Consulta No.
3
Cristian David Viloria Palomo
Facultad de ingeniería, Instituto Tecnológico Metropolitano.
Cristianviloria252284@correo.itm.edu.co
1. ¿Qué es y para qué sirve activar o habilitar el
denominado “SSID Broadcast” ?, sino se activa qué
pasa?
Un Identificador de conjunto de servicios (SSID) es
el nombre de la red inalámbrica transmitido por un
enrutador Linksys. Cuando un dispositivo
inalámbrico busca redes inalámbricas en el área,
detectará el SSID para poder asociarse con el
enrutador. Sin embargo, la transmisión SSID está
habilitada de manera predeterminada; También
puede optar por desactivarlo.
Desactivar el broadcast SSID es una forma de
proteger su red inalámbrica. Este procedimiento
evitará que otros usuarios detecten su SSID o el
nombre de su red inalámbrica cuando intenten ver las
redes inalámbricas disponibles en su área.
2. ¿Una regla de filtro de MAC Wireless, ¿para qué
sirve en un equipo inalámbrico?
Comenzando por definir la función, podríamos decir
que se trata de una función que permite restringir el
acceso a los recursos de un dispositivo concreto.
Siempre se nos viene a la cabeza un router, pero
también se puede encontrar en un punto de acceso
inalámbrico.
Modos de funcionamiento del filtrado MAC
Los fabricantes de router han mejorado las funciones
existentes en los firmwares de los routers. Una de las
desconocidas para muchos es el filtrado MAC, que
ya hemos descrito anteriormente.
Con esta función, el usuario podrá crear listas negras
o blancas, depende de cuáles sean las necesidades. Es
decir, el número de equipos a controlar. Podríamos
decir que tiene ese doble enfoque. Si se selecciona el
funcionamiento como una lista negra, todos los
identificadores de los equipos introducidos en esta
lista serán bloqueados. Es decir, no podrán hacer
uso de los recursos del router. Sin embargo, si
funciona como una lista blanca, serán todos los
equipos existentes en este listado los que
dispondrán de permisos necesarios para disfrutar
de los recursos del router o punto de acceso.
3. ¿Qué es y qué diferencia hay entre
Protocolo de autenticación y Protocolo de
encripción (encriptación)?
Un protocolo de autenticación es un tipo
de protocolo de
comunicaciones informáticas o protocolo
criptográfico diseñado específicamente para la
transferencia de datos de computadoras
de autenticación entre dos entidades. Permite a la
entidad receptora autenticar la entidad de conexión
(por ejemplo, el Cliente que se conecta a un
Servidor), así como autenticarse a la entidad de
conexión (Servidor a un cliente) declarando el tipo
de información necesaria para la autenticación y la
sintaxis. [1] Es la capa de protección más importante
necesaria para una comunicación segura dentro de
las redes
Un protocolo criptográfico o protocolo de
seguridad (también llamado protocolo de cifrado) es
un protocolo abstracto o concreto que realiza
funciones relacionadas con la seguridad, aplicando
métodos criptográficos.
Un protocolo describe la forma en que
un algoritmo debe usarse. Un protocolo lo
suficientemente detallado incluye detalles acerca de
las estructuras de datos y representaciones, punto en
el cual puede usarse para implementar versiones
interoperables múltiples de un programa.
Los protocolos criptográficos se usan ampliamente
para transporte de datos seguros a nivel de
aplicación. Un protocolo criptográfico comúnmente
incorpora por lo menos uno de los siguientes
aspectos:
A. Establecimiento de claves
B. Autenticación de entidades
C. Cifrado simétrico y autenticación de mensajes
D. Transporte de datos en forma segura a nivel de
aplicación
E. Métodos de no repudio
4. ¿Qué es, en qué consiste, qué características
posee, qué ventajas y desventajas ofrece el método
de autenticación WEP?. Deberían usarse hoy en
día?.
WEP (Wired Equivalent Privacy, Privacidad
Equivalente al Cable) es el algoritmo opcional de
seguridad para brindar protección a las redes
inalámbricas, incluido en la primera versión del
estándar IEEE 802.11, mantenido sin cambios en las
nuevas 802,11a y 802.11b, con el fin de garantizar
compatibilidad entre distintos fabricantes. El WEP
es un sistema de encriptación estándar
implementado en la MAC y soportado por la
mayoría de las soluciones inalámbricas.
