UD2 – CONFIGURACIÓN DE CONMUTADORES Y

ENCAMINADORES EN REDES LOCALES E

INALÁMBRICAS

T1 – REDES INALÁMBRICAS

Las redes inalámbricas utilizan tecnologías electromagnéticas para transportar la

información entre los dispositivos.

1.-Tipo de ondas
Los tipos de ondas más comunes para llevar a cabo la comunicación inalámbrica son:
los infrarrojos, las ondas de radiofrecuencia y el bluetooth.

• Los infrarrojos tienen una energía relativamente baja y no pueden atravesar

paredes ni otros obstáculos. Se utilizaban para conectar PDAs y computadoras o
teléfonos móviles entre sí, aunque la utilización actual más común es por mandos a
distancia. Hay un puerto de comunicación especializado, con el nombre de Acceso
Directo por Infrarrojos (IrDA, Infrared Direct Access) que utilizarayos IR para
intercambiar información entre dispositivos. Estas ondas sólo permiten
comunicaciones uno a uno.

• Las ondas de radiofrecuencia(RF) tienen una energía muy superior a los IR y

pueden atravesar paredes y otros obstáculos, por eso viajan a una distancia mayor.
Por eso, también hay materiales que las bloquean. Las LAN inalámbricas utilizan
este tipo de onda ya que no necesitan ningún tipo de licencia gubernamental para
emitir (hay canales que están reservados: para servicios de emergencia, policía,
médicos, bomberos,...). Las bandas de frecuencia utilizadas son típicamente la de
900 Mhz, 2,4GHz y 5GHz.

• Bluetooth es una tecnología que utiliza la banda de los 2,4 Ghz, su potencia es
baja y por eso, la comunicación que ofrece es a baja velocidad y corto alcance
(unos 10 m.).
2.-Características de las redes inalámbricas

Las tecnologías inalámbricas tienen, comparadas con las de cable, las siguientes
Ventajas:
• Movilidad: la tecnología inalámbrica permite que se conecten fácilmente clientes,
tanto estáticos como móviles.
• Escalabilidad: las redes inalámbricas pueden ampliarse fácilmente para permitir
que se conecte un mayor número de usuarios o para aumentar el área de
cobertura.
• Flexibilidad: la tecnología inalámbrica proporciona conectividad en cualquier sitio.
• Ahorro en costes: el coste de los equipos es cada vez más barato conforme la
tecnología mejora.
• Menor tiempo de instalación: la instalación de un único equipo puede proporcionar
conectividad a un gran número de personas.
• Fiabilidad en “entornos agresivos”: las redes inalámbricas son fáciles de instalar en
situaciones de emergencia.

Por el contrario, sus Inconvenientes y Limitaciones son:

• Interferencias: la tecnología inalámbrica puede tener interferencias de otros
dispositivos que generan energía electromagnética. Ejemplos de éstos son:
teléfonos, hornos de microondas, televisores u otras redes WLAN.
• Seguridad: la tecnología de red LAN inalámbrica está diseñada para proporcionar
acceso a los datos que se transmiten, no para dar seguridad a estos datos.
Además pueden facilitar un acceso a la red cableada.
• Tecnología: la tecnología de redes LAN inalámbricas sigue evolucionando, pero de
momento no proporciona ni la velocidad ni la fiabilidad de las LAN cableadas.

3.-Tipo de redes inalámbricas

Las redes inalámbricas se agrupan en 3 categorías principales:

• WPAN: Wireless Personal Area Network

es la red inalámbrica más pequeña para conectar un PC con varios periféricos, por
ejemplo ratones, teclados, etc. Todos estos dispositivos están dedicados a un único
host y normalmente utilizan tecnología IR o Bluetooth.
 • WLAN: Wireless Local-Area Network
Normalmente se utiliza para ampliar las fronteras de la LAN cableada. Las WLAN
utilizan tecnología RF y se adaptan a varios estándares IEEE 802.11. Estas redes
permiten que muchos usuarios se conecten a una red cableada a través de un
“punto de acceso”, el cual actual como conexión entre la red inalámbrica y la red
cableada Ethernet.

• WWAN:Wireless Wide-Area Networks

Dan cobertura a áreas muy amplias. Por ejemplo, las redes de telefonía móvil:
GSM, GPRS, UMTS(3G),4G,5G,...

