607 SeguridadredesWLAN

COLECCIN GUAS TCNICAS
www.enpresadigitala.net
Seguridad en redes WLAN

Conozca lo esencial para su empresa
Autores:
Izaskun Pellejero
Fernando Andreu
Amaia Lesta
Sociedad para la Promocin y Reconversin Industrial, s.a.
3
Prlogo
PRLOGO
Las redes Wi-Fi basadas en los estndares IEEE 802.11 b/g se han hecho muy
populares en los ltimos tiempos. Muchos usuarios han instalado redes Wi-Fi en
sus hogares, se ha multiplicado el nmero de hot-spots y numerosas organizaciones
han aadido puntos de acceso Wi-Fi a sus redes cableadas para proporcionar
a sus empleados un acceso ms sencillo a los datos y servicios corporativos.
Estas redes han proporcionado a los hackers nuevas oportunidades para conseguir
acceso no autorizado a los sistemas corporativos y sus datos, favorecido por las
caractersticas especficas tanto del medio de transmisin como del trfico que
por l circula.
Seguridad en redes
Estas limitaciones en la seguridad han conducido al desarrollo de nuevas soluciones

de seguridad alternativas a la inicialmente existente (WEP) para proteger a las
redes Wi-Fi y proporcionar a las organizaciones la garanta que necesitan para
sus sistemas y datos. El enorme inters que suscita, en general, el tema de la
seguridad y ms especficamente en el mbito de las redes Wi-Fi hacen que sea
un rea de gran actividad tanto investigadora como de aplicacin.
WLAN
4
Prlogo
Es en este marco de inters en el que la presente obra realiza una valiosa

aportacin para tcnicos responsables del diseo y gestin de estas redes.
Incluye, en primer lugar, la descripcin exhaustiva de los mecanismos de seguridad
existentes para este tipo de redes (PPTP, L2TP, WEP, WPA, IEEE802.11i, WPA2,
IPsec VPN, SSL, SSH, HTTPS) as como un estudio comparativo de los mismos;
en segundo lugar, contempla una serie de recomendaciones para el diseo de
las redes WI-FI en entornos corporativos y posibles implementaciones.
El conjunto constituye una excelente referencia tanto para quienes tienen que
enfrentarse en la actualidad a los problemas de securizacin de sus redes
Wi-Fi como para quienes tienen planes de instalar este tipo de redes en un futuro
prximo.
Seguridad en redes
D. Jose Luis Del Val

Decano de la Facultad de Ingeniera de la Universidad de Deusto
WLAN
5
Agradecimientos
AGRADECIMIENTOS
Este trabajo no podra haber sido realizado sin la ayuda de las instituciones que
lo han impulsado: el Gobierno Vasco (a travs de la Agencia de desarrollo
empresarial SPRI), el Ministerio de Industria, Turismo y Comercio (a travs del
Programa de Fomento de Investigacin PROFIT) y la iniciativa europea Eureka (a
travs del programa de I+D ITEA). Especialmente nos gustara destacar a Enpresa
Digitala por la oportunidad que nos ha brindado con esta publicacin, as como
al proyecto ITEA Mobilizing the Internet que nos ha permitido trabajar en estrecha
colaboracin con la empresa EADS. Sin estos apoyos, sin duda, hoy no tendran
en sus manos esta gua.
Los autores tampoco podramos haber realizado esta gua sin contar con la
apuesta de Euskaltel por la generacin de conocimiento, la investigacin y desarrollo
Seguridad en redes
tecnolgico, como pilar fundamental de su estrategia de disponer de una oferta

competitiva e innovadora en el mercado. Esta estrategia produce sinergias
positivas que transcienden el mercado y nuestra organizacin, y se transmite
aguas arriba en la cadena de valor, permitiendo la colaboracin en esta gua de
la Universidad del Pas Vasco y de la Universidad de Deusto, a quienes nos gustara
finalmente agradecer su inestimable aportacin.
WLAN
6
00
ndice
1 RESUMEN EJECUTIVO..............................................................7
2 INTRODUCCIN.......................................................................11
3 DEFINICIONES TILES..................................................................12
4 MECANISMOS DE SEGURIDAD EN REDES WLAN............................16
4.1 Redes WLAN: Descripcin y funcionamiento bsico................................16
4.2 Mecanismos de seguridad en redes WLAN...........................................18
4.3 Comparativa entre diferentes mecanismos de seguridad.......................21
4.3.1 Autenticacin...........................................................................22
4.3.2 Cifrado....................................................................................25
5 RECOMENDACIONES DE DISEO PARA ENTORNOS

CORPORATIVOS......................................................................29
5.1 Normas de diseo bsicas...................................................................29
5.1.1 Recomendaciones de ingeniera social.........................................29
5.1.2 Recomendaciones de red..........................................................30
5.1.4 Recomendaciones de proteccin fsica de la seal....................35

5.2 Posibles implementaciones.................................................................35
5.2.1 WEP.........................................................................................36
5.2.2 WPA.................................................................................38
5.2.4 IEEE 802.11i..........................................................................41

5.2.5 IPSec VPN..........................................................................42
6 CONCLUSIONES........................................................................46
7 ACRNIMOS..............................................................................50
8 REFERENCIAS................................................................................53
WLAN
5.2.3 Combinacin de WEP y WPA.....................................................40
Seguridad en redes
5.1.3 Recomendaciones de seguridad..............................................32
7
01
Resumen Ejecutivo
1 RESUMEN EJECUTIVO
Segn una encuesta realizada por Intel en mayo de 2004, los empleados se
encuentran ms del 32% de su tiempo fuera de su puesto de trabajo, estimndose
que esta cifra se elevar al 42% en los prximos aos.
En este escenario de movilidad, las redes WLAN se han convertido en un elemento
clave en el aumento de la productividad de las empresas ofreciendo ventajas
como la movilidad y la flexibilidad de los empleados. Por ello, en la actualidad, un
nmero elevado de empresas puede encontrarse analizando la viabilidad de realizar
un proceso de actualizacin de sus redes corporativas, introduciendo las redes
inalmbricas WLAN como complemento a sus redes de datos cableadas o de
rea local (tambin conocidas como redes LAN).
WLAN
Por lo tanto, la seguridad es un aspecto crtico en una red WLAN, especialmente

en entornos corporativos debido a la confidencialidad de la informacin utilizada
en los mismos.
Seguridad en redes
Sin embargo, las redes WLAN conllevan una exposicin a ciertos riesgos que
deben ser resueltos de antemano. Estos riesgos provienen del hecho de que
tanto el medio de transmisin, el aire, como el trfico enviado pueden ser
accedidos por terceros, incluso desde fuera del lmite fsico de la empresa. Estos
riesgos se pueden limitar a obtener informacin de la red (son los llamados
ataques pasivos) o pueden implicar la modificacin de datos, la creacin de falsos
flujos en la transmisin de datos e, incluso, colapsar los servicios que puede
prestar la red (conocidos como ataques activos).
8
01
Resumen Ejecutivo
Recursos de red
corporativos
WLAN corporativa
AP
Usuario
Atacante
Ilustracin 1 La seguridad en una red WLAN es crtica en un entorno corporativo
Como primera medida de seguridad se recomienda que la red WLAN se encuentre

fsicamente separada (mediante Firewalls) de la red LAN de la empresa. As
mismo, debido a la creciente necesidad de movilidad por los empleados nmadas
o itinerantes, se recomienda que el mecanismo de seguridad seleccionado para
entorno corporativo sea compatible (en ltima instancia el mismo) con el que
utilicen los empleados fuera del lmite fsico de su empresa.
WLAN
Esta gua analiza en detalle los mecanismos de seguridad para redes WLAN, que
se resumen a continuacin, y recomienda "buenas prcticas" de implementacin.
Seguridad en redes
Los mecanismos de seguridad propios de las redes inalmbricas WLAN eran

vulnerables en un primer estadio de la tecnologa, tal y como han demostrado
numerosos estudios. En los ltimos aos, se ha realizado un trabajo intenso en
esta rea, fruto del cual, en la actualidad si se requiere por la aplicacin
empresarial, el nivel de seguridad de las redes inalmbricas WLAN es equivalente
al de las redes cableadas.
9
01
Resumen Ejecutivo
En la actualidad existen diferentes mecanismos de seguridad para redes WLAN,

los cuales estn evolucionando continuamente para adaptarse a las necesidades
de seguridad de los usuarios mviles. Estas necesidades de seguridad vienen a
su vez impuestas por las vulnerabilidades existentes en los mecanismos de
seguridad de las redes WLAN (mecanismos como WEP WPA) as como por
la diversidad de ataques conocidos.
Las conclusiones del anlisis de los diferentes mtodos de seguridad y su
respuesta a los riesgos pueden ser resumidas de la siguiente manera:
Si se quiere ofrecer la misma solucin de seguridad tanto en entorno empresarial
como para los empleados fuera del lmite fsico de la oficina, la solucin IPSec
VPN es altamente recomendada as como el uso de firewalls que filtren el
trfico de la red de la empresa.
WLAN
En el caso de desecharse la opcin de emplear IEEE 802.11i, WPA es el

mecanismo a utilizar. El inconveniente de este mecanismo es que su algoritmo
de cifrado ha sido vulnerado. No obstante aporta mejoras importantes con
respecto a WEP:
- Aunque el algoritmo de cifrado haya sido vulnerado es ms complicado
realizar ataques que comprometan la informacin cifrada.
Seguridad en redes
Se pueden combinar el uso de IPSec VPN y soluciones especficas para redes

