejemplo de una WiMax 5 Figura 1.2 Redes inalámbricas 6 Figura 1.3 Antena parabólica 9 Figura 1.4 Antena cornete 10 Figura 1.5 Satélite en orbita 10 Figura 1.6 Radio 11 Figura 1.7 Red infrarroja 12 Figura 1.8 Estación de trabajo con wireless 16 Figura 1.9 Red LAN con router 17 Figura 1.10 Algoritmo de Dijkstra 18 Figura 1.11 Diagrama de una Topología Ad hoc 19 Figura 1.12 Diagrama de una Topología con infraestructura 20 Figura 1.13 Diagrama de una Topología Mesh 21 Figura 2.1 Tecnología Wi-Fi 25 Figura 2.2 Capa Física 27 Figura 2.3 Niveles MAC en el estándar WI-FI 28 Figura 2.4 Ejemplo de intervalo de repetición 31 Figura 2.5 Trama de una MAC consta de nueve campos 32 Figura 2.6 Casos de tramas 35 Figura 2.7 Nivel físico 36 Figura 3.1 Ejemplo denegación del servicio 44 Figura 4.1 Firewall 55 Figura 4.2 Encriptación 58 Figura 4.3 WEP 59 Figura 4.4 Encriptación WEP 59 Figura 4.5 Encriptación WEP llave 60 VII Figura 4.6 Encriptación WEP vector 60 Figura 4.7 Encriptación WEP cifrado 61 Figura 4.8 Encriptación WEP trama para enviar 61 Figura 4.9 Encriptación WEP resumen 62 Figura 4.10 Desencriptación 63 Figura 4.11 Proceso de la desencriptación 63 Figura 4.12 Proceso de la desencriptación completo 64 Figura 5.1 Equipos conectados al Access point 74 Índice de Tablas Tabla 2.1Características de los Estándares inalámbricos para las WLAN 28 Tabla 2.2 Subcampos del campo FC 33 Tabla 2.3 Valores de los subcampos en las tramas de control 34 Tabla 2.4 Tramas MAC 34 VIII INTRODUCCIÓN Las redes dentro de la tecnología han ayudado en las comunicaciones entre usuarios y corporativos, las redes nos permiten acceder a Internet, desde visitar sitios web, jugar en línea, intercambiar información, hacer video llamadas y video conferencias. Las redes WI-FI han adquirido popularidad por las ventajas que ofrecen, entre ellas la fácil instalación, movilidad dependiendo de la intensidad de la señal, costo de mantenimiento menor. Son pocas sus desventajas, aun así muchos usuarios no se enfocan en la seguridad de las redes WI-FI, una de las causas es el desconocimiento del tema. Se recomienda a los usuarios estar al día en el conocimiento de los riesgos y amenazas que pueden sufrir sus redes inalámbricas y las herramientas que pueden ayudarlo a tener una red segura. En este proyecto manejaremos los conceptos de la red WI-FI, los riesgos amenazas a las que están expuestos los usuarios y las herramientas para disminuirlas. 1 Capítulo I. Introducción a las redes inalámbricas 1.1 Redes inalámbricas Las redes inalámbricas son aquellas que se comunican por un medio de transmisión no guiado mediante ondas electromagnéticas. La transmisión y la recepción se realizan a través de antenas. Tienen ventajas como la rápida instalación de la red sin la necesidad de usar cableado, permiten la movilidad y tienen menos costos de mantenimiento que una red convencional. Clasificación Según su cobertura, se pueden clasificar en diferentes tipos: • WPAN • WLAN • WMAN • WAN 1.1.1 WPAN (Wireless Personal Area Networks o Red Inalámbrica de Área Personal) Es una red de computadoras que permite la comunicación entre distintos dispositivos. Incluye redes inalámbricas de corto alcance que abarcan un área de algunas decenas de metros. Este tipo de red se usa generalmente para conectar dispositivos (por ejemplo, impresoras, teléfonos celulares y electrodomésticos) o un asistente personal digital a una computadora sin conexión por cables. También se pueden conectar de forma inalámbrica dos ordenadores cercanos. 2 Se usan varios tipos de tecnología para las WPAN. La tecnología principal WPAN es Bluetooth, lanzado por Ericsson en 1994. Ofrece una velocidad máxima de 1 Mbps con un alcance máximo de unos treinta metros. La tecnología Bluetooth, también conocida como IEEE 802.15.1, tiene la ventaja de tener un bajo consumo de energía, algo que resulta ideal para usarla en periféricos de tamaño pequeño. Posibles equipos o dispositivos Las diferentes demandas del servicio y los panoramas de uso hacen que WPAN acumule distintos acercamientos hacia las funciones y capacidades que pueda tener. Algunos dispositivos, como un simple sensor, pueden ser muy baratos, y tener a su vez funciones limitadas. Otros pueden incorporar funciones avanzadas, tanto computacionales como de red, lo cual los harán más costosos. Deben preverse los siguientes puntos como importantes para su fácil escalabilidad: • Funcionalidad y complejidad • Precio • Consumo de energía • Tarifas para los datos • Garantía • Soporte para las interfaces Los dispositivos más capaces pueden incorporar funciones multifunción que permiten el acceso a múltiples redes. Algunos de estos dispositivos pueden estar adheridos o usados como vestimenta para la persona (por ejemplo sensores); otros podrían ser fijos o establecidos temporalmente con el espacio personal (ejemplo; sensores, impresoras, y asistentes digitales personales o conocido por sus siglas en ingles PDA que se significan Personal Digital Assistant). 3 1.1.2 WLAN (Wireless Local Area Network o Red Inalámbrica de Área Local) Es un sistema de comunicación de datos inalámbrico flexible, muy utilizado como alternativa a las redes LAN cableadas o como extensión de éstas. Utiliza tecnología de radiofrecuencia que permite mayor movilidad a los usuarios al minimizar las conexiones cableadas. Las WLAN van adquiriendo importancia en muchos campos, como almacenes o para manufactura, en los que se transmite la información en tiempo real a una terminal central. También son muy populares en los hogares para compartir el acceso a Internet entre varias computadoras. Características • Movilidad: permite transmitir información en tiempo real en cualquier lugar de la organización o empresa a cualquier usuario. Esto supone mayor productividad y posibilidades de servicio. • Facilidad de instalación: al no usar cables, se evitan obras para tirar cable por muros y techos, mejorando así el aspecto y la habitabilidad de los locales, y reduciendo el tiempo de instalación. También permite el acceso instantáneo a usuarios temporales de la red. • Flexibilidad: puede llegar donde el cable no puede, superando mayor número de obstáculos, llegando a atravesar paredes. Así, es útil en zonas donde el cableado no es posible o es muy costoso: parques naturales, reservas o zonas escarpadas. 1.1.3 WMAN (Wireless Metropolitan Area Network o Red Inalámbrica de Área Metropolitana) También se conocen como bucle local inalámbrico o Wireless Local Loop (WLL). Las WMAN se basan en el estándar IEEE 802.16. Los bucles locales inalámbricos ofrecen una velocidad total efectiva de 1 a 10 Mbps, con un alcance de 4 a 10 kilómetros, algo muy útil para compañías de telecomunicaciones. La mejor red inalámbrica de área metropolitana es 4 WiMAX, que puede alcanzar una velocidad aproximada de 70 Mbps en un radio de varios kilómetros. WiMAX significa interoperabilidad mundial para acceso por microondas. Es un estándar inalámbrico metropolitano creado por las empresas Intel y Alvarion en 2002 y ratificado por el Instituto de Ingenieros Eléctricos y Electrónicos (IEEE) denominado IEEE-802.16. Con exactitud, WiMAX es la denominación comercial que el Foro WiMax le da a dispositivos que cumplen con el estándar IEEE 802.16, para garantizar un alto nivel de interoperabilidad entre estos dispositivos. Las aplicaciones de WiMAX Uno de los usos posibles de WiMAX consiste en brindar cobertura en la llamada área de "última milla" (o "último kilómetro"), es decir, proveer acceso a Internet de alta velocidad en áreas que las tecnologías por cable normales no cubren (como Protocolos de banda ancha de Internet (DSL), cable o líneas T1 dedicadas) como se muestra en la Figura 1.1. Otra posibilidad es utilizar WiMAX como una red de retorno entre dos redes inalámbricas locales, como aquellas que usan el estándar Wi-Fi. En última instancia, WiMAX permitirá que dos puntos de acceso se conecten para crear una red en malla. Figura 1.1 Ejemplo de una WiMax 5 1.1.4 WAN (Wide Area Network o Red de Área Amplia) Es un tipo de red de computadoras capaz de cubrir distancias desde unos 100km hasta unos 1000 Km., dando el servicio a un país o un continente. Un ejemplo de este tipo de redes sería RedIRIS, Internet o cualquier red en la cual no estén en un mismo edificio todos sus miembros (sobre la distancia hay discusión posible). Muchas WAN son construidas por y para una organización o empresa particular y son de uso privado, otras son construidas por los proveedores de Internet (ISP) para proveer de conexión a sus clientes. Hoy en día Internet proporciona WAN de alta velocidad, y la necesidad de redes privadas WAN se ha reducido drásticamente mientras que la red privada virtual (VPN) que utilizan cifrado y otras técnicas para hacer esa red dedicada aumentan continuamente. Normalmente la WAN es una red punto a punto, es decir, red de paquete conmutado. Las redes WAN pueden usar sistemas de comunicación vía satélite o de radio, es por esos que se encuentra entre las Wi-Fi y la tecnología 3G como se muestra en la Figura 1.2. Fue la aparición de los portátiles y los PDA la que trajo el concepto de redes inalámbricas. Figura 1.2 Redes inalámbricas 6 1.2 Redes inalámbricas WLAN Wireless Local Area Network (WLAN) se refiere a la comunicación de datos de manera inalámbrica dentro de las redes LAN, utiliza la tecnología de radiofrecuencia que permite mayor movilidad a los usuarios al minimizar las conexiones cableadas. En el año de 1997, el organismo regulador IEEE publicó el estándar 802.11 dedicado a redes LAN inalámbricas, el estándar 802 hace referencia al grupo de documentos que describen las características de las LAN. Las redes WLAN surgieron a partir de que el organismo americano encargado de regular las emisiones radioeléctricas (FCC), aprobó el uso civil de la tecnología de transmisiones de espectro disperso conocido por sus siglas en ingles SS que significa spread spectrum, pese a que en un principio lo prohibió por el uso ampliado del espectro. WLAN utilizan ondas de radio para llevar la información de un punto a otro sin necesidad de un medio físico guiado. Al hablar de ondas de radio nos referimos normalmente a portadoras de radio, sobre las que va la información, ya que realizan la función de llevar la energía a un receptor remoto. Los datos a transmitir se superponen a la portadora de radio y de este modo pueden ser extraídos exactamente en el receptor final. Este proceso tiene como nombre modulación de la portadora por la información que está siendo transmitida. Si las ondas son transmitidas a distintas frecuencias de radio, varias portadoras pueden existir en igual tiempo y espacio sin interferir entre ellas. Para extraer los datos el receptor se sitúa en una determinada frecuencia, frecuencia portadora, ignorando el resto. En una configuración típica de LAN sin cable los puntos de acceso conectan la red cableada de un lugar fijo mediante cableado normalizado. El punto de acceso recibe la información, la almacena y la transmite entre la WLAN y la LAN cableada. Un único punto de acceso (AP) puede soportar un pequeño grupo de usuarios y puede funcionar en un rango de al menos treinta metros y hasta varios cientos. El AP es normalmente colocado en alto pero podría colocarse en cualquier lugar en que se obtenga la cobertura de radio deseada. El usuario final accede a la red WLAN a través de adaptadores. Estos proporcionan una interfaz entre el sistema de operación de red del cliente, Network 7 Operating System (NOS) y las ondas, mediante una antena. La naturaleza de la conexión sin cable es transparente a la capa del cliente. Configuraciones de red para radiofrecuencia En una red para radiofrecuencia las configuraciones pueden ser de muy diversos tipos y tan simples o complejas como sea necesario. La más básica se da entre dos ordenadores equipados con tarjetas adaptadoras para WLAN, de modo que pueden poner en funcionamiento una red independiente siempre que estén dentro del área que cubre cada uno. Esto es llamado red de igual a igual (peer to peer). Cada cliente tendría únicamente acceso a los recursos del otro cliente pero no a un servidor central. Este tipo de redes no requiere administración o pre-configuración. Instalando un AP se puede doblar la distancia a la cual los dispositivos pueden comunicarse, ya que estos actúan como repetidores. Desde que el punto de acceso se conecta a la red cableada cualquier cliente tiene acceso a los recursos del servidor y además gestionan el tráfico de la red entre los terminales más próximos. Cada AP puede servir a varias máquinas, según el tipo y el número de transmisiones que tienen lugar. Existen muchas aplicaciones en el mundo real con un rango de 15 a 50 dispositivos cliente con un solo AP. Los AP tienen un alcance finito, del orden de 150 m en lugares o zonas abiertas. En zonas grandes como por ejemplo un campus universitario o un edificio es probablemente necesario más de un AP. La meta es cubrir el área con células que solapen sus áreas de modo que los clientes puedan moverse sin cortes entre un grupo de AP. Esto es llamado roaming, el diseñador de la red puede elegir usar un Punto de Extensión (EP) para aumentar el número de AP a la red, de modo que funcionan como tales pero no están enganchados a la red cableada como los AP. Los EP funcionan como su nombre indica: extienden el alcance de la red retransmitiendo las señales de un cliente a un AP o a otro EP. Los EP pueden encadenarse para pasar mensajes entre un AP y clientes lejanos de modo que se construye un puente entre ambos. Uno de los últimos componentes a considerar en el equipo de una WLAN es la antena direccional. Por ejemplo: si se quiere una LAN sin cable a otro edificio a 1 Km. de distancia. Una solución puede ser instalar una antena en cada 8 edificio con línea de visión directa. La antena del primer edificio está conectada a la red cableada mediante un AP. Igualmente en el segundo edificio se conecta un AP, lo cual permite una conexión sin cable en esta aplicación. 1.3 Medios de transmisión Los medios de transmisión no guiados son los que no confinan las señales mediante ningún tipo de cable, sino que las señales se propagan libremente a través del medio. Entre los medios más importantes se encuentran el aire y el vacío. 