Redes LAN Inalmbricas (Wi-Fi)

Hernando A. Cadena Escobar

Definiciones
Qu es una red LAN?
LAN es la abreviatura de Local Area Network (Red de rea Local o simplemente Red Local)
Su extensin esta limitada fsicamente a un edificio o a un entorno de unos pocos kilmetros.

Su aplicacin ms extendida es la interconexin de ordenadores personales y estaciones de trabajo en oficinas, fbricas, etc; para compartir recursos e intercambiar datos y aplicaciones.

Definiciones
Qu es Wi-Fi?
Es un conjunto de estndares para redes inalmbricas basado en las especificaciones IEEE 802.11 El protocolo IEEE 802.11 es un estndar de protocolo de comunicaciones de la IEEE que define el uso de los dos niveles ms bajos de la arquitectura OSI (capas fsica y de enlace de datos), especificando sus normas de funcionamiento en una WLAN.

WLAN
WLAN (Wireless Local Area Network) es un sistema de comunicacin de datos inalmbrico flexible muy utilizado como alternativa a la LAN cableada o como una extensin de sta. Utiliza tecnologa de radiofrecuencia que permite mayor movilidad a los usuarios al minimizarse las conexiones cableadas.

WLAN
Caractersticas Red WLAN
Movilidad: este es un concepto importante en las redes 802.11, ya que lo que indica es la capacidad de cambiar la ubicacin de los terminales. Facilidad de instalacin: al no usar cables, se evitan obras para tirar cable por muros y techos, reduciendo el tiempo de instalacin. Tambin permite el acceso instantneo a usuarios temporales de la red. Flexibilidad: puede llegar donde el cable no puede, superando mayor nmero de obstculos, llegando a atravesar paredes. As, es til en zonas donde el cableado no es posible o es muy costoso.

Configuraciones WLAN (I)

Red de igual a igual
Se da entre dos ordenadores equipados con tarjetas adaptadoras para WLAN, de modo que pueden poner en funcionamiento una red independiente siempre que estn dentro del rea que cubre cada uno.

Cada cliente tendra nicamente acceso a los recursos de otro cliente pero no a un servidor central. Este tipo de redes no requiere administracin o preconfiguracin.

Red peer-to-peer

Configuraciones WLAN (II)

Cliente y punto de acceso
Instalando un Punto de Acceso (APs) se puede doblar el rango al cul los dispositivos pueden comunicarse, pues actan como repetidores.
Desde que el punto de acceso se conecta a la red cableada cualquier cliente tiene acceso a los recursos del servidor y adems actan como mediadores en el trfico de la red en la vecindad ms inmediata. Cada punto de acceso puede servir a varios clientes, segn la naturaleza y nmero de transmisiones que tienen lugar.

Cliente y punto de acceso

Configuraciones WLAN (III)

Roaming
Los puntos de acceso tienen un rango finito, del orden de 150m en lugares cerrados y 300m en zonas abiertas. En zonas grandes es probablemente necesario ms de un punto de acceso.

El objetivo es cubrir el rea con clulas que solapen sus reas de modo que los clientes puedan moverse sin cortes entre un grupo de puntos de acceso.

Mltiples puntos de acceso y "roaming"

Configuraciones WLAN (IV)

Redes con Puntos de Extensin
Para resolver problemas particulares de topologa, se puede usar un Punto de Extensin (EPs) para aumentar el nmero de puntos de acceso a la red. Los puntos de extensin extienden el rango de la red retransmitiendo las seales de un cliente a un punto de acceso o a otro punto de extensin. Los puntos de extensin pueden encadenarse para pasar mensajes entre un punto de acceso y clientes lejanos de modo que se construye un "puente" entre ambos.

Red con punto de extensin

Estndares para redes inalmbricas (I)

Estndar
802.11 802.11a 802.11b

Descripcin
Estndar WLAN original. Soporta de 1 a 2 Mbps. Estndar WLAN de alta velocidad en la banda de los 5 GHz. Soporta hasta 54 Mbps. Estndar WLAN para la banda de 2.4 GHz. Soporta 11 Mbps.

802.11e 802.11f
802.11g

Est dirigido a los requerimientos de calidad de servicio para todas las interfaces IEEE WLAN de radio. Define la comunicacin entre puntos de acceso para facilitar redes WLAN de diferentes proveedores.
Establece una tcnica de modulacin adicional para la banda de los 2.4 GHz. Dirigido a proporcionar velocidades de hasta 54 Mbps.

802.11h 802.11i

Define la administracin del espectro de la banda de los 5 GHz para su uso en Europa y en Asia Pacfico. Est dirigido a abatir la vulnerabilidad actual en la seguridad para protocolos de autenticacin y de codificacin.

Estndares para redes inalmbricas (II)

IEEE 802.11
La familia 802.11 actualmente incluye seis tcnicas de transmisin por modulacin que utilizan todas los mismos protocolos.

