Red inalmbrica con punto de acceso inalmbrico Peralta Torres, Carlos Javier
Red inalmbrica con punto de acceso inalmbrico
1. Autor.
Peralta Torres, Carlos J avier
2. Introduccin.
La utilidad de las redes inalmbricas en el hogar y las pequeas empresas ofrece ventajas evidentes. Con una red inalmbrica no es necesario instalar cables para conectar los distintos equipos entre s y los equipos porttiles pueden trasladarse de un lado a otro de la casa o la pequea oficina y mantener su conexin a la red.
Aunque existen varias tecnologas para crear redes inalmbricas, en este informe de laboratorio se describir el uso de los estndares 802.11 del IEEE (Instituto de Ingenieros Elctricos y Electrnicos) para configurar una red inalmbrica con punto de acceso inalmbrico, es decir, en modo infraestructura.
3. Objetivos.
Describir cmo configurar una red inalmbrica para el hogar o una pequea empresa cuando se utiliza un punto de acceso inalmbrico (modo infraestructura).
4. Fundamento terico.
El modo de infraestructura se utiliza para conectar equipos con adaptadores de red inalmbricos, tambin denominados clientes inalmbricos, a una red con cables existente. Por ejemplo, una oficina domstica o de pequea empresa puede tener una red Ethernet existente. Con el modo de infraestructura, los equipos porttiles u otros equipos de escritorio que no dispongan de una conexin con cables Ethernet pueden conectarse de forma eficaz a la red existente. Se utiliza un nodo de red, denominado punto de acceso inalmbrico (PA), como puente entre las redes con cables e inalmbricas. En la figura se muestra una red inalmbrica en modo de infraestructura.
Teleinformtica2,UniversidadPrivadaAntenorOrrego,1,18 Red inalmbrica con punto de acceso inalmbrico Peralta Torres, Carlos Javier Una topologa de infraestructura es aquella que extiende una red LAN con cable existente para incorporar dispositivos inalmbricos mediante una estacin base, denominada punto de acceso. El punto de acceso une la red LAN inalmbrica y la red LAN con cable y sirve de controlador central de la red LAN inalmbrica. El punto de acceso coordina la transmisin y recepcin de mltiples dispositivos inalmbricos dentro de una extensin especfica; la extensin y el nmero de dispositivos dependen del estndar de conexin inalmbrica que se utilice y del producto. En la modalidad de infraestructura, puede haber varios puntos de acceso para dar cobertura a una zona grande o un nico punto de acceso para una zona pequea, ya sea un hogar o un edificio pequeo.
El porttil o dispositivo inteligente, denominado "estacin" en el mbito de las redes LAN inalmbricas, primero debe identificar los puntos de acceso y las redes disponibles. Este proceso se lleva a cabo mediante el control de las tramas de sealizacin procedentes de los puntos de acceso que se anuncian a s mismos o mediante el sondeo activo de una red especfica con tramas de sondeo.
La estacin elige una red entre las que estn disponibles e inicia un proceso de autenticacin con el punto de acceso. Una vez que el punto de acceso y la estacin se han verificado mutuamente, comienza el proceso de asociacin.
La asociacin permite que el punto de acceso y la estacin intercambien informacin y datos de capacidad. El punto de acceso puede utilizar esta informacin y compartirla con otros puntos de acceso de la red para diseminar la informacin de la ubicacin actual de la estacin en la red. La estacin slo puede transmitir o recibir tramas en la red despus de que haya finalizado la asociacin.
Teleinformtica2,UniversidadPrivadaAntenorOrrego,2,18 Red inalmbrica con punto de acceso inalmbrico Peralta Torres, Carlos Javier En la modalidad de infraestructura, todo el trfico de red procedente de las estaciones inalmbricas pasa por un punto de acceso para poder llegar a su destino en la red LAN con cable o inalmbrica.
