Está en la página 1de 26

INSTITUTO SUPERIO TECNOLOGICO HARVAR

Seguridad en Redes Inalmbricas 2012

Pgina 1

INSTITUTO SUPERIO TECNOLOGICO HARVAR

INTRODUCCIN

El mundo de las comunicaciones est recibiendo una serie de cambios en su base muy importantes. Los aparatos que hasta ahora tenan una conexin a travs de una frecuencia de propagacin por el aire, han pasado o pasaran a tener unas conexiones cableadas. ste seria el caso de la televisin domstica que pasa de la conexin con las antenas, a la fibra ptica. Por otro lado, las comunicaciones que tenan un medio fsico cableado, como el telfono, estn pasando y pasaran en un porcentaje elevado a ser definitivamente de conexin inalmbrica. La causa de este cambio de mentalidad en las comunicaciones se debe encontrar en que los aparatos como el televisor son fijos y que por lo tanto pueden estar conectados permanentemente. De esta manera se deja libre el espacio de radiofrecuencia que se ocupa, con tal de dejarlo a otros servicios futuros mviles. Las redes inalmbricas de rea local (WLAN) tienen un papel cada vez ms importante en las comunicaciones del mundo de hoy. Debido a su facilidad de instalacin y conexin, se han convertido en una excelente alternativa para ofrecer conectividad en lugares donde resulta inconveniente o imposible brindar servicio con una red alambrada. La popularidad de estas redes ha crecido a tal punto que los fabricantes de computadores y motherboards estn integrando dispositivos para acceso a WLAN en sus equipos; tal es el caso de Intel, que fabrica el chipset Centrino para computadores porttiles.

Seguridad en Redes Inalmbricas 2012

Pgina 2

INSTITUTO SUPERIO TECNOLOGICO HARVAR

RESUMEN

La falta de seguridad en las redes inalmbricas es un problema que, a pesar de su gravedad, no ha recibido la atencin debida por parte de los administradores de redes y los responsables de la informacin. Este artculo presenta las tecnologas existentes para mejorar el nivel de seguridad en las redes inalmbricas 802.11, con sus ventajas, desventajas y escenarios de aplicacin. Son muchos los motivos para preocuparnos por la seguridad de una red inalmbrica. Por ejemplo, queremos evitar compartir nuestro ancho de banda pblicamente. A nadie con algo de experiencia se le escapa que las redes inalmbricas utilizan un medio inseguro para sus comunicaciones y esto tiene sus repercusiones en la seguridad. Tendremos situaciones en las que precisamente queramos compartir pblicamente el acceso a travs de la red inalmbrica, pero tambin tendremos que poder configurar una red inalmbrica para limitar el acceso en funcin de unas credenciales. Tambin tenemos que tener en cuanta que las tramas circulan de forma pblica y en consecuencia cualquiera que estuviera en el espacio cubierto por la red, y con unos medios simples, podra capturar las tramas y ver el trfico de la red. Aunque esto pueda sonar a pelcula de Hollywood, est ms cerca de lo que podramos pensar. Para resolver los problemas de seguridad que presenta una red inalmbrica tendremos que poder, por un lado, garantizar el acceso mediante algn tipo de credencial a la red y por otro garantizar la privacidad de las comunicaciones aunque se hagan a travs de un medio inseguro. Una empresa no debera utilizar redes inalmbricas para sus comunicaciones si tiene informacin valiosa en su red que desea mantener segura y no ha tomado las medidas de proteccin adecuadas. Cuando utilizamos una pgina web para enviar un nmero de tarjeta de crdito deberemos, hacerlo siempre utilizando una web segura porque eso garantiza que se transmite cifrada. Pues en una red inalmbrica tendra que hacerse de una forma parecida para toda la informacin que circula, para que proporcione al menos la misma seguridad que un cable. Pensemos que en una red inalmbrica abierta se podra llegar a acceder a los recursos de red compartidos.

Seguridad en Redes Inalmbricas 2012

Pgina 3

INSTITUTO SUPERIO TECNOLOGICO HARVAR

CONCEPTOS BSICOS
RED INALMBRICA Las redes inalmbricas (en ingls wireless network) son aquellas que se comunican por un medio de transmisin no guiado (sin cables) mediante ondas electromagnticas. La transmisin y la recepcin se realizan a travs de antenas. Tienen ventajas como la rpida instalacin de la red sin la necesidad de usar cableado, permiten la movilidad y tienen menos costos de mantenimiento que una red convencional. Otra de las ventajas de redes inalmbricas es la movilidad. Red inalmbrica los usuarios puedan conectarse a las redes existentes y se permite que circulen libremente. Un usuario de telefona mvil puede conducir millas en el curso de una nica conversacin, porque el telfono se conecta al usuario a travs de torres de la clula. Inicialmente, la telefona mvil es cara. Costes de su uso restringido a profesionales de gran movilidad, como directores de ventas y ejecutivos encargados de adoptar decisiones importantes que tendran que ser alcanzados en un momento de aviso, independientemente de su ubicacin. La telefona mvil ha demostrado ser un servicio til.

Seguridad en Redes Inalmbricas 2012

Pgina 4

INSTITUTO SUPERIO TECNOLOGICO HARVAR

EL PROBLEMA DE LA SEGURIDAD

El acceso sin necesidad de cables, la razn que hace tan populares a las redes inalmbricas, es a la vez el problema ms grande de este tipo de redes en cuanto a seguridad se refiere. Cualquier equipo que se encuentre a 100 metros o menos de un punto de acceso, podra tener acceso a la red inalmbrica. Por ejemplo, si varias empresas tienen sede en un mismo edificio, y todas ellas poseen red inalmbrica, el equipo de un empleado podra encontrarse en cierto momento en el rea de influencia de dos o ms redes diferentes, y dicho empleado podra conectarse (intencionalmente o no) a la red de una compaa que no es la suya. An peor, como las ondas de radio pueden salir del edificio, cualquier persona que posea un equipo mvil y entre en el rea de influencia de la red, podra conectarse a la red de la empresa. Lo grave de esta situacin es que muchos administradores de redes parecen no haberse dado cuenta de las implicaciones negativas de poseer puntos de acceso inalmbrico en la red de una empresa. Es muy comn encontrar redes en las que el acceso a internet se protege adecuadamente con un firewall bien configurado, pero al interior de la red existen puntos de acceso inalmbrico totalmente desprotegidos e irradiando seal hacia el exterior del edificio. Cualquier persona que desde el exterior capte la seal del punto de acceso, tendr acceso a la red de la compaa, con la posibilidad de navegar gratis en la internet, emplear la red de la compaa como punto de ataque hacia otras redes y luego desconectarse para no ser detectado, robar software y/o informacin, introducir virus o software maligno, entre muchas otras cosas. Un punto de acceso inalmbrico mal configurado se convierte en una puerta trasera que vulnera por completo la seguridad informtica de la compaa. La mala configuracin de un acceso inalmbrico es, desgraciadamente, una cosa muy comn. Un estudio publicado en 2003 por RSA Security Inc.4 encontr que de 328 puntos de acceso inalmbricos que se detectaron en el centro de Londres, casi las dos terceras partes no tenan habilitado el cifrado mediante WEP (Wired Equivalent Protocol). Adems, cien de estos puntos de acceso estaban divulgando informacin que permita identificar la empresa a la que pertenecan, y 208 tenan la configuracin con la que vienen de fbrica. Existen dos prcticas bien conocidas para localizar redes inalmbricas: El warchalking Consiste en caminar por la calle con un computador porttil dotado de una tarjeta WLAN, buscando la seal de puntos de acceso. Cuando se encuentra uno, se pinta con tiza un smbolo especial en la acera o en un muro, indicando la presencia del

