CARRERA:

INGENIERA EN
SISTEMAS DE
INFORMACIN

ASIGNATURA:

COMUNICACIONES
INALMBRICAS

TEMA:

ESTNDARES Y
POLTICAS DE
SEGURIDAD EN REDES
INALMBRICAS

ALUMNO:

EDISON RUIZ
RUBN BEDN
LVARO PALATE
FREDDY ZACARAS
2016-2016

Contenido
INTRODUCCIN..........................................................................................................................4
JUSTIFICACIN...........................................................................................................................5
Objetivos........................................................................................................................................5
Objetivo General........................................................................................................................5
Objetivos Especficos.................................................................................................................5
Estndar IEEE 802.11.....................................................................................................................6
Estndar 802.11..........................................................................................................................6
Estndar 802.11a........................................................................................................................6
Estndar 802.11b........................................................................................................................6
Estndar 802.11g........................................................................................................................7
Estndar 802.11i.........................................................................................................................7
Estndar 802.11n........................................................................................................................7
SEGURIDAD EN REDES INALMBRICAS..............................................................................8
Mecanismos y factores de Seguridad..........................................................................................8
Problemtica de la seguridad en redes Wi-Fi..............................................................................8
Medio de transmisin de las WLAN.......................................................................................8
Puntos de acceso mal configurados........................................................................................9
Punto de acceso no autorizado................................................................................................9
Ataques en redes Inalmbricas.......................................................................................................9
Ataques Pasivos..........................................................................................................................9
Ataques Activos.......................................................................................................................10
Ataques Avanzados...................................................................................................................11
Ataque de diccionario...........................................................................................................11
Ataque de fuerza bruta..............................................................................................................12
Asociacin maligna o accidental..........................................................................................12
Robo de identidad (MAC SPOOFING)....................................................................................13
Ataque de inyeccin de trfico a la red.....................................................................................14
Requisitos para una red inalmbrica segura..................................................................................14
WEP (Wired Equivalent Privacy).............................................................................................15
Componentes de WEP..........................................................................................................15
Mtodo de Funcionamiento..................................................................................................16
Debilidades de WEP.............................................................................................................18
WPA (WI-FI Protected Access)................................................................................................19
Modo de autenticacin.........................................................................................................19
2EAP (Extensive Authentication Protocol)...............................................................................20
EAP con certificado de seguridad.........................................................................................20
EAP con utilizacin de contraseas......................................................................................21
Modalidad de red casera o PSK (Pre-Shared Key)...................................................................21

TKIP (Protocolo de integridad de llave temporal, Temporal Key Integrity Protocol)...............21

MIC (Message Integrity Code)................................................................................................22
Ventajas de WPA..................................................................................................................22
WPA2.......................................................................................................................................22
Ventajas de WPA2................................................................................................................23
Filtrado de direcciones MAC................................................................................................23
Sistemas de Deteccin de Intrusiones.......................................................................................24
NIDS (Net IDS)........................................................................................................................24
HIDS (Host IDS)......................................................................................................................25
Polticas para las Contraseas.......................................................................................................25
Polticas para la Seguridad...........................................................................................................25
Retos actuales de la seguridad de la informacin.........................................................................27
Prcticas seguras para WLANs.....................................................................................................27
Estndares de seguridad informtica.........................................................................................27
Monitoreo para disminuir riesgos.............................................................................................28
Deteccin de puntos de acceso no autorizados.........................................................................29
Lmites del rea de cobertura....................................................................................................29
Mtodos Bsicos de Proteccin a WLANs...............................................................................29
Filtrado de direcciones MAC................................................................................................29
Redes privadas virtuales (VPN)............................................................................................29
Productos Comerciales que Brindan Seguridad a WLANs...........................................................31
CONCLUSIN............................................................................................................................32

INTRODUCCIN
No hace mucho, menos de una generacin, la telefona fija era prcticamente la
nica va de comunicacin entre puntos remotos. Tras ella lleg el satlite, despus lo
hizo la telefona mvil, a continuacin los sistemas LMDS, para ahora encontrarnos en
plena aparicin y rpida consolidacin de las redes WiFi, en lo que, en conjunto,
representa el xito de las telecomunicaciones inalmbricas.
Desde 1997, un protocolo de comunicaciones empez a despuntar con enorme
xito y visos de un tremendo futuro. Esta tecnologa basada en el estndar IEEE
802.11b y conocida comnmente como Wi-Fi ha conseguido unos altos niveles de
implantacin, desbordar el mbito de aplicaciones y servicios para los que fue
inicialmente concebida, ser un complemento poderoso algunas tecnologas y
representar una potencial amenaza al desarrollo de otras que requieren importantes
infraestructuras y altos niveles de inversin.

JUSTIFICACIN
La implementacin de redes inalmbricas en la actualidad trae consigo
importantes riesgos de seguridad que afrontar, por lo que se pretende conocer la
manera de implementar un sistema de control de acceso a las redes inalmbricas
suficientemente fuertes que protejan el acceso a los recursos tecnolgicos y a la
informacin.
Como las redes inalmbricas transmiten y reciben datos por aire mediante
tecnologa de radio frecuencia cualquiera podra estar escuchando la informacin
transmitida y no solo eso, sino que tambin podra alterar la informacin o
modificarla, para evitar estos ataques, se utiliza el sistema de autenticidad y
encriptacin de datos.
Los principales beneficiarios de la implementacin del sistema de control de
acceso sern los usuarios de la red, debido a que por medio de un sistema de control
de acceso se realizar los procedimientos de identificacin, autenticacin y
autorizacin para permitir o denegar el uso de los recursos de la red, dando al usuario
la suficiente garanta y seguridad en la transmisin de la informacin.
Objetivos

Objetivo General
Conocer la forma de Implementacin de un sistema de control de acceso para
garantizar la seguridad de las redes inalmbricas a los usuarios.

Objetivos Especficos

Analizar los sistemas de control de acceso que pueden ser utilizados en las
redes inalmbricas de determinada empresa.

Determinar qu sistema de autenticacin utiliza protocolos de seguridad

para garantizar la seguridad de las redes inalmbricas.

Conocer un sistema de control de acceso que permita establecer polticas

de seguridad para la utilizacin de las redes inalmbricas de una empresa.

Estndar IEEE 802.11

802.11 es el estndar original que define reglas de comunicacin en redes de
rea local inalmbricas, habilita la conexin de alta velocidad de dispositivos de
comunicacin a este tipo de redes. Representa una familia entera de especificaciones
de la IEEE respecto a las redes inalmbricas.
La estandarizacin de las funciones de red inalmbricas ha logrado fomentar
el desarrollo de productos de red interoperables. Antes de que aparecieran los
estndares inalmbricos, los dispositivos inalmbricos trabajaban a diferentes
velocidades y eran incompatibles entre ellos.
Wi-Fi Alliance certifica la interoperabilidad de productos WLAN y
promueve el trmino Wi-Fi como el nombre de marca global para los productos
basados en IEEE 802.11. Se refiere a cualquiera de los tres estndares establecidos
802.11b, 802.11a y 802.11g, sin embargo es el nombre que la industria ha dado a las
redes de rea local inalmbricas relacionadas a la familia 802.11 de la IEEE.
A continuacin se describen los estndares de inters en el estudio del
trabajo.

Estndar 802.11

Estndar 802.11: Fue el primero y las velocidades de 1 y 2 Mbps eran muy

pequeas y no permitan implementar aplicaciones empresariales, por lo tanto se
crearon nuevos grupos de trabajo para crear otros estndares.

