Professional Documents
Culture Documents
INGENIERA EN
SISTEMAS DE
INFORMACIN
ASIGNATURA:
COMUNICACIONES
INALMBRICAS
TEMA:
ESTNDARES Y
POLTICAS DE
SEGURIDAD EN REDES
INALMBRICAS
ALUMNO:
EDISON RUIZ
RUBN BEDN
LVARO PALATE
FREDDY ZACARAS
2016-2016
Contenido
INTRODUCCIN..........................................................................................................................4
JUSTIFICACIN...........................................................................................................................5
Objetivos........................................................................................................................................5
Objetivo General........................................................................................................................5
Objetivos Especficos.................................................................................................................5
Estndar IEEE 802.11.....................................................................................................................6
Estndar 802.11..........................................................................................................................6
Estndar 802.11a........................................................................................................................6
Estndar 802.11b........................................................................................................................6
Estndar 802.11g........................................................................................................................7
Estndar 802.11i.........................................................................................................................7
Estndar 802.11n........................................................................................................................7
SEGURIDAD EN REDES INALMBRICAS..............................................................................8
Mecanismos y factores de Seguridad..........................................................................................8
Problemtica de la seguridad en redes Wi-Fi..............................................................................8
Medio de transmisin de las WLAN.......................................................................................8
Puntos de acceso mal configurados........................................................................................9
Punto de acceso no autorizado................................................................................................9
Ataques en redes Inalmbricas.......................................................................................................9
Ataques Pasivos..........................................................................................................................9
Ataques Activos.......................................................................................................................10
Ataques Avanzados...................................................................................................................11
Ataque de diccionario...........................................................................................................11
Ataque de fuerza bruta..............................................................................................................12
Asociacin maligna o accidental..........................................................................................12
Robo de identidad (MAC SPOOFING)....................................................................................13
Ataque de inyeccin de trfico a la red.....................................................................................14
Requisitos para una red inalmbrica segura..................................................................................14
WEP (Wired Equivalent Privacy).............................................................................................15
Componentes de WEP..........................................................................................................15
Mtodo de Funcionamiento..................................................................................................16
Debilidades de WEP.............................................................................................................18
WPA (WI-FI Protected Access)................................................................................................19
Modo de autenticacin.........................................................................................................19
2EAP (Extensive Authentication Protocol)...............................................................................20
EAP con certificado de seguridad.........................................................................................20
EAP con utilizacin de contraseas......................................................................................21
Modalidad de red casera o PSK (Pre-Shared Key)...................................................................21
INTRODUCCIN
No hace mucho, menos de una generacin, la telefona fija era prcticamente la
nica va de comunicacin entre puntos remotos. Tras ella lleg el satlite, despus lo
hizo la telefona mvil, a continuacin los sistemas LMDS, para ahora encontrarnos en
plena aparicin y rpida consolidacin de las redes WiFi, en lo que, en conjunto,
representa el xito de las telecomunicaciones inalmbricas.
Desde 1997, un protocolo de comunicaciones empez a despuntar con enorme
xito y visos de un tremendo futuro. Esta tecnologa basada en el estndar IEEE
802.11b y conocida comnmente como Wi-Fi ha conseguido unos altos niveles de
implantacin, desbordar el mbito de aplicaciones y servicios para los que fue
inicialmente concebida, ser un complemento poderoso algunas tecnologas y
representar una potencial amenaza al desarrollo de otras que requieren importantes
infraestructuras y altos niveles de inversin.
JUSTIFICACIN
La implementacin de redes inalmbricas en la actualidad trae consigo
importantes riesgos de seguridad que afrontar, por lo que se pretende conocer la
manera de implementar un sistema de control de acceso a las redes inalmbricas
suficientemente fuertes que protejan el acceso a los recursos tecnolgicos y a la
informacin.
Como las redes inalmbricas transmiten y reciben datos por aire mediante
tecnologa de radio frecuencia cualquiera podra estar escuchando la informacin
transmitida y no solo eso, sino que tambin podra alterar la informacin o
modificarla, para evitar estos ataques, se utiliza el sistema de autenticidad y
encriptacin de datos.
Los principales beneficiarios de la implementacin del sistema de control de
acceso sern los usuarios de la red, debido a que por medio de un sistema de control
de acceso se realizar los procedimientos de identificacin, autenticacin y
autorizacin para permitir o denegar el uso de los recursos de la red, dando al usuario
la suficiente garanta y seguridad en la transmisin de la informacin.
