Saltar a contenido

Seguridad en Redes Inalámbricas

Este documento no pretende ser un texto original. Son unos simples apuntes basados en los libros y referencias mencionados en la bibliografía. Todo el mérito de lo aquí escrito se debe a los autores de dichos textos.

Se presenta una introducción a la seguridad de redes inalámbricas (wifi). También en los apéndices se tratan algunos temas sobre seguridad informática y sobre redes inalámbricas.

Se puede poner en contacto con el autor a través de su página web http://www.rhernando.net .

Introducción

Una red Wi-Fi, al igual que ocurre con cualquier tipo de red inalámbrica, es una red en principio insegura puesto que el medio de transmisión es el aire y las señales viajan libres, de manera que cualquier individuo equipado con una antena de las características adecuadas podría recibir la señal y analizarla. Sin embargo, esa capacidad de recibir la señal no equivale a poder extraer la información que contiene, siempre y cuando se tomen las medidas oportunas, como el cifrado de la misma.

A lo largo de este trabajo se verán las distintas características de las redes Wi-Fi, así como conceptos generales sobre seguridad, para ver por último cómo securizar las redes Wi-Fi; además, se incluyen una serie de apéndices que desarrollan con más profundidad algunos temas.

Wi-Fi

Wi-Fi (WIFI, Wireless Fidelity) es un conjunto de estándares para redes inalámbricas basados en las especificaciones IEEE 802.11. Creado para ser utilizado en redes locales inalámbricas, es frecuente que en la actualidad también se utilice para acceder a Internet.

Los elementos fundamentales dentro de una red inalámbrica Wi-Fi son los puntos de acceso o AP (Access Point), que centralizan el servicio de acceso a la red inalámbrica (como un hub o switch en una red de cable tradicional) y los nodos inalámbricos o estaciones WSTA, que son los diferentes aparatos (normalmente ordenadores personales) que se conectan a la red inalámbrica utilizando algún tipo de adaptador de red sin cables.

Hay tres tipos de Wi-Fi, basado cada uno de ellos en un estándar IEEE 802.11. Un cuarto estándar, el 802.11n, está siendo elaborado y se espera su aprobación final para la segunda mitad del año 2007. Los estándares IEEE 802.11b e IEEE 802.11g disfrutan de una aceptación internacional debido a que la banda de 2.4 GHz está disponible casi universalmente, con una velocidad de hasta 11 Mbps y 54 Mbps, respectivamente. Existe también un primer borrador del estándar IEEE 802.11n que trabaja a 2.4 GHz a una velocidad de 108 Mbps. En la actualidad se maneja también el estándar IEEE 802.11a, conocido como WIFI 5, que opera en la banda de 5 GHz y que disfruta de una operatividad con canales relativamente limpios. La banda de 5 GHz ha sido recientemente habilitada y, además no existen otras tecnologías (Bluetooth, microondas, etc) que la estén utilizando, por lo tanto hay muy pocas interferencias. La tecnología inalámbrica Bluetooth también funciona a una frecuencia de 2.4 GHz por lo que puede presentar interferencias con Wi-Fi, sin embargo, en la versión 1.2 y mayores del estándar Bluetooth se ha actualizado su especificación para que no haya interferencias en la utilización simultánea de ambas tecnologías.

En el apéndice A se amplía el estándar 802.11.

Seguridad Wi-Fi

Los ataques que sufren las redes de telecomunicaciones son muchos y variados, y van desde la intrusión de virus y troyanos hasta la alteración y robo de información confidencial. Para más información sobre seguridad se puede consultar el apéndice C.

Uno de los problemas más graves a los cuales se enfrenta actualmente la tecnología Wi-Fi es la seguridad. Un elevado porcentaje de redes son instaladas por administradores de sistemas y redes por su simplicidad de implementación sin tener en consideración la seguridad y, por tanto, convirtiendo sus redes en redes abiertas, sin proteger la información que por ellas circulan. Existen varias alternativas para garantizar la seguridad de estas redes. Las más comunes son la utilización de protocolos de cifrado de datos para los estándares Wi-Fi como el WEP y el WPA que se encargan de codificar la información transmitida para proteger su confidencialidad, proporcionados por los propios dispositivos inalámbricos, o IPSEC (túneles IP) en el caso de las VPN y el conjunto de estándares IEEE 802.1X, que permite la autenticación y autorización de usuarios. Actualmente existe el protocolo de seguridad llamado WPA2 (estándar 802.11i), que es una mejora relativa a WPA, es el mejor protocolo de seguridad para Wi-Fi en este momento.

