INSTITUTO TECNOLOGICO DE CHIHUAHUA II INGENIERA EN SISTEMAS COMPUTACIONALES INTERCONECTIVIDAD

REDES INALAMBRICAS

NOMBRE: ELIZABETH RIOS JORDN. NO. CONTROL: 08550084. FECHA: 18 DE MARZO DE 2013.

Comparacin entre una WLAN y una LAN

Las LAN inalmbricas comparten un origen similar con las LAN Ethernet. El IEEE adopt la cartera 802 LAN/MAN de estndares de arquitectura de red de computadoras. Los dos grupos de trabajo 802 dominantes son 802.3 Ethernet y IEEE 802.11 LAN inalmbrica. Sin embargo, hay diferencias importantes entre ellos.
La RF no tiene lmites, como los lmites de un cable envuelto. La falta de dicho lmite permite a las tramas de datos viajar sobre el medio RF para estar disponibles para cualquiera que pueda recibir la seal RF. La seal RF no est protegida de seales exteriores, como s lo est el cable en su envoltura aislante. Las radios que funcionan independientemente en la misma rea geogrfica, pero que utilizan la misma RF o similar, pueden interferirse mutuamente. La transmisin RF est sujeta a los mismos desafos inherentes a cualquier tecnologa basada en ondas, como la radio comercial. Por ejemplo: a medida que usted se aleja del origen, puede or estaciones superpuestas una sobre otra o escuchar esttica en la transmisin. Con el tiempo, puede perder la seal por completo. Las LAN conectadas tienen cables que son del largo apropiado para mantener la fuerza de la seal. Las bandas RF se regulan en forma diferente en cada pas. La utilizacin de las WLAN est sujeta a regulaciones adicionales y a conjuntos de estndares que no se aplican a las LAN conectadas por cable.

Estndares de LAN inalmbricas

Las LAN conectadas por cable operaban a 10 Mb/s, de modo que la nueva tecnologa inalmbrica no se adopt con entusiasmo. A partir de entonces, los estndares de LAN inalmbricas mejoraron continuamente con la edicin de IEEE 802.11a, IEEE 802.11b, IEEE 802.11g, y el borrador 802.11n.

802.11a
El IEEE 802.11a adopt la tcnica de modulacin OFDM y utiliza la banda de 5 GHz. Los dispositivos 802.11a que operan en la banda de 5 GHz tienen menos probabilidades de sufrir interferencia que los dispositivos que operan en la banda de 2,4 GHz porque existen menos dispositivos comerciales que utilizan la banda de 5 GHz.

802.11b y 802.11g
802.11b especific las tasas de datos de 1; 2; 5,5 y 11 Mb/s en la banda de 2,4 GHz ISM que utiliza DSSS. 802.11g logra tasas de datos superiores en esa 2

banda mediante la tcnica de modulacin OFDM. El DSSS admite tasas de datos de 1; 2; 5,5 y 11 Mb/s, como tambin las tasas de datos OFDM de 6; 9; 12; 18; 24; 48 y 54 Mb/s. Existen ventajas en la utilizacin de la banda de 2,4 GHz. Los dispositivos en la banda de 2,4 GHz tendrn mejor alcance que aquellos en la banda de 5 GHz.

802.11n
802.11n utiliza radios y antenas mltiples en los puntos finales, y cada uno transmite en la misma frecuencia para establecer streams mltiples. La tecnologa de entrada mltiple/salida mltiple (MIMO) divide un stream rpido de tasa de datos en mltiples streams de menor tasa y los transmite simultneamente por las radios y antenas disponibles.