Estndar 802.11a

Estndar 802.11a: Permite realizar transmisiones con velocidades mximas de 54

Mbps y opera en una banda de frecuencia superior a los 5 GHz, por lo tanto no es
compatible con el estndar 802.11b y el estndar 802.11g. Es muy til en ciertos
casos, para separar el trfico o para zonas con mucho ruido e interferencias.
Adems con el estndar 802.11a se pueden llegar a utilizar hasta 8 canales no
superpuestos.

Estndar 802.11b
Estndar 802.11b: Las conexiones funcionan a una velocidad mxima de 11 Mbps y
opera en una banda de 2.4 GHz. Es el ms popular pues fue el primero en imponerse y
existe un inventario muy grande de equipos y dispositivos que manejan esta tecnologa.
Adems, al ser compatible con el estndar 802.11g permiti la incorporacin de ste
ltimo a las redes inalmbricas ya existentes. Con el estndar 802.11b, slo se pueden
utilizar 3 canales no superpuestos (de los 11 existentes) en la mayora de los pases. En
Europa se pueden utilizar 4 canales de los 13 existentes. No todos los Puntos de Acceso

Inalmbrico sirven para los 2 sistemas, as que es importante tenerlo en cuenta a la hora
de adquirir un Access Point.

Estndar 802.11g

Estndar 802.11g: Las conexiones funcionan a una velocidad mxima de 54

Mbps y opera en una banda de 2.4 GHz. El estndar 802.11g fue aprobado a
mediados del ao 2003 y se populariz rpidamente por su compatibilidad con el
estndar 802.11b. Lo que muchos desconocen es que al mezclar equipos del
estndar 802.11b con equipos del estndar 802.11g la velocidad la fija el equipo
ms lento, o sea que la instalacin mixta seguir funcionando generalmente a
velocidades lentas. Respecto de los canales aqu caben las mismas observaciones
que para el estndar 802.11b, o sea que con el estndar 802.11g se pueden utilizar
3 canales no superpuestos de los 11 disponibles y en Europa 4 de los 13 canales
disponibles. Los canales que generalmente se utilizan con el estndar 802.11g y
con el estndar 802.11b son: "1", "6" y "11" y en Europa: "1", "4", "9" y "13".

Estndar 802.11i

Estndar 802.11i: Est dirigido a abatir la vulnerabilidad en la seguridad para

protocolos de autenticacin y de codificacin. El estndar abarca el protocolo
802.1x, y mejoras en Seguridad para redes inalmbricas Wi-Fi (802.11i/WPA2).

Estndar 802.11n

Estndar 802.11n: Es un estndar nuevo que an est en elaboracin. Si bien se

est trabajando en l desde el ao 2004. El objetivo es elaborar un estndar con
velocidades de transmisin superiores a 100 Mbps. Utilizacin de una nueva
tecnologa conocida como MIMO que permite incrementar el ancho de banda y el
alcance en redes inalmbricas utilizando multiplexaje. Las velocidades podran
variar entre 135 Mbps, 300 Mbps y 500 Mbps y las bandas de frecuencia seran
10GHz, 20GHz o 40GHz.
Tabla 1 Estndares de las WLAN por la IEEE

Estnd
ar
IEEE
802.11a
IEEE
802.11b
IEEE
802.11g

Velocidad
de
transmisi
54
Mbps
11
Mbps
54
Mbps

Frecuencia
de
operacin
5
GHz
2.4 GHz
2.4 GHz

SEGURIDAD EN REDES INALMBRICAS

La tecnologa de las redes inalmbricas ha crecido de forma significativa
gracias a la flexibilidad que ofrece a sus usuarios y el bajo costo de instalacin ya
que para una conexin no se requiere de un enlace fsico para el usuario.
Para las redes inalmbricas est definido el estndar IEEE 802.11, dentro de
la familia
802.11 y en la recomendacin 802.11i el tpico relacionado con la seguridad.
Dado el medio de transmisin que utilizan las redes inalmbricas, estas son
ms difciles de proteger. El tema de la seguridad es uno de los grandes retos a los
que se enfrenta da con da el desarrollo de este tipo de redes.
La seguridad en redes inalmbricas se puede dividir en dos categoras:

La seguridad al momento de autenticar los usuarios e identificar sus

correspondientes permisos.
La seguridad al momento de transmitir los datos entre dispositivos inalmbricos.

Mecanismos y factores de Seguridad

Los mecanismos bsicos de seguridad poseen tres componentes principales
para proporcionar servicios de seguridad.
1) Informacin secreta como claves y contraseas, conocidas por las entidades
autorizadas.
2) Un grupo de algoritmos para realzar el cifrado y descifrado.
3) Un conjunto de procedimientos para definir como usar los algoritmos.
La administracin de los sistemas de seguridad comprende dos amplios
rubros.
1) La poltica de los servicios y mecanismos de seguridad para detectar infracciones
de seguridad y emprender acciones correctivas.
2) Seguridad en la generacin, localizacin y distribucin de la informacin secreta,
para que solo pueda ser accedida por entidades autorizadas.

Problemtica de la seguridad en redes Wi-Fi

Medio de transmisin de las WLAN
La diferencia de las redes inalmbricas con respecto a las redes cableadas es
el medio de transmisin que utilizan, en el caso de las primeras su medio es el aire.
La fuente ms importante de los riesgos en redes inalmbricas son las seales
que pueden ser escuchadas por intrusos, ya que las redes Wi-Fi el permetro de
seguridad no est establecido de forma fija, sino que este depende del alcance de la
seal de radio.

Puntos de acceso mal configurados

La mala, poca o nula configuracin de un punto de acceso es muy comn ya
que cotidianamente no se cambia la configuracin que trae por defecto al hacer
posible el conocimiento pblico del SSID, aunado a esto no se habilita ninguna
opcin de seguridad (WEP, WPA) haciendo que los riesgos sean muy altos.
Un punto de acceso inalmbrico mal configurado se convierte en un factor
que vulnera por completo la seguridad informtica de cualquier red.
Punto de acceso no autorizado
Un punto de acceso no autorizado, es aquel que se instala sin autorizacin ni
conocimiento de los administradores de red por lo tanto no acata las polticas de
seguridad de la red.
Ataques en redes Inalmbricas
Por las caractersticas propias del medio, es sencillo realizar ataques que
afecten la disponibilidad de la informacin en los entornos inalmbricos. Dichos
ataques pueden ser abordados desde varios enfoques, siendo los ms sencillos
aquellos que utilizan un dispositivo de radiofrecuencia (RF) de alta potencia para
generar interferencias, lo que genera que el usuario no pudiera utilizar el servicio.
Esto es consecuencia de la implementacin de la capa MAC de 802.11b, que no
transmitir mientras detecte otra actividad de RF

Ataques Pasivos
Espionaje, escucha y monitoreo. Las redes inalmbricas por su medio de
transmisin son especialmente vulnerables a los ataques pasivos ya que solo se
requiere estar situado dentro del rea de cobertura. Estn dirigidos a vulnerar la
confidencialidad de la informacin al buscar interceptar el flujo de informacin sin

alterar su contenido.

En las redes donde no existe autenticacin, el proceso es transparente,

sencillo y vulnerable, se vuelve ms complejo en los sistemas con autenticacin de
clave compartida (Shared Key). En estos casos, la autenticacin es posible tras la
captura de cierto nmero de paquetes para obtener la clave, existiendo diversas
herramientas que facilitan dicha tarea.
Despus de estar escuchando es posible obtener datos, informacin,
direcciones MAC de los equipos origen y destino, direcciones IP y monitoreo del
trfico existente en la red inalmbrica. En otras palabras se realiza un espionaje al
escuchar todo lo que se transmite dentro del canal de comunicaciones.
Como se ha visto los ataques pasivos son muy difciles de detectar ya que no
alteran los datos ni se muestran en la red. La implementacin prctica de los ataques
de escucha se conoce como wardriving.