Peligros y ataques

Las violaciones de seguridad en las redes wireless (WLAN) suelen venir de los puntos de acceso no autorizados (rogue AP), es decir, aquellos instalados sin el conocimiento del administrador del sistema. Estos agujeros de seguridad son aprovechados por los intrusos que pueden llegar a asociarse al AP y, por tanto, acceder a los recursos de la red.

Warchalking y wardriving

El warchalking hace referencia a la utilización de un lenguaje de símbolos (véase la figura 3.1) para reflejar visualmente la infraestructura de una red inalámbrica y las características de alguno de sus elementos. Estas señales se suelen colocar en las paredes de edificios situados en las zonas en las que existen redes inalámbricas para indicar su condición y facilitar el acceso a las mismas.

El wardriving se refiere a la acción de ir recorriendo una zona en busca de la existencia de redes wireless y conseguir acceder a ellas. Requiere de un software especial que capture las tramas broadcast que difunden los AP.

Ruptura de la clave WEP

El mecanismo de seguridad especificado en el estándar 802.11 es el cifrado de la información utilizando una clave simétrica denominada WEP. Sin embargo, WEP tiene deficiencias conocidas, como la corta longitud de su clave o la propagación de la misma, que permiten acceder a redes protegidas solamente mediante WEP.

Símbolos utilizados en el warchalking Símbolos utilizados en el warchalking

Suplantación

La suplantación es un ataque en el que el intruso pretende tomar la identidad de un usuario autorizado.

Una variante pasiva de la suplantación es la escucha (eavesdropping). Como las comunicaciones inalámbricas viajan libremente por el aire cualquiera que esté equipado con una antena que opere en el rango de frecuencias adecuado y dentro del área de cobertura de la red podrá recibirlas.

También existen suplantaciones activas, como el spoofing. Consiste en que el intruso consigue suplantar la identidad de una fuente de datos autorizada para enviar inofrmación errónea a través de la red. El mecanismo más simple es emplear una dirección MAC válida.

Otra técnica activa es la captura de canales (hijacking). Sucede cuando un intruso se hace con un canal que, desde ese momento, ya no estará accesible para usuarios autorizados disminuyendo así las prestaciones de la red. Otra posibilidad es que un punto de acceso intruso logre conectarse a la red para que las estaciones le envíen información reservada como son nombres de usuario o contraseñas.

Denegación de servicio

Son aquellos ataques en los que el intruso consigue que los usuarios autorizados no puedan conectarse a la red. Existen los siguientes ataques de denegación de servicio:

  • Crear un nivel elevado de interferencias en una zona cercana al punto de acceso.
  • Ataques por sincronización.
  • Smurf. El intruso envía un mensaje broadcast con una dirección IP falsa que, al ser recibida, causará un aumento enorme de la carga de red.

Mecanismos de seguridad

La seguridad WIFI abarca dos niveles. En el nivel más bajo se encuentran los mecanismos de cifrado de la información, y en el nivel superior los procesos de autenticación.

Autenticidad y privacidad

Al igual que en el resto de redes la seguridad para las redes wireless se concentra en el control y la privacidad de los accesos. Un control de accesos fuerte impide a los usuarios no autorizados comunicarse a través de los AP, que son los puntos finales que en la red Ethernet conectan a los clientes WLAN con la red. Por otra parte, la privacidad garantiza que sólo los usuarios a los que van destinados los datos trasmitidos los comprendan. Así, la privacidad de los datos transmitidos sólo queda protegida cuando los datos son encriptados con una clave que sólo puede ser utilizada por el receptor al que están destinados esos datos.

Por tanto, en cuanto a seguridad, las redes wireless incorporan dos servicios: de autenticación y privacidad.

Autenticidad

Los sistemas basados en 802.11 operan muy frecuentemente como sistemas abiertos, de manera que cualquier cliente inalámbrico puede asociarse a un punto de acceso si la configuración lo permite. También existen listas de control de accesos basadas en la dirección MAC, disponiendo en el AP de una lista con los clientes autorizados para rechazar a los que no lo están. También es posible permitir el acceso a cualquier nodo que se identifique y que proporcione el SSID (Service Set ID) correcto.

Privacidad

Por defecto, los datos se envían sin utilizar ningún cifrado. Si se utiliza la opción WEP los datos se encriptan antes de ser enviados utilizando claves compartidas, que pueden ser estáticas o dinámicas. Para realizar el cifrado se emplea la misma clave que se usa para la autenticación WEP. También se pueden utilizar otros mecanismos más potentes, como WPA o el nuevo estándar 802.11i.

Cifrado WEP

El mecanismo de cifrado básico definido en el estándar 802.11 es el WEP (Wireless Equivalent Privacy). WEP es un algoritmo de encriptación que permite codificar los datos que se transfieren a través de la red inalámbrica y autenticar los dispositivos móviles que se conectan a los puntos de acceso.

