Documentos de Académico
Documentos de Profesional
Documentos de Cultura
607 SeguridadredesWLAN PDF
607 SeguridadredesWLAN PDF
www.enpresadigitala.net
Autores:
Izaskun Pellejero Fernando Andreu Amaia Lesta
© Sociedad para la Promoción y Reconversión Industrial, s.a.
3
Prólogo
PRÓLOGO
Las redes Wi-Fi basadas en los estándares IEEE 802.11 b/g se han hecho muy
populares en los últimos tiempos. Muchos usuarios han instalado redes Wi-Fi en
sus hogares, se ha multiplicado el número de “hot-spots” y numerosas organizaciones
han añadido puntos de acceso Wi-Fi a sus redes cableadas para proporcionar
a sus empleados un acceso más sencillo a los datos y servicios corporativos.
Estas redes han proporcionado a los hackers nuevas oportunidades para conseguir
acceso no autorizado a los sistemas corporativos y sus datos, favorecido por las
características específicas tanto del medio de transmisión como del tráfico que
por él circula.
Seguridad en redes
redes Wi-Fi y proporcionar a las organizaciones la garantía que necesitan para
sus sistemas y datos. El enorme interés que suscita, en general, el tema de la
seguridad y más específicamente en el ámbito de las redes Wi-Fi hacen que sea
un área de gran actividad tanto investigadora como de aplicación.
WLAN
4
Prólogo
El conjunto constituye una excelente referencia tanto para quienes tienen que
enfrentarse en la actualidad a los problemas de securización de sus redes
Wi-Fi como para quienes tienen planes de instalar este tipo de redes en un futuro
próximo.
Seguridad en redes
D. Jose Luis Del Val
Decano de la Facultad de Ingeniería de la Universidad de Deusto WLAN
5
Agradecimientos
AGRADECIMIENTOS
Este trabajo no podría haber sido realizado sin la ayuda de las instituciones que
lo han impulsado: el Gobierno Vasco (a través de la Agencia de desarrollo
empresarial SPRI), el Ministerio de Industria, Turismo y Comercio (a través del
Programa de Fomento de Investigación PROFIT) y la iniciativa europea Eureka (a
través del programa de I+D ITEA). Especialmente nos gustaría destacar a Enpresa
Digitala por la oportunidad que nos ha brindado con esta publicación, así como
al proyecto ITEA “Mobilizing the Internet” que nos ha permitido trabajar en estrecha
colaboración con la empresa EADS. Sin estos apoyos, sin duda, hoy no tendrían
en sus manos esta guía.
Los autores tampoco podríamos haber realizado esta guía sin contar con la
apuesta de Euskaltel por la generación de conocimiento, la investigación y desarrollo
tecnológico, como pilar fundamental de su estrategia de disponer de una oferta
Seguridad en redes
competitiva e innovadora en el mercado. Esta estrategia produce sinergias
positivas que transcienden el mercado y nuestra organización, y se transmite
aguas arriba en la cadena de valor, permitiendo la colaboración en esta guía de
la Universidad del País Vasco y de la Universidad de Deusto, a quienes nos gustaría
finalmente agradecer su inestimable aportación.
WLAN
6
00
Índice
1 RESUMEN EJECUTIVO..............................................................7
2 INTRODUCCIÓN.......................................................................11
3 DEFINICIONES ÚTILES..................................................................12
4 MECANISMOS DE SEGURIDAD EN REDES WLAN............................16
4.1 Redes WLAN: Descripción y funcionamiento básico................................16
4.2 Mecanismos de seguridad en redes WLAN...........................................18
4.3 Comparativa entre diferentes mecanismos de seguridad.......................21
4.3.1 Autenticación...........................................................................22
4.3.2 Cifrado....................................................................................25
Seguridad en redes
5.1.3 Recomendaciones de seguridad..............................................32
5.1.4 Recomendaciones de protección física de la señal....................35
5.2 Posibles implementaciones.................................................................35
5.2.1 WEP.........................................................................................36
5.2.2 WPA.................................................................................38
WLAN
1 RESUMEN EJECUTIVO
Según una encuesta realizada por Intel en mayo de 2004, los empleados se
encuentran más del 32% de su tiempo fuera de su puesto de trabajo, estimándose
que esta cifra se elevará al 42% en los próximos años.