1.3.1 Satélites o Microondas En las microondas terrestres la altura de la antena permite que la señal viaje más lejos además de evitar obstáculos de la superficie, este medio de transmisión sea utilizada para dar servicios de comunicaciones a larga distancia. Las antenas se montan sobre torres que son construidas sobre colinas, las señales se propagan en una dirección concreta, esto significa que hacen falta dos frecuencias para una comunicación en dos sentidos (emisor y receptor), estos elementos se combinan en un equipo denominado “transceptor”. Las antenas deben estar perfectamente alineadas para que puedan captar correctamente las señales como se muestra en la Figura 1.3. Para incrementar la distancia de las microondas se usan los repetidores en cada antena, la señal recibida pasa la señal a la antena siguiente. Una frecuencia mayor proporciona una mayor velocidad de transmisión de datos. Se utilizan dos tipos de antenas, parabólicas y de cornete, una “antena parabólica” se basa en la geometría de la parábola, el plato parabólico funciona como un embudo, captando un amplio rango de ondas y dirigiéndolas a un punto en común, las transmisiones de salida se radian a través de un cornete apuntando al disco. Figura 1.3 Antena parabólica 9 En la antena cornete, las transmisiones de salida son radiadas hacia arriba deflexionadas hacia afuera en una serie de estrechos paralelos mediante la cabeza curvada de la antena de forma similar a la antena parabólica. Figura 1.4 Antena cornete Las microondas terrestres son usadas en comunicaciones punto a punto a corta distancia entre edificios, utilizadas en aplicaciones como circuitos cerrados de televisión o conexión de redes locales. Las microondas satelitales son similares a las microondas terrestres, existen satélites orbitando alrededor de la tierra que actúa como una antena alta y como repetidor, los satélites permiten que las señales viajen a diferentes continentes, ya que varias estaciones pueden llegar a transmitir por medios de satélite y otras estaciones pueden recibir las señales por medio de microondas. Las aplicaciones más comunes para este tipo de microondas se encuentran la difusión de televisión, transmisiones telefónicas a larga distancia y redes privadas. Los satélites geocéntricos, se mueven a la misma velocidad que la rotación de la tierra, de esta forma no se interrumpe las señales de transmisión y se mantiene en comunicación constante, como se muestra en la Figura 1.5. Un solo satélite no es suficiente para abastecer las comunicaciones, se necesitan tres satélites en orbita para una transmisión completa. Figura 1.5 Satélite en orbita 10 Existe un retardo aproximado de un cuarto de segundo debido a la gran distancia que recorre la señal de una estación terrestre a otra al pasar por un satélite, dichos errores dificultan el registro de errores o una medición en el flujo de transmisión de datos. 1.3.2 Radio Las aplicaciones de las ondas de radio las podemos encontrar en las difusiones de radio y televisión y las redes de telefonía celular, las ondas de radio no tiene problemas de propagación entre objetos opacos tales como paredes y puertas, y son menos sensibles a la lluvia. En estas frecuencias es necesario una asignación de una banda de frecuencia específica, uno de los problemas que experimentan las ondas de radio, es la “perdida del camino”, donde la señal puede perderse cuando la señal decae, como se muestra en la Figura 1.6. Para que las señales de radio puedan llegar a los receptores, los niveles de transmisión de potencia deben ser tan altos como sea posible o que tenga una cobertura limitada. Figura 1.6 Radio Otro problema que tienen las ondas de radio es el “efecto multicamino”, donde de un trasmisor se mandan varias señales a un receptor, una señal asociada a un bit/símbolo previo interfiere a las señales asociadas al siguiente bit/símbolo. 11 1.3.3 Rayos infrarrojos Esta tecnología ha estado presente desde aplicaciones de fibra óptica, reproductores de discos compactos, video grabadoras. Las comunicaciones mediante infrarrojos se llevan acabo con transmisores y receptores, estos deben estar alineados directamente o usando al reflexión de una superficie como el techo de una habitación, como se muestra en la Figura 1.7. El infrarrojo tiene una onda similar a la luz visible, se refleja en las superficies brillantes y pasa a través del vidrio, pero no pasa de las paredes y objetos opacos. Las emisiones de infrarrojo están limitadas a un solo espacio (distancias cortas) por lo cual se reduce las interferencias en las aplicaciones de LAN inalámbrica. Figura 1.7 Red infrarroja Algunas de las interferencias que afectan a los rayos infrarrojos es la luz del ambiente, la luz del sol, la luz que producen las fuentes de filamentos y las luces fluorecentes, ya que los dispositivos receptores de los rayos infrarrojos reciben las radiaciones que estas emiten. Para reducir el nivel de ruido, las señales pasan por un filtro óptico que atenúa las señales de infrarrojo que están fuera de la banda de frecuencias de la señal transmitida. 12 1.3.4 Láser Este medio de transmisión se encuentra a un en desarrollo, es unidireccional, en cada edificio necesita una unidad inalámbrica óptica de las cuales constan de un transceptor óptico con un transmisor (láser) y un receptor (fotodetector) para proveer una comunicación bidireccional. Entre los factores que intervienen en este medio es la lluvia y la nieve, aunque la niebla densa le afecta más debido a que posee pequeñas gotas de agua suspendida que cambian las características de la luz o impiden el pasaje de este. Una solución es disminuir la distancia de los enlaces y la redundancia en dispositivos para que tenga una mejor comunicación. Se mantiene en observación debido a perjuicios de la salud a la exposición directa de la luz a los ojos. 1.4 Componentes 1.4.1 Access Point (Punto de Acceso) Un punto de acceso inalámbrico o Wireless Access Point (WAP o AP) en redes de computadoras es un dispositivo que interconecta dispositivos de comunicación inalámbrica para formar una red inalámbrica. Normalmente un WAP también puede conectarse a una red cableada, y puede transmitir datos entre los dispositivos conectados a la red cable y los dispositivos inalámbricos. Muchos WAPs pueden conectarse entre sí para formar una red aún mayor, permitiendo realizar "roaming". Por otro lado, una red donde los dispositivos cliente se administran a sí mismos - sin la necesidad de un punto de acceso - se convierte en una red ad-hoc. Los puntos de acceso inalámbricos tienen direcciones IP asignadas, para poder ser configurados. Son los encargados de crear la red, están siempre a la espera de nuevos clientes a los que dar servicios. El punto de acceso recibe la información, la almacena y la transmite entre la WLAN (Wireless LAN) y la LAN cableada. 13 Un único punto de acceso puede soportar un pequeño grupo de usuarios y puede funcionar en un rango de al menos treinta metros y hasta varios cientos. Este o su antena son normalmente colocados en alto pero podría colocarse en cualquier lugar en que se obtenga la cobertura de radio deseada. 1.4.2 CPE (Customer Premise Equipment / Tarjeta de acceso a la red inalámbrica) El equipo local del cliente (CPE) es un equipo de telecomunicaciones usado tanto en interiores como en exteriores para originar, encaminar o terminar una comunicación. El equipo puede proveer una combinación de servicios incluyendo datos, voz, video y un host de aplicaciones multimedia interactivos. Son unidades terminales asociadas a equipamientos de telecomunicaciones, localizadas en el lado del suscriptor y que se encuentran conectadas con el canal de comunicaciones del proveedor o portador de información. Históricamente, este término se refería al equipamiento situado en el extremo de la línea telefónica del usuario, y normalmente era propiedad de la compañía de teléfono. Hoy en día, sin embargo, prácticamente cualquier equipo de usuario final se puede denominar CPE, y puede ser propiedad tanto del usuario como del proveedor. Pero aunque puede ser propiedad de ambos, el CPE suele ser del usuario y se sitúa en la conexión eléctrica del mismo o directamente en un enchufe. Los datos enviados por el usuario son transmitidos desde el CPE o desde el Home Gateway (HE). El CPE está conectado al ordenador a través de un puerto Ethernet, un concentrador/conmutador u otros medios como interfaces USB, etc. También se puede utilizar un adaptador telefónico (Tel Gateway) que permite la conexión de un teléfono analógico a través de la red eléctrica. Las configuraciones del equipo especial del cliente varían entre vendedor y vendedor y dependen de las necesidades del cliente. Toda configuración incluye equipo microondas externo y equipo digital interno capaz de proveer modulación, demodulación, control y funcionalidad de la interfaz del equipo especial del cliente. El equipo del cliente puede añadirse a la red utilizando métodos de división de tiempo (time-division multiple access - 14 TDMA), división de frecuencia (frequency-division multiple access - FDMA) o división de código (code-division multiple access – CDMA). Las interfaces de los equipos del cliente cubriran el rango de señales digitales desde nivel 0 (DS-0), servicio telefónico (POTS), 10BaseT, DS-1 no estructurado, DS-1 estructurado, frame relay, ATM25, ATM serial sobre T1, DS-3, OC-3 y OC-1. Las necesidades de los clientes pueden variar entre grandes empresas (por ejemplo, edificios de oficinas, hospitales, universidades), en las cuales el equipo microondas es compartido por muchos usuarios, a tiendas en centros comerciales y residencias, en las que serán conectadas oficinas utilizando 10BaseT y/o dos líneas telefónicas (POTS). Obviamente diferentes requerimientos del cliente necesitarán diferentes configuraciones de equipo y distintos costos. EL CPE trabaja en la frecuencia de los 2.5 MHz, normalmente puede tener un alcance diametral de varios kilómetros. Estas tarjetas de red, pueden ser de dos tipos: • Interfaz de red inalámbrica USB.- Adaptador de red inalámbrica con conexión USB que destaca por su alta velocidad y pequeño tamaño. Con este adaptador puede conectar cualquier ordenador a una red inalámbrica con solo tener un puerto USB libre. Es totalmente compatible con redes inalámbricas del estándar IEEE 802.11g (hasta 54 Mb) y IEEE 802.11b (hasta 11 Mb) por lo que podrá conectarse a cualquier tipo de red o router inalámbrico. Tiene un alcance típico de 35 a 100m en interiores y de 100-300 m en exteriores. • Interfaz de red inalámbrica (PCI).- La tarjeta PCI inalámbrica de 54MbpsTEW423PI de TRENDnet se deshace de los alambres de su desktop y proporciona una velocidad de 54Mbps para manejar aplicaciones intensivas de banda ancha. Cumple con el estándar IEEE 802.11g, haciéndola compatible en retroceso con las redes 802.11b para tener una compatibilidad asegurada mientras se navega entre redes. El acceso protegido Wi-Fi avanzado (WPA) y hasta 256-bit de encriptación WEP son respaldados para proporcionar acceso seguro para su banco de datos. 15 Características • Utiliza la banda de frecuencia de 2.4 GHZ (DSSS), la cual cumple con requisitos mundiales • Respalda a dispositivos inalámbricos IEEE 802.11g o 802.11b (11Mbps) • Cambio dinámico de velocidad de datos a 54, 48, 36, 24, 18, 12, 9 y 6Mbps para 802.11g • Cambio dinámico de velocidad de datos a 11, 5.5, 2 y 1Mbps para 802.11g • Soporta al modo ad-hoc (peer-to-peer) y al de infraestructura (Access Point) • Compatible con Windows 98(SE), ME, 2000, XP(SP1/SP2) • Soporta 64/128/256-bit protocolo de seguridad (WEP) y claves especiales (incluso última versión) • Soporta Wi-Fi con acceso protegido • Interferencia baja y la alta susceptibilidad garantizan un funcionamiento confiable • Antena desmontable de 2dBi con conector hembra SMA reversible • Cobertura de distancia en el interior de 35 a 100 metros, exterior de 100 a 300 metros dependiendo del ambiente • Montaje de usuario sencillo y utilidades de diagnósticos Figura 1.8 Estación de trabajo con wireless 16 1.4.3 Router inalámbrico Un router inalámbrico comparte el mismo principio que un router tradicional. La diferencia es que aquél permite la conexión de dispositivos inalámbricos (como estaciones Wi-Fi) a las redes a las que el router está conectado mediante conexiones por cable (generalmente Ethernet), como se muestra en la Figura 1.9. Existen dos tipos de algoritmos de enrutamiento principales: • Los routers del tipo vector de distancias generan una tabla de enrutamiento que calcula el “costo” (en términos de número de saltos) de cada ruta y después envían esta tabla a los routers cercanos. Para cada solicitud de conexión el router elige la ruta menos costosa. • Los routers del tipo estado de enlace escuchan continuamente la red para poder identificar los diferentes elementos que la rodean. Con esta información, cada router calcula la ruta más corta (en tiempo) a los routers cercanos y envía esta información en forma de paquetes de actualización. Finalmente, cada router confecciona su tabla de enrutamiento calculando las rutas más cortas hacia otros routers (mediante el algoritmo de Dijkstra). Figura 1.9 Red LAN con router 17 Algoritmo de Dijkstra También llamado algoritmo de caminos mínimos, es un algoritmo para la determinación del camino más corto dado un vértice origen al resto de vértices en un grafo dirigido y con pesos en cada arista, como se muestra en la Figura 1.10. Su nombre se refiere a Edsger Dijkstra, quien lo describió por primera vez en 1959. La idea subyacente en este algoritmo consiste en ir explorando todos los caminos más cortos que parten del vértice origen y que llevan a todos los demás vértices; cuando se obtiene el camino más corto desde el vértice origen, al resto de vértices que componen el grafo, el algoritmo se detiene. El algoritmo es una especialización de la búsqueda de costo uniforme, y como tal, no funciona en grafos con aristas de costo negativo (al elegir siempre el nodo con distancia menor, pueden quedar excluidos de la búsqueda nodos que en próximas iteraciones bajarían el costo general del camino al pasar por una arista con costo negativo). Figura 1.10 Algoritmo de Dijkstra 18 1.5 Topologías inalámbricas Se refiere a la disposición lógica de los dispositivos, ya que la conexión de las computadoras se realiza mediante ondas de radio o luz infrarroja, actualmente. Las topologías inalámbricas facilitan la operación en lugares donde las computadoras no puede permanecer en un solo lugar, como en almacenes o en oficinas que se encuentren en varios pisos. 1.5.1 Topología Ad hoc Los dispositivos establecen enlaces punto a punto, y se comunican a través de esos enlaces con dispositivos que se encuentren en su rango, como se muestra en la Figura 1.11. Conocida como punto a punto ya que los dispositivos establecen este enlace, por medio del cual los clientes inalámbricos puedan establecer una comunicación directa entre sí. Al permitir que los clientes inalámbricos operen en modo ad hoc, en esta topología no es necesario involucrar un punto de acceso central. Todos los nodos de una red ad hoc se pueden comunicar directamente con otros clientes. Figura 1.11 Diagrama de una Topología Ad hoc 19 1.5.2 Topología con infraestructura Esta topología que se establece por un dispositivo que se encarga de centralizar las comunicaciones: el cual se denomina Punto de Acceso (AP). Los dispositivos cliente se conectan a los AP en lo que se denominan células, y pueden intercambiar información con dispositivos conectados a su mismo AP. Por lo tanto, no tienen que encontrase en el rango de alcance para poder comunicarse, como se muestra en la Figura 1.12. Al ser una comunicación centralizada, si se cae el AP ninguno de los dispositivos podrá comunicarse entre sí. La topología se basa en dos modos de funcionamiento: • Modo Managed. Es el modo en el que la TR se conecta al PA para que éste último le sirva de "concentrador". La TR sólo se comunica con el PA. • Modo Master. Este modo es el modo en el que trabaja el PA, pero en el que también pueden entrar las TRs si se dispone del firmware apropiado o de un ordenador que sea capaz de realizar la funcionalidad requerida. Figura 1.12 Diagrama de una Topología con infraestructura 20 1.5.3 Topología Mesh Es aquella red en la que se mezcla las dos topologías Ad-hoc e infraestructura. Básicamente son redes con topología de infraestructura, pero que permiten unirse a la red a dispositivos que a pesar de estar fuera del rango de cobertura de los puntos de acceso están dentro del rango de cobertura de alguna tarjeta de red que directamente o indirectamente está dentro del rango de cobertura de un punto de acceso, como se muestra en la Figura 1.13. Es una topología descentralizada ya que la comunicación y los dispositivos que intervienen en la comunicación pueden compartir recursos y si se cae un nodo, no afecta a toda la red. Figura 1.13 Diagrama de una Topología Mesh 21 1.6 Tecnologías inalámbricas Las tecnologías inalámbricas dependen de ondas radio, microondas, y pulsos de luz infrarroja para transportar las comunicaciones digitales sin cables entre los dispositivos de comunicación. 