Está en la página 1de 16

Seguridad en redes inalámbricas 802.

11

Juan Manuel Madrid Molina


Universidad Icesi
jmadrid@icesi.edu.co

Fecha de recepción: 20-11-2003 Fecha de aceptación: 20-4-2004

ABSTRACT RESUMEN
Lack of security in wireless LANs is La falta de seguridad en las redes
a problem which has not been correc- inalámbricas es un problema que, a
tly assessed by network managers pesar de su gravedad, no ha recibido
and people in charge of information, la atención debida por parte de los
in spite of its seriousness. This arti- administradores de redes y los res-
cle presents the existing technologies ponsables de la información. Este
for heightening the security level in artículo presenta las tecnologías exis-
802.11 wireless LANs, among with tentes para mejorar el nivel de segu-
their advantages, disadvantages and ridad en las redes inalámbricas
application scenarios. 802.11, con sus ventajas, desventajas
y escenarios de aplicación.
KEYWORDS
Information Security, Network Secu- PALABRAS CLAVES
rity, Wireless Networks. Seguridad informática, seguridad en
redes, redes inalámbricas.

Clasificación: B

SISTEMAS
& TELEMÁTICA 13
INTRODUCCIÓN En el momento existen tres estánda-
Las redes inalámbricas de área local res diferentes para las WLAN, desa-
(WLAN) tienen un papel cada vez rrollados por la IEEE:2,16
más importante en las comunicacio- • 802.11b: Introducido en 1999,
nes del mundo de hoy. Debido a su como extensión al estándar 802.11
facilidad de instalación y conexión, se publicado en 1997. Los equipos
han convertido en una excelente al- inalámbricos que operaban con la
ternativa para ofrecer conectividad norma 802.11 nunca llegaron a
en lugares donde resulta inconve- tener una buena acogida, porque
niente o imposible brindar servicio la máxima velocidad de conexión
con una red alambrada. La populari- que ofrecían era de 2 Mbps. La
dad de estas redes ha crecido a tal norma 802.11b subsanó este pro-
punto que los fabricantes de compu- blema al permitir lograr una ve-
tadores y motherboards están inte- locidad más alta de transferencia
grando dispositivos para acceso a de datos. Dicha velocidad tiene un
WLAN en sus equipos; tal es el caso límite de 11 Mbps (similar al de
de Intel,1 que fabrica el chipset Cen- una red Ethernet convencional).
trino para computadores portátiles. En la práctica, se logran velocida-
Una WLAN se puede conformar de des entre 2 y 5 Mbps, lo que de-
dos maneras: pende del número de usuarios, de
la distancia entre emisor y recep-
• En estrella. Esta configuración tor, de los obstáculos y de la in-
se logra instalando una estación terferencia causada por otros dis-
central denominada punto de ac- positivos. El factor interferencia
ceso (Access Point), a la cual acce- es uno de los que más influye, por-
den los equipos móviles. El punto que los equipos 802.11b operan en
de acceso actúa como regulador de la banda de 2.4 GHz, en la que se
tráfico entre los diferentes equi- presenta interferencia de equipos
pos móviles. Un punto de acceso como teléfonos inalámbricos y
tiene, por lo regular, un cubri- hornos microondas. A pesar de sus
miento de 100 metros a la redon- problemas, el estándar 802.11b se
da, dependiendo del tipo de ante- ha convertido en el más popular.
na que se emplee, y del número y
tipo de obstáculos que haya en la • 802.11a: Se introdujo al mismo
zona. tiempo que 802.11b, con la inten-
ción de constituirla en la norma
• Red ad hoc. En esta configura- para redes inalámbricas para uso
ción, los equipos móviles se conec- empresarial (802.11b se enfocó
tan unos con otros, sin necesidad hacia las redes caseras y para pe-
de que exista un punto de acceso. queños negocios). Ofrece velocida-
El tipo de conformación más común des de hasta 54 Mbps (típicamen-
es en estrella; se emplea por lo gene- te 22 Mbps) y opera en la banda
ral cuando se desea ofrecer acceso de 5 GHz. Su alto precio, el hecho
inalámbrico a una red alambrada ya de que la banda de 5 GHz esté
existente. regulada en algunos países, y su

