Configuración AP (Peralta)

Red inalmbrica con punto de acceso inalmbrico Peralta Torres, Carlos Javier
Red inalmbrica con punto de acceso inalmbrico

1. Autor.

Peralta Torres, Carlos J avier

2. Introduccin.

La utilidad de las redes inalmbricas en el hogar y las pequeas empresas ofrece
ventajas evidentes. Con una red inalmbrica no es necesario instalar cables para
conectar los distintos equipos entre s y los equipos porttiles pueden trasladarse de
un lado a otro de la casa o la pequea oficina y mantener su conexin a la red.

Aunque existen varias tecnologas para crear redes inalmbricas, en este informe de
laboratorio se describir el uso de los estndares 802.11 del IEEE (Instituto de
Ingenieros Elctricos y Electrnicos) para configurar una red inalmbrica con punto
de acceso inalmbrico, es decir, en modo infraestructura.

3. Objetivos.

Describir cmo configurar una red inalmbrica para el hogar o una pequea empresa
cuando se utiliza un punto de acceso inalmbrico (modo infraestructura).

4. Fundamento terico.

El modo de infraestructura se utiliza para conectar equipos con adaptadores de red
inalmbricos, tambin denominados clientes inalmbricos, a una red con cables
existente. Por ejemplo, una oficina domstica o de pequea empresa puede tener una
red Ethernet existente. Con el modo de infraestructura, los equipos porttiles u otros
equipos de escritorio que no dispongan de una conexin con cables Ethernet pueden
conectarse de forma eficaz a la red existente. Se utiliza un nodo de red, denominado
punto de acceso inalmbrico (PA), como puente entre las redes con cables e
inalmbricas. En la figura se muestra una red inalmbrica en modo de
infraestructura.

Teleinformtica2,UniversidadPrivadaAntenorOrrego,1,18
Una topologa de infraestructura es aquella que extiende una red LAN con cable
existente para incorporar dispositivos inalmbricos mediante una estacin base,
denominada punto de acceso. El punto de acceso une la red LAN inalmbrica y la
red LAN con cable y sirve de controlador central de la red LAN inalmbrica. El
punto de acceso coordina la transmisin y recepcin de mltiples dispositivos
inalmbricos dentro de una extensin especfica; la extensin y el nmero de
dispositivos dependen del estndar de conexin inalmbrica que se utilice y del
producto. En la modalidad de infraestructura, puede haber varios puntos de acceso
para dar cobertura a una zona grande o un nico punto de acceso para una zona
pequea, ya sea un hogar o un edificio pequeo.

El porttil o dispositivo inteligente, denominado "estacin" en el mbito de las redes
LAN inalmbricas, primero debe identificar los puntos de acceso y las redes
disponibles. Este proceso se lleva a cabo mediante el control de las tramas de
sealizacin procedentes de los puntos de acceso que se anuncian a s mismos o
mediante el sondeo activo de una red especfica con tramas de sondeo.

La estacin elige una red entre las que estn disponibles e inicia un proceso de
autenticacin con el punto de acceso. Una vez que el punto de acceso y la estacin
se han verificado mutuamente, comienza el proceso de asociacin.

La asociacin permite que el punto de acceso y la estacin intercambien
informacin y datos de capacidad. El punto de acceso puede utilizar esta
informacin y compartirla con otros puntos de acceso de la red para diseminar la
informacin de la ubicacin actual de la estacin en la red. La estacin slo puede
transmitir o recibir tramas en la red despus de que haya finalizado la asociacin.

En la modalidad de infraestructura, todo el trfico de red procedente de las
estaciones inalmbricas pasa por un punto de acceso para poder llegar a su destino
en la red LAN con cable o inalmbrica.

El acceso a la red se administra mediante un protocolo que detecta las portadoras y
evita las colisiones. Las estaciones se mantienen a la escucha de las transmisiones de
datos durante un perodo de tiempo especificado antes de intentar transmitir (sta es
la parte del protocolo que detecta las portadoras). Antes de transmitir, la estacin
debe esperar durante un perodo de tiempo especfico despus de que la red est
despejada. Esta demora, junto con la transmisin por parte de la estacin receptora
de una confirmacin de recepcin correcta, representa la parte del protocolo que
evita las colisiones. Observe que, en la modalidad de infraestructura, el emisor o el
receptor es siempre el punto de acceso.