El acceso a la red se administra mediante un protocolo que detecta las portadoras y evita las colisiones. Las estaciones se mantienen a la escucha de las transmisiones de datos durante un perodo de tiempo especificado antes de intentar transmitir (sta es la parte del protocolo que detecta las portadoras). Antes de transmitir, la estacin debe esperar durante un perodo de tiempo especfico despus de que la red est despejada. Esta demora, junto con la transmisin por parte de la estacin receptora de una confirmacin de recepcin correcta, representa la parte del protocolo que evita las colisiones. Observe que, en la modalidad de infraestructura, el emisor o el receptor es siempre el punto de acceso.
Dado que es posible que algunas estaciones no se escuchen mutuamente, aunque ambas estn dentro del alcance del punto de acceso, se toman medidas especiales para evitar las colisiones. Entre ellas, se incluye una clase de intercambio de reserva que puede tener lugar antes de transmitir un paquete mediante un intercambio de tramas "peticin para emitir" y "listo para emitir", y un vector de asignacin de red que se mantiene en cada estacin de la red. Incluso aunque una estacin no pueda or la transmisin de la otra estacin, oir la transmisin de "listo para emitir" desde el punto de acceso y puede evitar transmitir durante ese intervalo.
El proceso de movilidad de un punto de acceso a otro no est completamente definido en el estndar. Sin embargo, la sealizacin y el sondeo que se utilizan para buscar puntos de acceso y un proceso de reasociacin que permite a la estacin asociarse a un punto de acceso diferente, junto con protocolos especficos de otros fabricantes entre puntos de acceso, proporcionan una transicin fluida.
La sincronizacin entre las estaciones de la red se controla mediante las tramas de sealizacin peridicas enviadas por el punto de acceso. Estas tramas contienen el valor de reloj del punto de acceso en el momento de la transmisin, por lo que sirve para comprobar la evolucin en la estacin receptora. La sincronizacin es necesaria por varias razones relacionadas con los protocolos y esquemas de modulacin de las conexiones inalmbricas.
Teleinformtica2,UniversidadPrivadaAntenorOrrego,3,18 Red inalmbrica con punto de acceso inalmbrico Peralta Torres, Carlos Javier 5. Materiales.
La red inalmbrica deber contar con un equipo de red D-Link AirPlus Xtreme G DWL-2100AP.
Figura. Descripcin tcnica de un equipo de red D-Link AirPlus Xtreme G DWL-2100AP Teleinformtica2,UniversidadPrivadaAntenorOrrego,4,18 Red inalmbrica con punto de acceso inalmbrico Peralta Torres, Carlos Javier Cada ordenador deber contar con una tarjeta de red inalmbrica D-Link Airplus G DWL-G122.
Figura. Descripcin tcnica de una tarjeta de red inalmbrica D-Link Airplus G DWL-G122 Teleinformtica2,UniversidadPrivadaAntenorOrrego,5,18 Red inalmbrica con punto de acceso inalmbrico Peralta Torres, Carlos Javier 6. Procedimiento.
Para acceder a la configuracin del Access Point por primera vez, debemos dirigirnos, para este ejemplo, a la pgina http://192.168.0.50/ (direccin por defecto) e ingresar tanto usuario admin y su contrasea.
Modos de encriptacin de datos.
Con la encriptacin lo que se logra es proteger los datos para que no sean alterados, es recomendable encriptar cuando se quiere proteger de ataques provenientes del interior de la red. En un inicio vemos que la opcin de encriptacin est deshabilitado.
