Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Ac Red Espe 047230 PDF
Ac Red Espe 047230 PDF
E-mail: luisandres2424@hotmail.com,
cgromero@espe.edu.ec, fgsaenz@espe.edu.ec
1
distingue tres tipos de tramas con diferentes
funciones: tramas de control, de datos y de gestión.
Estos tipos están definidos por el campo FC (Frame
Control) de la cabecera MAC del 802.11.
Escuchas Ilegales
En una red 802.11 la principal amenaza es el
potencial de que un tercero no autorizado escuche
ilegalmente las señales de radio intercambiadas
entre una estación inalámbrica y un Access Point,
Fig. 4. Modelo OSI comprometiendo la confidencialidad de la
información.
2.3.1. Capa Física Acceso no Autorizado
La capa física define las especificaciones Es una amenaza donde un intruso puede
eléctricas y el tipo de señal para la transmisión de introducirse en el sistema de una red WLAN,
datos. disfrazado como un usuario autorizado.
El estándar 802.11 ofrece tres posibles opciones Interferencias Aleatorias e Intencionadas
para la elección de la capa física: Las interferencias de señales de radio
- Espectro expandido por secuencia directa (DSSS) constituyen otro tipo de amenaza, que muchas de
- Espectro expandido por salto de frecuencias las veces son accidentales y provocadas por
(FHSS) aplicaciones que trabajan en las bandas que no
- Luz infrarroja en banda base. requieren licencias.
Amenazas Físicas
2.3.2. Capa de Enlace Estas amenazas comprenden cualquier tipo de
La capa de enlace de datos se encarga de describir daño o destrucción de una parte de la
cómo se empaquetan y verifican los bits de manera infraestructura física, sea fortuita o planeada.
que no tengan errores.
Está compuesta por dos subcapas: 3.2 ATAQUES SOBRE REDES WI-FI
- Control de enlace lógico (LLC).
- Control de acceso al medio (MAC). 3.2.1. Clasificación de los ataques
2
información, pero no realiza ninguna modificación TKIP (Temporal Key Integrity Protocol), una
de la misma. envoltura del WEP, que cambia las claves
Dentro de esta categoría se encuentran dos tipos: dinámicamente a medida que el sistema es
- Vigilar/Espiar. Es aquel en el que el atacante utilizado, aparece una función MIC (Message
monitorea el contenido de las transmisiones para Integrity Check) para controlar la integridad de los
descubrir el contenido de la información, se utiliza mensajes, detectando la manipulación de los
un dispositivo inalámbrico y un software apropiado paquetes.
denominado Sniffer.
- Analizar el Tráfico. Permite al atacante capturar la WPA2 (IEEE 802.11i)
información transmitida y descubrir datos sobre los WPA y WPA2 difieren poco conceptualmente,
parámetros de la comunicación, como el ESSID, distinguiéndose principalmente en el algoritmo de
contraseñas, Direcciones MAC o IP, etc. cifrado que emplean. Mientras WPA se basa en el
uso del algoritmo TKIP, que está basado en RC4 al
Ataques Activos igual que WEP, WPA2 utiliza CCMP (Counter-
Es con el cual se consigue tener acceso a la red, mode/CBC-MAC Protocol) basado en AES
estos generan acciones evidentes en la red, por lo (Advanced Encrytion System), más potente que
que facilitan su detección pero son difíciles de TKIP, recomendado por el NIST (Instituto
prevenir. Nacional de Estándares y Tecnología), de los más
Dentro de las actividades más comunes se tiene: fuertes y difíciles de “crackear” hoy en día, que
- La Suplantación. Es un robo de identidad que utiliza un cifrado simétrico de 128 bits.
consiste en hacerse pasar por un usuario autorizado
para acceder a la información. 3.3.2 ACL – Filtro de Direcciones MAC
- Retransmisión. El atacante se coloca entre el Para incrementar la seguridad inalámbrica es
emisor y el receptor, recibe la información y la posible configurar el AP para que acepte solo
retransmite, para evitar ser descubierto. ciertas direcciones MAC y bloquee todas las demás,
- Modificación. Se basa en modificar mensajes es decir, se crea una lista de direcciones MAC que
legítimos añadiendo o eliminando parte del serán permitidas por el AP para conectarse.
contenido.
- Denegación de Servicio. El atacante impide la 3.3.3 Cortafuegos (Firewall)
utilización normal de las transmisiones Wi-Fi. Es un dispositivo formado por uno o varios
Estos ataques son muy difíciles de evitar y muy equipos que se sitúa entre una red interna y una red
fáciles de realizar. externa; de forma que todo el tráfico con la red
exterior, tanto de entrada como de salida, debe
3.3 MECANISMOS DE SEGURIDAD pasar a través de él para que éste lo analice y decida
si lo bloquea o no.
