SOLUCION TALLER DE SEGURIDAD WLAN

1- Las redes 802.11 utilizan dos métodos de autenticación: Autenticación de

sistema abierto y Autenticación con clave compartida. En ambos esquemas, cada
cliente móvil (denominado una estación) debe autenticarse ante el punto de
acceso. Un nombre más adecuado para la autenticación de sistema abierto sería
"ausencia de autenticación", ya que realmente no se lleva a cabo ninguna
autenticación: la estación dice "por favor, autentíquenme" y eso es lo que hace el
punto de acceso (PA), sin que en este proceso exista un intercambio de
credenciales. La autenticación con clave compartida es algo más eficaz (con la
excepción de que depende de WEP). La estación solicita la autenticación y el
punto de acceso responde con un reto cifrado por WEP. La estación puede
descifrar y responder sólo si dispone de la contraseña WEP correcta. En ambos
métodos, la estación también debe conocer el identificador del conjunto de
servicios (SSID) del PA. Sin embargo, debido a que el PA puede difundir su SSID
y a que las estaciones que hablan a ese SSID siempre lo difunden, este
comportamiento no es un gran obstáculo para conocer el SSID.

En general, este proceso de autenticación no es tan efectivo como sería

deseable, pero no se puede hacer mucho respecto a esto directamente. Los
pasos que debe realizar son bastante obvios:

1. Active el cifrado WEP. Es mejor algo que nada y sin ello no obtendrá ningún
tipo de autenticación en absoluto.
2. Si su PA lo permite, desactive la difusión SSID y convierta su red en una
red cerrada. Admitámoslo, esta solución supone complicaciones para los
clientes; por ejemplo, Windows XP es muy efectivo a la hora de buscar
redes inalámbricas de manera automática, pero no puede buscar
automáticamente redes cerradas; en este caso, los usuarios tendrán que
introducir manualmente el nombre del SSID.
3. Preste atención a la huella de radio que crea la WLAN. Si puede mantener
a los espías y los intrusos fuera del rango de cobertura de la señal, ello
ayuda a minimizar el problema de la autenticación (pero no olvide que los
intrusos que son inteligentes utilizan una variedad de antenas para recibir
señales que provienen de distancias relativamente largas).
4. Complemente la autenticación WLAN con otros medios. Si permite el
acceso directo a sus sistemas internos mediante una WLAN, es
recomendable que reconsidere ese plan y, quizás, saque la WLAN fuera del
servidor de seguridad, lo que exigirá a los usuarios obtener acceso a la red
mediante una VPN, de la misma manera que lo harían desde casa. Otra
alternativa es asignar un rango de direcciones IP a los clientes WLAN y, a
 SOLUCION TALLER DE SEGURIDAD WLAN
continuación, aplicar controles de acceso basados en IP en los sitios de su
intranet.

La mejor manera de reforzar la autenticación WLAN es aumentándola, para lo

que es necesario ampliar la compatibilidad con protocolos de autenticación más
efectivos. En concreto, el estándar IEEE 802.1x, junto con el protocolo Protected
EAP ofrecen una autenticación mucho más segura y seguramente ya dispone de
las herramientas necesarias para implementarlos

2- Pese a los importantes avances que 802.11i introduce en la seguridad

seguridad Wireless LAN, muchos usuarios están retrasando su adopción por
cuestiones de coste, complejidad e interoperatividad. De momento, aseguran tener
suficiente con WPA.

A lo largo de los últimos meses, han ido apareciendo en el mercado los primeros
productos Wireless LAN (WLAN) que implementan el nuevo estándar de seguridad
inalámbrica 802.11i, aprobado hace un año por IEEE. Esta especificación ha
venido sin duda a resolver uno de los principales inconvenientes que las
organizaciones oponían a la introducción de manera indiscriminada de redes
inalámbricas en sus organizaciones.
El estándar 802.11i elimina muchas de las debilidades de sus predecesores tanto
en lo que autenticación de usuarios como a robustez de los métodos de
encriptación se refiere. Y lo consigue en el primer caso gracias a su capacidad
para trabajar en colaboración con 802.1X, y en el segundo, mediante la
incorporación de encriptación Advanced Encryption Standard (AES). Aparte de
incrementar de manera más que significativa la seguridad de los entornos WLAN,
también reduce considerablemente la complejidad y el tiempo de roaming de los
usuarios de un punto de acceso a otro.
Sin embargo, según usuarios y analistas, aún siendo incuestionable que a largo
plazo el despliegue de 802.11i será inevitable, las empresas deberán sopesar
cuidadosamente las ventajas e inconvenientes de la nueva norma. Especialmente,
habrán de distanciarse de los discursos de marketing de los suministradores y
analizar con la cabeza fría el momento más adecuado para su introducción, sobre
todo si ya cuentan con infraestructuras que exijan ser actualizadas al estándar.

