Seguridad en las Redes Inalámbricas

Seguridad Tradicional en las Redes Inalámbricas

Aclaración: la fuente es Enciclopedia de la Seguridad Informática, edición 2011.

Las redes inalámbricas (WLAN) suelen recurrir a varias medidas de seguridad que podríamos considerar como muy elementales para evitar su utilización por parte de usuarios no autorizados.

Así, por ejemplo, se ha considerado que el uso de los identificadores SSID (Service Set Identifiers) constituye un instrumento básico de seguridad. Un SSID es un nombre de red utilizado por todos los equipos y los Puntos de Acceso que integran una red inalámbrica. Con la implantación de esta medida, cada dispositivo cliente que desee conectarse a la red inalámbrica debe incluir el SSID adecuado en su configuración de red, por lo que sólo los dispositivos que conozcan esta especie de “clave compartida” podrán acceder a los servicios de la red inalámbrica.

Sin embargo, en la configuración por defecto de muchos Puntos de Acceso se encuentra activada una función para difundir su SSID a través del equipo transmisor difusión del identificador de la red), por lo que sería conveniente desactivar esta función si se quiere mejorar en cierta medida la seguridad, ya que de otro modo cualquier intruso podría escuchar las transmisiones de los Puntos de Acceso y obtener el valor del identificador SSID de la red, facilitando con ello sus intentos de intrusión.

No obstante, conviene señalar que incluso aunque se desactivase la transmisión del SSID por parte de los Puntos de Acceso, un intruso podría utilizar un “sniffer” de radio para detectar la transmisión del SSID por parte de cualquier cliente legítimo de la red inalámbrica.

En lo que se refiere a la autenticación de los terminales o equipos cliente: han adoptado dos posibles esquemas en los protocolos más básicos de las redes inalámbricas: la Autenticación por Clave Abierta (Open Systems Authentication), en la que no existe realmente un proceso de autenticación, o bien la Autenticación por Clave Compartida (Shared Key Authentication), en la que todos los terminales con acceso autorizado a la red inalámbrica comparten la misma clave de acceso.

Asimismo, también se ha recurrido a una autenticación optativa de terminales a partir de las direcciones MAC (Media Access Control) que identifican a cada una de las tarjetas de red de estos dispositivos, implantando para ello unas Listas de Control de Acceso (ACL -Access Control Lists-) en las que se incluyen sólo las direcciones que están autorizadas para poder trabajar en la red, de tal modo que los Puntos de Acceso rechazarán a cualquier dispositivo cuya dirección física no se encuentra en dichas listas.

No obstante, conviene destacar que esta dirección MAC podría ser falseada por un intruso mediante técnicas de “spoofing” (suplantación de la identidad), cambiando la dirección de su propia tarjeta inalámbrica: tras “escuchar” las transmisiones, podría seleccionar una dirección MAC de un dispositivo válido  en la red, una vez que éste se haya desconectado. Asimismo, también se podría extraviar una tarjeta de red con una dirección MAC autorizada.

La autenticación a partir de las direcciones MAC constituye, por lo tanto, un método poco fiable y que además requiere de una importante carga de trabajo — ya que es necesario realizar la configuración de la lista de direcciones MAC a las que se permite el acceso.

En cuanto a la confidencialidad de los datos transmitidos por los equipos conectados a la red, hay que tener en cuenta que en una red inalámbrica se transmite y se recibe toda la información vía radio, por lo que cualquier intruso podría “escuchar” este tráfico con un equipo de radiofrecuencia (antena y receptor que puede adquirir por muy poco dinero).

Por este motivo, es recomendable emplear algoritmos de cifrado, como los previstos en el estándar WEP. El problema en la implantación práctica de las inalámbricas es que en muchas de estas redes no se emplea el cifrado por desconocimiento o descuido de sus administradores.

Por último, también conviene destacar que en muchas redes inalámbricas se emplea la configuración por defecto del fabricante y no se modifican las claves de las tarjetas de red ni de los Puntos de Acceso, situación que facilita en gran medida la labor de los intrusos.

Posibles Ataques contra Redes Inalámbricas

Seguidamente se presenta una relación de los principios tipos de ataques dirigidos contra las redes inalámbricas.