El estándar 802.11 define varios métodos para
lograr la configuración segura de una red 3.3.4. CNAC (Closed Network Access Control)
inalámbrica, cada método logra un nivel diferente Este método está basado en desactivar el
de seguridad. broadcast del ESSID en las tramas beacon
utilizadas para que las estaciones detecten los
3.3.1 Protocolos de cifrado Puntos de Acceso, por lo que impide que los
dispositivos que no conocen el ESSID puedan
WEP (Wired Equivalent Privacy) asociarse a la red.
Este mecanismo necesita dos elementos
importantes, en primer lugar se encuentran los 3.3.5 SISTEMAS DE DETECCIÓN DE
vectores de inicializacion (IV’s) el cual es un valor INTRUSIONES (IDS)
de 3 bytes que cambia en cada uno de los paquetes
enviados y por otro lado está la clave WEP. Definición
Además de esto WEP utiliza el algoritmo de Un IDS (Intrusión Detection System) es una
encriptación simétrico RC4 que toma los IV y la herramienta de seguridad encargada de monitorizar
clave WEP para crear una clave “cifrada” (por los eventos que ocurren en un sistema informático
llamarlo de alguna manera) esta clave viene en busca de intentos de intrusión.
incluida en el interior de cada paquete que se envía Algunas de las características deseables para un
en texto claro. IDS son:
- Deben estar continuamente en ejecución con un
WPA (Wifi Protected Access) mínimo de supervisión.
WPA se distingue por tener una distribución - Se deben recuperar de las posibles caídas o
dinámica de claves y nuevas técnicas de integridad problemas con la red.
y autentificación. - Debe poderse analizar él mismo y detectar si ha
WPA se basa en el uso de un protocolo llamado sido modificado por un atacante.
3
- Debe utilizar los mínimos recursos posibles. protección que se dará al sistema.
Respuestas activas
Las respuestas activas son acciones automáticas que
se toman cuando ciertos tipos de intrusiones son
detectados. Se puede establecer dos categorías:
Fig. 6. Esquema de clasificaciones de ID - Recopilación de información adicional: consiste
en incrementar el nivel de sensibilidad de los
1. Fuentes de información sensores para obtener más pistas del posible ataque
Esta clasificación se basa en el lugar donde el (por ejemplo, capturando todos los paquetes que
IDS analizará el tráfico, es decir, el tipo de vienen de la fuente que originó el ataque durante un
4
cierto tiempo o para un máximo número de Ventajas
paquetes). - No hay un solo punto de fallo.
- Cambio del entorno: otra respuesta activa puede Desventajas
ser la de parar el ataque; por ejemplo, en el caso de - El costo de sensores con alta capacidad de
una conexión TCP se puede cerrar la sesión procesamiento puede llegar a ser exagerado cuando
establecida al atacante y a la víctima o filtrar en el muchos sensores son requeridos.
router de acceso o en el firewall la dirección IP del - La administración de múltiples sensores de
intruso o el puerto atacado para evitar futuros procesamiento de información puede ser más difícil
ataques. que la de un modelo centralizado.
- Expansiones en la red provocará una
reprogramación en todos los sensores.
SISTEMAS DE DETECCIÓN DE
INTRUSIONES 802.11
IV. TÉCNICAS EN LA DETECCIÓN DE
INTRUSIONES EN REDES 802.11
“Un sistema inalámbrico 802.11 de detección de
intrusiones (WIDS) consiste en un grupo de
Las propuestas para la detección de intrusos en un
sensores y una unidad central que trabajan juntos
ambiente inalámbrico son variadas [3]. A
para proporcionar supervisión del espectro
continuación se describen las principales técnicas
inalámbrico.” 1
que han sido implementadas o que se encuentran en
investigación. Este estudio se centra en la
1. Arquitectura
clasificación por el método de análisis para la
detección de intrusiones, donde se tiene a las
Un WIDS puede ser:
detecciones de uso indebido y de anomalías.
Centralizado
Es la combinación de sensores individuales los 4.1. DETECCIÓN DE USO INDEBIDO
cuales recopilan y remiten todos los datos 802.11 a
un analizador central, donde los datos son La detección de usos indebidos se puede
almacenados y procesados. implementar de las siguientes formas:
5
- El lenguaje utilizado para describir los ataques actitud para que, en un momento dado, el sistema
es demasiado limitado, y en ocasiones puede identificara como normal un comportamiento hostil.
resultar insuficiente para recrear ataque más
- Gran consumo de recursos que utilizan frente a
complejos.
otros modelos propuestos. Los análisis estadísticos
- El análisis de algunos estados puede requerir normalmente requieren más tiempo de proceso que
más datos del objetivo, por parte del motor. Esto los sistemas de detección de usos indebidos.
reduce el rendimiento del sistema.