WLAN. En este caso el mecanismo IEEE 802.11i es el nico mecanismo
especfico para redes WLAN cuyo algoritmo de cifrado no ha sido vulnerado,
por lo que puede ser considerado como un mecanismo seguro para entornos
corporativos. El inconveniente de esta solucin, es que en el caso de algunos
fabricantes es necesario cambiar los puntos de acceso previamente instalados
por unos puntos de acceso que soporten IEEE 802.11i. Adems, actualmente
los dispositivos PDA existentes no son compatibles con el algoritmo de cifrado
AES empleado por el mecanismo IEEE 802.11i por falta de capacidad de
procesado.
10
01
Resumen Ejecutivo
- Adems, WPA, al igual que IEEE 802.11i, ofrece gestin dinmica de las
claves.
Tanto IEEE 802.11i como WPA utilizan autenticacin basada en la combinacin
de los protocolos IEEE 802.1x y EAP. Dentro de los numerosos tipos de EAP
existentes, los ms seguros y flexibles son:
- EAP-TLS en el caso de seleccionar autenticacin en la parte cliente basada
en certificado.
- EAP-TTLS y PEAP si se requiere autenticacin mediante nombre de
usuario/contrasea. PEAP es compatible con las soluciones de Microsoft
pero EAP-TTLS se puede utilizar con mayor nmero de mecanismos de
autenticacin.
No obstante, en el caso de que no sea posible la utilizacin de IEEE 802.11i
ni WPA, siempre es recomendable utilizar WEP antes que transmitir la
informacin sin cifrar.
Seguridad en redes
WLAN
11
02
Introduccin
2 INTRODUCCIN
Las redes inalmbricas se diferencian de las redes cableadas, en la naturaleza
del medio que emplean para trasmitir sus datos, es decir, el aire. Las redes
WLAN, tambin conocidas como Wi-Fi (en esta gua se har referencia a ellas
como redes WLAN), se han convertido en objetivos interesantes de posibles
ataques porque tanto el medio de transmisin (el aire) como el trfico enviado
sobre el mismo pueden ser accesibles. Los problemas de seguridad son ms
relevantes en entornos corporativos por la confidencialidad de la informacin
utilizada en los mismos, dado que sta puede ser accesible fuera del lmite fsico
de la organizacin. Por esta razn las redes inalmbricas necesitan mecanismos
de seguridad adicionales para garantizar un nivel adecuado de seguridad.
Para cada escenario de uso se proponen diferentes arquitecturas y niveles de

seguridad obtenidos aplicando las mismas.
WLAN
Esta gua consta de tres grandes bloques: se comienza con un apartado de

definiciones tiles, en el cual se realiza un resumen de los trminos utilizados
a lo largo de la gua. A continuacin se comparan los diferentes mecanismos de
seguridad para redes WLAN existentes y se realiza una comparativa de su
comportamiento frente a ataques. Por ltimo se realizan recomendaciones de
diseo para entornos corporativos. Se proponen soluciones basadas en WEP,
WPA, IEEE 802.11i, e IPSec VPN para su aplicacin en entornos corporativos.
Seguridad en redes
Esta gua tecnolgica recoge recomendaciones sobre los mecanismos de

seguridad a utilizar para el diseo de redes inalmbricas WLAN en entornos
corporativos. As mismo, y con el objetivo de aclarar el porqu de los diferentes
mecanismos de seguridad, se realiza un resumen de las principales caractersticas
de los mtodos y mecanismos de seguridad implementados hasta la fecha para
protegerse de los mismos.
12
03
Definiciones tiles
3 DEFINICIONES TILES
Con objeto de facilitar la lectura y familiarizar al lector, se presenta una serie de
breves definiciones de conceptos que se emplean a lo largo de la gua.
Punto de acceso inalmbrico
Dispositivo que se comunica con adaptadores inalmbricos en ordenadores
o PDAs mediante seales de radio y acta como puente entre stos y la red
troncal. El AP es el encargado de coordinar la comunicacin entre los entre
nodos inalmbricos que estn conectados a el.
Autenticacin
Proceso mediante el cual se comprueba la identidad de un usuario o un equipo
en la red.
WEP (Wired Equivalent Privacy)

Primer mecanismo de seguridad que se implement bajo el estndar de redes
inalmbricas IEEE 802.11x para codificar los datos que se transfieren a travs
de una red inalmbrica.
WLAN
VPN (Virtual Private Network)

Red privada que permite conectar de forma segura a las empresas con otras
oficinas de su organizacin, empleados a distancia, personas con mviles,
proveedores, etc.
Seguridad en redes
Cifrado
Tratamiento de un conjunto de datos, contenidos o no en un paquete, a fin de
impedir que nadie excepto el destinatario de los mismos pueda leerlos. Suele
emplearse para ello un algoritmo de cifrado y una clave de cifrado.
13
03
Definiciones tiles
WPA
Estndar desarrollado por la Wi-Fi Alliance, basado en un borrador del estndar
IEEE 802.11i, para mejorar el nivel de codificacin existente en WEP as como
para incorporar un mtodo de autenticacin.
IEEE 802.11i
Estndar del IEEE que define la encriptacin y la autenticacin para complementar,
completar y mejorar la seguridad en redes WLAN proporcionada por WEP.
WPA2
Implementacin aprobada por Wi-Fi Alliance interoperable con IEEE 802.11i.
El grupo WPA2 de la Wi-Fi Alliance es el grupo de certificacin del estndar
IEEE 802.11, para lo cual se basa en las condiciones obligatorias del estndar.
IEEE 802.1x
Estndar de nivel 2 para el control de acceso a red. Mediante el empleo de
puertos ofrece un marco para una autenticacin superior (basada en una
pareja identificador de usuario y contrasea certificados digitales) y distribucin
de claves de cifrado.
Marco de estndares abiertos para asegurar comunicaciones privadas sobre

redes IP.
SSL (Secure Sockets Layer)
Estndar que reside entre la capa de redTCP/IP y aplicacin de la pila de
protocolos OSI y permite realizar transacciones seguras entre mquinas.
WLAN
IPSec
Seguridad en redes
EAP (Extensible Authentication Protocol)

Protocolo de autenticacin para llevar a cabo tareas de AAA que define las
credenciales necesarias para la autenticacin de usuarios. En redes WLAN
es utilizado junto con el protocolo IEEE 802.1x en la negociacin de la conexin
entre el punto de acceso y el usuario de la red WLAN.
14
03
Definiciones tiles
SSL VPN (Secure Sockets Layer Virtual Private Network)

Redes privadas virtuales que se establecen empleando el protocolo de la capa
de transporte SSL. Su principal ventaja sobre las otras soluciones VPN existentes
(como IPSec VPN) es que no hace falta tener instalado ningn cliente en el
terminal de usuario para establecer la conexin segura.
SSH (Secure Shell)
Protocolo que sirve para acceder a mquinas remotas usando tcnicas de
cifrado para que ningn atacante pueda descubrir el usuario y contrasea de
la conexin ni lo que se escribe durante toda la sesin.
HTTPS (HyperText Transfer Protocol Secure)
Versin segura del protocolo HTTP. Utiliza un cifrado basado en Secure Socket
Layer (SSL) para crear un canal cifrado ms apropiado para el trfico de
informacin sensible que el protocolo HTTP.
Espionaje/Surveillance
Ataque que consiste en observar el entorno para recopilar informacin
relacionada con la topologa de la red. Esta informacin puede ser empleada
en posteriores ataques.
Puntos de acceso no autorizados (Rogue APs)

Puntos de acceso inalmbrico que se conectan sin autorizacin a una red
WLAN
Ataques de descubrimiento de contrasea

Este tipo de ataque trata de descubrir la contrasea que un usuario proporciona
para acceder al sistema o descubrir claves de cifrado de la informacin.
Seguridad en redes
Escuchas/Sniffing/Eavesdropping
Este ataque tiene como objetivo final monitorizar la red para capturar informacin
sensible (por ejemplo, la direccin MAC IP origen y destino, identificadores
de usuario, contraseas, clave WEP, etc) como un paso previo a ataques
posteriores. Un ejemplo de ataque derivado de la realizacin de escuchas es
el wardriving.
15
03
Definiciones tiles
WLAN existente. Estos puntos de acceso no son gestionados por los

administradores de la red WLAN y es posible que no se ajusten a las polticas
de seguridad de la red.
Spoofing
Ataque que consiste en emplear un terminal cliente al que se han asociado
validadores estticos (por ejemplo, la direccin IP) de una red WLAN para
suplantar la identidad de algn miembro de la comunicacin. Ataques derivados
de l son los ataques de secuestro de sesiones y Man in the Middle.
Hombre en el medio (Man in the Middle)
El ataque de Hombre en el Medio, tambin conocido como Man in the Middle,
se sirve del spoofing para interceptar y selectivamente modificar los datos de
la comunicacin para suplantar la identidad de una de las entidades implicadas
en la comunicacin.
Secuestro de sesiones (Hijacking)
Denegacin de servicio (DoS)

La denegacin de servicio tiene como objetivo inutilizar la red para que otros
usuarios no puedan acceder a ella.
Seguridad en redes
El secuestro de sesiones o hijacking es una amenaza de seguridad que se vale

del spoofing, pero sta consiste en tomar una conexin existente entre dos
computadores. Tras monitorizar la red el atacante puede generar trfico que
parezca venir de una de las partes envueltas en la comunicacin, robando la
sesin de los individuos envueltos.
WLAN
16
04
Mecanismos de seguridad en redes WLAN
MECANISMOS DE SEGURIDAD EN REDES WLAN
Antes de comenzar con el anlisis de los diferentes mecanismos de seguridad

de las redes WLAN, se realiza una breve descripcin de las redes WLAN y de
su funcionamiento bsico.
4.1 REDES WLAN: DESCRIPCIN Y FUNCIONAMIENTO BSICO