Conexión no autorizada a la red inalámbrica

Mediante una conexión no autorizada un intruso podría utilizar el ancho de banda de la organización para acceder a Internet, provocando una disminución del rendimiento en la red para sus usuarios legítimos.

Asimismo, se podría emplear la conexión a través de la red inalámbrica para llevar a cabo actividades delictivas en Internet (actividades que se estarían originando la propia red de la organización, por lo que ésta podría ser responsable de los y perjuicios ocasionados a terceros): ataques contra otras redes, distribución de pornografía infantil, descarga de ficheros protegidos por derechos de autor (como la música o las películas), robo de números de tarjetas de crédito, fraudes y amenazas contra otros usuarios.

:Análisis del tráfico y sustracción de información confidencial

Para llevar a cabo este tipo de ataques, los intrusos pueden utilizar “sniffers” para redes inalámbricas, programas especialmente diseñados para interceptar el tráfico transmitido vía radio en este tipo de redes. Entre los más conocidos podríamos citar:

  • NetStumbler (www.netstumbler.org).
  • AiroPeek y OmniPeek (www.wildpackets.com).
  • Ethereal (www.ethereal.com).
  • Kismet (www.kismetwireless.net).
  • Ettercap.
  • Dstumbler.

Estas herramientas se encargan de analizar las señales transmitidas por Puntos de Acceso y los equipos con tarjetas inalámbricas, y pueden ofrecer completa lista de información sobre cada equipo detectado: identificador SSID de red, indicación de si se está utilizando el protocolo WEP, tipo de equipo (es un Punto de Acceso o un terminal), dirección MAC del equipo, canal de frecuencia que utilizando, nivel de potencia de la señal.

Además, conviene tener en cuenta que a partir del prefijo de la dirección MAC se puede conocer el fabricante de la tarjeta o Punto de Acceso, ya que cada fabricante tiene asignados unos rangos de direcciones MAC. Con esta información un intruso puede tener conocimiento de cuál es la configuración y la contraseña por defecto que aplica el fabricante, así como cuáles pueden ser los fallos de seguridad del dispositivo.

Fabricante MAC
3COM 00-50-DA00-01-0300-04-7608-00-02
Cisco 00-40-96
D-Link 00-05-5D00-40-0500-90-4B

 

Así, por ejemplo, el identificador SSID empleado por defecto por algunos fabricantes sería “tsunami” en los equipos Cisco, “101” en 3COM, “intel” en Intel, etc.

Toda esta información sobre la red inalámbrica se puede completar con la posición exacta (latitud y longitud) si se cuenta con un receptor GPS. De hecho, se pueden integrar los “sniffers” con aplicaciones de mapas para representar la situación de los Puntos de Acceso sobre estos mapas, proporcionado información sobre el nivel i señal y la configuración de seguridad de la red (activación del protocolo WEP u más robusto).

Para concluir este apartado, podemos destacar que se pueden utilizar dos modalidades de análisis de tráfico:

Escaneo Activo: el equipo atacante transmite tramas de sondeo (probe request) para tratar de descubrir si existe algún Punto de Acceso disponible.

Escaneo Pasivo: el equipo atacante se limita a escuchar el tráfico transmitido en su zona, para descubrir equipos de usuarios y Puntos de Acceso. Esta actividad pasa totalmente inadvertida para la red que está siendo observada.

Instalación de un Punto de Acceso Falso

Mediante este tipo de ataque, los equipos de los usuarios legítimos se conectan a este Punto de Acceso falso, siendo de este modo engañados por el intruso. Así se abre la posibilidad, por ejemplo, para realizar ataques del tipo “man-in-the-middle” que permitan sustraer contraseñas u otra información confidencial.

Instalación de Puntos de Acceso No Autorizados

Los Puntos de Acceso y los equipos con tarjetas inalámbricas que son desplegados por algunos usuarios dentro de la propia red de la organización sin contar con la correspondiente autorización, con la intención de poder trabajar “con más libertad”, constituyen otro motivo de preocupación para los administradores de redes. De hecho, estos Puntos de Acceso y equipos no autorizados (conocidos Rogue Access Points) suelen presentar problemas derivados de una configuración insegura debido al desconocimiento de sus usuarios.