14 SISTEMAS
& TELEMÁTICA
menor cubrimiento ha hecho que blema más grande de este tipo de re-
los equipos 802.11a sean menos des en cuanto a seguridad se refiere.
populares que los 802.11b. Cualquier equipo que se encuentre a
100 metros o menos de un punto de
• 802.11g: Surgió en 2003, como la
acceso, podría tener acceso a la red
evolución del estándar 802.11b.
inalámbrica. Por ejemplo, si varias
Esta norma ofrece velocidades
empresas tienen sede en un mismo
hasta de 54 Mbps (22 Mbps típi-
edificio, y todas ellas poseen red ina-
camente) en la banda de 2.4 GHz,
lámbrica, el equipo de un empleado
y es compatible hacia atrás con los
podría encontrarse en cierto momen-
equipos 802.11b, por lo cual ha
to en el área de influencia de dos o
tenido una gran acogida, y se pre-
más redes diferentes, y dicho emplea-
vé que reemplace por completo al
do podría conectarse (intencional-
estándar 802.11b en un futuro no
mente o no) a la red de una compa-
muy lejano.
ñía que no es la suya. Aún peor, como
las ondas de radio pueden salir del
EL PROBLEMA
edificio, cualquier persona que posea
DE LA SEGURIDAD
un equipo móvil y entre en el área de
El acceso sin necesidad de cables, la
influencia de la red, podría conectar-
razón que hace tan populares a las
se a la red de la empresa.
redes inalámbricas, es a la vez el pro-

Figura 1. Acceso no autorizado a una red inalámbrica.

Lo grave de esta situación es que a internet se protege adecuadamen-


muchos administradores de redes te con un firewall bien configurado,
parecen no haberse dado cuenta de pero al interior de la red existen pun-
las implicaciones negativas de poseer tos de acceso inalámbrico totalmente
puntos de acceso inalámbrico en la desprotegidos e irradiando señal ha-
red de una empresa. Es muy común cia el exterior del edificio. Cualquier
encontrar redes en las que el acceso persona que desde el exterior capte

SISTEMAS
& TELEMÁTICA 15
la señal del punto de acceso, tendrá Equivalent Protocol). Además, cien de
acceso a la red de la compañía, con la estos puntos de acceso estaban divul-
posibilidad de navegar gratis en la gando información que permitía iden-
internet, emplear la red de la compa- tificar la empresa a la que pertene-
ñía como punto de ataque hacia otras cían, y 208 tenían la configuración
redes y luego desconectarse para no con la que vienen de fábrica.
ser detectado, robar software y/o in-
Existen dos prácticas bien conocidas
formación, introducir virus o software
para localizar redes inalámbricas:
maligno, entre muchas otras cosas.
Un punto de acceso inalámbrico mal • El warchalking,3 que consiste en
configurado se convierte en una puer- caminar por la calle con un com-
ta trasera que vulnera por completo putador portátil dotado de una
la seguridad informática de la com- tarjeta WLAN, buscando la señal
pañía. de puntos de acceso. Cuando se
encuentra uno, se pinta con tiza
La mala configuración de un acceso
un símbolo especial en la acera o
inalámbrico es, desgraciadamente,
en un muro, indicando la presen-
una cosa muy común. Un estudio
cia del punto de acceso y si tiene
publicado en 2003 por RSA Security
configurado algún tipo de seguri-
Inc.4 encontró que de 328 puntos de
dad o no. De este modo, otras per-
acceso inalámbricos que se detecta-
sonas pueden conocer la localiza-
ron en el centro de Londres, casi las
ción de la red.
dos terceras partes no tenían habili-
tado el cifrado mediante WEP (Wired

let’s warchalk!
Key Symbol
ssid
OPEN
NODE
bandwidth
ssid
CLOSE
NODE

ssid access
WEP
contact
NODE

bandwidth
blackbeltjones.com/warchalking

Figura 2. Warchalking y su simbología.3

16 SISTEMAS
& TELEMÁTICA
• El wardriving, propio para loca- lata de conservas o de papas fri-
lizar puntos de acceso inalámbri- tas,5) un GPS para localizar los
co desde un automóvil. Para este puntos de acceso en un mapa, y
fin se necesita de un computador software para detección de redes
portátil con una tarjeta WLAN, inalámbricas, que se consigue li-
una antena adecuada (que se pue- bremente en la internet.
de elaborar fácilmente con una

Figura 3. Wardriving. A la izquierda puede observarse el equipo necesario


(computador, GPS y antena); a la derecha, los triángulos indican sobre el
mapa18 la posición de redes inalámbricas.

