Página principal de Grupos de Google
Ayuda | Acceder
GUL-Reynosa
Inicio
Páginas
Desban
Acerca de este grupo
Formar parte de este grupo
Información del grupo
Seguridad Wireless    

2.2 SEGURIDAD INALAMBRICA

La seguridad inalámbrica es un punto importante que merece la atención debida, teniendo en cuenta que la utilización de equipos portátiles crean la necesidad de establecer un método de comunicación entre la red local (LAN) y la red inalambrica (wireless), ya sea por cuestiones de trabajo, de diversión o personal.

Para la estructuración o implantación de una red inalambrica es necesario considerar un concentrador para ser el punto de acceso (AP) y la implementación de un método de seguridad para tener un canal seguro en la comunicación, posteriormente un método de encriptación para proteger la información que viajará por el canal y así evitar miradas indiscretas a la información, equipos y posibles intentos de intrusión a las redes que se tengan interconectadas.

La seguridad inalámbrica se basa principalmente en los métodos de encriptación de la información utilizando algoritmos para resguardar los datos. Estos algoritmos son implementados por el método de seguridad utilizado (en este documento se describe el método de encriptación TKIP). Algunos algoritmos son:

TKIP (Temporal Key Integrity Protocol). Genera claves temporales para evitar intrusiones mediante re-envío de mensajes y anida un código de integridad del mensaje para proteger la información y determinar su fidelidad.
CCMP (Counter-Mode/Cipher Block Chaining Message Authentication Code Protocol).
WRAP (Wireless Robust Authenticated Protocol).

Los métodos de seguridad para afianzar el canal son los encargados de asegurar la conexión entre el punto de acceso (AP) y el cliente conectado, de esta forma se previene de usuarios indeseados o que no estén dentro de la red inalambrica, se mantiene una sincronización segura, los datos son confidenciales y están fuera del alcance de los intrusos y en caso que la red inalambrica esté conectada a la red local, se mantiene la seguridad entre ambas redes. Los métodos de seguridad son:

WEP (Wires Equivalent Privacy).
WPA (Wi-Fi Privacy Access). Es una mejor de WEP, estableciendo un vector inicial de 48 bits, incorporación de encriptación por algoritmo TKIP. Pero WEP se puede implementar en dos modalidades que son:

WPA-PSK (Wi-Fi Privacy Access-Pre-Shared Key). Estableciendo una Clave como método de acceso, pero siguiendo con los mismos procesos de encriptación de WPA. Este método es para facilitar el método de implementación de WPA. WPA-RADIUS (Wi-Fi Privacy Access – RADIUS). Este método es más complicado de implementar ya que requiere de un servidor RADIUS el cual establecerá claves de acceso entre los AP y sus usuarios, de esta forma se tendrá una red inalambrica aún más protegida, segura y administrable. Los métodos de encriptación son los establecidos en WPA, más los métodos de claves generadas por el servidor RADIUS y el usuario.

De esta forma combinando los métodos de encriptación que se tienen soportados y la seguridad que se implementara en la red inalambrica, se tendrá un mejor resguardo de la información, otras redes locales y la tranquilidad que se estará trabajando en una conexión segura donde los datos o cualquier cosa que se transfiera estará asegurada, así que una buena elección y un buen montaje de seguridad en redes inalambricas serán incapie para alcanzar una mejor forma de trabajo sin robo de información o perdida de confianza para desarrollo de proyectos privados.

2.2.1 PUNTOS DE ACCESO (AP)

Los Puntos de Acceso (AP-Access Points) son solo uno o varios dispositivos de hardware con capacidad de brindar servicio para redes inalámbricas. Estos dispositivos son concentradores de red como switch, hub o routers que permiten la intercomunicación entre redes, teniendo como principal característica una o un par de antenas que son las que se encargarán de enviar/recibir las ondas en alguno de los canales que posee o se tenga configurado en el concentrador.

Los puntos de acceso aparte de intercomunicar redes inalámbricas, también pueden comunicar la red LAN, ya que los concentradores inalámbricos también poseen entrada ethernet para formar redes LAN, y así poder tener en constante comunicación ambas redes inalámbricas y LAN.

Existen delimitaciones en las redes inalámbricas, y éstas se basan principalmente en que un punto de acceso tiene un ancho determinado para la comunicación de las redes inalámbricas, de este modo el envío masivo de información o cualquier actividad que ocupe un ancho de banda, disminuirá el rendimiento y en algunos casos la misma conectividad del punto de acceso con el equipo inalámbrico. Otro de los factores más comunes es la distancia del punto de acceso, este solo puede abarcar una distancia determinada, la cual está especificada o se rige mediante la potencia que posea la antena del concentrador [17]. La Figura 2.20 muestra un concentrador Inalambrico.