Una red WLAN es aquella en la que una serie de dispositivos (PCs, estaciones
de trabajo, impresoras, servidores, etc.) se comunican entre s en zonas
geogrficas limitadas sin necesidad de tendido de cable entre ellos.
Las redes inalmbricas de rea local son un sistema de comunicacin de datos

flexible, muy utilizado como alternativa o complemento a la LAN cableada o como
una extensin de sta. Respecto a la red cableada, la red inalmbrica ofrece las
siguientes ventajas:
Flexibilidad: Permite llegar donde el cable no puede. Las redes WLAN aportan
a las organizaciones flexibilidad para que sus empleados trabajen en edificios
diferentes, reorganizar departamentos fcilmente, una vez que los puntos de
WLAN
Movilidad: Informacin en tiempo real en cualquier lugar de la organizacin o

empresa para todo usuario de la red. Esta movilidad permite una productividad
y oportunidad de servicio no proporcionada por las redes cableadas.
Seguridad en redes
La tecnologa inalmbrica WLAN se est desarrollando con rapidez ya que ofrece

movilidad al usuario y requiere una instalacin muy sencilla, permitiendo a usuarios
de terminales porttiles y trabajadores nmadas o itinerantes acceder a redes
de informacin con rapidez y flexibilidad.
17
04
acceso estn situados estratgicamente en su edificio los usuarios simplemente

deben introducir un adaptador en su ordenador y ya estn conectados con
libertad de movimiento.
Adaptabilidad: El cambio de topologa de red es sencillo y trata igual a pequeas
y grandes redes. Pudindose ampliar o mejorar con gran facilidad una red
existente.
Reduccin de costes: La instalacin de una red inalmbrica es mucho ms
barata que la cableada cuando mayor sea la superficie a cubrir. Con la sencillez
y flexibilidad de las redes WLAN las organizaciones pueden ahorrar costes de
gestin de red relacionados con la adicin, movimiento y cambio garantizando
un corto perodo de amortizacin.
Facilidad de instalacin: Evita obras para tirar cable por muros y techos.
Mayor productividad: Las redes WLAN permiten al empleado trabajar fuera
del puesto de trabajo.
El punto de acceso (AP) es el elemento que tiene la capacidad de gestionar

todo el trfico de las estaciones inalmbricas y que puede comunicarse con
otras celdas o redes. Es a todos los efectos un bridge que comunica los equipos
WLAN
Las estaciones inalmbricas son terminales cliente que cuentan con adaptadores
que realizan las funciones de las tarjetas de red ethernet, adaptando las tramas
ethernet que genera el terminal, a las tramas del estndar inalmbrico y
viceversa, posibilitando la transmisin transparente de la informacin. Estos
adaptadores pueden estar integrados en el propio terminal cliente o, en caso
contrario, tratarse de una tarjeta externa.
Seguridad en redes
El elemento fundamental de la arquitectura de las redes IEEE 802.11 es la celda,

la cual se puede definir como el rea geogrfica en la cual una serie de dispositivos
se interconectan entre s por un medio areo. En general esta celda estar
compuesta por estaciones y un nico punto de acceso inalmbrico.
18
04
de su celda de cobertura entre s y con otras redes a las cuales estuviese

conectado, haciendo de puente entre las redes cableadas y las inalmbricas.
Adems posee funcionalidades para la asignacin de recursos, mediante el
uso de tramas "baliza", asignando un canal a las estaciones que se asocian
al AP.
INTERNET
Punto de acceso WLAN
Estacin
Inhalmbrica
En la Ilustracin 2 se muestra el esquema bsico de la arquitectura de una red WLAN.
4.2 MECANISMOS DE SEGURIDAD EN REDES WLAN
Ataques Pasivos. El principal objetivo del atacante es obtener informacin.

Estos ataques suponen un primer paso para ataques posteriores. Algunos
ejemplos de este tipo de ataques seran el espionaje, escuchas, wardriving y
los ataques para el descubrimiento de contraseas.
WLAN
El primer paso para asegurar una red WLAN, es conocer cules son los ataques
que este tipo de redes pueden sufrir. stos pueden ser divididos en dos grandes
grupos:
Seguridad en redes
Usuario
19
04
Ataques Activos. Estos ataques implican la modificacin en el flujo de datos

o la creacin de falsos flujos en la transmisin de datos. Pueden tener dos
objetivos diferentes: pretender ser alguien que en realidad no se es o colapsar
los servicios que puede prestar la red. Algunos ejemplos de este tipo de ataques
son el spoofing, la instalacin de puntos de acceso no autorizados o Rogue
APs, el ataque de Hombre en el medio (Man In The Middle), el secuestro de
sesiones (Hijacking) y la denegacin de servicio (DOS).
No obstante, al igual que son numerosos los ataques a redes WLAN existentes,
tambin lo son los mecanismos de seguridad que se pueden aplicar para
proteger los mismos. Se debe seleccionar aquel que presente el nivel de seguridad
exigida, el tipo de servicio deseado y el coste de gestin y mantenimiento de las
soluciones adoptadas. Adems, es importante resaltar que los mecanismos de
seguridad para redes WLAN estn evolucionando continuamente para adaptarse
a las necesidades de seguridad de los usuarios.
IEEE 802.11i
Estndar que define el cifrado y la autentificacin para complementar, completar
y mejorar la seguridad en redes WLAN proporcionada por WEP.
WLAN
WPA (Wi-Fi Protected Access)

Estndar desarrollado por la Wi-Fi Alliance, basado en un borrador del estndar
IEEE 802.11i, para mejorar el nivel de cifrado existente en WEP e incorporar
adems un mtodo de autenticacin.
Seguridad en redes
El segundo paso es el conocimiento de los mecanismos de seguridad aplicables

en redes WLAN, as como un anlisis comparativo de aquellos con mayor
aplicabilidad en este tipo de redes:
WEP (Wired Equivalent Privacy)
Fue el primer mecanismo de seguridad que se implement bajo el estndar
de redes inalmbricas IEEE 802.11 para cifrar los datos que se transfieren
a travs de una red inalmbrica. Es un mecanismo de seguridad bsico del
que han sido demostradas numerosas vulnerabilidades.
20
04
WPA2 (Wi-Fi Protected Access v2)

Es la implementacin aprobada por Wi-Fi Alliance interoperable con IEEE
802.11i. El grupo WPA2 de Wi-Fi Alliance es el grupo de certificacin del
estndar IEEE 802.11i, para lo cual se basa en las condiciones obligatorias
del mismo. En funcin de la configuracin de un sistema WPA2 su
comportamiento ser similar a la de un sistema WPA o un sistema IEEE
802.11i.
La evolucin histrica de estos mecanismos se muestra en la siguiente figura:
2000
WEP
2001
2002
2003
WPA
2004
WPA2
IEEE802.11i
Ilustracin 3 Evolucin de los mecanismos de seguridad en redes WLAN
WLAN
Adicionalmente, es posible emplear en redes WLAN soluciones de seguridad ya

empleadas en otros tipos de redes (cableada o inalmbrica). As, por ejemplo,
mecanismos de seguridad como SSH, HTTPS, SSL, IPSec VPN, PPTP VPN y
L2TP VPN son aplicables no slo a redes WLAN sino tambin a otro tipos de
redes.
Seguridad en redes
El funcionamiento bsico de estos mecanismos se basa en el cifrado de la

informacin de usuario en el interfaz aire (entre el terminal de usuario y el punto
de acceso WLAN). Adems, todos excepto WEP, implican autenticacin de
usuario. En el caso del mecanismo WEP la nica autenticacin que se realiza
es la autenticacin de terminal, pero no contempla ningn otro modo de
autenticacin de usuarios ni de punto de acceso.
21
04
Los protocolos SSL, HTTPS y SSH, no obstante, slo permiten asegurar el trfico
generado por cierto tipo de aplicaciones, por lo que el estudio de estos protocolos
queda fuera del mbito de anlisis de esta gua. As, por ejemplo, el uso conjunto
de SSL y HTTPS slo permite asegurar la comunicacin entre dos mquinas, por
ejemplo, un terminal de usuario y un servidor web de un banco, protegiendo el
contenido de las transacciones entre ambos. En el caso de SSH, este protocolo
del nivel de aplicacin emplea tcnicas de cifrado para permitir el acceso a
mquinas remotas, la copia y el paso de datos de forma segura a travs de un
canal SSH, as como la gestin de claves RSA (Rivest, Shamir y Adelman).
En cuanto a las diferentes soluciones de seguridad para el acceso corporativo
basadas en la creacin de VPNs (redes privadas virtuales), en todas ellas esta
solucin est formada por un cliente VPN instalado en el terminal de usuario y
un concentrador VPN situado en el borde de la red empresarial. Este tipo de
solucin realiza un robusto cifrado del trfico generado y recibido por los empleados
desde y hacia las redes WLAN es un trfico.
Una vez conocidos los diferentes mecanismos de seguridad existentes en redes

WLAN, se realiza un anlisis comparativo de aquellos con mayor aplicabilidad en
redes WLAN.
Con este propsito, en la Tabla 1 se resumen las principales caractersticas de
aquellos mecanismos desarrollados especficamente para dotar de seguridad a
WLAN
4.3 COMPARATIVA ENTRE DIFERENTES MECANISMOS DE

SEGURIDAD
Seguridad en redes
Dentro de las diferentes soluciones VPN existentes, las soluciones a nivel de

enlace (L2TP, PPTP,) implican la necesidad de que el equipamiento (routers,
puntos de acceso, clientes inalmbricos, etc.) soporte protocolos especficos,
lo que hace de estas soluciones una alternativa compleja de implementar. Las
soluciones VPN basadas en IPSec (a nivel de red), son una opcin ms sencilla
de implementar, bien conocida y probada y se considera como un mecanismo
muy robusto de seguridad de la red.
22
04
redes WLAN, como son WEP, WPA, IEEE 802.11i, as como de las soluciones
VPN basadas en la tecnologa IPSec.
Los parmetros seleccionados para llevar a cabo la comparativa de los distintos
mecanismos de seguridad bajo estudio son por un lado parmetros relacionados
con la autenticacin y por otro lado parmetros relacionados con el cifrado, los
cuales se detallan en los siguientes apartados.
WEP
Autenticacin
WPA
802.11i
IPsec VPN
Autenticacin
WEP
802.1X + EAP
802.1X + EAP
IKE de mquina, X-AUTH de usuario
Pre-autenticacin
No
No
802.1X (EAPOL)
Negociacin del cifrado
No
S (DES, 3DES, AES)
Cifrado
RC4 40-bit o 104-bit TKIP: RC4 128-bit
CCMP: AES 128-bit
ESP: DES 56-bit, 3DES 168-bit,