El cifrado WEP se basa en un cifrado de flujo simétrico que utiliza el algoritmo RC4. La clave del cifrador de flujo se obtiene de aplicar al conjunto de una clave estática de longitud variable (entre 40 y 104 bits) y un vector de inicialización (IV) fijo de 24 bits el algoritmo de cifrado. Todo ello se suma, bit a bit, con los datos en claro para obtener el resultado final. Su funcionamiento se muestra en la figura

Cifrado WEP

La utilización del IV es conseguir que el mismo texto en claro no vuelva a generar el mismo texto cifrado. Se aconseja cambiar su valor en cada trama. Como se genera sin ningún patrón fijo, y dado que el destinatario lo necesita para descifrar la información, se envía en claro dentro de la cabecera de la trama 802.11.

Una de las vulnerabilidades más claras de WEP es que se utiliza la misma clave para cifrar todas las tramas, ya que tanto la clave estática como el vector de inicialización son fijos (aunque el estándar recomienda cambiar su valor en cada trama). Así, cualquier intruso con una antena adecuada podría captar la información enviada al AP y mediante cierto software obtener la clave WEP.

Otro problema es que la clave es estática y es configurada por el administrador en cada nodo de la red (tanto equipos, como AP). Si un dispositivo que utiliza la clave WEP fuera robado su poseedor se podría conectar a la red sin que el administrador lo advirtiera.

Una solución es proporcionar una distribución automática de las claves de cifrado en un entorno autenticado. Una vez que la estación (WSTA) se ha asociado a un AP, el paso siguiente es identificarse ya que, hasta entonces, no le será permitido el acceso. Para ello, tras la asociación, la WSTA y la red (el punto de acceso o el servidor de autenticación) intercambian mensajes para autenticarse mutuamente examinando sus credenciales. Hecho esto, se acuerda una clave WEP exclusiva para dicha sesión. Las contraseñas y las claves de sesión nunca se envían en claro.

Autenticación

La autenticación hace referencia al proceso por el cual el AP permite o no el acceso a los recursos de la red, de manera que antes de permitir que una WSTA se asocie al AP debe proporcionar unas credenciales válidas. El estándar 802.11 especifica tres mecanismos de autenticación.

  • La primera posibilidad es no utilizar ningún mecanismo de identificación. Es lo que se conoce como autenticación abierta. La WSTA establece la conexión con el AP sin necesidad de aplicar ningún mecanismo de autenticación. Se suele utilizar en puntos de acceso públicos (hot spot).
  • Otra posibilidad es utilizar un filtrado por la dirección de MAC para minimizar el riesgo de conexión de WSTA no autorizadas. En este caso, el AP dispone de una lista en la que se especifica la dirección MAC de todos los dispositivos con permiso para acceder a la red. Las direcciones MAC son únicas para cada equipo, por lo que este mecanismo es robusto y fiable; el problema es que es impracticable para redes grandes, ya que hay que conocer –y añadir a la lista– la dirección MAC de todos los equipos.
  • También es posible permitir el acceso a cualquier nodo que se identifique y que proporcione el SSID correcto.
  • La última alternativa es la autenticación de clave compartida. En este caso, el cliente que desea acceder a la red envía una solicitud de autenticación al AP y éste, a su vez, le devuelve una trama de prueba sin cifrar. El cliente debe cifrar esa trama utilizando su clave WEP y enviar el resultado al punto de acceso. Este proceso no es seguro, ya que cualquiera que capture la trama de prueba en claro y la trama cifrada puede obtener la clave WEP.

WPA (WiFi Protected Access)

WPA es un preestándar soportado por la WiFi Alliance, de 802.11i, que utiliza una encriptación mejorada mediante TKIP (Temporal Key Integrity Protocol). Se ha estado utilizando hasta la aprobación del estándar 802.11i. Soluciona los problemas inherentes a WEP, ampliando la longitud de la clave a más de 128 bits e incluyendo el uso de claves dinámicas para cada usuario, para cada sesión y para cada paquete enviado; además de añadir un eficaz mecanismo para la autenticación de los usuarios; a partir de la clave principal generada por EAP y conocida por los extremos, genera un conjunto de claves que se emplean en el cifrado.

datos. La autenticación se consigue mediante 802.11X. Además, se utiliza MIC (Message Integrity Check), un mecanismo que retoma el CRC empleado por WEP y le añade otra capa de veerificación que mejora la comprobación de la integridad de los paquetes enviados.