Objetivos
Objetivo General
Conocer la forma de Implementacin de un sistema de control de acceso para
garantizar la seguridad de las redes inalmbricas a los usuarios.
Objetivos Especficos
Analizar los sistemas de control de acceso que pueden ser utilizados en las
redes inalmbricas de determinada empresa.
Estndar 802.11
Estndar 802.11a
Estndar 802.11b
Estndar 802.11b: Las conexiones funcionan a una velocidad mxima de 11 Mbps y
opera en una banda de 2.4 GHz. Es el ms popular pues fue el primero en imponerse y
existe un inventario muy grande de equipos y dispositivos que manejan esta tecnologa.
Adems, al ser compatible con el estndar 802.11g permiti la incorporacin de ste
ltimo a las redes inalmbricas ya existentes. Con el estndar 802.11b, slo se pueden
utilizar 3 canales no superpuestos (de los 11 existentes) en la mayora de los pases. En
Europa se pueden utilizar 4 canales de los 13 existentes. No todos los Puntos de Acceso
Inalmbrico sirven para los 2 sistemas, as que es importante tenerlo en cuenta a la hora
de adquirir un Access Point.
Estndar 802.11g
Estndar 802.11i
Estndar 802.11n
Estnd
ar
IEEE
802.11a
IEEE
802.11b
IEEE
802.11g
Velocidad
de
transmisi
54
Mbps
11
Mbps
54
Mbps
Frecuencia
de
operacin
5
GHz
2.4 GHz
2.4 GHz
Ataques Pasivos
Espionaje, escucha y monitoreo. Las redes inalmbricas por su medio de
transmisin son especialmente vulnerables a los ataques pasivos ya que solo se
requiere estar situado dentro del rea de cobertura. Estn dirigidos a vulnerar la
confidencialidad de la informacin al buscar interceptar el flujo de informacin sin
alterar su contenido.
Ataques Activos
Son ataques en los cuales a diferencia de los pasivos se lleva a cabo la
modificacin de los mensajes, paquetes o archivos.
Los ataques DoS son ms fciles de realizar, esto ha ocasionado que los
ataques DoS sean comunes en internet. Tambin pueden estar dirigidos contra una
mquina en especfico para evitar que sta se comunique con la red, contra un punto
de acceso para prevenir que las estaciones de trabajo se conecten con ste o con otra
todos los dispositivos de la red. En este caso, el ataque termina eliminando toda la
actividad de la red inalmbrica.
Existen algunos ataques DoS, la mayora se basan en las debilidades del
protocolo TCP/IP. Las mejoras de los fabricantes y una configuracin apropiada de
red han hecho que los ataques DoS sean difciles de realizar. A continuacin se
describen algunos ataques DoS.
Tipos de
Ataques
(DoS)
Inundaci
n
(Flood
)
Sincro
na
(SYN
)
Bloqu
e
(Teardro
p)
Smurf
DoS
Distribui
do
(DDoS)
Descripci
n
Es el mas antiguo, el atacante simplemente envia ms trfico que el
que la vctima (usuario afectado) pueda soportar. Esto requiere que
el atacante tenga una conexin de red ms rpida que la vctima. Es
el menos sofisticado y ms difcil de prevenir.
En el protocolo TCP/IP, el enlace de conexin de red es realizado
con mensajes SYN y ACK. El sistema que desea comunicarse enva
un mensaje de solicitud, SYN, al sistema destino. El sistema
destino responde con un mensaje ACK. En un ataque SYN, el
atacante inunda al destinatario con mensajes SYN engaosos. Esto
llena y sobrepasa el espacio para mensajes SYN en el equipo
destino, impidiendo que otros sistemas de la red puedan
comunicarse con este.
Utiliza el algoritmo de fragmentacin de los paquetes IP para enviar
paquetes daados a la mquina de la vctima. Esto la confunde y
puede bloquearla.
El atacante enva una solicitud de contestacin (ping) a una
direccin de emisin masiva (broadcast) desde otro equipo en la
red. Esta solicitud es modificada para hacerla parecer que viene de
la direccin de red de la vctima. Cada equipo dentro del dominio
de emisin de esa red enviar una respuesta a la vctima.