WEP utiliza una clave secreta compartida entre una
estación inalámbrica y un punto de acceso. Todos los
datos enviados y recibidos entre la estación y el
punto de acceso pueden ser cifrados utilizando esta
clave compartida. El estándar 802.11 no especifica
cómo se establece la clave secreta, pero permite que
haya una tabla que asocie una clave exclusiva con
cada estación. En la práctica general, sin embargo,
una misma clave es compartida entre todas las
estaciones y puntos de acceso de un sistema dado.
Para proteger el texto cifrado frente a
modificaciones no autorizadas mientras está en
tránsito, WEP aplica un algoritmo de comprobación
de integridad (CRC-32) al texto en claro, lo que
genera un valor de comprobación de integridad
(ICV). Dicho valor de comprobación de integridad
se concatena con el texto en claro. El valor de
comprobación de integridad es, de hecho, una
especie de huella digital del texto en claro. El valor
ICV se añade al texto cifrado y se envía al receptor
junto con el vector de inicialización. El receptor
combina el texto cifrado con el flujo de clave para
recuperar el texto en claro. Al aplicar el algoritmo de
integridad al texto en claro y comparar la salida con
el vector ICV recibido, se puede verificar que el
proceso de descifrado ha sido correcto ó que los
datos han sido corrompidos
Según el estándar, WEP debe proporcionar
confidencialidad, autentificación y control de
acceso en redes WLAN. WEP utiliza una
misma clave simétrica y estática en las
estaciones y el punto de acceso. El estándar no
contempla ningún mecanismo de distribución
automática de claves, lo que obliga a escribir la
clave manualmente en cada uno de los
elementos de red. Esto genera varios
inconvenientes. Por un lado, la clave está
almacenada en todas las estaciones,
aumentando las posibilidades de que sea
comprometida. Y por otro, la distribución
manual de claves provoca un aumento de
mantenimiento por parte del administrador de la
red, lo que conlleva, en la mayoría de ocasiones,
que la clave se cambie poco o nunca
A pesar de todo el trabajo que se ha hecho para
mejorar el sistema, WEP sigue siendo una
solución altamente vulnerable. Los sistemas
que dependen de este protocolo deben ser
actualizados o reemplazados en caso de que la
actualización de seguridad no sea posible. WEP
fue oficialmente abandonada por la Alianza Wi-
Fi en 2004.
5. ¿Qué es, en qué consiste, qué características
posee, que ventajas y desventajas ofrece el
método de autenticación: WPA-PSK y WPA2-
PSK? Y WPA-Enterprise?. ¿Cuál es mejor?,
¿por qué?
WPA-PSK: Lo más habitual en una red WiFi
doméstica con seguridad WPA es que la
autenticación se base en PSK, que son las siglas de
Pre Shared Key (clave compartida previamente), es
decir, la seguridad de la red WiFi se basa en un
secreto compartido (la contraseña de la red WiFi),
que conocen sus usuarios y el punto de acceso.
Para simplificarlo, una red WiFi WPA-PSK dispone
de una contraseña conocida por todos y cada uno de
los clientes que se conectan a la red WiFi. Es la
configuración de red más utilizada en los routers
WiFi que los ISPs facilitan con sus conexiones de
ADSL/Cable/Fibra óptica.
WPA2-PSK: WPA2 es es el nuevo estándar de
seguridad WiFi que incorpora algunas mejoras para
hacerlo más resistente a algunos ataques conocidos. con
WPA2 las contraseñas se pueden seguir intercambiando
cómo un secreto compartido (PSK) en las redes
domésticas.
6. ¿En qué consiste y qué es el algoritmo de
encriptación TKIP y AES?
TKIP: (Temporal Key Integrity Protocol) es también
llamado hashing de clave WEP WPA, incluye
mecanismos del estándar emergente 802.11i para
mejorar el cifrado de datos inalámbricos. WPA tiene
TKIP, que utiliza el mismo algoritmo que WEP, pero
construye claves en una forma diferente. Esto era
necesario porque la ruptura de WEP había dejado a las
redes WiFi sin seguridad en la capa de enlace, y se
necesitaba una solución para el hardware ya
desplegado.