Seguridad en Redes Inalmbricas 2012

Pgina 5

INSTITUTO SUPERIO TECNOLOGICO HARVAR

punto de acceso y si tiene configurado algn tipo de seguridad o no. De este modo, otras personas pueden conocer la localizacin de la red. El wardriving Propio para localizar puntos de acceso inalmbrico desde un automvil. Para este fin se necesita de un computador porttil con una tarjeta WLAN, una antena adecuada (que se puede elaborar fcilmente con una lata de conservas o de papas fritas, 5) un GPS para localizar los puntos de acceso en un mapa, y software para deteccin de redes inalmbricas, que se consigue libremente en la internet. Una vez localizada una red inalmbrica, una persona podra llevar a cabo dos tipos de ataques: Ingresar a la red y hacer uso ilegtimo de sus recursos. Configurar un punto de acceso propio, orientando la antena de tal modo que los computadores que son clientes legtimos de la red atacada se conecten a la red del atacante. Una vez hecho esto, el atacante podra robar la informacin de dichos computadores, instalarles software maligno o daar la informacin.

GARANTIZANDO LA SEGURIDAD DE UNA RED INALMBRICA Para poder considerar una red inalmbrica como segura, debera cumplir con los siguientes requisitos: Las ondas de radio deben confinarse tanto como sea posible. Esto es difcil de lograr totalmente, pero se puede hacer un buen trabajo empleando antenas direccionales y configurando adecuadamente la potencia de transmisin de los puntos de acceso. Debe existir algn mecanismo de autenticacin en doble va, que permita al cliente verificar que se est conectando a la red correcta, y a la red constatar que el cliente est autorizado para acceder a ella. Los datos deben viajar cifrados por el aire, para evitar que equipos ajenos a la red puedan capturar datos mediante escucha pasiva. Existen varios mtodos para lograr la configuracin segura de una red inalmbrica; cada mtodo logra un nivel diferente de seguridad y presenta ciertas ventajas y desventajas. Se har a continuacin una presentacin de cada uno de ellos.

Seguridad en Redes Inalmbricas 2012

Pgina 6

INSTITUTO SUPERIO TECNOLOGICO HARVAR

Mtodo 1: Filtrado de direcciones MAC Este mtodo consiste en la creacin de una tabla de datos en cada uno de los puntos de acceso a la red inalmbrica. Dicha tabla contiene las direcciones MAC (Media Access Control) de las tarjetas de red inalmbricas que se pueden conectar al punto de acceso. Como toda tarjeta de red posee una direccin MAC nica, se logra autenticar el equipo. Este mtodo tiene como ventaja su sencillez, por lo cual se puede usar para redes caseras o pequeas. Sin embargo, posee muchas desventajas que lo hacen imprctico para uso en redes medianas o grandes: No escala bien, porque cada vez que se desee autorizar o dar de baja un equipo, es necesario editar las tablas de direcciones de todos los puntos de acceso. Despus de cierto nmero de equipos o de puntos de acceso, la situacin se torna inmanejable. El formato de una direccin MAC no es amigable (normalmente se escriben como 6 bytes en hexadecimal), lo que puede llevar a cometer errores en la manipulacin de las listas. Las direcciones MAC viajan sin cifrar por el aire. Un atacante podra capturar direcciones MAC de tarjetas matriculadas en la red empleando un sniffer, y luego asignarle una de estas direcciones capturadas a la tarjeta de su computador, empleando programas tales como AirJack6 o WellenReiter, entre otros. De este modo, el atacante puede hacerse pasar por un cliente vlido. En caso de robo de un equipo inalmbrico, el ladrn dispondr de un dispositivo que la red reconoce como vlido. En caso de que el elemento robado sea un punto de acceso el problema es ms serio, porque el punto de acceso contiene toda la tabla de direcciones vlidas en su memoria de configuracin. Debe notarse adems, que este mtodo no garantiza la confidencialidad de la informacin transmitida, ya que no prev ningn mecanismo de cifrado.

Seguridad en Redes Inalmbricas 2012

Pgina 7

INSTITUTO SUPERIO TECNOLOGICO HARVAR

Mtodo 2: Wired Equivalent Privacy (WEP)

WEP (Wired Equivalent Privacy), que viene a significar Privacidad Equivalente a Cable, es un sistema que forma parte del estndar 802.11 desde sus orgenes. Es el sistema ms simple de cifrado y lo admiten la totalidad de los adaptadores inalmbricos. El cifrado WEP se realiza en la capa MAC del adaptador de red inalmbrico o en el punto de acceso, utilizando claves compartidas de 64 o 128 bits. Cada clave consta de dos partes, una de las cuales la tiene que configurar el usuario/administrador en cada uno de los adaptadores o puntos de acceso de la red. La otra parte se genera automticamente y se denomina vector de inicializacin (IV). El objetivo del vector de inicializacin es obtener claves distintas para cada trama. Ahora vamos a ver una descripcin del funcionamiento del cifrado WEP. Cuando tenemos activo el cifrado WEP en cualquier dispositivo inalmbrico, bien sea una adaptador de red o un punto de acceso, estamos forzando que el emisor cifre los datos y el CRC de la trama 802.11. El receptor recoge y la descifra. Para no incurrir en errores de concepto, esto es slo aplicable a comunicaciones estaciones 802.11, cuando el punto de acceso recoge una trama y la enva a travs del cable, la enva sin cifrar. El cifrado se lleva a cabo partiendo de la clave compartida entre dispositivos que, como indicamos con anterioridad, previamente hemos tenido que configurar en cada una de las estaciones. En realidad un sistema WEP almacena cuatro contraseas y mediante un ndice indicamos cual de ellas vamos a utilizar en las comunicaciones. El proceso de cifrado WEP agrega un vector de inicializacin (IV) aleatorio de 24 bits concatenndolo con un la clave compartida para generar la llave de cifrado. Observamos como al configurar WEP tenemos que introducir un valor de 40 bits (cinco dgitos hexadecimales), que junto con los 24 bits del IV obtenemos la clave de 64 bits. El vector de inicializacin podra cambiar en cada trama trasmitida. WEP usa la llave de cifrado para generar la salida de datos que sern, los datos cifrados ms 32 bits para la comprobacin de la integridad, denominada ICV (integrity check value). El valor ICV se utiliza en la estacin receptora donde se recalcula y se
Seguridad en Redes Inalmbricas 2012 Pgina 8