Sin embargo, las redes WLAN conllevan una exposición a ciertos riesgos que
Seguridad en redes
deben ser resueltos de antemano. Estos riesgos provienen del hecho de que
tanto el medio de transmisión, el aire, como el tráfico enviado pueden ser
accedidos por terceros, incluso desde fuera del límite físico de la empresa. Estos
riesgos se pueden limitar a obtener información de la red (son los llamados
ataques pasivos) o pueden implicar la modificación de datos, la creación de falsos
flujos en la transmisión de datos e, incluso, colapsar los servicios que puede
WLAN
Recursos de red
corporativos
WLAN corporativa
AP
Usuario Atacante
Seguridad en redes
numerosos estudios. En los últimos años, se ha realizado un trabajo intenso en
esta área, fruto del cual, en la actualidad si se requiere por la aplicación
empresarial, el nivel de seguridad de las redes inalámbricas WLAN es equivalente
al de las redes cableadas.
Esta guía analiza en detalle los mecanismos de seguridad para redes WLAN, que
se resumen a continuación, y recomienda "buenas prácticas" de implementación.
WLAN
Seguridad en redes
fabricantes es necesario cambiar los puntos de acceso previamente instalados
por unos puntos de acceso que soporten IEEE 802.11i. Además, actualmente
los dispositivos PDA existentes no son compatibles con el algoritmo de cifrado
AES empleado por el mecanismo IEEE 802.11i por falta de capacidad de
procesado.
- Además, WPA, al igual que IEEE 802.11i, ofrece gestión dinámica de las
claves.
Seguridad en redes
WLAN
11
02 Introducción
2 INTRODUCCIÓN
Seguridad en redes
corporativos. Así mismo, y con el objetivo de aclarar el porqué de los diferentes
mecanismos de seguridad, se realiza un resumen de las principales características
de los métodos y mecanismos de seguridad implementados hasta la fecha para
protegerse de los mismos.
3 DEFINICIONES ÚTILES
• Autenticación
Proceso mediante el cual se comprueba la identidad de un usuario o un equipo
en la red.
Seguridad en redes
• Cifrado
Tratamiento de un conjunto de datos, contenidos o no en un paquete, a fin de
impedir que nadie excepto el destinatario de los mismos pueda leerlos. Suele
emplearse para ello un algoritmo de cifrado y una clave de cifrado.
Red privada que permite conectar de forma segura a las empresas con otras
oficinas de su organización, empleados a distancia, personas con móviles,
proveedores, etc.
• WPA
Estándar desarrollado por la Wi-Fi Alliance, basado en un borrador del estándar
IEEE 802.11i, para mejorar el nivel de codificación existente en WEP así como
para incorporar un método de autenticación.
• IEEE 802.11i
Estándar del IEEE que define la encriptación y la autenticación para complementar,
completar y mejorar la seguridad en redes WLAN proporcionada por WEP.
• WPA2
Implementación aprobada por Wi-Fi Alliance interoperable con IEEE 802.11i.
El grupo WPA2 de la Wi-Fi Alliance es el grupo de certificación del estándar
IEEE 802.11, para lo cual se basa en las condiciones obligatorias del estándar.
• IEEE 802.1x
Estándar de nivel 2 para el control de acceso a red. Mediante el empleo de
puertos ofrece un marco para una autenticación superior (basada en una
pareja identificador de usuario y contraseña ó certificados digitales) y distribución
de claves de cifrado.
Seguridad en redes
• EAP (Extensible Authentication Protocol)
Protocolo de autenticación para llevar a cabo tareas de AAA que define las
credenciales necesarias para la autenticación de usuarios. En redes WLAN
es utilizado junto con el protocolo IEEE 802.1x en la negociación de la conexión
entre el punto de acceso y el usuario de la red WLAN.
• IPSec
WLAN
• Espionaje/Surveillance
Ataque que consiste en observar el entorno para recopilar información
relacionada con la topología de la red. Esta información puede ser empleada
en posteriores ataques.