Un ataque de negacin de servicio distribuido, es un ataque DoS
ejecutado desde una gran cantidad de sitios, que han sido
comprometidos por un gusano, caballo de troya o por un hacker
manualmente.
Estos equipos comprometidos son usualmente controlados con un
software sofisticado cliente servidor tal como Trinoo, Tribe Flood
network, Stacheldaht, TFN2K, Shaft y Mstream.
Puede ser muy dificil defenderse y combatir ataques DDoS.
Ataques Avanzados
Ataque de diccionario
Un ataque de diccionario es aquel en el que se intenta cada palabra de un
diccionario como posible password de un mensaje encriptado. Este tipo de ataques
es ms eficiente que el de fuerza bruta, ya que los usuarios tpicamente utilizan
password pobres o muy sencillos.
Existen dos mtodos para mejorar los ataques de diccionario:
1) El primero consiste en usar un diccionario ms grande o usar ms diccionarios.
2) El segundo consiste en ejecutar una manipulacin de las palabras del diccionario.
Por ejemplo la palabra password puede estar en el diccionario y con tcnicas
para manipularlo se puede invertir (drowssap), adicionar combinaciones de
nmeros y letras (p4ssw0d) o usar maysculas (Password).
Otra opcin es usar una lista de nombres de personas. Un pequeo diccionario
puede tener resultados sorprendentes con estas tcnicas.
Longitud de la clave
Valores posibles puede tener cada componente de la llave
Tiempo para intentar cada clave
datos.
Estos servicios pretenden ofrecer seguridad y para lograrlo se han
desarrollado varios estndares, mtodos y algoritmos de seguridad.
Dado que el peligro siempre ha estado latente, varios protocolos han sido
desarrollados para evitar este problema, stos, se basan principalmente en el cifrado
de las comunicaciones. No obstante estos mtodos de seguridad siguen siendo
dbiles, existen otras medidas de proteccin ms robustas basadas en el estndar
802.1x que permite la autenticacin y autorizacin de usuarios, a travs del protocolo
extendido de autorizacin (EAP). As como los protocolos WEP, WPA y WPA2 que
son de autenticacin y confidencialidad. Estos protocolos operan en el nivel 2 del
modelo OSI (subcapa MAC).
Clave Secreta.
Vector de Inicializacin (IV).
Algoritmo RC4 (Rivest Cipher 4)
CRC-32 (Cdigo de Redundancia Cclica).
Clave secreta
WEP utiliza claves secretas estticas que comparte con los usuarios de la red
y los puntos de acceso de un sistema dado para iniciar una transmisin de datos.
Estas claves junto con el algoritmo RC4 se utilizan para encriptar informacin, estn
formadas normalmente por 40 bits y para ofrecer un mayor nivel de seguridad
tambin hay implementaciones que utilizan llaves de 104 bits.
Algoritmo RC4
mismo.
Se elige el IV y se concatena a la clave secreta.
Debilidades de WEP
Deficiencia en el CRC-32
Modo de autenticacin
Modalidad de red empresarial
Comparado con WEP, TKIP cambia las llaves temporales cada 10 000
paquetes, de esta manera aun se deja un pequeo espacio para romper la llave TKIP.
Esta llave va a estar compuesta por la clave base, la direccin MAC de la estacin
emisora y del nmero de serie del paquete como vector de inicializacin.
Cada paquete que se transmite utilizando el protocolo TKIP incluye el
nmero de serie nico de 48 bits, por cada paquete enviado se incrementar para
asegurar que todas las llaves son distintas. Esto evita ataques de colisin que se basan
en paquetes cifrados con la misma llave.
Ventajas de WPA
WPA2
WPA2 est basada en el nuevo estndar 802.11i. A diferencia de WPA, siendo
este una versin previa, no incluye todas las caractersticas del Estndar IEEE
802.11i, mientras se puede decir que WPA2 es la versin certificada del estndar
802.11i. Aade encriptacin mejorada va AES (CCMP). Soporta a redes en modo
Ad-Hoc o IBSS y una caracterstica llamada preautenticacin, esta permite movilidad
al usuario entre WLANs conectadas en la misma infraestructura.
En la nueva generacin de puntos de acceso, los fabricantes se apoyaron en el
protocolo WPA2 que utiliza el algoritmo de cifrado TKIP, al igual que WPA pero con
la ventaja que soporta AES en lugar de RC4, hacindolo as mucho ms seguro en
cuanto al cifrado de los datos.