10

Normalizacin
Los estndares IEEE 802.11b e IEEE 802.11g disfrutan de una aceptacin internacional debido a que la banda de 2.4 GHz que est disponible casi universalmente, con velocidades de hasta 11 Mbps y 54 Mbps, respectivamente. En los Estados Unidos y Japn, se maneja tambin el estndar IEEE 802.11a, conocido como WIFI 5, que opera en la banda de 5 GHz y que disfruta de una operatividad con canales relativamente limpios.

Estndares para redes inalmbricas (III)

802.11b
Ancho de banda mximo de hasta 11Mbps Opera en el espectro de 2.4 Ghz sin necesidad de licencia. Las mismas interferencias que para 802.11 Conocido como WIFI Modulacin DSSS Compatible con los equipos DSSS del estndar 802.11.

11

802.11g
Ancho de banda mximo de hasta 54 Mbps Opera en el espectro de 2.4 Ghz sin necesidad de licencia. Compatible con 802.11b. Modulacin DSSS y OFDM.

802.11a
Ancho de banda mximo de hasta 54 Mbps Opera en el espectro de 5 Ghz sin necesidad de licencia. Menos saturado No es compatible con 802.11b y 802.11g Modulacin de OFDM.

Arquitectura OSI
Capa Fsica Capa de Enlace

Arquitectura OSI

13

Capa Fsica
El estndar 802.11 define varios mtodos y tecnologas de transmisin para implantaciones de LAN inalmbricas. Este estndar no slo engloba la tecnologa de radiofrecuencia sino tambin la de infrarrojos. As mismo, incluye varias tcnicas de transmisin como:
Modulacin por saltos de frecuencia (FHSS) Espectro de extensin de secuencia directa (DSSS) Infrarrojos (IR) Multiplexacin por divisin en frecuencias octogonales (OFDM)

14

Capa Fsica
FHSS (Espectro ensanchado por salto de frecuencia)

15

La tecnologa de espectro ensanchado por salto en frecuencia (FHSS) consiste en transmitir una parte de la informacin en una determinada frecuencia durante un intervalo de tiempo llamada dwell time e inferior a 400 ms. Pasado este tiempo se cambia la frecuencia de emisin y se sigue transmitiendo a otra frecuencia. De esta manera cada tramo de informacin se va transmitiendo en una frecuencia distinta durante un intervalo muy corto de tiempo. El orden en los saltos en frecuencia se determina segn una secuencia pseudoaleatoria almacenada en unas tablas, y que tanto el emisor y el receptor deben conocer. Si se mantiene la sincronizacin en los saltos de frecuencias se consigue que, aunque en el tiempo se cambie de canal fsico, a nivel lgico se mantiene un solo canal por el que se realiza la comunicacin. Una transmisin en espectro ensanchado ofrece estas ventajas principalmente: Las seales en espectro ensanchado son altamente resistentes al ruido y a la interferencia. Las seales en espectro ensanchado son difciles de interceptar. Una transmisin de este tipo suena como un ruido de corta duracin, o como un incremento en el ruido en cualquier receptor, excepto para el que est usando la secuencia que fue usada por el transmisor.

Capa Fsica
DSSS (Espectro ensanchado por secuencia directa)

16

Es uno de los mtodos de modulacin en espectro ensanchado para transmisin de seales digitales sobre ondas radiofnicas que ms se utilizan. El espectro ensanchado por secuencia directa es una tcnica de modulacin que utiliza un cdigo de pseudorruido para modular directamente una portadora, de tal forma que aumente el ancho de banda de la transmisin y reduzca la densidad de potencia espectral (es decir, el nivel de potencia en cualquier frecuencia dada). La seal resultante tiene un espectro muy parecido al del ruido, de tal forma que a todos los radiorreceptores les parecer ruido menos al que va dirigida la seal.
En el caso de Estados Unidos y Europa la tecnologa DSSS utiliza un rango de frecuencias que va desde los 2,4 GHz hasta los 2,4835 GHz, lo que permite tener un ancho de banda total de 83,5 MHz. Este ancho de banda se subdivide en canales de 5 MHz, lo que hace un total de 14 canales independientes. Cada pas est autorizado a utilizar un subconjunto de estos canales. En el caso de Espaa se utilizan los canales entre 1 y 11, preferentemente los canales 1,6 y 11 para evitar interferencias. En conexiones domsticas, tericamente, slo se puede utilizar el canal 6. La tcnica de DSSS podra compararse con una multiplexacin en frecuencia

Capa Fsica
OFDM (Multiplexacin por divisin de frecuencias ortogonales)
Es una modulacin que consiste en enviar la informacin modulando en QAM un conjunto de portadoras de diferentes frecuencias. Normalmente se realiza la modulacin OFDM tras pasar la seal por un codificador de canal con el objetivo de corregir los errores producidos en la transmisin, entonces esta modulacin se denomina COFDM, del ingls Coded OFDM.
Debido al problema tcnico que supone la generacin y la deteccin en tiempo continuo de los cientos, o incluso miles, de portadoras equiespaciadas que forman una modulacin OFDM, los procesos de modulacin y demodulacin se realizan en tiempo discreto mediante la IDFT y la DFT respectivamente.