Interferencias electromagnéticas (“jamming”)

Las interferencias electromagnéticas contra las redes inalámbricas pueden afectar seriamente a su rendimiento, provocando ataques de Denegación de Servicio (DoS).

Así, por ejemplo, en mayo de 2004 estudiantes de una universidad australiana describían una vulnerabilidad intrínseca al protocolo 802.11 que podía ser utilizada para realizar un ataque de Denegación de Servicio. Para ello, bastaba con utilizar agendas electrónicas (PDAs) con una conexión Wi-Fi para poder perturbar la señal emitida por los Puntos de Acceso de una red inalámbrica, de forma que el resto de nodos y otros Puntos de Acceso de la red afectada situados dentro del rango de alcance de la señal quedasen inhabilitados durante el transcurso de la interferencia, ya que éstos detectarían que todos los canales de radiofrecuencia se encontraban ocupados.

Desde el punto de vista de los equipos de los usuarios, el efecto perceptible de estas interferencias y ataques de Denegación de Servicio es que la red inalámbrica se encuentra colapsada de tráfico y no permite la transmisión o recepción de datos.

Descubriendo redes inalámbricas desde redes cableadas

Los Puntos de Acceso de una red inalámbrica son dispositivos de red como los switches y los routers, y suelen incorporar funciones de configuración remota vía Web y el protocolo de gestión de red SNMP.

Por este motivo, estos Puntos de Acceso podrían ser sondeados desde una conexión a través de la red local cableada (una red tipo Ethernet) para analizar su configuración y obtener información que permita lanzar posteriormente un ataque contra la red inalámbrica.

Ataques contra los terminales de usuarios de redes inalámbricas

Los ataques contra los terminales de los usuarios se pueden producir en públicas (“hotspots”) ubicadas en aeropuertos, cafeterías, estaciones de tren, hoteles y palacios de congresos, por parte de usuarios maliciosos que traten de acceder o engañar a los equipos de otros usuarios.

Asimismo, conviene tener en cuenta que en la actualidad muchos ordenadores portátiles y agendas electrónicas incorporan tarjetas inalámbricas configuradas para trabajar de forma automática en redes inalámbricas, sin que sea necesaria la intervención del usuario (de hecho, muchos propietarios de ordenadores portátiles pueden no ser conscientes de esta nueva funcionalidad). Un atacante podría descubrir la existencia de uno de estos equipos, para tratar de comprometer su seguridad a través la conexión inalámbrica, mediante la instalación de un troyano o de un “keylogger”, o bien explotando un agujero de seguridad de su sistema operativo. De este modo, el atacante podría tener acceso a los recursos e información de este equipo, conectándose además en su nombre a los servicios de Internet.

“WarDriving” y “ WarChalking”

Las prácticas conocidas como “WarDriving” y “WarChalking” se hicieron más populares a partir el año 2001.

Mediante la práctica conocida como “WarDriving” unos individuos equipados con el material apropiado (ordenador portátil o agenda electrónica, tarjeta de red inalámbrica -WNIC- y antena de radiofrecuencia) tratan de localizar puntos de acceso a redes inalámbricas (nodos). Herramientas disponibles en Internet como AirSnort o NetStumbler facilitan además esta tarea.

Por su parte, las prácticas que reciben el nombre de “WarChalking” consisten en dibujar una serie de símbolos en las paredes o aceras para indicar la presencia de un acceso inalámbrico, especificando el tipo de nodo y sus características (ancho de banda, si utiliza el protocolo WEP, etcétera).

Además, como complemento de estas prácticas los atacantes pueden localizar en Internet numerosas bases de datos y mapas de redes inalámbricas, como NodeDB.

El Protocolo Wep

El protocolo WEP (Wired Equivalent Privacy) es el sistema de cifrado estándar aprobado en la norma 802.1 1b. Pretende ofrecer un nivel de seguridad en una red inalámbrica equivalente al de una red de cable.

WEP contempla dos fases en su funcionamiento:

  • Autenticación del terminal.
  • Cifrado de los datos mediante un algoritmo simétrico y claves de “64” ó “128” bits.