AES (Estndar de Encriptacin Avanzada, Advanced Encryption Standard) es
el algoritmo de clave simtrica ms seguro existente pero requiere mayor capacidad
de procesamiento para implementarlo, ste es el motivo de que su uso sea opcional
en WPA ya
que una gran parte del hardware existente en los dispositivos
inalmbricos es insuficiente para ejecutarlo.
CCMP (Protocolo de Respuesta a la Codificacin en Bloque Encadenado al
Cdigo del Mensaje de Autenticacin,Counter Mode with Cipher Block Chaining
Message Authentication Code Protocol) utiliza el algoritmo AES para encriptacin.
Proporciona tanto confidencialidad (cifrado) como integridad a los datos. Utiliza una
estructura de llaves jerrquicas basadas en pares de llaves y llaves de grupo.
Ventajas de WPA2
Canal encriptado y seguro antes de iniciar autenticacin a nivel capa 2 del modelo
OSI
Autenticacin segura
Negociacin de cifrado
Nuevo algoritmo de verificacin de mensajes MIC
Metodologa EAP para autenticar
Compatible con redes Ad-Hoc
Soporte de movilidad al preautenticar en los puntos de acceso al usuario
Algorit
mo
Fec
ha
WE
P
WP
A
WP
A2
199
9
200
4200
4
Algorit
mo de
cifrado
RC4
RC4(TK
IP)
AESCCMP
Llave
de
encriptac
40
bits
128
bits
128
bits
Vector
de
inicializac
24 bits
48 bits
48 bits
Llave
de
autenticac
64
bits
128
bits
Integri
dad de
los
datos
CRC-
32
MIC
MIC
Seguri
dad
Ad-
SI
Preautenticaci
n
S
I
Una VPN es una estructura de red corporativa implantada sobre una red de
recursos de carcter pblico, pero que utiliza el mismo sistema de gestin y las
mismas polticas de acceso que se usan en las redes privadas, es una red pblica de
un entorno de carcter confidencial y privado que permitir trabajar al usuario como
si estuviera en su misma red local.
La comunicacin entre los dos extremos de la red privada a travs de la red
pblica se hace estableciendo tneles virtuales entre esos dos puntos y usando
sistemas de encriptacin y autentificacin que aseguren la confidencialidad e
integridad de los datos transmitidos a travs de esa red pblica. De esta manera,
queda protegida la conexin con IPSec que es un mtodo de encriptacin robusto y
muy difcil de hackear.
En el traslado a travs de Internet, los paquetes viajan encriptados, por este
motivo, las tcnicas de autenticacin son esenciales para el correcto funcionamiento
de las VPNs, ya que se aseguran a emisor y receptor que estn intercambiando
informacin con el usuario o dispositivo correcto.
La autenticacin en redes virtuales es similar al sistema de inicio de sesin a
travs de usuario y contrasea, pero tiene necesidades mayores de aseguramiento de
validacin de identidades. La mayora de los sistemas de autenticacin usados en
VPN estn basados en sistema de claves compartidas.
La autenticacin se realiza normalmente al inicio de una sesin, y luego,
aleatoriamente, durante el transcurso de la sesin, para asegurar que no haya algn
tercer participante que se haya podido entrometer en la conversacin.
Todas las VPNs usan algn tipo de tecnologa de encriptacin, que empaqueta
los datos en un paquete seguro para su envo por la red pblica.
La encriptacin hay que considerarla tan esencial como la autenticacin, ya
que permite proteger los datos transportados de poder ser vistos y entendidos en el
viaje de un extremo a otro de la conexin.
La utilizacin de las VPN aade bastante seguridad a las redes inalmbricas
pero tiene ciertas desventajas:
Una de ellas es la econmica pues cada tnel tiene un costo para la organizacin
y cuando se trata de proteger a cientos o miles de usuarios de una red
inalmbrica, las VPN se convierten en extremadamente costosas.
Mejoraron bastante la seguridad WEP, pero ahora que existe WPA y WPA2 no
son necesarias.
Estn diseadas para proteger a partir de la capa 3 del modelo OSI, sin embargo
las redes inalmbricas WIFI (802.11) funcionan en capa 2.
La seguridad en redes es mejor al implementarse en el nivel ms bajo posible de
las capas del modelo OSI. Las VPNs no son suficientes para trabajar en la capa 2
CONCLUSIN