Una vez localizada una red inalám- • Las ondas de radio deben confi-
brica, una persona podría llevar a narse tanto como sea posible. Esto
cabo dos tipos de ataques: es difícil de lograr totalmente,
pero se puede hacer un buen tra-
• Ingresar a la red y hacer uso ile-
bajo empleando antenas direccio-
gítimo de sus recursos.
nales y configurando adecuada-
• Configurar un punto de acceso mente la potencia de transmisión
propio, orientando la antena de tal de los puntos de acceso.
modo que los computadores que
• Debe existir algún mecanismo de
son clientes legítimos de la red
autenticación en doble vía, que
atacada se conecten a la red del
permita al cliente verificar que se
atacante. Una vez hecho esto, el
está conectando a la red correcta,
atacante podría robar la informa-
y a la red constatar que el cliente
ción de dichos computadores, ins-
está autorizado para acceder a
talarles software maligno o dañar
ella.
la información.
• Los datos deben viajar cifrados por
GARANTIZANDO LA el aire, para evitar que equipos aje-
SEGURIDAD DE UNA RED nos a la red puedan capturar da-
INALÁMBRICA tos mediante escucha pasiva.
Para poder considerar una red ina-
Existen varios métodos para lograr
lámbrica como segura, debería cum-
la configuración segura de una red
plir con los siguientes requisitos:

SISTEMAS
& TELEMÁTICA 17
inalámbrica; cada método logra un capturadas a la tarjeta de su com-
nivel diferente de seguridad y presen- putador, empleando programas
ta ciertas ventajas y desventajas. Se tales como AirJack6 o WellenRei-
hará a continuación una presentación ter,7 entre otros. De este modo, el
de cada uno de ellos. atacante puede hacerse pasar por
un cliente válido.
Método 1:
• En caso de robo de un equipo ina-
Filtrado de direcciones MAC
lámbrico, el ladrón dispondrá de un
Este método consiste en la creación dispositivo que la red reconoce como
de una tabla de datos en cada uno de válido. En caso de que el elemento
los puntos de acceso a la red inalám- robado sea un punto de acceso el
brica. Dicha tabla contiene las direc- problema es más serio, porque el
ciones MAC (Media Access Control) punto de acceso contiene toda la ta-
de las tarjetas de red inalámbricas bla de direcciones válidas en su me-
que se pueden conectar al punto de moria de configuración.
acceso. Como toda tarjeta de red po-
see una dirección MAC única, se lo- Debe notarse además, que este méto-
gra autenticar el equipo. do no garantiza la confidencialidad de
la información transmitida, ya que no
Este método tiene como ventaja su prevé ningún mecanismo de cifrado.
sencillez, por lo cual se puede usar
para redes caseras o pequeñas. Sin Método 2:
embargo, posee muchas desventajas Wired Equivalent Privacy
que lo hacen impráctico para uso en (WEP)
redes medianas o grandes:
El algoritmo WEP10 forma parte de
• No escala bien, porque cada vez la especificación 802.11, y se diseñó
que se desee autorizar o dar de con el fin de proteger los datos que se
baja un equipo, es necesario edi- transmiten en una conexión inalám-
tar las tablas de direcciones de to- brica mediante cifrado. WEP opera a
dos los puntos de acceso. Después nivel 2 del modelo OSI y es soportado
de cierto número de equipos o de por la gran mayoría de fabricantes de
puntos de acceso, la situación se soluciones inalámbricas.
torna inmanejable.
El algoritmo WEP cifra de la siguien-
• El formato de una dirección MAC te manera (ver Figura 4):
no es amigable (normalmente se
• A la trama en claro se le compu-
escriben como 6 bytes en hexade-
ta un código de integridad (Inte-
cimal), lo que puede llevar a co-
grity Check Value, ICV) median-
meter errores en la manipulación
te el algoritmo CRC-32. Dicho
de las listas.
ICV se concatena con la trama, y
• Las direcciones MAC viajan sin es empleado más tarde por el re-
cifrar por el aire. Un atacante po- ceptor para comprobar si la tra-
dría capturar direcciones MAC de ma ha sido alterada durante el
tarjetas matriculadas en la red transporte.
empleando un sniffer, y luego
• Se escoge una clave secreta com-
asignarle una de estas direcciones
partida entre emisor y receptor.

18 SISTEMAS
& TELEMÁTICA
Esta clave puede poseer 40 ó 128 es capaz de generar una secuen-
bits. cia seudo-aleatoria (o cifra de flu-
jo) tan larga como se desee a par-
• Si se empleara siempre la misma
tir de la semilla.
clave secreta para cifrar todas las
tramas, dos tramas en claro igua- • El generador RC4 genera una ci-
les producirían tramas cifradas si- fra de flujo, del mismo tamaño de
milares. Para evitar esta eventua- la trama a cifrar más 32 bits (para
lidad, se concatena la clave secreta cubrir la longitud de la trama y el
con un número aleatorio llamado ICV).
vector de inicialización (IV) de 24
• Se hace un XOR bit por bit de la
bits. El IV cambia con cada trama.
trama con la secuencia de clave,
• La concatenación de la clave se- obteniéndose como resultado la
creta y el IV (conocida como semi- trama cifrada.
lla) se emplea como entrada de un
• El IV y la trama se transmiten
generador RC4 de números seu-
juntos.
do-aleatorios. El generador RC4