INSTITUTO SUPERIO TECNOLOGICO HARVAR

compara con el del emisor para comprobar si ha habido alguna modificacin y tomar una decisin, que puede ser rechazar el paquete. Para cifrar los datos WEP utiliza el algoritmo RC4, que bsicamente consiste en generar un flujo de bits a partir de la clave generada, que utiliza como semilla, y realizar una operacin XOR entre este flujo de bits y los datos que tiene que cifrar. El valor IV garantiza que el flujo de bits no sea siempre el mismo. WEP incluye el IV en la parte no cifrada de la trama, lo que aumenta la inseguridad. La estacin receptora utiliza este IV con la clave compartida para descifrar la parte cifrada de la trama. Lo ms habitual es utilizar IV diferentes para transmitir cada trama aunque esto no es un requisito de 801.11. El cambio del valor IV mejora la seguridad del cifrado WEP dificultando que se pueda averiguar la contrasea capturando tramas, aunque a pesar de todo sigue siendo inseguro. El algoritmo de encriptacin de WEP es el siguiente: 1. Se calcula un CRC de 32 bits de los datos. Este CRC-32 es el mtodo que propone WEP para garantizar la integridad de los mensajes (ICV, Integrity Check Value). 2. Se concatena la clave secreta a continuacin del IV formado el seed. 3. El PRNG (Pseudo-Random Number Generator) de RC4 genera una secuencia de caracteres pseudoaleatorios (keystream), a partir del seed, de la misma longitud que los bits obtenidos en el punto 1. 4. Se calcula la O exclusiva (XOR) de los caracteres del punto 1 con los del punto 3. El resultado es el mensaje cifrado. 5. Se enva el IV (sin cifrar) y el mensaje cifrado dentro del campo de datos (frame body) de la trama IEEE 802.11. El algoritmo para descifrar es similar al anterior. Debido a que el otro extremo conocer el IV y la clave secreta, tendr entonces el seed y con ello podr generar el keystream. Realizando el XOR entre los datos recibidos y el keystream se obtendr el mensaje sin cifrar (datos y CRC-32). A continuacin se comprobara que el CRC-32 es correcto. Debilidades de WEP Las debilidades de WEP se basan en que, por un lado, las claves permanecen estticas y por otro lado los 24 bits de IV son insuficientes y se transmiten sin cifrar. Aunque el algoritmo RC4 no est considerado de los ms seguros, en este caso la debilidad de WEP no es culpa de RC4, sino de su propio diseo. Si tenemos un vector de inicializacin de 24 bits tendremos 2^24 posibles IV distintos y no es difcil encontrar distintos paquetes generados con el mismo IV. Si la red tiene bastante trfico estas repeticiones se dan con cierta frecuencia. Un atacante
Seguridad en Redes Inalmbricas 2012 Pgina 9

INSTITUTO SUPERIO TECNOLOGICO HARVAR

puede recopilar suficientes paquetes similares cifrados con el mismo IV y utilizarlos para determinar el valor del flujo de bits y de la clave compartida. El valor del IV se transmite sin cifrar por lo que es pblico. Esto puede parecer muy complicado, pero hay programas que lo hacen automticamente y en horas o das averiguan la contrasea compartida. No olvidemos que aunque la red tenga poco trfico el atacante puede generarlo mediante ciertas aplicaciones. Una vez que alguien ha conseguido descifrar la contrasea WEP tiene el mismo acceso a la red que si pudiera conectarse a ella mediante cable. Si la red est configurada con un servidor DHCP, entonces el acceso es inmediato, y si no tenemos servidor DHCP pues al atacante le puede llevar cinco minutos ms. Vista la debilidad real de WEP lo ideal es que se utilizaran claves WEP dinmicas, que cambiaran cada cierto tiempo lo que hara materialmente imposible utilizar este sistema para asaltar una red inalmbrica, pero 802.11 no establece ningn mecanismo que admita el intercambio de claves entre estaciones. En una red puede ser tedioso, simplemente inviable, ir estacin por estacin cambiando la contrasea y en consecuencia es habitual que no se modifiquen, lo que facilita su descifrado. Algunos adaptadores slo admiten cifrado WEP por lo que a pesar de su inseguridad puede ser mejor que nada. Al menos evitaremos conexiones en abierto incluso evitaremos conexiones y desconexiones a la red si hay varias redes inalmbricas disponibles. Mtodo 3: Las VPN Una red privada virtual (Virtual Private Network, VPN) emplea tecnologas de cifrado para crear un canal virtual privado sobre una red de uso pblico. Las VPN resultan especialmente atractivas para proteger redes inalmbricas, debido a que funcionan sobre cualquier tipo de hardware inalmbrico y superan las limitaciones de WEP. Para configurar una red inalmbrica utilizando las VPN, debe comenzarse por asumir que la red inalmbrica es insegura. Esto quiere decir que la parte de la red que maneja el acceso inalmbrico debe estar aislada del resto de la red, mediante el uso de una lista de acceso adecuada en un enrutador, o agrupando todos los puertos de acceso inalmbrico en una VLAN si se emplea switching. Dicha lista de acceso y/o VLAN solamente debe permitir el acceso del cliente inalmbrico a los servidores de autorizacin y autenticacin de la VPN. Deber permitirse acceso completo al cliente, slo cuando ste ha sido debidamente autorizado y autenticado.

Seguridad en Redes Inalmbricas 2012

Pgina 10

INSTITUTO SUPERIO TECNOLOGICO HARVAR

Los servidores de VPN se encargan de autenticar y autorizar a los clientes inalmbricos, y de cifrar todo el trfico desde y hacia dichos clientes. Dado que los datos se cifran en un nivel superior del modelo OSI, no es necesario emplear WEP en este esquema.

Mtodo 4: 802.1x IEEE 802.11i: Con WEP utilizamos claves estticas que son relativamente fciles de averiguar. La solucin al problema que plantea WEP consiste en establecer un sistema dinmico de claves sin necesidad de intervencin del administrador y con este propsito se establece el estndar IEEE 802.11i. El estndar IEEE 802.11i incluye protocolos de gestin de claves y mejoras de cifrado y autenticacin con IEEE 802.1X. 802.1x es un protocolo de control de acceso y autenticacin basado en la arquitectura cliente/servidor, que restringe la conexin de equipos no autorizados a una red.11 El protocolo fue inicialmente creado por la IEEE para uso en redes de rea local alambradas, pero se ha extendido tambin a las redes inalmbricas. Muchos de los puntos de acceso que se fabrican en la actualidad ya son compatibles con 802.1x.

Seguridad en Redes Inalmbricas 2012

Pgina 11

INSTITUTO SUPERIO TECNOLOGICO HARVAR

El protocolo 802.1x involucra tres participantes: El suplicante, o equipo del cliente, que desea conectarse con la red. El servidor de autorizacin/autenticacin, que contiene toda la informacin necesaria para saber cules equipos y/o usuarios estn autorizados para acceder a la red. 802.1x fue diseado para emplear servidores RADIUS (Remote Authentication Dial-In User Service), cuya especificacin se puede consultar en la RFC 2058. Estos servidores fueron creados inicialmente para autenticar el acceso de usuarios remotos por conexin va telefnica; dada su popularidad se opt por emplearlos tambin para autenticacin en las LAN. El autenticador, que es el equipo de red (switch, enrutador, servidor de acceso remoto...) que recibe a conexin del suplicante. El autenticador acta como intermediario entre el suplicante y el servidor de autenticacin, y solamente permite el acceso del suplicante a la red cuando el servidor de autenticacin as lo autoriza.