El diseño de WPA se ha realizado pensando en que se pueda utilizar en dos entornos diferentes: empresarial (enterprise mode) y en el hogar (home mode). Para las empresas y grandes corporaciones se utilizan sofisticados mecanismos de autenticación: 802.11X con un servidor de red (por ejemplo, RADIUS), y distribución automatizada de claves especiales, llamadas master keys, a partir de las cuales se generan automáticamente las claves de trabajo.

Para empresas que requieran de una seguridad WLAN total, de extremo a extremo, y no dispongan de WPA, se puede garantizar dicha seguridad utilzando una VPN (Virtual Private Network). La VPN consigue la seguridad extremo a extremo tanto si los usarios acceden desde la propia empresa, su hogar, o desde un Hot Spot, ya que crean un camino seguro (túnel) sobre un medio inseguro como puede ser Internet.

En el entorno del hogar o pequeñas empresas, WPA corre en un modo especial que permite la entrada de las claves manualmente. Este modo, llamado PSK (Pre-Shared Key), es muy sencillo de implementar; todo lo que se necesita es añadir la clave en el punto de acceso o router WiFi y en cada uno de los equipos conectados. Esta clave PSK nunca se transmite por el aire ni se utiliza para encriptar el flujo de datos, sino, simplemente, para iniciar el proceso de claves dinámicas TKIP, por lo que es mucho más seguro que WEP.

802.11i

En el nivel de cifrado la norma 802.11i (también llamada WPA2) introduce grandes mejoras en la encriptación de los mensajes mediante TKIP y, sobre todo, CCMP. Emplea 802.11X para identificación de usuarios y distribución automática de claves.

Cifrado

El estándar 802.11i mejora las características del cifrado WEP y, además, redefine el modelo de seguridad de manera que resulte sencillo introducir nuevos protocolos de cifrado en el futuro.

Además del cifrado TKIP, el estándar 802.11i define otro método de encriptación llamado CCMP. CCMP está basado en el algoritmo AES (Advanced Encryption Standard). AES es un algoritmo de cifrado simétrico. Para 802.11i se ha elegido el modo de operación de AES CCM (Counter mode with CBC-MAC).

CCMP emplea un IV de 48 bits denominado PN (Packet Number) que se emplea junto con otra información para inicializar el cifrador AES. Tanto el cifrador AES como el cálculo del MIC emplean la misma clave temporal derivada de la autenticación 820.1X. En recepción, el proceso es idéntico, aunque hay que añadirle la verificación del MIC.

Autenticación
802.11X

802.11X es un protocolo de control de acceso empleado en redes basadas en puertos, de manera que no es posible enviar ni recibir tramas en un puerto para el que el proceso de autenticación ha sido fallido.

La especificación define los siguientes conceptos:

  • Autenticador (authenticator). Es un puerto que exige una autenticación previa a permitir el acceso a los servicios que se ofrece a través de él. En redes WLAN es el puerto del AP inalámbrico con el que se comunican los clientes para acceder a los recursos de la red.
  • Solicitante (supplicant). Es el puerto que pide acceder a los servicios disponibles a través del puerto autenticador. Está ubicado en los clientes que intentan asociarse al AP. Los puertos solicitantes y el autenticador pertenecen al mismo segmento de red y están conectados punto a punto, tanto a nivel lógico como a nivel físico.
  • Servidor de autenticación (AS, Authentication Server). Comprueba las credenciales del puerto solicitante remitida por él al puerto autenticador y responde a este último con la aceptación o la denegación del acceso a los servicios del autenticador. Existen dos tipos:
  • AS integrado en el punto de acceso.
  • AS externo. Suele tratarse de un servidor RADIUS (Remote Authentication Dial-In User Service), que es el servidor de autenticación recomendado por la WiFi Alliance.

Componentes 802.11X

Además, hay que distinguir entre puertos no controlados y puertos controlados. Los primeros son los empleados por el AP para comunicarse con el AS independientemente de que se haya autorizado al cliente la utilización de la conexión inalámbrica. Por otra parte, los puertos controlados son aquellos que únicamente pueden utilizarse si el cliente ha superado con éxito el proceso de autenticación. En la figura se explica todo el proceso de autenticación.

Autenticación 802.11X

EAP

EAP (Extensible Authentication Protocol) es un protocolo de autenticación mutua entre los extremos de una comunicaci ón. Es una extensión del protocolo punto a punto (PPP). Realizada la autenticación mutua, el cliente y el servidor de autenticación acuerdan una clave base específica para ese cliente, que se empleará únicamente durante la sesión activa. Las contraseñas y las claves de sesión nunca se envían en claro, sino que se cifran con WEP.