Los fabricantes de productos para redes inalámbricas anunciaron el lanzamiento de WEP como un sistema muy seguro, sobre todo cuando decida emplear claves de “128” bits (cuando en realidad el tamaño se reduce a 104 bits) en sus productos. Sin embargo, los técnicos sólo habían indicado en sus especificaciones iniciales que se trataba de un sistema “razonablemente seguro”. De este modo, desde el punto de vista del marketing se trasladó al mercado la idea de que el sistema WEP era mucho más seguro de lo que realmente podía ofrecer la tecnología utilizada situación que posteriormente se vio agravada por el descubrimiento de varias limitaciones y fallos en su diseño.

Para llevar a cabo la autenticación de terminales, en el estándar 802.11b se han previsto dos posibles modalidades:

Shared Key Authentication (SKA): se emplea una clave compara (“shared key”) para autenticar a los terminales. El Punto de Acceso en un texto de prueba aleatorio (“desafío”) al terminal, que debe cifrarlo usando la clave compartida para demostrar que conoce esta clave. De a modo, no es necesario enviar la clave para autenticarse, ya que sólo basta con demostrar que se conoce.

Open Systems Authentication (OSA): no se utiliza ninguna clave (clave abierta), por lo que cualquier estación se podría conectar a la red simplemente enviando el identificador SSID correcto para esa red inalámbrica. Debemos destacar que realmente en esta modalidad no se produce la autenticación del terminal.

Para el cifrado de los datos que se transmiten vía radio, WEP utiliza el algoritmo de cifrado simétrico RC4, con claves de 64 o 128 bits compartidas entre los equipos conectados a la red. Sin embargo, estas claves no se suelen cambiar con frecuencia, ya que en WEP no se ha previsto un protocolo de intercambio de claves entre los equipos, por lo que éstas se tendrían que cambiar de forma manual en cada equipo y cada Punto de Acceso a la red.

En WEP se reservan 24 bits de la clave para construir el llamado “Vector de Inicialización” (IV), por lo que en realidad el cifrado es de 40 o de 104 bits (se reduce de este modo su robustez frente a ataques de fuerza bruta). El propósito del Vector de Inicialización es garantizar que dos tramas de datos idénticas no produzcan el mismo texto cifrado; para ello, éste se tiene que transmitir sin cifrar como parte integrante de cada trama de datos.

Hay que señalar que RC4 es un algoritmo muy eficiente desde el punto de computacional, ya que realiza una operación XOR entre el texto claro y la clave. Por este motivo, se puede ejecutar en un hardware con prestaciones reducidas, como el de las tarjetas de red inalámbricas (WNIC). Además, se trata de una tecnología algoritmo simétrico y claves de “64’ exportable fuera de Estados Unidos, ya que el algoritmo y el tamaño de las claves no lo convierten en un sistema demasiado robusto a los ojos del gobierno de este país.

Sin embargo, a pesar de su amplia aceptación, WEP es un protocolo bastante vulnerable, quizá por haber sido desarrollado y comercializado con demasiada rapidez. De hecho, a partir del año 2000 se han venido publicando numerosas vulnerabilidades que afectan a la seguridad de las redes que utilizan este protocolo. Desde el año 2001 pueden localizar distintas herramientas en Internet capaces de explotar todas estas vulnerabilidades.

Así, herramientas como AirSnort o WEPCrack son capaces de determinar la clave utilizada por el protocolo WEB (sobre todo cuando la clave empleada es estática), analizando para ello varios cientos de Megabytes de tráfico en la red inalámbrica. En redes con mucho tráfico se pueden conseguir en pocas horas un número de tramas suficientes para llevar a cabo los ataques contra el protocolo (de hecho, podría bastar con menos de 7 horas de tráfico en una red con mucha actividad). Sin embargo, para un uso doméstico, debido a que el tráfico es mucho más reducido, WEP todavía podría considerarse como una opción bastante segura.

Estos ataques de fuerza bruta se ven favorecidos por el pequeño tamaño de la clave empleada. No obstante, debido a un diseño poco robusto del protocolo WEP, un aumento del tamaño de la clave tampoco contribuye a mejorar de forma notable la seguridad, ya que la complejidad del protocolo crece linealmente y no de forma exponencial con el incremento del tamaño.