4.-Estándar de LAN inalámbrica Wi-Fi (IEEE 802.11)

Esta norma fué inicialmente desarrollada por las compañías Nokia y Symbol
Techonologies en 1999.

Normalmente, se utilizan bandas de frecuencia que no necesitan de licencia, a estas

bandas se las conoce como ISM(Industrial, Scientific, Medical).

Las bandas de frecuencia más utilizadas son:

• Banda de los 900 Mhz: 902 Mhz – 928 Mhz
• Banda de los 2,4 Ghz: 2,4 Ghz - 2,4835 Ghz
• Banda de los 5 Ghz: 5,150 Ghz - 5,825 Ghz

Éstos son algunos de los estándares /generaciones deWi-Fi definidos por el IEEE:

• IEEE 802.11b: Tiene una velocidad de 11Mbps. Utiliza la banda de los 2,4GHz.
Esta banda se subdivide en 22 canales de 22MHz cada uno.
• IEEE 802.11a : Utiliza la banda de los 5 Ghz. Aunque su alcance es inferior a IEEE
802.11b su velocidad alcanza los 54Mb/s.
• IEEE 802.11g: Utiliza la banda de los 2,4 Ghz y alcanza velocidades de 54 Mb/s;
teniendo un mayor alcance que IEEE 802.11a. Esta banda de frecuencia sufre a
menudo interferencias de microondas y de teléfonos móviles.
• IEEE 802.11n(WiFi 4): Puede utilizar tanto la banda de los 2,4 Ghz como la de los 5
Ghz y alcanza velocidades de 600 Mb/sy también amplía su alcance.
• IEEE802.11ac (WiFi 5):Utiliza la banda de los 5 GHz, hay 2 versiones:
◦ Wave 1: 1300Mb/s
◦ Wave 2: 3470 Mb/s
• IEEE 802.11ax (WiFi 6) : Utiliza tanto la banda de los 2,4 Ghz como la de los 5 Ghz
y alcanza velocidades de 4,8 Gb/s, aunque utilizando simultáneamente varias
bandas de frecuencia se puede llegar a los 10 Gb/s.
5.- Componentes de una LAN inalámbrica

Para implantar una WLAN se deben tener varios componentes, entre ellos:
• los clientes inalámbricos (con tarjeta de red inalámbrica),
• el punto de acceso,
• el puente inalámbrico y
• la antena.

Aquí se ven algunos ejemplos de configuración:

Clientes inalámbricos: se les conoce también como STA (abreviatura de estación

inglés). Un cliente inalámbrico es cualquier host direccionable en una red inalámbrica. Las
redes inalámbricas, al igual que ethernet, utilizan las direcciones MAC para identificar los
dispositivos finales. El software de cliente debe ejecutarse a un cliente inalámbrico y
permite que se conecte a la red inalámbrica. Dado que una “estación” puede ser un
ordenador o cualquier PDA, móvil inteligente, impresora u otros dispositivos, hablaremos
por lo general de clientes, los cuales pueden ser fijos o móviles.

Un punto de acceso (AP: Access Point) es el dispositivo que conecta la red inalámbrica
con la LAN cableada. A menudo estos dispositivos llevan incorporado un punto de acceso,
un switch y un router todo en uno, para que en entornos pequeños (en casa por ejemplo)
no se necesiten tantos aparatos diferentes.

Recuerda que la red cableada (ethernet) utiliza un formato de trama del estándar 802.3 y
la red inalámbrica (wi-fi) utiliza otro formato de trama del estándar 802.11 que es diferente
al primero, lo que no importa mientras ninguna trama tenga que pasar de una red ethernet
a otra red wi-fi. Pero dado que la mayoría de redes son mixtas como ésta:
alguien debe “traducir” la información que viaja en frames de formato 802.11 al formato
802.3 cuando éste pasa de la red wi-fi a la ethernet y viceversa.
¿Quién es el traductor? → El punto de acceso.

El punto de acceso también controla a todos los clientes inalámbricos asociados y actúa
como intermediario de las tramas entre estos clientes. Es importante controlar a los
clientes que se conectan porque los AP son puertas de entrada a la red Ethernet.