Para el control de admisin 802.1X utiliza un protocolo de autenticacin denominado EAP y para el cifrado de datos CCMP y esto es lo que se conoce como RSN (Robust Secure Network) o tambin WPA2. No todo el hardware admite CCMP.

MTODO 5: WPA (WI-FI Protected Access) WPA es un estndar propuesto por los miembros de la Wi-Fi Alliance (que rene a los grandes fabricantes de dispositivos para WLAN) en colaboracin con la IEEE. Este estndar busca subsanar los problemas de WEP, mejorando el cifrado de los datos y ofreciendo un mecanismo de autenticacin. Para solucionar el problema de cifrado de los datos, WPA propone un nuevo protocolo para cifrado, conocido como TKIP (Temporary Key Integrity Protocol). Este protocolo se encarga de cambiar la clave compartida entre punto de acceso y cliente cada cierto tiempo, para evitar ataques que permitan revelar la clave. Igualmente se mejoraron los algoritmos de cifrado de trama y de generacin de los IVs, con respecto a WEP. El mecanismo de autenticacin usado en WPA emplea 802.1x y EAP, que fueron discutidos en la seccin anterior. Segn la complejidad de la red, un punto de acceso compatible con WPA puede operar en dos modalidades: Modalidad de red empresarial: Para operar en esta modalidad se requiere de la existencia de un 26 SISTEMAS & TELEMTICA servidor RADIUS en la red. El punto de acceso emplea entonces 802.1x y EAP para la autenticacin, y el servidor RADIUS suministra las claves compartidas que se usarn para cifrar los datos. Seguridad en Redes Inalmbricas 2012 Pgina 12

INSTITUTO SUPERIO TECNOLOGICO HARVAR

Modalidad de red casera, o PSK (Pre-Shared Key): WPA opera en esta modalidad cuando no se dispone de un servidor RADIUS en la red. Se requiere entonces introducir una contrasea compartida en el punto de acceso y en los dispositivos mviles. Solamente podrn acceder al punto de acceso los dispositivos mviles cuya contrasea coincida con la del punto de acceso. Una vez logrado el acceso, TKIP entra en funcionamiento para garantizar la seguridad del acceso. Se recomienda que las contraseas empleadas sean largas (20 o ms caracteres), porque ya se ha comprobado que WPA es vulnerable a ataques de diccionario si se utiliza una contrasea corta. La norma WPA data de abril de 2003, y es de obligatorio cumplimiento para todos los miembros de la Wi-Fi Alliance a partir de finales de 2003. Segn la Wi-Fi Alliance, todo equipo de red inalmbrica que posea el sello Wi- Fi Certified podr ser actualizado por software para que cumpla con la especificacin WPA.

Mejoras de WPA respecto a WEP WPA soluciona la debilidad del vector de inicializacin (IV) de WEP mediante la inclusin de vectores del doble de longitud (48 bits) y especificando reglas de secuencia que los fabricantes deben implementar. Los 48 bits permiten generar 2 elevado a 48 combinaciones de claves diferentes, lo cual parece un nmero suficientemente elevado como para tener duplicados. El algoritmo utilizado por WPA sigue siendo RC4. La secuencia de los IV, conocida por ambos extremos de la comunicacin, se puede utilizar para evitar ataques de repeticin de tramas (replay). Para la integridad de los mensajes (ICV), se ha eliminado el CRC-32 que se demostr inservible en WEP y se ha incluido un nuevo cdigo denominado MIC. Las claves ahora son generadas dinmicamente y distribuidas de forma automtica por lo que se evita tener que modificarlas manualmente en cada uno de los elementos de red cada cierto tiempo, como ocurra en WEP. Para la autentificacin, se sustituye el mecanismo de autentificacin de secreto compartido de WEP as como la posibilidad de verificar las direcciones MAC de las estaciones por la terna 802.1X / EAP / RADIUS. Su inconveniente es que requiere de una mayor infraestructura: un servidor RADIUS funcionando en la red, aunque tambin podra utilizarse un punto de acceso con esta funcionalidad. WPA-PSK Es el sistema ms simple de control de acceso tras WEP, a efectos prcticos tiene la misma dificultad de configuracin que WEP, una clave comn compartida, sin embargo, la gestin dinmica de claves aumenta notoriamente su nivel de seguridad. PSK se corresponde con las iniciales de PreShared Key y viene a significar clave compartida previamente, es decir, a efectos del cliente basa su seguridad en una contrasea compartida. WPA-PSK usa una clave de acceso de una longitud entre 8 y 63 caracteres, que es la clave compartida. Al igual que ocurra con WEP, esta clave hay que introducirla en

Seguridad en Redes Inalmbricas 2012

Pgina 13

INSTITUTO SUPERIO TECNOLOGICO HARVAR

cada una de las estaciones y puntos de acceso de la red inalmbrica. Cualquier estacin que se identifique con esta contrasea, tiene acceso a la red. Las caractersticas de WPA-PSK lo definen como el sistema, actualmente, ms adecuado para redes de pequeas oficinas o domsticas, la configuracin es muy simple, la seguridad es aceptable y no necesita ningn componente adicional. DEBILIDADES DE WPA-PSK La principal debilidad de WPA-PSK es la clave compartida entre estaciones. Cuando un sistema basa su seguridad en un contrasea siempre es susceptible de sufrir un ataque de fuera bruta, es decir ir comprobando contraseas, aunque dada la longitud de la contrasea y si est bien elegida no debera plantear mayores problemas. Debemos pensar que hay un momento de debilidad cuando la estacin establece el dilogo de autenticacin. Este dilogo va cifrado con las claves compartidas, y si se ?entienden? entonces se garantiza el acceso y se inicia el uso de claves dinmicas. La debilidad consiste en que conocemos el contenido del paquete de autenticacin y conocemos su valor cifrado. Ahora lo que queda es, mediante un proceso de ataque de diccionario o de fuerza bruta, intentar determinar la contrasea. WPA empresarial En redes corporativas resultan imprescindibles otros mecanismos de control de acceso ms verstiles y fciles de mantener como por ejemplo los usuario de un sistema identificados con nombre/contrasea o la posesin de un certificado digital. Evidentemente el hardware de un punto de acceso no tiene la capacidad para almacenar y procesar toda esta informacin por lo que es necesario recurrir a otros elementos de la red cableada para que comprueben unas credenciales. Ahora bien, parece complicado que un cliente se pueda validar ante un componente de la red por cable si todava no tenemos acceso a la red, parece el problema del huevo y la gallina. En este punto es donde entra en juego el IEEE 802.1X, que describimos a continuacin, para permitir el trfico de validacin entre un cliente y una mquina de la de local. Una vez que se ha validado a un cliente es cuando WPA inicia TKIP para utilizar claves dinmicas. Los clientes WPA tienen que estar configurados para utilizar un sistema concreto de validacin que es completamente independiente del punto de acceso. Los sistemas de validacin WPA pueden ser, entre otros, EAP-TLS, PEAP, EAP-TTLS que describimos ms adelante.