Ataques Activos
Son ataques en los cuales a diferencia de los pasivos se lleva a cabo la
modificacin de los mensajes, paquetes o archivos.

Suplantacin.- El atacante (usuario malicioso) personifica un usuario autorizado

y por lo tanto obtiene privilegios no autorizados.
Repeticin (Replay).- El atacante monitorea las transmisiones y retransmite
mensajes como un usuario legtimo.
Modificacin de mensajes.- El atacante altera un mensaje legtimo al borrarlo,
agregarlo, cambiarlo o reordenarlo.
Negacin de servicio (DoS).- Un atacante de negacin de servicio DoS (Denial of
Service), es un ataque que impide a la vctima usar total o parcialmente los
servicios o comunicaciones de su red. Este tipo de ataque puede estar dirigido a:
o Un usuario, para impedirle realizar conexiones salientes de la red.
o Una organizacin completa, para detener su trfico saliente o entrante a
ciertos servicios de red, tales como las pginas de Web de la organizacin.

Los ataques DoS son ms fciles de realizar, esto ha ocasionado que los
ataques DoS sean comunes en internet. Tambin pueden estar dirigidos contra una
mquina en especfico para evitar que sta se comunique con la red, contra un punto
de acceso para prevenir que las estaciones de trabajo se conecten con ste o con otra
todos los dispositivos de la red. En este caso, el ataque termina eliminando toda la
actividad de la red inalmbrica.
Existen algunos ataques DoS, la mayora se basan en las debilidades del
protocolo TCP/IP. Las mejoras de los fabricantes y una configuracin apropiada de

red han hecho que los ataques DoS sean difciles de realizar. A continuacin se
describen algunos ataques DoS.

Tabla 2 Ataques DoS

Tipos de
Ataques
(DoS)
Inundaci
n
(Flood
)

Sincro
na
(SYN
)
Bloqu
e
(Teardro
p)
Smurf

DoS
Distribui
do
(DDoS)

Descripci
n
Es el mas antiguo, el atacante simplemente envia ms trfico que el
que la vctima (usuario afectado) pueda soportar. Esto requiere que
el atacante tenga una conexin de red ms rpida que la vctima. Es
el menos sofisticado y ms difcil de prevenir.
En el protocolo TCP/IP, el enlace de conexin de red es realizado
con mensajes SYN y ACK. El sistema que desea comunicarse enva
un mensaje de solicitud, SYN, al sistema destino. El sistema
destino responde con un mensaje ACK. En un ataque SYN, el
atacante inunda al destinatario con mensajes SYN engaosos. Esto
llena y sobrepasa el espacio para mensajes SYN en el equipo
destino, impidiendo que otros sistemas de la red puedan
comunicarse con este.
Utiliza el algoritmo de fragmentacin de los paquetes IP para enviar
paquetes daados a la mquina de la vctima. Esto la confunde y
puede bloquearla.
El atacante enva una solicitud de contestacin (ping) a una
direccin de emisin masiva (broadcast) desde otro equipo en la
red. Esta solicitud es modificada para hacerla parecer que viene de
la direccin de red de la vctima. Cada equipo dentro del dominio
de emisin de esa red enviar una respuesta a la vctima.
Un ataque de negacin de servicio distribuido, es un ataque DoS
ejecutado desde una gran cantidad de sitios, que han sido
comprometidos por un gusano, caballo de troya o por un hacker
manualmente.
Estos equipos comprometidos son usualmente controlados con un
software sofisticado cliente servidor tal como Trinoo, Tribe Flood
network, Stacheldaht, TFN2K, Shaft y Mstream.
Puede ser muy dificil defenderse y combatir ataques DDoS.

Ataques Avanzados
Ataque de diccionario
Un ataque de diccionario es aquel en el que se intenta cada palabra de un
diccionario como posible password de un mensaje encriptado. Este tipo de ataques
es ms eficiente que el de fuerza bruta, ya que los usuarios tpicamente utilizan
password pobres o muy sencillos.
Existen dos mtodos para mejorar los ataques de diccionario:
1) El primero consiste en usar un diccionario ms grande o usar ms diccionarios.
2) El segundo consiste en ejecutar una manipulacin de las palabras del diccionario.
Por ejemplo la palabra password puede estar en el diccionario y con tcnicas
para manipularlo se puede invertir (drowssap), adicionar combinaciones de
nmeros y letras (p4ssw0d) o usar maysculas (Password).
Otra opcin es usar una lista de nombres de personas. Un pequeo diccionario
puede tener resultados sorprendentes con estas tcnicas.

Ataque de fuerza bruta

Un ataque de fuerza bruta consiste en intentar todas las posibles claves,
cdigos, combinaciones o contraseas hasta encontrar el correcto. La dificultad de
estos ataques depende de varios factores:

Longitud de la clave
Valores posibles puede tener cada componente de la llave
Tiempo para intentar cada clave

Por ejemplo imagine un sistema en el cual permite solo 4 dgitos (PIN,

Nmero de identificacin personal). Esto significa que el nmero mximo de
combinaciones posibles son 10 000.
Incrementando la seguridad contra ataques de fuerza bruta.
Del ejemplo anterior, la seguridad del PIN puede ser incrementada al:

Incrementar la longitud del PIN.

Permitir que el PIN contenga otros caracteres adems de nmeros, tal como + o #.
Implantar u retraso de 30 segundos entre intentos de autenticacin fallidos.
Bloquear la cuenta despus de 5 intentos fallidos.

Un ataque de fuerza bruta tendr xito, eventualmente. Sin embargo, ataques

de fuerza bruta contra sistemas con llaves suficientemente largas requerirn
demasiado tiempo en completarse. En muchos casos un ataque de diccionario
trabajar ms rpidamente que un ataque de fuerza bruta.
Asociacin maligna o accidental
Un hacker puede forzar a una estacin de trabajo a conectarse, sin que sta lo
sospeche o alterar la configuracin de la estacin para poder operar en modo de red
Ad-Hoc. Los hackers configuran una computadora porttil como un punto de acceso.
As cuando la estacin de trabajo de la vctima transmite una solicitud para
asociarse con un punto de acceso, el punto de acceso del hacker responde a esta
peticin y establece una conexin entre los dos. El punto de acceso provee una
direccin IP a la estacin de trabajo de la vctima. Una vez hecho esto, el hacker
puede robar informacin instalar gusanos, troyanos u otros programas de espionaje
(spyware) y si est conectada a una red cableada, usan la estacin de la vctima como
una plataforma de lanzamiento para obtener acceso a otros servidores.
Las estaciones pueden ser engaadas o forzadas para conectarse a puntos de
acceso maliciosos, ya que frecuentemente no hay autenticacin en el punto de
acceso. Esto es una vulnerabilidad a nivel de capa 2 del modelo OSI (enlace de
datos). La autenticacin a nivel da capa 3 (red) no ofrece ninguna proteccin contra
esto, tampoco lo hace el uso de redes privadas virtuales (VPNs).
WLANs con autenticacin basada en 802.1x (capa 2) ayuda a proteger contra
asociaciones maliciosas, pero aun son vulnerables. Un ataque de asociacin
maliciosa no trata de irrumpir la VPN u otras medidas de seguridad. Solo toman
posesin del cliente.

