CONTROL ACCESO REDES INALMBRICAS COMPUTACIN MVIL Y TELE-TRABAJO 4to Modulo INTEGRANTES Reynaldo Mancilla H.

Pablo Manuel Molina P. Withman Prez Robles Richard Zorrilla Marcia Soliz

DOCENTE Karem Infantas Soto Ph.D

CONTROL ACCESO A REDES INALMBRICAS

INTRODUCCIN A travs de los aos la humanidad se ha visto en la necesidad de utilizar protocolos de seguridad, ya que se han producido muchos robos de datos realizados por intrusos de redes inalmbricas. La informacin se enva por un canal, al cual cualquier persona puede acceder, mediante un dispositivo wireless, e introducirse en nuestra red. La seguridad es un aspecto que cobra especial relevancia cuando hablamos de redes inalmbricas. Para tener acceso a una red cableada es imprescindible una conexin fsica al cable de la red. Sin embargo, en una red inalmbrica desplegada en una oficina un tercero podra acceder a la red sin ni siquiera estar ubicado en las dependencias de la empresa, bastara con que estuviese en un lugar prximo donde le llegase la seal.

OBJETIVOS El objetivo de este estudio es disear un sistema de control de acceso a una red inalmbrica proporcionando autenticacin y autorizacin, de manera que adems se establezca una clave nica para cifrar la comunicacin del cliente hasta llegar al punto de acceso, solucionando as el problema de la inseguridad de las redes inalmbricas de una forma transparente para el usuario. Pero no solo esto, sino que una vez que se ha establecido la conexin, peridicamente debe renegociarse la clave para no darle a un potencial atacante el tiempo necesario para que pueda romper esta clave.

RIESGOS DE LAS REDES INALAMBRICAS Aunque este trabajo vaya dirigido a los aspectos de seguridad de la red inalmbrica, no podemos pasar por alto los elementos que componen la red inalmbrica. Existen 4 tipos de redes inalmbricas, la basada en tecnologa BlueTooth, la IrDa (Infrared Data Association), la HomeRF y la WECA (Wi-Fi). La primera de ellas no permite la transmisin de grandes cantidades de datos entre ordenadores de forma continua y la segunda tecnologa, estndar utilizado por los dispositivos de ondas infrarrojas, debe permitir la visin directa entre los dos elementos comunicantes. Las tecnologa HomeRF y Wi-Fi estn basados en las especificaciones 802.11 (Ethernet Inalmbrica) y son las que utilizan actualmente las tarjetas de red inalmbricas. La topologa de estas redes consta de dos elementos clave, las estaciones cliente (STA) y los puntos de acceso (AP). La comunicacin puede realizarse directamente entre

estaciones cliente o a travs del AP. El intercambio de datos slo es posible cuando existe una autentificacin entre el STA y el AP y se produce la asociacin entre ellos (un STA pertenece a un AP). Por defecto, el AP transmite seales de gestin peridicas, el STA las recibe e inicia la autentificacin mediante el envo de una trama de autentificacin. Una vez realizada esta, la estacin cliente enva una trama asociada y el AP responde con otra. La utilizacin del aire como medio de transmisin de datos mediante la propagacin de ondas de radio ha proporcionado nuevos riesgos de seguridad. La salida de estas ondas de radio fuera del edificio donde est ubicada la red permite la exposicin de los datos a posibles intrusos que podran obtener informacin sensible a la empresa y a la seguridad informtica de la misma. Los puntos de acceso estn expuestos a un ataque de Fuerza bruta para averiguar los passwords, por lo que una configuracin incorrecta de los mismos facilitara la irrupcin en una red inalmbrica por parte de intrusos. A pesar de los riesgos anteriormente expuestos, existen soluciones y mecanismos de seguridad para impedir que cualquiera con los materiales suficientes pueda introducirse en una red. Unos mecanismos son seguros, otros, como el protocolo WEP fcilmente rompibles por programas distribuidos gratuitamente por Internet.

MECANISMOS DE SEGURIDAD WEP (Wired Equivalent Protocol) La IEEE public un mecanismo opcional de seguridad, denominado WEP, en la norma de redes inalmbricas 802.11.WEP (Wired Equivalent Privacy, Privacidad Equivalente al Cable) es el algoritmo opcional de seguridad para brindar proteccin a las redes inalmbricas, incluido en la primera versin del estndar IEEE 802.11, mantenido sin cambios en las nuevas 802,11a y 802.11b, con el fin de garantizar compatibilidad entre distintos fabricantes. El WEP es un sistema de encriptacin estndar implementado en la MAC y soportado por la mayora de las soluciones inalmbricas. En ningn caso es compatible con IPSec.