Por otra parte, WEP no ofrece un proceso de autenticación de terminales demasiado seguro. De hecho, no se contempla la autenticación mutua, por lo que un equipo podría conectarse a un Punto de Acceso falso. De este modo, el usuario podría ser “secuestrado” por un atacante, haciéndole creer que se encuentra conectado red legítima cuando no es así.

Asimismo, debido a una debilidad importante en el diseño del proceso de autenticación, en la modalidad conocida como Autenticación de Clave Compartida (Shared Key Authentication, SKA) se emplea la misma clave que posteriormente se utilizará para cifrar las transmisiones. Conviene destacar que no se recomienda utilizar la misma clave para implementar dos funciones criptográficas distintas, como puede ser la autenticación y el cifrado, ya que el sistema criptográfico puede resultar más vulnerable a los ataques.

De hecho, en el proceso de Autenticación de Clave Compartida, el Punto de Acceso transmite un texto en claro (desafío), al que debe responder posteriormente el propio terminal con el envío al entorno radioeléctrico del correspondiente texto cifrado, con lo que se ofrece a un atacante una pareja de texto en claro y texto cifrado para comenzar el criptoanálisis, que le permitiría obtener, en caso de éxito, la misma clave que se emplea para cifrar la información transmitida por el equipo del usuario.

Además, WEP es un protocolo vulnerable a ataques de repetición (replay attacks), ya que no se dispone de un contador o referencia temporal y no se protege el número de secuencia en las tramas de datos: no se definió esta función en el diseño inicial de WEP, por lo que un atacante podría modificar el número de secuencia una trama transmitida al medio inalámbrico.

Las claves de cifrado WEP son estáticas, características que dificulta la administración de la red, sobre todo cuando ésta tiene un número importante de equipos, ya que se requiere del cambio manual de las claves en los equipos y Puntos de Acceso.

En definitiva, todos estos problemas y vulnerabilidades de WEP han tenido sano consecuencia un cierto descrédito en el mercado de la tecnología de redes inalámbricas, por las continuas noticias sobre los fallos y agujeros de seguridad detectados. Así, muchos directivos y profesionales puede pensar que esta tecnología “es un juguete para usuarios domésticos, pero no para un uso profesional”.

Estándares Propuestos para Mejorar la Seguridad de las Redes Wifi

El camino hacia unos estándares más seguros en estas redes dependen en gran medida del grupo de trabajo 802.11i del IEEE, creado específicamente para mejorar la seguridad en las redes inalámbricas.

Para incrementar la seguridad en estas redes se han propuesto dos soluciones:

  • Desarrollar un nuevo protocolo compatible con todo el hardware ya instalado en el mercado, que permita resolver los problemas de seguridad del protocolo WEP: surge así el estándar WPA (Wi-Fi Protected Access), aprobado en abril de 2003.
  • Desarrollar en paralelo un nuevo protocolo más robusto, que utilice un nuevo algoritmo criptográfico: se define así el protocolo RSN (Robust Security NetWork), el nuevo estándar oficial del grupo 802.11i, aprobado definitivamente en junio de 2004, que utiliza el algoritmo criptográfico AES (Advanced Encryption Standard) para mejorar la seguridad de las redes inalámbricas.

En ambas soluciones se separa el proceso de autenticación del proceso de cifrado de los datos, utilizando para ello dos algoritmos totalmente independientes entre sí.

Protocolo WPA – Wi-Fi Protected Access

Se trata de un sistema más robusto que WEP, aprobado en abril de 2003 por la Alianza WiFi (Wi-Fi Alliance), dentro del estándar 802.11i.

WPA destaca por su compatibilidad con el hardware ya instalado en el mercado (tarjetas de red y Puntos de Acceso), que utilizaban el algoritmo simétrico RC4 del protocolo WEP como base para el cifrado de las transmisiones.

Asimismo, WPA emplea un nuevo protocolo de cifrado conocido como TKIP (“Temporal Key Integrity Protocol”), que permite reforzar la seguridad de las claves y proteger la red contra los ataques por falsificación o por repetición. Conviene destacar que este protocolo es compatible con el hardware utilizado para el algoritmo RC4.