EAP/TLS

Se trata de un estándar de IETF basado en el protocolo TLS (Transport Layer Security). EAP/TLS utiliza certificados digitales tanto para el cliente como para el servidor de autenticación. El servidor de autenticación envía su certificado al cliente en lo que se denomina fase 1 de la autenticación (autenticación TLS del servidor). El cliente valida el certificado del servidor verificando su emisor (autoridad de certificación) y sus contenidos. Finalizada esta operación, el cliente envía su certificado al servidor de autenticación, comenzando así la segunda fase (autenticación TLS del cliente). El servidor de autenticación valida el certificado del cliente comprobando su emiso y su contenido y, en caso de éxito, envía un mensaje EAP-success al cliente y ambos acuerdan una clave WEP.

PEAP

PEAP (Protected EAP) utiliza un certificado digital para la autenticación del servidor y para la del cliente se emplean varios métodos sobre un túnel seguro TLS. La fase 1 es idéntica a EAP/TLS y tiene como resultado la creación de un túnel TLS cifrado entre el cliente y el servidor de autenticación por el que circularán los mensajes EAP. En la fase 2, el servidor autentica al cliente mediante algún otro tipo de EAP, como puede ser una contraseña OTP (One Time Password).

Otros mecanismos de seguridad

Una red inalámbrica no deja de ser una red, por lo que, además de las medidas anteriores, es posible aplicar las políticas de seguridad típicas de las redes cableadas, que proporcionen una forma segura de conexión. Las medidas más extendidas son las siguientes.

Cortafuegos

Un cortafuegos o firewall es un dispositivo formado por uno o varios equipos que se sitúa entre una red interna y una red externa; de forma que todo el tráfico con la red exterior, tanto de entrada como de salida, debe pasar a través de él para que éste lo analice y decida si lo bloquea o no.

Ejemplo de firewall Ejemplo de firewall

Red wireless segura. El enrutador WLAN hace funciones de cortafuegos Red wireless segura. El enrutador WLAN hace funciones de cortafuegos

VPN

Las redes privadas virtuales o VPN resultan de la utilización de los recursos públicos de un operador para construir parte de una red corporativa privada. Con el fin de garantizar que las comunicaciones a través de los segmentos públicos son seguras, se emplean tecnologías de entunelado que consiguen establecer un canal de comunicaciones seguro a través de la red pública.

Ejemplo de configuración WLAN basada en VPN Ejemplo de configuración WLAN basada en VPN

El principal inconveniente de las soluciones basadas en VPN es que la información se cifra dos veces: una en la red inalámbrica (WEP o WPA) y otra en el túnel de la VPN. Este proceso introduce retardos y añade complejidad a la red.

El protocolo más utilizado para el entunelamiento de las VPN es IPSec.

WVLAN

Las redes WVLAN (Wireless VLAN) son una extensión del concepto de VLAN propio de las redes cableadas. El principal beneficio que aportan es que consiguen disminuir el número de puntos de acceso necesario para dar servicio a grupos de trabajo.

Conclusión

Una red WiFi en si misma no es segura o insegura. Este valor lo dará la implementación de la misma. Lo que se puede afirmar al analizar el estándar 802.11i, es que se están haciendo las cosas bien, pues tanto 802.1X, como AES (o CCMP), son dos mecanismos extremadamente sólidos y que actualmente se los puede catalogar como seguros en los tres aspectos fundamentales que hoy se ponen en dudas respecto aWiFi, es decir en autenticación, control de accesos y confidencialidad.

Por último, como conclusión a este capítulo, se añaden una serie de recomendaciones básicas de seguridad en redes WiFi:

  • Utilizar filtrado MAC, si es posible.
  • Utilizar sistemas adicionales de seguridad. (Firewall, DMZ)
  • Actualizar periódicamente el firmware y software de los AP.
  • Implementar 802.11X y RADIUS o un sistema de autenticación.
  • Utilizar WPA/WPA2 en todos los casos que sea posible.

802.11

Las redes corporativas tradicionales se basan en una infraestructura de cableado, con altos costes en la instalación y escasa escalabilidad. Estas redes locales (LAN) suelen estar conectadas a otras redes de área extensa (WAN) y a otras redes públicas, como Internet.

Las redes WLAN (Wireless LAN) resuelven los problemas de costes y escalabilidad de las redes LAN tradicionales. El estándar más conocido de las redes WLAN es el IEEE802.11.

Arquitectura

Las redes WLAN 802.11 tienen una estructura celular similar a las redes de telefonía móvil. Cada celda, llamada BBS (Basic Servicea Set) está gobernada por una estación base o AP (Access Point), conectados entre sí a través de una red troncal de distribución o DS (Distribution System). Además, en algunas ocasiones los DS se agrupan en niveles jerárquicos superiores, formando un ESS (Extended Service Set).