Certificacin Wi-Fi
La certificacin Wi-Fi la provee la Wi-Fi Alliance (http://www.wi-fi.org), una asociacin de comercio industrial global sin fines de lucro, dedicada a promover el crecimiento y aceptacin de las WLAN. Los estndares aseguran interoperabilidad entre dispositivos hechos por diferentes fabricantes. Las tres organizaciones clave que influencian los estndares WLAN en todo el mundo son: ITU-R IEEE Wi-Fi Alliance

El ITU-R regula la asignacin del espectro RF y rbitas satelitales. Recursos naturales finitos que se encuentran en demanda por parte de clientes, como redes inalmbricas fijas, redes inalmbricas mviles y sistemas de posicionamiento global. El IEEE desarroll y mantiene los estndares para redes de rea local y metropolitanas con la familia de estndares IEEE 802 LAN/MAN. La Wi-Fi Alliance es una asociacin de proveedores cuyo objetivo es mejorar la interoperabilidad de productos que estn basados en el estndar 802.11.

Puntos de acceso inalmbricos

Un punto de acceso conecta a los clientes (o estaciones) inalmbricas a la LAN cableada. Los dispositivos de los clientes, por lo general, no se comunican directamente entre ellos; se comunican con el AP. En esencia, un punto de acceso convierte los paquetes de datos TCP/IP desde su formato de encapsulacin en el aire 802.11 al formato de trama de Ethernet 802.3 en la red Ethernet conectada por cable. Un punto de acceso es un dispositivo de Capa 2 que funciona como un hub Ethernet 802.3. La RF es un medio

compartido y los puntos de acceso escuchan todo el trfico de radio (frecuencia).

Routers inalmbricos
Los routers inalmbricos cumplen el rol de punto de acceso, switch Ethernet y router. Un switch integrado de cuatro puertos full-duplex, 10/100 proporciona la conectividad a los dispositivos conectados por cable. Finalmente, la funcin de router provee un gateway para conectar a otras infraestructuras de red.

Topologas 802.11
Las LAN inalmbricas pueden utilizar diferentes topologas de red. Al describir estas topologas, la pieza fundamental de la arquitectura de la WLAN IEEE 802.11 es el conjunto de servicio bsico (BSS). El estndar define al BSS como un grupo de estaciones que se comunican entre ellas. Las redes inalmbricas pueden operar sin puntos de acceso; se llama topologa ad hoc. Las estaciones cliente que estn configuradas para operar en modo ad hoc configuran los parmetros inalmbricos entre ellas.

Sistema de distribucin comn

El sistema de distribucin comn permite a los puntos de acceso mltiple en un ESS aparentar ser un BSS simple. Un ESS incluye generalmente un SSID comn para permitir al usuario moverse de un punto de acceso a otro. Un ESS debe tener de 10 a 15 por ciento de superposicin entre celdas en un rea de servicio extendida.

Asociacin punto de acceso y cliente

Una parte clave del proceso de 802.11 es descubrir una WLAN y, luego, conectarse a ella. Los componentes principales de este proceso son los siguientes: Beacons - Tramas que utiliza la red WLAN para comunicar su presencia. Sondas - Tramas que utilizan los clientes de la WLAN para encontrar sus redes. Autenticacin - Proceso que funciona como instrumento del estndar original 802.11, que el estndar todava exige. Asociacin - Proceso para establecer la conexin de datos entre un punto de acceso y un cliente WLAN.

El propsito principal de beacon es permitir a los clientes de la WLAN conocer qu redes y puntos de acceso estn disponibles en un rea dada, permitindoles, elegir qu red y punto de acceso utilizar. Aunque las beacons pueden transmitirse regularmente por un punto de acceso, las tramas para 4

sondeo, autenticacin y asociacin se utilizan slo durante el proceso de asociacin.

Acceso no autorizado
Hay tres categoras importantes de amenaza que llevan a acceso no autorizado: Buscadores de redes inalmbricas abiertas Piratas informticos (Crackers) Empleados

Puntos de acceso no autorizados

Un punto de acceso no autorizado es un punto de acceso ubicado en una WLAN que se utiliza para interferir con la operacin normal de la red. Si un punto de acceso no autorizado se configura correctamente, se puede capturar informacin del cliente. Un punto de acceso no autorizado tambin puede configurarse para proveer acceso no autorizado a usuarios con informacin como las direcciones MAC de los clientes (tanto inalmbricas como conectadas por cable), o capturar y camuflar paquetes de datos o, en el peor de lo casos, obtener acceso a servidores y archivos.