OSA (Open System Authentication) Es otro mecanismo de autenticacin definido por el estndar 802.11 para autentificar todas las peticiones que recibe. El principal problema que tiene es que no realiza ninguna comprobacin de la estacin cliente, adems las tramas de gestin son enviadas sin encriptar, an activando WEP, por lo tanto es un mecanismo poco fiable.

ACL (Access Control List) Este mecanismo de seguridad es soportado por la mayora de los productos comerciales. Utiliza, como mecanismo de autenticacin, la direccin MAC de cada estacin cliente, permitiendo el acceso a aquellas MAC que consten en la Lista de Control de Acceso.

CNAC (Closed Network Access Control) Este mecanismo pretende controlar el acceso a la red inalmbrica y permitirlo solamente a aquellas estaciones cliente que conozcan el nombre de la red SSID (Service Set IDentifier) actuando este como contrasea.

POLTICAS DE SEGURIDAD Aparte de las medidas que se hayan tomado en el diseo de la red inalmbrica, debemos aplicar ciertas normas y polticas de seguridad que nos ayudaran a mantener una red ms segura: Utilizar WEP, aunque sea rompible con herramientas como AirSnort o WEPCrack, como un mnimo de seguridad Utilizar mecanismos de intercambio de clave dinmica aportado por los diferentes productos comerciales hasta que el comit 802.11i, encargado de mejorar la seguridad en las redes inalmbricas, publique una revisin del estndar 802.11 con caractersticas avanzadas de seguridad, incluyendo AES (Advanced Encryption Standar) e intercambio dinmico de claves. Inhabilitar DHCP para la red inalmbrica. Las IPs deben ser fijas. Actualizar el firmware de los puntos de acceso para cubrir los posibles agujeros en las diferentes soluciones wireless. Proporcionar un entorno fsicamente seguro a los puntos de acceso y desactivarlos cuando se pretenda un periodo de inactividad largo (ej. ausencia por vacaciones). Cambiar el SSID (Server Set ID) por defecto de los puntos de acceso, conocidos

por todos. El SSID es una identificacin configurable que permite la comunicacin de los clientes con un determinado punto de acceso. Acta como un password compartido entre la estacin cliente y el punto de acceso. Ejemplos de SSID por defecto son tsunami para Cisco, 101 para 3Com, intel para intel,... Inhabilitar la emisin broadcast del SSID. Reducir la propagacin de las ondas de radio fuera del edificio. Utilizar IPSec, VPN, firewalls y monitorizar los accesos a los puntos de acceso.

CONCLUSIN La seguridad en las redes inalmbricas es un aspecto crtico que no se puede descuidar. Debido a que las transmisiones viajan por un medio no seguro, se requieren mecanismos que aseguren la confidencialidad de los datos as como su integridad y autenticidad. A pesar de la fortaleza potencial de WEP, incluido en la norma IEEE para proporcionar seguridad, para proteger la confidencialidad e integridad de los datos, tiene una serie delimitaciones que solo se pueden evitar mediante una adecuada gestin. La distribucin de claves constituye otro problema. La mayor parte de las redes WLAN comparte una misma clave entre todas las estaciones y puntos de acceso de la red. Resulta poco probable que una clave compartida entre muchos usuarios permanezca secreta indefinidamente. Algunos administradores de red abordan este problema configurando las estaciones inalmbricas con la clave secreta ellos mismos, en lugar de permitir que los usuarios finales realicen esta tarea. sta es una solucin imperfecta, porque la clave compartida contina estando almacenada en las computadoras de los usuarios, donde es vulnerable. Adems, si queda comprometida la clave en una nica estacin, todas las otras estaciones del sistema debern ser reconfiguradas con una clave nueva. La mejor solucin entonces consiste en asignar una clave unvoca a cada estacin y efectuar cambios de clave frecuentes.