El proceso de TKIP comienza con una clave temporal
de 128 bits que es compartida entre los clientes y los
puntos de acceso. Combina la clave temporal con la
dirección MAC del cliente. Luego agrega un vector de
inicialización relativamente largo, de 16 octetos, para
producir la clave que cifrará los datos. Este
procedimiento asegura que cada estación utilice
diferentes streams claves para cifrar los datos. El
hashing de clave WEP protege a los vectores de
inicialización (IVs) débiles para que no sean expuestos
haciendo hashing del IV por cada paquete.
Utiliza el algoritmo RC4 para realizar el cifrado, que es
lo mismo que se usa en el cifrado WEP. Sin embargo,
una gran diferencia con el WEP es que cambia las
claves temporales cada 10.000 paquetes. Esto
proporciona un método de distribución dinámico, lo que
mejora significativamente la seguridad de la red.
AES: Advanced Encryption Standard (AES), también
conocido como Rijndael (pronunciado "Rain Doll" en
inglés), es un esquema de cifrado por bloques, el AES
es uno de los algoritmos más populares usados en
criptografía simétrica.
Estrictamente hablando, AES no es precisamente
Rijndael (aunque en la práctica se los llama de manera
indistinta) ya que Rijndael permite un mayor rango
de tamaño de bloques y longitud de claves; AES
tiene un tamaño de bloque fijo de 128 bits y
tamaños de llave de 128, 192 o 256 bits, mientras
que Rijndael puede ser especificado por una clave
que sea múltiplo de 32 bits, con un mínimo de 128
bits y un máximo de 256 bits.
La mayoría de los cálculos del algoritmo AES se
hacen en un campo finito determinado.
AES opera en una matriz de 4×4 bytes, llamada
state (algunas versiones de Rijndael con un tamaño
de bloque mayor tienen columnas adicionales en el
state).
7. ¿En qué consiste y qué es el protocolo de
seguridad denominado IPSEC?
IPsec (abreviatura de Internet Protocol security) es
un conjunto de protocolos cuya función es asegurar
las comunicaciones sobre el Protocolo de Internet
(IP) autenticando y/o cifrando cada paquete IP en
un flujo de datos. IPsec también incluye protocolos
para el establecimiento de claves de cifrado.
Los protocolos de IPsec actúan en la capa de red, la
capa 3 del modelo OSI.Otros protocolos de
seguridad para Internet de uso extendido, como
SSL, TLS y SSH operan de la capa de transporte
(capas OSI 4 a 7) hacia arriba. Esto hace que IPsec
sea más flexible, ya que puede ser utilizado para
proteger protocolos de la capa 4, incluyendo TCP y
UDP, los protocolos de capa de transporte más
usados. IPsec tiene una ventaja sobre SSL y otros
métodos que operan en capas superiores. Para que
una aplicación pueda usar IPsec no hay que hacer
ningún cambio, mientras que, para usar SSL y otros
protocolos de niveles superiores, las aplicaciones
tienen que modificar su código.
IPsec está implementado por un conjunto de
protocolos criptográficos para asegurar el flujo de
paquetes, garantizar la autenticación mutua y
establecer parámetros criptográficos.
La arquitectura de seguridad IP utiliza el concepto
de asociación de seguridad (SA) como base para
construir funciones de seguridad en IP. Una
asociación de seguridad es simplemente el paquete
de algoritmos y parámetros (tales como las claves)
que se está usando para cifrar y autenticar un flujo
particular en una dirección. Por lo tanto, en el tráfico
normal bidireccional, los flujos son asegurados por un
par de asociaciones de seguridad. La decisión final de
los algoritmos de cifrado y autenticación (de una lista
definida) le corresponde al administrador de IPsec.
Para decidir qué protección se va a proporcionar a un
paquete saliente, IPsec utiliza el índice de parámetro de
seguridad (SPI), un índice a la base de datos de
asociaciones de seguridad (SADB), junto con la
dirección de destino de la cabecera del paquete, que
juntos identifican de forma única una asociación de
seguridad para dicho paquete. Para un paquete entrante
se realiza un procedimiento similar; en este caso IPsec
coge las claves de verificación y descifrado de la base
de datos de asociaciones de seguridad.
En el caso de multicast, se proporciona una asociación
de seguridad al grupo, y se duplica para todos los
receptores autorizados del grupo. Puede haber más de
una asociación de seguridad para un grupo, utilizando
diferentes SPIs, y por ello permitiendo múltiples niveles
y conjuntos de seguridad dentro de un grupo. De hecho,
cada remitente puede tener múltiples asociaciones de
seguridad, permitiendo autenticación, ya que un
receptor sólo puede saber que alguien que conoce las
claves ha enviado los datos. Hay que observar que el
estándar pertinente no describe cómo se elige y duplica
la asociación a través del grupo; se asume que un
interesado responsable habrá hecho la elección.