1.6.1 Tipos de Tecnologías Inalámbricas • Microondas terrestres Implica sistemas de microondas conectados a la tierra, que transmiten señales de radio alta velocidad en una trayectoria directa entre estaciones de repetición espaciadas por alrededor de unas 30 millas. Las antenas se colocan por lo general, en lo alto de los edificios, torres, colinas y cumbres montañosas y son una vista familiar en muchas partes del país. • Satélites de comunicaciones Utilizan radio de microondas como su medio de telecomunicación. Los satélites de comunicación de órbita alta (HEO), se colocan en órbitas estacionarias geosíncronas aproximadamente a 22,000 millas por encima del Ecuador. Son alimentados por panales solares y pueden transmitir señales de microondas a una velocidad de varios de cientos millones de bits por segundo. Se utilizan para la transmisión alta de velocidad de grandes volúmenes de datos. • Sistemas celulares y de comunicación personal (PCS): Todos ellos dividen un área geográfica en áreas pequeñas, o células, por lo general de una o varias millas cuadradas por zona. Cada célula tiene su propio transmisor de baja potencia o dispositivo de antena de repetición de radio para transmitir llamadas de una célula a otra. • Web inalámbrica: Los accesos inalámbricos a Internet, Intranet y Extranets están creciendo gracias a los dispositivos de infamación basados en Web. • LAN inalámbricas: Es una red de área local inalámbrica, que utiliza una o varias tecnologías inalámbricas como la tecnología WI-FI. 22 Capítulo II. Redes WI-FI (Wireless Fidelity o Fidelidad sin hilos) 2.1 Antecedentes históricos. Las tecnologías inalámbricas de comunicaciones llevan conviviendo con nosotros desde hace muchos años, nada menos que desde principios de los 90, aunque de manera un tanto caótica en tanto que cada fabricante desarrollaba sus propios modelos, incomprensibles para los demás. A finales de los 90 compañías como Lucent, Nokia o Symbol Technologies se reúnan para crear una asociación conocida como Wireless Ethernet Compatibility o Compatibilidad sin hilos de Ethernet (WECA), que en 2003 pasó a llamarse Wi-Fi Alliance, cuyo objetivo era no sólo el fomento de la tecnología Wi-Fi sino establecer estándares para que los equipos dotados de esta tecnología inalámbrica fueran compatibles entre sí. En abril de 2000 se establece la primera norma: Wi-Fi 802.11b, que utilizaba la banda de los 2.4Ghz y que alcanzaba una velocidad de 11Mbps. Tras esta especificación llegó 802.11a, que generó algunos problemas entre Estados Unidos y Europa por la banda que se utilizaba. Mientras que en Estados Unidos la banda de los 5GHz estaba libre, en Europa estaba reservada a fines militares, situación que paralizó un tanto esta tecnología inalámbrica, sobre todo teniendo en cuenta que la mayoría de los fabricantes de dispositivos, norteamericanos en su mayor parte, tardaron en reaccionar ante la imposibilidad de vender sus productos en el viejo continente. Tras muchos debates se aprobó una nueva especificación, 802.11g, que al igual que la “b” utilizaba la banda de los 2,4 GHz pero multiplicaba la velocidad hasta los 54Mbps. 23 Llegado el momento en que tres especificaciones diferentes conviven en el mercado, se da el caso de que son incompatibles, por lo que el siguiente paso fue crear equipos capaces de trabajar con las tres, saltando de unas a otras, y lanzado soluciones que se etiquetaban como “multipunto”. Cuando se da este caso la banda de los 5GHz, anteriormente reservada para usos militares, se habilitó para usos civiles, lo que fue un gran adelanto no sólo porque es ese momento ofrecía la mayor velocidad, sino porque no existían otras tecnología inalámbricas, como Bluetooth, Wireless USB o ZigBee que utilicen la misma frecuencia. Hoy estamos inmersos en la especificación 802.11n, que trabaja a 2,4GHz a una velocidad de 108 Mbps, una velocidad que gracias a diferentes técnicas de aceleración, es capaz de alcanzar 802.11g. Una de las curiosidades de la especificación 802.11n es que los productos han llegado al mercado antes de aprobarse el estándar, denominándose Draft-N, lo que hace referencia a que están sujetos al borrador y no al estándar definitivo. 2.2 Concepto de WI-FI Wi-Fi es un sistema de envío de datos sobre redes computacionales que utiliza ondas de radio en lugar de cables, además es una marca de la Wi-Fi Alliance, anteriormente la Wireless Ethernet Compatibility Alliance (WECA), la organización comercial que adopta, prueba y certifica que los equipos cumplen los estándares 802.11. Las redes inalámbricas son aquellas que se comunican por un medio de transmisión no guiado mediante ondas electromagnéticas. La transmisión y la recepción se realizan a través de antenas. Tienen ventajas como la rápida instalación de la red sin la necesidad de usar cableado, permiten la movilidad y tienen menos costos de mantenimiento que una red convencional, como se muestra en la Figura 2.1. 24 Figura 2.1 Tecnología Wi-Fi 2.3 Ventajas y Desventajas Para muchos negocios y usuarios es mantener la comunicación, una red sin cables resulta muy cómodo para los usuarios, ya que si es necesario cambiar de lugar alguna máquina resulta bastante cómodo y sencillo a cambiar una máquina con red cableada, ya que se tendría q reubicar y distribuir el cableado dentro de la zona. Se presentan las siguientes ventajas: • Movilidad: Obtención la información esta en tiempo real para la empresa o usuario de la red. Esta ventaja proporciona aumento de posibilidades en servicio y productividad de la empresa. • Facilidad de instalación: No es necesario cortar y extender el cableado por las oficinas (paredes y techo). • Flexibilidad: La señal de la red puede llegar donde los cables no pueden, como cuando nos conectamos en el campo o en las escuelas que cuentan con red. 25 • Reducción de costos: Al principio el costo inicial puede ser alto pero sus beneficios son que poseen mayor tiempo de vida y menor gastos en instalaciones. • Topologías: Hacer cambios en las topología de la red es muy sencillo además es igual en redes grandes y pequeñas. Como se ha visto las redes WI FI presentan muchas ventajas en instalación, cambios de máquina, movilidad de los dispositivos, pero como en todo, se presentan las desventajas que posee. Desventajas • Elevado costo inicial: Esto hace que muchos usuarios desconfíen o duden del uso de estas redes. • Bajas velocidades en transmisión: Las redes con cable tiene más velocidad que las WI-FI. • Seguridad: Existe programas maliciosos que capturan paquetes que son enviados dentro de estas redes, descifrando contraseñas y alterando información. 2.4 Estándar IEEE 802.11 Se basa en el marco de estándares que Ethernet. Esto garantiza un excelente nivel de interoperatividad y asegura una implantación sencilla de las funciones y dispositivos de interconexión Ethernet/WLAN. El estándar 802.11 establece los niveles inferiores del modelo OSI (Open System Interconnection) para las conexiones inalámbricas que utilizan ondas electromagnéticas. • La capa física ofrece tres tipos de codificación de información. • La capa de enlace de datos compuesta por dos subcapas: control de enlace lógico (LLC) y control de acceso al medio (MAC). 26 La capa física define la modulación de las ondas de radio y las características de señalización para la transmisión de datos mientras que la capa de enlace de datos define la interfaz entre el bus del equipo y la capa física, en particular un método de acceso parecido al utilizado en el estándar Ethernet, y las reglas para la comunicación entre las estaciones de la red, como se muestra en la Figura 2.2. En realidad, el estándar 802.11 tiene tres capas físicas que establecen modos de transmisión alternativos: 802.2 Capa de enlace de datos (MAC) 802.11 Capa física (PHY) Infrarrojo, FHSS y DSS Figura 2.2 Capa Física El estándar IEEE 802.11 está en constante desarrollo. Existen varios grupos de trabajo encargados de proponer y definir nuevas mejoras y apéndices al estándar WLAN. El estándar 802.11 define varios métodos y tecnologías de transmisión para implantaciones de LAN inalámbricas, como se muestra en la Tabla 2.1. Este estándar no sólo engloba la tecnología de radiofrecuencia sino también la de infrarrojos. Asimismo, incluye varias técnicas de transmisión como: • Modulación por saltos de frecuencia (FHSS) • Espectro de extensión de secuencia directa (DSSS) • Multiplexación por división en frecuencias octogonales (OFDM) 27 Tabla 2.1Características de los Estándares inalámbricos para las WLAN ESTANDAR 802.11 802.11a 802.11b 802.11g Ancho de Banda 2 Mbps 54 Mbps 11Mbps 54 Mbps Espectro 2.4 Ghz 5 Ghz 2.4 Ghz 2.4 Ghz 802.11 802.11b DSSS DSSS Compatibilidad Incompatibilidad 802.11a 802.11b 802.11b 802.11g 802.11g Modulación FHSS OFDM DSSS OFDM. 2.4.1 Nivel MAC WI-FI define dos subniveles MAC: La función de coordinación distribuida (DCF) y la función de coordinación puntual (PFC), como se muestra en la Figura 2.3. Figura 2.3 Niveles MAC en el estándar WI-FI 28 Función de coordinación distribuida (DCF) Se define función de coordinación distribuida, como la función que determina dentro de un conjunto básico de servicios (BSS), cuándo una estación puede transmitir y/o recibir unidades de datos de protocolo a nivel MAC a través del medio inalámbrico. En el nivel inferior del subnivel MAC se encuentra la función de coordinación distribuida y su funcionamiento se basa en técnicas de acceso aleatorias de contienda por el medio. El tráfico que se transmite bajo esta funcionalidad es de carácter asíncrono ya que estas técnicas de contienda introducen retardos aleatorios y no predecibles ni tolerados por los servicios síncronos. Las características de DCF se resumen como las siguientes: • Utiliza MACA (CSMA/CA con RTS/CTS) como protocolo de acceso al medio. • Reconocimientos necesarios ACKs, provocando retransmisiones si no se reciben. • Utiliza el campo Duración/ID que contiene el tiempo de reserva para transmisión y ACK ("reenvíame la trama 2" o "he recibido tu último mensaje, pero no puedo recibir más hasta que termine de procesar los anteriores"). Esto quiere decir que todos los nodos sabrán al escuchar cuando el canal vuelva a quedar libre. • Implementa fragmentación de datos • Concede prioridad a tramas mediante el espaciado entre tramas (IFS). • Soporta Broadcast y Multicast sin ACKs. Protocolo de acceso al medio CSMA/CA El algoritmo básico de acceso a este nivel es muy similar al implementar en estándar IEEE. 802.3 y se le conoce como CSMA/CA. Este algoritmo funciona como se describe a continuación: 29 1. Antes de transmitir información a una estación debe analizar el medio, o canal inalámbrico, para determinar su estado (libre/ ocupado) 2. Si el medio no está ocupado por ninguna otra trama la estación ejecuta una acción adicional llamada espacio entre tramas (IFS). 3. Si durante este intervalo temporal, o bien ya desde el principio, el medio se determina ocupado, entonces la estación debe esperar hasta el final de la transacción actual antes de realizar cualquier acción. 4. Una vez finalizada esta acción como consecuencia del medio ocupado la estación ejecuta el algoritmo de Backoff, según el cual se determina una espera adicional y aleatoria escogida uniformemente en un intervalo llamado ventana de contienda (CW). El algoritmo de Backoff nos da un numero aleatorio y entero de ranuras temporales y su función es la de reducir la probabilidad de colisión que es máxima cuando varias estaciones están esperando a que le medio quede libre para transmitir. 5. Mientras se ejecuta la espera marcada por el algoritmo Backoff se continúa escuchando el medio de tal manera que si el medio se determina libre durante un tiempo de al menos IFS esta espera va avanzando temporalmente hasta que la estación consume todas las ranura temporales asignadas. Función de coordinación puntual (PCF) La función de coordinación Puntual (PCF); es un método de enlace opcional que se puede implementar en una red con infraestructura. Se implementa encima de la función DCF y se utiliza fundamentalmente en la transmisión sensible al tiempo, como se muestra en la Figura 2.4. Tiene un método de acceso por muestreo libre de contención centralizada, esto consiste en que el AP realice el muestreo sobre las estaciones que pueden ser muestreadas, las estaciones se muestrean una detrás de otra, enviando cualquier dato que tenga el AP. 30 Para dar prioridad a la función PCF sobre la DCF, se encuentran definidos otros conjuntos de espacios entre tramas: • PIFS: Si al mismo tiempo una estación quiere utilizar sólo DCF y un AP quiere utilizar un PCF , el AP tiene prioridad. • SIFS: Es el mismo que DCF. Como se menciono anteriormente existe un problema para que un DCF vuelva a incorporarse al medio, porque hay prioridad en el PCF sobre DCF. Para prevenir esto, se encuentra un intervalo de repetición para cubrir tanto tráfico, llamado ”trama beacon” . Figura 2.4 Ejemplo de intervalo de repetición Durante el intervalo de repetición, el PC (Control de punto) puede enviar una trama de muestreo, recibir datos, enviar un ACK , recibir un ACK o cualquier combinación de éstas. Al final del periodo libre de contención, el PC envía un fin de CF (fin de libre de contención) para permitir a las estaciones basadas en contención utilizar el medio, como se muestra en la Tabla 2.2. 31 Los entorno inalámbrico son muy ruidosos, por eso se manejan tramas (denominada igualmente paquete) estas si son corruptas tienen que ser retransmitidas. El protocolo, por tanto recomienda la fragmentación; la división de una trama grande en otras más pequeñas, es más eficiente reenviar una trama pequeña que una grande, como se muestra en la Figura 2.5. Figura 2.5 Trama de una MAC consta de nueve campos • Control de trama (FC): FC ocupa 2 bytes y define el tipo de trama junto con alguna otra información de control. En la tabla se describen los subcampos del FC • D: Este campo define la duración de la transmisión que se utiliza para fijar el valor vector de asignación de red (NAV). En una trama de control, este campo define la identificación (ID) de la trama. • Direcciones: hay cuatro campos de direcciones, cada uno de 6 bytes. El significado de cada campo de dirección depende del valor de los subcampos ADS y DEDS. • Control de secuencia: Este campo define el número de secuencia de la trama a utilizar en el control de flujo. • Cuerpo de la trama: este campo, puede tener entre 0 a 2312 bytes, contiene información basada en el tipo y el subtipo definido en el campo FC. • FCS .