17

Este mtodo de modulacin es usado para altas velocidades (>11 Mb/s) en la banda de 5 GHz (802.11a/h).

Capa Fsica
Cuadro comparativo

18

Capa Fsica
Salto de Frecuencia vs Secuencia Directa

19

Capa Fsica
Reparto de Canales DSSS a 2,4 GHz

20

Capa Fsica
Canales 802.11 b/g DSSS a 2,4 GHz

21

Capa Fsica
Interferencias

22

Externas Bluetooth transmite a 2,4 GHz por FHSS. Interfiere menos con DSSS. Nada con 802.11a (5 GHz) Los hornos de microondas (funcionan a 2,4 GHz) interfieren con FHSS. A DSSS le afectan menos. Nada a 802.11a Otros dispositivos que funciona en 2,4 GHz (telfonos inalmbricos, mandos a distancia de puertas de garage, etc.) tienen una potencia demasiado baja para interferir con las WLANs En los sistemas por infrarrojos la luz solar puede afectar la transmisin

Capa Fsica
Interferencias
Internas Debidas a multitrayectoria. Se produce interferencia debido a la diferencia de tiempo entre la seal que llega directamente y la que llega reflejada por diversos obstculos.

23

La seal puede llegar a anularse por completo si el retraso de la onda reflejada coincide con media longitud de onda. En estos casos un leve movimiento de la antena resuelve el problema. FHSS es ms resistente a la interferencia multitrayectoria que DSSS. Pero hoy en da este problema se resuelve con antenas diversidad

Capa De Enlace
Protocolo CSMA/CA: Caractersticas
Es un protocolo de control de redes utilizado para evitar colisiones entre los paquetes de datos. Es un mtodo de acceso de red en el cual cada dispositivo seala su intento para transmitir antes de que lo haga realmente.

24

Esto evita que otros dispositivos enven la informacin, as evitando que las colisiones ocurran entre las seales a partir de dos o ms dispositivos.
En CSMA/CA, tan pronto como un nodo recibe un paquete que deba ser enviado, comprueba que el canal esta libre. Si el medio o canal esta libre , entonces el paquete es enviado despus de esperar por un corto periodo de tiempo; pero si el canal esta ocupado, el nodo esperara por un periodo de backoff.

Capa De Enlace
Protocolo CSMA/CA: Colisiones
Pueden producirse porque dos estaciones a la espera elijan el mismo nmero de intervalos (mismo tiempo aleatorio) para transmitir despus de la emisin en curso.

25

En ese caso reintentan ampliando exponencialmente el rango de intervalos y vuelven a elegir. Es similar a Ethernet salvo que las estaciones no detectan la colisin, infieren que se ha producido cuando no reciben el ACK esperado Tambin se produce una colisin cuando dos estaciones deciden transmitir a la vez, o casi a la vez. Pero este riesgo es mnimo. Para una distancia entre estaciones de 70m el tiempo que tarda en llegar la seal es de 0,23 s

Capa De Enlace
Formato de una trama 802.11

26

Capa De Enlace
Fragmentacin

27

Las redes WLAN tienen una mayor tasa de error que las LAN, por eso se prev la posibilidad de que el emisor fragmente una trama para enviarla en trozos ms pequeos. Si el emisor ve que las tramas no estn llegando bien puede decidir fragmentarlas para que tengan mas probabilidad de llegar bien al receptor Por cada fragmento se devuelve un ACK por lo que en caso necesario es retransmitido por separado. La fragmentacin permite enviar datos en entornos con mucho ruido, aun a costa de aumentar el overhead Todas las estaciones estn obligadas a soportar la fragmentacin en recepcin, pero no en transmisin.

Capa De Enlace
Fragmentacin: Envo de una trama fragmentada

28

Capa De Enlace
Problema de la estacin oculta: Cul fue la causa del problema?

29

Capa De Enlace
Problema de la estacin oculta: Solucin del problema

30

Compatibilidad de dispositivos inalmbricos

Los sistemas inalmbricos de redes LAN de distintos vendedores pueden no ser compatibles para operar juntos. Tres razones:

31

Diferentes tecnologas no interoperarn.

Un sistema basado en la tecnologa de Frecuencia esperada (FHSS), no comunicar con otro basado en la tecnologa de Secuencia directa (DSSS).

Sistemas que utilizan distinta banda de frecuencias no podrn comunicar aunque utilicen la misma tecnologa.