Robo de identidad (MAC SPOOFING)

El robo de la identidad de un usuario autorizado es una amenaza seria para las
redes inalmbricas. An cuando el SSID y las direcciones MAC actan como un
nmero de identificacin personal (PIN) al verificar la identidad de los clientes
autorizados, los estndares de encriptacin no son una garanta. Los hackers con
conocimientos pueden elegir direcciones MAC o SSID autorizadas y robar ancho de
banda, bajar archivos o daarlos y ejecutar la destruccin de la red entera.
Algunos administradores aseguran sus redes inalmbricas al usar una lista de
direcciones MAC de los equipos como autenticacin. Mientras que este mtodo
provee alguna seguridad para instalaciones pequeas, las direcciones MAC nunca
fueron diseadas para este uso.
An si se utiliza algn mtodo de encriptacin o VPNs, las direcciones MAC

estn siempre en el aire, con algunas herramientas de software un hacker puede

fcilmente capturar la direccin MAC de un usuario vlido. Para poder llevar a cabo
el robo de identidad, un hacker puede cambiar su direccin MAC por la de su
vctima, usando un programa diseado para esto, o manualmente cambiar el registro
en Windows. Una vez realizando esto pude tener acceso a la red inalmbrica,
sobrepasando cualquier filtrado de direcciones MAC.
El monitoreo de radiofrecuencia permite garantizar a los usuarios que la
autenticacin apropiada est siendo impuesta y cumplida. De tal forma intentos de
autenticacin excesiva pueden indicar intentos maliciosos de un hacker.

Ataque de inyeccin de trfico a la red

Es un nuevo desarrollo de negacin de servicio (DoS), ste ataque se
aprovecha de dispositivos inalmbricos mal configurados y su objetivo es tirar la red
entera. Cuando un punto de acceso es conectado a una seccin no filtrada de la red,
emite trfico de red, dirigido o diseminado (multicast y broadcast). Al hacer esto los
paquetes incitan ataques que derriban los equipos de las redes inalmbricas y
cableadas e impulsan a disolver la infraestructura entera en la red interna, incluidos
hubs, ruteadores y switches.
Los Loops (ciclos infinitos) ocurren cuando hay rutas alternas entre dos
clientes (hosts). Si existe un loop en una red extensa, los puentes podran enviar
trfico a hosts falsos o errneos indefinidamente, incrementando el trfico y
reduciendo el rendimiento de la red al punto donde la red deja de responder. Un
hacker puede inyectar trfico sobre el segmento de red inalmbrica y ser propagado
a travs de la red completa. Esto crea un ataque DoS al insertar intencionalmente
loops dentro de la red.
Ataques de ruteo son otros ataques de modo DoS. Un hacker puede utilizar
herramientas para inyectar actualizaciones de ruteo falsas de la red, cambiando la
puerta de enlace (Gateway) por defecto o destruyendo las tablas de ruteo. Cualquier
punto de acceso falso en la red que no ste filtrado por una puerta abre la red a este
ataque daino.

Requisitos para una red inalmbrica segura

Se han definido tres caractersticas necesarias en una red inalmbrica para
definirla como segura.
Autenticacin.- Es el proceso de intento de verificar la identidad digital de un
usuario para conectarse a una red.
Confidencialidad.- Encriptacin de las comunicaciones para dar seguridad.
Integridad.- Procesos que preven y detectan la falsificacin de los mensajes de

datos.
Estos servicios pretenden ofrecer seguridad y para lograrlo se han
desarrollado varios estndares, mtodos y algoritmos de seguridad.
Dado que el peligro siempre ha estado latente, varios protocolos han sido
desarrollados para evitar este problema, stos, se basan principalmente en el cifrado
de las comunicaciones. No obstante estos mtodos de seguridad siguen siendo
dbiles, existen otras medidas de proteccin ms robustas basadas en el estndar
802.1x que permite la autenticacin y autorizacin de usuarios, a travs del protocolo
extendido de autorizacin (EAP). As como los protocolos WEP, WPA y WPA2 que
son de autenticacin y confidencialidad. Estos protocolos operan en el nivel 2 del
modelo OSI (subcapa MAC).

WEP (Wired Equivalent Privacy)

El algoritmo WEP evita acceso no autorizado a una red inalmbrica. Fue
diseado para proveer autenticacin de usuarios, privacidad en los datos e integridad
de una forma equivalente a una red cableada.
Es el mtodo de seguridad ms bsico de todos los existentes, cifra la
comunicacin inalmbrica entre los puntos de acceso y el cliente, est implementado
en la capa encargada de administrar y mantener la comunicacin entre los nodos de
la red (MAC, Control de Acceso al Medio). Este mtodo protege la red inalmbrica
contra ataques y ofrece un control de acceso a la misma.
Componentes de WEP

Clave Secreta.
Vector de Inicializacin (IV).
Algoritmo RC4 (Rivest Cipher 4)
CRC-32 (Cdigo de Redundancia Cclica).

Clave secreta

WEP utiliza claves secretas estticas que comparte con los usuarios de la red
y los puntos de acceso de un sistema dado para iniciar una transmisin de datos.
Estas claves junto con el algoritmo RC4 se utilizan para encriptar informacin, estn
formadas normalmente por 40 bits y para ofrecer un mayor nivel de seguridad
tambin hay implementaciones que utilizan llaves de 104 bits.

Algoritmo RC4

El algoritmo RC4 funciona expandiendo una cadena de bits en una clave

arbitrariamente larga de bits pseudoaleatorios. Est conformado por el vector de
Inicializacin (24 bits) y la clave secreta (40,104 bits) para generar la secuencia de
llaves utilizada para encriptar y desencriptar informacin.
Vector de Inicializacin (IV).

Un vector de inicializacin de 24 bits se utilizan para evitar encriptar los

paquetes con la misma secuencia de llaves minimizando la probabilidad de alimentar
el RC4 con las mismas entradas.
El algoritmo RC4 puede ser alimentado por una cadena de 64 bits, compuesto
por 40 bits de la clave compartida y 24 bits del vector de inicializacin, tambin
puede alimentarse por 104 bits de clave compartida y de igual forma un vector de
inicializacin de 24 bits resultando una cadena de 128 bits. El valor inicial del IV se
da aleatoriamente al comenzar la transmisin de datos, no obstante otros sistemas
inicializan el IV con el valor de cero y aumentan este valor unitariamente con cada
paquete transmitido hasta alcanzar un valor aproximado de 16 millones (2^24) para
reiniciar el conteo.
Cdigo de Redundancia Cclica CRC-32

Los Cdigos de Redundancia Cclica tambin llamados cdigos polinmicos

son utilizados para calcular las sumas de verificacin (checksums), as mismo son
muy utilizados en la prctica para detectar errores en largas secuencias de datos.
En WEP despus de aplicar el CRC-32 se genera la suma de verificacin
conocida como ICV (Integrity Check value), valor utilizado en los procesos de
encriptacin y desencriptacin de WEP. Es utilizado para asegurar que la informacin
enviada por la red no ha sido modificada o alterada, mediante las sumas de
verificacin (checksums). La suma de Verificacin Resultante a un texto plano
despus de aplicar el CRC-32 se conoce como IVC (Integrity Check Value).
Mtodo de Funcionamiento
El proceso de encriptacin que utiliza WEP se realiza a cada paquete a
transmitir, lo hace de la siguiente manera (figura 2.1):
Transmisor

El transmisor calcula el ICV usando el CRC-32 sobre el mensaje y lo concatena al

mismo.
Se elige el IV y se concatena a la clave secreta.

El IV y la clave secreta alimentan al algoritmo RC4 que funciona como generador

de Nmeros Pseudoaleatorios (PRNG), para generar la secuencia de claves.
Se encripta el mensaje original haciendo la operacin XOR entre la secuencia
anterior y el mensaje original.
Se enva el Vector de Inicializacin y el mensaje encriptado.