Dado que es posible que algunas estaciones no se escuchen mutuamente, aunque
ambas estn dentro del alcance del punto de acceso, se toman medidas especiales
para evitar las colisiones. Entre ellas, se incluye una clase de intercambio de reserva
que puede tener lugar antes de transmitir un paquete mediante un intercambio de
tramas "peticin para emitir" y "listo para emitir", y un vector de asignacin de red
que se mantiene en cada estacin de la red. Incluso aunque una estacin no pueda
or la transmisin de la otra estacin, oir la transmisin de "listo para emitir" desde
el punto de acceso y puede evitar transmitir durante ese intervalo.

El proceso de movilidad de un punto de acceso a otro no est completamente
definido en el estndar. Sin embargo, la sealizacin y el sondeo que se utilizan para
buscar puntos de acceso y un proceso de reasociacin que permite a la estacin
asociarse a un punto de acceso diferente, junto con protocolos especficos de otros
fabricantes entre puntos de acceso, proporcionan una transicin fluida.

La sincronizacin entre las estaciones de la red se controla mediante las tramas de
sealizacin peridicas enviadas por el punto de acceso. Estas tramas contienen el
valor de reloj del punto de acceso en el momento de la transmisin, por lo que sirve
para comprobar la evolucin en la estacin receptora. La sincronizacin es necesaria
por varias razones relacionadas con los protocolos y esquemas de modulacin de las
conexiones inalmbricas.

5. Materiales.

La red inalmbrica deber contar con un equipo de red D-Link AirPlus Xtreme G
DWL-2100AP.

Figura. Descripcin tcnica de un equipo de red D-Link AirPlus Xtreme G DWL-2100AP
Cada ordenador deber contar con una tarjeta de red inalmbrica D-Link Airplus G
DWL-G122.

Figura. Descripcin tcnica de una tarjeta de red inalmbrica D-Link Airplus G DWL-G122
6. Procedimiento.

Para acceder a la configuracin del Access Point por primera vez, debemos
dirigirnos, para este ejemplo, a la pgina http://192.168.0.50/ (direccin por defecto)
e ingresar tanto usuario admin y su contrasea.

Modos de encriptacin de datos.

Con la encriptacin lo que se logra es proteger los datos para que no sean alterados,
es recomendable encriptar cuando se quiere proteger de ataques provenientes del
interior de la red. En un inicio vemos que la opcin de encriptacin est
deshabilitado.

Una vez habilitado la encriptacin se puede elegir si ser en modo HEX o ASCII as
como la cantidad de bits para la encriptacin

Estn disponibles los siguientes tipos de cifrado para su uso con las redes 802.11:

Cifrado WEP

Para el cifrado de los datos inalmbricos, el estndar 802.11 original defini la
privacidad equivalente por cable (WEP). Debido a la naturaleza de las redes
inalmbricas, la proteccin del acceso fsico a la red resulta difcil. A diferencia
de una red con cables donde se requiere una conexin fsica directa, cabe la
posibilidad de que cualquier usuario dentro del alcance de un punto de acceso
inalmbrico o un cliente inalmbrico pueda enviar y recibir tramas, as como
escuchar otras tramas que se envan, con lo que la interceptacin y el espionaje
remoto de tramas de red inalmbrica resultan muy sencillos.

WEP utiliza una clave compartida y secreta para cifrar los datos del nodo
emisor. El nodo receptor utiliza la misma clave WEP para descifrar los datos.
Para el modo de infraestructura, la clave WEP debe estar configurada en el
punto de acceso inalmbrico y en todos los clientes inalmbricos. Para el modo
Ad-Hoc, la clave WEP debe estar configurada en todos los clientes
inalmbricos.

Tal como se especifica en los estndares de IEEE 802.11, WEP utiliza una clave
secreta de 40 bits. La mayor parte del hardware inalmbrico para IEEE 802.11
tambin admite el uso de una clave WEP de 104 bits. Si su hardware admite
ambas, utilice una clave de 104 bits.

Eleccin de una clave WEP

La clave WEP debe ser una secuencia aleatoria de caracteres de teclado (letras
maysculas y minsculas, nmeros y signos de puntuacin) o dgitos
hexadecimales (nmeros del 0 al 9 y letras de la A a la F). Cuanto ms aleatoria
sea la clave WEP, ms seguro ser su uso.