Hay que tener presente que 802.11i no es un punto y aparte. Se trata

básicamente de una evolución de tecnologías anteriores, fundamentalmente de
 SOLUCION TALLER DE SEGURIDAD WLAN
WPA (Wi-Fi Protected Access), implementado ya hace tiempo por la industria,
hasta el punto de que el nuevo estándar todavía se conoce también como
WPA2.

3- WPA cifra la información y también comprueba que la clave de seguridad de

red no haya sido modificada. Además, WPA autentica a los usuarios con el fin de
garantizar que únicamente los usuarios autorizados puedan tener acceso a la
red.

Existen dos tipos de autenticación WPA: WPA y WPA2. WPA se ha diseñado

para trabajar con todos los adaptadores de red inalámbrica, pero es posible que
no funcione con enrutadores o puntos de acceso antiguos. WPA2 es más seguro
que WPA, pero no funcionará con algunos adaptadores de red antiguos. WPA se
ha diseñado para utilizarse con un servidor de autenticación 802.1x, que
distribuye claves diferentes a cada usuario. Esto se denomina WPA-Enterprise o
WPA2-Enterprise. También se puede usar en el modo de clave previamente
compartida (PSK), donde cada usuario recibe la misma frase de contraseña.
Esto se denomina WPA-Personal o WPA2-Personal.

WEP es un método de seguridad de red antiguo que todavía está disponible

para dispositivos antiguos, pero que ya no se recomienda usar. Cuando se
habilita WEP, se configura una clave de seguridad de red. Esta clave cifra la
información que un equipo envía a otro a través de la red. Sin embargo, la
seguridad WEP es relativamente fácil de vulnerar.

4- La IEEE 802.1X es una norma del IEEE para el control de acceso a red
basada en puertos. Es parte del grupo de protocolos IEEE 802 (IEEE 802.1).
Permite la autenticación de dispositivos conectados a un puerto LAN,
estableciendo una conexión punto a punto o previniendo el acceso por ese
puerto si la autenticación falla. Es utilizado en algunos puntos de acceso
inalámbricos cerrados y se basa en el protocolo de autenticación extensible
(EAP– RFC 2284). El RFC 2284 ha sido declarado obsoleto en favor del RFC
3748.
 SOLUCION TALLER DE SEGURIDAD WLAN
802.1X está disponible en ciertos conmutadores de red y puede configurarse
para autenticar nodos que están equipados con software suplicante. Esto elimina
el acceso no autorizado a la red al nivel de la capa de enlace de datos.

Algunos proveedores están implementando 802.1X en puntos de acceso

inalámbricos que pueden utilizarse en ciertas situaciones en las cuales el punto
de acceso necesita operarse como un punto de acceso cerrado, corrigiendo
deficiencias de seguridad de WEP. Esta autenticación es realizada normalmente
por un tercero, tal como un servidor de RADIUS. Esto permite la autenticación
sólo del cliente o, más apropiadamente, una autenticación mutua fuerte
utilizando protocolos como EAP-TLS.

5- En seguridad informática, el acrónimo AAA corresponde a un tipo de

protocolos que realizan tres funciones: Autenticación, Autorización y
Contabilización (Authentication, Authorization and Accounting en inglés). La
expresión protocolo AAA no se refiere pues a un protocolo en particular, sino a
una familia de protocolos que ofrecen los tres servicios citados.

AAA se combina a veces con auditoria, convirtiéndose entonces en AAAA.

Autenticación

La Autenticación es el proceso por el que una entidad prueba su identidad

ante otra. Normalmente la primera entidad es un cliente (usuario,
ordenador, etc) y la segunda un servidor (ordenador). La Autenticación se
consigue mediante la presentación de una propuesta de identidad (vg. un
nombre de usuario) y la demostración de estar en posesión de las
credenciales que permiten comprobarla. Ejemplos posibles de estas
credenciales son las contraseñas, los testigos de un sólo uso (one-time
tokens), los Certificados Digitales, ó los números de teléfono en la
identificación de llamadas. Viene al caso mencionar que los protocolos de
autenticación digital modernos permiten demostrar la posesión de las
credenciales requeridas sin necesidad de transmitirlas por la red (véanse
por ejemplo los protocolos de desafío-respuesta).