An utilizando igual tecnologa y banda de frecuencias ambos vendedores, los sistemas de cada uno no comunicarn debido a diferencias de implementacin de cada fabricante.

Seguridad en redes Wi-Fi

Seguridad en redes WIFI

Introduccin
Los paquetes de informacin en las redes inalmbricas viajan en forma de ondas de radio. Las ondas de radio, en principio, pueden viajar ms all de las paredes y filtrarse en habitaciones/casas/oficinas contiguas o llegar hasta la calle.

33

Si nuestra instalacin est abierta, una persona con el equipo adecuado y conocimientos bsicos podra no slo utilizar nuestra conexin a Internet, sino tambin acceder a nuestra red interna o a nuestro equipo, donde podramos tener carpetas compartidas, o analizar toda la informacin que viaja por nuestra red, mediante sniffers, y obtener as contraseas de nuestras cuentas de correo, el contenido de nuestras conversaciones por MSN, etc. Las redes inalmbricas son inseguras aunque slo sea porque el medio de transporte que emplean es el aire; por tanto, un elemento esencial a tener en cuenta en este tipo de redes al utilizarse la radio son los mecanismos de autenticacin y codificacin de la informacin basados en tcnicas criptogrficas, llamado encriptacin. La encriptacin permite mantener la confidencialidad aun en caso de que la emisin sea capturada por un extrao. El SSID no es en s mismo una medida de seguridad, pues se anuncia pblicamente.

Seguridad en redes WIFI

SSID
Los clientes y el punto de acceso se asocian mediante un SSID (System Set Identifier) comn. El SSID sirve para la identificacin de los clientes ante el punto de acceso, y permite crear grupos lgicos independientes en la misma zona.
Normalmente cada SSID se asocia a una VLAN diferente en la red almbrica y a una subred IP diferente. Algunos APs permiten configurar varios SSID en un mismo equipo. En este caso el AP se conecta a un puerto trunk. El SSID permite organizar y gestionar varias WLANs que tengan que coexistir en una misma ubicacin, incluso si comparten un mismo canal.

34

Seguridad en redes WIFI

Organizacin de los SSID
Normalmente la cobertura de un edificio se hace con varios APs que estn conectados a la misma VLAN y tienen el mismo SSID. La VLAN tiene asociada una subred IP que es atendida por un servidor DHCP el cual asigna direccin, mscara y gateway por defecto a los equipos que se conectan a la WLAN.
El cambio de celda no modifica la direccin IP entretanto se siga dependiendo del mismo SSID y por tanto de la misma VLAN/subred. En una WLAN muy grande habra que utilizar varias VLANs; en ese caso los APs recibiran un SSID que dependera de la VLAN a la que se conectan. Si un usuario al cambiar de celda cambia de SSID cambiar de subred, con lo que perder la comunicacin. Para resolver esto debe utilizar IP mvil.

35

Seguridad en redes WIFI

Encriptacin
La encriptacin significa que los datos son cifrados antes de que se enven a travs de la red inalmbrica y se reagrupan cuando se obtienen por el destinatario, hacindoles as ilegibles para otros usuarios de la red.
En general se utiliza WEP (Wired Equivalent Privacy), que es un mecanismo de encriptacin y autenticacin especificado en el estndar IEEE 802.11 para garantizar la seguridad de las comunicaciones entre los usuarios y los puntos de acceso. La clave de acceso estndar es de 40 bits, pero existe otra opcional de 128 bits, y se asigna de forma esttica o manual, tanto para los clientes, que comparten todos el mismo conjunto de cuatro claves predeterminadas, como para los puntos de acceso a la red, lo que genera algunas dudas sobre su eficacia. WEP utiliza un esquema de cifrado simtrico en el que la misma clave y algoritmo se utilizan tanto para el cifrado de los datos como para su descifrado

36

Seguridad en redes WIFI

Filtrado de direcciones MAC
La habilitacin del filtrado de direcciones MAC permite la inclusin o exclusin de usuarios sobre la base de sus direcciones MAC, que son nicas. Los usuarios no presentes en la lista sern rechazados o se les conceder acceso limitado a la red.

37

Desventajas
Se debe repetir en todos los APs existentes (puede ser mucho trabajo y originar errores). Una vez capturadas por un hacker, pueden entrar a la red tranquilamente. Si algn usuario pierde o le roban su estacin, queda comprometida la seguridad.

Seguridad en redes WIFI

Cambio peridico de las claves de encriptacin
Cambiar las claves de encriptacin, peridicamente, impide que usuarios no autorizados accedan a la red inalmbrica, despus de haber recuperado la clave una vez. Es recomendable que las claves de encriptacin no sean palabras comunes o que estn directamente relacionadas con la persona que las introduce (direcciones, telfonos, nmeros de Identificacin, nombres de familiares, etc.)