Vector IV
de inicialización (IV)
Semilla GNSA Cifra de flujo
Texto
Clave secreta cifrado
Texto en claro

Algoritmo de integridad
Código de
integridad Mensaje
(ICV)

Figura 4. Funcionamiento del algoritmo WEP en modalidad de cifrado.10

En el receptor se lleva a cabo el pro- • Se efectúa un XOR bit por bit de


ceso de descifrado (Figura 5): la cifra de flujo y la trama cifra-
do, obteniéndose de esta manera
• Se emplean el IV recibido y la cla-
la trama en claro y el ICV.
ve secreta compartida para gene-
rar la semilla que se utilizó en el • A la trama en claro se le aplica el
transmisor. algoritmo CRC-32 para obtener
un segundo ICV, que se compara
• Un generador RC4 produce la ci-
con el recibido.
fra de flujo a partir de la semilla.
Si la semilla coincide con la em- • Si los dos ICV son iguales, la tra-
pleada en la transmisión, la cifra ma se acepta; en caso contrario se
de flujo también será idéntica a rechaza.
la usada en la transmisión.

SISTEMAS
& TELEMÁTICA 19
Clave secreta
Semilla Cifra de flujo Trama en claro
IV GNSA
ICV*
Algoritmo de integridad
ICV OK
Trama cifrada ICV = ICV*?

GNSA = Generador de números seudo-aleatorios


Mensaje

Figura 5. Funcionamiento del algoritmo WEP en modalidad de descifrado.10

El algoritmo WEP resuelve aparen- un ataque estadístico. Con el tex-


temente el problema del cifrado de to en claro de una trama y su res-
datos entre emisor y receptor. Sin pectivo texto cifrado se puede ob-
embargo, existen dos situaciones que tener la cifra de flujo; conociendo
hacen que WEP no sea seguro en la el funcionamiento del algoritmo
manera que es empleado en la mayo- RC4 es posible entonces obtener
ría de aplicaciones: la clave secreta y descifrar toda
la conversación.17
• La mayoría de instalaciones em-
plea WEP con claves de cifrado • WEP no ofrece servicio de auten-
estáticas (se configura una clave ticación. El cliente no puede au-
en el punto de acceso y no se la tenticar a la red, ni al contrario;
cambia nunca, o muy de vez en basta con que el equipo móvil y el
cuando). Esto hace posible que un punto de acceso compartan la cla-
atacante acumule grandes canti- ve WEP para que la comunicación
dades de texto cifrado con la mis- pueda llevarse a cabo.
ma clave y pueda intentar un ata-
Existen en este momento diversas
que por fuerza bruta.
herramientas gratuitas para romper
• El IV que se utiliza es de longitud la clave secreta de enlaces protegi-
insuficiente (24 bits). Dado que dos con WEP. El primer programa
cada trama se cifra con un IV di- que hizo esto posible fue WEPCrack,8
ferente, solamente es cuestión de que consiste en una serie de scripts
tiempo para que se agote el espa- escritos en lenguaje Perl diseñados
cio de 224 IV distintos. Esto no es para analizar un archivo de captura
problemático en una red casera de paquetes de un sniffer. La herra-
con bajo tráfico, pero en una red mienta AirSnort9 hace lo mismo, pero
que posea alto tráfico se puede integra las funciones de sniffer y rom-
agotar el espacio de los IV en más pedor de claves, y por lo tanto es más
o menos 5 horas. Si el atacante fácil de usar. Airsnort captura paque-
logra conseguir dos tramas con IV tes pasivamente, y rompe la clave
idéntico, puede efectuar un XOR WEP cuando ha capturado suficien-
entre ellas y obtener los textos en tes datos.
claro de ambas tramas mediante

20 SISTEMAS
& TELEMÁTICA
Método 3: es insegura. Esto quiere decir que la
Las VPN parte de la red que maneja el acceso
Una red privada virtual (Virtual Pri- inalámbrico debe estar aislada del
vate Network, VPN) emplea tecnolo- resto de la red, mediante el uso de
gías de cifrado para crear un canal una lista de acceso adecuada en un
virtual privado sobre una red de uso enrutador, o agrupando todos los
público. Las VPN resultan especial- puertos de acceso inalámbrico en una
mente atractivas para proteger redes VLAN si se emplea switching. Dicha
inalámbricas, debido a que funcionan lista de acceso y/o VLAN solamente
sobre cualquier tipo de hardware ina- debe permitir el acceso del cliente ina-
lámbrico y superan las limitaciones lámbrico a los servidores de autori-
de WEP. zación y autenticación de la VPN.
Deberá permitirse acceso completo al
Para configurar una red inalámbrica cliente, sólo cuando éste ha sido de-
utilizando las VPN, debe comenzar- bidamente autorizado y autenticado.
se por asumir que la red inalámbrica

Servidor de
autorización,
autenticación y
cifrado de datos

Red corporativa
Cliente Punto de Switch o
inalámbrico acceso enturador

Figura 6. Estructura de una VPN para acceso inalámbrico seguro.