Fig. 2. Diagrama de bloques del proceso de encriptacin de WEP

El proceso de desencriptacin que utiliza WEP se realiza a cada paquete

recibido, lo hace de la siguiente manera (figura 2.2):
Receptor
El receptor utiliza el IV enviado por el transmisor y la clave secreta para generar
la misma secuencia de claves con el algoritmo RC4.
El receptor realiza la operacin XOR entre la secuencia de claves y el texto
cifrado recibido para calcular el texto original y el ICV.
Con el CRC-32 se calcula el ICV del texto obtenido.
Se comparan los valores ICV recibido y obtenido, si son iguales se acepta el
mensaje de lo contrario se rechaza.

Fig. 3 Diagrama de bloques del proceso de desencriptacin de WEP.

Debilidades de WEP

Uso de claves estticas.

No existe ningn mecanismo de gestin de claves.
El Vector de Inicializacin (IV) se enva sin encriptar.
Si se repite el IV se produce la misma secuencia de cifrado.
El IV forma parte de la clave WEP.
CRC-32 se dise para detectar errores.
Configuracin predeterminada dbil.
Se autentica la mquina, no el usuario.

Gestin y tamao de clave

La gestin de clave no est especificada, stas tienden a mantenerse durante

ms tiempo y resulta una tarea tediosa y difcil modificarlas, lo que reduce la
seguridad. La mayora de las redes inalmbricas que utilizan WEP tienen una nica
clave WEP compartida por todos los nodos de la red. Todo usuario y punto de acceso
deben ser programadas de forma manual con la misma clave WEP.
La clave tiene una longitud de 40 bits. Cuando el estndar fue desarrollado en
1997, las claves de 40 bits eran consideradas suficientes, hoy en da es insuficiente y
los fabricantes han extendido el tamao de la clave a 104 bits. En cualquiera de los
casos (40 104 bits), se cuenta con un vector de inicializacin de 24 bits.
El IV es demasiado pequeo

El Vector de Inicializacin (IV) tiene un tamao de 24 bits, proporciona alrededor de

16 millones de combinaciones diferentes de cifrado para una clave WEP. El principal
problema es la reutilizacin del IV, dado que en un corto tiempo se completan todas
las combinaciones posibles. As un atacante si descubre el flujo de cifrado del
algoritmo RC4 y utilizando la operacin XOR al paquete puede desencriptar los
paquetes subsiguientes encriptados con el mismo IV.
El protocolo WEP no especifica cmo crear ni con qu frecuencia debe ser
cambiado el IV, algunas veces comienza a dar valores empezando en cero y se va
aumentando en uno por cada paquete enviado y regresando de nuevo el contador a
cero despus de concluidos los 16 millones de paquetes.

Deficiencia en el CRC-32

Otra debilidad se encuentra al proporcionar un mecanismo que garantice la

integridad de los mensajes, utilizando un CRC-32 que se transmite cifrado. Dado que
el CRC-32 se dise para la deteccin de errores no es vlido y es posible modificar
una parte del mensaje sin que se percate el receptor.

WPA (WI-FI Protected Access)

Miembros de la Wi-Fi Alliance en colaboracin con la IEEE buscaron la
manera de corregir las debilidades de WEP, propusieron un nuevo estndar llamado
WPA. Con este estndar se mejora el cifrado de los datos y ofrece un mecanismo de
autenticacin. WPA propone un nuevo protocolo de cifrado para solucionar el
problema conocido como TKIP (Temporary Key Integrity Protocol). La principal
funcin de este protocolo es de intercambiar la clave compartida entre el punto de
acceso y usuario cada cierto tiempo, evitando as ataques que permitan revelar la
clave.
De igual forma se mejoraron los algoritmos de cifrado de trama y de
generacin del IV, con respecto a WEP, y permite la autenticacin de los usuarios
gracias al estndar 802.1x, protocolo puesto a punto por IEEE.
WPA permite utilizar una clave por estacin conectada a una red inalmbrica,
mientras que WEP utilizaba la misma clave para toda la red inalmbrica. Las claves
WPA son as generadas y distribuidas de manera automtica por el punto de acceso
inalmbrico que debe ser compatible con WPA. Adems de un verificador de datos
permite asegurar la integridad de la informacin recibida para estar seguro de que
nadie la ha modificado.

Modo de autenticacin
Modalidad de red empresarial

Para operar en esta modalidad se requiere de la existencia de un servidor

RADIUS en la red. El punto de acceso emplea entonces 802.1x y el protocolo EAP
para la autenticacin, el servidor RADIUS suministra las claves compartidas que se
usarn para cifrar los datos.
802.1X

WPA emplea al 802.1x para atender el problema de la autenticacin y

escalabilidad de usuarios en WEP. Est diseado para redes cableadas pera tambin
es aplicable a redes inalmbricas, consta de tres elementos:

Un suplicante.- Dispositivo inalmbrico que hace una peticin a la red para

conectarse y ser autenticado.
Un servidor de autenticacin.- Un sistema que maneja las autenticaciones, tal
como un servidor RADIUS o IAS.
Un autenticador.- Dispositivo que acta como intermediario entre suplicante y
servidor de autenticacin. Usualmente es un punto de acceso.

2EAP (Extensive Authentication Protocol)

Es un protocolo de seguridad de capa 2 del modelo OSI, empleado en la etapa
de autenticacin. El estndar provee control de acceso basado en puertos as como
autenticacin mutua entre clientes y puntos de acceso usando un servidor de
autenticacin. El protocolo de Autenticacin Extendido provee una base generalizada
para un sistema de red inalmbrico al escoger un mtodo especfico de autenticacin
que puede ser password y certificados PKI.
Al utilizar EAP no es necesario para el autenticador entender los detalles
sobre los mtodos de autenticacin, este simplemente acta como un interceptor de
paquetes EAP a ser enviados de un usuario a un servidor de autenticacin, en el cual
la autenticacin si se lleva a cabo.
De acuerdo a la modalidad empleada se utiliza alguna de las dos variantes del
protocolo EAP: las que emplean certificados de seguridad y las que utilizan
contraseas.

EAP con certificado de seguridad

EAP-TLS: El tipo de EAP Seguridad del nivel de transporte EAP (EAP-TLS,

Transport Level Security). El mtodo de autenticacin EAP-TLS se utiliza si se
estn empleando tarjetas inteligentes para la autenticacin de acceso remoto. El
intercambio de mensajes EAP-TLS permite la autenticacin mutua, la
negociacin del mtodo de cifrado y la determinacin de claves cifradas entre el
cliente de acceso remoto y el autenticador. EAP-TLS proporciona el mtodo de
determinacin de claves y autenticacin ms eficaz. EAP-TLS slo se admite en
servidores que ejecutan Enrutamiento y acceso remoto, que estn configurados
para utilizar la Autenticacin de Windows o RADIUS, y que son miembros de un
dominio. Los servidores de acceso remoto que se ejecutan como servidores
independientes o miembros de un grupo de trabajo no admiten EAP-TLS.
EAP-TTLS: Proporciona servicios similares a EAP-TLS, con la diferencia de que
requiere solamente la instalacin de un certificado en el servidor, agilizando el
proceso. Esto garantiza la autenticacin del servidor por parte del cliente; la
autenticacin del cliente por parte del servidor se efecta una vez que se establece
la sesin TLS, utilizando otro mtodo tal como PAP, CHAP, MS-CHAP, con lo
cual el suplicante se identifica con una combinacin nombre/contrasea.
PEAP: Funciona de manera parecida a EAP-TTLS, en el sentido de que
solamente requiere de certificado de seguridad en el servidor. Provee proteccin
a mtodos ms antiguos de EAP, mediante el establecimiento de un tnel seguro
TLS entre el cliente y el autenticador.

EAP con utilizacin de contraseas

EAP-MD5: Emplea un nombre de usuario y una contrasea para la autenticacin.