La IBSS (Isolated BSS) se da cuando no existe sistema de distribución, sino que el AP únicamente hace de intermediario para la conexión de los dispositivos que se encuentran dentro de su área de cobertura. Una variante del IBSS en la que no existe AP es el modo ad hoc ; los dispositivos móviles se comunican directamente entre sí y las funciones de coordinación son asumidas por uno de ellos.

Red en modo ad-hoc

La configuración más habitual en las redes 802.11 es la configuración basada en punto de acceso o modo infraestructura .

Red en modo infraestructura

En la figura se muestra una configuración típica de una red en la que intervienen una arquitectura LAN ethernet y dispositivos móviles conectados tanto en modo ad-hoc como en modo infraestructura.

Ejemplo de arquitectura de red 802.11

Variantes de estándar 802.11

802.11a

Esta variante, a 5 GHz, emplea una modulación 64-QAM y codificación OFDM. Alcanza una velocidad nominal de hasta 54 Mbps con un alcance limitado a 50 metros.

802.11b

El 802.11b se conoce comoWiFi. Ofrece velocidades de 11 Mbps, 5,5 Mbps, 2 Mbps y 1 Mbps; y un alcance entre 100 y 300 metros. Trabaja en la banda libre de 2,4 GHz y utiliza una modulación lineal compleja (DSSS).

802.11c

Indica que´ informacio´n se requiere para conectar dos redes entre sí. U´ nicamente afecta a los fabricantes de puntos de acceso; para el usuario este estándar es transparente.

802.11d

Define los requisitos de nivel físico que garantizan el cumplimiento de las limitaciones regulatorias fuera de Europa, Japón y Estados Unidos.

802.11e

Se encarga de los mecanismos de calidad de servicio; que permiten priorizar diferentes tipos de tráfico, distintas ubicaicones geográficas o usuarios o departamentos concretos.

802.11f

Especifica un protocolo para el punto de acceso que proporciona la información necesaria para efectuar el roaming entre puntos de acceso de diferentes vendedores.

802.11g

Alcanza velocidades de hasta 54 Mbps en la banda de los 2,4 GHz.

802.11h y 802.11j

Interoperación con redes inalámbricas en Europa (802.11h) y Japón (802.11j).

802.11i

Añade el protocolo de seguridad AES (Advanced Encryption Standard) al estándar 802.11.

802.11 IR

Variante de 802.11 en la banda infrarroja, que alcanza 1-2 Mbps.

802.11k

Intento de unificar el modo en los estándares a, b y g, que miden las condiciones del entorno radioeléctrico y de la red y las envían a otras partes de la pila de protocolos. Resulta útil en aplicaciones de gestión de red, detección de fallos y otras operaciones de mantenimiento.

802.11m

Conjunto de normas de mantenimiento.

802.11n

Velocidad real cercana a los 100 Mbps. Todos los dispositivos 802.11n son compatibles con las normas anteriores.

802.11p

Exitende el estándar 802.11 con el fin de soportar comunicacines inalámbricas en vehículo a 5,9 GHz.

802.11r

Define un procedimiento de roaming más rápido.

802.11s

Estándar para redes malladas

802.1X

Mecanismo de autenticación a nivel de puerto.

La AlianzaWiFi

La Alianza WiFi (WiFi Alliance) es una organización internacional, sin ánimo de lucro, formada en 1999 para certificar la interoperabilidad de productos inalámbricos de redes WLAN basados en la especificación IEEE 802.11. En la actualidad tiene más de 200 miembros alrededor del mundo. El objetivo de los miembros de la alianza WiFi es enriquecer la experiencia de los usuarios a través de la interoperabilidad de sus productos y ayudar a su comercialización.

Seguridad

La seguridad es una característica de cualquier sistema que nos indica que ese sistema está libre de todo peligro, daño o riesgo; y que es, en cierta manera, infalible.

Seguridad de redes

Se entiende que mantener una red segura consiste básicamente en garantizar tres aspectos:

  • Confidencialidad. Los objetos de una red han de ser accedidos únicamente por elementos autorizados a ello, y esos elementos no van a convertir esa información en disponible para otras entidades.
  • Integridad. Los objetos sólo pueden ser modificados por elementos autorizados, y de una manera controlada.
  • Disponibilidad. Los objetos del sistema tienen que permanecer accesibles a elementos autorizados. Es lo contrario a la denegación de servicio.