38

Seguridad en redes WIFI

Implantacin de una mayor seguridad :
Las caractersticas de seguridad anteriormente descritas, estn disponibles para cualquier dispositivo inalmbrico que cumpla los estndares. Para las organizaciones que requieran mayor seguridad, existen medidas de seguridad adicionales que pueden integrarse en la configuracin de los dispositivos inalmbricos. Tecnologas tales como VPN, autentificacin RADIUS y 802.1x proporcionan mejores medios de proteccin contra el acceso mal intencionado a la red.

39

Seguridad en redes WIFI

WEP (Wired Equivalent Privacy)
Sistema de encriptacin estndar 802.11 Se implementa en la capa MAC

40

Soportada por la mayora de vendedores de soluciones inalmbricas Cifra los datos enviados a travs de las ondas de radio
Utiliza el algoritmo de encriptacin RC4

Seguridad en redes WIFI

WEP - Funcionamiento
Concatena la llave simtrica compartida, de 40 104 bits, de la estacin con un vector de inicializacin aleatorio (IV) de 24 bits, esta estructura se denomina seed.

41

El seed se utiliza para generar un nmero pseudoaleatrio, de longitud igual al payload (datos + CRC), y un valor de 32 bits para chequear la integridad (ICV).
Esta llave y el ICV, junto con el payload (datos + CRC), se combinan a travs de un proceso XOR que producir el texto cifrado. La trama enviada incluye el texto cifrado, y el IV e ICV sin encriptar.

Seguridad en redes WIFI

WEP - Debilidades
Longitud del vector IV (24 bits) insuficiente. El IV se repetir cada cierto tiempo de transmisin continua para paquetes distintos, pudiendo averiguar la llave compartida. Utilizacin de llaves estticas, el cambio de llave se debe realizar manualmente. A pesar de todo, WEP ofrece un mnimo de seguridad.

42

Seguridad en redes WIFI

AirSnort Sniffer
Es una herramienta para Wireless LAN que recupera llaves de encriptacin. Opera rastreando las transmisiones que pasan por la red inalmbrica y una vez que han sido enviados suficientes bloques de informacin calcula la llave de encriptacin utilizada.

43

Todas las redes de 802.11b con 40/128 bit WEP (Wired Equivalent Protocol) son vulnerables, ya que tienen numerosas grietas de seguridad.
AirSnort, junto con WEPCrack son las primeras implementaciones pblicas de este tipo de ataque. Requiere interceptar aproximadamente de 100MB a 1GB de datos, una vez que los tiene, AirSnort puede adivinar la llave de encriptacin utilizada en menos de un segundo.

Seguridad en redes WIFI

AirSnort Requerimientos
Linux, wlan-ng drivers, 2.4 kernels. Para compilar AirSnort se requiere: Fuente del Kernel Paquete de PCMCIA CS. Paquete de wlan-ng Patch wlan-monitor-airsnort

44

AirSnort requiere el juego de chips Prism2, ya que las tarjetas que lo poseen son las nicas capaces de llevar a cabo el sniffing necesario.

Seguridad en redes WIFI

AirSnort Compatibilidad
El tipo de chips necesario es utilizado por las siguientes tarjetas:
Addtron AWP-100 Bromax Freeport Compaq WL100 D-Link DWL-650 GemTek (Taiwan) WL-211 Linksys WPC11 Samsung SWL2000-N SMC 2632W Z-Com XI300 Zoom Telephonics ZoomAir 4100 LeArtery Solutions SyncbyAir LN101

45

Seguridad en redes WIFI

AirSnort Posibilidades Para crackear un password WEP, AirSnort requiere un cierto numero de bloques de informacin con llaves dbiles. De las 16,000,000 de llaves que pueden ser generadas por las tarjetas WEP, alrededor de 3,000 por semana son dbiles.

46

La mayora de los password pueden ser adivinados a partir de aproximadamente 2,000 paquetes dbiles.

802.1x

802.1x
Que es 802.1x ?
Provee un mtodo para la autenticacin y autorizacin de conexiones a una red inalmbrica. Autenticacin basada en el usuario; puede usar credenciales tales como contraseas o certificados. Utiliza EAP (Extensible Authentication Protocol) entre la estacin mvil y el punto de acceso. Aprovechamiento de protocolos AAA tales como RADIUS para centralizar autenticacin y autorizaciones.

48

802.1x
Por qu RADIUS?
La autenticacin se basa en el usuario, en vez de basarse en el dispositivo. Elimina la necesidad de almacenar informacin de los usuarios en cada AP de la red, por tanto es considerablemente ms fcil de administrar y configurar. RADIUS ya ha sido ampliamente difundido para otros tipos de autenticacin en la red de trabajo.