Autorización
 SOLUCION TALLER DE SEGURIDAD WLAN
Autorización se refiere a la concesión de privilegios específicos (incluyendo
"ninguno") a una entidad o usuario basándose en su identidad
(autenticada), los privilegios que solicita, y el estado actual del sistema. Las
autorizaciones pueden también estar basadas en restricciones, tales como
restricciones horarias, sobre la localización de la entidad solicitante, la
prohibición de realizar logins múltiples simultáneos del mismo usuario, etc.
La mayor parte de las veces el privilegio concedido consiste en el uso de un
determinado tipo de servicio. Ejemplos de tipos de servicio son, pero sin
estar limitado a: filtrado de direcciones IP, asignación de direcciones,
asignación de rutas, asignación de parámetros de Calidad de Servicio,
asignación de Ancho de banda, y Cifrado.

Contabilización

La Contabilización se refiere al seguimiento del consumo de los recursos de

red por los usuarios. Esta información puede usarse posteriormente para la
administración, planificación, facturación, u otros propósitos. La
contabilización en tiempo real es aquella en la que los datos generados se
entregan al mismo tiempo que se produce el consumo de los recursos. En
contraposición la contabilización por lotes (en inglés "batch accounting")
consiste en la grabación de los datos de consumo para su entrega en algún
momento posterior. La información típica que un proceso de contabilización
registra es la identidad del usuario, el tipo de servicio que se le proporciona,
cuando comenzó a usarlo, y cuando terminó.

6- La seguridad es un aspecto que cobra especial relevancia cuando hablamos de

redes inalámbricas. Para tener acceso a una red cableada es imprescindible una
conexión física al cable de la red. Sin embargo, en una red inalámbrica
desplegada en una oficina un tercero podría acceder a la red sin ni siquiera estar
ubicado en las dependencias de la empresa, bastaría con que estuviese en un
lugar próximo donde le llegase la señal. Es más, en el caso de un ataque pasivo,
donde sólo se escucha la información, ni siquiera se dejan huellas que posibiliten
una identificación posterior.

El canal de las redes inalámbricas, al contrario que en las redes cableadas

privadas, debe considerarse inseguro. Cualquiera podría estar escuchando la
información transmitida. Y no sólo eso, sino que también se pueden inyectar
nuevos paquetes o modificar los ya existentes (ataques activos). Las mismas
 SOLUCION TALLER DE SEGURIDAD WLAN
precauciones que tenemos para enviar datos a través de Internet deben tenerse
también para las redes inalámbricas.
Conscientes de este problema, el IEEE [1] publicó un mecanismo opcional de
seguridad, denominado WEP, en la norma de redes inalámbricas 802.11 [2]. Pero
WEP, desplegado en numerosas redes WLAN, ha sido roto de distintas formas, lo
que lo ha convertido en una protección inservible.
Para solucionar sus deficiencias, el IEEE comenzó el desarrollo de una nueva
norma de seguridad, conocida como 802.11i [3], que permitiera dotar de suficiente
seguridad a las redes WLAN.
El problema de 802.11i está siendo su tardanza en ver la luz. Su aprobación se
espera para junio de 2004. Algunas empresas en vistas de que WEP (de 1999)
era insuficiente y de que no existían alternativas estandarizadas mejores,
decidieron utilizar otro tipo de tecnologías como son las VPNs para asegurar los
extremos de la comunicación (por ejemplo, mediante IPSec). La idea de proteger
los datos de usuarios remotos conectados desde Internet a la red corporativa se
extendió, en algunos entornos, a las redes WLAN. De hecho, como hemos
comentado antes, ambos canales de transmisión deben considerarse inseguros.
Pero la tecnología VPN es quizás demasiado costosa en recursos para su
implementación en redes WLAN.
No ajena a las necesidades de los usuarios, la asociación de empresas Wi-Fi [4]
decidió lanzar un mecanismo de seguridad intermedio de transición hasta que
estuviese disponible 802.11i, tomando aquellos aspectos que estaban
suficientemente avanzados del desarrollo de la norma. El resultado, en 2003, fue
WPA [5].
Este artículo analiza las características de los mecanismos de seguridad WEP,
WPA y WPA2 (IEEE 802.11i). En el momento de escribir estas líneas, WPA2
todavía no ha visto la luz por lo que la documentación relacionada es todavía muy
escasa.