Teleinformtica2,UniversidadPrivadaAntenorOrrego,6,18 Red inalmbrica con punto de acceso inalmbrico Peralta Torres, Carlos Javier Una vez habilitado la encriptacin se puede elegir si ser en modo HEX o ASCII as como la cantidad de bits para la encriptacin
Teleinformtica2,UniversidadPrivadaAntenorOrrego,7,18 Red inalmbrica con punto de acceso inalmbrico Peralta Torres, Carlos Javier Estn disponibles los siguientes tipos de cifrado para su uso con las redes 802.11:
Cifrado WEP
Para el cifrado de los datos inalmbricos, el estndar 802.11 original defini la privacidad equivalente por cable (WEP). Debido a la naturaleza de las redes inalmbricas, la proteccin del acceso fsico a la red resulta difcil. A diferencia de una red con cables donde se requiere una conexin fsica directa, cabe la posibilidad de que cualquier usuario dentro del alcance de un punto de acceso inalmbrico o un cliente inalmbrico pueda enviar y recibir tramas, as como escuchar otras tramas que se envan, con lo que la interceptacin y el espionaje remoto de tramas de red inalmbrica resultan muy sencillos.
WEP utiliza una clave compartida y secreta para cifrar los datos del nodo emisor. El nodo receptor utiliza la misma clave WEP para descifrar los datos. Para el modo de infraestructura, la clave WEP debe estar configurada en el punto de acceso inalmbrico y en todos los clientes inalmbricos. Para el modo Ad-Hoc, la clave WEP debe estar configurada en todos los clientes inalmbricos.
Tal como se especifica en los estndares de IEEE 802.11, WEP utiliza una clave secreta de 40 bits. La mayor parte del hardware inalmbrico para IEEE 802.11 tambin admite el uso de una clave WEP de 104 bits. Si su hardware admite ambas, utilice una clave de 104 bits.
Eleccin de una clave WEP
La clave WEP debe ser una secuencia aleatoria de caracteres de teclado (letras maysculas y minsculas, nmeros y signos de puntuacin) o dgitos hexadecimales (nmeros del 0 al 9 y letras de la A a la F). Cuanto ms aleatoria sea la clave WEP, ms seguro ser su uso.
Una clave WEP basada en una palabra (como un nombre de compaa en el caso de una pequea empresa o el apellido si se trata de una red domstica) o en una frase fcil de recordar se puede averiguar fcilmente. Despus de que el usuario malintencionado haya determinado la clave WEP, puede descifrar las tramas cifradas con WEP, cifrar tramas WEP correctamente y comenzar a atacar la red.
Aunque la clave WEP sea aleatoria, todava se puede averiguar si se recopila y analiza una gran cantidad de datos cifrados con la misma clave. Por lo tanto, se recomienda cambiar la clave WEP por una nueva secuencia aleatoria peridicamente, por ejemplo, cada tres meses.
Teleinformtica2,UniversidadPrivadaAntenorOrrego,8,18 Red inalmbrica con punto de acceso inalmbrico Peralta Torres, Carlos Javier
Cifrado WPA
IEEE 802.11i es un nuevo estndar que especifica mejoras en la seguridad de las redes locales inalmbricas. El estndar 802.11i soluciona muchos de los problemas de seguridad del estndar 802.11 original. Mientras se ratifica el nuevo estndar IEEE 802.11i, los proveedores de productos inalmbricos han acordado un estndar intermedio nter operable denominado WPA (acceso protegido WI-FI).
Con WPA, el cifrado se realiza mediante TKIP (Protocolo de integridad de claves temporales), que reemplaza WEP por un algoritmo de cifrado ms seguro. A diferencia de WEP, TKIP proporciona la determinacin de una nica clave de cifrado de unidifusin de inicio para cada autenticacin y el cambio sincronizado de la clave de cifrado de unidifusin para cada trama. Debido a que las claves TKIP se determinan automticamente, no es necesario configurar una clave de cifrado para WPA.