Los servidores de VPN se encargan torizados a una red.11 El protocolo fue


de autenticar y autorizar a los clien- inicialmente creado por la IEEE para
tes inalámbricos, y de cifrar todo el uso en redes de área local alambra-
tráfico desde y hacia dichos clientes. das, pero se ha extendido también a
Dado que los datos se cifran en un las redes inalámbricas. Muchos de los
nivel superior del modelo OSI, no es puntos de acceso que se fabrican en
necesario emplear WEP en este es- la actualidad ya son compatibles con
quema. 802.1x.
El protocolo 802.1x involucra tres
Método 4:
participantes (Figura 7):
802.1x
802.1x es un protocolo de control de • El suplicante, o equipo del clien-
acceso y autenticación basado en la te, que desea conectarse con la
arquitectura cliente/servidor, que res- red.
tringe la conexión de equipos no au- • El servidor de autorización/auten-

SISTEMAS
& TELEMÁTICA 21
ticación, que contiene toda la in- dad se optó por emplearlos tam-
formación necesaria para saber bién para autenticación en las
cuáles equipos y/o usuarios están LAN.
autorizados para acceder a la red.
• El autenticador, que es el equipo
802.1x fue diseñado para emplear
de red (switch, enrutador, servi-
servidores RADIUS (Remote Au-
dor de acceso remoto...) que reci-
thentication Dial-In User Servi-
be la conexión del suplicante. El
ce), cuya especificación se puede
autenticador actúa como interme-
consultar en la RFC 2058. Estos
diario entre el suplicante y el ser-
servidores fueron creados inicial-
vidor de autenticación, y solamen-
mente para autenticar el acceso
te permite el acceso del suplican-
de usuarios remotos por conexión
te a la red cuando el servidor de
vía telefónica; dada su populari-
autenticación así lo autoriza.

EAP sobre
RADIUS
EAPOL
(EAP over LAN)
Servidor de
autenticación
(RADIUS)

Autenticador

Frontera de la red
Suplicante

Figura 7. Arquitectura de un sistema de autenticación 802.1x. 12

La autenticación del cliente se lleva asociarse con un punto de acceso


a cabo mediante el protocolo EAP (Ex- (en el caso inalámbrico). En ese
tensible Authentication Protocol) y el momento, la interfaz de red tiene
servicio RADIUS, de la siguiente el acceso bloqueado para tráfico
manera: normal, y lo único que admite es
el tráfico EAPOL (EAP over LAN),
• El proceso inicia cuando la esta-
que es el requerido para efectuar
ción de trabajo se enciende y acti-
la autenticación.
va su interfaz de red (en el caso
alambrado) o logra enlazarse o

22 SISTEMAS
& TELEMÁTICA
• La estación de trabajo envía un sencillo como una contraseña, o
mensaje EAPOL-Start al auten- involucrar una función criptográ-
ticador, indicando que desea ini- fica más elaborada. El autentica-
ciar el proceso de autenticación. dor envía el desafío al cliente en
un mensaje EAP-Request.
• El autenticador solicita a la es-
tación que se identifique, me- • El cliente da respuesta al desafío
diante un mensaje EAP-Request/ mediante un mensaje EAP-Res-
Identity. ponse (Credentials) dirigido al au-
tenticador. Este último reenvía el
• La estación se identifica median-
desafío al servidor en un mensaje
te un mensaje EAP-Response/
RADIUS-Access-Response.
Identity.
• Si toda la información de auten-
• Una vez recibida la información
ticación es correcta, el servidor
de identidad, el autenticador en-
envía al autenticador un mensaje
vía un mensaje RADIUS-Access-
RADIUS-Access-Accept, que auto-
Request al servidor de autentica-
riza al autenticador a otorgar ac-
ción, y le pasa los datos básicos
ceso completo al cliente sobre el
de identificación del cliente.
puerto, además de brindar la in-
• El servidor de autenticación res- formación inicial necesaria para
ponde con un mensaje RADIUS- efectuar la conexión a la red.
Access-Challenge, en el cual en-
• El autenticador envía un mensa-
vía información de un desafío que
je EAP-Success al cliente, y abre
debe ser correctamente resuelto
el puerto de acuerdo con las ins-
por el cliente para lograr el acce-
trucciones del servidor RADIUS.
so. Dicho desafío puede ser tan

Router, switch,
punto de acceso...