49

802.1x
Por qu RADIUS?
La autenticacin se basa en el usuario, en vez de basarse en el dispositivo. Elimina la necesidad de almacenar informacin de los usuarios en cada AP de la red, por tanto es considerablemente ms fcil de administrar y configurar. RADIUS ya ha sido ampliamente difundido para otros tipos de autenticacin en la red de trabajo.

50

Protocolo de Autenticacin Extendible Los tipos de autenticacin EAP proveen de seguridad a las redes 802.1x
Protege las credenciales Protege la seguridad de los datos

802.1x
Por qu RADIUS?
La autenticacin se basa en el usuario, en vez de basarse en el dispositivo. Elimina la necesidad de almacenar informacin de los usuarios en cada AP de la red, por tanto es considerablemente ms fcil de administrar y configurar. RADIUS ya ha sido ampliamente difundido para otros tipos de autenticacin en la red de trabajo.

51

Protocolo de Autenticacin Extendible Los tipos de autenticacin EAP proveen de seguridad a las redes 802.1x
Protege las credenciales Protege la seguridad de los datos

Tipos de EAP
EAP-TLS EAP-TTLS EAP-MD5

EAP-Cisco Wireless (LEAP)

EAP-PEAP

802.1x
Seguridad VPN 802.11
Conexin VPN segura

52

VLAN
WEP Encriptado

~
Servidor Archivos Servidor VPN
Red empresarial privada

PA

Red PA

Servidor VPN

Aeropuerto, hotel, casa

Conexin VPN segura

Firewall

IS Internet P
Dial-up, mdem cableado, DSL o GPRS Conexin VPN segura

802.1x
Seguridad VPN
La red wireless es la red insegura

53

Los AP se configuran sin WEP

Acceso Wireless es "aislado" de la red de la empresa por el servidor VPN Los AP se pueden interconectar creando una red virtual (VLAN)

Los servidores VPN proveen: Autenticacin Encriptacin

Los servidores VPN actan como: Firewalls Gateways

De la red interna

802.1x
Servidor RADIUS (Remote Autentication Dial-In User Service) Funcin Recibir pedido de conexin del usuario Autenticarlo Devolver toda la informacin de configuracin necesaria para que el cliente acceda a los servicios Elementos Bsicos Network Access Server (NAS) Cliente de RADIUS - Enva la informacin del usuario al RADIUS correspondiente y acta al recibir la respuesta Seguridad Autenticacin mediante Secreto Compartido Passwords encriptados Soporta diversos mtodos de autenticacin (PAP,CHAP, etc...)

54

802.1x
Entorno RADIUS

55

802.1x
Red Inalmbrica de una Empresa, la solucin segn 802.1x

56

802.1x
Proceso de Autenticacin (1) El usuario Wireless LAN autenticar la red de trabajo. Para asegurar que el usuario se conectar a la red correcta

57

802.1x
Proceso de Autenticacin (2)

58

El servidor de Odyssey o de SBR crea un tnel seguro entre el servidor y el cliente. El usuario es autenticado a travs del tnel con la utilizacin del nombre de usuario y contrasea/token Esto asegura que un usuario autorizado se est conectando dentro de la red

802.1x
Proceso de Autenticacin (3)

59

El servidor de Odyssey o de SBR generar llaves dinmicas WEP para encriptacin de los datos Ambas llaves se distribuyen al AP y al cliente

802.1x
Proceso de Autenticacin (4) Tras la autenticacin, Odyssey Server autorizar al AP la apertura de un puerto virtual para el cliente de la red inalmbrica El cliente obtiene su direccin IP (DHCP) y accede a la red.

60

802.1x
Proceso de Autenticacin (4) Tras la autenticacin, Odyssey Server autorizar al AP la apertura de un puerto virtual para el cliente de la red inalmbrica El cliente obtiene su direccin IP (DHCP) y accede a la red.

61

62

63

64

802.1x EAP

Tipos y Diferencias

802.1x
LEAP (EAP Cisco Wireless)
Basado en Nombre de Usuario y Contrasea

66

Soporta plataformas Windows, Macintosh y Linux

Patentado por Cisco (basado en 802.1x) El Nombre de Usuario se enva sin proteccin La contrasea se enva sin proteccin No soporta One Time Password (OTP) Requiere LEAP aware RADIUS Server. Requiere Infraestructura Cisco Wireless

802.1x
LEAP (EAP Cisco Wireless)
Basado en Nombre de Usuario y Contrasea

67

Soporta plataformas Windows, Macintosh y Linux

Patentado por Cisco (basado en 802.1x) El Nombre de Usuario se enva sin proteccin La contrasea se enva sin proteccin No soporta One Time Password (OTP) Requiere LEAP aware RADIUS Server. Requiere Infraestructura Cisco Wireless

802.1x
EAP MD5 Basado en Nombre de Usuario y Contrasea

68

El Nombre de Usuario se enva sin proteccin EAP-MD5 requiere una clave fija manual WEP y no ofrece distribucin automtica de llaves
Sujeto a ataques man-in-the-middle. Slo autentica el cliente frente al servidor, no el servidor frente al cliente