Cifrado WPA2
WPA2 es una certificacin de producto que otorga WI-FI Alliance y certifica que los equipos inalmbricos son compatibles con el estndar 802.11i. WPA2 admite las caractersticas de seguridad obligatorias adicionales del estndar 802.11i que no estn incluidos para productos que admitan WPA. Con WPA2, el cifrado se realiza mediante AES (estndar de cifrado avanzado), que tambin reemplaza WEP por un algoritmo de cifrado ms seguro. Al igual que TKIP para WPA, AES proporciona la determinacin de una clave de cifrado de unidifusin de inicio exclusiva para cada autenticacin y el cambio sincronizado de la clave de cifrado de unidifusin para cada trama. Debido a que las claves AES se determinan automticamente, no es necesario configurar una clave de cifrado para WPA2. WPA2 es la forma ms eficaz de seguridad inalmbrica. Teleinformtica2,UniversidadPrivadaAntenorOrrego,9,18 Red inalmbrica con punto de acceso inalmbrico Peralta Torres, Carlos Javier Modos de autentificacin de Access Point.
Para proteger los datos de ser vistos o alterados por personas fuera de la red. Primero se puede hacer un filtrado en el cual se indica solamente las direcciones MAC de las personas autorizadas.
Estn disponibles los siguientes tipos de autenticacin para utilizarlos con las redes 802.11:
Sistema Abierto.
La autenticacin de sistema abierto no es realmente una autenticacin, porque todo lo que hace es identificar un nodo inalmbrico mediante su direccin de hardware de adaptador inalmbrico. Una direccin de hardware es una direccin asignada al adaptador de red durante su fabricacin y se utiliza para identificar la direccin de origen y de destino de las tramas inalmbricas.
Para el modo de infraestructura, aunque algunos puntos de acceso inalmbricos permiten configurar una lista de direcciones de hardware permitidas para la autenticacin de sistema abierto, resulta bastante sencillo para un usuario malintencionado capturar las tramas enviadas en la red inalmbrica para determinar la direccin de hardware de los nodos inalmbricos permitidos y, a continuacin, utilizar la direccin de hardware para realizar la autenticacin de sistema abierto y unirse a su red inalmbrica.
Teleinformtica2,UniversidadPrivadaAntenorOrrego,10,18 Red inalmbrica con punto de acceso inalmbrico Peralta Torres, Carlos Javier
Clave compartida.
La autenticacin de clave compartida comprueba que el cliente inalmbrico que se va a unir a la red inalmbrica conoce una clave secreta. Durante el proceso de autenticacin, el cliente inalmbrico demuestra que conoce la clave secreta sin realmente enviarla. Para el modo de infraestructura, todos los clientes inalmbricos y el punto de acceso inalmbrico utilizan la misma clave compartida. Para el modo Ad-Hoc, todos los clientes inalmbricos de la red inalmbrica Ad-Hoc utilizan la misma clave compartida.
Teleinformtica2,UniversidadPrivadaAntenorOrrego,11,18 Red inalmbrica con punto de acceso inalmbrico Peralta Torres, Carlos Javier IEEE 802.11X
El estndar IEEE 802.1X exige la autenticacin de un nodo de red para que pueda comenzar a intercambiar datos con la red. Si se produce un error en el proceso de autenticacin, se deniega el intercambio de tramas con la red. Aunque este estndar se dise para las redes Ethernet inalmbricas, se ha adaptado para su uso con 802.11. IEEE 802.1X utiliza EAP (Protocolo de autenticacin extensible) y mtodos de autenticacin especficos denominados tipos EAP para autenticar el nodo de red.
IEEE 802.1X proporciona una autenticacin mucho ms segura que el sistema abierto o la clave compartida y la solucin recomendada para la autenticacin inalmbrica de Windows XP es el uso de EAP-TLS (Transport Layer Security) y certificados digitales para la autenticacin. Para utilizar la autenticacin EAP- TLS para las conexiones inalmbricas, debe crear una infraestructura de autenticacin que conste de un dominio de Active Directory, servidores RADIUS (Servicio de usuario de acceso telefnico de autenticacin remota) y entidades emisoras de certificados para emitir certificados a los servidores RADIUS y los clientes inalmbricos. Esta infraestructura de autenticacin resulta ms adecuada para grandes empresas y organizaciones empresariales, pero no es prctica para una oficina domstica o de pequea empresa.