8. ¿Qué esy en qué consiste la autenticación WPS
(Wi-Fi Protected Setup)
WPS (Wi-Fi Protected Setup) es un estándar de 2007,
promovido por la Wi-Fi Alliance1 para facilitar la
creación de redes WLAN. En otras palabras, WPS no es
un mecanismo de seguridad de por sí, se trata de la
definición de diversos mecanismos para facilitar la
configuración de una red WLAN segura con WPA2,
pensados para minimizar la intervención del usuario en
entornos domésticos o pequeñas oficinas.1
Concretamente, WPS define los mecanismos a través de
los cuales los diferentes dispositivos de la red obtienen
las credenciales (SSID y PSK) necesarias para iniciar el
proceso de autenticación.
WPS define una arquitectura con tres elementos con
roles diferentes:
• Registrar (matriculador): dispositivo con la
autoridad de generar o revocar las credenciales en la
red. Tanto un AP como cualquier otra estación
o PC de la red pueden tener este rol. Puede
haber más de un Registrar en una red.
• Enrollee (matriculado): dispositivo que solicita
el acceso a la red WLAN.
• Authenticator (autenticador): AP funcionando
de proxy entre el Registrar y el Enrollee.
WPS contempla cuatro tipos de configuraciones
diferentes para el intercambio de
credenciales, PIN (Personal Identification Number),
PBC (Push Button Configuration), NFC (Near Field
Communications) y USB (Universal Serial Bus):
• PIN: tiene que existir un PIN asignado a cada
elemento que vaya a asociarse a la red. Este
PIN tiene que ser conocido tanto por
el Registrar, como por el usuario (Enrollee). Es
necesaria la existencia de una interfaz (e.g.
pantalla y teclado) para que el usuario pueda
introducir el mencionado PIN.
• PBC: la generación y el intercambio de
credenciales son desencadenados a partir que el
usuario presiona un botón (físico o virtual) en
el AP (o en otro elemento Registrar) y otro en
el dispositivo. Notar que en el corto lapso de
tiempo entre que se presiona el botón en el AP
y se presiona en el dispositivo, cualquier otra
estación próxima puede ganar acceso a la red.
• NFC: intercambio de credenciales a través de
comunicación NFC. La tecnología NFC, basada
en RFID permite la comunicación sin hilos
entre dispositivos próximos (0 - 20 cm).
Entonces, el dispositivo Enrollee se tiene que
situar al lado del Registrar para desencadenar la
autenticación. De esta manera, cualquier
usuario que tenga acceso físico al Registrar,
puede obtener credenciales válidas.
• USB: con este método, las credenciales se
transfieren mediante un dispositivo de memoria
flash (e.g. pendrive) desde
el Registrar al Enrollee.
Los métodos PBC, NFC y USB pueden usarse para
configurar dispositivos sin pantalla ni teclado (e.g.
impresoras, webcams, etc.), pero aunque el estándar
contempla NFC y USB, todavía no se certifican
estos mecanismos. Actualmente sólo el método PIN
es obligatorio en todas las estaciones para obtener la
certificación WPS; PBC es obligatorio sólo en APs.
9. ¿Qué es y qué características tiene el EAP
(Extensible Authentication Protocol)
Extensible Authentication Protocol (EAP) es un
framework de autenticación usado habitualmente en
redes WLAN Point-to-Point Protocol. Aunque el
protocolo EAP no está limitado a LAN inalámbricas y
puede ser usado para autenticación en redes cableadas,
es más frecuente su uso en las primeras. Recientemente
los estándares WPA y WPA2 han adoptado cinco tipos
de EAP como sus mecanismos oficiales de
autenticación.
Es una estructura de soporte, no un mecanismo
específico de autenticación. Provee algunas funciones
comunes y negociaciones para el o los mecanismos de
autenticación escogidos. Estos mecanismos son
llamados métodos EAP, de los cuales se conocen
actualmente unos 40. Además de algunos específicos de
proveedores comerciales, los definidos por RFC de la
IETF incluyen EAP-MD5, EAP-OTP, EAP-GTC, EAP-
TLS, EAP-IKEv2, EAP-SIM, y EAP-AKA.