Suplicante Servidor RADIUS


Autenticador
Conexión al puerto (Alambrado)
Asociación (Inalámbrico)
ACCESO BLOQUEADO
EAPOL-Start
EAP-Request/Identity
EAP-Response/Identity RADIUS-Access-Request

EAPOL EAP-Request RADIUS-Access-Challenge


RADIUS
EAP-Response (credentials) RADIUS-Access-Response

EAP-Success RADIUS-Access-Accept

ACCESO OTORGADO

Figura 8. Diálogo EAPOL-RADIUS.12,16

SISTEMAS
& TELEMÁTICA 23
En el caso del acceso inalámbrico, el tal como PAP, CHAP, MS-CHAP
servidor RADIUS despacha en el ó MS-CHAP v2.
mensaje RADIUS-Access-Accept un
juego de claves WEP dinámicas, que • PEAP: Desarrollado por Micro-
se usarán para cifrar la conexión en- soft, Cisco y RSA Security. Fun-
tre el cliente y el punto de acceso. El ciona de manera parecida a EAP-
servidor RADIUS se encarga de cam- TTLS, en el sentido de que sola-
biar esta clave dinámica periódica- mente requiere de certificado de
mente (por ejemplo, cada cinco minu- seguridad en el servidor. Provee
tos), para evitar el ataque de rompi- protección a métodos más anti-
miento de la clave descrito en la sec- guos de EAP, mediante el estable-
ción referente a WEP. cimiento de un túnel seguro TLS
entre el cliente y el autenticador.
Existen varias variantes del protoco-
lo EAP,13 según la modalidad de au- El empleo de certificados permite una
tenticación que se emplee. Se puede autenticación fuerte entre cliente y
hablar de dos grupos de variantes: las servidor, sin embargo posee también
que emplean certificados de seguri- varias desventajas:
dad, y las que utilizan contraseñas. • La administración de los certifi-
Las variantes de EAP que emplean cados de seguridad puede ser cos-
certificados de seguridad son las si- tosa y complicada, especialmente
guientes: en los esquemas donde se necesi-
tan certificados en los clientes y
• EAP-TLS: Requiere de instalación en el servidor. Es necesario com-
de certificados en los clientes y en prar los certificados a una autori-
el servidor. Proporciona autenti- dad de certificación (CA) conoci-
cación mutua fuerte (es decir, el da, o montar una CA propia.
servidor autentica al cliente y vi-
ceversa) y soporta el uso de cla- • El diálogo de autenticación es lar-
ves dinámicas para WEP. La se- go. Esto ocasiona que el proceso
sión de autenticación entre el sea algo demorado, siendo espe-
cliente y el autenticador se cifra cialmente molesto para usuarios
empleando el protocolo TLS que tienen que reautenticarse con
(Transparent Layer Substrate). mucha frecuencia (por ejemplo,
usuarios en movimiento que cam-
• EAP-TTLS: Desarrollada por bien de un punto de acceso a otro).
Funk Software y Certicom. Pro-
porciona servicios similares a • La manipulación del certificado
EAP-TLS, con la diferencia de que puede ser engorrosa para el usua-
requiere solamente la instalación rio. En muchos casos se elige ins-
de un certificado en el servidor. talar el certificado en la terminal
Esto garantiza la autenticación del usuario, con lo cual, si la ter-
fuerte del servidor por parte del minal es robada y el certificado es
cliente; la autenticación del clien- el único nivel de seguridad que se
te por parte del servidor se efec- posee, la seguridad de la red es-
túa una vez que se establece la se- taría en riesgo. Otra solución se-
sión TLS, utilizando otro método ría llevar el certificado en una tar-