La solucin al uso de IEEE 802.1X y EAP-TLS para las pequeas y medianas empresas es PEAP (EAP protegido) y el protocolo de autenticacin por desafo mutuo de Microsoft, versin 2 (MS-CHAP v2) tipo EAP. Con PEAP-MS-CHAP v2, se puede lograr un acceso inalmbrico seguro mediante la instalacin de un certificado adquirido en un servidor RADIUS y utilizando credenciales de nombre y contrasea para la autenticacin. Windows XP con SP2; Windows XP con SP1, Windows Server 2003 y Windows 2000 con Service Pack 4 (SP4) admiten PEAP-MS-CHAP v2.
WPA o WPA2 con clave previamente compartida.
Para una red domstica o de pequea empresa donde no se pueda realizar la autenticacin 802.1X, WPA y WPA2 proporcionan un mtodo de autenticacin de clave previamente compartida para redes inalmbricas en modo de infraestructura. La clave previamente compartida se configura en el punto de acceso inalmbrico y en cada cliente inalmbrico. La clave de cifrado WPA o WPA2 inicial se deriva del proceso de autenticacin, que comprueba que tanto el cliente inalmbrico como el punto de acceso inalmbrico estn configurados con la misma clave previamente compartida. Cada clave de cifrado WPA o WPA2 inicial es exclusiva.
La clave WPA o WPA2 previamente compartida debe ser una secuencia aleatoria de caracteres de teclado (letras maysculas y minsculas, nmeros y signos de puntuacin) de una longitud mnima de 20 caracteres o dgitos hexadecimales (nmeros del 0 al 9 y letras de la A a la F) de una longitud mnima de 24 dgitos hexadecimales. Cuanto ms aleatoria sea la clave WPA o WPA2 previamente compartida, ms seguro ser su uso. A diferencia de la clave WEP, la clave WPA o WPA2 previamente compartida no est sujeta a la Teleinformtica2,UniversidadPrivadaAntenorOrrego,12,18 Red inalmbrica con punto de acceso inalmbrico Peralta Torres, Carlos Javier determinacin mediante la recopilacin de una gran cantidad de datos cifrados. Por lo tanto, no es necesario cambiar la clave WPA o WPA2 previamente compartida con tanta frecuencia.
Si se selecciona WPA-PSK se est a la espera de una palabra. Esta es visible.
Teleinformtica2,UniversidadPrivadaAntenorOrrego,13,18 Red inalmbrica con punto de acceso inalmbrico Peralta Torres, Carlos Javier Modos de funcionamiento del Access Point.
Access Point. Valor por defecto que enlaza la red cableada a la inalmbrica.
PtP Bridge. Se debe indicar la direccin MAC del enlace.
Teleinformtica2,UniversidadPrivadaAntenorOrrego,14,18 Red inalmbrica con punto de acceso inalmbrico Peralta Torres, Carlos Javier PtMP Bridge. Se tiene que especificar la direccin MAC de los Access Point a enlazar.
AP Repeater. Se indica la direccin del Access Point hacia donde se va a dirigir.
Teleinformtica2,UniversidadPrivadaAntenorOrrego,15,18 Red inalmbrica con punto de acceso inalmbrico Peralta Torres, Carlos Javier AP Client. Se debe especificar el SSID de la red a la cual va a pertenecer a travs del Access Point as como el canal y el tipo de seguridad.
7. Anlisis de datos y resultados.
Configuracin de seguridad recomendada.
A continuacin se ofrece las configuraciones de seguridad recomendadas, ordenadas de mayor a menor seguridad:
Para una red domstica o de pequea empresa que contenga un controlador de dominio y un servidor RADIUS y admita WPA2, utilice WPA2 y la autenticacin PEAP-MS-CHAP v2.