Seguridad en redes
• Escuchas/Sniffing/Eavesdropping
Este ataque tiene como objetivo final monitorizar la red para capturar información
sensible (por ejemplo, la dirección MAC ó IP origen y destino, identificadores
de usuario, contraseñas, clave WEP, etc…) como un paso previo a ataques
posteriores. Un ejemplo de ataque derivado de la realización de escuchas es
el wardriving.
WLAN
• Spoofing
Ataque que consiste en emplear un terminal cliente al que se han asociado
validadores estáticos (por ejemplo, la dirección IP) de una red WLAN para
suplantar la identidad de algún miembro de la comunicación. Ataques derivados
de él son los ataques de secuestro de sesiones y Man in the Middle.
Seguridad en redes
parezca venir de una de las partes envueltas en la comunicación, robando la
sesión de los individuos envueltos.
Una red WLAN es aquella en la que una serie de dispositivos (PCs, estaciones
de trabajo, impresoras, servidores, etc.) se comunican entre sí en zonas
geográficas limitadas sin necesidad de tendido de cable entre ellos.
Seguridad en redes
de información con rapidez y flexibilidad.
• Flexibilidad: Permite llegar donde el cable no puede. Las redes WLAN aportan
a las organizaciones flexibilidad para que sus empleados trabajen en edificios
diferentes, reorganizar departamentos fácilmente, una vez que los puntos de
17
04 Mecanismos de seguridad en redes WLAN
• Facilidad de instalación: Evita obras para tirar cable por muros y techos.
Seguridad en redes
la cual se puede definir como el área geográfica en la cual una serie de dispositivos
se interconectan entre sí por un medio aéreo. En general esta celda estará
compuesta por estaciones y un único punto de acceso inalámbrico.
• Las estaciones inalámbricas son terminales cliente que cuentan con adaptadores
que realizan las funciones de las tarjetas de red ethernet, adaptando las tramas
ethernet que genera el terminal, a las tramas del estándar inalámbrico y
WLAN
INTERNET
Estación
Inhalámbrica
Usuario
En la Ilustración 2 se muestra el esquema básico de la arquitectura de una red WLAN. Seguridad en redes
El primer paso para asegurar una red WLAN, es conocer cuáles son los ataques
WLAN
que este tipo de redes pueden sufrir. Éstos pueden ser divididos en dos grandes
grupos:
No obstante, al igual que son numerosos los ataques a redes WLAN existentes,
también lo son los mecanismos de seguridad que se pueden aplicar para
proteger los mismos. Se debe seleccionar aquel que presente el nivel de seguridad
exigida, el tipo de servicio deseado y el coste de gestión y mantenimiento de las
soluciones adoptadas. Además, es importante resaltar que los mecanismos de
seguridad para redes WLAN están evolucionando continuamente para adaptarse
a las necesidades de seguridad de los usuarios.
Seguridad en redes
Fue el primer mecanismo de seguridad que se implementó bajo el estándar
de redes inalámbricas IEEE 802.11 para cifrar los datos que se transfieren
a través de una red inalámbrica. Es un mecanismo de seguridad básico del
que han sido demostradas numerosas vulnerabilidades.
• IEEE 802.11i
Estándar que define el cifrado y la autentificación para complementar, completar
y mejorar la seguridad en redes WLAN proporcionada por WEP.
20
04 Mecanismos de seguridad en redes WLAN
Seguridad en redes
El funcionamiento básico de estos mecanismos se basa en el cifrado de la
información de usuario en el interfaz aire (entre el terminal de usuario y el punto
de acceso WLAN). Además, todos excepto WEP, implican autenticación de
usuario. En el caso del mecanismo WEP la única autenticación que se realiza
es la autenticación de terminal, pero no contempla ningún otro modo de
autenticación de usuarios ni de punto de acceso.