En WPA se utilizan claves de cifrado de 128 bits que se pueden asignar de forma dinámica por usuario y por sesión, por lo que este sistema es mucho más robusto a ataques de fuerza bruta, superando además el problema de las claves estáticas y de tamaño reducido del protocolo WEP.

Por otra parte, para garantizar la integridad de los mensajes se un código MIC (Message Integrity Check), basado en un algoritmo conocido como: “Michael”, muy eficaz desde el punto de vista computacional, ya que permite realizar los cálculos necesarios sólo mediante desplazamientos y sumas (no requiere de multiplicaciones), por lo que se puede ejecutar en el hardware disponible en las tarjetas inalámbricas y los Puntos de Acceso sin penalizar su rendimiento (es decir, sin degradar las prestaciones de la red).

En comparación con WEP, el Vector de Inicialización (IV) del algoritmo de cifrado incrementa su tamaño de 24 a 48 bits, y se modifica su papel para poder utilizarlo también como contador que permita evitar la réplica de las tramas de datos.

Por último, en WPA se emplea una autenticación de usuarios más robusta, basada en la norma 802.1lx y el protocolo de autenticación EAP.

Autenticación robusta en redes inalámbricas: estándar 802.1 x

Debemos destacar la problemática de la autenticación en las redes inalámbricas, bastante más compleja que en otro tipo de redes. Así, por ejemplo, en un entorno de acceso remoto mediante líneas telefónicas {módems), una vez autenticado correctamente el usuario ya no es necesario realizar una autenticación de cada transmisión de datos, puesto que se asume que no se va a producir un “pinchazo” en la línea telefónica para secuestrar la sesión iniciada por el usuario.

En cambio, en una red inalámbrica no sólo basta con la autenticación inicial del usuario, sino que es necesario garantizar que cada trama de datos es auténtica, para evitar un posible “secuestro de sesión” (situación que se podría producir si un usuario malicioso pudiese suplantar la identidad de otro, aprovechando una conexión ya establecida en la red inalámbrica). Para conseguir este requisito de seguridad, se podrían emplear claves de sesión compartidas por el equipo del usuario y el Punto de Acceso al que éste se encuentra asociado, recurriendo a un esquema similar al del protocolo SSL o TLS en las conexiones seguras en Internet entre un navegador y un servidor Web.

El estándar 802.1x, aprobado en 2001, define un método seguro de autenticación y autorización de conexiones a una red local (no necesariamente una red inalámbrica), en el que la autenticación se basa en la identidad del usuario y no en el equipo desde el que se conecta.

En el proceso de autenticación del estándar 802.1x el usuario puede emplear contraseñas o certificados digitales. Además, se recurre a protocolos de autenticación de capa superior (protocolos de autenticación y autorización conocidos como “AAA”, Authentication, Authorization, Accounting), empleando un Servidor de Autenticación como RADIUS para poder centralizar el proceso de autenticación. De este modo, no es necesario guardar información sobre los usuarios en los Puntos de Acceso, por lo que la administración de la red es bastante más sencilla y se consigue reforzar su seguridad, ya que basta con utilizar una única base de datos centralizada de usuarios de la red.

Por lo tanto, en el estándar 802. 1x se distinguen tres elementos:

  • Cliente que pretende autenticarse (“suplicante”)
  • Punto de Acceso o servidor al que se quiere conectar (“autenticador”)
  • Servidor de Autenticación.

En el esquema de funcionamiento del proceso de autenticación según el estándar 802.1x se distinguen tres pasos o etapas:

  1. El equipo de usuario establece la asociación con el Punto de Acceso.
  2. El equipo de usuario utiliza el protocolo EAPOL para intercambiar información con el Servidor de Autenticación a través del Punto de Acceso.
  3. Si el Servidor de Autenticación autentica al equipo de usuario, éste podrá conectarse a la red a través del Punto de Acceso.

Dentro del estándar 802.1lx se emplea EAPOL (EAP Over LAN), una variante del protocolo EAP (Extensible Authentication Protocol, RFC 2284) para establecer la comunicación entre el equipo del usuario y el Punto de Acceso. Se trata de un protocolo de autenticación de capa superior, que protege las credenciales de los usuarios y la seguridad de los dato. Facilita una autenticación mutua robusta, entre el usuario y la red.