Los métodos modernos capaces de operar en ambientes
inalámbricos incluyen EAP-TLS, EAP-SIM, EAP-AKA,
PEAP, LEAP y EAP-TTLS. Los requerimientos para
métodos EAP usados en LAN inalámbricas son descritos
en la RFC 4017. Cuando EAP es invocada por un
dispositivo NAS (Network Access Server) capacitado
para 802.1X, como por ejemplo un punto de acceso
802.11 a/b/g, los métodos modernos de EAP proveen un
mecanismo seguro de autenticación y negocian un PMK
(Pair-wise Master Key) entre el dispositivo cliente y el
NAS. En esas circunstancias, la PMK puede ser usada
para abrir una sesión inalámbrica cifrada que usa cifrado
TKIP o AES.
EAP fue diseñado para utilizarse en la autenticación para
acceso a la red, donde la conectividad de la capa IP
puede no encontrase disponible. Dado que EAP no
requiere conectividad IP, solamente provee el suficiente
soporte para el transporte confiable de protocolos de
autenticación y nada más.
EAP es un protocolo lock-step, el cual solamente
soporta un solo paquete en transmisión. Como resultado,
EAP no puede transportar eficientemente datos robustos,
a diferencia de protocolos de capas superiores como
TCP.
Aunque EAP provee soporte para retransmisión, este
asume que el ordenamiento de paquetes es brindado por
las capas inferiores, por lo cual el control de orden de
recepción de tramas no está soportado. Ya que no
soporta fragmentación y re-ensamblaje, los métodos de
autenticación basados en EAP que generan tramas
más grandes que el soportado por defecto por EAP,
deben aplicar mecanismos especiales para poder
soportar la fragmentación (Por ejemplo EAP-TLS).
Como resultado, puede ser necesario para un
algoritmo de autenticación agregar mensajes
adicionales para poder correr sobre EAP. Cuando se
utiliza autentificación a base de certificados, el
certificado es más grande que el MTU de EAP, por
lo que el número de round-trips (viaje de ida y
vuelta de paquetes) entre cliente y servidor puede
aumentar debido a la necesidad de fragmentar dicho
certificado.
Se debe considerar que cuando EAP corre sobre una
conexión entre cliente y servidor donde se
experimenta una significante pérdida de paquetes,
los métodos EAP requerirán muchos viajes de ida y
vuelta y se reflejará en dificultades de conexión.
10. ¿Qué es y en qué consiste o sirve el
denominado servidor Proxy?
Un proxy, o servidor proxy, en una red
informática, es un servidor —programa o
dispositivo—, que hace de intermediario en las
peticiones de recursos que realiza un cliente (A) a
otro servidor (C). Por ejemplo, si una hipotética
máquina A solicita un recurso a C, lo hará
mediante una petición a B, que a su vez trasladará
la petición a C; de esta forma C no sabrá que la
petición procedió originalmente de A. Esta
situación estratégica de punto intermedio le
permite ofrecer diversas funcionalidades: control
de acceso, registro del tráfico, restricción a
determinados tipos de tráfico, mejora de
rendimiento, anonimato de la comunicación, caché
web, etc. Dependiendo del contexto, la
intermediación que realiza el proxy puede ser
considerada por los usuarios, administradores o
proveedores como legítima o delictiva y su uso es
frecuentemente discutido.
11. ¿Qué diferencia o mejora tiene un Proxy
con Cache?
Conserva el contenido solicitado por el usuario
para acelerar la respuesta en futuras peticiones de
la misma información de la misma máquina u
otras. Habitualmente se trata de
proxys HTTP/HTTPS accediendo a contenido web.
Esta función es especialmente necesaria en redes
con acceso precario a Internet, aunque los usuarios lo
perciban a menudo como una intromisión que limita su
privacidad frente a conexiones individuales directas.
12. ¿Qué es y en qué consiste la autenticación
EAP-LEAP?
LEAP funciona implementando técnicas de seguridad
como claves WEP dinámicas. Esto permite que el
cliente se autentique varias veces en un servidor
RADIUS. Esto se hace para evitar que un atacante
descifre la clave de seguridad y la use a largo plazo. La
autenticación (desafío / respuesta) se realiza en una
versión modificada de MS-CHAPv2, pero esta
transacción transmite el nombre de usuario en texto sin
cifrar y un atacante puede obtenerlo. Algunos terceros
solían ser compatibles con LEAP a través de lo que se
conocía como el Programa de extensiones compatibles
de Cisco.