Una clave WEP basada en una palabra (como un nombre de compaa en el caso
de una pequea empresa o el apellido si se trata de una red domstica) o en una
frase fcil de recordar se puede averiguar fcilmente. Despus de que el usuario
malintencionado haya determinado la clave WEP, puede descifrar las tramas
cifradas con WEP, cifrar tramas WEP correctamente y comenzar a atacar la red.

Aunque la clave WEP sea aleatoria, todava se puede averiguar si se recopila y
analiza una gran cantidad de datos cifrados con la misma clave. Por lo tanto, se
recomienda cambiar la clave WEP por una nueva secuencia aleatoria
peridicamente, por ejemplo, cada tres meses.


Cifrado WPA

IEEE 802.11i es un nuevo estndar que especifica mejoras en la seguridad de las
redes locales inalmbricas. El estndar 802.11i soluciona muchos de los
problemas de seguridad del estndar 802.11 original. Mientras se ratifica el
nuevo estndar IEEE 802.11i, los proveedores de productos inalmbricos han
acordado un estndar intermedio nter operable denominado WPA (acceso
protegido WI-FI).

Con WPA, el cifrado se realiza mediante TKIP (Protocolo de integridad de
claves temporales), que reemplaza WEP por un algoritmo de cifrado ms seguro.
A diferencia de WEP, TKIP proporciona la determinacin de una nica clave de
cifrado de unidifusin de inicio para cada autenticacin y el cambio
sincronizado de la clave de cifrado de unidifusin para cada trama. Debido a que
las claves TKIP se determinan automticamente, no es necesario configurar una
clave de cifrado para WPA.

Cifrado WPA2

WPA2 es una certificacin de producto que otorga WI-FI Alliance y certifica
que los equipos inalmbricos son compatibles con el estndar 802.11i.
WPA2 admite las caractersticas de seguridad obligatorias adicionales del
estndar 802.11i que no estn incluidos para productos que admitan WPA. Con
WPA2, el cifrado se realiza mediante AES (estndar de cifrado avanzado), que
tambin reemplaza WEP por un algoritmo de cifrado ms seguro. Al igual que
TKIP para WPA, AES proporciona la determinacin de una clave de cifrado de
unidifusin de inicio exclusiva para cada autenticacin y el cambio sincronizado
de la clave de cifrado de unidifusin para cada trama. Debido a que las claves
AES se determinan automticamente, no es necesario configurar una clave de
cifrado para WPA2. WPA2 es la forma ms eficaz de seguridad inalmbrica.
Modos de autentificacin de Access Point.

Para proteger los datos de ser vistos o alterados por personas fuera de la red.
Primero se puede hacer un filtrado en el cual se indica solamente las direcciones
MAC de las personas autorizadas.

Estn disponibles los siguientes tipos de autenticacin para utilizarlos con las redes
802.11:

Sistema Abierto.

La autenticacin de sistema abierto no es realmente una autenticacin, porque
todo lo que hace es identificar un nodo inalmbrico mediante su direccin de
hardware de adaptador inalmbrico. Una direccin de hardware es una direccin
asignada al adaptador de red durante su fabricacin y se utiliza para identificar la
direccin de origen y de destino de las tramas inalmbricas.

Para el modo de infraestructura, aunque algunos puntos de acceso inalmbricos
permiten configurar una lista de direcciones de hardware permitidas para la
autenticacin de sistema abierto, resulta bastante sencillo para un usuario
malintencionado capturar las tramas enviadas en la red inalmbrica para
determinar la direccin de hardware de los nodos inalmbricos permitidos y, a
continuacin, utilizar la direccin de hardware para realizar la autenticacin de
sistema abierto y unirse a su red inalmbrica.


Clave compartida.

La autenticacin de clave compartida comprueba que el cliente inalmbrico que
se va a unir a la red inalmbrica conoce una clave secreta. Durante el proceso de
autenticacin, el cliente inalmbrico demuestra que conoce la clave secreta sin
realmente enviarla. Para el modo de infraestructura, todos los clientes
inalmbricos y el punto de acceso inalmbrico utilizan la misma clave
compartida. Para el modo Ad-Hoc, todos los clientes inalmbricos de la red
inalmbrica Ad-Hoc utilizan la misma clave compartida.