  • EAP-TLS desarrollado por Microsoft para Windows XP. Se basa en la utilización de certificados digitales por parte de todos los usuarios, por lo que requiere de una Infraestructura de Clave Pública (PKI), característica que complica su implementación.
  • EAP-TTLS, de Certicom, que permite a los usuarios autenticarse mediante un nombre de usuario y una contraseña. Emplea certificados digitales en los servidores de autenticación, mientas que no se requieren para los usuarios.
  • EAP-PEAP (Protected EAP), desarrollado por Microsoft, Cisco y RSA. No requiere del uso de certificados digitales y permite realizar el proceso de autenticación de forma protegida, ya que se cifran los propios datos de la sesión EAP.
  • EAP-LEAP, desarrollado por Cisco.

El nuevo estándar WPA2-RSN (Robust Security Network)

El nuevo estándar 802.1 li WPA2, también conocido por RSN (Robust Security NetWork), se basa en el algoritmo criptográfico AES (Advanced Encryption Standard), el sustituto del clásico DES.

Para ello, se recurre a un modo de operación de AES conocido como CCMP (Counter Mode-CBC MAC Protocol), que permite garantizar la confidencialidad y la integridad de las tramas de datos transmitidas gracias a las siguientes características:

  • Counter Mode” (“Modo Contador”): se emplea un contador para modificar el texto claro antes de cifrarlo, consiguiendo de este modo que un mismo bloque de texto claro genere en distintas ocasiones bloques de texto cifrado distintos.
  • Control de la integridad de las tramas mediante el método CBC (Cipher Block Chaining), que permite generar un código de integridad para cada trama.

Además, en el estándar RSN se recurre a la generación de claves de sesión para proteger las tramas de datos transmitidas, una vez que se ha superado correctamente el proceso de autenticación. Así, de esta forma se distinguen las claves primarias (claves de usuario, utilizadas en el proceso de autenticación) de las claves temporales o de sesión, empleadas para cifrar las transmisiones de datos en la red inalámbrica.

Recomendaciones para Reforzar la Seguridad

Para concluir este capítulo se presentan una serie de recomendaciones que permitan reforzar la seguridad de las redes inalámbricas:

1. Separación de la red inalámbrica de la red local interna de la organización.

Los usuarios de la red inalámbrica deberían ser tratados como los que proceden de una conexión remota a través de Internet. Para ello, se pueden instalar cortafuegos que permitan separar los dos entornos, y los usuarios de la red inalámbrica tendrían que autenticarse a través de un servidor de autenticación como RADIUS para poder acceder a la red interna.

Además, sería conveniente utilizar conexiones seguras recurriendo a protocolos como IPSec, SSL, SSH u otros similares que permiten crear túneles VPN.

2. Detección de intentos de intrusión en la red inalámbrica.

Para implantar esta medida sería necesario instalar equipos receptores en el edificio capaces de detectar señales anómalas, direcciones MAC no registradas o clonadas, el incremento de las tramas de autenticación o la presencia de Puntos de Acceso falsos.

Se puede recurrir a soluciones comerciales disponibles ya en el mercado, como podría ser Air Defense (www.airdefense.net), un Sistema de Detección de Intrusiones (IDS) para redes inalámbricas.

3. Configuración más segura de la red inalámbrica.

Una configuración más segura requeriría de las siguientes medidas:

  • Utilizar WEP, WPA o, a ser posible, el nuevo protocolo WPA2- RSN, mucho más seguro que los anteriores.
  • Implantar mecanismos de asignación dinámica de claves por usuario y por sesión (requieren de equipos compatibles con el estándar 802. 1x).
  • Recurrir a procesos de autenticación mutua y robusta entre los terminales y los Puntos de Acceso.
  • Utilizar el filtrado de direcciones MAC mediante Listas de Control de Acceso.
  • Cambiar los claves y configuraciones por defecto de los equipos y los Puntos de Acceso.
  • Cambiar con frecuencia las claves de los equipos.
  • Inhabilitar la difusión del identificador SSID de la red por parte de los Puntos de Acceso (“beacon”), así como la respuesta a las tramas de sondeo (“probe request”) dirigidas a la dirección de difusión -broadcast-).
  • Inhabilitar el servicio DHCP para la red inalámbrica, empleando direcciones IP fijas para los equipos.
  • Actualizar de forma periódica el firmware de los Puntos de Acceso y los controladores (drivers) de las tarjetas de red para subsanar posibles agujeros de seguridad.
  • Inhabilitar los servicios y protocolos que no se consideren esenciales en los Puntos de Acceso (configuración remota vía Web, protocolo SNMP, etcétera), y proteger el acceso a las herramientas de configuración de estos dispositivos.
  • Desconectar la red inalámbrica cuando no esté siendo utilizada (por las noches o durante los fines de semana).