LEAP fue creado por Cisco como una solución
patentada que se implementará en los puntos de
acceso. En ese momento, era la intención de Cisco
dominar gran parte de la cuota de mercado del punto de
acceso, por lo que trabajaron en EAP y lo cerraron,
nombrándolo Cisco EAP o LEAP. Las capacidades de
autenticación mutua de LEAP también significaron que
era una alternativa más segura a los protocolos de
seguridad anteriores.
13- ¿Qué es y en qué consiste la autenticación
EAP-TLS?
EAP-TLS (Transport Layer Security) proporciona
autenticación mutua y basada en certificados del cliente
y de la red. Se basa en certificados de cliente y servidor
para realizar la autenticación y se puede utilizar para
generar dinámicamente claves WEP basadas en el
usuario y en la sesión para asegurar las comunicaciones
posteriores entre el cliente WLAN y el punto de acceso.
Un inconveniente de EAP-TLS es que los certificados
deben gestionarse tanto en el cliente como en el
servidor. Para una instalación de WLAN grande, podría
ser una tarea muy complicada.
14- ¿Qué es y en qué consiste la autenticación EAP-
PEAP?
El PEAP (Protocolo de autenticación extensible
protegido) proporciona un método para transportar
datos de autenticación segura, incluidos los
protocolos heredados basados en contraseñas, a
través de redes Wi-Fi 802,11. PEAP logra esto
mediante el uso de túneles entre clientes PEAP y
un servidor de autenticación. Al igual que la
seguridad de la capa de transporte estándar de túnel
(TTLS) en competencia, PEAP autentica los
clientes de LAN Wi-Fi utilizando solo certificados
de servidor, lo que simplifica la implementación y
la administración de una LAN Wi-Fi segura.
Microsoft, Cisco y RSA Security desarrollaron
PEAP.
15- ¿Qué es y en qué consiste la autenticación
IEEE802.1x y el servidor RADIUS. ?, qué
utilidad tienen ambos?
La IEEE 802.1X es una norma del IEEE para
el control de acceso a red basada en puertos. Es
parte del grupo de protocolos IEEE 802 (IEEE
802.1). Permite la autenticación de dispositivos
conectados a un puerto LAN, estableciendo una
conexión punto a punto o previniendo el acceso por
ese puerto si la autenticación falla. Es utilizado en
algunos puntos de acceso inalámbricos cerrados y
se basa en el protocolo de autenticación extensible
(EAP– RFC 2284). El RFC 2284 ha sido declarado
obsoleto en favor del RFC 3748.
802.1X está disponible en ciertos conmutadores de
red y puede configurarse para autenticar nodos que
están equipados con software suplicante. Esto
elimina el acceso no autorizado a la red al nivel de
la capa de enlace de datos.
Algunos proveedores están implementando 802.1X
en puntos de acceso inalámbricos que pueden
utilizarse en ciertas situaciones en las cuales el
punto de acceso necesita operarse como un punto de
acceso cerrado, corrigiendo deficiencias de
seguridad de WEP. Esta autenticación es realizada
normalmente por un tercero, tal como un servidor
de RADIUS. Esto permite la autenticación sólo del
cliente o, más apropiadamente, una autenticación
mutua fuerte utilizando protocolos como EAP-TLS.
RADIUS (acrónimo en inglés de Remote Authentic
ation Dial-In User Service) es un protocolo
de autenticación y autorización para aplicaciones de
acceso a la red o movilidad IP. Utiliza el puerto
1812 UDP para establecer sus conexiones.
Cuando se realiza la conexión con
un ISP mediante módem, DSL, cablemódem, Ether
net o Wi-Fi, se envía una información que generalmente
es un nombre de usuario y una contraseña. Esta
información se transfiere a un dispositivo Network
Access Server (NAS) sobre el protocolo PPP, quien
redirige la petición a un servidor RADIUS sobre el
protocolo RADIUS. El servidor RADIUS comprueba
que la información es correcta utilizando esquemas de
autenticación como PAP, CHAP o EAP. Si es aceptado,
el servidor autorizará el acceso al sistema del ISP y le
asigna los recursos de red como una dirección IP, y otros
parámetros como L2TP, etc.