Ataques de Hombre-en-el-medio
El atacante selecciona un host como objetivo y se posiciona logsticamente entre el objetivo y el router o gateway del objetivo. En un ambiente de LAN conectada por cable, el atacante necesita poder acceder fsicamente a la LAN para insertar un dispositivo lgico dentro de la topologa. Con una WLAN, las ondas de radio emitidas por los puntos de acceso pueden proveer la conexin. Para llevar a cabo este ataque, un pirata informtico selecciona una estacin como objetivo y utiliza software husmeador de paquetes, como Wireshark, para observar la estacin cliente que se conecta al punto de acceso. El pirata informtico puede ser capaz de leer y copiar el nombre de usuario objetivo, nombre del servidor y direccin IP del servidor y cliente, el ID utilizado para computar la respuesta y el desafo y su respuesta asociada, que se pasa no cifrada entre la estacin y el punto de acceso.

Descripcin general del protocolo inalmbrico

Se introdujeron dos tipos de autenticacin con el estndar 802.11 original: clave de autenticacin WEP abierta y compartida. La autenticacin abierta en realidad es "no autenticacin", (un cliente requiere autenticacin y el punto de acceso la permite), la autenticacin WEP deba proveer privacidad a un enlace, como si fuera un cable conectado de una PC a una conexin de pared Ethernet. Para contrarrestar las debilidades de la clave WEP compartida, el primer enfoque de las compaas fue tratar tcnicas como SSID camuflados y filtrado de direcciones MAC. Estas tcnicas tambin son muy dbiles. Aprender ms acerca de las debilidades de estas tcnicas ms adelante.

Autenticacin de una LAN inalmbrica

En redes que tengan requerimientos de seguridad ms estrictos, se requiere una autenticacin o conexin para garantizar dicho acceso a los clientes. Este proceso de conexin lo administra el Protocolo de autenticacin extensible (EAP). El EAP es una estructura para autenticar el acceso a la red. El proceso de autenticacin WLAN de la empresa se resume de la siguiente manera: El proceso de asociacin 802.11 crea un puerto virtual para cada cliente WLAN en el punto de acceso. El punto de acceso bloquea todas las tramas de datos, con excepcin del trfico basado en 802.1x. Las tramas 802.1x llevan los paquetes de autenticacin EAP a travs del punto de acceso al servidor que mantiene las credenciales de autenticacin. Este servidor tiene en ejecucin un protocolo RADIUS y es un servidor de Autenticacin, autorizacin y auditoria (AAA). Si la autenticacin EAP es exitosa, el servidor AAA enva un mensaje EAP de xito al punto de acceso, que permite entonces que el trfico de datos atraviese el puerto virtual desde el cliente de la WLAN. Antes de abrir un puerto virtual se establece un enlace de datos encriptados entre el cliente de la WLAN y el punto de acceso establecido para asegurar que ningn otro cliente de la WLAN pueda acceder al puerto que se haya establecido para un cliente autenticado especfico.

Si un SSID no se trasmite mediante un punto de acceso, el trfico que viaja de un punto a otro entre el cliente y el punto de acceso revela, eventualmente, el SSID. Si un atacante monitorea pasivamente la banda RF, puede husmear el SSID en una de estas transacciones, porque se enva no cifrado.

Encriptacin
Hay dos mecanismos de encriptacin a nivel empresa especificados por el 802.11i el protocolo de integridad de clave temporal (TKIP) y Estndar de encriptacin avanzada (AES). El TKIP provee apoyo para el equipo WLAN heredado que atiende las fallas originales asociadas con el mtodo de encriptacin WEP 802.11. Utiliza el algoritmo de encriptacin original utilizado por WEP. El TKIP tiene dos funciones primarias: Encripta el contenido de la Capa 2 Lleva a cabo una comprobacin de la integridad del mensaje (MIC) en el paquete encriptado. Esto ayuda a asegurar que no se altere un mensaje.