AES 168, 128, 192, 256
Vector de inicializacin
24 bits
48 bits
48 bits
DES-CBC 8 bytes
Integridad de la cabecera No
MIC
CCM
AH
Integridad de los datos
CRC-32
MIC
CCM
AH/ESP
Proteccin de respuesta
No
Fuerza secuencia de IV
Fuerza secuencia de IV
Gestin de claves
No
Basada en EAP
Basada en EAP
IKE (Diffie-Hellman)
Distribucin de clave
Manual
802.1X (EAP)
802.1X (EAP)
Diffie-Hellman
Clave asignada a:
Red
Paquete, sesin y usuario
Paquete, sesin y usuario
Usuario
Clave por paquete
Concatenacin de IV Mezclado TKIP
No necesario
ESP
Seguridad ad-hoc
No
S (IBSS)
No
Cifrado
No
Tabla 1 Comparativa: WEP, WPA, IEEE 802.11i e IPSec VPN
4.3.1 Autenticacin
Por un lado, la autenticacin en WPA e IEEE 802.11i se basa en la combinacin

del estndar IEEE 802.1x y el Protocolo de Autenticacin Extendida (EAP). La
utilizacin conjunta de ambos permite llevar a cabo la autenticacin mutua extremo
WLAN
En cuanto a la autenticacin, en el caso de la autenticacin WEP, el punto de

acceso se limita a aceptar nicamente el trfico procedente de terminales de
usuario con la clave de cifrado correcta. La autenticacin del resto de mecanismos
es ms completa y robusta.
Seguridad en redes
Otros
23
04
a extremo entre el usuario y el servidor de autenticacin de la red de manera

centralizada, as como generar claves de cifrado y su distribucin.
El estndar IEEE 802.1x es un estndar para el control de acceso a red de nivel
2 basado en puertos que ofrece un marco para una autenticacin superior
(basada en una pareja identificador de usuario y contrasea o certificados digitales)
y distribucin de claves de cifrado. Pero, IEEE 802.1x no es una alternativa al
cifrado, por lo que puede y debe ser usado junto a una tcnica de cifrado mediante
el correspondiente algoritmo de cifrado.
Por otro lado, IEEE 802.1x establece una capa o nivel entre la capa de acceso
y los diferentes algoritmos de autenticacin que existen hoy en da. IEEE 802.1x
traduce las tramas enviadas por un algoritmo de autenticacin en el formato
necesario para que estas sean entendidas por el sistema de autenticacin que
utilice la red. Por lo tanto, IEEE 802.1x no es por si mismo un mtodo de
autenticacin y debe emplearse de forma conjunta con protocolos de autenticacin
para llevar a cabo la verificacin de las credenciales de usuario, este protocolo
puede ser cualquier tipo de EAP, as como la generacin de las claves de cifrado.
WLAN
resumen de las caractersticas ms importantes de los tipos de EAP ms utilizados

(Tabla 2).
Seguridad en redes
Por su parte, el echo de utilizar EAP de forma conjunta con IEEE 802.1x, permite
que se puedan emplear mltiples esquemas de autenticacin entre los terminales
de usuario y la red, entre los que se incluyen tarjetas de identificacin, Kerberos,
RADIUS (Remote Dial-In User Service), contraseas de un solo uso (OTP),
autenticacin por clave pblica mediante tarjetas inteligentes, certificados digitales
y otros. Segn el tipo de EAP seleccionado las credenciales necesarias para llevar
a cabo la autenticacin sern diferentes. Adems, EAP permite la generacin,
distribucin y gestin de claves dinmicas. A continuacin se muestra una tabla
24
04
EAP
Propietario Autenticacin Autenticacin Generacin de

del servidor
de cliente claves dinmica
Seguridad Re-autenticacin Tunelado Compatible

de las
rpida
con WPA
credenciales
Riesgos no
mitigados
No
No
No
No
Exposicin de identidad
Ataque de diccionario
Man in the middle
Secuestro de sesiones
Password hash Password hash S
Dbil
No
No
No
X.509 certificate X.509 certificate S
Fuerte
No
TTLS No
X.509 certificate PAP, CHAP, MS- S

CHAPv2, any
EAP
Fuerte
Fuerte
Pre-shared key / Pre-shared key / S

Key derivation Key derivation
Fuerte
No
No independencia de la
sesin
Ataques de 64 bits
No
No
Password hash No
MD5
LEAP S
TLS
PEAP No
SIM
No
X.509 certificate Cualquier EAP
Tabla 2 Sntesis EAP

Por otro lado, las soluciones de VPN basadas en IPSec, por su parte, emplean
IKE para llevar a cabo la autenticacin de mquina y X-AUTH para la autenticacin
de usuario.
WLAN
De forma independiente a estos mecanismos de seguridad, tambin es posible

llevar a cabo la autenticacin de los usuarios basndose en la direccin fsica del
terminal empleado por ellos, esta solucin es conocida como autenticacin por
direccin MAC. Para ello, el acceso a la red es restringido a los clientes cuyas
direcciones MAC estn contenidas en la tabla Listas de Control de Acceso ACL
Seguridad en redes
Adems, tal y como se muestra en la tabla, slo IEEE 802.11i y soluciones VPN
basadas en IPSec emplean pre-autenticacin. Esta pre-autenticacin permite que
los terminales de usuario puedan iniciar procesos de autenticacin con puntos
de acceso prximos antes de completar el proceso de autenticacin con el punto
de acceso seleccionado. Por lo tanto, permite a un terminal de usuario autenticarse
simultneamente con diferentes puntos de acceso. En el caso de IEEE 802.11i
se establecen conexiones especficas mediante puertos virtuales (similares a los
que se estableceran en las LAN cableadas) para enviar el trfico de preautenticacin entre el terminal de usuario y el punto de acceso mediante el
protocolo EAPOL (EAP over LAN). Adems de los beneficios que la pre-autenticacin
aporta en trminos de seguridad, se consiguen tiempos de latencia ms bajos
en situaciones donde los empleados son mviles y reducciones de las prdidas
de conectividad con la red, lo cual resulta interesante para aplicaciones VoIP.
25
04
del sistema, la cual puede estar distribuida en los diferentes puntos de acceso
o centralizada en un servidor.
Es importante destacar que este mecanismo no autentica a usuarios en si mismo,
si no al interfaz del terminal que se conecta a la red a travs de su direccin
fsica, conocida como direccin MAC.
Adems, otro de los inconvenientes de este mecanismo de autenticacin es que
puede ser vulnerado con facilidad. Tal y como se ha demostrado en numerosos
estudios, es relativamente sencillo asignar una MAC incluida en la ACL a un
interfaz, lo que se conoce como MAC spoofing. Muchas tarjetas permiten cambiar
su direccin MAC, ya se trate slo del valor que su controlador lee y almacena
en memoria, o bien reprogramando la propia tarjeta. Adicionalmente, existen
algunas utilidades que proporcionan funciones y recursos extra y que permiten,
por ejemplo, obtener una MAC de determinado fabricante o capturar el trfico
de terminales conectados a la red para obtener su MAC.
Por ltimo, esta solucin de autenticacin puede resultar compleja de gestionar
si el nmero de terminales aumenta, por lo que no es una solucin escalable
aconsejable para grandes empresas.
En IEEE 802.11i/WPA2 y soluciones VPN basadas en IPSec, el cifrado se basa

en el empleo del algoritmo AES, mucho ms complejo y que no sufre de los
problemas asociados con RC4 (algoritmo WEP).
WLAN
En cuanto al algoritmo de cifrado, tanto WEP como WPA emplean el algoritmo

RC4, el cual ha sido demostrado que es fcilmente vulnerable por cierto tipo de
ataques. Entre las principales vulnerabilidades del algoritmo destacan la gestin
manual de claves estticas, la corta longitud de las claves secretas en el caso
del mecanismo WEP (64 bits o 128 bits), la corta longitud del vector de inicializacin
(IV) y una deficiente aleatorizacin de bits. Este es el punto dbil de ambos
mecanismos, pero la diferencia en trminos de cifrado entre WEP y WPA radica
en la gestin de claves y el algoritmo de inicializacin, conceptos que se explican
en prximos prrafos.
Seguridad en redes
4.3.2 Cifrado
26
04
En cuanto a las claves de cifrado, en el mecanismo de seguridad WEP las claves

de cifrado son asignadas estticamente y de forma manual. Adems, la clave
de cifrado WEP es compartida por todos los usuarios del punto de acceso, por
lo que si se compromete la clave WEP todas las comunicaciones de los usuarios
podran ser atacadas. Adicionalmente, la modificacin de la clave WEP tiene que
ser realizada manualmente por todos los usuarios, puesto que no existe ningn
mtodo de distribucin y gestin de claves WEP. Esto hace que la implementacin
y mantenimiento de un sistema de seguridad basado en WEP sea costoso.
En cambio, cuando se emplea WPA, IEEE 802.11i y soluciones VPN basadas
en IPSec la gestin de claves es dinmica. Para ello, en WPA la generacin de
claves de forma dinmica es realizada por el protocolo TKIP y en IEEE 802.11i
por CCMP. En cuanto a la gestin y distribucin de claves, IEEE 802.11i y WPA
emplean IEEE 802.1x conjuntamente con algn mtodo EAP. Las soluciones VPN
basadas en IPSec emplean el protocolo IKE para la gestin y distribucin de
claves.
La implementacin del vector de inicializacin (IV) en el algoritmo WEP tiene

varios problemas de seguridad. El vector de inicializacin se utiliza en el proceso
WLAN
de cifrado para generar la clave de cifrado de cada paquete. Mediante diferentes

mecanismos se consigue que el vector de inicializacin que se utiliza para generar
la clave sea diferente por cada paquete. La clave de cifrado RC4 est compuesta
entre otros por una clave por paquete (parmetro que es variable) y el vector
de inicializacin. En WEP este vector de inicializacin se enva por el aire en texto
plano, sin cifrado alguno y se reutilizan los mismos vectores de inicializacin para
cifrar el trfico, por lo que analizando suficientes tramas un intruso no tendra
mucha dificultad en descifrar la clave secreta.
Seguridad en redes
La utilizacin de claves dinmicas conlleva un aumento en la seguridad del

sistema al dificultar el descubrimiento de una clave vlida en el mismo y que, en
caso de descubrimiento de la clave de cifrado durante un ataque, slo seran
comprometidos un nmero limitado de datos, no todos los de la comunicacin.
27
04
En WPA se pretende resolver este problema mediante el protocolo TKIP (Temporal