Un punto de acceso tiene un alcance determinado al que da cobertura de conexión wi-fi,

esta área se llama celda o Conjunto de Servicios Básicos (BSS: Basic Service Set).

Los puentes inalámbricos están diseñados para realizar conexiones punto a punto (o
punto a multi punto) de largo alcance. Normalmente no permiten la conexión de clientes
inalámbricos.
Su función es conectar un segmento de LAN cableada con otro utilizando tecnología
inalámbrica. Esta tecnología permitiría conectar entre sí redes separadas por 40
kilómetros.

Las tarjetas de red (NIC:Network Interface Card) para dispositivos inalámbricos se

asocian normalmente a clientes móviles, como ordenadores portátiles. Lo normal hoy en
día, es encontrar la tarjeta de red integrada en el ordenador portátil.
Existen otras opciones como las tarjetas PCI o PCI-e para ordenadores de mesa y las
tarjetas USB.

Las Antenas van incorporadas a los puntos de acceso, clientes inalámbricos y puentes
inalámbricos.

La función principal de la antena es convertir señales eléctricas en ondas

electromagnéticas y viceversa.

Gracias a la antena, estas señales eléctricas se pueden emitir y viajar hasta otros
receptores; además, debe incrementar la intensidad de la señal de salida. El incremento
de la potencia de salida se conoce con el nombre de ganancia (ganancia) y se mide en
decibelios (dB). Cuanto más intensa sea la señal de salida mayor alcance tendrá la
transmisión. Por tanto una antena con una ganancia mayor permitirá conseguir una
distancia de transmisión mayor que otros con una ganancia más pequeña.

Tipo de antenas

Su tipo depende de cómo radia la señal.

• Antenas direccionales: concentran la intensidad de la señal en una dirección.
Puesto que concentran toda la intensidad de la señal en una dirección, las antenas
direccionales ofrecen grandes distancias de transmisión. Se utilizan normalmente
para conexiones punto a punto donde es necesario salvar grandes distancias, por
ejemplo en un puente inalámbrico.
• Antenas omnidireccionales: están diseñadas para emitir en todas las direcciones.
Un punto de acceso incorpora antenas omnidireccionales para dar conectividad a
un área grande.

6.-Modos de conexión a una WLAN

El estándar IEEE 802.11 define 2 modos de operación para los dispositivos inalámbricos:

• modo “ad-hoc”: el medio compartido es el airey no existe ningún dispositivo

intermediario entre emisor y receptor, es decir, se comunican directamente. Todas
las estaciones utilizan el medio para dirigirse a todas las estaciones que existen en
el radio de cobertura. A este radio de cobertura se le llama IBSS(Independent Basic
Service Set).
• modo infraestructura: tanto emisor como receptor deben asociarse al punto de
acceso (AP) para poder acceder a la WLAN. Cuando una estación quiere transmitir
a otra , lo hace a través del AP, el cual actúa como concentrador. En el área de
cobertura del AP se le llama BSS(Basic Service Set).

7.-Funcionamiento de una WLAN

Cuando se activa un cliente dentro de la WLAN, la red empezará a “escuchar” para ver si
existe un dispositivo compatible con el que “asociarse”. Esto se llama escaneo, y puede
ser activo o pasivo.

• El escaneo activo hace que se envíe una petición de sondeo desde el cliente
inalámbrico que se desea conectar a la red. Esta petición de sondeo incluye el
identificador del servicio(SSID, Service Set Identifier) de la red a la que se desea
conectar. Cuando se encuentra un AP con el mismo SSID, la AP emite una
respuesta de sondeo. Se completan los pasos de autenticación y asociación.

• Los clientes de escaneo pasivo esperan las tramas de administración de "beacon"

que son enviadas por la AP (modo de infraestructura) o nodo de pares (ad hoc).
Cuando un nodo recibe un “beacon” que contiene el SSID de la red a la que se
desea conectar, se hace un intento de conexión. El escaneo pasivo es un proceso
continuo y los nodos pueden asociarse o desasociarse de los AP con los cambios
en la potencia de la señal.