RECOMENDACIONES Use una clave de seguridad de red. Si tiene una red inalmbrica, debe configurar una clave de seguridad de red, que activa el cifrado. Con el cifrado activado, nadie podr conectarse a su red sin la clave de seguridad. Adems, cualquier informacin que se enve a travs de la red se cifrar y, por lo tanto, slo podrn leerla los equipos que tienen la clave para descifrar la informacin. Esto puede ayudar a impedir los intentos de acceso no autorizado a la red y a los archivos. WPA(Acceso protegido Wi-Fi) y

WPA2 son mtodos de cifrado de red inalmbrica comunes. Para obtener ms informacin, consulte Configurar una clave de seguridad para una red inalmbrica. Cambie el nombre y la contrasea de administrador predeterminados del enrutador o el punto de acceso Si tiene un enrutador o un punto de acceso, es probable que use un nombre y una contrasea predeterminados para configurar el equipo. La mayora de los fabricantes usan el mismo nombre y contrasea predeterminados para todos los equipos. Es posible que alguien pueda usarlos para obtener acceso al enrutador o al punto de acceso sin su conocimiento. Para evitar ese riesgo, cambie el nombre de usuario y la contrasea predeterminados del enrutador. Consulte la documentacin que acompaa al dispositivo para obtener instrucciones acerca de cmo cambiar el nombre y la contrasea. Cambie el SSID predeterminado. Los enrutadores y los puntos de acceso usan un nombre de red inalmbrica conocido como identificador de red (SSID). La mayora delos fabricantes usan el mismo SSID para todos lo enrutadores y puntos de acceso. Se recomienda que cambie el SSID predeterminado para evitar que la red inalmbrica se confunda con otras redes inalmbricas que pueden utilizar el SSID predeterminado. Esto facilitar la identificacin de su red inalmbrica si existen varias alrededor, ya que el SSID suele aparecer en la lista de redes disponibles. Consulte la documentacin que acompaa al dispositivo para obtener instrucciones acerca de cmo cambiar el SSID predeterminado CONTROL ACCESO REMOTO INTRODUCCIN En la actualidad, las tecnologas de acceso a Internet mediante ISP, como un servicio dial-up o DSL, poseen carcter masivo y relativamente barato para los usuarios, brindando un servicio por dems adecuado para reemplazar los accesos discados directos que podan ser extremadamente caros si el usuario remoto se encontraba fuera de los lmites del sistema de telefona local. Sin embargo el inconveniente es la naturaleza pblica por ende insegura de Internet.

El escenario de las VPN de acceso remoto puede ser definido en general de forma nica si bien hay variaciones particulares del mismo. En cualquiera de los casos, un cliente desea conectarse en forma segura a una red remota y poder tener acceso a los recursos disponibles en la misma. Para esto deber establecer una conexin con un gateway de seguridad o servidor de acceso remoto, para luego configurar un tnel por donde fluirn los datos de la comunicacin en forma segura.

OBJETIVOS GENERALES Investigar las caractersticas, componentes, mecanismos de una VPN de acceso remoto y como solucionan la necesidad de un ingreso seguro a los recursos informticos de la organizacin desde cualquier sitio. Aplicar los conceptos de VPN de acceso remoto a travs de una solucin que implemente un cliente VPN porttil que evite la instalacin de programas para esta tarea.

OBJETIVOS PARTICULARES Determinar las caractersticas necesarias para que una solucin sea considerada una VPN. Determinar las ventajas y desventajas de la utilizacin de IPSec y SSL en la implementacin de VPNs de acceso remoto. Investigar diferentes enfoques para la creacin de una distribucin LINUX especfica para el desarrollo de la prctica. Evaluar alternativas de lenguajes de programacin para el desarrollo de aplicaciones a utilizar en la prctica. Evaluar alternativas de software de virtualizacin que sean portables para el desarrollo de la prctica.

ARQUITECTURA DE SEGURIDAD Cuando desde la propia red local se interacta con equipos presentes en redes externas como extranets, o pblicas como Internet, se accede a un entorno fuera del control de la organizacin, por lo tanto inseguro. Permitir interactuar equipos situados en estos entornos con los propios de la organizacin es un panorama an ms crtico que requiere tener presente la seguridad considerando:

Las polticas de seguridad de la organizacin y definir su aplicacin tanto a los clientes como al servidor VPN. Definir claramente los servicios de la red local que estarn disponibles para los usuarios remotos. Control del trfico entrante y saliente. Un adecuado manejo del servicio de autenticacin de los usuarios remotos. Una correcta disposicin del gateway VPN en el esquema de la red junto con una adecuada interaccin con el firewal. El nivel de hardening, o cuan seguro es el gateway VPN si este se ubica directamente en el borde de la red. Mantener un sistema de auditora que registre los eventos asociados a los accesos a la VPN. Asegurar la disponibilidad del servicio de VPN de acceso remoto

SEGURIDAD EN EL ACCESO REMOTO En esta seccin se tratarn las caractersticas esenciales en materia de seguridad que debe proporcionar y tener una conexin de acceso remoto. Por un lado, para implementar un solucin que permita el acceso remoto, hay que poner especial atencin a la red local de la empresa. Hay que dotar a la intranet de los mecanismos necesarios que ofrezcan la seguridad y garantas a la hora de recibir las conexiones entrantes. Por otro lado, es importante tener en cuenta que es imposible controlar las redes externas a la compaa utilizadas por los empleados para acceder remotamente a los recursos de la misma. En este sentido, donde se deben enfocar los esfuerzos para asegurar las conexiones, datos, etc. es en la parte que si se controla: el dispositivo que accede a la conexin.