Key Integrity Protocol). El empleo de TKIP garantiza un vector de inicializacin
ampliado (doble tamao que en WEP, 48 bits) con reglas de secuencia y la mezcla
de dicho vector de inicializacin por paquete (ver Ilustracin 4), lo que defiende
a la red WLAN de ciertos ataques de clave dbil de WEP.
IV de 48 bits
CLAVE DE CIFRADO RC4
32 bits
16 bits
Upper IV
Lower IV
Mezclado de clave
Fase 1
24 bits
IV
104 bits
IV
Clave por paquete
Mezclado de clave
Fase 2
MAC Address
d es un byte para evitar claves dbiles
Ilustracin 4 Generacin dinmica de clave por paquete
En cuanto a las soluciones VPN basadas en IPSec el vector de inicializacin es

un vector DES-CBC de 64 bits.
WLAN
En el caso de IEEE 802.11i la tcnica empleada para superar esta vulnerabilidad

de WEP es el protocolo CCMP (Counter Mode with CBC-MAC Protocol), en el
que se utilizan vectores de inicializacin de la misma longitud que en TKIP, es
decir, 48 bits.
Seguridad en redes
Clave por sesin
28
04
Por otro lado, WEP es el nico de los mecanismos analizados que no ofrece
integridad de cabecera ni proteccin de la respuesta. Todos ofrecen integridad
de los datos. No obstante, WEP emplea para ello CRC-32 que se ha demostrado
es vulnerable. Este algoritmo fue diseado para detectar errores aleatorios en
la transmisin de los mensajes, pero no se trata de un algoritmo robusto como
para evitar ataques maliciosos. Por ello, en los estndares WPA y IEEE 802.11i
se ha mejorado la tcnica empleada, en WPA se utiliza MIC y en IEEE 802.11i
CCM. Las soluciones VPN basadas en IPSec, por su parte, emplean AH para
garantizar la integridad de la cabecera y AH ESP para garantizar la integridad
de los datos.
Seguridad en redes
WLAN
29
05
Recomendaciones de diseo para entornos corporativos
5 RECOMENDACIONES DE DISEO PARA ENTORNOS
CORPORATIVOS
La solucin de seguridad en redes WLAN en un entorno corporativo depende de
las polticas de seguridad que se quieran implantar. En este apartado se indican
unas pautas a seguir en el diseo de redes WLAN para garantizar unos mnimos
en cuanto a su seguridad en un entorno corporativo. No obstante, debe ser
tenido en cuenta que la utilizacin de excesivas normas de seguridad podra
reducir la rapidez y utilidad de la red inalmbrica.
5.1 NORMAS DE DISEO BSICAS

Esta seccin enumera las normas de diseo bsico para dotar de seguridad a
una red inalmbrica WLAN.
Educar al personal de la empresa para que no comente informacin sensible

(contraseas,..) con sus compaeros o gente desconocida, para que no escriba
las contraseas en papel, etc.
Algunos empleados pueden no darse cuenta de que un despliegue WLAN no

autorizado (es decir, instalar puntos de acceso no autorizados conectados a
la LAN o a la WLAN), puede aumentar los riesgos en la seguridad. Por ello,
es conveniente fijar pautas claras que promuevan la cooperacin activa.
WLAN
Divulgar la informacin crtica (contraseas administrativas,...) al mnimo

personal posible.
Seguridad en redes
5.1.1 Recomendaciones de ingeniera social
30
05
5.1.2 Recomendaciones de red

Se dividen y agrupan en tres grupos de recomendaciones:
Recomendaciones generales:
La implementacin de una red WLAN no debe alterar arquitecturas y
recomendaciones ya existentes en el lugar en el que se va a llevar a cabo el
despliegue. Debe ser hecha respetando las polticas existentes en cuanto a
seguridad.
Las redes WLAN no son sustitutivas de las redes LAN. Las redes WLAN
deben emplearse para aumentar la flexibilidad y la disponibilidad actuales de
la red proporcionando una extensin a la red existente.
Mantener una poltica de contraseas adecuada. El administrador debe prestar
atencin a las contraseas. Una contrasea debe ser suficientemente larga
y contener caracteres no alfanumricos. Una desventaja de este mtodo es
que los usuarios tienen dificultades para recordarlas y las escriben en el papel
en lugar de memorizarlas.
Utilizar perfiles de usuario que permitan el control de acceso para usuarios

corporativos e invitados.
Para proteger los servidores del ncleo de red de ataques DoS los servicios
que se desea prestar a los usuarios inalmbricos deben ubicarse en una DMZ
(que retransmita estas peticiones de los servicios a los servidores de la
WLAN
Recomendaciones de arquitectura de red:

Las redes WLAN deben ser asignadas a una subred dedicada y no compartidas
con una red LAN.
Seguridad en redes
Realizar inspecciones fsicas peridicas y emplear herramientas de gestin de

red para revisar la red rutinariamente y detectar la presencia de puntos de
acceso no autorizados (rogue AP).
31
05
empresa. Por lo tanto, es recomendable una red redundante para ofrecer alta
disponibilidad).
Cambiar los parmetros por defecto de los equipos.
Comprobar regularmente si hay disponibles nuevas actualizaciones de seguridad
para los equipos y aplicarlos.
Adems de los puntos de acceso inalmbricos, elementos bsicos a emplear
en el despliegue de redes WLAN de forma eficiente y segura son los siguientes:
- Switch de capa 2 de capa 3. Proporcionan conectividad Ethernet entre
los puntos de acceso y la red corporativa.
- Firewalls. La red WLAN es considerada insegura, por lo que todo el trfico
entre ella y la red corporativa debe ser filtrada. Filtrados especiales deben
aplicarse a protocolos, direcciones IP origen y subredes destino.
- Servidor de DHCP. Proporciona la configuracin de IP para los clientes
inalmbricos. Su uso se recomienda por razones del escalabilidad.
Seguridad en redes
- Servidor del DNS. Proporciona conectividad de IP a otras mquinas IP.
WLAN
32
05
La arquitectura bsica de una red WLAN, teniendo en cuenta las recomendaciones

anteriores, se muestra en la siguiente figura:
RED LAN CORPORATIVA
Switch
WLAN
APs
Clientes WEP
Firewall
Servidor
DHCP
SUBRED WI-FI
Servidor
DNS
DMZ
Ilustracin 5 Arquitectura bsica de una red WLAN
Emplear protocolos seguros de gestin como SSL o SSH cuando sea posible.
Recomendaciones generales:
Siempre que sea posible es recomendable emplear el mecanismo IEEE802.11i
en redes WLAN en entornos corporativos.
En caso de que no sea posible emplear IEEE 802.11i, una alternativa a utilizar
es WPA. WPA aporta mejoras importantes con respecto a WEP:
WLAN
5.1.3 Recomendaciones de seguridad
Seguridad en redes
Recomendaciones de protocolos:
Inhabilitar cualquier protocolo inseguro y no esencial. Comprobar los protocolos
por defecto proporcionados por el fabricante.
33
05
EEE802.11i y WPA utilizan autenticacin basada en la combinacin de IEEE802.1x

y EAP. A la hora de seleccionar el tipo de EAP a emplear es conveniente tener
en cuenta que los ms seguros y flexibles son:
- EAP-TLS en el caso de seleccionar autenticacin de cliente mediante
certificados.
- EAP-TTLS y PEAP permiten la autenticacin de cliente mediante nombre de
usuario/contrasea. PEAP es compatible con las soluciones de Microsoft,
autenticacin.
Cuando no sea posible la utilizacin de IEEE802.11i ni WPA, siempre es
recomendable utilizar WEP.
Emplear Listas de Control de Acceso (ACL) para que el acceso a red sea
restringido a los clientes cuyas direcciones MAC estn contenidas en la tabla
ACL, la cual puede estar distribuida en los diferentes puntos de acceso o
centralizada en un servidor. Esta medida es slo recomendable cuando el
nmero de usuarios es reducido.
- Llevar a cabo el bloqueo de cuentas de usuario por parte del servidor RADIUS
tras una serie de intentos de logueo fallidos.
- Escoger contraseas fuertes.
WLAN
Para evitar los ataques de diccionario o por fuerza bruta contra contraseas
se recomienda:
Seguridad en redes
Para aumentar la seguridad de acuerdo a los escenarios de movilidad de

determinados perfiles de usuarios, el uso de un IPSec VPN es altamente
recomendado as como el uso de firewalls que filtren el trfico entrante en la
red de la empresa.
34
05
- Emplear claves de usuario dinmicas, por ejemplo mediante autenticacin

OTP (One Time Password) con PEAP y EAP-TTLS.
- Emplear EAP-TLS.
Recomendaciones de seguridad de los puntos de acceso:
Seleccionar puntos de acceso que puedan ser actualizados (firmware y software).
En el caso en que la red WLAN est diseada con puntos de acceso que se
puedan configurar con diferentes modos de seguridad (WEP, WPA, IEEE
802.11i), se recomienda configurar la red con un nico modo. Si es necesario
configurar los puntos de acceso con diferentes modos de seguridad, es
recomendable agrupar los puntos de acceso utilizando el mismo modo de
seguridad en una subred. Por ejemplo, crear una subred para puntos de
acceso que empleen WEP y otra para puntos de acceso que empleen WPA.
Para facilitar la creacin de subredes, Se recomienda que los puntos de acceso
tengan la funcionalidad de soporte de mltiples SSIDs. De esta forma, se
pueden asociar diferentes polticas de seguridad a diferentes SSIDs de un
mismo punto de acceso.
Asegurar fsicamente los puntos de acceso, para evitar que personal no deseado
tenga acceso a l.
WLAN
El SSID es el nombre lgico asociado a una red WLAN. Es un valor arbitrario

de hasta 32 caracteres y dgitos. Las redes WLAN sern slo accesibles por
aquellos terminales asociados al SSID adecuado. Para evitar el acceso por
parte de usuarios no deseados es fundamental deshabilitar el broadcast de
SSID que, en general, llevan a cabo por defecto los puntos de acceso.
Seguridad en redes
Habilitar el cifrado sobre el trfico enviado por el interfaz areo siempre que
sea posible.
35
05
Recomendaciones de seguridad de los clientes:

Inhabilitar el modo ad-hoc.
Habilitar el cifrado sobre el trfico enviado por el interfaz areo siempre que
sea posible.
Se recomienda la instalacin de software de seguridad como antivirus y firewalls.
5.1.4 Recomendaciones de proteccin fsica de la seal
Estudio exhaustivo del tipo y ubicacin de antenas para restringir el rea de
cobertura radio dentro del rea deseada.
Empleo de materiales opacos en la construccin del edificio para atenuar la
seal, y evitar que sta salga fuera del edificio.
Equipos inhibidores de seal en zonas que no se desea tener cobertura.
Herramientas de monitorizacin de la seal radio y de deteccin de puntos de
acceso no autorizados (rogue AP).
5.2 POSIBLES IMPLEMENTACIONES
A continuacin, se analizan diferentes soluciones de seguridad para redes WLAN

utilizando los mecanismos WEP, WPA, IEEE 802.11i e IPSec VPN.
WLAN
Dependiendo del nivel de seguridad exigido y existente en los sistemas de

informacin de la empresa es necesario aplicar medidas especficas de seguridad
para proteger la informacin confidencial de la red cableada ante usuarios
inalmbricos no autorizados.
Seguridad en redes
Vigilancia exterior.
36
05
5.2.1 WEP
Habilitar el mecanismo WEP es una opcin de seguridad que evita la asociacin
automtica a los puntos de acceso de los terminales inalmbricos existentes en
el entorno. Los puntos de acceso con WEP activado nicamente aceptan trfico
cifrado con WEP.
Las redes WLAN IEEE 802.11x con WEP tienen que ser consideradas como
inseguras puesto que WEP es un mecanismo con numerosas vulnerabilidades
probadas. Por ello, en una instalacin en que los equipos slo dispongan del
mecanismo WEP, es necesario aplicar medidas estrictas de seguridad para
acceder a la red cableada. A pesar de su vulnerabilidad, es recomendable emplear
WEP cuando sea la nica solucin de seguridad implementable para evitar dejar
la red WLAN abierta y completamente expuesta a posibles ataques.
Los elementos clave para el despliegue de una red WLAN con una solucin de
seguridad basada en el mecanismo WEP son los siguientes:
Clientes y adaptadores inalmbricos que soporten WEP. Proporcionan
conectividad inalmbrica a los puntos de acceso.
Seguridad en redes
Puntos de acceso inalmbricos que soporten WEP.
WLAN
37
05
La Ilustracin 6 muestra la arquitectura de una red WLAN que cuenta con un

mecanismo de seguridad basado en WEP en un entorno corporativo.
RED LAN CORPORATIVA
Switch
Clientes WEP
WEP
APs
Firewall
Servidor
DHCP
SUBRED WI-FI
Servidor
DNS
DMZ
Ilustracin 6 Arquitectura de seguridad con WEP
Pros:
Bajo coste.
Se pueden definir perfiles de usuario que permiten el control de acceso para

usuarios corporativos e invitados (visitantes).
Contras:
El algoritmo de cifrado que emplea ha sido vulnerado.
WLAN
Fcil de gestionar (si no se cambian las claves).
Seguridad en redes
Las principales ventajas e inconvenientes de esta solucin de seguridad son los

siguientes:
38
05
Puesto que WEP es un mecanismo de seguridad que nicamente protege el

medio radio y adems, presenta ciertas vulnerabilidades, para reforzar la seguridad
proporcionada a una red WLAN por una solucin WEP, es posible la utilizacin
de alguna de las siguientes opciones:
Ofrecer a travs de la red WLAN nicamente ciertos servicios, como explorador
web o consulta de correo electrnico, mediante un servidor HTTPS.
Se recomienda complementar la solucin con otros mecanismos de seguridad,
una alternativa es utilizar la solucin IPSec VPN. Suponiendo que la plantilla
de la empresa sea nmada e itinerante, se configura un cliente de IPSec en
sus terminales para proporcionar seguridad mxima al conectarse a Internet
o a los puntos de acceso de la empresa, dentro y fuera de la misma.
5.2.2 WPA
Los elementos clave de la arquitectura de una solucin propuesta de despliegue
de redes WLAN que implementen un mecanismo de seguridad basado en WPA
Puntos de acceso inalmbricos que soporten WPA y una conexin segura

con un servidor RADIUS. Los puntos de acceso se configuran para aceptar
solamente conexiones WPA y rechaza conexiones WEP. En el caso de implementar
esta solucin en instalaciones nuevas, podra tenerse en cuenta la opcin de
adquirir equipos que nicamente sean compatibles con WPA. WPA ofrece
mecanismos de seguridad mucho ms robustos que los utilizados por WEP,
WLAN
el usuario pueda modificar estos parmetros. nicamente el administrador

debe tener privilegios para poder modificar el certificado empleado. Si no se
configura el certificado, los ataques Man in the Middle son posibles.
Seguridad en redes
son los siguientes:

Adaptador y software inalmbricos en la parte cliente. La solucin debe
estar basada en un tipo de EAP que soporte el tipo de autenticacin adecuado.
Para dotar de mayor seguridad a la red, el tipo de EAP debe proporcionar una
autenticacin mutua, por lo tanto, no es recomendable utilizar EAP-MD5.
En caso de utilizacin de EAP-TLS, EAP-TTLS y PEAP se recomienda configurar
los clientes inalmbricos con un certificado de un servidor seguro y evitar que
39
05
en cuanto a la autenticacin, integridad y confidencialidad.

Servidor RADIUS. Este es un equipo que no exista en la solucin basada en
WEP. El servidor RADIUS proporciona la autenticacin de usuarios para los
clientes y los puntos de acceso. Genera las llaves dinmicas de WPA y las
enva a los puntos de acceso. En caso de utilizacin de certificados, se
recomienda que el servidor RADIUS contraste el estado del certificado del
cliente contra un autoridad CRL (las principales Autoridades Certificadoras
internacionales actualmente son Verising y Thawte) un servidor OCSP.
mecanismo de seguridad basado en WPA en un entorno corporativo.
RED LAN CORPORATIVA
Switch
Clientes WPA
Firewall
WPA
APs
DMZ
Ilustracin 7 Arquitectura de seguridad con WPA

En funcin del mtodo EAP de autenticacin utilizado pueden ser empleados
opcionalmente los siguientes elementos adicionales:
WLAN
SUBRED WI-FI
Servidores
RADIUS, DNS
Seguridad en redes
Servidor
DHCP
40
05
Servidor PKI. Proporciona certificados X.509 para la autenticacin de usuario

y de servidor. Necesario en caso de emplearse EAP-TLS, EAP-TTLS y PEAP.
Servidor OTP . Proporciona autenticacin OTP mediante servidores RADIUS.
Puede emplearse con PEAP o EAP-TTLS.
Adicionalmente, es recomendable proteger el modo EAP empleado (LEAP, PEAP,
EAP-TTLS) contra ataques de fuerza bruta. El servidor RADIUS debe bloquear
las cuentas de usuario tras una serie de intentos de logueo fallidos. Cuando la
cuenta de usuario est bloqueada el usuario no puede ser autenticado hasta que
no se lleva a cabo una serie de acciones administrativas, lo que permite al
administrador llevar a cabo un examen de la seguridad. Para evitar este riesgo,
se puede exigir a los usuarios inalmbricos llevar a cabo autenticacin tipo OTP.
siguientes:
Pros:
Permite definir diferentes perfiles de usuario.
Sobrecarga de configuracin de clientes WPA, corporativos e invitados.
5.2.3 Combinacin de WEP y WPA

Para instalaciones que dispongan de clientes y puntos de acceso WEP sera
conveniente migrar los equipos WEP a WPA para dotar la red de acceso de una
mayor seguridad. No obstante, si no fuera posible llevar a cabo esta migracin,
es posible un entorno heterogneo que combine soluciones basadas en WEP y
WLAN
Dependiendo del mtodo EAP utilizado requiere el uso de certificados en la

parte cliente.
Seguridad en redes
Contras:
El algoritmo de cifrado que emplea ha sido vulnerado.
41
05
WPA simultneamente o configurar los puntos de acceso para que trabajen en

modo mixto WEP-WPA, de forma que soporten clientes WPA y clientes WEP.
Es importante destacar que, slo es posible desplegar una red en modo mixto
WEP-WPA. Para evitar comprometer la seguridad de la red debido a la vulnerabilidad
de WEP no es posible hacerlo en modo mixto WEP-WPA2.
Es recomendable que los puntos de acceso que soporten nicamente WEP y que
no sea posible actualizarlos a WPA sean puestos juntos para formar una WEPWLAN con polticas de seguridad independientes del resto.
En cualquier caso, la consecuencia directa de soportar ambos tipos de clientes
es que la seguridad operar en el menor de los niveles de seguridad, el de WEP,
comn a ambos dispositivos. Por ello, se recomienda migrar todos los puntos
de acceso y clientes a WPA en lugar de mantener un entorno mixto.
5.2.4 IEEE 802.11i
En este apartado se describen las principales caractersticas de una solucin de
seguridad basada en IEEE 802.11i.
el algoritmo de cifrado utilizado, IEEE 802.11i utiliza AES y WPA/WPA2, al igual

que WEP, utiliza RC4. Por lo que s que existen puntos de acceso que soportan
el modo mixto WEP-WPA, pero no que soportan el modo mixto WEP-IEEE
802.11i.
WLAN
Una de las principales diferencias entre IEEE 802.11i y WPA se encuentra en
Seguridad en redes
Los elementos clave de la arquitectura de una solucin de despliegue de redes