Seguridad en Redes Inalmbricas 2012

Pgina 14

INSTITUTO SUPERIO TECNOLOGICO HARVAR

Protocolos y Otro Mtodos de seguridad


TKIP TKIP (Temporary Key Integrity Protocol) es un protocolo de gestin de claves dinmicas admitido por cualquier adaptador que permite utilizar una clave distinta para cada paquete transmitido. La clave se construye a partir de la clave base, la direccin MAC de la estacin emisora y del nmero de serie del paquete como vector de inicializacin. Cada paquete que se transmite utilizando TKIP incluye un nmero de serie nico de 48 bits que se incrementa en cada nueva transmisin para asegurar que todas las claves son distintas. Esto evita "ataques de colisin" que se basan en paquetes cifrados con la misma clave. Por otro lado al utilizar el nmero de serie del paquete como vector de inicializacin (IV), tambin evitamos IV duplicados. Adems, si se inyectara un paquete con una contrasea temporal que se hubiese podido detectar, el paquetes estara fuera de secuencia y sera descartado. En cuanto a la clave base, se genera a partir del identificador de asociacin, un valor que crea el punto de acceso cada vez que se asocia una estacin. Adems del identificacador de asociacin, para generar la clave base se utilizan las direcciones MAC de la estacin y del punto de acceso, la clave de sesin y un valor aleatorio. Como veremos ms adelante, la clave de sesin puede ser esttica y compartida (PSK) por toda la red o bien, mediante 802.1X, transmitirla por un canal seguro. CCMP CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) es un nuevo protocolo que utiliza AES como algoritmo criptogrfico y proporciona integridad y confidencialidad. CCMP se basa en el modo CCM del algoritmo de cifrado AES y utiliza llaves de 128 bits con vectores de inicializacin de 48 bits. CCMP consta del algoritmo de privacida que es el "Counter Mode" (CM) y del algoritmo de integridad y autenticidad que es el "Cipher Block Chaining Message Authentication Code" (CBC-MAC). CCMP es obligatorio sobre RSN (Robust Secure Network). WRAP Existe un sistema de cifrado opcional denominado WRAP (Wireless Robust Authentication Protocol) que puede sustituir a CCMP.
Seguridad en Redes Inalmbricas 2012 Pgina 15

INSTITUTO SUPERIO TECNOLOGICO HARVAR

EAP 802.1X utiliza un protocolo de autenticacin llamado EAP (Extensible Authentication Protocol) que admite distintos mtodos de autenticacin como certificados, tarjetas inteligentes, ntlm, Kerberos, ldap, etc. En realidad EAP acta como intermediario entre un solicitante y un motor de validacin permitiendo la comunicacin entre ambos. El proceso de validacin est conformado por tres elementos, un solicitante que quiere ser validado mediante unas credenciales, un punto de acceso y un sistema de validacin situado en la parte cableada de la red. Para conectarse a la red, el solicitante se identifica mediante unas credenciales que pueden ser un certificado digital, una pareja nombre/usuario u otros datos. Junto con las credenciales, el cliente solicitante tiene que aadir tambin qu sistema de validacin tiene que utilizar. Evidentemente no podemos pretender que el punto de acceso disponga del sistema de validacin. Por ejemplo, si queremos utilizar como credenciales los usuarios de un sistema, ser el punto de acceso el que tendr que preguntar al sistema si las credenciales son correctas. En general EAP acta de esta forma, recibe una solicitud de validacin y la remite a otro sistema que sepa como resolverla y que formar parte de la red cableada. De esta forma vemos como el sistema EAP permite un cierto trfico de datos con la red local para permitir la validacin de un solicitante. El punto de acceso rechaza todas las tramas que no estn validadas, que provengan de un cliente que no se he identificado, salvo aqullas que sean una solicitud de validacin. Estos paquetes EAP que circulan por la red local se denominan EAPOL (EAP over LAN). Una vez validado, el punto de acceso admite todo el trfico del cliente. El sistema de autenticacin puede ser un servidor RADIUS situado en la red local. Los pasos que sigue el sistema de autenticacin 802.1X son:

El cliente enva un mensaje de inicio EAP que inicia un intercambio de mensajes para permitir autenticar al cliente. El punto de acceso responde con un mensaje de solicitud de identidad EAP para solicitar las credenciales del cliente. El cliente enva un paquete respuesta EAP que contiene las credenciales de validacin y que es remitido al servidor de validacin en la red local, ajeno al punto de acceso. El servidor de validacin analiza las credenciales y el sistema de validacin solicitado y determina si autoriza o no el acceso. En este punto tendrn que coincidir las configuraciones del cliente y del servidor, las credenciales tienen que coincidir con el tipo de datos que espera el servidor. El servidor pude aceptar o rechazar la validacin y le enva la respuesta al punto de acceso. El punto de acceso devuelve un paquete EAP de acceso o de rechazo al cliente. Si el servidor de autenticacin acepta al cliente, el punto de acceso modifica el estado del puerto de ese cliente como autorizado para permitir las comunicaciones.
Pgina 16

Seguridad en Redes Inalmbricas 2012

INSTITUTO SUPERIO TECNOLOGICO HARVAR

De lo que hemos visto, el protocolo 802.1X tiene un mecanismo de autenticacin independiente del sistema de cifrado. Si el servidor de validacin 802.1X est configurado adecuadamente, se puede utilizar para gestionar el intercambio dinmico de claves, e incluir la clave de sesin con el mensaje de aceptacin. El punto de acceso utiliza las claves de sesin para construir, firmar y cifrar el mensaje de clave EAP que se manda tras el mensaje de aceptacin. El cliente puede utilizar el contenido del mensaje de clave para definir las claves de cifrado aplicables. En los casos prcticos de aplicacin del protocolo 802.1X, el cliente puede cambiar automticamente las claves de cifrado con la frecuencia necesaria para evitar que haya tiempo suficiente como para poder averiguarla. Existen mltiples tipos de EAP, algunos son estndares y otros son soluciones propietarias de empresas. Entre los tipos de EAP podemos citar: EAP-TLS Es un sistema de autenticacin fuerte basado en certificados digitales, tanto del cliente como del servidor, es decir, requiere una configuracin PKI (Public Key Infraestructure) en ambos extremos. TLS (transport Layer Security) es el nuevo estndar que sustituye a SSL (Secure Socket Layer). EAP-TTLS El sistema de autenticacin se basa en una identificacin de un usuario y contrasea que se transmiten cifrados mediante TLS, para evitar su transmisin en texto limpio. Es decir se crea un tnel mediante TLS para transmitir el nombre de usuario y la contrasea. A diferencia de EAP-TLS slo requiere un certificado de servidor. PEAP El significado de PEAP se corresponde con Protected EAP y consiste en un mecanismo de validacin similar a EAP-TTLS, basado en usuario y contrasea tambin protegidos. La capa MAC El estndar 802.11 define en su capa ce control de acceso al medio (MAC, medium access control) una serie de funciones para realizar las operaciones propias de las redes inalmbricas. La capa MAC se encarga, en general, de gestionar y mantener las comunicaciones entre estaciones 801.11, bien sean puntos de acceso a adaptadores de red. La capa MAC tiene que coordinar el acceso a un canal de radio compartido y utilizar su capa Fsica (PHY) 802.11b o 802.11g para detectar la portadora y transmisin y recepcin de tramas. Un adaptador de red cliente tiene que obtener primero el acceso al medio antes de poder transmitir tramas. El medio es una canal de radio compartido. El estndar
Seguridad en Redes Inalmbricas 2012 Pgina 17