WLAN
Los protocolos SSL, HTTPS y SSH, no obstante, sólo permiten asegurar el tráfico
generado por cierto tipo de aplicaciones, por lo que el estudio de estos protocolos
queda fuera del ámbito de análisis de esta guía. Así, por ejemplo, el uso conjunto
de SSL y HTTPS sólo permite asegurar la comunicación entre dos máquinas, por
ejemplo, un terminal de usuario y un servidor web de un banco, protegiendo el
contenido de las transacciones entre ambos. En el caso de SSH, este protocolo
del nivel de aplicación emplea técnicas de cifrado para permitir el acceso a
máquinas remotas, la copia y el paso de datos de forma segura a través de un
canal SSH, así como la gestión de claves RSA (Rivest, Shamir y Adelman).
Seguridad en redes
lo que hace de estas soluciones una alternativa compleja de implementar. Las
soluciones VPN basadas en IPSec (a nivel de red), son una opción más sencilla
de implementar, bien conocida y probada y se considera como un mecanismo
muy robusto de seguridad de la red.
redes WLAN, como son WEP, WPA, IEEE 802.11i, así como de las soluciones
VPN basadas en la tecnología IPSec.
Cifrado RC4 40-bit o 104-bit TKIP: RC4 128-bit CCMP: AES 128-bit ESP: DES 56-bit, 3DES 168-bit,
AES 168, 128, 192, 256
Clave asignada a: Red Paquete, sesión y usuario Paquete, sesión y usuario Usuario
Seguridad en redes
Otros Seguridad ad-hoc No No Sí (IBSS) No
4.3.1 Autenticación
Por otro lado, IEEE 802.1x establece una capa o nivel entre la capa de acceso
y los diferentes algoritmos de autenticación que existen hoy en día. IEEE 802.1x
traduce las tramas enviadas por un algoritmo de autenticación en el formato
necesario para que estas sean entendidas por el sistema de autenticación que
utilice la red. Por lo tanto, IEEE 802.1x no es por si mismo un método de
autenticación y debe emplearse de forma conjunta con protocolos de autenticación
para llevar a cabo la verificación de las credenciales de usuario, este protocolo
puede ser cualquier tipo de EAP, así como la generación de las claves de cifrado.
Por su parte, el echo de utilizar EAP de forma conjunta con IEEE 802.1x, permite
Seguridad en redes
que se puedan emplear múltiples esquemas de autenticación entre los terminales
de usuario y la red, entre los que se incluyen tarjetas de identificación, Kerberos,
RADIUS (Remote Dial-In User Service), contraseñas de un solo uso (OTP),
autenticación por clave pública mediante tarjetas inteligentes, certificados digitales
y otros. Según el tipo de EAP seleccionado las credenciales necesarias para llevar
a cabo la autenticación serán diferentes. Además, EAP permite la generación,
distribución y gestión de claves dinámicas. A continuación se muestra una tabla
WLAN
resumen de las características más importantes de los tipos de EAP más utilizados
(Tabla 2).
24
04 Mecanismos de seguridad en redes WLAN
Por otro lado, las soluciones de VPN basadas en IPSec, por su parte, emplean
IKE para llevar a cabo la autenticación de máquina y X-AUTH para la autenticación
de usuario.
Además, tal y como se muestra en la tabla, sólo IEEE 802.11i y soluciones VPN
basadas en IPSec emplean pre-autenticación. Esta pre-autenticación permite que
los terminales de usuario puedan iniciar procesos de autenticación con puntos
de acceso próximos antes de completar el proceso de autenticación con el punto
de acceso seleccionado. Por lo tanto, permite a un terminal de usuario autenticarse
Seguridad en redes
simultáneamente con diferentes puntos de acceso. En el caso de IEEE 802.11i
se establecen conexiones específicas mediante puertos virtuales (similares a los
que se establecerían en las LAN cableadas) para enviar el tráfico de pre-
autenticación entre el terminal de usuario y el punto de acceso mediante el
protocolo EAPOL (EAP over LAN). Además de los beneficios que la pre-autenticación
aporta en términos de seguridad, se consiguen tiempos de latencia más bajos
en situaciones donde los empleados son móviles y reducciones de las pérdidas
WLAN
del sistema, la cual puede estar distribuida en los diferentes puntos de acceso
o centralizada en un servidor.