24 SISTEMAS
& TELEMÁTICA
jeta inteligente (smart card), lo una contraseña) a través de un
que obligaría a instalar hardware medio inseguro. Se ha comproba-
adicional en las terminales para do que el método es muy seguro,
leer dichas tarjetas. aun con contraseñas cortas. Ofre-
ce protección contra ataques de
Las variantes de EAP que utilizan diccionario, así como el servicio de
contraseñas son las siguientes: autenticación mutua sin necesi-
• EAP-MD5: Emplea un nombre de dad de certificados. Muchos pro-
usuario y una contraseña para la veedores lo implementan por ser
autenticación. La contraseña se un método de autenticación robus-
transmite cifrada con el algorit- to y sencillo.
mo MD5. Su gran inconveniente
consiste en el bajo nivel de segu- MÉTODO 5
ridad que maneja, ya que es sus- WPA (WI-FI Protected Access)
ceptible a ataques de diccionario WPA14 es un estándar propuesto por
(un atacante puede ensayar a ci- los miembros de la Wi-Fi Alliance
frar múltiples contraseñas con (que reúne a los grandes fabricantes
MD5 hasta que encuentre una de dispositivos para WLAN) en cola-
cuyo texto cifrado coincida con la boración con la IEEE. Este estándar
contraseña cifrada capturada an- busca subsanar los problemas de
teriormente). Además, el cliente WEP, mejorando el cifrado de los da-
no tiene manera de autenticar al tos y ofreciendo un mecanismo de
servidor (no se podría garantizar autenticación.
que el cliente se está conectando
Para solucionar el problema de cifra-
a la red adecuada), y el esquema
do de los datos, WPA propone un nue-
no es capaz de generar claves
vo protocolo para cifrado, conocido
WEP dinámicas. Por estos pro-
como TKIP (Temporary Key Integri-
blemas, EAP-MD5 ha caído en
ty Protocol). Este protocolo se encar-
desuso.
ga de cambiar la clave compartida
• LEAP: Esta variante es propieta- entre punto de acceso y cliente cada
ria de Cisco. Emplea un esquema cierto tiempo, para evitar ataques que
de nombre de usuario y contrase- permitan revelar la clave. Igualmen-
ña, y soporta claves dinámicas te se mejoraron los algoritmos de ci-
WEP. Al ser una tecnología pro- frado de trama y de generación de los
pietaria, exige que todos los pun- IVs, con respecto a WEP.
tos de acceso sean marca Cisco, y
El mecanismo de autenticación usado
que el servidor RADIUS sea com-
en WPA emplea 802.1x y EAP, que fue-
patible con LEAP.
ron discutidos en la sección anterior.
• EAP-SPEKE: Esta variante em-
Según la complejidad de la red, un
plea el método SPEKE (Simple
punto de acceso compatible con WPA
Password-authenticated Expo-
puede operar en dos modalidades:
nential Key Exchange), que per-
mite verificar que tanto cliente • Modalidad de red empresarial:
como servidor comparten una in- Para operar en esta modalidad se
formación secreta (en este caso, requiere de la existencia de un

SISTEMAS
& TELEMÁTICA 25
servidor RADIUS en la red. El poseen un nivel de seguridad muy
punto de acceso emplea entonces débil, con lo cual se está poniendo en
802.1x y EAP para la autentica- peligro la confidencialidad e integri-
ción, y el servidor RADIUS sumi- dad de dicha información.
nistra las claves compartidas que
Existen diversas soluciones para
se usarán para cifrar los datos.
mejorar la seguridad en las redes ina-
• Modalidad de red casera, o PSK lámbricas. Su implementación depen-
(Pre-Shared Key): WPA opera en de del uso que se vaya a dar a la red
esta modalidad cuando no se dis- (casera o empresarial), de si es una
pone de un servidor RADIUS en red ya existente o una nueva, y del
la red. Se requiere entonces intro- presupuesto del que se disponga para
ducir una contraseña compartida implantarla, entre otros factores.
en el punto de acceso y en los dis-
positivos móviles. Solamente po- La restricción de acceso mediante di-
drán acceder al punto de acceso recciones MAC es insuficiente para
los dispositivos móviles cuya con- cualquier red, dado el gran número
traseña coincida con la del punto de herramientas disponibles libre-
de acceso. Una vez logrado el ac- mente para cambiar la dirección
ceso, TKIP entra en funciona- MAC de una tarjeta cualquiera.
miento para garantizar la seguri- El método mediante WEP con clave
dad del acceso. Se recomienda que estática es el mínimo nivel de protec-
las contraseñas empleadas sean ción que existe. En una red casera
largas (20 o más caracteres), por- puede ser suficiente; en una corpora-
que ya se ha comprobado que WPA tiva, el uso de WEP está formalmen-
es vulnerable a ataques de diccio- te desaconsejado, por la facilidad con
nario si se utiliza una contraseña la que se pueden romper las claves
corta.15 WEP en un entorno de alto tráfico.
La norma WPA data de abril de 2003, El uso de las VPN es una alternativa
y es de obligatorio cumplimiento para interesante cuando ya se tiene una red
todos los miembros de la Wi-Fi Allian- inalámbrica, y no se posee hardware
ce a partir de finales de 2003. Según inalámbrico que soporte el protocolo
la Wi-Fi Alliance, todo equipo de red 802.1x. Requiere de la instalación de
inalámbrica que posea el sello “Wi- software especializado en los clientes
Fi Certified” podrá ser actualizado inalámbricos, y de un servidor o una
por software para que cumpla con la serie de servidores que manejen las
especificación WPA. tareas de cifrado de datos, autentica-
ción y autorización de acceso.
CONCLUSIONES
La seguridad en las redes inalámbri- La alternativa de 802.1x y EAP es la
cas es una necesidad, dadas las ca- adecuada si los equipos de la red ina-
racterísticas de la información que lámbrica se pueden actualizar, o si se
por ellas se transmite. Sin embargo, va a montar una red nueva. Puede
la gran cantidad de las redes inalám- usarse la solución de WEP con clave
bricas actualmente instaladas no tie- dinámica, o la de WPA; ambas ofre-
nen configurada seguridad alguna, o cen un excelente grado de protección.