IEEE 802.11X

El estndar IEEE 802.1X exige la autenticacin de un nodo de red para que
pueda comenzar a intercambiar datos con la red. Si se produce un error en el
proceso de autenticacin, se deniega el intercambio de tramas con la red.
Aunque este estndar se dise para las redes Ethernet inalmbricas, se ha
adaptado para su uso con 802.11. IEEE 802.1X utiliza EAP (Protocolo de
autenticacin extensible) y mtodos de autenticacin especficos denominados
tipos EAP para autenticar el nodo de red.

IEEE 802.1X proporciona una autenticacin mucho ms segura que el sistema
abierto o la clave compartida y la solucin recomendada para la autenticacin
inalmbrica de Windows XP es el uso de EAP-TLS (Transport Layer Security) y
certificados digitales para la autenticacin. Para utilizar la autenticacin EAP-
TLS para las conexiones inalmbricas, debe crear una infraestructura de
autenticacin que conste de un dominio de Active Directory, servidores
RADIUS (Servicio de usuario de acceso telefnico de autenticacin remota) y
entidades emisoras de certificados para emitir certificados a los servidores
RADIUS y los clientes inalmbricos. Esta infraestructura de autenticacin
resulta ms adecuada para grandes empresas y organizaciones empresariales,
pero no es prctica para una oficina domstica o de pequea empresa.

La solucin al uso de IEEE 802.1X y EAP-TLS para las pequeas y medianas
empresas es PEAP (EAP protegido) y el protocolo de autenticacin por desafo
mutuo de Microsoft, versin 2 (MS-CHAP v2) tipo EAP. Con PEAP-MS-CHAP
v2, se puede lograr un acceso inalmbrico seguro mediante la instalacin de un
certificado adquirido en un servidor RADIUS y utilizando credenciales de
nombre y contrasea para la autenticacin. Windows XP con SP2; Windows XP
con SP1, Windows Server 2003 y Windows 2000 con Service Pack 4 (SP4)
admiten PEAP-MS-CHAP v2.

WPA o WPA2 con clave previamente compartida.

Para una red domstica o de pequea empresa donde no se pueda realizar la
autenticacin 802.1X, WPA y WPA2 proporcionan un mtodo de autenticacin
de clave previamente compartida para redes inalmbricas en modo de
infraestructura. La clave previamente compartida se configura en el punto de
acceso inalmbrico y en cada cliente inalmbrico. La clave de cifrado WPA o
WPA2 inicial se deriva del proceso de autenticacin, que comprueba que tanto
el cliente inalmbrico como el punto de acceso inalmbrico estn configurados
con la misma clave previamente compartida. Cada clave de cifrado WPA o
WPA2 inicial es exclusiva.

La clave WPA o WPA2 previamente compartida debe ser una secuencia
aleatoria de caracteres de teclado (letras maysculas y minsculas, nmeros y
signos de puntuacin) de una longitud mnima de 20 caracteres o dgitos
hexadecimales (nmeros del 0 al 9 y letras de la A a la F) de una longitud
mnima de 24 dgitos hexadecimales. Cuanto ms aleatoria sea la clave WPA o
WPA2 previamente compartida, ms seguro ser su uso. A diferencia de la clave
WEP, la clave WPA o WPA2 previamente compartida no est sujeta a la
determinacin mediante la recopilacin de una gran cantidad de datos cifrados.
Por lo tanto, no es necesario cambiar la clave WPA o WPA2 previamente
compartida con tanta frecuencia.

Si se selecciona WPA-PSK se est a la espera de una palabra. Esta es visible.

Modos de funcionamiento del Access Point.

Access Point. Valor por defecto que enlaza la red cableada a la inalmbrica.

PtP Bridge. Se debe indicar la direccin MAC del enlace.

PtMP Bridge. Se tiene que especificar la direccin MAC de los Access Point a
enlazar.

AP Repeater. Se indica la direccin del Access Point hacia donde se va a
dirigir.

AP Client. Se debe especificar el SSID de la red a la cual va a pertenecer a
travs del Access Point as como el canal y el tipo de seguridad.

7. Anlisis de datos y resultados.

Configuracin de seguridad recomendada.

A continuacin se ofrece las configuraciones de seguridad recomendadas, ordenadas
de mayor a menor seguridad:

Para una red domstica o de pequea empresa que contenga un controlador de
dominio y un servidor RADIUS y admita WPA2, utilice WPA2 y la
autenticacin PEAP-MS-CHAP v2.