La trama de beacon es una trama que informa de la presencia y disponibilidad de

un dispositivo. Estas tramas son enviadas por los AP, aunque en modo “ad hoc” es
el cliente que crea la WiFi quien las envía.
 Dado que la radiofrecuencia (RF) es un medio compartido, se pueden producir
colisiones de la misma forma que se producen en un medio cableado compartido.
La principal diferencia es con las redes que no existe un método por el que un nodo
de origen pueda detectar que se ha producido una colisión.
Por este motivo, las WLAN utilizan el protocolo de acceso al medio:acceso múltiple
con detección de portadora y prevención de colisiones (CSMA/CA),este método se
asemeja al CSMA/CD de Ethernet. Cuando un nodo de origen envía una trama, el
nodo receptor devuelve una confirmación de recepción positiva (ACK). Este
proceso puede consumir un 50% del ancho de banda disponible.

Aparte de esto, el rendimiento de la red también se verá afectado por la potencia

de la señal y por la degradación de la calidad de la señal debido a la distancia o las
interferencias. A medida que la señal se debilita, se puede modificar en los
dispositivos inalámbricos la selección de velocidad adaptable (ARS),que permite
modificar la velocidad de transmisión para hacer llegar el máximo de datos, sin
perder la conexión. El dispositivo transmisor disminuirá la velocidad de transmisión
de datos, por ejemplo, de 11 Mbps a 5,5 Mbps, de 5,5 Mbps a 2 Mbps o de 2 Mbps
a 1 Mbps.

Práctica 0 de introducción a Packet Tracer

Descargad de http://www.netacad.com la última versión del software de sumulación de

redes Packet Tracer, instaladlo.
En el primer arranque comprobareis que, para utilizar el programa, debeis introducir el
usuario y contraseña de netacad. Existe la posibilidad de entrar como usuario invitado
«Guest Login» pero de esta forma es posible que carezcan de funcionalidades y solo
permite grabar el archivo con el que estáis trabajando 3 veces.

Realice la Práctica 0 de introducción en el Packet Tracer que le proporciona el profesor al

moodle.

Práctica 1 Windows:
Configurar una red ad-hoc entre dos ordenadores con Windows 10 sin ninguna opción de
seguridad.
Material:
• D-LINK Wireless card modelo DL-G122(rev. C)

Práctica 1 Ubuntu:
Configurar una red ad-hoc entre dos ordenadores con Ubuntu Desktop sin ninguna
opción de seguridad.
Material:
• D-LINK Wireless card modelo DL-G122(rev. C)
Configurar un AP (Access Point)

La mayoría de los routers integrados (routers WiFi de casa), ofrecen conectividad por
cable o inalámbrico y sirven como AP a la red inalámbrica. Las configuraciones básicas
(como contraseñas, direcciones IP y configuraciones DHCP) son las mismas,
independientemente de si el dispositivo se utiliza para conectar PCs con cable o portátiles
que se conectan inalámbricamente.

Cuando se utiliza la función inalámbrica de un router integrado se requieren parámetros

de configuración adicionales, como la configuración de un modo inalámbrico, el SSID, y
canales inalámbrico para utilizar.
La mayoría de los dispositivos AP domésticos puede admitir varios modos de
funcionamiento: 802.11g, 802.11n, 802.11ac y 802.11ax. Aunque muchas estas versiones
WiFi utilizan el rango de 2.4 GHz, cada uno usa una tecnología diferente para obtener el
máximo rendimiento. El modo habilitado en el AP depende del tipo de cliente que se
conecte a él:
• si sólo se conecta un tipo de cliente a la AP, configurad la forma que lo admita. Ej:
todos los clientes inalámbricos tienen la misma versión WiFi: 802.11ac
• si se van a conectar diferentes tipos de clientes, seleccionad el modo “Mixto”. Ej:
tenemos algunos clientes inalámbricos con 802.11n, otros 802.11ac, otros con
802.11ax, etc.

Cada modo incluye cierta cantidad de “gasto”. Al habilitar el modo Mixto, el rendimiento de
la red disminuirá un poco debido al ‘gasto’ en el que se habrá incurrido para admitir todos
los modos.

¿Por qué necesitamos un nombre único para una WLAN?