- Ocupa 4 bytes y contiene una secuencia de detección de errores CRC-32 32 Tabla 2.2 Subcampos del campo FC Campo Explicación Versión La versión actual es la 0 Tipo Tipo de Información: gestión (00), control(01) o datos (10) Subtipo Subtipo de cada tipo (véase la tabla 2.14) A DS Valor de los campos DE DS Valor de los campos Más Flags Cuando vale 1, significa más fragmentos Reintento Cuando vale 1, significa trama retransmitida Gestión de potencia Cuando vale 1, significa que una estación está en modo de gestión de potencia. Más datos Cuando vale 1, significa que una estación tiene más datos para enviar WEP Intimidad equivalente en cable (cifrado implementado) Rsvd Reservado Tipos de tramas Una LAN inalámbrica definida por el IEEE 802.11 tiene tres categorías de tramas: • Trama de gestión- Se utilizan para la comunicación inicial entre las estaciones y los puntos de acceso. • Tramas de control- Se utilizan para el acceso al canal y para las tramas de configuración. Para las tramas de control, el valor del campo tipo es 01; el valor de los campos subtipo para las tramas que se han descrito se encuentran en la siguiente tabla. 33 Tabla 2.3 Valores de los subcampos en las tramas de control • Subtipo Significado 1011 Petición de envío (RTS) 1100 Lista para enviar (CTS) 1101 Confirmación (ACK) Trama de datos- Se utilizan para transportar datos e información de control. Mecanismos de direccionamiento Para WI-FI, el mecanismo de direccionamiento maneja cuatro casos, definidos por el valor de los dos campos ADS y DEDS, como se muestra en la Tabla 2.4. Cada valor puede ser 0 o 1, lo que da lugar a cuatro situaciones diferentes, la interpretación de las cuatro direcciones (dirección 1 a 4) en la trama MAC depende del valor de estos campos. Tabla 2.4 Tramas MAC ADS DEDS Dirección 1 Dirección 2 Dirección 3 Dirección 4 0 0 Destino Origen ID de BSSS N/A 0 1 Destino AP emisor Origen N/A 1 0 AP emisor Origen destino N/A 1 1 AP receptor AP emisor Destino Origen La dirección 1 es siempre la dirección del siguiente dispositivo. La dirección 2 es siempre la dirección del dispositivo anterior. La dirección 3 es la dirección de la estación final si no está definida por la dirección 1. La dirección 4 es la dirección de la estación fuente original si no es la misma que la dirección 2. • Caso 1: 00. En este caso, A DS= 0 y DE DS = 0. Esto significa que la trama no va hacia el sistema de distribución (A DS =0) y no viene de un sistema de distribución (DE 34 ES=0). La trama va desde una estación BSS a otra sin pasar por el sistema de distribución. La trama ACK debería ser enviada a emisor original. • Caso 2: 01. En este caso A DS = 0 Y DE DS = 1. Esto significa que la trama viene de un sistema de distribución (DE DS = 1). La trama proviene un AP y va a una estación. La trama ACK debería ser enviado al AP. • Caso 3: 10. En este caso, A DS = 1 Y DE ES = 0. Esto significa que la trama va hacia un sistema de distribución (A DS = 1). La trama va de una estación a un AP. El ACK se envía a la estación original. • Caso 4: 11. En este caso, A DS = 1 y DE ES = 0. Este es el caso en el que el sistema de distribución es también inalámbrica. La trama va de un AP a otro AP en un sistema de distribución inalámbrico. No se necesita definir las direcciones si el sistema de distribución es una LAN basada en cable debido que la trama en estos casos tiene el formato de la trama de una LAN que utiliza el cable. Aquí se necesita cuatro direcciones para definir al emisor original, el destino final, y los dos AP intermedios. Figura 2.6 Casos de tramas 35 2.4.2 Nivel Físico El nivel físico en cualquier red define la modulación de las ondas de radio y las características de la señal para la transmisión de datos. La norma especifica las dos posibilidades para la transmisión en radiofrecuencia: Espectro de extensión de la lupulización de Frecuencia conocido por sus siglas en ingles FHSS y Espectro de extensión de la secuencia directa conocido por sus siglas en ingles DSSS, como se muestra en la Figura 2.7. Ambas arquitecturas están definidas para operar en la banda 2.4 GHz, ocupando típicamente 83 MHz . Para DSSS se utiliza una modulación DBPSK (Differential Binary Phase Shift Keying) o DQPSK (Differential Quadrature Phase Shift Keying); para FHSS se utiliza FSK (Frecuency Shift Keying) Gaussiana de 2 o 4 niveles. Capa física (PHY) DSSS FHSS Infrarrojo Figura 2.7 Nivel físico • DSSS (Direct Sequence Spread Spectrum) El espectro ensanchado por secuencia directa también conocido en comunicaciones móviles como DS-CDMA (acceso múltiple por división de código en secuencia directa), es uno de los métodos de modulación en espectro ensanchado para transmisión de señales digitales sobre ondas radiofónicas que más se utilizan. El espectro ensanchado por secuencia directa es una técnica de modulación que utiliza un código de pseudorruido para modular directamente una portadora, de tal forma que aumente el ancho de banda de la transmisión y reduzca la densidad de potencia espectral (es decir, el nivel de potencia en cualquier frecuencia dada). La señal resultante tiene un espectro muy parecido al del ruido, de tal forma que a todos los radiorreceptores les parecerá ruido menos al que va dirigida la señal. 36 En esta técnica se genera un patrón de bits redundante (señal de chip) para cada uno de los bits que componen la señal. Cuanto mayor sea esta señal, mayor será la resistencia de la señal a las interferencias. El estándar IEEE 802.11 recomienda un tamaño de 11 bits, pero el óptimo es de 100. En recepción es necesario realizar el proceso inverso para obtener la información original. La secuencia de bits utilizada para modular los bits se conoce como secuencia de Barker (también llamado código de dispersión o PseudoNoise). Es una secuencia rápida diseñada para que aparezca aproximadamente la misma cantidad de 1 que de 0. Un ejemplo de esta secuencia es el siguiente. +1-1+1+1-1+1+1+1-1-1-1-1 Solo los receptores a los que el emisor haya enviado previamente la secuencia podrán recomponer la señal original. Además, al sustituir cada bit de datos a transmitir, por una secuencia de 11 bits equivalente, aunque parte de la señal de transmisión se vea afectada por interferencias, el receptor aún puede reconstruir fácilmente la información a partir de la señal recibida. Las frecuencias vienen comprendidas entre 2.412 y 2.484 GHz. Estas son divididas en canales (puede variar según legislación de cada país). Canal 01: 2.412 GHz Canal 02: 2.417 GHz Canal 03: 2.422 GHz Canal 04: 2.427 GHz Canal 05: 2.432 GHz Canal 06: 2.437 GHz Canal 07: 2.442 GHz Canal 08: 2.447 GHz Canal 09: 2.452 GHz Canal 10: 2.457 GHz Canal 11: 2.462 GHz Canal 12: 2.467 GHz Canal 13: 2.472 GHz Canal 14: 2.484 GHz Para cada canal es necesario un ancho de banda de unos 22 MHz para poder transmitir la información, por lo que se produce un inevitable solapamiento de los canales próximos. Si tenemos que poner algunos puntos de acceso cercanos inevitablemente, deberíamos separarlos lo suficiente siendo recomendable usar canales que no se solapen. 2, 7 y 12 otra posibilidad seria 3, 8 y 13 otra 4, 9 y 14 por ultimo 1, 8 y 14. La técnica de DSSS podría compararse con una multiplexación en frecuencia. • FHSS (Frequency Hopping Spread Spectrum) 37 El espectro ensanchado por salto de frecuencia es una técnica de modulación en espectro ensanchado en el que la señal se emite sobre una serie de radiofrecuencias aparentemente aleatorias, saltando de frecuencia en frecuencia sincrónicamente con el transmisor. Los receptores no autorizados escucharán una señal ininteligible. Si se intentará interceptar la señal, sólo se conseguiría para unos pocos bits. Una transmisión en espectro ensanchado ofrece tres ventajas principales: 1. Las señales en espectro ensanchado son altamente resistentes al ruido y a la interferencia. 2. Las señales en espectro ensanchado son difíciles de interceptar. Una transmisión de este tipo suena como un ruido de corta duración, o como un incremento en el ruido en cualquier receptor, excepto para el que esté usando la secuencia que fue usada por el transmisor. 3. Transmisiones en espectro ensanchado pueden compartir una banda de frecuencia con muchos tipos de transmisiones convencionales con mínima interferencia. Su principal desventaja es su bajo ancho de banda. La tecnología de espectro ensanchado por salto en frecuencia (FHSS) consiste en transmitir una parte de la información en una determinada frecuencia durante un intervalo de tiempo llamada dwell time e inferior a 400 ms. Pasado este tiempo se cambia la frecuencia de emisión y se sigue transmitiendo a otra frecuencia. De esta manera cada tramo de información se va transmitiendo en una frecuencia distinta durante un intervalo muy corto de tiempo. El orden en los saltos en frecuencia se determina según una secuencia pseudoaleatoria almacenada en unas tablas, y que tanto el emisor y el receptor deben conocer. Si se mantiene la sincronización en los saltos de frecuencias se consigue que, aunque en el tiempo se cambie de canal físico, a nivel lógico se mantiene un solo canal por el que se realiza la comunicación. 38 Esta técnica también utiliza la zona de los 2.4 GHz, la cual organiza en 79 canales con un ancho de banda de 1 MHz cada uno. El número de saltos por segundo es regulado por cada país, así, por ejemplo, Estados Unidos fija una tasa mínima de saltas de 2.5 por segundo. El estándar IEEE 802.11 define la modulación aplicable en este caso. Se utiliza la modulación en frecuencia FSK (Frequency Shift Keying), con una velocidad de 1 Mbps ampliable a 2Mbps. En la revisión del estándar, la 802.11b, esta velocidad también ha aumentado a 11 Mbps. La técnica FHSS seria equivalente a una multiplexación en frecuencia. • Infrarrojo La norma 802.11 no ha desarrollado en profundidad la transmisión sobre infrarrojo y solo menciona las características principales de la misma: transmisión infrarroja difusa; el receptor y el transmisor no tienen que estar dirigidos uno contra el otro y no necesitan una línea de vista (line-of-sight) limpia; rango de unos 10 metros (solo en edificios); 1 y 2 Mbps de transmisión; 16-PPM ( Pulse Positioning Modulation ) y 4-PPM; 850 a 950 nanómetros de rango (frente al 850 a 900 nm que establece IrDA); potencia de pico de 2W. 39 Capítulo III. Ataques y riesgos de la red WI-FI 3.1 Falta de seguridad Las ondas de radio tienen en sí mismas la posibilidad de propagarse en todas las direcciones dentro de un rango relativamente amplio. Es por esto que es muy difícil mantener las transmisiones de radio dentro de un área limitada. La propagación radial también se da en tres dimensiones. Por lo tanto, las ondas pueden pasar de un piso a otro en un edificio con un alto grado de atenuación. Es el hecho de que la información de una PC conectada a una WLAN sea accesible desde otra computadora, obliga a que sean analizadas las opciones de seguridad, para evitar que extraños puedan ver datos que no les corresponde. En realidad, es usual no hallar ninguna medida de protección. Es importante destacar que las WLAN son fáciles de detectar, ya que revelan su presencia estando en actividad. 3.2 War-driving (Búsqueda de redes inalámbricas Wi-Fi desde un vehículo en movimiento) Se realiza habitualmente con un dispositivo móvil, como un ordenador portátil o un Asistente Digital Personal (PDA). El método es realmente simple: el atacante simplemente pasea con el dispositivo móvil y en el momento en que detecta la existencia de la red, se realiza una análisis de la misma. Para realizar el Wardriving se necesitan realmente pocos recursos. Los más habituales son un ordenador portátil con una tarjeta inalámbrica, un dispositivo de sistema de 40 Posicionamiento Global (GPS) para ubicarlo en un mapa y el software apropiado (AirSnort para Linux, BSD- AriTools para BSD o NetStumbler para Windows). Algunos software revelan las redes inalámbricas inseguras que están disponibles y a veces permiten que las personas accedan a Internet. 3.3 Riesgos de seguridad Existen muchos riesgos que surgen de no asegurar una red inalámbrica de manera adecuada: • La intercepción de datos es la práctica que consiste en escuchar las transmisiones de varios usuarios de una red inalámbrica. • El crackeo es un intento de acceder a la red local o a Internet. • La interferencia de transmisión significa enviar señales radiales para interferir con tráfico. • Los ataques de denegación de servicio inutilizan la red al enviar solicitudes falsas. 3.3.1 Intercepción de datos Una red inalámbrica es insegura de manera predeterminada. Esto significa que está abierta a todos y cualquier persona dentro del área de cobertura del punto de acceso puede potencialmente escuchar las comunicaciones que se envían en la red. En el caso de un individuo, la amenaza no es grande ya que los datos raramente son confidenciales, a menos que se trate de datos personales. Sin embargo, si se trata de una compañía, esto puede plantear un problema serio. 3.3.2 Crackeo Consiste en romper las barreras que impiden conseguir o manipular algo. Si hablamos de software crackear consiste, básicamente, en modificar el código fuente de un software para fines variados, pero generalmente para poder copiarlo o desprotegerlo. Si hablamos de la 41 cultura de empresa. El crackeo consistiría en conseguir las claves culturales de una compañía con el fin de poder implantarla en otra compañía. 3.3.3 Interferencias de transmisión Las ondas radiales que emiten las redes WI-FI son sensibles a la interferencia. Una señal se puede interferir fácilmente con una transmisión de radio que tenga una frecuencia cercana a la utilizada por la red inalámbrica. Este tipo de problemas es común en las redes domésticas o incluso en las redes de área publica que no tenga protección. Existen aparatos que pueden intervenir la señal de las redes inalámbricas, los hornos de microondas, teléfonos inalámbricos y choques entre otras redes inalámbricas cercanas. 3.4 Amenazas Usuarios como empresas están expuestos a los ataques, una amenaza es la acción específica que aprovecha una vulnerabilidad para crear un problema de seguridad; entre ambas existe una estrecha relación: sin vulnerabilidades no hay amenazas, y sin amenazas no hay vulnerabilidades. La mayoría de los usuarios de redes inalámbricas, no enfocan su atención a la seguridad de las mismas, en ocasiones no le importan, no se dan cuentan o es apropósito. Otra amenaza son los programas maliciosos, estos programas buscan afectar a otros usuarios como la obtención o alteración de la información, usar de forma ilícita recursos del sistema, como muchas redes inalámbricas están a la vista (sobre todo las domesticas) personas ajenas pueden acceder y utilizar la señal de la red. 42 Aunque sean redes inalámbricas también esta expuestos a amenazas físicas, los módems inalámbricos pueden sufrir fallas eléctricas como las descargas o en apagones de luz, la ubicación del dispositivo debe tomarse en cuenta ya que en el hogar u oficina en tiempos de lluvia pueden sufrir de goteras. 