CIFRADO DE DATOS Como se ha mencionado previamente, es imposible controlar la conexin (pblica o no) desde la que se conectar un terminal (porttil, Smartphone, etc.) remotamente. Lo que si es factible, es usar una aplicacin que garantice la autenticacin, confidencialidad e integridad de los datos durante la comunicacin o transferencias. Estas aplicaciones usan la tecnologa Red Privada Virtual (o RPV. Del ingls VPN Virtual Private Network-) que permite extender la red local sobre una red no controlada como Internet. De un modo simple, podramos decir que es como si los dos ordenadores estuvieran conectados por un nico cable. La tecnologa RPV usa diferentes protocolos (IPSec, SSH, L2F, etc.) para cifrar los datos que viajan entre la conexin, pero el ms extendido es el SSL/TSL. Estos protocolos permiten a las aplicaciones cliente-servidor comunicarse de una forma diseada para prevenir escuchas, la falsificacin de la identidad del remitente (phishing) y la alteracin de la integridad del mensaje. Existen soluciones tanto de hardware como de software para implementar redes privadas virtuales. Las primeras casi siempre ofrecen mayor rendimiento y facilidad de configuracin, aunque no tienen la flexibilidad de las versiones software. Aunque el rendimiento es mucho menor en stas ltimas, son mucho ms configurables y existen opciones gratuitas. POLTICAS Y PERFILES DE ACCESO A LA RED Uno de los aspectos ms importantes a la hora de implementar un acceso remoto es definir las polticas de seguridad y el tipo de perfil. Una poltica de seguridad garantiza los derechos de acceso a los datos y recursos con las herramientas de control y mecanismos de identificacin. Estos mecanismos permiten saber que los usuarios tienen slo los permisos que se les di. Por ello, para abordar una poltica de seguridad conviene:

Elaborar reglas y procedimientos para cada servicio de la organizacin. Por lo general una poltica de mnimos privilegios suele ser la opcin mas acertada en la mayor parte de los casos

Definir las acciones a emprender y elegir las personas a contactar en caso de detectar una posible intrusin

Sensibilizar a los operadores con los problemas ligados con la seguridad de los sistemas informticos. En cuanto a los perfiles, van a ser los que establezcan las caractersticas propias del conjunto de usuarios con permisos sobre los distintos recursos. No tendr los mismos derechos un usuario de la propia empresa que un colaborador externo. Los siguientes ejemplos de perfiles muestran una idea:

Usuario de la empresa (PC o porttil): por norma general deber poder conectarse a los mismos recursos que en el puesto de trabajo (perfil o directorio personal del sistema operativo y recursos a los que tiene acceso)

Usuario externo: acceso a los recursos asignados con los permisos que se hayan establecido (lectura, escritura o/y ejecucin)

Usuario con dispositivo mvil (PDA o Smartphone): las conexiones de estos dispositivos se limitan prcticamente a la recepcin del correo electrnico y el acceso a ciertos documentos.

ASEGURANDO EL ACCESO El mtodo de acceso ms extendido para conectarse remotamente a los recursos de una empresa se realiza a travs de un navegador web. Se introduce la direccin o IP y se enva al usuario a un formulario donde ha de introducir sus credenciales (usuario y contrasea) de acceso remoto. Una vez validado en el sistema y creada la conexin remota con la oficina debe validarse con sus credenciales de acceso la red local de la organizacin. Con el fin de proteger los accesos remotos existen otra serie de mecanismos como el uso de generadores de nmeros aleatorios (tokens) que, junto a un PIN que el usuario conoce adems del nmero del token conforman una nueva contrasea que se debe introducir en algn momento de la validacin. Otro modo de asegurar las conexiones es adoptando franjas horarias, fechas determinadas, etc. para acceder al sistema. De esa manera se establecen periodos de tiempo donde se autoriza el acceso a los recursos. Se suele aplicar a perfiles de usuarios de otras compaas o colaboradores externos.