- No pueden reconocer directamente ataques
realizados mediante sucesiones de eventos en un
4.1.3 Sistemas Expertos
determinado orden. Esto representa una seria
limitación, dado el elevado número de intrusiones
Los sistemas expertos tienen el conocimiento
basadas en estas características.
codificado mediante reglas de implicación
(condición-acción) de tipo “if-then-else”para
examinar los datos. Realizan análisis mediante 4.2.2 Modelos basados en la especificación
funciones internas al sistema, de forma
completamente transparente al usuario. La detección de anomalías que usa modelos
basado en la especificación no se basa en la
Una de las ventajas más importantes de utilizar recolección estadística que representa el
reglas "if-then" es que mantiene separados el comportamiento correcto del sistema o de la red
control de razonamiento y la formulación de la monitoreada. En cambio, el comportamiento
solución del problema. correcto esperado es explícitamente dado en un
La principal desventaja que se plantea es que los modo declarativo. Esto se conoce como una
patrones no definen un orden secuencial de especificación. Las desviaciones de esta
acciones. especificación son tratadas como eventos
maliciosos. Una especificación puede estar basada
4.2 DETECCIÓN DE ANOMALÍAS en las transiciones de estado que se producirían
durante el comportamiento normal.
La detección de anomalías puede implementarse La mayor fortaleza de las técnicas basadas en
de las siguientes formas: anomalías es que son capaces de detectar ataques
tanto existentes como nuevos, sin tener que volver a
4.2.1 Modelos Estadísticos configurar o actualizar en cualquier forma [4].
6
ataques hasta ese momento nunca vistos mediante transmisor. Mediante el uso de la las huellas del
el análisis de datos en bruto procedentes de BSM receptor transmisor de una dirección MAC,
(Basic Security Module) de sistemas UNIX o de cualquier intento de falsificar la dirección MAC se
herramientas ampliamente difundidas como puede detectar.
Network Fligth Recorder.
Determinación de la Ubicación
4.3.3 Detección de MAC Spoofing
La localización de un nodo en particular se
MAC Spoofing (Suplantación de MAC) permite a determina generalmente mediante sus valores de
un atacante asumir la dirección de un nodo de la red intensidad de señal, se basa en el principio de que
802.11 y lanzar a ataques a dicha red utilizando la un atacante no podrá copiar la fuerza de la señal
identidad del nodo legítimo. que recibe el sensor desde una estación, sucede
Un número de diferentes técnicas se han sugerido porque la fuerza de la señal recibida depende del
para detectar la actividad de suplantación de MAC receptor como del emisor, con lo que si un atacante
en una red 802.11. Estas son tratadas a se encuentra en una ubicación física diferente, la
continuación: probabilidad de que al sensor le llegue una trama
con una fuerza de señal parecida a las que emite la
Monitoreo del número de secuencia estación legítima es muy baja.
Se basa en el uso del campo de control de
secuencia de las tramas MAC 802.11. Este campo Una vez que se conoce la ubicación de una
de 2 bytes de longitud contiene un número de dirección MAC, cualquier cambio en su ubicación
secuencia de 12 bits, que se utiliza para numerar las pueden ser utilizados como una indicación de la
tramas transmitidas entre un transmisor y un actividad MAC spoofing.
receptor dado y un número de fragmento de 4 bits,
que se utiliza para la fragmentación y reensamblaje
(véase la Figura 8). 4.3.4 Agentes Autónomos para la Detección de
Intrusiones
7
biológicas dicha información está distribuida por la CastingType Indica si la dirección de destino es unicast,
sinapsis de la red, existiendo una redundancia en el multicast o broadcast.
Type Indica el tipo de la trama (Gestión, Control o
almacenamiento, para evitar la pérdida de Datos)
información en caso de que una sinapsis resulte SubType Indica el subtipo de la trama
dañada.
- Adaptabilidad al entorno, por medio de la Si se desarrolla un modelo que describa el
información de las sinapsis. Por medio de esta comportamiento normal de una red 802.11,
adaptabilidad se puede aprender de la experiencia y utilizando solo los parámetros de paquetes de
es posible generalizar conceptos a partir de casos control y gestión de la capa de enlace, se podría
particulares. obtener un detector de intrusiones basado en
anomalías que detecte las intrusiones nuevas y las
conocidas para este tipo de tráfico.