Un parámetro básico de toda WLAN es el SSID. Se utiliza para identificar a la WLAN.
Todos los dispositivos que deseen acceder a la WLAN deben tener el mismo SSID. Para
permitir una fácil detección de la WLAN por parte de los clientes se transmite el SSID. Se
puede desactivar la característica de transmisión del SSID. Si no se transmite el SSID, los
clientes inalámbricos necesitarán proporcionar este valor en el proceso de conexión a la
WiFi.

¿Qué canal de transmisión elegimos?

La elección del canal para un AP debe estar relacionada con las demás redes
inalámbricas que lo rodean. Los BSS adyacentes deben utilizar canales que no se
superpongan a fin de optimizar el rendimiento. Casi todos los AP actualmente ofrece una
opción de configuración manual del canal o permite al AP localizar automáticamente el
canal menos saturado o el que ofrezca el máximo rendimiento.
Práctica 2 Configuración de un AP
Configurar un AP(Access Point) virtual con la herramienta de simulación de Cisco.

Pasos previos para poder realizar la práctica:

• AbrirPacket Tracer.
• Añadir al mapa lógico un router wireless "LINKSYS-WRT300N".
• Añadir al mapa lógico un PC.
• Conectarlos mediante un cable directo (una esquina en el puerto FastEthernet del
PC y el otro en el puerto LAN1 del router).
• Observar las IP del router y del PC colocando el cursor sobre ellos. Si alguno de
los 2 no tiene IP es necesario asignarle una, la cual debe estar en la misma red
que el IP del otro.
• A partir de ahí, abrir la práctica en el PDF (las cuales están pensadas para realizar
la práctica en real, es decir con el router físico, un pc con windows y un cable de
red) y seguir las instruccionesdel manual.

Manual PDF:
• Práctica CISCO “7.2.5.Configuración de un punto de acceso inalámbrico”

Configuración de un cliente inalámbrico

Un cliente inalámbrico (o STA) se define como cualquier dispositivo que contenga una NIC
inalámbrica y un software cliente inalámbrico. Este software cliente le permite al hardware
participar en la WLAN. Los dispositivos clientes inalámbricos incluyen: portátiles, PDAs,
computadoras de escritorio, impresoras, proyectores, tabletas y teléfonos móviles.

Para que un cliente inalámbrico se conecte a la WLAN, la configuración del cliente debe coincidir
con la del AP. Esto incluye el SSID, las configuraciones de seguridad y la información del canal, si
éste se configuró manualmente en la AP. Estas configuraciones están especificadas en el software
cliente que administra la conexión cliente.

El software cliente inalámbrico utilizado puede estar integrado por software en el sistema operativo
del dispositivo o puede ser un software de utilidad inalámbrica, independiente y que se puede
descargar, diseñado específicamente para interactuar con la NIC inalámbrica.

¿Qué software inalámbrico utilizar? ¿El de Windows o el específico de la NIC?

El software cliente inalámbrico de Windows se incluye como parte del sistema operativo del
dispositivo. El software cliente es un software básico de administración que puede controlar la
mayoría de las configuraciones de un cliente inalámbrico. Es fácil de usar y ofrece un proceso
simple de conexión.

El software de cliente inalámbrico suministrado con la NIC inalámbrica está diseñado para su uso
con esta NIC específica. Generalmente ofrece funcionalidad mejorada en comparación con el
software de utilidad inalámbrica de Windows e incluye las siguientes características:

• Información de enlace: muestra la potencia y calidad actuales de una única red inalámbrica.
• Perfiles: permite opciones de configuración, como el canal y el SSID que se especificarán
para cada red inalámbrica.
• Permite la detección de todas las redes inalámbricas cercanas.
No se permite al software de cliente inalámbrico suministrado con la NIC y al software cliente de
Windows administrar la conexión inalámbrica al mismo tiempo.

Práctica 3 Configuración de un cliente inalámbrico

Partiendo delr outer wireless “LINKSYS-WRT300N” configurado en la última práctica,
configurar y conectarle un cliente inalámbrico

Pasos previos
• Tener el router inalámbrico: "LINKSYS-WRT300N" configurado de la práctica
anterior.
• Añadir un portátil (laptop en inglés) al esquema lógico de red
• Desde la vista física del portátil, quitarle la tarjeta Ethernet e insertar en su sitio
una tarjeta inalámbrica WPC300N.
• Si es necesario, configurar en la tarjeta inalámbrica que tome la IP por DHCP.
• A partir de ahí, abrir la práctica en el PDF (las cuales están pensadas para realizar
la práctica en real, es decir con el router físico y una tarjeta inalámbrica muy
parecida a la utilizada) y seguir las instrucciones. Ignorad los apartados que no
se pueden hacer al no tener una tarjeta de red real (pasos 1, 2, 4 y 5).