Para una red domstica o de pequea empresa que contenga un controlador de
dominio y un servidor RADIUS y admita WPA, utilice WPA y la autenticacin
PEAP-MS-CHAP v2.

Para una red domstica o de pequea empresa que no contenga un controlador
de dominio y un servidor RADIUS y admita WPA2, utilice WPA2 y la
autenticacin de clave previamente compartida.

Para una red domstica o de pequea empresa que no contenga un controlador
de dominio y un servidor RADIUS y admita WPA, utilice WPA y la
autenticacin de clave previamente compartida.

Para una red domstica o de pequea empresa que no contenga un controlador de
dominio y un servidor RADIUS y no admita WPA ni WPA2, utilice la autenticacin
de sistema abierto y WEP. No obstante, no se trata de una configuracin de
seguridad recomendada y slo se debe utilizar temporalmente cuando se efecte la
transicin a una red inalmbrica basada en WPA o WPA2.

A simple vista la eleccin de un sistema abierto en vez de la autenticacin de clave
compartida puede parecer contradictoria ya que la autenticacin de sistema abierto
no es realmente una autenticacin y la autenticacin de clave compartida requiere
conocer una clave secreta compartida. La autenticacin de clave compartida podra
ser un mtodo de autenticacin ms seguro que el sistema abierto, pero el uso de la
autenticacin de clave compartida convierte la comunicacin inalmbrica en menos
segura.

Para la mayora de las implementaciones, incluido Windows XP, la clave secreta de
autenticacin de clave compartida es la misma que la clave de cifrado WEP. El
proceso de autenticacin de clave compartida consta de dos mensajes: un mensaje
de desafo enviado por el autenticador y un mensaje de respuesta de desafo enviado
por el cliente inalmbrico que se est autenticando. Un usuario malintencionado que
capturara ambos mensajes podra utilizar mtodos de anlisis criptogrfico para
determinar la clave secreta de autenticacin de clave compartida y, por lo tanto, la
clave de cifrado WEP. Una vez averiguada la clave de cifrado WEP, el usuario
malintencionado tendra acceso completo a la red, como si no estuviera habilitado el
cifrado WEP. Por lo tanto, aunque la autenticacin de clave compartida es ms
segura que el sistema abierto para la autenticacin, debilita el cifrado WEP.

La desventaja de utilizar la autenticacin de sistema abierto es que cualquier usuario
se puede unir fcilmente a la red. Al unirse a la red, el usuario malintencionado
consume una de las conexiones inalmbricas disponibles. No obstante, sin la clave
de cifrado WEP, no puede enviar o interpretar las tramas inalmbricas recibidas que
estn cifradas.

Los puntos de acceso inalmbricos y Windows XP admiten la autenticacin de
sistema abierto. Una ventaja de utilizar la autenticacin de sistema abierto estriba en
que siempre est habilitada para los clientes inalmbricos de Windows XP. No es
necesario efectuar configuracin de autenticacin adicional.

8. Acotaciones.

Para proteger la red inalmbrica domstica o de pequea empresa en modo de
infraestructura, debe utilizar la autenticacin de clave previamente compartida
WPA2 con cifrado AES (recomendado), la autenticacin de clave previamente
compartida con cifrado TKIP (recomendado) o la autenticacin de sistema abierto y
cifrado WEP (no recomendado).

9. Conclusiones y recomendaciones.

La seguridad de IEEE 802.11 consta de cifrado y de autenticacin.
El cifrado se utiliza para cifrar o codificar, los datos de las tramas inalmbricas antes
de que se enven a la red inalmbrica.
Con la autenticacin se requiere que los clientes inalmbricos se autentiquen antes
de que se les permita unirse a la red inalmbrica.

10. Referencias

http://www.microsoft.com/spain/technet/recursos/articulos/wifisoho.mspx#ESK
AE
http://www.microsoft.com/latam/windowsxp/pro/biblioteca/planning/wirelesslan
/intro.asp
http://support.dlink.com/emulators/dwl2100ap/html/HomeWizard.html


Configuración AP (Peralta)

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Configuración AP (Peralta)

Cargado por

Copyright:

Formatos disponibles

Red inalmbrica con punto de acceso inalmbrico Peralta Torres, Carlos Javier

Red inalmbrica con punto de acceso inalmbrico

También podría gustarte