4.4 ANÁLISIS DE LAS TÉCNICAS
EMPLEADAS EN LA DETECCIÓN DE V. CONCLUSIONES Y RECOMENDACIONES
INTRUSIONES
5.1 CONCLUSIONES
La estrategia más utilizada para la detección de
intrusiones consiste en la detección de uso indebido • Se realizó un análisis de las ventajas y
(patrones) para reconocer ataques previamente desventajas de la utilización de redes 802.11.
conocidos. La mayoría de los sistemas disponibles Y se mostró la importancia de la seguridad y
en el mercado son de este tipo. Sin embargo, la de la detección de intrusiones en las redes
detección de uso indebido puede acarrear varios 802.11.
problemas como la incapacidad de detectar los
ataques nuevos y sus variantes. Mientras que las • Además de las vulnerabilidades existentes en
técnicas basadas en anomalías detectan los protocolos implementados para la
desviaciones en el comportamiento esperado o seguridad en redes 802.11, tales como las de
normal de los sistemas y las redes, las cuales los protocolos WEP, la posibilidad del cambio
pudieran constituir intentos de ataques. Por tal de las direcciones MAC entre otros, existen
motivo, las técnicas basadas en el descubrimiento vulnerabilidades inherentes al formato y uso
de anomalías son potencialmente capaces de de las tramas MAC dependiendo del tipo de
detectar los ataques existentes y los nuevos, sin la trama que se está analizando. Estas
necesidad de ser pre-configurados o actualizados de vulnerabilidades constituyen unas de las bases
ninguna manera [6]. de las amenazas a las cuales están sometidas
las redes 802.11. Por lo que si los WIDS son
La selección de campos de utilidad para la capaces de detectar tramas falsificadas serán
detección de intrusiones en redes 802.11 depende capaces de detectar la mayoría de los ataques.
de las características y de los atributos a los cuales
están caracterizados y constituye la etapa más • Los sistemas de detección de intrusiones
crítica en la implementación del clasificador de presentan un mayor grado de integridad al
intrusiones. El problema mayor ha sido, para resto de la infraestructura de seguridad.
muchos, la manera de seleccionar campos óptimos Cumplen además cuatro funciones principales:
que puedan ser evaluados por el algoritmo de monitorizar, detectar y responder a la
aprendizaje escogido para el detector. En [7], los actividad que se considere sospechosa.
autores proponen un algoritmo conciso de selección
de los mejores campos de utilidad de la trama MAC • Los detectores de uso indebido pueden
del estándar 802.11 que caracterizan de manera reconocer ataques conocidos, siendo posible la
eficiente el tráfico normal y distinguen el tráfico actualización de sus bases de ataques
anormal con especificaciones de intrusiones. En [7] periódicamente de forma similar a como ya se
se llegó a la selección los siguientes atributos: hace con los antivirus. Los detectores de
anomalía son una de las herramientas de
Tabla.2. Lista del conjunto óptimo de características.
Caraterística Descripción seguridad más prometedoras, pudiendo
IsWepValid Indica si la verificación WEB ICV2 es exitosa. detectar ataques no conocidos, valiéndose de
DurationRange Indica si el valor de duración es bajo (<5ms), gran variedad de métodos de análisis.
medio (entre 5-20ms), o alto (>20 ms).
MoreFragment Indica si una trama es o no fragmentada.
ToDS Indica si la trama está destinada al sistema de
• La obtención de un WIDS que detecta
distribución. intrusiones en la capa de enlace constituye un
WEP Indica si la trama es procesada por el gran avance en la solución de los problemas
protocolo WEB. de inseguridad de las redes inalambricas, ya
que la capa de enlace es la que caracteriza el
2
Valor de comprobación de integridad (Integrity Check Value).
acceso al medio inalámbrico.
8
University of Technology, Goteborg, Sweden.
• La arquitectura WIDS puede ser centralizada o
descentralizada. En los sistemas centralizados, [3] Y. Xiao, X. Shen, and D.-Z. Du (Eds.) pp.
los datos se correlaciona en una ubicación 170 – 196. Wireless/Mobile Network Security,
central y las decisiones y las acciones se chapter 7 “A Survey on Intrusion Detection in
realizan sobre la base de esos datos. En los Mobile Ad Hoc Networks”, 2006.
sistemas descentralizados, las decisiones se
toman en el sensor. [4] C.Y. Tseng, P. Balasubramanyam, C. Ko, R.