La contrasea se transmite cifrada con el algoritmo MD5. Su gran inconveniente
consiste en el bajo nivel de seguridad que maneja ya que es susceptible a ataques
de diccionario. Adems, el cliente no tiene manera de autenticar al servidor, y el
esquema no es capaz de generar claves de WEP dinmicas.
LEAP: Emplea un esquema de nombre de usuario y contrasea, y soporta claves
dinmicas WEP. Al ser una tecnologa propietaria, exige que todos los puntos de
acceso sean marca CISCO, y que el servidor RADIUS sea compatible con LEAP.
EAP-SPEKE: Esta variante emplea el mtodo SPEKE (Simple Passwordauthenticated Exponential Key Exchange), que permite verificar que tanto como
servidor comparten una contrasea secreta a travs de un medio inseguro. Se ha
comprobado que el mtodo es muy seguro, aun con contraseas cortas. Ofrece
proteccin contra ataques de diccionario, as como el servicio de autenticacin
mutua sin necesidad de certificados. Muchos proveedores lo implementan por ser
un mtodo de autenticacin robusto y sencillo.

Modalidad de red casera o PSK (Pre-Shared Key)

Est enfocada para uso en redes domsticas o pequeas redes. No requiere un
servidor AAA, sino que utiliza una clave compartida en las estaciones y punto de
acceso. Al contrario que WEP, esta clave solo se utiliza como punto de inicio para la
autenticacin, pero no para el cifrado de los datos.
Una vez logrado el acceso, el protocolo TKIP entra en funcionamiento para
garantizar la seguridad del acceso. Se recomienda que las contraseas empleadas
sean largas (20 o ms caracteres), porque ya se ha comprobado que WPA es
vulnerable a ataques de diccionario si se utiliza una contrasea corta.

TKIP (Protocolo de integridad de llave temporal, Temporal Key

Integrity Protocol)
Del estndar 802.11i se deriva el Protocolo de integridad de llave temporal
TKIP, diseado para corregir las vulnerabilidades que presenta WEP en la
encriptacin de datos. TKIP repara la falla de seguridad del uso cclico de llaves en
WEP.
TKIP est compuesto de tres partes:

Una llave dinmica y temporal, incrementada de 40 bits en WEP a 128 bits en

TKIP, la cual es compartida por los clientes y los puntos de acceso.
Una direccin MAC de un dispositivo cliente.
Un vector de inicializacin de 48 bits a diferencia de WEP que utiliza 24 bits.

Comparado con WEP, TKIP cambia las llaves temporales cada 10 000
paquetes, de esta manera aun se deja un pequeo espacio para romper la llave TKIP.
Esta llave va a estar compuesta por la clave base, la direccin MAC de la estacin
emisora y del nmero de serie del paquete como vector de inicializacin.
Cada paquete que se transmite utilizando el protocolo TKIP incluye el
nmero de serie nico de 48 bits, por cada paquete enviado se incrementar para
asegurar que todas las llaves son distintas. Esto evita ataques de colisin que se basan
en paquetes cifrados con la misma llave.

MIC (Message Integrity Code)

WEP utiliza el CRC-32 como cdigo de integridad de mensaje y WPA utiliza
el cdigo MIC. El cdigo de integridad del mensaje (MIC) permite verificar la
integridad de la trama, especifica un nuevo algoritmo que calcula un cdigo de

integridad de mensaje de 8 bytes mientras que WEP utiliza un valor de verificacin

de integridad de mensaje de 4 bytes.

Ventajas de WPA

Soluciona la debilidad del vector de inicializacin de WEP mediante la inclusin

de vectores del doble de longitud y especificando reglas de secuencia que los
fabricantes deben implementar.
Eliminacin del CRC-32 e inclusin del cdigo MIC.
Generacin y distribucin de claves dinmicas automticamente.
Mtodo de autenticacin EAP y llaves compartidas (PSK).

WPA2
WPA2 est basada en el nuevo estndar 802.11i. A diferencia de WPA, siendo
este una versin previa, no incluye todas las caractersticas del Estndar IEEE
802.11i, mientras se puede decir que WPA2 es la versin certificada del estndar
802.11i. Aade encriptacin mejorada va AES (CCMP). Soporta a redes en modo
Ad-Hoc o IBSS y una caracterstica llamada preautenticacin, esta permite movilidad
al usuario entre WLANs conectadas en la misma infraestructura.
En la nueva generacin de puntos de acceso, los fabricantes se apoyaron en el
protocolo WPA2 que utiliza el algoritmo de cifrado TKIP, al igual que WPA pero con
la ventaja que soporta AES en lugar de RC4, hacindolo as mucho ms seguro en
cuanto al cifrado de los datos.
AES (Estndar de Encriptacin Avanzada, Advanced Encryption Standard) es
el algoritmo de clave simtrica ms seguro existente pero requiere mayor capacidad
de procesamiento para implementarlo, ste es el motivo de que su uso sea opcional
en WPA ya
que una gran parte del hardware existente en los dispositivos
inalmbricos es insuficiente para ejecutarlo.
CCMP (Protocolo de Respuesta a la Codificacin en Bloque Encadenado al
Cdigo del Mensaje de Autenticacin,Counter Mode with Cipher Block Chaining
Message Authentication Code Protocol) utiliza el algoritmo AES para encriptacin.
Proporciona tanto confidencialidad (cifrado) como integridad a los datos. Utiliza una
estructura de llaves jerrquicas basadas en pares de llaves y llaves de grupo.
Ventajas de WPA2

Canal encriptado y seguro antes de iniciar autenticacin a nivel capa 2 del modelo
OSI
Autenticacin segura

Negociacin de cifrado
Nuevo algoritmo de verificacin de mensajes MIC
Metodologa EAP para autenticar
Compatible con redes Ad-Hoc
Soporte de movilidad al preautenticar en los puntos de acceso al usuario

Filtrado de direcciones MAC

El filtrado de direcciones MAC se trata de una opcin de autentificacin
adicional, que ofrecen muchos puntos de acceso. Consiste en crear una tabla de las
direcciones MAC de los dispositivos inalmbricos autorizados en cada punto de
acceso, para comunicarse con ellos. De esta manera se filtran los dispositivos
autorizados y se inhibe el acceso a los dems. La ventaja de filtrar direcciones
MAC es la sencillez que ofrece, de este modo puede ser implementado en redes
domsticas, no obstante tambin posee desventajas para su uso en redes ms
grandes. Las principales desventajas son:

Cada Punto de Acceso debe programarse manualmente y esto provoca, adems

de una gran carga de trabajo, frecuentes errores de captura de los nmeros de la
direccin MAC.
Cada nuevo usuario deber ser dado de alta. Una de los grandes atractivos de
las redes inalmbricas es facilitar la movilidad de los usuarios. En este caso, si
la organizacin cuenta con varios Access Point significa que la lista de
direcciones debe mantenerse cargada y actualizada en cada uno de ellos.
Si algn dispositivo (PC porttil, o PDA) es robado o extraviado, deber darse
de baja inmediatamente de todas las listas de todos los Puntos de Acceso, pues
el que tenga ese dispositivo estar autorizado para entrar a la red.
Las direcciones MAC pueden ser "capturadas" por algn posible intruso y
luego con ese dato tener acceso libre al sistema.
Los Puntos de Acceso tambin pueden ser sustrados con relativa facilidad y en
ese caso se dejara expuesto todo el sistema de seguridad inalmbrico.
Por ltimo, evidentemente este mtodo no cumple con el estndar 802.1x, pues
no se autentica al usuario, sino a los dispositivos.
Tabla 3 Tabla comparativa de algoritmos de seguridad inalmbrica

Algorit
mo

Fec
ha

WE
P
WP
A
WP
A2

199
9
200
4200
4

Algorit
mo de
cifrado

RC4
RC4(TK
IP)
AESCCMP

Llave
de
encriptac

40
bits
128
bits
128
bits

Vector
de
inicializac

24 bits
48 bits
48 bits

Llave
de
autenticac

64
bits
128
bits

Integri
dad de
los
datos
CRC-

32
MIC
MIC

Seguri
dad
Ad-

SI

Preautenticaci
n

Sistemas de Deteccin de Intrusiones

Un sistema de deteccin de intrusiones IDS (Intrusion Detection System) es
una herramienta de seguridad que comprueba toda la actividad interna ocurridos
dentro y fuera de un determinado sistema informtico o red informtica en busca de
intentos de comprometer la seguridad de dicho sistema. Los IDS buscan patrones
definidos previamente que impliquen actividades sospechosas sobre la red. Son una
herramienta de prevencin, no estn diseados para detener un ataque pero pueden
generar determinados tipos de respuesta en caso de alguno.
Los IDS aumentan la seguridad de la red, vigilan el trfico de la misma y
examinan los paquetes analizndolos en busca de datos sospechosos y detectan las
primeras fases de un ataque.