COMPUTACION MOVIL INTRODUCCIN La tecnologa mvil consiste en la utilizacin de medios informticos, sin la necesidad de estar emplazados, es decir que pueden ser utilizados desde cualquier parte. Dentro del mbito de la tecnologa, la que se refiere a estos tipos de dispositivos es en la actualidad, la que posee mayor perspectiva de evolucin OBJETIVOS Discutir las caractersticas y los atributos de la computacin mvil y el Mcomercio. Describir los ordenadores de computacin mvil. Entender las tecnologas que apoyan la computacin mvil. Describir las redes inalmbricas estndares y de transmisin de red. Discutir las aplicaciones de M-comercio en los servicios financieros, la publicidad. Describir las aplicaciones del M-comercio entre organizaciones. Entender B2B y las aplicaciones de la cadena de suministro del M-comercio. Describir al consumidor y las aplicaciones personales del M-comercio. Describir algunas aplicaciones del M-comercio del no-internet. Discutir las caractersticas claves y los usos actuales de computacin penetrante. Describir los mayores barreras de la tecnologa mvil y M-comercio.

OBJETIVOS DE SEGURIDAD MVIL En lo que se refiere a seguridad, las dos plataformas mviles ms importantes comparten muy poco con sus sistemas operativos de escritorio y para servidor. A pesar de que ambas plataformas fueron construidas en sistemas operativos existentes (iOS est basado en el sistema operativo OSX de Apple y Android est basado en Linux), stos utilizan modelos de seguridad mucho ms elaborados que fueron diseados en su ncleo de implementacin. El objetivo probablemente era implementar la seguridad interna de las plataformas mviles en lugar de utilizar software de seguridad de terceros. Entonces, Apple y Google tuvieron xito al intentar crear plataformas seguras? Para responder a esta pregunta, incluimos un anlisis del modelo de seguridad de cada plataforma y analizaremos su implementacin para determinar su efectividad contra las principales amenazas de hoy en da, incluyendo: Ataques basados en la web y en redes. Estos ataques son generalmente iniciados

por sitios web maliciosos o sitios web legtimos comprometidos. Software malicioso. El software malicioso se puede dividir en tres categoras de alto nivel: virus informticos tradicionales, gusanos informticos y troyanos. Ataques de ingeniera social. Estos ataques, como el phishing, se aprovechan de la ingeniera social para engaar al usuario y hacer que revele informacin importante o instale software malicioso en su computadora. Abuso de disponibilidad de servicios y recursos. El objetivo de muchos ataques es hacer un mal uso de la red, los recursos informticos o la identidad de un dispositivo para fines ilegtimos. Prdida de datos maliciosa y no intencionada. La prdida de datos se produce cuando un empleado o hacker extrae informacin importante de una red o dispositivo protegido. Ataques sobre la integridad de los datos del dispositivo. En un ataque a la integridad de los datos, el agresor intenta corromper o modificar los datos sin permiso del propietario.

ASPECTOS DE SEGURIDAD Riesgos de los dispositivos mviles Mayor participacin del mercado, mayor exposicin a malwares y virus (Android 45%, iOS 27%)-(Rooted-Jailbreak) Robo de identidad Servicios premium y spoofing Facilidad para compartir informacin por canales inseguros Dependencia y confianza en redes pblicas o controlada por terceros Geotaging y seguridad personal Dificultad para la identificacin del canal utilizado en la comunicacin Control de la informacin muy relacionado con el control fsico Los dispositivos no son propiedad de la empresa Heterogeneidad de plataformas

Velocidad de cambios Dificultad de reforzamiento de los controles

COMO ESTABLECER UN MODELO DE SEGURIDAD Definicin de poltica de seguridad para los dispositivos Realizar un inventario de todos los dispositivos mviles de la organizacin. Analizar el riesgo asociado al uso de los dispositivos en las diferentes areas de la organizacin Definir un estndar de seguridad

Establecer controles para evitar dispositivos no autorizados. Definir las caractersticas de almacenamientos permitidas para la diferente informacin (red, cloud, disp., etc.) Definir un esquema de aprobacin de APPS o desarrollo interno. Desarrollar polticas de uso de los dispositivos y su relacin con las redes sociales. Capitalizar y concientizar a los usuarios.

BIBLIOGRAFIA http://www.buenastareas.com/join.php https://iso27002.wiki.zoho.com/ http://www.slideshare.net/ http://www.monografias.com/ http://sedici.unlp.edu.ar/ http://www.lcc.uma.es/ http://es.scribd.com/ http://infosec.aragon.unam.mx/s003.php http://www.youtube.com/