3.4.1 Denegación del servicio Se conoce como ataque de denegación de servicio al envío de información para afectar una red inalámbrica. Método de acceso a la red del estándar 802.11 se basa en el protocolo CSMA/CA, que consiste en esperar hasta que la red este libre antes de transmitir las tramas de datos. Una vez que se establece la conexión, una estación se debe vincular a un punto de acceso para poder enviarle paquetes. Un hacker puede fácilmente enviar paquetes a una estación solicitándole que se desvincule de una red. Asimismo, conectarse a redes inalámbricas consume energía. Incluso cuando los dispositivos inalámbricos periféricos tengan características de ahorro de energía, un hacker puede llegar a enviar suficientes datos cifrados a un equipo como para sobrecargarlo, como se muestra en la Figura 3.1. Muchos periféricos portátiles, como los PDA y ordenadores portátiles, tienen una duración limitada de batería. Por lo tanto, un hacker puede llegar a provocar un consumo de energía excesivo que deje al dispositivo inutilizable durante un tiempo. Esto se denomina ataque de agotamiento de batería. 43 Figura 3.1 Ejemplo denegación del servicio 3.4.2 Phishing (Delito informático que se usa mediante la ingeniería social para la obtención de información) Es un tipo de delito dentro del ámbito de las estafas cibernéticas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria). El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas. Dado el creciente número de denuncias de incidentes relacionados con el phishing se requieren métodos adicionales de protección. Se han realizado intentos con leyes que castigan la práctica, campañas para prevenir a los usuarios y con la aplicación de medidas técnicas a los programas. En esta modalidad de fraude, el usuario malintencionado envía millones de mensajes falsos que parecen provenir de sitios Web reconocidos o de su confianza, como su banco o la 44 empresa de su tarjeta de crédito. Dado que los mensajes y los sitios Web que envían estos usuarios parecen oficiales, logran engañar a muchas personas haciéndoles creer que son legítimos. La gente confiada normalmente responde a estas solicitudes de correo electrónico con sus números de tarjeta de crédito, contraseñas, información de cuentas u otros datos personales. Para que estos mensajes parezcan aun más reales, el estafador suele incluir un vínculo falso que parece dirigir al sitio Web legítimo, pero en realidad lleva a un sitio falso o incluso a una ventana emergente que tiene exactamente el mismo aspecto que el sitio Web oficial. Estas copias se denominan "sitios Web piratas". Una vez que el usuario está en uno de estos sitios Web, introduce información personal sin saber que se transmitirá directamente al delincuente, que la utilizará para realizar compras, solicitar una nueva tarjeta de crédito o robar su identidad. 3.4.3 Spyware (Programa espía) Un programa espía, es un software que se instala furtivamente en una computadora para recopilar información sobre las actividades realizadas en ella. La función más común que tienen estos programas es la de recopilar información sobre el usuario y distribuirlo a empresas publicitarias u otras organizaciones interesadas, pero también se han empleado en organismos oficiales para recopilar información contra sospechosos de delitos, como en el caso de la piratería de software. Además pueden servir para enviar a los usuarios a sitios de Internet que tienen la imagen corporativa de otros, con el objetivo de obtener información importante. Dado que el spyware usa normalmente la conexión de una computadora a Internet para transmitir información, consume ancho de banda, con lo cual, puede verse afectada la velocidad de transferencia de datos entre dicha computadora y otras conectadas a Internet. Entre la información usualmente recabada por este software se encuentran: los mensajes, contactos y la clave del correo electrónico; datos sobre la conexión a Internet, como la dirección IP, el DNS, el teléfono y el país; direcciones web visitadas, tiempo durante el cual el usuario se mantiene en dichas web y número de veces que el usuario visita cada web; 45 software que se encuentra instalado; descargas realizadas; y cualquier tipo de información intercambiada, como por ejemplo en formularios, con sitios web, incluyendo números de tarjeta de crédito y cuentas de banco, contraseñas, etc. • Cambio de la página de inicio, la de error y búsqueda del navegador. • Aparición de ventanas "pop-ups", incluso sin estar conectados y sin tener el navegador abierto, la mayoría de temas pornográficos y comerciales (por ejemplo, la salida al mercado de un nuevo producto). • Barras de búsquedas de sitios como la de Alexa, Hotbar, MyWebSearch, FunWeb, etc...; que no se pueden eliminar. • Creación de carpetas tanto en el directorio raíz, como en "Archivos de programas", "Documents and Settings" y "WINDOWS". • Modificación de valores de registro. • La navegación por la red se hace cada día más lenta, y con más problemas. • Es notable que tarda más en iniciar el computador debido a la carga de cantidad de software spyware que se inicia una vez alterado el registro a los fines de que el spyware se active al iniciarse. • Al hacer click en un vínculo y el usuario retorna de nuevo a la misma página que el software espía hace aparecer. • Botones que aparecen en la barra de herramientas del navegador y no se pueden quitar. • Aparición de un mensaje de infección no propio del sistema, así como un enlace web para descargar un supuesto antispyware. • Al acceder a determinados sitios sobre el escritorio se oculta o bloquea tanto el panel de control como los iconos de programas. • Denegación de servicios de correo y mensajería instantánea. 3.4.4 Riesgos físicos En la actualidad la tecnología inalámbrica ha avanzado mucho, pero dicha tecnología también tiene sus desventajas, dichas desventajas pueden traer riegos a nuestra red, y un mal funcionamiento de la misma. 46 Uno los riegos que puede haber en una red inalámbrica es la mala ubicación de los dispositivos. Si tomamos en cuenta que los dispositivos para una red inalámbrica se comunican por radio frecuencia, la mala ubicación un punto de acceso (access point), si hay muros o mucha distancia entre este y la tarjeta inalámbrica de cada computadora, la conexión podría ser escasa o muy lenta. Esto se ve también en la conexión que se tiene entre antenas de gran alcance, si no calculamos bien las distancias y la señal no abarca lo que necesitamos, la conexión simplemente no se dará, por este motivo es importante planear con anterioridad dichas conexiones, así sabremos si necesitamos algún equipo adicional y que costo en verdad tendrá nuestra red inalámbrica. Otro de los riesgos que podemos puntualizar es la ubicación del o los equipos, que se utilizan, esto es, si están expuestos a calor, humedad, golpes, lluvia. El equipo debe estar perfectamente protegido del clima, y no dejar expuesto al alcance de cualquier persona, que podría ser dañado o sea víctima de vandalismo. El siguiente riesgo es el de conexión eléctrica, si los equipos no están protegidos contra la variación de voltaje o el fallo del mismo, pueden dañar los equipos y dejar de funcionar, en estos casos se recomienda siempre tener la protección adecuada, desde un regulador hasta UPS, ya que dichas variaciones de voltaje pueden causar fallas en los equipos. 47 Capítulo IV. Seguridad en la Red WI-FI 4.1 Políticas de seguridad La constante renovación de las Tecnologías de la Información y la pronta puesta en práctica de la mismas, así como las crecientes expectativas ante los nuevos retos que deberán afrontarse en un futuro casi inmediato, facilitan que aparezcan nuevos puntos de peligro. Para conseguir un entorno de red seguro no es suficiente mezclar protocolos, métodos y algoritmos en un mosaico de seguridad. Por desgracia, las estadísticas nos remiten, en los entornos más débil de la seguridad de un entramado informático este no suele ser evidente hasta que resulta ser demasiado tarde. Para ser efectiva, la seguridad del sistema tiene que aplicarse como un todo, al tiempo que también necesita que esté bien diseñada, es decir, completa y fácil de mantener. Los sistemas bien diseñados van acompañados de políticas de seguridad que, posteriormente, se descomponen en directivas, que indican cómo, cuándo y a qué nivel se deben aplicar las distintas medidas de seguridad disponibles. Además, otro de los aspectos prioritarios en el diseño de cualquier política de seguridad debe dirigirse a facilitar al máximo la vida de los sufridos administradores de red a la hora de gestionar las distintas soluciones que se engloban en la política de seguridad adoptada. Lo primero que hay que entender en su totalidad es la naturaleza del problema que se quiere resolver y cuál es la mejor forma de solucionarlo, usando las tecnologías disponibles. Después se puede diseñar e implantar un escenario con arreglo a una serie de soluciones de seguridad estándar o combinar diferentes tipos de soluciones que mejor resuelvan un determinado problema. 48 Políticas de seguridad Debemos dejar claro que cualquier sistema informático es susceptible de ser atacado o dañado. Es lo que se entiende por vulnerabilidad. Cualquier red puede ser objeto de ataques. Por política de seguridad se entiende aquel documento en el que se identifican las necesidades específicas y los procedimientos a seguir en materia de seguridad, teniendo siempre en cuenta las condiciones y circunstancias propias de cada organización. En dicho documento tiene que tener cabida toda aquella información que identifique claramente los puntos que se han de proteger estableciendo un riguroso orden de prioridad en función de su mayor o menor impacto en la continuidad y disponibilidad de los servicios que se ofrezca al usuario. Con este proceder se reduce al máximo el posible error de proteger áreas de nuestra infraestructura tecnológica intrascendentes de cara a la productividad del mismo, mientras se dejan al descubierto otras que resultan mucho más críticas para la buena marcha del negocio. Además, se ha de asegurar la confidencialidad de los datos, la integridad de la red y la autenticidad de los usuarios con derechos de acceso. Teniendo en mente todas estas facetas de actuación, se podrá determinar la mejor estrategia de seguridad para garantizar un lógico nivel de protección de nuestro negocio. Pero no basta con crear una política de seguridad, sino que hay que comunicarla bien a los miembros del grupo, con el fin de evitar en lo posible los inconvenientes que estos puedan causar. Por tanto, una política de seguridad no consiste en un simple proceso para analizar, controlar o eliminar la exposición de una empresa a determinados riesgos. Al contrario, es una forma de determinar el impacto de los riesgos sobre la rentabilidad de la compañía. Una política de seguridad no es la simple fusión de muchos elementos independientes si no la creación de un entorno de protección. 49 Las políticas deben ser: • Apoyadas por los directivos. • Únicas. • Claras (explícitas). • Concisas (breves). • Bien estructuradas. • Servir de referencia. • Escritas. • Dadas a conocer. • Entendidas por los usuarios. • Firmadas por los usuarios. • Mantenerse actualizadas. Elementos de una política de seguridad La adquisición de dispositivos de seguridad resulta sencilla. Sin embargo, resulta más difícil saber cómo y qué es necesario proteger y qué controles deben aplicarse. Para la elaboración de la política de seguridad, el primer paso es hacer una relación de los aspectos sensibles, tanto físicos como lógicos. Una vez realizada esta lista se pondera cada uno de ellos con un peso específico, y se calcula la posibilidad de que sea vulnerado, ya sea por ataques intencionados o por causas meramente accidentales. Conocer los puntos a proteger es otro punto de vital importancia a la hora de establecer normas de seguridad. También es importante definir los usuarios que van a proteger cada recurso porque no todos los usuarios deben tener acceso a todos los recursos del sistema. 50 Por norma general, toda política de seguridad debe proteger todos los elementos de la red interna, incluyendo hardware, software y datos, de cualquier intento de acceso no autorizado desde el exterior o el interior. Con respecto a las amenazas procedentes de los propios usuarios internos, antes de promover cualquier acción de protección adicional, los actuales sistemas operativos de red ofrecen numerosas herramientas para configurar un entorno de actuación suficientemente seguro. Una vez afianzada la seguridad interna ante posibles acciones maliciosas de los usuarios internos, y tras un exhaustivo análisis de las necesidades de cada entorno en función de las actividades y requerimientos de su negocio, los principales esfuerzos deberán concentrase en los puntos más sensibles y vulnerables a sufrir un ataque. Ya que actualmente es imposible ofrecer un servicio o negocio al margen de la Red, nuestra primera prioridad será proteger convenientemente las vías de conexión a la misma. Otra medida fundamental es establecer la prohibición del uso de modems que tengan habilitada la capacidad de llamada entrante. Como máximo valuarte en la defensa perimetral tenemos los firewalls en sus distintas variantes tecnológicas. No obstante, para incrementar el nivel de protección de los equipos que residan en el perímetro, conviene adoptar otra serie de medidas complementarias, como la exploración periódica de los puertos de todo el perímetro en busca de posibles problemas, la monitorización de router en alerta de tráfico sospechoso o la reducción al mínimo de los servicios TCP/IP ofrecidos por cada sistema. La funcionalidad de la propia intranet de la organización es una cuestión que merece toda la atención y el máximo desvelo del responsable en materia de seguridad, ya que cualquier infiltración en los equipos que la conforman o indisponibilidad de la misma, ya sean por ataques del tipo de negación de servicio o fallos en el hardware de red, ponen en serio peligro la confidencialidad de la información y la productividad del negocio, respectivamente. 51 En este sentido, y a pesar de la presencia de una fuerte estructura de seguridad perimetral, conviene recordar que estadísticamente la mayoría de los posibles problemas de seguridad suelen originarse desde el interior de nuestro perímetro. Con la llegada de redes inalámbricas, cuya presencia es cada vez más numerosa en los distintos ámbitos corporativos ya que resulta una tarea no muy complicada de instalación. Sin embargo, lo que sí encierra una mayor dificultad es proteger dicha red de intrusos ajenos al grupo de usuarios autorizados. Con este objetivo, las actuales soluciones inalámbricas disponen de numerosos mecanismos para evitar, en gran medida, la intromisión de posibles piratas informáticos, entre las que cabe destacar el sistema de encriptación WEP y el empleo de estándar para el control de acceso de usuarios basados en el protocolo 802.1x y en el servicio RADIUS. Puntos a tener en cuenta en una política de seguridad para la red inalámbrica • Aceptación de dispositivos, registro, actualización y monitoreo. • Educación del usuario y responsabilidad. • Seguridad física. • Perímetro de seguridad física. • Desarrollo de la red y posicionamiento. • Medidas de seguridad. • Monitoreo de la red y respuesta a incidentes. • Seguridad en la red, auditoria y estabilidad. • Analizar los puntos sensibles de la red y conocer los puntos a proteger. • Sobrepasar la posibilidad de que sea atacado cada uno de ellos. • Asignar permisos a los diferentes tipos de usuarios de la red. • Proteger todos los componentes de la red, hardware y software, de ataques externos o internos. • Establecer controles internos para los propios miembros de la organización. • Asegurar la red antes posibles ataques externos. 