Para una red domstica o de pequea empresa que contenga un controlador de dominio y un servidor RADIUS y admita WPA, utilice WPA y la autenticacin PEAP-MS-CHAP v2.
Para una red domstica o de pequea empresa que no contenga un controlador de dominio y un servidor RADIUS y admita WPA2, utilice WPA2 y la autenticacin de clave previamente compartida.
Para una red domstica o de pequea empresa que no contenga un controlador de dominio y un servidor RADIUS y admita WPA, utilice WPA y la autenticacin de clave previamente compartida.
Teleinformtica2,UniversidadPrivadaAntenorOrrego,16,18 Red inalmbrica con punto de acceso inalmbrico Peralta Torres, Carlos Javier Para una red domstica o de pequea empresa que no contenga un controlador de dominio y un servidor RADIUS y no admita WPA ni WPA2, utilice la autenticacin de sistema abierto y WEP. No obstante, no se trata de una configuracin de seguridad recomendada y slo se debe utilizar temporalmente cuando se efecte la transicin a una red inalmbrica basada en WPA o WPA2.
A simple vista la eleccin de un sistema abierto en vez de la autenticacin de clave compartida puede parecer contradictoria ya que la autenticacin de sistema abierto no es realmente una autenticacin y la autenticacin de clave compartida requiere conocer una clave secreta compartida. La autenticacin de clave compartida podra ser un mtodo de autenticacin ms seguro que el sistema abierto, pero el uso de la autenticacin de clave compartida convierte la comunicacin inalmbrica en menos segura.
Para la mayora de las implementaciones, incluido Windows XP, la clave secreta de autenticacin de clave compartida es la misma que la clave de cifrado WEP. El proceso de autenticacin de clave compartida consta de dos mensajes: un mensaje de desafo enviado por el autenticador y un mensaje de respuesta de desafo enviado por el cliente inalmbrico que se est autenticando. Un usuario malintencionado que capturara ambos mensajes podra utilizar mtodos de anlisis criptogrfico para determinar la clave secreta de autenticacin de clave compartida y, por lo tanto, la clave de cifrado WEP. Una vez averiguada la clave de cifrado WEP, el usuario malintencionado tendra acceso completo a la red, como si no estuviera habilitado el cifrado WEP. Por lo tanto, aunque la autenticacin de clave compartida es ms segura que el sistema abierto para la autenticacin, debilita el cifrado WEP.
La desventaja de utilizar la autenticacin de sistema abierto es que cualquier usuario se puede unir fcilmente a la red. Al unirse a la red, el usuario malintencionado consume una de las conexiones inalmbricas disponibles. No obstante, sin la clave de cifrado WEP, no puede enviar o interpretar las tramas inalmbricas recibidas que estn cifradas.
Los puntos de acceso inalmbricos y Windows XP admiten la autenticacin de sistema abierto. Una ventaja de utilizar la autenticacin de sistema abierto estriba en que siempre est habilitada para los clientes inalmbricos de Windows XP. No es necesario efectuar configuracin de autenticacin adicional.
8. Acotaciones.
Para proteger la red inalmbrica domstica o de pequea empresa en modo de infraestructura, debe utilizar la autenticacin de clave previamente compartida WPA2 con cifrado AES (recomendado), la autenticacin de clave previamente compartida con cifrado TKIP (recomendado) o la autenticacin de sistema abierto y cifrado WEP (no recomendado).
Teleinformtica2,UniversidadPrivadaAntenorOrrego,17,18 Red inalmbrica con punto de acceso inalmbrico Peralta Torres, Carlos Javier 9. Conclusiones y recomendaciones.
La seguridad de IEEE 802.11 consta de cifrado y de autenticacin. El cifrado se utiliza para cifrar o codificar, los datos de las tramas inalmbricas antes de que se enven a la red inalmbrica. Con la autenticacin se requiere que los clientes inalmbricos se autentiquen antes de que se les permita unirse a la red inalmbrica.