INSTITUTO SUPERIO TECNOLOGICO HARVAR

802.11 define dos formas de acceso al medio, funcin de coordinacin distribuida (DCF) y funcin de coordinacin de punto (PCF) que no vamos a tratar. DCF es obligatorio en todas las estaciones inalmbricas y se basa en el protocolo CSMA/CA (carrier sense multiple access/collision avoidance). Una estacin slo puede transmitir cuando el canal est libre, si otra estacin enva una trama debe esperar a que el canal est libre para poder transmitir. Observamos como ethernet utiliza CSMA/CD (carrier sense multiple access/collision detection) ligeramente diferente del caso inalmbrico. En CSMA/CA cuando estacin que quiere transmitir realiza una serie de pasos:

Escuchar en el canal correspondiente. Si el canal est libre enva la trama. Si el canal est ocupado espera un tiempo aleatorio denominado contencin y vuelve a intentarlo. Transcurrido el tiempo de contencin vuelve a repetir todo el proceso hasta que pueda enviar la trama.

En las estaciones inalmbricas una estacin emisora no puede escuchar las colisiones mientras enva datos, bsicamente porque no pueden activar el receptor mientras transmiten una trama. Como consecuencia, la estacin receptora debe enviar un ACK si no hubo errores en la recepcin. Si la estacin emisora no recibe el ACK tras un periodo de tiempo establecido supone que ha habido una colisin o una interferencia de radiofrecuencia y reenva la trama. Observamos que las colisiones pueden deteriorar seriamente el trfico de la red, porque implica que el emisor, por un lado tenga que espere a recibir el ACK que no va a llegar y por otro, volver a intentar enviar la trama. Por este motivo el control de acceso al medio debera establecer algn tipo de mecanismo que paliara esta deficiencia. La capa MAC comprueba, como condicin para permitir el acceso al medio, una forma de evitar colisiones, el valor del vector de ubicacin de red (network allocation vector, NAV), que es un contador residente en cada estacin y que representa la cantidad de tiempo que tard en transmitirse la anterior trama de cualquier estacin. El valor de NAV tiene que ser cero antes de que una estacin intente enviar una trama, porque sabe que durante ese tiempo ya hay otra estacin emitiendo y si trata de emitir entrar en estado de contencin, cosa que se trata de evitar. Antes de transmitir una trama la estacin calcula el tiempo necesario para la transmisin basndose en su longitud y en la tasa de transmisin y lo sita en el campo de duracin en la cabecera de la trama. Cuando cualquier estacin recibe la trama, toma el campo de duracin y lo utiliza para establecer su correspondiente NAV. Este proceso reserva el medio para la estacin emisora y evita que otras estaciones comiencen a transmitir mientras no haya acabado. Como hemos visto, un aspecto importante de DCF es un temporizador aleatorio que la estacin utiliza cuando detecta una colisin por estar el medio ocupado. Si el canal
Seguridad en Redes Inalmbricas 2012 Pgina 18

INSTITUTO SUPERIO TECNOLOGICO HARVAR

est en uso la estacin tendr que esperar un tiempo aleatorio antes de volver a intentar tener acceso al medio y de esta forma garantizamos que dos estaciones no van a transmitir al mismo tiempo. Este tiempo se conoce como contencin. Identificacin de un nodo Cada nodo se identifica mediante los 6 bytes de su direccin MAC. Cada nodo receptor reconoce su propia direccin MAC. Funciones de la capa MAC 802.11 Vemos a continuacin un resumen significativo de las funciones de la capa MAC para redes en modo infraestructura: Bsqueda (Scanning) El estndar 802.11 define tanto la bsqueda activa como pasiva, sistemas que utiliza un adaptador de red para localizar puntos de acceso. La bsqueda pasiva es obligatoria donde cada adaptador de red busca canales individuales para encontrar la mejor seal del punto de acceso. Peridicamente, cada punto de acceso difunde seales como si fuera un faro, y el adaptador de red recibe estas seales (beacon) mientras busca tomando nota de sus datos. Estas beacon (seales de faro) contienen datos sobre el punto de acceso incluyendo por ejemplo el SSID, tasas de transmisin admitidas, etc. El adaptador de red puede usar esta informacin para compararla y determinar junto con otras caractersticas, como la fuerza de la seal, qu punto de acceso utilizar. La bsqueda activa es similar salvo que la propia tarjeta inicia el proceso difundiendo una trama de prueba a la que responden todos los puntos de acceso que estn al alcance con otra trama de prueba. En la bsqueda activa se permite que un adaptador de red reciba respuesta inmediata del punto de acceso sin necesidad de esperar a una transmisin beacon. En la prctica la bsqueda activa impone un carga adicional en la red debido a las tramas de prueba y sus respuestas. Autenticacin (Authentication) La autenticacin es el proceso para comprobar la identidad de un adaptador en la red para aceptarlo o rechazarlo. El estndar 802.11 especifica dos formas de autenticacin, el sistema abierto y el sistema basado en una clave compartida. El sistema abierto es obligatorio y consta de dos pasos.

El adaptador de red inicia el proceso enviando una trama de solicitud de autenticacin al punto de acceso. El punto de acceso responde con una trama de autenticacin que indica si acepta o rechaza la autenticacin en el campo de cdigo de estado de la trama.

Seguridad en Redes Inalmbricas 2012

Pgina 19

INSTITUTO SUPERIO TECNOLOGICO HARVAR

La autenticacin de clave compartida es opcional y bsicamente comprueba si la clave WEP es la correcta. El hecho de ser opcional para el protocolo no impide que est en la prctica totalidad de los adaptadores y puntos de acceso. Este proceso consta de cuatro pasos:

El adaptador de red inicia el proceso enviando una trama de solicitud de autenticacin al punto de acceso. El punto de acceso responde con una trama de autenticacin que contiene un texto de desafo. El adaptador de red utiliza su clave WEP para cifrar el texto de desafo y lo devuelve al punto de acceso en otra trama de autenticacin. El punto de acceso descifra el valor cifrado, lo compara con el original y responde con una trama de autenticacin que indica si acepta o rechaza la autenticacin. Si coinciden el valor original y el de la respuesta el punto de acceso supone que el solicitante tiene la clave correcta.