Seguridad en redes
4.3.2 Cifrado
Seguridad en redes
comprometidos un número limitado de datos, no todos los de la comunicación.
entre otros por una clave por paquete (parámetro que es variable) y el vector
de inicialización. En WEP este vector de inicialización se envía por el aire en texto
plano, sin cifrado alguno y se reutilizan los mismos vectores de inicialización para
cifrar el tráfico, por lo que analizando suficientes tramas un intruso no tendría
mucha dificultad en descifrar la clave secreta.
27
04 Mecanismos de seguridad en redes WLAN
MAC Address
Clave por sesión “d” es un byte para evitar claves débiles
Seguridad en redes
Ilustración 4 Generación dinámica de clave por paquete
Por otro lado, WEP es el único de los mecanismos analizados que no ofrece
integridad de cabecera ni protección de la respuesta. Todos ofrecen integridad
de los datos. No obstante, WEP emplea para ello CRC-32 que se ha demostrado
es vulnerable. Este algoritmo fue diseñado para detectar errores aleatorios en
la transmisión de los mensajes, pero no se trata de un algoritmo robusto como
para evitar ataques maliciosos. Por ello, en los estándares WPA y IEEE 802.11i
se ha mejorado la técnica empleada, en WPA se utiliza MIC y en IEEE 802.11i
CCM. Las soluciones VPN basadas en IPSec, por su parte, emplean AH para
garantizar la integridad de la cabecera y AH ó ESP para garantizar la integridad
de los datos.
Seguridad en redes
WLAN
29
05 Recomendaciones de diseño para entornos corporativos
Esta sección enumera las normas de diseño básico para dotar de seguridad a
una red inalámbrica WLAN.
Seguridad en redes
5.1.1 Recomendaciones de ingeniería social
Recomendaciones generales:
• La implementación de una red WLAN no debe alterar arquitecturas y
recomendaciones ya existentes en el lugar en el que se va a llevar a cabo el
despliegue. Debe ser hecha respetando las políticas existentes en cuanto a
seguridad.
• Las redes WLAN no son sustitutivas de las redes LAN. Las redes WLAN
deben emplearse para aumentar la flexibilidad y la disponibilidad actuales de
la red proporcionando una extensión a la red existente.
Seguridad en redes
• Realizar inspecciones físicas periódicas y emplear herramientas de gestión de
red para revisar la red rutinariamente y detectar la presencia de puntos de
acceso no autorizados (rogue AP).
• Para proteger los servidores del núcleo de red de ataques DoS los servicios
que se desea prestar a los usuarios inalámbricos deben ubicarse en una DMZ
(que retransmita estas peticiones de los servicios a los servidores de la
31
05 Recomendaciones de diseño para entornos corporativos
empresa. Por lo tanto, es recomendable una red redundante para ofrecer alta
disponibilidad).
Seguridad en redes
- Servidor del DNS. Proporciona conectividad de IP a otras máquinas IP.
WLAN
32
05 Recomendaciones de diseño para entornos corporativos
Switch
Firewall
WLAN
Clientes WEP APs
Servidor Servidor
DHCP DNS
Seguridad en redes
Recomendaciones de protocolos:
• Inhabilitar cualquier protocolo inseguro y no esencial. Comprobar los protocolos
por defecto proporcionados por el fabricante.
• Emplear protocolos seguros de gestión como SSL o SSH cuando sea posible.
WLAN
Recomendaciones generales:
Siempre que sea posible es recomendable emplear el mecanismo IEEE802.11i
en redes WLAN en entornos corporativos.
• En caso de que no sea posible emplear IEEE 802.11i, una alternativa a utilizar
es WPA. WPA aporta mejoras importantes con respecto a WEP:
33
05 Recomendaciones de diseño para entornos corporativos
• Emplear Listas de Control de Acceso (ACL) para que el acceso a red sea
restringido a los clientes cuyas direcciones MAC están contenidas en la tabla
ACL, la cual puede estar distribuida en los diferentes puntos de acceso o
centralizada en un servidor. Esta medida es sólo recomendable cuando el
número de usuarios es reducido.