52 • Eliminar puertas de entrada desde el exterior sin control por parte de los administradores. • Establecer acciones complementarias de control, como la revisión periódica de todos los puntos críticos. • Controlar los posibles ataques internos. • Incorporar las nuevas tecnologías, como la inalámbrica, a la política de seguridad ya establecida. Políticas de seguridad que nos ayudarán a mantener una red más segura • Utilizar WEP (acrónimo de Wired Equivalent Privacy o Privacidad Equivalente a Cableado, es el sistema de cifrado incluido en el estándar IEEE 802.11 como protocolo para redes Wireless que permite cifrar la información que se transmite) como un mínimo de seguridad. • Inhabilitar DHCP para la red inalámbrica. Entiéndase como DHCP (Dynamic Host Configuration Protocol o Protocolo Configuración Dinámica de Servidor); protocolo de red que permite a los nodos de una red IP obtener sus parámetros de configuración automáticamente. Se trata de un protocolo de tipo cliente/servidor en el que generalmente un servidor posee una lista de direcciones IP dinámicas y las va asignando a los clientes conforme éstas van estando libres, sabiendo en todo momento quién ha estado en posesión de esa IP, cuánto tiempo la ha tenido y a quién se la ha asignado después. • Las direcciones IP’s deben ser fijas. • Actualizar el firmware de los puntos de acceso para cubrir los posibles agujeros en las diferentes soluciones wireless. El firmware es un programa que es grabado en una memoria ROM y establece la lógica de más bajo nivel que controla los circuitos electrónicos de un dispositivo. • Proporcionar un entorno físicamente seguro a los puntos de acceso y desactivarlos cuando se pretenda un periodo de inactividad largo (ejemplo: ausencia por vacaciones). 53 • Cambiar el SSID (Service Set IDentifier o Conjunto de Identificación de Servicios) por defecto de los puntos de acceso. El SSID es una identificación configurable que permite la comunicación de los clientes con un determinado punto de acceso. Actúa como un password compartido entre la estación cliente y el punto de acceso. Ejemplos de SSID por defecto son “tsunami” para CISCO, “101” para 3Com, Intel para Intel, etc. • Inhabilitar la emisión broadcast del SSID. • Reducir la propagación de las ondas de radio fuera del edificio de la compañía. • Utilizar IPSec, VPN y Firewalls y mantener monitoreados los puntos de acceso de la red. 4.2 Firewall (Cortafuegos) Toda computadora que se conecta a la red es susceptible de ataques de hackers, estos buscan redes desprotegidas para infiltrarse y obtener los datos de la computadora. Las computadoras que están más susceptibles a estos ataques, son máquinas que poseen anchos de banda muy elevados, esté conectada pero no controlada o que no cambia las direcciones IP. El firewall es un sistema o conjunto de sistemas que crean una barrera segura entre dos o más máquinas que estén conectadas a la red (como se muestra en la Figura 4.1), esta examina los datos que entran y salen de la máquina, el propósito del firewall es mantener alejado a los intrusos. 54 Figura 4.1 Firewall El control de datos entrantes está hecho para la conexión de Internet, cuando entramos a Internet la computadora recibe solicitudes de la red para acceder, el firewall protege los puertos de acceso para que los intrusos no pasen. El usuario debe manipular al firewall para el control de los datos que salen de la computadora, estos datos son programas que solicitan conectarse a Internet, tales como descargas de actualizaciones o los navegadores de Internet. Es necesario tener cuidado con los datos que salen, pues programas tales como spywares mandan información personal a sitios web, un caso fue el reproductor Windows Media 9 que transmitía información a Microsoft acerca de los DVD´s que los usuarios veían. Existen tres tipos de firewalls: • Firewall personales o de software: tiene un costo económico, entre los más conocidos tenemos Microsoft, Mc Afee, etc. • Enrutadores de hardware: aunque no sea un firewall como tal realizan ciertas funciones como disfrazar la dirección y puertos de la computadora contra intrusos. • Firewall de hardware: Son más caros y complejos de manejar, estos firewalls se recomienda utilizarlos en negocios que tiene múltiples computadoras conectadas. 55 4.2.1 Ventajas del firewall • Permiten al administrador de la red definir un embudo, manteniendo al margen los usuarios no-autorizados. • Monitorear la seguridad, cuando aparece alguna actividad sospechosa, éste generará una alarma. • Por lo regular un hacker prefiere una computadora sin firewalls. • Concentran la seguridad, centralizan los accesos. • Protección de información privada, permite definir distintos niveles de acceso a la información, de manera que en una organización cada grupo de usuarios definido tenga acceso sólo a los servicios e información que le son estrictamente necesarios. • Generan alarmas de seguridad. Traducen direcciones de translación de dirección de red (NAT). • Monitorean y registran el uso de servicios de la red Global Mundial (WWW) y el protocolo de transferencia de archivos (FTP). • Controlan el uso de Internet, permite bloquear material no-adecuado. 4.2.2 Desventajas Del Firewall • No brinda protección contra virus contenidos en archivos transferidos con FTP. • No protege contra ataques desde el interior ya que no puede prohibir que se copien datos corporativos en disquetes o memorias portátiles y que estas se substraigan del edificio. • No protege de ataques que no pasen a través del firewall. • No protege amenazas y ataques de usuarios negligentes. • No protege de ataques de ingeniería social • El firewall no puede contar con un sistema preciso de scanneo para cada tipo de virus que se puedan presentar en los archivos que pasan a través de el, pues el firewall no es un antivirus. • El firewall no puede ofrecer protección alguna una vez que el agresor lo traspasa. 56 4.3 Encriptación Es un mecanismo que convierte determinada información entendible en una serie de caracteres que ocultan el significado real, lo que impide a personas ajenas a este proceso ver dicha información. Sin embargo, cuando la información llega al destino autorizado, activa un mecanismo que convierte esa serie de caracteres en información entendible nuevamente, de modo que sólo el emisor y el receptor de la información pueden conocer los datos reales, como se muestra en la Figura 4.2. Esta encriptación es necesaria para proteger los datos que se están enviando, para que en el caso de que la información fuera interceptada por algún extraño, este no pueda leerla ni interpretarla, ya que incluso conociendo el algoritmo de encriptación, necesitaría de la llave para obtener estos datos. Tipos de Encriptación • Sistema de encriptación de llave pública Dentro de un sistema de encriptación la llave pública tanto del transmisor como el receptor deben tener la misma llave para poder ver los datos. La mitad de esta llave se publica en un directorio y la otra parte se mantiene oculta. Y antes de compartir la información primero se tienen que autentificar tanto el transmisor como el receptor para poder tener una comunicación segura. • Sistema de encriptación llave privada El sistema de encriptación de la llave privada utiliza una computadora para asignar las llaves con las que se encriptará la información y se asignan tanto al receptor como al transmisor. La computadora les asigna “Identificaciones” como son número de serie. Estos son encriptados y transmitidos al receptor donde este aplica la misma llave para 57 desencriptar la información. Este sistema de encriptación es mucho más rápido que el sistema llave pública. Figura 4.2 Encriptación 4.3.1 WEP (Privacidad Equivalente a Cableado) Acrónimo de Wired Equivalent Privacy o Privacidad Equivalente a Cableado, es el sistema de cifrado incluido en el estándar IEEE 802.11 como protocolo para redes Wireless que permite cifrar la información que se transmite. Función de WEP Proporciona un cifrado a nivel 2, basado en el algoritmo de cifrado RC4 que utiliza claves de 64 bits (40 bits más 24 bits del vector de iniciación IV) o de 128 bits (104 bits más 24 bits del IV. Llaves La llave de 40 ó 104 bits, se genera a partir de una clave estática de forma automática, aunque existe software que permite introducir esta llave manualmente. La clave debe ser conocida por todos los clientes que quieran conectarse a la red wireless que utiliza WEP, esto implica que muchas veces se utilice una clave fácil de recordar y que no se cambie de forma frecuente. 58 A partir de la clave se generan 4 llaves de 40 bits, sólo una de ellas se utilizará para la encriptación WEP, (como se muestra en la Figura 4.3). Figura 4.3 WEP Encriptación Para generar una trama encriptada con WEP se sigue el siguiente proceso: Partimos de la trama que se quiere enviar. Esta trama sin cifrar está compuesta por una cabecera (Header) y contiene unos datos (Payload). El primer paso es calcular el CRC de 32 bits del payload de la trama que se quiere enviar. El CRC es un algoritmo que genera un identificador único del payload en concreto, que nos servirá para verificar que el payload recibido es el mismo que el enviado, ya que el resultado del CRC será el mismo. Añadimos este CRC a la trama como valor de chequeo de integridad (ICV: Integrity Check Value), como se muestra en la Figura 4.4: Figura 4.4 Encriptación WEP 59 Por otra parte seleccionamos una llave de 40 bits, de las 4 llaves posibles, como se muestra en la Figura 4.5: Figura 4.5 Encriptación WEP llave Y añadimos el Vector de Inicialización (IV) de 24 bits al principio de la llave seleccionada, como se muestra en la Figura 4.6: Figura 4.6 Encriptación WEP vector El IV es simplemente un contador que suele ir cambiando de valor a medida que vamos generando tramas, aunque según el estándar 802.11b también puede ser siempre cero. Con el IV de 24 bits y la llave de 40 conseguimos los 64 bits de llave total que utilizaremos para encriptar la trama. En el caso de utilizar encriptación de 128 bits tendríamos 24 bits de IV y 104 de llave. Llegado a este punto, aplicamos el algoritmo RC4 al conjunto IV+Key y conseguiremos el keystream o flujo de llave. Realizando una operación XOR con este keystream y el 60 conjunto Payload+ICV obtendremos el Payload+ICV cifrado, este proceso puede verse en el siguiente grafico, como se muestra en la Figura 4.7. Se utiliza el IV y la llave para encriptar el Payload + ICV: Figura 4.7 Encriptación WEP cifrado Después añadimos la cabecera y el IV+Keynumber sin cifrar. Así queda la trama definitiva lista para ser enviada, como se muestra en la Figura 4.8: Figura 4.8 Encriptación WEP trama para enviar 61 El proceso de encriptación en conjunto se ve resumido en este esquema: Figura 4.9 Encriptación WEP resumen Desencriptación Ahora vamos a ver el proceso que se realiza para desencriptar una trama encriptada con WEP: Se utiliza el número de llave que aparece en claro en la trama cifrada junto con el IV para seleccionar la llave que se ha utilizado para cifrar la trama, como se muestra en la Figura 4.10: 62 Figura 4.10 Desencriptación Se añade el IV al principio de la llave seleccionada, consiguiendo así los 64 bits de llave. Aplicando RC4 a esta llave obtenemos el keystream válido para obtener la trama en claro (plaintext) realizando una XOR con el Payload+ICV cifrados y la llave completa como se describe a continuación. Figura 4.11 Proceso de la desencriptación Una vez obtenido el plaintext, se vuelve a calcular el ICV del payload obtenido y se compara con el original. El proceso completo puede verse en el siguiente esquema: 63 Figura 4.12 Proceso de la desencriptación completo 4.3.2 WPA (Acceso Protegido Wi-Fi) (Wi-Fi Protected Access o Acceso Protegido Wi-Fi) es un sistema para proteger las redes inalámbricas (Wi-Fi); creado para corregir las deficiencias del sistema previo WEP (Wired Equivalent Privacy - Privacidad Equivalente a Cableado), tales como la reutilización del vector de inicialización (IV), del cual se derivan ataques estadísticos que permiten recuperar la clave WEP, entre otros). WPA implementa la mayoría del estándar IEEE 802.11i, y fue creado como una medida intermedia para ocupar el lugar de WEP mientras 802.11i era finalizado. WPA fue creado por "The Wi-Fi Alliance" (La Alianza Wi-Fi). WPA adopta la autentificación de usuarios mediante el uso de un servidor, donde se almacenan las credenciales y contraseñas de los usuarios de la red. Para no obligar al uso de tal servidor para el despliegue de redes, WPA permite la autentificación mediante clave compartida ([PSK], Pre-Shared Key o Llave Pre-Compartida), que de un modo similar al WEP, requiere introducir la misma clave en todos los equipos de la red. Diferencia entre WEP y WPA WEP cifra los datos en su red de forma que sólo el destinatario deseado pueda acceder a ellos. Los cifrados de 64 y 128 bits son dos niveles de seguridad WEP. WEP codifica los datos mediante una “clave” de cifrado antes de enviarlo al aire. 64 Cuanto más larga sea la clave, más fuerte será el cifrado. Cualquier dispositivo de recepción deberá conocer dicha clave para descifrar los datos. Las claves se insertan como cadenas de 10 o 26 dígitos hexadecimales y 5 o 13 dígitos alfanuméricos. La activación del cifrado WEP de 128 bits evitará que el pirata informático ocasional acceda a sus archivos o emplee su conexión a Internet de alta velocidad. Sin embargo, si la clave de seguridad es estática o no cambia, es posible que un intruso motivado irrumpa en su red mediante el empleo de tiempo y esfuerzo. Por lo tanto, se recomienda cambiar la clave WEP frecuentemente. A pesar de esta limitación, WEP es mejor que no disponer de ningún tipo de seguridad y debería estar activado como nivel de seguridad mínimo. WPA emplea el cifrado de clave dinámico, lo que significa que la clave está cambiando constantemente y hacen que las incursiones en la red inalámbrica sean más difíciles que con WEP. WPA está considerado como uno de los más altos niveles de seguridad inalámbrica para su red, es el método recomendado si su dispositivo es compatible con este tipo de cifrado. Las claves se insertan como de dígitos alfanuméricos, sin restricción de longitud, en la que se recomienda utilizar caracteres especiales, números, mayúsculas y minúsculas, y palabras difíciles de asociar entre ellas o con información personal. Dentro de WPA, hay dos versiones de WPA, que utilizan distintos procesos de autenticación: • Para el uso personal doméstico: El Protocolo de integridad de claves temporales (TKIP) es un tipo de mecanismo empleado para crear el cifrado de clave dinámico y autenticación mutua. TKIP aporta las características de seguridad que corrige las limitaciones de WEP. Debido a que las claves están en constante cambio, ofrecen un alto nivel de seguridad para su red. • Para el uso en empresarial/de negocios: El Protocolo de autenticación extensible (EAP) se emplea para el intercambio de mensajes durante el proceso de autenticación. Emplea la tecnología de servidor 802.1x para autenticar los usuarios a través de un servidor RADIUS (Servicio de usuario de marcado con autenticación remota). Esto aporta una seguridad de fuerza industrial para su red, pero necesita un servidor RADIUS. 