Asociacin La asociacin es un proceso por el cual el punto de acceso reserva recursos y sincroniza con una estacin cliente. Una vez que el adaptador de red se ha autenticado, tambin tiene que asociarse al punto de acceso antes poder transmitir tramas de datos. La asociacin es importante para sincronizar a ambos elementos con informacin importante como por ejemplo las tasas de transmisin admitidas. El adaptador de de inicia la asociacin enviando una trama de solicitud de asociacin que contiene elementos como el SSID y tasas de transferencia admitidas. El punto de acceso reserva memoria para ese cliente, le asigna un ID de asociacin y le responde con una trama de respuesta de asociacin que contiene el ID de asociacin junto con otra informacin referente al punto de acceso. Una vez que el adaptador de red y el punto de acceso hayan completado el proceso de asociacin pueden comenzar a transmitir tramas de datos entre ellos, es decir el cliente puede utilizar el punto de de acceso para comunicar con otros clientes de la red. RTS/CTS Se puede presentar un problema en una red inalmbrica cuando dos estaciones asociadas al mismo punto de acceso no se ven entre s. Cuando intenten transmitir ninguna de ellas detectar a la otra por lo que pueden transmitir simultneamente, lo que origina una corrupcin de datos en el resto de las estaciones. Para solucionar este problema se puede establecer un mecanismo para que cada estacin notifique al punto de acceso que va a transmitir. Las funciones request-to send y clear-to-send (RTS/CTS) permiten al punto de acceso controlar el uso del medio de las estaciones activando RTS/CTS. Si el adaptador activa RTS/CTS, entonces primero enviar una trama RTS al punto de acceso antes de enviar una trama de datos. El punto de acceso responde con una trama CTS indicando que el
Seguridad en Redes Inalmbricas 2012 Pgina 20

INSTITUTO SUPERIO TECNOLOGICO HARVAR

adaptador puede enviar la trama de datos. Con la trama CTS el punto de acceso enva un valor en el campo de duracin de la cabecera de la trama que evita que otras estaciones transmitan hasta que el adaptador que haya iniciado RTS pueda enviar su trama de datos. Este proceso de solicitud de envo evita colisiones entre nodos ocultos. El saludo RTS/CTS contina en cada trama mientras que el tamao de la trama exceda del umbral establecido en el adaptador correspondiente. En la mayora de adaptadores de red los usuario pueden fijar un umbral mximo de tamao de trama para que el adaptador de red active RTS/CTS. Por ejemplo, si establecemos un tamao de trama de 1.000 bytes, cualquier trama de una tamao superior a 1.000 bytes disparar RTS/CTS. De esta forma el proceso slo afectara a las tramas ms grandes y ms costosas de retransmitir pero las ms pequeas es mejor arriesgarse. Como hemos visto, el uso de RTS/CTS puede solucionar el problemas que se presentaba cuando dos nodos asociados al mismo punto de acceso no se ven entre s. MODO AHORRO ENERGA (POWER SAVE MODE) El funcionamiento normal de las redes inalmbricas supone un acceso constante al medio (CAM, Constant Access Mode), es decir, escucha de forma constante la red con el consiguiente consumo de energa. En dispositivos mviles puede representar un serio inconveniente el excesivo consumo de batera, por lo que 802.11 establece unos mecanismos para intentar evitarlo. El mecanismo consiste en apagar el adaptador y hacer que se active en periodos regulares en todos los adapadores de la red en busca de un paquete beacon especial denominado TIM. Durante el tiempo que transcurre entre paquetes TIM el adaptador se desactiva para ahorrar energa. Todos los adaptadores de una red tienen que activarse simultneamente para escuchar el TIM del punto de acceso. El TIM informa a los clientes que tienen datos pendientes en el punto de acceso. Cuando un adaptador sabe mediante el TIM que tiene datos pendientes permanece activo el tiempo necesario para recibirlos. El punto de acceso dispone de un buffer para almacenar los datos hasta que los enva al adaptador. Una vez que el adaptador ha recibido sus datos, entonces vuelve al modo inactivo. Un punto de acceso indica la presencia de trfico de difusin mediante paquetes DTIM (delivery traffic information map). DTIM es un temporizador mltiplo de TIM. Gracias a este valor, que podemos configurar en el punto de acceso, podemos especificar cuanto tiempo tiene que permanecer una estacin activa para buscar trfico de difusin. El sistema de ahorro de energa es tambin opcional en el protocolo 802.11, y permite activar o desactivar el adaptador de forma inteligente para que ahorre energa cuando no tiene que transmitir datos. Cuando el ahorro de energa est activado el adaptador indica al punto de acceso su deseo de entrar al estado "dormido" mediante un bit de estado de la cabecera de la trama. El punto de acceso toma nota de todos los adaptadores que quieren entrar en el modo de ahorro de energa y utiliza un buffer para los paquetes correspondientes a estas estaciones.
Seguridad en Redes Inalmbricas 2012 Pgina 21

INSTITUTO SUPERIO TECNOLOGICO HARVAR

Para poder todava recibir tramas de datos el adaptador dormido tiene que despertar peridicamente, en el instante adecuado, para recibir las transmisiones beacon TIM del punto de acceso. Estos beacon identifican si las estaciones dormidas tienen tramas en el buffer en el punto de acceso y esperando para su entrega a los respectivos destinos. Los adaptadores con tramas a la espera las solicitan al punto de acceso y una vez recibidas puede volver al estado de dormido. Fragmentacin La funcin de fragmentacin permite que una estacin divida los paquetes de datos en tramas ms pequeas para evitar la necesidad de retransmitir tramas grandes en un ambiente de interferencias de radiofrecuencia. Los bits errneos ocasionados por las interferencias es ms probable que afecten a una simple trama y disminuimos la carga si slo retransmitimos tramas pequeas. como en el caso de RTS/CTS, los usuarios normalmente pueden establecer un umbral de tamao de trama mximo para que el adaptador active la fragmentacin. El el tamao de la trama es mayor que el umbral fijado, el adaptador lo divide en mltiples tramas adaptadas a ese tamao. Tramas 802.11 El estndar 802.11 define varios tipos de tramas cada de las cuales tiene un objeto especfico. Hemos visto anteriormente que tenemos que anunciar los puntos de acceso, asociar estaciones, autenticar clientes y otras funciones. Todas estas funciones normalmente se gestionan mediante unas tramas especiales, a parte de las tramas propias de transmisin de datos. Podemos clasificar las tramas dependiendo de la funcin que desempean. Tenemos tramas de datos, las que transportan la informacin de capas superiores, tramas de gestin que permiten mantener las comunicaciones y tramas de control para, como su nombre indica, controlar el medio. Cada trama contiene distintos campos de control, que incluyen por ejemplo el tipo de trama, si WEP est activo, si est activo el ahorro de energa, la versin del protocolo 802.11. Una trama 802.11 tambin incluye las direcciones MAC de origen y destino, un nmero de secuencia, un campo de control y el campo de datos. Tramas de gestin Las tramas 802.11 de gestin son las que permiten mantener comunicaciones a las estaciones inalmbricas y tenemos distintos tipos: TRAMA DE AUTENTICACIN Ya habamos visto que la autenticacin es el proceso para comprobar la identidad de un adaptador en la red para aceptarlo o rechazarlo. El adaptador cliente inicia el proceso enviando al punto de acceso una trama de autenticacin que contiene su identidad en el campo de datos.