802.1x
EAP TLS (Microsoft)
Ofrece fuerte autenticacin mutua, credenciales de seguridad y llaves dinmicas

69

Requiere la distribucin de certificados digitales a todos los usuarios as como a los servidores RADIUS Requiere una infraestructura de gestin de certificados (PKI) Windows XP contiene un cliente EAP-TLS, pero obliga a los administradores a emplear slo certificados Microsoft Intercambio de identidades desprotegido

802.1x
EAP Certificados Cliente?
Son difciles de gestionar

70

Debe designarlos una Autoridad Certificadora

Requieren conocimiento/compresin Requiere que el usuario establezca el certificado Incmodo para establecer mltiples dispositivos, transferir certificados Los administradores son reacios a su uso Adopcin limitada a una fecha

6 ciclos entre usuario y autenticador

802.1x
EAP TTLS

71

Permite a los usuarios autenticarse mediante nombre de usuario y contrasea, sin prdida de seguridad
Desarrollado por Funk Software y Certicom

Ofrece fuerte autenticacin mutua, credenciales de seguridad y llaves dinmicas

Requiere que los certificados sean distribuidos slo a los servidores RADIUS, no a los usuarios Compatible con las actuales bases de datos de seguridad de usuarios, incluidas Windows Active Directory, sistemas token, SQL, LDAP, etc. Soporta CHAP, PAP, MS-CHAP y MS-CHAPv2

802.1x
EAP TTLS (Funcionamiento)

72

802.1x
EAP TTLS (ventajas) El ms sencillo de instalar y gestionar Seguridad difcil de traspasar No requiere Certificados Cliente Autentica de manera segura los usuarios frente a base de datos Windows Despliegue contra infraestructuras existentes Los usuarios se conectan con sus nombres de usuario y contraseas habituales No existe peligro de ataques de diccionario Parmetros pre-configurados para el cliente WLAN, facilitando la instalacin en los dispositivos WLAN

73

802.1x
EAP PEAP Propuesto por Microsoft/Cisco/RSA Security

74

No requiere Certificados Tambin utiliza Transport Layer Security (TLS) para establecer el tnel
Se incluye en SP1 de Windows XP Se incluir en Windows 2003 Server

802.1x
Wi-Fi Protected Access (WPA)

75

Abril 2003 Ms fuerte que WEP Mejorable a travs de nuevas versiones de software Uso empresarial y casero Obligatorio a finales del 2003 Mejoras de Seguridad TKIP (Temporal Key Integrity Protocol) Autenticacin de usuarios

802.1x
TKIP
IV de 48 bits llamado TSC (TKIP Sequence counter) MIC (Integrity Check de Mensajes)
Encripta checksum con direcciones MAC y los datos

76

77

802.1x
Requisitos de Funcionalidad para el Mtodo de Autenticacin

78

Seguridad para las credenciales Permitir autenticacin mutua Llaves de encriptacin dinmicas Regeneracin de llaves (re-keying) Facilidad de gestin Facilidad y rapidez de implementacin

802.1x
WEP y WPA

79

Funcin
Encriptacin
Claves Claves Claves

WEP
Dbil
40 bits Estticas Distribucin manual

WPA
Soluciona debilidades 128 bits Dinmicas Automtica Fuerte, segn 802.1x y EAP

Autenticacin

Dbil

802.1x
Protocolos de Seguridad Wireless

80

802.1x
Comparativa de protocolos EAP
Tema
Solucin de Seguridad
CertificadosCliente CertificadosServidor Credenciales de Seguridad Soporta Autenticacin de Base de Datos Intercambio de llaves dinmicas Autenticacin Mtua

81

EAP-MD5 Estndar No No

LEAP (Cisco) Patente N/A N/A

EAP-TLS (MS) Estndar S S

EAP-TTLS (Funk) Estndar No (opcional) S

EAP-PEAP Estndar No (opcional) S

Ninguna
Requiere Borrar la Base de Datos

Deficiente
Active Directory, NT Domains

Buena

Buena Act. Dir., NT Domains, Token Systems, SQL, LDAP S S

Buena

Active Directory

------

No No

S S

S S

S S

802.1x
Conclusiones

82

La eleccin del mtodo de Autenticacin es la decisin fundamental La eleccin del servidor de Autenticacin y del software de los clientes
Si no existe PKI ----- deseche TLS PEAP no tiene ventajas sobre TTLS

Odyssey
Qu es ODYSSEY?
Odyssey es una solucin de seguridad 802.1x extremo-extremo que permite a los usuarios conectarse de forma segura a una red inalmbrica. Puede ser fcil y ampliamente desplegada a travs de una red de trabajo corporativa
Solucin completa para redes inalmbricas. Asegura la autenticacin del cliente as como tambin de la conexin en si misma . Consta de dos componentes: Odyssey Client comunica con Odyssey Server (o servidor basado en 802.1x) para establecer una conexin segura . Odyssey Server servidor RADIUS basado en protocolos de autenticacin para redes inalmbricas (MD5, TLS, TTLS, LEAP, PEAP). Disponible como sistema Cliente/Servidor, o individualmente como Servidor o Cliente .