NIDS (Net IDS)

Los sistemas de deteccin de intrusiones basados en red (NDIS), actan sobre
una red analizando paquetes individuales que viajan a travs de ella buscando
patrones sospechosos de algn tipo de ataque, son sniffers del trfico de la red.
Trabajan a nivel TCP/IPN y a nivel de aplicacin, normalmente en tiempo real.
Pueden analizar redes amplias y su impacto en el trfico es pequeo.
Por el tipo de respuesta podemos clasificarlos en:
Pasivos: Son aquellos IDS que notifican al administrador de la red mediante
una alarma de una brecha potencial en la seguridad, Pero no acta sobre el ataque o
atacante.
Activos: Generan algn tipo de respuesta determinado por el administrador de
la red como cerrar la conexin o programar el firewall (cortafuegos) para bloquear
en la red el trfico de la fuente de ataque o bien enviar algn tipo de respuesta
predefinida en la configuracin.

S
I

HIDS (Host IDS)

Protegen contra un solo PC al analizar actividades con gran precisin y
determinando las acciones y procesos de los usuarios. Recopilan una gran cantidad
de informacin como ficheros para analizarlos posteriormente en busca de posibles
incidencias. Todo esto lo realiza dentro del propio sistema, los HIDS fueron los
primeros IDS desarrollados por la industria de la seguridad informtica.
La diferencia entre los IDS y los firewalls es que los primeros buscan posibles
intrusiones para que no ocurran ataques y una vez que han ocurrido examina la
posible intrusin y genera una alarma mientras que para detener una intrusin el
firewall restringe el acceso entre redes pero no puede detectar un ataque desde
dentro de la red.
Polticas para las Contraseas
En la mayora de los sistemas de cmputo, las contraseas son indispensables
para identificarse ante un sistema y nos permiten impedir el acceso indiscriminado de
cualquier usuario. Sin embargo, la exposicin a que un tercero pueda robar las
contraseas no se puede pasar por alto.
En las redes de cmputo se emplean diversas tcnicas para averiguar
contraseas, en los sistemas de autenticacin se encuentran los denominados
ataques por diccionario y ataques por fuerza bruta. Para tener xito en este tipo
de ataques es primordial conocer el nombre de usuario de una cuenta, esto, es muy
sencillo la mayora de las veces ya que son valores predeterminados como root,
admin o administrator. Los ataques son dirigidos a las cuentas que poseen los
mximos privilegios por lo tanto, es necesario modificar el nombre de usuario
predeterminado de estas cuentas.

Polticas para la Seguridad

Las herramientas de seguridad Wi-Fi son insuficientes para solucionar todos
los problemas de seguridad que plantean las redes inalmbricas. Por lo tanto es
imprescindible la utilizacin de polticas claras y rgidas en materia de seguridad. El
NIST (National Institute of Standards and Technology, Instituto de Estndares de
USA) recomienda como primer medida de seguridad, antes an de comprar o instalar
tecnologa WIFI, elaborar polticas y procedimientos de seguridad para todos los
usuarios.
En el momento de elegir contraseas el administrador se debe basar en su

longitud y la variedad de la serie de caracteres que la pueden componer, ya que a

mayor tamao y mayor variedad de caracteres ser ms difcil de predecir por los
intrusos.
Al elegir una contrasea es importante no optar por la misma para varios tipos
de aplicaciones y servicios ya que esto aumenta el riesgo de que un atacante pueda
robarla.
Actualmente se encuentran los certificados digitales, estos, permiten verificar
que el remitente sea realmente quien dice ser y que el contenido del mensaje enviado
(criptograma) no haya sido modificado en su trnsito. Los certificados digitales,
proporcionan un mecanismo para verificar la autenticidad de programas y
documentos obtenidos a travs de la red.
Las siguientes medidas son esenciales para la configuracin del servidor de
autenticacin con respecto a las contraseas:

Permitir el acceso desde una IP en particular

Contrasea de mnimo 8 caracteres obligatoriamente
Inclusin de maysculas, minsculas y smbolos
Definicin del intervalo y nmero de intentos para entrar la contrasea en el
servidor.

Prevencin de ataques de diccionario y de fuerza bruta

Lograr una prevencin total de este tipo de ataques es muy difcil, no obstante
algunos mtodos para contrarrestarlos son:

Hacer una pausa aleatoria cuando se teclea una contrasea.

Registrarse y trabajar desde una sola direccin IP.
Hacer uso de software para prevenir ataques automatizados.
Bloqueo de la cuenta de un usuario despus de varios intentos fallidos de entrar
una contrasea.

Para identificar un ataque de fuerza bruta o cualquier otro las siguientes

condiciones son sin duda indicadores que pueden ser de gran ayuda:

Registro excesivo de entradas a la red desde una misma direccin IP.

Entradas a la red de una cuenta en particular desde IPs diferentes.
Uso excesivo del ancho de banda por un solo usuario.
Intentos fallidos de entrada a la red usando nombres o contraseas secuenciales.
Intentos excesivos de entrar a la red desde la misma IP.

Retos actuales de la seguridad de la informacin.

Escasez de personal en seguridad informtica
Adems de la capacitacin tcnica, el personal de seguridad de la informacin
necesita desarrollar habilidades para cumplir con los estndares y necesidades de
seguridad que no son parte de la formacin profesional tradicional. Las polticas de
seguridad que requiere una compaa o institucin son similares a leyes que se deben
implementar en las mismas, esto, requiere entrenamiento especializados.
Legislacin para la proteccin de la informacin.
Ciertos pases no dan mucha importancia a la proteccin de informacin
personal o a la propiedad intelectual por lo tanto dan pi a que los intrusos operen
libremente sin ningn temor a las leyes, ya que es imposible que el Derecho vaya a la
par que la tecnologa, regulando cuanto fenmeno o conducta lcita o ilcita infiere en
el mbito jurdico, empezando porque es evidente que los fenmenos y/o conductas
tienen que manifestarse primero, ya que las leyes no pueden regular lo que an no
existe.
Fuerza laboral mvil.
Toda la proteccin que se ofrece a una institucin debe ser la misma que se
aplique en los dispositivos porttiles para que puedan seguir funcionando de manera
segura y protegida.
Adems s los aparatos mviles no tienen herramientas para la seguridad de la
informacin se corre el riesgo de robo de propiedad intelectual valiosa y
confidencial.
Compatibilidad y fabricantes certificados.
Hay que asegurarse de adquirir productos de chips inalmbricos de
fabricantes certificados por la alianza Wi-Fi para tener una seguridad slida y rpida
ya que al usar chips de marcas que no estn certificadas se tendrn problemas de
interoperabilidad y por lo tanto la red presentar un bajo desempeo.
Prcticas seguras para WLANs