Seguridad en Redes Inalmbricas 2012

Pgina 22

INSTITUTO SUPERIO TECNOLOGICO HARVAR

El dilogo que se establece con las tramas de autenticacin depende del sistema de autenticacin que use el punto de acceso, si es abierto o con clave compartida. Cuando se trata de sistemas abiertos, el cliente slo enva la trama de autenticacin y el punto de acceso responde con otra trama de autenticacin que indica si acepta o rechaza la conexin. En el caso de la autenticacin de clave compartida, el punto de acceso tiene que comprobar que la estacin tiene la llave correcta por lo que tenemos dos tramas de autenticacin ms en el dilogo, una que enva el punto de acceso con un texto para que lo cifre la estacin con su clave y otra de respuesta de la estacin cliente con el desafo cifrado. TRAMA DE DESAUTENTICACIN Es una trama que enva una estacin a otra cuando quiere terminar las comunicaciones. TRAMA DE SOLICITUD DE ASOCIACIN Este tipo de trama la utiliza la estacin cliente para iniciar el proceso de asociacin. Ya hemos visto que la asociacin es un proceso por el cual el punto de acceso reserva recursos y sincroniza con una estacin cliente. La asociacin la inicia el cliente enviado al punto de acceso una trama de solicitud de asociacin y el punto de acceso establece un ID de asociacin para identificar al cliente y le reserva memoria. Las tramas de asociacin contienen los datos necesarios para esta funcin como son el SSID de la red, las tasas de transferencia, etc. En la funcin de asociacin se define con ms detalle el mecanismo de asociacin. TRAMA DE RESPUESTA DE ASOCIACIN Este tipo de trama la utilizan los puntos de acceso para responder una solicitud de asociacin. Esta trama puede contener si se acepta o rechaza la asociacin. Si se acepta la asociacin la trama tambin incluye el ID de asociacin y las tasas de transferencia admitidas. TRAMA DE SOLICITUD DE REASOCIACIN Cuando un cliente asociado con un punto de acceso se desplaza al radio de cobertura de otro punto de acceso de la misma red con mejor seal intenta establecer una reasociacin. La reasociacin implica que los puntos de acceso coordinen los buffer. Como era de esperar, para establecer una reasociacin con un nuevo punto de acceso, el cliente le enva una trama de reasociacin. TRAMA DE RESPUESTA DE REASOCIACIN La trama de respuesta de reasociacin es similar a la trama de respuesta de asociacin, al fin y al cabo, lo que hacer es asociar con un nuevo punto de acceso. TRAMA DE DESASOCIACIN
Seguridad en Redes Inalmbricas 2012 Pgina 23

INSTITUTO SUPERIO TECNOLOGICO HARVAR

Es una trama que puede enviar un estacin cuando va a cerrar sus conexiones de red. Esta trama permite que el punto de acceso pueda liberar los recursos que tiene asignado a la estacin durante el proceso de asociacin. TRAMA BEACON (BALIZA) Un punto de acceso enva tramas beacon peridicamente para difundir su presencia y la informacin de la red, el SSID, etc. a las estaciones clientes en su radio de cobertura. Las estaciones pueden obtener lista de puntos de acceso disponibles buscando tramas beacon continuamente en todos canales 802.11. Las tramas beacon contienen la informacin necesaria para identificar las caractersticas de la red y poder conectar con el punto de acceso deseado. TRAMA DE SOLICITUD DE PRUEBA Las estaciones utilizan tramas de solicitud de prueba cuando necesitan obtener informacin de otra estacin, por ejemplo obtener una lista de puntos de acceso disponibles. TRAMA DE RESPUESTA DE PRUEBA Esta trama es la respuesta de una estacin a una solicitud. Esta trama contiene la informacin necesaria como por ejemplo las tasas de transmisin. Tramas de Control Las tramas 802.11 de control se utilizan para colaborar en la entrega de tramas de datos entre estaciones. TRAMA REQUEST TO SEND (RTS) Se utilizan para reducir las colisiones en el caso de dos estaciones asociadas a un mismo punto de acceso pero mutuamente fuera de rango de cobertura. La estacin enva una trama RTS para iniciar el dilogo de comienzo de transmisin de una trama. TRAMA CLEAR TO SEND (CTS) Las estaciones utilizan las tramas CTS para responder a una trama RTS para dejar el canal libre de transmisiones. Las tramas CTS contienen un valor de tiempo durante el cual el resto de las estaciones dejan de transmitir el tiempo necesario para transmitir la trama.

Seguridad en Redes Inalmbricas 2012

Pgina 24

INSTITUTO SUPERIO TECNOLOGICO HARVAR

Conclusiones
La seguridad en las redes inalmbricas es un aspecto crtico que no se puede descuidar. Debido a que las transmisiones viajan por un medio no seguro, se requieren mecanismos que aseguren la confidencialidad de los datos as como su integridad y autenticidad. Existen diversas soluciones para mejorar la seguridad en las redes inalmbricas. Su implementacin depende del uso que se vaya a dar a la red (casera o empresarial), de si es una red ya existente o una nueva, y del presupuesto del que se disponga para implantarla, entre otros factores. La restriccin de acceso mediante direcciones MAC es insuficiente para cualquier red, dado el gran nmero de herramientas disponibles libremente para cambiar la direccin MAC de una tarjeta cualquiera. El mtodo mediante WEP con clave esttica es el mnimo nivel de proteccin que existe. En una red casera puede ser suficiente; en una corporativa, el uso de WEP est formalmente desaconsejado, por la facilidad con la que se pueden romper las claves WEP en un entorno de alto trfico. El uso de las VPN es una alternativa interesante cuando ya se tiene una red inalmbrica, y no se posee hardware inalmbrico que soporte el protocolo 802.1x. Requiere de la instalacin de software especializado en los clientes inalmbricos, y de un servidor o una serie de servidores que manejen las tareas de cifrado de datos, autenticacin y autorizacin de acceso. La alternativa de 802.1x y EAP es la adecuada si los equipos de la red inalmbrica se pueden actualizar, o si se va a montar una red nueva. Puede usarse la solucin de WEP con clave dinmica, o la de WPA; ambas ofrecen un excelente grado de proteccin. Finalmente, todo mecanismo de proteccin de informacin en una red debe estar enmarcado dentro de una poltica de seguridad adecuada. El seguimiento de una poltica consistente evita que las medidas de proteccin se vuelvan un obstculo para el trabajo habitual con los sistemas de informacin, y garantiza la calidad y confidencialidad de la informacin presente en los sistemas de la empresa. Tanto la especificacin WPA como IEEE 802.11i solucionan todos los fallos conocidos de WEP y, en estos momentos, se consideran soluciones fiables. La ventaja de WPA es que no requiere de actualizaciones de hardware en los equipos. Mientras no se descubran problemas de seguridad en WPA, esta implementacin puede ser suficiente en los dispositivos para los prximos meses. La apuesta de seguridad del IEEE para sustituir al desafortunado WEP, 802.11i, todava est pendiente de ser estudiada en profundidad por investigadores debido a que sus especificaciones no son pblicas.
Seguridad en Redes Inalmbricas 2012 Pgina 25

INSTITUTO SUPERIO TECNOLOGICO HARVAR

Seguridad en Redes Inalmbricas 2012

Pgina 26