FIGURA 2.20: Descripción de Router D-Link para Wireless.

2.2.2 PROTOCOLO DE APLICACIONES INALAMBRICAS (WAP)

El protocolo de aplicaciones inalámbricas (WAP-Wireless Application Protocol) es un estándar abierto internacional para aplicaciones que utilizan las comunicaciones inalámbricas, por ejemplo los accesos a Internet desde un teléfono móvil [5].

La tecnología WAP consiste en un entorno de aplicación y una pila de protocolos para aplicaciones y servicios accesible mediante terminales móviles (por ejemplo los celulares), esto permite que cualquier terminal móvil pueda tener acceso a servicios de manera limitante, ya que la tecnología telefónica ofrece grandes ventajas en sus equipos como serían: almacenamiento de información, pequeña cantidad de RAM para procesamiento, caché interna, todas sus características de manera limitada ya que esto se deriva por el tamaño y peso del equipo. Es por eso que las tecnologías WAP permiten estandarizar los equipos y servicios para brindar a cualquier celular la mejor de las prestaciones conforme sean las capacidades del mismo equipo telefónico. Observar la Figura 2.21.


FIGURA 2.21: Pila de Protocolos WAP y WEB.

WAP en su versión 1 definida en 1999, mostró al mundo su lenguaje en el que se estandarizaba para proporcionar los distintos servicios a tecnologías móviles, éste tuvo como nombre WML (Wireless Markup Lenguage), pero a pesar de esto aún existían puntos débiles a cubrir en vista que el estándar WAP y su lenguaje WML no eran totalmente compatibles con Internet debido al tipo de servicios que puede proporcionar un servidor con una potencia variable contra un equipo móvil con capacidades distintas.

Los avances en la implementación de algoritmos en la pila de WAP han ido avanzando hasta el año 2004 cuando surge WAP 2.0, siendo una reingeniería de WAP versión 1, utilizando XHTML-MP (Mobile Profile) como lenguaje de presentación de contenidos, incorpora mejoras al soporte de gráficos y en cuanto a los protocolos usados en la capa de transporte se utiliza TCP y en la aplicación HTTP, alcanzando a cubrir la mayoría de los protocolos usados en Internet. La Figura 2.22 ilustra la explicación.


FIGURA 2.22: Servicios a tecnologías móviles mediante internet.

2.2.3 AISLAMIENTO EQUIVALENTE DE REDES INALAMBRICAS (WEP).

WEP como sus siglas dicen Wireless Equivalent Privacy (Aislamiento Equivalente de Redes Inalámbricas) es el sistema de cifrado incluido en el estándar IEEE 802.11 como protocolo para redes wireless que permite cifrar la información que se transmite [6].

WEP es un método de cifrado de la información utilizando cifrado a nivel 2, se encuentra basado en el algoritmo de cifrado RC4 el cual implementa claves de 64 bits (40 bits más 24 bits del vector de iniciación IV) o de 124 bits (104 bits más 20 bits del vector de iniciación IV). Su principal funcionamiento consiste en dos pasos cifrar las tramas antes de ser enviadas al punto de acceso (AP) apoyándose en el algoritmo RC4 y posteriormente en el algoritmo de chequeo de integridad del mensaje para comprobación de tramas al ser recibidas.

El funcionamiento del algoritmo RC4 se apoya en el flujo de las semillas (seed), donde dicha semilla es un número aleatorio generado para cifrar los mensajes realizando operaciones XOR, el único inconveniente que posee este tipo de cifrado o algoritmo, es que se debe tener una semilla (número aleatorio) distinta para cada mensaje a cifrar, cabe mencionar que el paquete entero es cifrado con la clave WEP [18]. Observar la Figura 2.23 como ejemplo.


FIGURA 2.23: Proceso de cifrado WEP.

Actualmente el cifrado WEP es uno de los más utilizados en redes inalámbricas como protección a nuestra red, pero la realidad es que el cifrado WEP es uno de los más fáciles de crackear o saltar, ya que utiliza la misma clave para cifrar todos los mensajes, por lo tanto cualquier router con cifrado WEP puede ser atentado y poder gozar de los servicios que proporcione la red, por ejemploe Internet. El proceso de audición de una red inalámbrica con cifrado WEP se realiza utilizando la aplicación aircrack [19]. De forma general el modo más básico para hacerse de una clave WEP es realizando dos pasos que son: Sniffing de Packetes y utilizar algún WEP-Cracker, es decir se deben capturar algunos paquetes de la red inalámbrica (no es necesario estar conectado o tener un IP), posteriormente se procede a desempaquetar la información para intentar sacar la clave WEP, entre más grande sea la clave WEP, mayor deben de ser los paquetes interceptados. Observar Figura 2.24.