83

Odyssey
Caractersticas de ODYSSEY
Odyssey Client se ejecuta bajo Windows 98/ME/2000/XP/CE Administracin de certificados basada en servidor (no se requiere certificado del lado-cliente excepto al usar EAP-TLS) Trabaja con cualquier hardware basado en 802.1x Generacin de llave dinmica para una seguridad superior: Llave inicial WEP creada dinmicamente (no ms llaves estticas WEP) Llaves peridicas de sesin generadas a intervalos configurables
La autenticacin trabaja frente a bases de datos existentes Active Directory/NT Domain (y nombre de usuario/contrasea existentes)

84

Practica de Wi-fi

Hacer una red Wi-fi cliente y punto de acceso

Practica
Para hacer una conexin cliente/AP necesitamos:

86

Access Point (AP)

Si nuestro ordenador o porttil no incluye Wi-Fi, necesitaremos un accesorio que nos de este tipo de conectividad. Router (Recomendado un router ADSL)

Configuracion de AP
Para configurar un AP se tiene que tener en cuenta el fabricante, pero esta configuracion es similar ante la mayoria: Conectamos el AP al Router Si se tiene configurado DHCP en el router no hay necesidad de hacer alguna configuracion adicional. Si no esta configurado el DHCP en el router, toca configurar en el AP la direccion IP privada, el gateway, mascara de subred, serividores DNS, etc.

87

Nota: En caso de hacer la configuracion manual, se puede acceder al AP utilizando un navegador web o consultar el manual del AP

Configuracion de nuestro equipo

Para configurar nuestro equipo debemos:
Iniciaremos buscando el icono de redes, que se encuentra en la barra de tareas, all podremos saber si la mquina tiene la red desconectada o no ha sido instalada.

88

Al encontrar el icono, damos clic derecho sobre l y a continuacin nos saldr un men textual, con varias opciones, de las cuales debemos seleccionar ver redes inalmbricas disponibles.

Configuracion de nuestro equipo

89

En la ventana de conexiones de redes inalmbricas, debemos seleccionar la opcin elegir una red inalmbrica. Luego, seleccionamos la opcin actualizar lista de redes con esto podremos ver las redes inalmbricas a las cuales tenemos alcance.

Configuracion de nuestro equipo

Luego de realizar el tercer paso, aparecer la ventana como la siguiente imagen que indica que est buscando las redes disponibles en tu computadora. Para que puedas efectuar los pasos siguientes. Puede que se demore un poco, pero no te preocupes en esta misma ventana te aparecer el resultado.

90

Configuracion de nuestro equipo

Como ven se ha encontrado una red inalmbrica disponible, en este caso el nombre de prueba es maestros del web pero tu puedes ponerle el nombre que desees. Luego, seleccionamos el botn conectar.

91

Configuracion de nuestro equipo

92

Al intentar conectarnos a esta red inalmbrica, nos solicita la clave de red para acceder a ella, la introducimos y luego seleccionamos nuevamente el botn conectar.

Configuracion de nuestro equipo

El asistente de conexin nos intentar conectar a la red seleccionada. Se completar si la clave de red introducida es correcta.

93

Configuracion de nuestro equipo

Si la red ha sido conectada exitosamente, nos aparecern los detalles de la conexin en la siguiente ventana.

94

Configuracion de nuestro equipo

95

Regresamos a la barra de tareas nuevamente realizando el paso 2 y seleccionamos nuevamente el estado.

En la ventana de Estado de conexiones de las redes inalmbricas, nos muestra las caractersticas de la conexin: estado, red, duracin, velocidad, intensidad de seal.

Configuracion de nuestro equipo

Al seleccionar el botn de propiedades, nos aparecer en la misma ventana el adaptador de red que se esta utilizando y los tipos de componentes de red.

96

Configuracion de nuestro equipo

97

En la pestaa Redes inalmbricas podemos definir, si esta conexin que creamos se conectar automticamente. Tambin, podemos agregar nuevas conexiones, quitar, o ver las propiedades.

Configuracion de nuestro equipo

En la pestaa Opciones avanzadas se pueden definir las configuraciones de los cortafuegos o Firewall, definir si la conexin ser compartida.

98

Finalizacion de la configuracion

99

Al finalizar esta configuracion ya estamos aptos para conectarnos a la red, teniendo en cuenta la disponibilidad del servidor y el rango de alcance de la red inalambrica

100

Les agradezco su atencion

Alguna Pregunta?