65 4.3.3 WPA2 (Acceso protegido WI-FI 2) Es un sistema para proteger las redes inalámbricas (Wi-Fi); creado para corregir las vulnerabilidades detectadas en WPA. WPA2 está basada en el nuevo estándar 802.11i. WPA, por ser una versión previa, que se podría considerar de "migración", no incluye todas las características del IEEE 802.11i, mientras que WPA2 se puede concluir que es la versión certificada del estándar 802.11i. La alianza Wi-Fi llama a la versión de clave pre-compartida WPA-Personal y WPA2Personal y a la versión con autenticación 802.1x/EAP como WPA-Enterprise y WPA2Enterprise. Los fabricantes comenzaron a producir la nueva generación de puntos de accesos apoyados en el protocolo WPA2 que utiliza el algoritmo de cifrado AES (Advanced Encryption Standard o Estándar de cifrado avanzado). WPA2 está idealmente pensado para empresas tanto del sector privado cómo del público. Los productos que son certificados para WPA2 le dan a los gerentes de TI la seguridad que la tecnología cumple con estándares de interoperatividad. Si bien parte de las organizaciones estaban aguardando esta nueva generación de productos basados en AES es importante resaltar que los productos certificados para WPA siguen siendo seguros de acuerdo a lo establecido en el estándar 802.11i. Se basa en el algoritmo de cifrado TKIP, como el WPE, pero también admite el AES (Estándar de cifrado avanzado) que es mucho más seguro. Wi-Fi Alliance creó una nueva certificación, denominada WPA2, para dispositivos que admiten el estándar 802.11i (como ordenadores portátiles, PDA, tarjetas de red, etc.). A diferencia del WPA, el WPA2 puede asegurar tanto redes inalámbricas en modo infraestructura como también redes en modo ad hoc. Diferencia entre WPA y WAP2 WPA2 es la segunda generación de WPA y está actualmente disponible en los AP más modernos del mercado. WPA2 no se creó para afrontar ninguna de las limitaciones de 66 WPA, y es compatible con los productos anteriores que son compatibles con WPA. La principal diferencia entre WPA original y WPA2 es que la segunda necesita el estándar avanzado de cifrado (AES) para el cifrado de los datos, mientras que WPA original emplea TKIP (ver arriba). AES aporta la seguridad necesaria para cumplir los máximos estándares de nivel de muchas de las agencias del gobierno federal. Al igual que WPA original, WPA2 será compatible tanto con la versión para la empresa como con la doméstica. La tecnología SecureEasySetup™ (SES) de Linksys o AirStation OneTouch Secure System™ (AOSS) de Buffalo permite al usuario configurar una red y activar la seguridad de Acceso protegido Wi-Fi (WPA) simplemente pulsando un botón. Una vez activado, SES o AOSS crea una conexión segura entre sus dispositivos inalámbricos, configura automáticamente su red con un Identificador de red inalámbrica (SSID) personalizado y habilita los ajustes de cifrado de la clave dinámico de WPA. No se necesita ningún conocimiento ni experiencia técnica y no es necesario introducir manualmente una contraseña ni clave asociada con una configuración de seguridad tradicional inalámbrica. 4.4 Sugerencias de seguridad Como sabemos en la actualidad ningún sistema es 100% seguro, ya que es vulnerable a muchos ataques tanto lógicos como físicos, ya sean provocados con intención o accidentalmente, como por ejemplo cuando un usuario lleva una memoria infectada con virus, sin saberlo, puede infectar a todos los equipos de una empresa, y causar problemas como la perdida de información o de equipos. Esto trae como consecuencia el aumento de costos, en la producción y perdida de tiempo. Por eso es importante llevar un control de todo aquello que se relacione con el área de TI ya que debemos proteger de todo riesgo, sistemas, computadoras, servidores, dispositivos de red. 67 Para llevar esta parte acabo debemos previamente llevar polIticas como ya lo habIamos mencionado antes, para evitar esas fugas de información o la entrada de virus, una de ellas pueden ser: • La entra de memorias portatiles, ya que los usuarios no estan acostumbrados a vacunar maquinas ni memorias • Tener actualizado antivirus y tener programado en cierto tiempo una búsqueda de virus por todas las maquinas del area. • Mantener bajos los privilegios a los usuarios para evitar instalación de algún programa que no sea autorizado. Después debemos proteger de ataques externos, lo cual como ya también se habIa mencionado el firewall es una buena protección. Los servidores proxy son también una buena opción para proteger la salida y la entrada de información dentro de la empresa. En la parte fIsica podemos encontrar gran variedad de reglas que debemos seguir para evitar daño al equipo, como son las siguientes: • Mantener restringida el area donde se encuentran todos los servidores y componentes de la red, solo a personal autorizado. • No comer o tener lIquidos cerca de los equipos de cómputo. • No desconectar y mover de su lugar a un equipo, si no es autorizado por personal del area de TI. Como podemos observar tan complejas como tan sencillas pueden ser las medidas para mantener segura la estructura de equipo de computo en una empresa, ya que podemos ser victimas de ataques, como espionaje corporativo, o simplemente algún personal interno que contamino el area por una simple memoria o aceptar archivos, por el ya tan mencionado programa de mensajerIa instantanea (Messenger) . 68 Capítulo V. Implementación de seguridad en una red WI-FI 5.1 Planteamiento y Estudio del caso En este capItulo veremos la implementación de la seguridad en una red inalambrica dentro de la empresa Liber-tia soluciones S.A. de C.V. Esta empresa nació en el año 2006 como una empresa en brindar soluciones tecnológicas y de consumo a medianas empresas y corporativos. Misión Generar relaciones de valor a largo plazo con nuestros clientes ofreciendo soluciones eficientes e integrales en el area de tecnologIa y consumo, que les permita enfocarse en el desarrollo de su negocio y generar ahorros en sus costos. Visión Crear soluciones efectivas, eficaces y eficientes mediante el uso de tecnologIas de punta y personal que se ajusten a los valores de Calidad, Actitud, Aptitud y Experiencia. Las areas laborales que maneja la empresa actualmente son las siguientes: • Gerencia general • Finanzas • Contabilidad • Departamento de programación 69 • Soporte técnico • Ventas La consultorIa Liber-tia soluciones S.A. de C.V. acaba de cambiar sus instalaciones, asI como equipo de cómputo, conforme la empresa fue creciendo necesitaba aumentar el espacio para distribuir sus areas laborales. Este proceso requirió de reinstalar el equipo de cómputo, levantar las redes alambrica como inalambricas, lo cual involucra la instalación de la seguridad de la misma, ya a que anteriormente tenIan equipo solo para red cableada. Por la misma estructura de las oficinas no se presta para realizar un cableado en todas las areas funcionales de la empresa, ya que la empresa requiere de una buena presentación. AsI es como se decidieron a tener su propia red inalambrica, pero para este se necesita también seguridad, ya que se llevan a cabo proyectos, y la pérdida o robo de estos, pueden llevar a la empresa a un problema mayor. 5.2 Planteamiento de la solución Para implementar la seguridad en la red inalambrica antes mencionada se pueden realizar varias acciones, ya sean para proteger la red con las mismas reglas del punto de acceso, o realizar acciones por medio de un servidor proxy. Como vimos anteriormente existen varios sistemas para implementar una clave de acceso al red, como son WEP, WPA y WPA2, en este caso ocuparemos el sistema WEP, ya que con este sistema podemos ingresar una palabra, la cual generara 4 claves para acceso, y nosotros le indicaremos cual clave hay que ocupar, con este sistema podemos cambiar regularmente la clave para una mayor seguridad de acceso a la misma con la opción de elegir de entre 4 mas. La red cuenta con 10 equipos de los cuales 4 se conectan vIa inalambrica, esto nos da la ventaja de hacer un filtrado de dirección fIsica (MAC), esto nos dara mayor seguridad, ya que si la clave es descifrada u obtenida de alguna manera, el filtro hara una restricción solo a los equipos que se den de alta. 70 Esto nos dara control de la red y seguridad de ataques externos, pero, qué pasa con los ataques internos, para esta interrogante tenemos la solución de implementar un servidor proxy, el cual le impedira a los usuarios visitar paginas de peligro o que los mismos usuarios ingresen a los dispositivos de la red, en este caso el punto de acceso. La función del servidor proxy sera filtrar las entradas y salidas a Internet, para que los usuarios este seguros asI como la misma red, ya que algunos ataques se realizan solo con descargar algún programa, que los usuarios creen seguro, y tener un control del ancho de banda, esto es bloqueando paginas que consumen la velocidad de red, asI como programas de descarga. Para esta función ocuparemos el programa llamado SQUID, el cual convierte al equipo al que es instalado en el servidor, con este programa le daremos las reglas para prevenir cualquier acceso no permitido. El punto de acceso que utilizaremos es un links modelo WAP54G, con una IP 192.168.1.245, con tarjetas inalambricas NETGEAR wg111v2 para la comunicación. Cada equipo tendra su propia IP, con un rango de (192.168.1.2 a 192.168.1.5). 5.3 Justificación de la solución La red inalambrica es puesta en marcha ya que algunas de las zonas de la nueva oficina es complicado realizar un cableado estructurado, y ya que no se desea dañar el diseño de la misma, se opto por esta opción, pero ya que la red podra ser vista por cualquier usuario que tenga un conexión inalambrica, se tiene que poner seguridad, la mas rigurosa que la red permita. Ya que en la empresa se maneja información delicada de sus clientes debe proteger dicha información, los 4 equipos que se conectaran a la red podran tener los servicios habituales, que si se conectaran a la red cableada. 71 La ventaja de este tipo de red es que si tenemos que mover los equipos de un lado a otro, o a otro cubIculo o si se le tiene que asignar a otra persona o hacer alguna presentación en la sala de juntas, podra tener conexión a la red y a los datos que requiera. Como ya habIamos mencionado antes el reducido número de equipos da la ventaja que se realice un filtrado por dirección fIsica (MAC), ya que el sistema del punto de acceso solo permite un listado de 50 direcciones fIsicas para permitir el acceso. El servidor proxy nos servira para el control de acceso del usuario a paginas que puedan ser peligrosas para la empresa, paginas que puedan instalar desde Internet los llamados spyware, ya que con esto se podrIa violar la seguridad de la red, asI mismo tener el control de las llamadas o entradas que se realizan hacia nuestra red. El sistema de cifrado WEP servira para que a partir de una palabra o frase se realicen 4 mas y nosotros podemos escoger por un tiempo determinado cual utilizaremos o si queremos cambiar la frese y generar otras 4 mas, en un determinado tiempo, se recomienda cambiar la clave cada mes para mantener la seguridad en forma y sea mas robusta. 5.4 Implantación de la solución. La red inalambrica se llamara “libertia”, el punto de acceso tendra la IP 192.168.1.245 la cual esta direccionada a una puerta de enlace que tendra la IP 192.168.1.1 la cual sera la salida a Internet, los equipos tendran las IPs 192.168.1.2 a 192.168.1.5, dentro de la configuración del punto de acceso activaremos la opción del sistema de cifrado web, y colocaremos nuestra primera frase, para generar las siguiente llaves de acceso, en este momento elegiremos, la primera, y esa sera nuestra clave para entrar a la red. Después de realizar este paso activaremos la opción de filtrado por dirección fIsica, aquI tenemos dos opciones, la cual nos dice que las MAC que enlistemos se permitira el acceso o se les denegara, para la protección de la red elegiremos la que dice que permita el acceso, para que las 4 direcciones fIsicas que coloquemos, permita la conexión con la red si ningún problema. 72 Después de hacer estos pasos se conectara el punto de acceso a algún puerto de la red o directamente en el ruteador que se tiene. El siguiente paso es configurar nuestro servidor proxy, para el cual usaremos el programa SQUID que nos permitira restringir paginas especificas o palabras que contengan las paginas, como video, música. También se podra bloquear IP, todo esto con una lista de acceso que crearemos en la misma carpeta de SQUIQ. Para empezar a configurarlo debemos copiar la carpeta de squid en el servidor, directamente en C:\, y dentro de C:\squid\etc\ encontraremos los archivos para configurar las restricciones, también le diremos cual es el rango de nuestra red indicandolo de la siguiente manera 192.168.1.0, con esto le indicamos el tipo de parametros que ocupa la red. El siguiente paso es crear nuestro documento en TXT para ingresar las paginas que deseamos bloquear, procurando reiniciar el servicio de squid en cada modificación del archivo squid.conf. Cuando ya tenemos configurado el servicio e iniciado sin ningún error, tenemos que configurar en cada equipo el servidor proxy en el explorador de Internet, haciendo que la puerta predeterminada sea el servidor proxy y no el modem de Internet. Posteriormente desactivamos estas opciones para evitar que el mismo usuario desactive el servidor proxy. La red funcionara de la siguiente manera, los equipos se conectaran de forma inalambrica al equipo linksys con IP 192.168.1.245, a la red llamara “libertia”, el punto de acceso comprobara si en el listado del filtrado por dirección fIsica es correcto y validando la contraseña que previamente le proporcionamos a cada usuario, al ingresar a la red directamente buscaran el servidor proxy con IP 192.168.1.10, el cual se encargara de permitir o denegar la salida dependiendo de la llamada que se realice , y después se direcciona al modem de Internet, como se muestra en la Figura 5.1. 73 Modem Internet (192.168.1.1) Equipo 4 (192.168.1.5) Equipo 1 (192.168.1.2) Equipo linksys (192.168.1.245) Equipo 2 (192.168.1.3) Equipo 3 (192.168.1.4) Servidor proxy (192.168.1.10) Figura 5.1 Equipos conectados al Acces point 74 Conclusiones Como se puede observar en esta tesina las redes inalambricas han llegado para revolucionar la forma de comunicación, ya que anteriormente se necesitaba mucho esfuerzo para instalar una red por cable y era muy costosa, pero con las redes inalambricas podemos reducir costos en todos los sentidos, por su facil instalación y configuración. Todo siempre tiene sus desventajas, pero con el tiempo esas desventajas han sido reducidas al mInimo, una de ellas es la seguridad, aunque hemos visto varios sistemas de seguridad las redes aun pueden ser violadas, por eso es recomendable seguir ciertas reglas para tener el control de la misma, asI como restringir al usuario para que el mismo no pueda sabotear dicha seguridad, ya sea por accidente o intencionalmente. Pero no solamente puede ser saboteada por personas externas o internas, también se puede interrumpir la señal por varias razones, como la señal de otro tipo de redes inalambricas y esto lo podemos evitar cambiando el modo o el canal de transmisión. Cada dIa avanza mas la tecnologIa y con ello las redes inalambricas, tienen mayor velocidad de transmisión, blindaje contra interrupciones de señal y mayor seguridad para protegerla. Como administradores de red debemos tener presente que las claves de seguridad y la forma de transmisión puede tener otros peligros tales como, el daño del equipo en forma fIsica, ya que si nuestro punto de acceso o concentrador inalambrico se encuentra posicionado en un lugar inadecuado o de alto riesgo, no servira de nada tener la mejor seguridad si el equipo es dañado por el mismo personal de la empresa, o si no tiene una buena protección eléctrica, ya que alguna descarga puede llegar a desconfigurar el punto de acceso o simplemente quemarlo. 