Limprasittiporn, J. Rowe, and K. Levitt. A
specification-based intrusion detection system
5.2 RECOMENDACIONES for AODV. Proceedings of the 1st ACM
workshop on Security of ad hoc and sensor
• Con los nuevos protocolos que aparecen en el networks, pages 125–134, 2003.
mercado, algunos inclusive usan canales
múltiples, un WIDS tendrá que ser compatible [5]dHaykin S. Neural Networks, McMaster
con todos los protocolos de velocidad más alta University , Ontario, Canada 1994.
y baja.
[6]iH. Debar and J.Viinikka, "Intrusion
• Generalmente las redes inalámbricas son detection: Introduction", en FOSAD 2004/2005,
fáciles de detectar, por lo que es necesario 2005.
establecer políticas de seguridad y tomar las
medidas de seguridad adecuadas a la hora de [7]dMOSER, M., Ataques a Clientes
implementar estas redes. Inalámbricos EN EL PUNTO DE MIRA. 2009.
• Los sensores tienen una capacidad limitada - Bace, R., & Mell, P. (Noviembre 2001).
para recibir las señales fiables en una célula y Intrusion Detection System. Elseiver Ltd.
la efectividad los WIDS reducirá
significativamente si los sensores no se - Balsubramaniyan, J., Garcia-Fernandez, J.,
colocan en una ubicación apropiada. Isacoff, D., & Spafford, E. (1998). An Intrusion
Detection Using autonomous Agent.
9
insecurity of 802.11.
Carlos Gabriel Romero
- Cañás,, J. (marzo de 2013). Obtenido de Gallardo.
Introducción a las Redes Inalambricas 802.11:
Ingeniero en Electrónica y
http://www.microalcarria.com/descargas/docume
ntos/Wireless/wireless.pdf Telecomunicaciones en la
Escuela Politécnica del
- Chiu, S. H. Seguridad en Redes Inalámbricas Ejército (2002) y
802.11. Obtenido de Especialista en Proyectos
http://www.ciens.ucv.ve:8080/genasig/sites/rede de Investigación Científica
smov/archivos/Seguridad%20en%20Redes%20I y Tecnológica en la
nalambricas%20802.pdf
Universidad Complutense de Madrid (2006).
- Componentes y Topologías de una Red Candidato a PhD Universidad Nacional de la Plata.
Pla
Inalámbrica. (2007). Obtenido de Es profesor de la Escuela Politécnica del Ejército.
http://ieeestandards.galeon.com/aficiones157332 Sus áreas de interés e investigación son Seguridad
8.html de la Información, Networking con TCP/IP e
Implementación de servicios y aplicaciones con
- EISIC, U. F. (2009).
). DEFENSAS Y software libre
ATAQUES A LA SEGURIDAD EN REDES
WLAN.
Fabián Gustavo Sáen
- Estándar IEEE 802.11. (2011). Obtenido de
http://catarina.udlap.mx/u_dl_a/tales/documentos Enderica
/lem/de_l_j/capitulo2.pdf Ingeniero en
e Electrónica,
graduado en la Escuela
- Institute of Electrical and Electronics Politécnica del Ejército, con
Engineers. (2013). Obtenido de Maestría en Ciencias en
http://www.ieee.org Ingeniería Electrónica y
especialidades en Redes de
- Intelligraphics. (noviembre de 2011). telecomunicaciones, así
Introduction to IEEE 802.11. Obtenido de como administración y
http://www.intelligraphics.com/introduction
http://www.intelligraphics.com/introduction- economía de las telecomunicaciones y actualmente
ieee-80211 es candidato a Doctor
ctor en Ciencias
Ha trabajado en varias empresas de
- Mar, U. I. (2005). MONITORIZACIÓN DE comunicaciones, así como es docente Universitario,
REDES 802.11. Obtenido de de pregrado y postgrado en el Ecuador.
http://ants.inf.um.es/staff/lolo/
http://ants.inf.um.es/staff/lolo/files/monitorizacio Ha sido representante de la CEPAL en el tema de
n.pdf TICs y discapacidades, así como como coordinador
del grupo de investigación
stigación en ayudas tecnológicas
- Pablete, O. (2005). An Overview of the para discapacitados en la ESPE.
Wireless Intrusion Detection System. SANS
Institute.
BIOGRAFÍAS
Luis Andrés Balseca
Guzmán
Nació en Quito -
Ecuador, en 1988.
Realizo sus estudios
secundarios en el
Colegio San Gabriel
obteniendo el título de
Físico Matemático en el
2005.. Realizó sus
estudios en la Escuela
Politécnica del Ejército
en la carrera de
Ingeniería Electrónica, Redes y Comunicación de
Datos.
10