El AES utiliza informacin adicional del encabezado de la MAC que les permite a los hosts de destino reconocer si se alteraron los bits no encriptados y agrega un nmero de secuencia al encabezado de informacin encriptada. Distintos tipos de PSK: PSK o PSK2 con TKIP es el mismo que WPA PSK o PSK2 con AES es el mismo que WPA2 PSK2, sin un mtodo de encriptacin especificado, es el mismo que WPA2.

Control del acceso a la LAN inalmbrica

Si quiere realizar algo extra para proteger el acceso a su WLAN, puede agregar profundidad, como se muestra en la figura, y as implementar este enfoque de tres pasos: Camuflaje SSID - Deshabilite los broadcasts SSID de los puntos de acceso Filtrado de direcciones MAC - Las Tablas se construyen a mano en el punto de acceso para permitir o impedir el acceso de clientes basado en sus direccin de hardware Implementacin de la seguridad WLAN - WPA o WPA2

Ni el SSID camuflado ni el filtrado de direcciones MAC se consideran medios vlidos para proteger a una WLAN, por los siguientes motivos: Se puede suplantar la identidad de las direcciones MAC fcilmente.

Los SSID se descubren con facilidad, incluso si los puntos de acceso no los transmiten.

Descripcin general de la configuracin del punto de acceso inalmbrico

Configuracin de la configuracin inalmbrica bsica

Broadcast SSID - Cuando los clientes inalmbricos inspeccionan el rea local para buscar redes inalmbricas para asociarse, detectan el broadcast del SSID mediante el punto de acceso. Para transmitir el SSID, mantenga Habilitado, que es la configuracin predeterminada. Si no quiere transmitir el SSID, seleccione Deshabilitado.

Configuracin de seguridad
Esta opcin configurar la seguridad de su red inalmbrica. Existen siete modos de seguridad inalmbrica que el WTR300N admite. Se listan aqu en el orden en que los ve en el GUI, desde el ms dbil al ms fuerte, con excepcin de la ltima opcin, que est deshabilitada: WEP PSK-Personal, o WPA-Personal en v0.93.9 firmware o anterior PSK2-Personal, o WPA2-Personal en v0.93.9 firmware o anterior PSK-Empresa, o WPA-Empresa en v0.93.9 firmware o anterior PSK2-Empresa, o WPA2-Empresa en v0.93.9 firmware o anterior RADIUS Deshabilitado

Configuracin de canal incorrecta

La mayora de las WLAN operan en la banda de 2,4 GHz, que puede tener hasta 14 canales, cada uno ocupando un ancho de banda de 22 MHz. La energa no est distribuida en forma pareja en los 22 MHz, sino que el canal es ms fuerte 8

en su frecuencia central y la energa disminuye hacia los bordes del canal. El concepto de energa menguante en un canal se muestra en la lnea curva utilizada para indicar cada canal. El punto alto en el medio de cada canal es el punto de mayor energa.

Identificar problemas de mala ubicacin de puntos de acceso

Existen dos problemas importantes de implementacin que pueden producirse con la ubicacin de los puntos de acceso: La distancia que separa los puntos de acceso es demasiada como para permitir la superposicin de cobertura. La orientacin de la antena de los puntos de acceso en los vestbulos y esquinas disminuye la cobertura.

Los problemas de autenticacin y encriptacin de la WLAN que ms probablemente vaya a enfrentar y que podr resolver son causados por configuraciones de cliente incorrectas. Los problemas de encriptacin que involucran la creacin de claves dinmicas y las conversaciones entre un servidor de autenticacin, como un servidor RADIUS y un cliente a travs de un punto de acceso, estn fuera del alcance de este curso.