Seguridad en redes
• Para aumentar la seguridad de acuerdo a los escenarios de movilidad de
determinados perfiles de usuarios, el uso de un IPSec VPN es altamente
recomendado así como el uso de firewalls que filtren el tráfico entrante en la
red de la empresa.
• Para evitar los ataques de diccionario o por fuerza bruta contra contraseñas
WLAN
se recomienda:
- Llevar a cabo el bloqueo de cuentas de usuario por parte del servidor RADIUS
tras una serie de intentos de logueo fallidos.
- Emplear EAP-TLS.
• En el caso en que la red WLAN esté diseñada con puntos de acceso que se
puedan configurar con diferentes modos de seguridad (WEP, WPA, IEEE
802.11i), se recomienda configurar la red con un único modo. Si es necesario
configurar los puntos de acceso con diferentes modos de seguridad, es
recomendable agrupar los puntos de acceso utilizando el mismo modo de
seguridad en una subred. Por ejemplo, crear una subred para puntos de
acceso que empleen WEP y otra para puntos de acceso que empleen WPA.
Para facilitar la creación de subredes, Se recomienda que los puntos de acceso
tengan la funcionalidad de soporte de múltiples SSIDs. De esta forma, se
pueden asociar diferentes políticas de seguridad a diferentes SSIDs de un
mismo punto de acceso.
Seguridad en redes
• Habilitar el cifrado sobre el tráfico enviado por el interfaz aéreo siempre que
sea posible.
• Asegurar físicamente los puntos de acceso, para evitar que personal no deseado
tenga acceso a él.
de hasta 32 caracteres y dígitos. Las redes WLAN serán sólo accesibles por
aquellos terminales asociados al SSID adecuado. Para evitar el acceso por
parte de usuarios no deseados es fundamental deshabilitar el broadcast de
SSID que, en general, llevan a cabo por defecto los puntos de acceso.
35
05 Recomendaciones de diseño para entornos corporativos
• Habilitar el cifrado sobre el tráfico enviado por el interfaz aéreo siempre que
sea posible.
Seguridad en redes
• Vigilancia exterior.
5.2.1 WEP
Las redes WLAN IEEE 802.11x con WEP tienen que ser consideradas como
inseguras puesto que WEP es un mecanismo con numerosas vulnerabilidades
probadas. Por ello, en una instalación en que los equipos sólo dispongan del
mecanismo WEP, es necesario aplicar medidas estrictas de seguridad para
acceder a la red cableada. A pesar de su vulnerabilidad, es recomendable emplear
WEP cuando sea la única solución de seguridad implementable para evitar dejar
la red WLAN abierta y completamente expuesta a posibles ataques.
Los elementos clave para el despliegue de una red WLAN con una solución de
seguridad basada en el mecanismo WEP son los siguientes:
• Clientes y adaptadores inalámbricos que soporten WEP. Proporcionan
conectividad inalámbrica a los puntos de acceso.
Seguridad en redes
• Puntos de acceso inalámbricos que soporten WEP.
WLAN
37
05 Recomendaciones de diseño para entornos corporativos
Switch
Firewall
WEP
Clientes WEP APs
Servidor Servidor
DHCP DNS
Seguridad en redes
Las principales ventajas e inconvenientes de esta solución de seguridad son los
siguientes:
Pros:
• Bajo coste.
WLAN
Contras:
• El algoritmo de cifrado que emplea ha sido vulnerado.
38
05 Recomendaciones de diseño para entornos corporativos
5.2.2 WPA
Seguridad en redes
Para dotar de mayor seguridad a la red, el tipo de EAP debe proporcionar una
autenticación mutua, por lo tanto, no es recomendable utilizar EAP-MD5.
En caso de utilización de EAP-TLS, EAP-TTLS y PEAP se recomienda configurar
los clientes inalámbricos con un certificado de un servidor seguro y evitar que
el usuario pueda modificar estos parámetros. Únicamente el administrador
debe tener privilegios para poder modificar el certificado empleado. Si no se
configura el certificado, los ataques Man in the Middle son posibles.
WLAN
Switch
Firewall
WPA
Clientes WPA APs
Seguridad en redes
Servidor Servidores
DHCP RADIUS, DNS
WLAN
Pros:
• Permite definir diferentes perfiles de usuario.