WLAN que implementen un mecanismo de seguridad basado en IEEE 802.11i
son los mismos que los empleados en una solucin WPA/WPA2. La nica
diferencia es que los puntos de acceso deben soportar el estndar IEEE 802.11i.
42
05

mecanismo de seguridad basado en IEEE 802.11i en un entorno corporativo.
RED LAN CORPORATIVA
Switch
Clientes
802.11i
Firewall
802.11i
APs
Servidor
DHCP
SUBRED WI-FI
Servidores
RADIUS, DNS
DMZ
Ilustracin 8 Arquitectura de seguridad con WPA
Pros:
Algoritmo de cifrado robusto.
Contras:
En algunos fabricantes, requiere el cambio de los puntos de acceso desplegados.
Sobrecarga de configuracin de clientes WPA, corporativos e invitados.
Dependiendo del mtodo EAP utilizado requiere el uso de certificados en la
parte cliente.
WLAN
Seguridad en redes

siguientes:
43
05
5.2.5 IPSec VPN

La utilizacin de las soluciones VPN basadas en IPSec es especialmente
recomendable en el caso en que la plantilla de la empresa sea nmada e itinerante
(es decir, que necesiten el acceso a Intenet, a datos corporativos fuera de la
empresa), para proporcionar seguridad al conectarse a Internet o a la red de
la empresa desde otras redes.
Adems una solucin VPN basada en IPSec es compatible con el uso de WPA
e IEEE 802.11i. Es decir, es posible utilizar la solucin VPN IPsec cuando el
empleado se encuentra conectado con WPA o IEEE802.11i.
Por ltimo, para equipos IEEE 802.11 que tienen solamente WEP, el uso de VPN
IPSec es altamente recomendable.
Los elementos clave de la arquitectura de una red WLAN en la que se emplea
una solucin VPN basada en la tecnologa IPSec para asegurar el trfico de datos
son los siguientes:
Clientes y adaptadores inalmbricos. Proporcionan conectividad inalmbrica
a los puntos de acceso.
Gateway/concentrador IPSec VPN. Autentica a usuarios inalmbricos y

termina los tneles de IPSec. Puede tambin actuar como servidor DHCP para
los clientes inalmbricos.
Firewall. Se recomienda ubicar un firewall despus del concentrador VPN que
aplique polticas de seguridad al flujo no cifrado.
WLAN
El punto de acceso inalmbrico proporciona conectividad Ethernet a la red

corporativa. Si el punto de acceso tiene capacidades de filtrado, se puede
filtrar el trfico para permitir nicamente los protocolos DHCP e IPSec.
Seguridad en redes
Cliente IPSec VPN. Es el extremo del tnel IPSec en el terminal de usuario.

El cliente de VPN debe conectarse al concentrador VPN al iniciarse la sesin
por parte del terminal de usuario.
44
05
La Ilustracin 9 muestra la arquitectura para el empleo de una VPN basada en

IPSec como mecanismo de la seguridad para tener acceso a una red corporativa.
RED LAN CORPORATIVA
AP
Switch
VPN
Getaway
Tnel VPN
Firewall
Cliente VPN
inalmbrico
AP
Servidores
RADIUS,
DNS
Servidor
DHCP
SUBRED WI-FI
DMZ
En funcin del mtodo de autenticacin utilizado pueden ser empleados opcionalmente

los siguientes elementos.
Servidor PKI. Proporciona certificados X.509 para la autenticacin de usuario

y de servidor. Se recomienda que los certificados de cliente sean accesibles
solamente mediante hardware protegido con contrasea como, por ejemplo,
smart-cards o llaves USB.
Servidor OTP. Proporciona autenticacin OTP mediante servidores RADIUS.
WLAN
Servidor RADIUS. Proporciona la autenticacin de usuario para los clientes

inalmbricos que se conectan al gateway/concentrador VPN.
Seguridad en redes
Ilustracin 9 Diseo de una arquitectura basada en VPN IPSec
45
05
Se recomienda utilizar polticas basadas en certificados para establecer los

tneles IPSec en lugar de llaves pre-compartidas. Emplear llaves pre-compartidas
es peligroso, porque si un atacante las obtiene, es difcil detectar que las llaves
estn comprometidas. Por lo que implica sobrecarga en el mantenimiento al
obligar a todos a cambiar las llaves pre-compartidas. Adems, se recomienda
que el concentrador VPN compruebe el estado de los certificados de cliente
contra las autoridades CRL (las principales Autoridades Certificadoras internacionales
actualmente son Verisign y Thawte) un servidor de OCSP.
Las principales ventajas e inconvenientes de esta solucin de seguridad VPN
basada en IPSec son los siguientes:
Pros:
Emplear una solucin de seguridad que permite al personal acceder a todos
los recursos de la red.
Reutilizacin de la VPN fuera del entorno corporativo.
Sobrecarga de configuracin de clientes VPN.

Excluye a los invitados.
WLAN
Es una solucin costosa.
Seguridad en redes
Contras:
Necesidad de un concentrador VPN.
46
06
Conclusiones
6 CONCLUSIONES
Los mecanismos de seguridad propios de las redes inalmbricas WLAN son
vulnerables desde su nacimiento, tal y como han demostrado numerosos estudios.
En los ltimos aos, se ha realizado un trabajo intenso en este rea, fruto del
cual en la actualidad el nivel de seguridad de las redes inalmbricas WLAN es
comparable al de las redes cableadas.
En la actualidad son mltiples los mecanismos de seguridad existentes que
permiten garantizar la seguridad en las comunicaciones realizadas a travs de
redes WLAN. Mecanismos de seguridad como SSH, HTTPS, SSL e IPsec VPN
pueden ser empleados con mltiples tecnologas de acceso, incluidas las redes
WLAN. No obstante, los protocolos SSH, HTTPS y SSL son slo capaces de
dirigido al mismo, tal y como sera deseable en una red WLAN. En las redes
WLAN tambin es posible llevar a cabo la autenticacin de terminales de usuario
basndose en su direccin fsica o direccin MAC. No obstante, este mecanismo
de seguridad no implica el envo de cifrado de la informacin y su escalabilidad
es compleja. Adems, este tipo de autenticacin es fcilmente vulnerable.
Tras el anlisis realizado en esta gua de los mtodos de seguridad para redes
WLAN, se pueden concluir las siguientes recomendaciones:
WLAN
Por otro lado, existen mecanismos de seguridad como WEP; WPA, WPA2,
IEEE802.11i, que han sido desarrollados de forma especfica para su utilizacin
en redes WLAN para intentar paliar las debilidades inherentes a esta tecnologa
de acceso.
Seguridad en redes
asegurar cierto tipo de comunicaciones (gestin remota, trfico web,), por lo

que no permiten asegurar todo el trfico originado en el terminal de usuario y
47
06
Conclusiones
El mecanismo IEEE802.11i es el nico mecanismo especfico para redes

WLAN que puede considerarse un mecanismo seguro para entornos corporativos.
Sin embargo, en el caso de algunos fabricantes es necesario cambiar los puntos
de acceso WLAN previamente instalados por un modelo que soporte IEEE802.11i.
Adems, actualmente los dispositivos PDA existentes no son compatibles con el
algoritmo de cifrado AES empleado por el mecanismo IEEE802.11i por falta de
capacidad de procesado.
Una alternativa a IEEE802.11i es WPA. WPA aporta mejoras importantes con
respecto a WEP:
- Aunque el algoritmo de cifrado haya sido vulnerado slo es posible realizar
ataques que comprometan la informacin cifrada en el modo de operacin
WPA personal (WPA-PSK). El modo WPA-Enterprise no ha sido vulnerado.
- Adems, WPA, al igual que IEEE802.11i, ofrece gestin dinmica de las
claves.
- WPA puede ser empleado en PDAs.
Cuando no sea posible la utilizacin de IEEE802.11i ni WPA, siempre es

recomendable utilizar WEP antes que transmitir la informacin sin cifrar.
En ltima instancia, si no fuera posible emplear ningn mecanismo de cifrado
WLAN
- EAP-TTLS y PEAP permiten la autenticacin de cliente mediante nombre de

usuario/contrasea. PEAP es compatible con las soluciones de Microsoft,
autenticacin.
Seguridad en redes
IEEE802.11i y WPA utilizan autenticacin basada en la combinacin de

IEEE802.1x y EAP. Dentro de los numerosos tipos de EAP existentes, los ms
seguros y flexibles son:
- EAP-TLS en el caso de seleccionar autenticacin de cliente mediante
certificados.
48
06
Conclusiones
y si el nmero de clientes de la red WLAN no es elevado, sera recomendable

llevar a cabo la autenticacin de los mismos basada en la direccin MAC del
terminal. De esta forma, se evitara al menos la asociacin de clientes a la
red de manera involuntaria. No obstante, no se debe olvidar que esta solucin
es recomendable slo para su empleo en entornos con un nmero de terminales
reducido por su compleja escalabilidad y que es una solucin fcilmente
vulnerable.
Los mecanismos IEEE 802.11i, WPA y WEP cubren los aspectos de seguridad
requeridos por los usuarios cuando se conectan a la red WLAN corporativa.
Si se quiere emplear un nico mecanismo de seguridad en el entorno empresarial
y para los empleados itinerantes que se conectan desde fuera de su empresa,
la solucin IPsec VPN es recomendada as como el uso de firewalls que filtren
el trfico que entre en la red de la empresa. En funcin del entorno de uso
se puede combinar el uso de IPsec VPN y soluciones especficas para redes
WLAN (WEP, WPA, WPA2, IEEE802.11i).
WLAN
Por ltimo, como norma bsica de seguridad en entornos corporativos, se

recomienda "aislar" la red WLAN de la empresa de su red LAN y ubicar los
servidores que gestionen los servicios que se desea prestar a los usuarios
inalmbricos en una DMZ (DisMilitarized Zone) que retransmita estas peticiones
de los servicios a los servidores de la empresa.
Seguridad en redes
Se puede concluir, atendiendo a los niveles de seguridad aportados por los

diferentes mecanismos, que se recomienda evitar emplear WEP como mecanismo
de seguridad en entornos corporativos debido a la vulnerabilidad de su algoritmo
cifrado. En caso de optar por una solucin basada en WPA es conveniente
recordar que, a pesar de la vulnerabilidad de su algoritmo de cifrado, el modo
de operacin WPA-Enterprise no ha sido vulnerado. Se recomienda usar
IEEE802.11i o una solucin VPN basada en IPsec siempre que sea posible.
49
06
Conclusiones
RED LAN CORPORATIVA
Switch
Clientes WEP
WLAN
APs
Firewall
Servidor
DHCP
Servidor
DNS
SUBRED WI-FI
Servidor de autentic.
DMZ
Mecanismo de seguridad:
- Autentic. por MAC
- WPA
- IEEE 802 11i
- WPA2
Ilustracin 10 Rred WLAN en un entorno corporativo
Seguridad en redes
Mecanismo de
seguridad:
- WEP
- Autentic. por MAC
- WPA
- IEEE 802 11i
- WPA2
WLAN
50
07
Acrnimos
7 ACRNIMOS
AES
AH
AP
ARP
BSS
BSSID
CHAP
CCM
Advanced Encryption Standard