Una de las características más importantes del protocolo
RADIUS es su capacidad de manejar sesiones,
notificando cuándo comienza y termina una conexión,
así que al usuario se le podrá determinar su consumo y
facturar en consecuencia; los datos se pueden utilizar
con propósitos estadísticos.
RADIUS fue desarrollado originalmente por Livingston
Enterprises para la serie PortMaster de sus Servidores de
Acceso a la Red(NAS), más tarde se publicó como RFC
2138 y RFC 2139. Actualmente existen muchos
servidores RADIUS, tanto comerciales como de código
abierto. Las prestaciones pueden variar, pero la mayoría
pueden gestionar los usuarios en archivos de texto,
servidores LDAP, bases de datos varias, etc. A menudo
se utiliza SNMP para monitorear remotamente el
servicio. Los servidores Proxy RADIUS se utilizan para
una administración centralizada y pueden reescribir
paquetes RADIUS al vuelo (por razones de seguridad, o
hacer conversiones entre dialectos de diferentes
fabricantes).
RADIUS es extensible; la mayoría de fabricantes
de software y hardware RADIUS implementan sus
propios dialectos.
puedan dar servicios a la red externa a la vez que
protegen la red interna en el caso de que unos
intrusos comprometan la seguridad de los equipos
situados en la zona desmilitarizada. Para cualquiera
de la red externa que quiera conectarse ilegalmente
a la red interna, la zona desmilitarizada se convierte
en un callejón sin salida.
La DMZ se usa habitualmente para ubicar
servidores que es necesario que sean accedidos
desde fuera, como servidores de correo
electrónico, web y DNS. Y son precisamente estos
servicios alojados en estos servidores los únicos que
pueden establecer tráfico de datos entre la DMZ y la
red interna, como una conexión de datos entre un
servidor web y una base de datos protegida situada
en la red interna.
Las conexiones que se realizan desde la red externa
hacia la DMZ se controlan generalmente
utilizando port address translation (PAT).
Una DMZ se crea a menudo a través de las opciones
de configuración del cortafuegos, donde cada red se
conecta a un puerto distinto de éste. Esta
configuración se llama cortafuegos en trípode
(three-legged firewall).
Obsérvese que los enrutadores domésticos son
llamados DMZ host, aunque no es una definición
correcta de zona desmilitarizada.

16. En un equipo WLAN, ¿Qué es o para qué se

usa la denominada Zona desmilitarizada (DMZ)?
En seguridad informática, una zona
desmilitarizada (conocida también como DMZ, sigla en
inglés de demilitarized zone) o red perimetral es
una red local que se ubica entre la red interna de una
organización y una red externa, generalmente
en Internet. El objetivo de una DMZ es que las
conexiones desde la red interna y la externa a la DMZ
estén permitidas, mientras que en general las conexiones
desde la DMZ solo se permitan a la red externa
(los equipos de la DMZ no pueden conectarse con la red
interna). Esto permite que los equipos de la DMZ
 REFERENCIAS.
• https://www.lifewire.com/disabling-ssid-broadcast-on-
wireless-routers-816569
• https://www.redeszone.net/2018/05/05/filtrado-mac-router/
• https://en.wikipedia.org/wiki/Authentication_protocol
• https://es.wikipedia.org/wiki/Protocolo_criptogr%C3%A
1fico
• https://www.monografias.com/trabajos18/protocolo-
wep/protocolo-wep.shtml
• https://www.acrylicwifi.com/blog/que-es-wpa-psk-tkip-
ccmp/
• https://es.wikipedia.org/wiki/Advanced_Encryption_
Standard
• https://es.wikipedia.org/wiki/Temporal_Key_Integrit
y_Protocol
• https://es.wikipedia.org/wiki/IPsec
• https://es.wikipedia.org/wiki/Wi-Fi_Protected_Setup
• https://es.wikipedia.org/wiki/Extensible_Authentication_
Protocol
• https://es.wikipedia.org/wiki/Servidor_proxy
• https://es.wikipedia.org/wiki/Servidor_proxy#Proxy_Cac
h%C3%A9
• https://resources.infosecinstitute.com/wireless-security-
guide-introduction-to-leap-authentication/#gref
• https://www.intel.la/content/www/xl/es/support/articles/
000006999/network-and-i-o/wireless-networking.html
• https://es.wikipedia.org/wiki/RADIUS
• https://es.wikipedia.org/wiki/Zona_desmilitarizada_(info
rm%C3%A1tica)