Seguridad en redes
Contras:
• El algoritmo de cifrado que emplea ha sido vulnerado.
Es importante destacar que, sólo es posible desplegar una red en modo mixto
WEP-WPA. Para evitar comprometer la seguridad de la red debido a la vulnerabilidad
de WEP no es posible hacerlo en modo mixto WEP-WPA2.
Es recomendable que los puntos de acceso que soporten únicamente WEP y que
no sea posible actualizarlos a WPA sean puestos juntos para formar una WEP-
WLAN con políticas de seguridad independientes del resto.
Seguridad en redes
Los elementos clave de la arquitectura de una solución de despliegue de redes
WLAN que implementen un mecanismo de seguridad basado en IEEE 802.11i
son los mismos que los empleados en una solución WPA/WPA2. La única
diferencia es que los puntos de acceso deben soportar el estándar IEEE 802.11i.
Switch
Firewall
Clientes 802.11i
802.11i APs
Servidor Servidores
DHCP RADIUS, DNS
SUBRED WI-FI DMZ
Seguridad en redes
Las principales ventajas e inconvenientes de esta solución de seguridad son los
siguientes:
Pros:
• Algoritmo de cifrado robusto.
WLAN
Contras:
• En algunos fabricantes, requiere el cambio de los puntos de acceso desplegados.
• Sobrecarga de configuración de clientes WPA, corporativos e invitados.
• Dependiendo del método EAP utilizado requiere el uso de certificados en la
parte cliente.
43
05 Recomendaciones de diseño para entornos corporativos
Además una solución VPN basada en IPSec es compatible con el uso de WPA
e IEEE 802.11i. Es decir, es posible utilizar la solución VPN IPsec cuando el
empleado se encuentra conectado con WPA o IEEE802.11i.
Por último, para equipos IEEE 802.11 que tienen solamente WEP, el uso de VPN
IPSec es altamente recomendable.
Los elementos clave de la arquitectura de una red WLAN en la que se emplea
una solución VPN basada en la tecnología IPSec para asegurar el tráfico de datos
son los siguientes:
• Clientes y adaptadores inalámbricos. Proporcionan conectividad inalámbrica
a los puntos de acceso.
Seguridad en redes
• Cliente IPSec VPN. Es el extremo del túnel IPSec en el terminal de usuario.
El cliente de VPN debe conectarse al concentrador VPN al iniciarse la sesión
por parte del terminal de usuario.
Switch
Cliente VPN
inalámbrico
AP
Servidor Servidores
DHCP RADIUS,
DNS
Seguridad en redes
Ilustración 9 Diseño de una arquitectura basada en VPN IPSec
Pros:
• Emplear una solución de seguridad que permite al personal acceder a todos
los recursos de la red.
Seguridad en redes
Contras:
• Necesidad de un concentrador VPN.
6 CONCLUSIONES
Seguridad en redes
dirigido al mismo, tal y como sería deseable en una red WLAN. En las redes
WLAN también es posible llevar a cabo la autenticación de terminales de usuario
basándose en su dirección física o dirección MAC. No obstante, este mecanismo
de seguridad no implica el envío de cifrado de la información y su escalabilidad
es compleja. Además, este tipo de autenticación es fácilmente vulnerable.
WLAN
Por otro lado, existen mecanismos de seguridad como WEP; WPA, WPA2,
IEEE802.11i, que han sido desarrollados de forma específica para su utilización
en redes WLAN para intentar paliar las debilidades inherentes a esta tecnología
de acceso.
Tras el análisis realizado en esta guía de los métodos de seguridad para redes
WLAN, se pueden concluir las siguientes recomendaciones:
47
06 Conclusiones
Seguridad en redes
IEEE802.1x y EAP. Dentro de los numerosos tipos de EAP existentes, los más
seguros y flexibles son:
- EAP-TLS en el caso de seleccionar autenticación de cliente mediante
certificados.
• Los mecanismos IEEE 802.11i, WPA y WEP cubren los aspectos de seguridad
requeridos por los usuarios cuando se conectan a la red WLAN corporativa.