Características y funcionamiento de wep

WEP (Wired Equivalent Privacy, privacidad equivalente al cable) es el algoritmo
opcional de seguridad incluido en la norma IEEE 802.11 [2]. Los objetivos de
WEP, según el estándar, son proporcionar confidencialidad, autentificación y
control de acceso en redes WLAN [2, §6.1.2]. Estudiamos a continuación las
principales características de WEP.
WEP utiliza una misma clave simétrica y estática en las estaciones y el punto de
acceso. El estándar no contempla ningún mecanismo de distribución automática
de claves, lo que obliga a escribir la clave manualmente en cada uno de los
elementos de red. Esto genera varios inconvenientes. Por un lado, la clave está
 SOLUCION TALLER DE SEGURIDAD WLAN
almacenada en todas las estaciones, aumentando las posibilidades de que sea
comprometida. Y por otro, la distribución manual de claves provoca un aumento de
mantenimiento por parte del administrador de la red, lo que conlleva, en la mayoría
de ocasiones, que la clave se cambie poco o nunca.
El algoritmo de encriptación utilizado es RC4 con claves (seed), según el estándar,
de 64 bits. Estos 64 bits están formados por 24 bits correspondientes al vector de
inicialización más 40 bits de la clave secreta. Los 40 bits son los que se deben
distribuir manualmente. El vector de inicialización (IV), en cambio, es generado
dinámicamente y debería ser diferente para cada trama. El objetivo perseguido
con el IV es cifrar con claves diferentes para impedir que un posible atacante
pueda capturar suficiente tráfico cifrado con la misma clave y terminar finalmente
deduciendo la clave. Como es lógico, ambos extremos deben conocer tanto la
clave secreta como el IV. Lo primero sabemos ya que es conocido puesto que
está almacenado en la configuración de cada elemento de red. El IV, en cambio,
se genera en un extremo y se envía en la propia trama al otro extremo, por lo que
también será conocido. Observemos que al viajar el IV en cada trama es sencillo
de interceptar por un posible atacante.

WPA
WPA (Wi-Fi Protected Access, acceso protegido Wi-Fi) es la respuesta de la
asociación de empresas Wi-Fi a la seguridad que demandan los usuarios y que
WEP no puede proporcionar.

El IEEE tiene casi terminados los trabajos de un nuevo estándar para reemplazar
a WEP, que se publicarán en la norma IEEE 802.11i a mediados de 2004. Debido
a la tardanza (WEP es de 1999 y las principales vulnerabilidades de seguridad se
encontraron en 2001), Wi-Fi decidió, en colaboración con el IEEE, tomar aquellas
partes del futuro estándar que ya estaban suficientemente maduras y publicar así
WPA. WPA es, por tanto, un subconjunto de lo que será IEEE 802.11i. WPA
(2003) se está ofreciendo en los dispositivos actuales.

WPA soluciona todas las debilidades conocidas de WEP y se considera

suficientemente seguro. Puede ocurrir incluso que usuarios que utilizan WPA no
vean necesidad de cambiar a IEEE 802.11i cuando esté disponible.

Características de WPA
Las principales características de WPA son la distribución dinámica de claves,
utilización más robusta del vector de inicialización (mejora de la confidencialidad) y
nuevas técnicas de integridad y autentificación.
WPA incluye las siguientes tecnologías:
 SOLUCION TALLER DE SEGURIDAD WLAN
o IEEE 802.1X. Estándar del IEEE de 2001 [10] para proporcionar un control
de acceso en redes basadas en puertos. El concepto de puerto, en un
principio pensado para las ramas de un switch, también se puede aplicar a
las distintas conexiones de un punto de acceso con las estaciones. Las
estaciones tratarán entonces de conectarse a un puerto del punto de
acceso. El punto de acceso mantendrá el puerto bloqueado hasta que el
usuario se autentifique. Con este fin se utiliza el protocolo EAP [11] y un
servidor AAA (Authentication Authorization Accounting) como puede ser
RADIUS (Remote Authentication Dial-In User Service) [12]. Si la
autorización es positiva, entonces el punto de acceso abre el puerto. El
servidor RADIUS puede contener políticas para ese usuario concreto que
podría aplicar el punto de acceso (como priorizar ciertos tráficos o descartar
otros).
o EAP. EAP, definido en la RFC 2284 [11], es el protocolo de autentificación
extensible para llevar a cabo las tareas de autentificación, autorización y
contabilidad. EAP fue diseñado originalmente para el protocolo PPP (Point-
to-Point Protocol) [13], aunque WPA lo utiliza entre la estación y el servidor
RADIUS. Esta forma de encapsulación de EAP está definida en el estándar
802.1X bajo el nombre de EAPOL (EAP over LAN) [10].
o TKIP (Temporal Key Integrity Protocol). Según indica Wi-Fi, es el protocolo
encargado de la generación de la clave para cada trama [4].
o MIC (Message Integrity Code) o Michael. Código que verifica la integridad
de los datos de las tramas [4].