Authentication Header
Access Point
Address Resolution Protocol
Basic Service Set
Basic Service Set Identifier
Challenge Handshake Authentication Protocol
Counter Mode with CBCMAC
CRC
DHCP
Cyclic Redundancy Check

Dynamic Host Configuration Protocol
DMZ
DNS
Demilitarized Zone
Domain Name System
DoS
DS
EAP
EAPOL
EAPOW
ESP
ESS
FTP
HMAC
IAPP
IEEE
IKE
IP
IETF
Denial Of Service
Distribution System
Extensible Authentication Protocol
EAP over LANs
EAP over Wireless
IP Encapsulating Security Payload
Extended Service Set
File Transfer Protocol
Hash Message Authentication Codes
Inter-Access Point Protocol
Institute of Electrical and Electronics Engineers
Internet Key Exchange
Internet Protocol
Internet Engineering Task Force
WLAN
Authentication, Authorization, Accounting
Seguridad en redes
AAA
51
07
Acrnimos
IS
LAN
Information System
Local Area Network
LDAP
LEAP
Lightweight Directory Access Protocol

The Cisco Lightweight EAP
MAC
MIC
Medium Access Control

Message Integrity Check
OSI
OTP
Open System Interconnect

One Time Password
PAP
PEAP
Password Authentication Protocol

Protected EAP
PIN
PKI
Personal Identifier Number

Public Key Infrastructure
OCSP
QoS
Online Certificate Status Protocol

Quality of Service
RADIUS
RAS
RSA
RSN
SA
SAD
SNMP
SSID
STA
TCP
TKIP
TLS
TTLS
UDP
VLAN
VoIP
VPN
WAN
WEP
Remote Authentication Dial In User Service

Remote Access Services
Rivest, Shamir y Adelman
Robust Security Network
Security Association
Security Asocciation Databases
Simple Network Management Protocol
Service Set Identifier
Station
Transmission Control Protocol
Temporal Key Integrity Protocol
Transport Layer Security
Tunneled TLS
User Datagram Protocol
Virtual Local Area Network
Voice Over IP
Red Privada Virtual
Wide Area Network
Wired Equivalent Privacy
WLAN
Vector de Inicializacin
Seguridad en redes
IV
52
07
Acrnimos
WLAN
Wireless Fidelity known as standard IEEE 802.11b
WISP
WLAN
Wireless Internet Service Provider

Wireless Local Area Network
WPA
WLAN Protected Access
Seguridad en redes
WLAN
53
08
Referencias
8 REFERENCIAS
MTI/PRO/DD/0001: Security of 802.11 WEP protected networks
[2]
Brewer, Borisov, et al, "802.11 Security",

http://www.isaac.cs.berkeley.edu/isaac/wep-faq.html
[3]
Walker, Jesse, "Unsafe at any Key Size: an analysis of the WEP encapsulation,
November 2000 "
[4]
Fluhrer, Mantin, Shamir, Weaknesses in the Key Scheduling Algorithm of

RC4lr, August 2001.
[5]
MTI/PRO/DD/00004/01/01/EN: Security recommendations for wireless

business
[6]
http://www.vsantivirus.com/vul-ie-https-ssl.htm
[7]
www.proxim.com
[8]
http://www.ieee802.org/1/files/public/docs2002/11-02-TBDr0-I-Pre-
[9]
http://www.tinypeap.com/page8.html
[10]
http://www.nowima.net/nowima/modules.php?name=News&file
=article&sid=179
[11]
http://www.trapezenetworks.com/technology/inbrief/8021Xclients.asp
WLAN
Authentication.pdf
Seguridad en redes
[1]
54
08
Referencias
[12]
Deploying Wi-Fi Protected Access (WPA) and WPA2 in the Enterprise

de Wi-Fi Alliance
http://www.wifi.org/membersonly/getfile.asp?f=WFA_02_27_05_WP
A_WPA2_White_Paper.pdf
[13]
Q&A WPA2 de Wi-Fi Alliance.

http://www.wi-fi.org/OpenSection/pdf/WPA2_Q_A.pdf
[14]
http://www.wifi.org/OpenSection/ReleaseDisplay.asp?TID=
4&ItemID=181&StrYear=2004&strmonth=9
[15]
http://www.verisign.es/products/site/faq/ssl_basics.html
[16]
http://www.virusprot.com/Nt150451.html
[17]
http://www.retronet.com.ar/article.php?story=20040410200835499
[18]
http://www.wi-fi.org/membersonly/getfile.asp?f=Whitepaper_WiFi_Enterprise2-6-03.pdf
Seguridad en redes
WLAN

607 SeguridadredesWLAN

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

607 SeguridadredesWLAN

Cargado por

Copyright:

Formatos disponibles

COLECCIN GUAS TCNICAS

Seguridad en redes WLAN

Sociedad para la Promocin y Reconversin Industrial, s.a.

Estas limitaciones en la seguridad han conducido al desarrollo de nuevas soluciones

Es en este marco de inters en el que la presente obra realiza una valiosa

D. Jose Luis Del Val

tecnolgico, como pilar fundamental de su estrategia de disponer de una oferta

5 RECOMENDACIONES DE DISEO PARA ENTORNOS

5.1.4 Recomendaciones de proteccin fsica de la seal....................35

5.2.4 IEEE 802.11i..........................................................................41

5.2.3 Combinacin de WEP y WPA.....................................................40

5.1.3 Recomendaciones de seguridad..............................................32

Por lo tanto, la seguridad es un aspecto crtico en una red WLAN, especialmente

Ilustracin 1 La seguridad en una red WLAN es crtica en un entorno corporativo

Como primera medida de seguridad se recomienda que la red WLAN se encuentre

Los mecanismos de seguridad propios de las redes inalmbricas WLAN eran

En la actualidad existen diferentes mecanismos de seguridad para redes WLAN,

En el caso de desecharse la opcin de emplear IEEE 802.11i, WPA es el

Se pueden combinar el uso de IPSec VPN y soluciones especficas para redes

Para cada escenario de uso se proponen diferentes arquitecturas y niveles de

Esta gua consta de tres grandes bloques: se comienza con un apartado de

Esta gua tecnolgica recoge recomendaciones sobre los mecanismos de

WEP (Wired Equivalent Privacy)

VPN (Virtual Private Network)

Marco de estndares abiertos para asegurar comunicaciones privadas sobre

EAP (Extensible Authentication Protocol)

SSL VPN (Secure Sockets Layer Virtual Private Network)

Puntos de acceso no autorizados (Rogue APs)

Ataques de descubrimiento de contrasea

WLAN existente. Estos puntos de acceso no son gestionados por los

Denegacin de servicio (DoS)

El secuestro de sesiones o hijacking es una amenaza de seguridad que se vale

Mecanismos de seguridad en redes WLAN

MECANISMOS DE SEGURIDAD EN REDES WLAN

Antes de comenzar con el anlisis de los diferentes mecanismos de seguridad

4.1 REDES WLAN: DESCRIPCIN Y FUNCIONAMIENTO BSICO

Las redes inalmbricas de rea local son un sistema de comunicacin de datos

Movilidad: Informacin en tiempo real en cualquier lugar de la organizacin o

La tecnologa inalmbrica WLAN se est desarrollando con rapidez ya que ofrece

Mecanismos de seguridad en redes WLAN

acceso estn situados estratgicamente en su edificio los usuarios simplemente

El punto de acceso (AP) es el elemento que tiene la capacidad de gestionar

El elemento fundamental de la arquitectura de las redes IEEE 802.11 es la celda,

Mecanismos de seguridad en redes WLAN

de su celda de cobertura entre s y con otras redes a las cuales estuviese

Punto de acceso WLAN

En la Ilustracin 2 se muestra el esquema bsico de la arquitectura de una red WLAN.

4.2 MECANISMOS DE SEGURIDAD EN REDES WLAN

Ataques Pasivos. El principal objetivo del atacante es obtener informacin.

Mecanismos de seguridad en redes WLAN

Ataques Activos. Estos ataques implican la modificacin en el flujo de datos

WPA (Wi-Fi Protected Access)

El segundo paso es el conocimiento de los mecanismos de seguridad aplicables

Mecanismos de seguridad en redes WLAN

WPA2 (Wi-Fi Protected Access v2)

Ilustracin 3 Evolucin de los mecanismos de seguridad en redes WLAN

Adicionalmente, es posible emplear en redes WLAN soluciones de seguridad ya

El funcionamiento bsico de estos mecanismos se basa en el cifrado de la

Mecanismos de seguridad en redes WLAN

Una vez conocidos los diferentes mecanismos de seguridad existentes en redes

4.3 COMPARATIVA ENTRE DIFERENTES MECANISMOS DE

Dentro de las diferentes soluciones VPN existentes, las soluciones a nivel de

Mecanismos de seguridad en redes WLAN