75 Una buena administración de un punto de acceso podrIa llevarse a cabo con un bueno sistema de cifrado para la clave de acceso, y con un filtro para los equipos que se conectaran, ya sea por dirección fIsica o por dirección IP, esto restringirIa a los ataques externos. También serIa prudente evitar el ingreso de los usuarios a ciertas paginas las cuales pueden contener programas peligrosos conocidos como programas espIas (spyware), para evitar el sabotaje de nuestra red, asI como polIticas de seguridad, tales como, no dejar la contraseña de la red escrita en cualquier parte o en algún archivo, actualizar la clave de acceso regularmente. Con las redes inalambricas debemos tener cuidado ya que si no tomamos las medidas preventivas adecuadas en vez de beneficiar a la empresa, puede llegar a perjudicarla, ya que si dejamos la red sin la debida seguridad, cualquier persona ajena a ella, podrIa ingresar a nuestros archivos, y robar información valiosa o hasta destruirla, como bien sabemos las redes inalambricas son el futuro de la comunicación, pero si no prevenimos los ataques y posibles daños a la red, podemos dañar el trabajo de los que laboran en dicha empresa. 76 Bibliografía Libros Stallings, William Comunicaciones y redes de computadoras Ed. Prentice Hall 6ª edición Forouzan, Behrouz A. Transmisión de datos y redes de comunicaciones Ed. Mc Graw Hill 2a edición Revistas Orihuela Álvarez, Mauricio (2005) Fraude en la red No.117, pp. 20-26 Cabrera, VIctor A. (2004) La seguridad invisible No. 164 , pp. 18-23 Altenheimer, Jorge (2005) Principales estandares inalambricos No.168, pp 32-34 Alcantara Castro, MarIa E. (2007) Revolución Wireless, Wi-Fi, Wi-Max, la cobertura hacia la diferencia No.163, pp. 12-16 Buettrich Sebastian, Escudero Pascual, Alberto TopologIa e Infraestructura Basica de Redes Inalambricas Ed. Tricalcar 1a edición http://www.it46.se/courses/wireless/materials/es/04_Topologia- 25/Agosto/09 Infraestructura/04_es_topologia-e-infraestructura_guia_v01.pdf Bello, Claudia E. Manual de Seguridad en Redes Secretaria de la Función Pública http://www.arcert.gov.ar/webs/manual/manual_de_seguridad.pdf 4/Noviembre/09 Alapont Miquel, Vicent 77 Seguridad de Redes Inalambricas Universidad de Valencia http://documentos.shellsec.net/otros/SeguridadWireless.pdf 4/Noviembre/09 Oliva Fora, Pau (In)seguridad en redes 802.11b Marzo 2003 www.rcwireless.com/descarga/(In)seguridad%20en%20redes.pdf 4/Noviembre/09 World Wide Web http://es.kioskea.net/contents/wifi/wifirisques.php3#brouillage 14/Octubre/09 http://es.wikipedia.org/wiki/Programa_esp%C3%ADa 14/Octubre/09 http://www.microsoft.com/latam/seguridad/hogar/spam/phishing.ms 14/Octubre/09 px http://www.e-advento.com/tecnologia/wlan_intro.php 14/Septiembre/09 http://netraid.blogspot.com/search/label/Wi%20Fi 15/Octubre/09 http://mmc.geofisica.unam.mx/LuCAS/Manuales-LuCAS/doc- 15/Octubre/09 unixsec/ unixsec-html/node336.html http://es.wikipedia.org/wiki/Phishing 15/Octubre/09 http://graficos.lainformacion.com/2009/08/ataque-contra-twitter/ 15/Octubre/09 http://www.maximotec.com/showthread.php?t=154 16/Octubre/09 http://es.wikipedia.org/wiki/ Wardriving 16/Octubre/09 http://www.adslfaqs.com.ar/historia-y-actualidad-del-wifi-o-wi-fi/ 16/Septiembre/09 http://es.wikipedia.org/wiki/Red_inal%C3%A1mbrica 16/Septiembre/09 http://es.wikipedia.org/wiki/Wi-Fi#Ventajas_y_desventajas 16/Septiembre/09 http://es.wikipedia.org/wiki/DSSS 16/Septiembre/09 http://es.wikipedia.org/wiki/FHSS 16/Septiembre/09 http://www.casadomo.com/noticiasDetalle.aspx?c=47&idm=57&m 16/Septiembre/09 =164&n2=148&pat=148 http://es.kioskea.net/contents/wifi/wifiintro.php3 http://www.mailxmail.com/curso-redes-inalambricas-wi-fi-futuro- 19/Septiembre/09 25/Agosto/09 comunicacion/topologia-modos-funcionamiento-dispositivos 78 http://www.unincca.edu.co/boletin/indice.htm 26/Agosto/09 http://www.textoscientificos.com/redes/inalabricas-laser 26/Agosto/09 http://joan004.tripod.com/Canal.htm 27/Agosto/09 http://es.wikipedia.org/wiki/WPAN 27/Agosto/09 http://es.wikipedia.org/wiki/WLAN 27/Agosto/09 http://es.kioskea.net/contents/wireless/wman.php3 27/Agosto/09 http://es.wikipedia.org/wiki/Punto_de_acceso 27/Agosto/09 http://guia.mercadolibre.com.mx/componentes-necesarios- 27/Agosto/09 establecer-una-red-lan-inalambrica-22594-VGP http://es.wikipedia.org/wiki/WAN 28/Agosto/09 http://es.wikipedia.org/wiki/Red_inal%C3%A1mbrica#Wireless_Pe 28/Agosto/09 rsonal_Area_Network http://www.superinventos.com/wifi.htm 28/Agosto/09 http://www.tqm.com.uy/catalog/tarjeta-red-inalambrica-pci- 28/Agosto/09 54mbps-trednet-tew423pi-p-299.html http://es.kioskea.net/contents/lan/routeurs.php3 http://www.vinagreasesino.com/articulos/tipos-de-firewalls- 28/Agosto/09 3/Noviembre/09 ventajas-y-desventajas.php http://es.kioskea.net/contents/protect/firewall.php3 3/Noviembre/09 http://es.kioskea.net/faq/sujet-191-seguridad-como-utilizar-un- 3/Noviembre/09 firewall http://www.desarrolloweb.com/articulos/seguridad-en-la-red- 4/Noviembre/09 firewall.html http://es.wikipedia.org/wiki/Cortafuegos_(inform%C3%A1tica)#Ve 4/Noviembre/09 ntajas_de_un_cortafuegos http://www.3com.es/pressbox/techpaper/papers/politicas_seguridad. 5/Noviembre/09 pdf 79 Glosario ADSL: Asymmetric digital subscriber line es una tecnologIa que permite el transporte de servicios de banda ancha sobre el par de cobre empleado por el servicio telefónico basico. ADSL permite la transmisión de hasta 8 Mbps de información en sentido red- usuario y hasta 1Mbps en sentido usuario-red. Para ello, emplea la capacidad espectral existente en el par de cobre, por encima del canal telefónico. AP (Access Point o Punto de acceso): Dispositivo que interconecta dispositivos de comunicación inalambrica para formar una red inalambrica. Normalmente un WAP también puede conectarse a una red cableada, y puede transmitir datos entre los dispositivos conectados a la red cable y los dispositivos inalambricos. ATM: El modo de transferencia asIncrona o asynchronous transfer mode es una tecnologIa de telecomunicación desarrollada para hacer frente a la gran demanda de capacidad de transmisión para servicios y aplicaciones. Autenticidad: Es valida y utilizable. Bluetooth: Es una especificación industrial para redes inalambricas de area personal (WPAN) que posibilita la transmisión de voz y datos entre diferentes dispositivos mediante un enlace por radiofrecuencia. CISCO: Es un programa amplio de enseñanza, el cual la Universidad Internacional ha comprometido enseñar a los estudiantes las habilidades tecnológicas de Internet esenciales en una economIa global. El programa proporciona seguimiento del desempeño de los estudiantes, soporte y entrenamiento por parte de los instructores y preparación para las certificaciones estandares de la industria. Confidencialidad: Es la propiedad de la información, por la que se garantiza que esta accesible únicamente a personal autorizado. 80 CSMA/CA: Es el acrónimo de carrier sense multiple acces/collision avoidance; es un protocolo cuya función es prevenir las colisiones cuando dos estaciones transmiten datos al mismo tiempo. DS-CDMA: La multiplexación por división de código de secuencia directa o DS-CDMA del inglés code division multiple access, es un término genérico para varios métodos de multiplexación o control de acceso al medio basado en la tecnologIa de espectro expandido. DSL: Digital subscriber line o lInea de suscripción digital, es un término utilizado para referirse de forma global a todas las tecnologIas que proveen una conexión digital sobre lInea de abonado de la red telefónica basica o conmutada. Enrutadores: Es un dispositivo para la interconexión de redes informaticas que permite asegurar el enrutamiento de paquetes entre redes o determinar la ruta que debe tomar el paquete de datos. Ethernet: Es una tecnologIa de redes de area local (LAN) que transmite información entre computadoras a una velocidad de 10 Mbps. FDMA: El acceso múltiple por división de frecuencia o frecuency division multiple access es una técnica de multiplexación usada en múltiples protocolos de comunicaciones, tanto digitales como analógicos, principalmente de radiofrecuencia, y entre ellos en los teléfonos móviles de redes GSM. Firewalls: Dispositivo diseñado para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas y configurado para permitir, limitar, cifrar, descifrar, el trafico entre los diferentes ambitos sobre la base de un conjunto de normas y otros criterios. 81 FTP (File Transfer Protocol o Protocolo de Transferencia de Archivos): es un protocolo de red para la transferencia de archivos entre sistemas conectados a una red TCP, basado en la arquitectura cliente-servidor. GPS (Sistema de posicionamiento Global): Es un sistema global de navegación por satélite (GNSS) que permite determinar en todo el mundo la posición de un objeto, una persona, un vehIculo o una nave. Hardware: Son todas las partes fIsicas y tangibles de una computadora: sus componentes eléctricos, electrónicos, electromecanicos y mecanicos; sus cables, gabinetes o cajas, periféricos de todo tipo y cualquier otro elemento fIsico involucrado. Hash: Se refiere a una función o método para generar claves o llaves que representen de manera casi unIvoca a un documento, registro, archivo, etc. Home Gateway: Es un equipo de telecomunicaciones usado tanto en interiores como en exteriores para originar, encaminar o terminar una comunicación. Host: Son los computadores conectados a la red, que proveen y/o utilizan servicios a/de ella. En general, los hosts son computadores mono o multiusuario que ofrecen servicios de transferencia de archivos, conexión remota, servidores de base de datos, servidores www, etc. IFS: Interfaz única a todos los sistemas de archivos de routers Cisco Systems. El IFS provee un método unificado para administrar el sistema de archivos que utilizan los routers. Integridad: Se refiere a la corrección y completitud de los datos en una base de datos. IP: Internet protocol o protocolo de Internet es un protocolo no orientado a conexión usado tanto por el origen como por el destino para la comunicación de datos a través de una red de paquetes conmutados. 82 IPSec: Internet Protocol Security es un conjunto de protocolos cuya función es asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos. IPsec también incluye protocolos para el establecimiento de claves de cifrado. IrDA: Infrared Data Association, define un estandar fIsico en la forma de transmisión y recepción de datos por rayos infrarrojo. Esta tecnologIa esta basada en rayos luminosos que se mueven en el espectro infrarrojo. ISP: Proveedor de servicios de Internet o Internet service provider es una empresa dedicada a conectar a Internet a los usuarios, o las distintas redes que tengan, y a dar el mantenimiento necesario para que el acceso funcione correctamente. MACA: Multiple access with collision avoidance es un protocolo informatico en el cual las estaciones, antes de transmitir, deben enviar una trama RTS (Request To Send). Dicha trama, indica la longitud del paquete de datos a enviar. El Tamaño de dicha trama es de 30 bytes. NAT (Network Address Translation o Traducción de Dirección de Red): es un mecanismo utilizado por routers IP para intercambiar paquetes entre dos redes que se asignan mutuamente direcciones incompatibles. PDA (Asistente Digital Personal): Es un computadora de mano, Estos dispositivos, pueden realizar muchas de las funciones de una computadora de escritorio (ver pelIculas, crear documentos, juegos, correo electrónico, navegar por Internet, reproducir archivos de audio, etc.)pero con la ventaja de ser portatil. Peer to peer (Punto a punto): Es una red de computadoras en la que todos o algunos aspectos de esta funcionan sin clientes ni servidores fijos, sino una serie de nodos que se comportan como iguales entre si. Es decir, actúan simultaneamente como clientes y servidores respecto a los demas nodos de la red. 83 POTS: Es el acrónimo de plain old telephone service o servicio telefónico ordinario antiguo, conocido también como servicio telefónico tradicional o telefonIa basica, que se refiere a la manera en como se ofrece el servicio telefónico analógico o convencional por medio de cableado de cobre. RC4: Es el sistema de cifrado de información mas utilizado y se usa en algunos de los protocolos mas populares como Transport Layer Security (TLS/SSL) (para proteger el trafico de Internet) y Wired Equivalent Privacy (WEP) (para añadir seguridad en las redes inalambricas). Sistema de nombre de dominio (DNS): Es un sistema de nomenclatura jerarquica para computadoras, servicios o cualquier recurso conectado al Internet o a una red privada. Su función mas importante, es traducir nombres inteligibles para los humanos en identificadores binarios asociados con los equipos conectados a la red, esto con el propósito de poder localizar y direccionar estos equipos mundialmente. Sitios Webs piratas: Sitios de Internet que se hacen pasar por un sitio web real, puede contener el diseño o caracterIsticas similares, que hacen pensar al usuario q es una pagina confiable. Software: Se refiere al equipamiento lógico o soporte lógico de una computadora digital, y comprende el conjunto de los componentes lógicos necesarios para hacer posible la realización de una tarea especIfica. Spyware: Un programa espIa que se instala furtivamente en una computadora para recopilar información sobre las actividades realizadas en ella. SSID: Es un código incluido en todos los paquetes de una red inalambrica (Wi-Fi) para identificarlos como parte de esa red. También se refiere a una dirección IP que es un número que identifica de manera lógica y jerarquica a una interfaz de un dispositivo (habitualmente una computadora) dentro de una red que utilice el protocolo IP. 84 TKIP: (Temporal Key Integrity Protocol o Llave temporal del Protocolo de integridad) es también llamado hashing de clave WEP, WPA, incluye mecanismos del estandar emergente 802.11i para mejorar el cifrado de datos inalambricos. VPN: Virtual Private Network o Red Privada Virtual, es una tecnologIa de red que permite una extensión de la red local sobre una red pública o no controlada, como por ejemplo Internet. XOR: Es un algoritmo de cifrado puede ser encriptado aplicando el operador de bit XOR sobre cada uno de los caracteres utilizando una clave. 85