Manual PDF

• Práctica CISCO “7.2.6.Configuración de un clienteeinalámbrico”

Seguridad básica en una LAN inalámbrica

Aunque las LANs inalámbricas (WLAN) son más fáciles de montar que las cableadas y más
cómodas para trabajar con clientes móviles, tienen como inconveniente que su medio de
transmisión es el aire por lo que son fácilmente atacables: el atacante recibe la señal sin necesidad
de conexión física entre esté dentro del área de cobertura de la misma.

• Ocultar el SSID
Todos los portátiles que se conecten a una red inalámbrica deben conocer el SSID. De forma
predeterminada, los routers inalámbricos y los AP transmiten el SSID a todas las computadoras
dentro del rango inalámbrico. Con el ‘broadcast de SSID’ activado, cualquier cliente puede detectar
la red y conectarse a ella, si no existen otras características de seguridad.

La función de broadcast(difusión) de SSID puede desactivarse, de forma que cuando está

desactivada, ya no se publica el nombre de la red. Cualquier cliente que intente conectarse a esa red
debe conocer su SSID.

• Cambiar el SSID y la contraseña de acceso al router

Además, es importante cambiar las configuraciones predeterminadas. Los routers o APs se envían
preconfigurados con un SSID, contraseña y dirección IP por defecto. Estos valores predeterminados
facilitan la identificación y la infiltración en la red por parte de un atacante.

Es decir, puede no servir de nada desactivar el broadcast de SSID si el intruso conoce el SSID
predeterminado de nuestro router . Además, si otras configuraciones predeterminadas, como
contraseñas y direcciones IP, no se cambian, los atacantes pueden tener acceso a un AP y realizar
cambios por su cuenta. La información predeterminada debe cambiarse por otra más segura y
exclusiva.

Estos cambios, por sí mismos, no van a proteger nuestra red. Por ejemplo: enviamos a los clientes
de nuestra WLAN los SSID en formato texto sin cifrar. Hay dispositivos que pueden interceptar las
señales inalámbricas y leer los mensajes de texto sin cifrar. Incluso con el broadcast de SSID
desactivado y los valores predeterminados cambiados, los atacantes pueden conocer el nombre de
una red inalámbrica mediante el uso de estos dispositivos que interceptan señales inalámbricas. Esta
información se utilizará para la conexión a la red. Para proteger la WLAN, se necesita una
combinación de varios métodos.

• Restricción de acceso por MAC

Una forma de limitar el acceso a una red inalámbrica es controlar exactamente qué dispositivos
pueden obtener acceso a ella. Se puede realizar mediante el filtrado por dirección MAC.

El filtrado de direcciones MAC utiliza la dirección MAC para identificar qué dispositivos pueden
conectarse a la red inalámbrica. Cuando un cliente inalámbrico intenta conectarse a un AP, envía su
dirección MAC para identificarse. Si está activado el filtrado MAC, el router inalámbrico o la AP
buscarán la dirección MAC en una lista preconfigurada. Sólo los dispositivos con direcciones MAC
autorizadas en la base de datos del router podrán conectarse.

Si la dirección MAC no se encuentra en la base de datos, el dispositivo no podrá conectarse ni

comunicarse a través de la red inalámbrica.

Existen algunos problemas con este tipo de seguridad. Por ejemplo: es necesario incluir en la base
de datos las direcciones MAC de todos los dispositivos que tendrán acceso a la red antes de que se
intente la conexión. No podrá conectarse un dispositivo que no esté identificado en la base de datos.

Dado que la MAC es única para cada tarjeta de red, teóricamente es imposible que se conecte a
nadie con una tarjeta de red no autorizada. El problema sin embargo es que el dispositivo de un
atacante puede clonar fácilmente la dirección MAC de otro dispositivo que tiene acceso.

Autenticación
La autenticación es el proceso de permitir la entrada en una red sobre la base de un conjunto de
credenciales. Se utiliza para verificar que el dispositivo que intenta conectarse a la red sea
confiable.