Amenazas

Los elementos que pueden amenazar un sistema son los siguientes:

  • Personas
    La mayoría de ataques a la red provienen de personas que, intencionadamente o no, pueden causar numerosas pérdidas. Las personas que pueden constituir un riesgo para la red se dividen en dos grupos: atacantes pasivos, aquellos que fisgonean por el sistema pero no lo modifican o destruyen, y atacantes activos, aquellos que modifican el objetivo atacado o lo dañan. Los diferentes tipos de personas que pueden atacar la red son:

    • Personal. Las amenazas a la seguridad de una red provenientes del personal de la propia organización no suelen tenerse en cuenta, pero son muy importantes. Normalmente se trata de accidentes causados por error o desconocimiento de las normas básicas de seguridad.
    • Ex-empleados. Son un grupo potencialmente interesado en atacar nuestra red.
    • Curiosos. Junto con los crackers los curiosos son los atacantes más habituales de las redes. Aunque en la mayoría de los casos se trata de ataques no destructivos, no benefican al entorno de fiabilidad que debemos dar a nuestra red.
    • Crackers. Los entornos de seguridad media son un objetivo típico de los intrusos, ya sea para fisgonear, para utilizarlas como enlace hacia otras redes, o simplemente por diversión.
    • Terroristas. Son los que atacan el sistema con la finalidad de causar algún daño en él.
    • Intrusos remunerados. Conforman el grupo más peligroso, pero no son habituales en redes normales; esta amenaza afecta más a las redes de grandes empresas o a organismos de defensa. Se trata de piratas con gran experiencia en problemas de seguridad que son pagados por una tercera parte para robar secretos o dañar la red atacada.

  • Amenazas lógicas
    Son programas que de una forma u otra pueden dañar nuestra red. Pueden estar creados expresamente para ello (malware) o hacer el daño por error (bugs o agujeros). Los distintos tipos de amenazas lógicas son:

    • Software incorrecto. Las amenazas más habituales provienen de errores cometidos de forma involuntaria por los programadores de sistemas o aplicaciones. A estos errores de programación se les denomina bugs y a los programas utilizados para aprovechar uno de estos fallos y atacar el sistema exploits.
    • Herramientas de seguridad. Cualquier herramienta de seguridad representa un arma de doble filo: de la misma forma que un administrar la utiliza para detectar y solucionar fallos en los sistemas y en la red, un potencial intruso las puede utilizar para detectar y aprovechar esos fallos.
    • Puertas traseras. Durante el desarrollo de aplicaciones y sistemas operativos es habitual entre los programadores insertar atajos en los sistemas habituales de autenticación; a estos atajos se les denomina puertas traseras, y se utilizan para detectar y depurar fallos de forma más rápida. Si alguna de estas puertas traseras permanece en la versión definitiva del programa puede ser utilizada por un atacante para acceder a la red.
    • Bombas lógicas. Son partes de código de ciertos programas que permanecen sin realizar ninguna función hasta que son activadas.
    • Canales cubiertos. Son canales de comunicación que permiten a un proceso transferir información de forma que viole la política de seguridad del sistema; es decir, un proceso transmite información a otros que no están autorizados a leer dicha información.
    • Virus. Un virus es una secuencia de código que se inserta en un fichero ejecutable (huésped), de forma que cuenado el archivo se ejecuta el virus también lo hace, insertándose a sí mismo en otros programas.
    • Gusanos. Un gusano es un programa capaz de ejecutarse y propagarse por sí mismo a través de redes, en ocasiones portando virus o aprovechando bugs de los sistemas a los que se conecta para dañarlos.
    • Caballos de Troya. Los troyanos son instrucciones escondidas en un programa de forma que éste parezca realizar las tareas que un usuario espera de él, pero que generalmente ejecuta funciones ocultas sin conocimiento del usuario.
    • Programas conejo, o bacterias. Son programas cuya única función es reproducirse hasta que el número de copias acaba con los recursos del sistema (memoria, procesador, disco, . . .).
    • Técnicas salami. Una técnica salami consiste en el robo de pequeñas cantidades de bienes (generalmente dinero) de una gran cantidad origen. Al ser la cantidad inicial grande y la robada pequeña es muy difícil su detección. No se suelen utilizar contra redes normales, sino contra redes bancarias.
  • Catástrofes
    Las catástrofes (naturales o artificiales) son la amenaza menos probable contra los entornos habituales. Sin embargo, el hecho de que las catástrofes sean amenazas poco probables no implica que contra ellas no se tomen unas medidas básica, ya que producen los mayores daños.

Mecanismos de seguridad

Para proteger nuestra red hemos de realizar un análisis de las amenazas potenciales que puede sufrir, las pérdidas que podría generar, y la probabilidad de su ocurrencia. A partir de este análisis hemos de diseñar una política de seguridad que defina responsabilidades y reglas a seguir para evitar tales amenazas o minimizar sus efectos en caso de que ocurran. A los mecanismos utilizados para implementar esta política de seguridad se les denomina mecanismos de seguridad.