26 SISTEMAS
& TELEMÁTICA
Finalmente, todo mecanismo de pro- 9. AirSnort Homepage. http://
tección de información en una red airsnort.shmoo.com/
debe estar enmarcado dentro de una
política de seguridad adecuada. El se- 10. Authentication and Privacy. En
guimiento de una política consisten- ANSI / IEEE Standard 802.11,
te evita que las medidas de protec- 1999 Edition. http://
ción se vuelvan un obstáculo para el standards.ieee.org/getieee802/
trabajo habitual con los sistemas de download/802.11-1999.pdf , 59-
información, y garantiza la calidad 68 pp.
y confidencialidad de la información 11. Suhdir Nath. 802.1x Overview.
presente en los sistemas de la em- Noviembre de 2003 http://
presa. www.cisco.com/warp/public/732/
Tech/security/docs/
BIBLIOGRAFÍA
8021xoverview.ppt
1. Intel Centrino Mobile Technolo-
gy. http://www.intel.com/pro- 12. Paul Congdon. IEEE 802.1x
ducts/mobiletechnology/ Overview Port Based Network
Access Control. Marzo de 2000.
2. 802.11 standards: 802.11b,
http://www.ieee802.org/1/files/
802.11a, 802.11g: Which one is
public/docs2000/
right for you? http://
P8021XOverview.PDF
compnetworking.about.com/cs/
wireless80211/a/ 13. IEC. EAP Methods for 802.11
aa80211standard.htm Wireless LAN Security. http://
www.iec.org/online/tutorials/
3. Warchalking. http://
acrobat/eap_methods.pdf
www.warchalking.org
14. Wi-Fi Alliance. Overview: Wi-Fi
4. Dennis Fisher. Study Exposes
Protected Access. Octubre 31 de
WLAN Security Risks. Marzo 12
2002. http://www.weca.net/
de 2003. http://www.eweek.com/
OpenSection/pdf/Wi-
print_article/
Fi_Protected_Access_Overview.pdf
0,3048,a=38444,00.asp
15. WPA’s Little Secret. Noviembre 4
5. Rob Flickenger. Antenna on the
de 2003. http://
Cheap (er, Chip). Julio 5 de
www.stargeek.com/item/
2001. http://www.oreillynet.com/
20270.html
pub/wlg/448
16. Eduardo Tabacman. Seguridad
6. AirJack. http://802.11ninja.net/
en Redes Wireless. En las memo-
airjack/
rias de la I Jornada de Telemática
7. Wellenreiter – WLAN Hacking. “Comunicaciones Inalámbricas,
http://www.wellenreiter.net/ Computación Móvil”. ACIS,
Bogotá (Colombia), Noviembre 13
8. WEPCrack Project Info. http://
y 14 de 2003.
sourceforge.net/projects/wepcrack

SISTEMAS
& TELEMÁTICA 27
17. Nikita Borisov, Ian Goldberg, to a Doctor en Ciencias de la
David Wagner. Security of the Computación de la Universidad
WEP algorithm. http:// de Kansas, con la disertación
www.isaac.cs.berkeley.edu/isaac/ “Aspectos temporales de perfi-
wep-faq.html les para búsqueda en la Web”.
Ha estado vinculado laboral-
18. Wireless LAN in London. Enero mente con la Universidad Icesi
26 de 2002. http:// desde 1994, y desempeñó hasta
www.hoobie.net/wlan 1999 funciones de soporte téc-
nico a sistemas, diseño, puesta
CURRÍCULO en marcha y administración de
Juan Manuel Madrid Molina es la red institucional. En la actua-
Ingeniero de Sistemas de la lidad es profesor de tiempo com-
Universidad Icesi (1995), Espe- pleto del Departamento de Re-
cialista en Gerencia de Informá- des y Comunicaciones y direc-
tica con concentración en Redes tor del programa de Ingeniería
y Comunicaciones de la misma Telemática.
Universidad (1999) y candida-

28 SISTEMAS
& TELEMÁTICA