Si se quiere emplear un único mecanismo de seguridad en el entorno empresarial
y para los empleados itinerantes que se conectan desde fuera de su empresa,
la solución IPsec VPN es recomendada así como el uso de firewalls que filtren
el tráfico que entre en la red de la empresa. En función del entorno de uso
se puede combinar el uso de IPsec VPN y soluciones específicas para redes
WLAN (WEP, WPA, WPA2, IEEE802.11i).
Seguridad en redes
cifrado. En caso de optar por una solución basada en WPA es conveniente
recordar que, a pesar de la vulnerabilidad de su algoritmo de cifrado, el modo
de operación WPA-Enterprise no ha sido vulnerado. Se recomienda usar
IEEE802.11i o una solución VPN basada en IPsec siempre que sea posible.
servidores que gestionen los servicios que se desea prestar a los usuarios
inalámbricos en una DMZ (DisMilitarized Zone) que retransmita estas peticiones
de los servicios a los servidores de la empresa.
49
06 Conclusiones
Switch
WLAN
Clientes WEP APs
Firewall
Servidor
DHCP
Servidor de autentic.
Servidor
DNS
Mecanismo de
Seguridad en redes
seguridad: Mecanismo de seguridad:
- WEP - Autentic. por MAC
- Autentic. por MAC - WPA
- WPA - IEEE 802 11i
- IEEE 802 11i - WPA2
- WPA2
7 ACRÓNIMOS
Seguridad en redes
DoS Denial Of Service
DS Distribution System
EAP Extensible Authentication Protocol
EAPOL EAP over LANs
EAPOW EAP over Wireless
ESP IP Encapsulating Security Payload
WLAN
IV Vector de Inicialización
IS Information System
LAN Local Area Network
LDAP Lightweight Directory Access Protocol
LEAP The Cisco Lightweight EAP
MAC Medium Access Control
MIC Message Integrity Check
OSI Open System Interconnect
OTP One Time Password
PAP Password Authentication Protocol
PEAP Protected EAP
PIN Personal Identifier Number
PKI Public Key Infrastructure
OCSP Online Certificate Status Protocol
QoS Quality of Service
RADIUS Remote Authentication Dial In User Service
RAS Remote Access Services
RSA Rivest, Shamir y Adelman
RSN Robust Security Network
SA Security Association
Seguridad en redes
SAD Security Asocciation Databases
SNMP Simple Network Management Protocol
SSID Service Set Identifier
STA Station
TCP Transmission Control Protocol
TKIP Temporal Key Integrity Protocol
TLS Transport Layer Security
WLAN
Seguridad en redes
WLAN
53
08 Referencias
8 REFERENCIAS
[3] Walker, Jesse, "Unsafe at any Key Size: an analysis of the WEP encapsulation,
November 2000 "
Seguridad en redes
[6] http://www.vsantivirus.com/vul-ie-https-ssl.htm
[7] www.proxim.com
[8] http://www.ieee802.org/1/files/public/docs2002/11-02-TBDr0-I-Pre-
WLAN
Authentication.pdf
[9] http://www.tinypeap.com/page8.html
[10] http://www.nowima.net/nowima/modules.php?name=News&file
=article&sid=179
[11] http://www.trapezenetworks.com/technology/inbrief/8021Xclients.asp
54
08 Referencias
[12] Deploying Wi-Fi Protected Access (WPA™) and WPA2™ in the Enterprise
de Wi-Fi Alliance
http://www.wifi.org/membersonly/getfile.asp?f=WFA_02_27_05_WP
A_WPA2_White_Paper.pdf
[14] http://www.wifi.org/OpenSection/ReleaseDisplay.asp?TID=
4&ItemID=181&StrYear=2004&strmonth=9
[15] http://www.verisign.es/products/site/faq/ssl_basics.html
[16] http://www.virusprot.com/Nt150451.html
[17] http://www.retronet.com.ar/article.php?story=20040410200835499
[18] http://www.wi-fi.org/membersonly/getfile.asp?f=Whitepaper_Wi-
Fi_Enterprise2-6-03.pdf
Seguridad en redes
WLAN