Estndares de seguridad informtica

El ISO17799 y el BS799 son polticas y estndares de procedimientos de
seguridad. Ambos comprenden una aproximacin general al tratamiento que se le

debe dar a la informacin relativa a archivos de datos y de software y a

comunicaciones en general comprendidos en la definicin del trmino
informacin, ya que la informacin es un bien por el valor que adquiere necesita
ser protegida igual que cualquier otro bien.
El BS799 recomienda especial atencin en tres puntos principales para
garantizar la seguridad de la informacin:
Integridad.- para proteger la totalidad y veracidad de la informacin y los
mtodos usados para procesarla
Disponibilidad.- Asegurando que la gente que ha recibido autorizacin la
pueda accesar.
Confidencialidad.- para garantizar que los usuarios autorizados tengan acceso
a tal informacin y todos los recursos asociados cuando sea requerido.
Por su parte el ISO-IEC 17799:2000 hace recomendaciones para la
administracin de la seguridad de la informacin:

Establecer polticas de seguridad dentro de la organizacin

Infraestructura de seguridad
Seguridad del personal
Clasificacin y control de bienes
Administracin de comunicaciones y operaciones
Control de acceso
Desarrollo y mantenimiento de sistemas

Monitoreo para disminuir riesgos

Las organizaciones deben observar sus redes inalmbricas constantemente
para detectar vulnerabilidades e intrusiones. Existen varios productos comerciales
que proveen servicios como:
Proteccin contra intrusos: Monitoreo en tiempo real de los protocolos
802.11a/b/g para la deteccin ms avanzada para redes inalmbricas.
Ejecucin de polticas de seguridad: permite a las organizaciones crear
polticas para cada dispositivo como parte de una poltica centralizada que define,
monitorea y ejecuta las polticas.
Monitoreo saludable: monitorea la salud de la red inalmbrica y provee
soporte operacional que maximiza su rendimiento y alerta cuando algn dispositivo
falla o es desconectado.

Anlisis y deteccin de puntos de acceso falsos: los puntos de acceso no

autorizados representan una de las mayores amenazas para la seguridad de la red de
la organizacin.

Deteccin de puntos de acceso no autorizados

La nica manera de encontrar puntos de acceso no autorizados es escuchando
las seales.
Sniffers. Son programas que permiten examinar los canales de
radiofrecuencia en busca de conexiones con cualquier punto de acceso dentro del
rango. ( por ejemplo AirSnort o NetStumbler).
Probes. Los sensores probes se pueden instalar para asegurar la continua
vigilancia de puntos de acceso no autorizados. Son dispositivos electrnicos que
continuamente exploran y monitorean todo el trfico 802.11 dentro del rango, estos
dispositivos son costosos tanto en materia de equipo como de instalacin. Sin
embargo ya existen puntos de acceso que estn diseados para actuar como sensores
as como puntos de acceso reduciendo as el costo.

Lmites del rea de cobertura

Al limitar el rea de cobertura se beneficia la seguridad de la red, para esto es
primordial dar servicio nicamente a las reas que lo requieran, tambin al instalar
los puntos de acceso cerca del centro de los edificios y lejos de paredes exteriores
damos prioridad a las personas que estn dentro de los edificios. As mismo al
reducir la potencia de emisin del punto de acceso cuando sea posible se limita el
rea de cobertura de la red.

Mtodos Bsicos de Proteccin a WLANs

Los siguientes mtodos se utilizan para asegurar las WLANs sin embargo
todos ellos son falibles y sus debilidades han sido publicadas y se ha desarrollado
software y hardware para explotar al mximo dichas debilidades.
Filtrado de direcciones MAC
Consiste en crear una tabla de direcciones MAC de los dispositivos
inalmbricos autorizados en cada punto de acceso, filtrando as los dispositivos
autorizados y eliminando los dems.
Redes privadas virtuales (VPN)

Una VPN es una estructura de red corporativa implantada sobre una red de
recursos de carcter pblico, pero que utiliza el mismo sistema de gestin y las
mismas polticas de acceso que se usan en las redes privadas, es una red pblica de
un entorno de carcter confidencial y privado que permitir trabajar al usuario como
si estuviera en su misma red local.
La comunicacin entre los dos extremos de la red privada a travs de la red
pblica se hace estableciendo tneles virtuales entre esos dos puntos y usando
sistemas de encriptacin y autentificacin que aseguren la confidencialidad e
integridad de los datos transmitidos a travs de esa red pblica. De esta manera,
queda protegida la conexin con IPSec que es un mtodo de encriptacin robusto y
muy difcil de hackear.
En el traslado a travs de Internet, los paquetes viajan encriptados, por este
motivo, las tcnicas de autenticacin son esenciales para el correcto funcionamiento
de las VPNs, ya que se aseguran a emisor y receptor que estn intercambiando
informacin con el usuario o dispositivo correcto.
La autenticacin en redes virtuales es similar al sistema de inicio de sesin a
travs de usuario y contrasea, pero tiene necesidades mayores de aseguramiento de
validacin de identidades. La mayora de los sistemas de autenticacin usados en
VPN estn basados en sistema de claves compartidas.
La autenticacin se realiza normalmente al inicio de una sesin, y luego,
aleatoriamente, durante el transcurso de la sesin, para asegurar que no haya algn
tercer participante que se haya podido entrometer en la conversacin.
Todas las VPNs usan algn tipo de tecnologa de encriptacin, que empaqueta
los datos en un paquete seguro para su envo por la red pblica.
La encriptacin hay que considerarla tan esencial como la autenticacin, ya
que permite proteger los datos transportados de poder ser vistos y entendidos en el
viaje de un extremo a otro de la conexin.
La utilizacin de las VPN aade bastante seguridad a las redes inalmbricas
pero tiene ciertas desventajas:

Una de ellas es la econmica pues cada tnel tiene un costo para la organizacin
y cuando se trata de proteger a cientos o miles de usuarios de una red
inalmbrica, las VPN se convierten en extremadamente costosas.
Mejoraron bastante la seguridad WEP, pero ahora que existe WPA y WPA2 no
son necesarias.
Estn diseadas para proteger a partir de la capa 3 del modelo OSI, sin embargo
las redes inalmbricas WIFI (802.11) funcionan en capa 2.
La seguridad en redes es mejor al implementarse en el nivel ms bajo posible de
las capas del modelo OSI. Las VPNs no son suficientes para trabajar en la capa 2

del modelo OSI, especficamente para WLANs. IPSec es un protocolo de

segurida de red a red y fue diseado para trabajar en la capa 3 y para redes
cableadas. Entre ms baja sea la capa en la que la encriptacin es implementada,
menos expuesta es la informacin a un ataque externo.
Productos Comerciales que Brindan Seguridad a WLANs
Airfortress.- empresa que se dedica a incrementar la seguridad tanto de
sistemas operativos como de redes inalmbricas. Encriptacin en capa 2, monitoreo,
alarmas y aplicacin de polticas de seguridad.
AirDefense.- monitorea constantemente toda la actividad inalmbrica en
tiempo real.
Permite a la organizacin el control del espacio areo inalmbrico.
Cranite Wireless Wall.- permite movilidad rpida entre puntos de acceso,
soporta cualquier protocolo de capa 3. Encripta a nivel capa 2.
Orinoco.- fabricante lder de equipo inalmbrico que integra monitoreo y
escaneo en sus puntos de acceso.
Airmagnet.- empresa desarrolladora de herramientas para la administracin y
gestin de redes inalmbricas, controla la aplicacin de las polticas de seguridad.

CONCLUSIN