El uso de un nombre de usuario y una contraseña es la forma más común de autenticación. En un

entorno inalámbrico, la autenticación garantiza que el host conectado se verifique, pero realiza el
proceso de verificación de un modo algo diferente. La autenticación, si está activada, debe
producirse antes de que el cliente obtenga el permiso para conectarse a la WLAN.
Hay tres tipos de métodos de autenticación inalámbrica:
• Autenticación abierta
• Claves precompartidas (PSK)
• Protocolo de actuación extensible (EAP)

Autenticación abierta significa que los dispositivos inalámbricos no requieren autenticación, es

decir, cualquier cliente puede asociarse, independientemente de quien sea. Esta autenticación
únicamente debe usarse en redes inalámbricas públicas, por ejemplo restaurantes, escuelas, etc.

En Claves compartidas(PSK: Pre-shared Key) tanto el AP como el cliente deben configurarse con la
misma clave o palabra secreta.
Pasos:
1) La AP envía una cadena de bytes aleatoria al cliente.
2) El cliente acepta la cadena, la encripta (o codifica) según la clave, y la envía de nuevo a la
AP.
 3) La AP recibe la cadena encriptada y usa la clave para descifrarla (o decodificarla). Si la
cadena descifrada recibida del cliente coincide con la cadena original enviada al cliente, éste
puede conectarse.

La PSK realiza una autenticación de una vía, es decir, el cliente se autentica ante el AP pero
la PSK no autentica el AP ante el host; tampoco autentica el usuario real del ordenador.
El EAP proporciona autenticación mutua, o de dos vías, además de la autenticación del usuario.
Cuando el software EAP se instala en el cliente, éste se comunica con un servidor de autenticación
RADIUS servicio de usuario de acceso telefónico de autenticación remota (RADIUS, Remote
Authentication Dial-in User Service). Este servidor funciona independientemente del AP y mantiene
la base de datos de usuarios válidos que pueden tener acceso a la red. Cuando se utiliza el EAP, el
usuario (y no sólo el ordenador) debe proporcionar un nombre de usuario y una contraseña que se
comparan con la base de datos de RADIUS para obtener la validación. Si son válidos, el usuario
obtiene la autenticación y puede conectarse a la WiFi.

Una vez que se habilita la autenticación, independientemente del método utilizado, el cliente debe
pasar la autenticación correctamente antes de asociarse con la AP. Si se activa la autenticación y el
filtrado de la dirección MAC, la autenticación se produce primero.

Una vez que la autenticación se realiza correctamente, la AP compara la dirección MAC con la tabla
de direcciones MAC. Una vez realizada la verificación, la AP agrega las direcciones MAC del
cliente a la tabla de MACs. En ese momento se dice que el cliente está asociado con la AP y puede
conectarse a la red.
Encriptación de la información en una WLAN

¿Por qué se encripta el tráfico de red?

La autenticación y el filtrado MAC pueden evitar que un atacante se conecte a una red inalámbrica,
pero no evitarán que intercepte los datos transmitidos. Dado que no existen límites distintivos en
una red inalámbrica y que el tráfico se transmite por aire, es fácil para un atacante interceptar o
detectar tramas inalámbricas.
➔ La encriptación o cifrado es el proceso de transformar datos de forma que, aunque sean
interceptados, sean ininteligibles.

WEP (Wired Equivalency Protocol)

El protocolo de equivalencia por cable (WEP) es una característica avanzada de seguridad que
encripta el tráfico de la red a medida que éste se desplaza por el aire. WEP utiliza claves
preconfiguradas para cifrar y descifrar datos.

Una clave WEP es una cadena de números y letras que generalmente consta de 64, 128 o incluso
256 bits.

Para que el WEP funcione, la AP (y cualquier otro dispositivo inalámbrico que tenga habilitado el
acceso a la red) deberá tener la misma clave WEP introducida. Sin esta clave, los dispositivos no
podrán comprender las transmisiones inalámbricas.