Los mecanismos de seguridad se dividen en tres grandes grupos: de prevención, de detección y de recuperación.

  • Mecanismos de prevención
    Son aquellos que aumentan la seguridad de un sistema durante el funcionamiento normal de éste, previniendo la ocurrencia de violaciones a la seguridad. Por ejemplo, el uso de cifrado en la transmisión de datos.

    • Los mecanismos de prevención más habituales en redes son:
    • Mecanismos de autenticación e identificación
    • Mecanismos de control de acceso
    • Mecanismos de separación
    • Mecanismos de seguridad en las comunicaciones
  • Mecanismos de detección
    Se utilizan para detectar violaciones de seguridad o intentos de violación. Por ejemplo, los programas de auditoría, como Tripwire.
  • Mecanismos de recuperación
    Son aquellos que se aplican cuando una violación del sistema se ha detectado, para retornar a éste a su funcionamiento correcto. Ejemplos son el uso de copias de seguridad o el hardware de respaldo. Dentro de este grupo se encuentra un subgrupo denominado mecanismos de análisis forense, cuyo objetivo no es simplemente retornar al sistema a su modo de trabajo normal, sino averiguar el alcance de la violación, las actividades de un intruso en el sistema y el medio utilizado para entrar; de esta forma se previenen ataques posteriores y se detectan ataques a otros elementos de nuestra red.

Cifrado

Los mensajes a cifrar se conocen como texto plano; se transforman mediante una función parametrizada por una clave. La salida del proceso de cifrado, conocida como texto cifrado se transmite después. El arte de descifrar se denomina criptoanálisis; el arte de diseñar cifradores (criptografía) y de descifrarlos (criptoanálisis) se conocen colectivamente como criptología.

Tipos de cifrado

  • Cifrado simétrico o de clave privada
    Emplea la misma clave tanto para cifrar como para descifrar. Presenta el inconveniente de que para ser empleado en comunicaciones la clave debe estar tanto en el receptor como en el emisor, con el problema de cómo transmitir la clave de forma segura.
  • Cifrado asimétrico o de clave pública
    Emplea una doble clave \((k_p, k_P)\). \(k_p\) se conoce como clave privada y \(k_P\) como clave pública. Una de ellas sirve para la transformación de cifrado y la otra para la transformación de descifrado. En muchos casos son intercambiables, esto es, si empleamos una para cifrar la otra sirve para descifrar y viceversa. Se debe cumplir que el conocimiento de la clave pública no permita calcular la clave privada. Ofrece un abanico mayor de posibilidades que el cifrado simétrico, pudiendo emplearse para establecer comunicaciones seguras por canales inseguros (ya que únicamente viaja por el canal la clave pública, que sólo sirve para cifrar), o para llevar a cabo autenticaciones.

En la práctica se emplea una combinación de los dos tipos de cifrado, ya que el segundo es computancionalmente más costoso que el primero. Lo que se hace habitualmente es codificar los mensajes (que tienen un gran tamaño) mediante algoritmos simétricos, que suelen ser muy eficientes, y luego se hace uso de los algoritmos asimétricos para codificar las claves simétricas (que tienen un tamaño pequeño).

Algoritmos simétricos de cifrado

Los principales algoritmos simétricos son:

  • DES
  • IDEA

Algoritmos asimétricos de cifrado

Los principales algoritmos asimétricos son:

  • RSA
  • SSL

Referencias

  • Seguridad para redes inalámbricas. JOSÉ M. ALARCON
  • www.krasis.com
  • Comunicación en redes WLAN. JOSÉ M. HUIDOBRO MOYA, DAVID ROLDÁ N MARTíNEZ. Creaciones Copyright, 2005
  • Criptografía y seguridad en computadores. MANUEL JOSÉ LUCENA LçOPEZ.] Universidad de Jaén, 1999
  • Redes de Computadoras. ANDREW S. TANENBAUM. Prentice Hall, 1997
  • Seguridad en Unix y Redes. ANTONIO VILLALÓN HUERTA. 2000
  • Wi-Foo. ANDREW A. VLADIMIROV, KONSTANTIN V. GAVRILENKO, ANDREI A. MIKHAILOVSKY. Addison- Wesley, 2004
  • Kriptopolis http://www.kriptopolis.org
  • Jornadas técnicas RedIris http://www.rediris.es/jt/jt2005/archivo/archivo-jt.es.html
  • Wikipedia http://wikipedia.org
Última actualización: October 4, 2021