4. Instalar herramientas que permitan analizar vulnerabilidades en redes inalámbricas.

Algunas aplicaciones para analizar vulnerabilidades incorporan herramientas para detectar vulnerabilidades en redes inalámbricas.

5. Medidas físicas en el edificio de la organización.

Es necesario considerar la seguridad física de los Puntos de Acceso y de otros equipos de la infraestructura de red local (como hubs y switches), para impedir que éstos puedan ser manipulados por usuarios no autorizados.

Asimismo, conviene utilizar algunos materiales atenuantes en el perímetro exterior del edificio, para poder reducir el nivel de las señales electromagnéticas generadas por las redes inalámbricas, evitando de este modo que se propaguen fuera del edificio. Algunos de estos materiales podrían ser:

  • Una cobertura metálica en las paredes exteriores (podría servir con una pintura metálica).
  • Vidrio aislante térmico en las ventanas.
  • Persianas venecianas de metal (en sustitución de las de plástico)

Por otra parte, la limitación de la potencia de transmisión de los dispositivos y Puntos de Acceso permite reducir las emisiones hacia el exterior. Hay que tener en cuenta que a mayor potencia de transmisión, se producen mayores interferencias entre los propios Puntos de Acceso (provocando un menor rendimiento de la red), así como un mayor nivel de señal fuera de las propias oficinas o instalaciones de la organización, facilitando su detección por parte de los atacantes. Por este mismo motivo, conviene situar los Puntos de Acceso lejos de las paredes exteriores del edificio.

Vocabularios:

  • IEEE 802.1X es un estándar IEEE para basada en puerto Network Access Control (PNAC). Es parte de la IEEE 802.1 grupo de protocolos de red. Proporciona una autentificación mecanismo para dispositivos que deseen unirse a una red LAN o WLAN .
  • DHCP (Dynamic Host Configuration Protocol) es un estándar de protocolo de red utilizado en el Protocolo de Internet (IP) para distribuir de forma dinámica los parámetros de configuración de red, como direcciones IP para las interfaces y servicios. Con DHCP, computadoras solicitan direcciones IP y los parámetros de red de forma automática desde un servidor DHCP, lo que reduce la necesidad de un administrador de red o un usuario para configurar estos ajustes manualmente.
  • SNMP (Simple Network Management Protocol) es un ” protocolo estándar de Internet para la gestión de dispositivos en IP de redes “. Los dispositivos que normalmente soportan SNMP incluyen routers, switches, servidores, estaciones de trabajo, impresoras, bastidores de módem y mucho más. [ 1 ] SNMP se utiliza sobre todo en los sistemas de gestión de red para monitorear los dispositivos conectados a la red para condiciones que requieren atención administrativa. SNMP es un componente de la suite de protocolo de Internet como se define por el Internet Engineering Task Force (IETF). Se compone de un conjunto de normas para la gestión de la red, incluyendo una capa de aplicación del protocolo , una base de datos de esquema , y un conjunto de objetos de datos
  • EAP (Extensible Authentication Protocol) es un marco de autenticación que proporciona para el transporte y el uso de material y parámetros de claves generadas por métodos EAP. [ 1 ] Hay muchos métodos definidos por RFC y un número de métodos específicos de los proveedores y nuevas propuestas existen. EAP no es un protocolo de conexión ; en vez de eso sólo define los formatos de mensaje. Cada protocolo que utiliza EAP define una manera de encapsular los mensajes EAP dentro de los mensajes de ese protocolo.
  • EAPOL (EAP Over Lan) es un protocolo utilizado en las redes inalámbricas para transportar.

 

Etiquetado con:

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*