El WEP era una buena forma de evitar que los atacantes intercepten datos. Sin embargo, existían
puntos débiles dentro del WEP, por ejemplo el uso de una clave estática en todos los dispositivos
con WEP habilitado. Hay aplicaciones disponibles que los atacantes podían utilizar para descubrir la
clave WEP. Estas aplicaciones se encuentran disponibles fácilmente en Internet. Una vez que el
atacante ha extraído la clave, tiene acceso completo a toda la información transmitida.

Una forma de superar este punto débil era cambiar la clave frecuentemente, o bien usar una forma
de encriptación más avanzada.
De hecho WEP dejó de utilizarse años atrás por ser fácilmente hackeable.

WPA (Wi-Fi Protected Access) – WPA2 - WPA3

El WPA también utiliza claves de cifrado, las cuales tienen dependiendo de su versión, entre 64 y
192 bits. Pero el WPA, a diferencia del WEP, genera nuevas claves dinámicas cada vez que un
cliente establece una conexión con la AP. Por esta razón, el WPA se considera más seguro que el
WEP, ya que es mucho más difícil de descodificar. Quien genera estas claves temporales en cada
conexión es el algoritmo de cifrado TKIP (Temporal Key Integrity Protocol).
Hoy, el estándar que se sigue en la mayoría de los escenarios es el WPA2, aunque se está
empezando a implantar ya WPA3. Cabe destacar que para escenarios donde la seguridad debe ser
alta, WPA2 ha cambiado el algoritmo de encriptación a AES (Advanced encryption standard,
estándar de encriptación avanzado) y, además, incluye una conexión para un servidor RADIUS. Es
un protocolo de tipo AAA (autenticación, autorización y administración) que distribuye claves
diferentes para cada usuario, es decir, una vez que el dispositivo cliente está autenticado en el punto
de acceso, en el proceso de asociación se le enviará una clave de cifrado única y personal, que
permitirá que su comunicación sea segura.
Las mejoras que presenta WPA3 respecto a WPA2 son:
• Amplia la clave de cifrado de 128 bits a 192 bits, con lo que hace mucho más difícil
descubrirla.
• Aunque la clave de conexión a WiFi sea fácil, y por tanto vulnerable a ataques de fuerza
bruta en WPA2, WPA3 se protege contra este tipo de ataques.
• Facilita a los usuarios un nuevo modo de conectarse a la red WiFi llamado "Wifi Easy
Connect", el cual permite configurar y connectar a la WiFi clientes inalámbricos sin pantalla
ni botones físicos. ¿Como se realiza? Ejemplo: un altavoz inteligente viene con un código
QR, el cual podemos escanear con el móvil para conectarlo a la WiFi y configurar su
conexión a la misma.

Cuando se configura un AP existen a grandes rasgos dos métodos para autenticar a los clientes
inalámbricos:
• WPA-Personal: para autenticar, utiliza clave compartida (PSK). No hay servidor de
autenticación.
• WPA-Enterprise: utiliza un servidor RADIUS para la autenticación.

Aparte de cómo realice la autenticación, se puede elegir la encriptación entre:

• TKIP: más conveniente si tenemos clientes antiguos que sólo funcionan con él.
• AES: Más seguro si los clientes son nuevos.

WPS (Wifi-Protected Setup)

Es un estándar, introducido en WPA2, que pretende facilitar el acceso a la WLAN a los usuarios sin
complejos procesos de configuración. No es un método de seguridad pues.
¿Cómo se configura?
Hay 4 modos de configuración:
• por PIN: cuando se detecta un nuevo cliente WiFi en la red, el router WiFi nos pedirá el PIN
del dispositivo. El cliente debe introducirlo. Este PIN suele venir escrito en el router WiFi.
Si es correcto ambos se autoconfiguran con cifrado WPA2 para empezar a enviarse
información.
 • por PBC(Push Button Configuration): basta con pulsar un botón en el router y otro en el
cliente. El problema puede que una vez pulsado el botón del router WiFi cualquier cliente se
puede conectar pulsando su botón.
• Por NFC: tecnología que permite establecer la conexión con sólo acercar al cliente a una
distancia inferior a 20 cm. del router WiFi.
• Por USB: los parámetros de configuración de la red se encuentran en un pendrive que debe
conectarse al cliente.

Se recomienda desactivar la configuración WPS del router WiFi ya que se han detectado agujeros
de seguridad que permitirían a un intruso descubrir nuestra clave WPA2.