FIGURA 2.24: Panel de Configuración de Métodos de Cifrado para redes inalambricas.

2.2.4 ACCESO PROTEGIDO A WI-FI (WPA).

WPA que significa Wi-Fi Protected Access (Acceso Protegido a Wi-Fi) es un sistema para proteger las redes inalámbricas creado para corregir las deficiencias del sistema previo (WEP) e implementa la mayoría del estándar IEEE 802.11i [6]. Evidentemente la evolución o mejora del cifrado WEP es WPA basándose en métodos de autentificación y cifrado nuevo, el cual congela los puntos débiles que poseía WEP respecto a su vector de inicialización (VI) el cual podría ser retomado en las tramas para obtención de la clave WEP por fuerza bruta, de modo que WPA es el reforzamiento de WEP con sus distintas desventajas.

Para utilización del WPA como método de seguridad en nuestra red inalámbrica debe tener en cuenta que la mayoría de los equipos antiguos o mejor dicho, con las primeras tarjetas inalambricas del mercado, no soportan este tipo de cifrado, también que a la fecha siguen en existencia estas tarjetas que no brindan soporte a WPA, la prueba principal está en el precio de los productos.

WPA incorpora un reforzamiento en generación de claves de 128 bits y un vector inicial de 48 bits, inicialmente WPA se diseñó como un sistema de protección de redes inalámbricas protegido mediante autentificación forzosa, para esto se utilizó el protocolo RADIUS, brindando así un usuario y clave para cada equipo que se conecte al punto de acceso (AP). Posteriormente se incorpora un método menos complicado y más factible para implementar WPA en oficinas y casa, para esto se dio uso de una clave pre-compartida (PSK, Pre-Shared Key) continuando en ambas modalidades de configuración la utilización del algoritmo RC4 para el cifrado de la información.

A continuación una pequeña lista de las mejoras de WPA:

* Implementación de un código de integridad del mensaje (MIC) [16].
* Evita el ataque de repetición (replay attack), ya que incluye un contador de tramas.
* En base al mayor tamaño de las claves, implementación de MIC y el contador de tramas, resulta más difícil la intrusión a la red inalámbrica.
* Al detectar dos intentos de ataques durante un minuto, las redes WPA se desconectan durante 60 segundos. La Figura 2.25 ilustra la explicación.


FIGURA 2.25: Panel de Configuración de Métodos de Cifrado WPA para redes inalambricas.

Actualmente WPA a pasado a evolucionar como WPA2 adoptando por completo el estándar IEEE 802.11i [20] pero aún no se extiende como soporte incluido en todos los dispositivos de hardware, sus respectivos fabricantes aún están en implementación del mismo.

2.2.5 PROTOCOLO DOMINANTE TEMPORAL DE LA INTEGRIDAD (TKIP).

TKIP o Protocolo Dominante Temporal de la Integridad (Temporal Key Integrity Protocol), también conocido como hashing de clave WEP WPA, basado para brindar una mejor protección al protocolo WEP el cual puede ser quebrado de una manera fácil, con el algoritmo que utiliza TKIP para encriptación de los datos se puede tener una red segura y sin la necesidad de cambiar de hardware para soportar otros protocolos.

El funcionamiento de TKIP se basa en generar una clave temporal (hashing), esta misma clave es compartida entre los equipos de la red inalambrica y los puntos de acceso (AP), posteriormente TKIP utiliza el hashing y la MAC del cliente para combinarlos, así mismo le agrega la clave del vector de inicialización de 16 octetos generado y con esto cifra los datos, esta clave se reemplazara después de cada 10,000 paquetes. Una de las cuestiones similares a WEP, es que TKIP utiliza RC4 para cifrar el mensaje.

Con los métodos mencionados TKIP proporciona una mejor forma de brindar seguridad a las redes inalambricas utilizando claves distintas después de un determinado numero de paquetes, así mismo evita el reemplazo del hardware (solo el firmware) para trabajar con este protocolo [15]. Observar la Figura 2.26.


FIGURA 2.26: Estructura de Encriptación del Protocolo TKIP.

2.2.6 CODIGO DE INTEGRIDAD DEL MENSAJE (MIC)

MIC como su siglas lo indica es Código de la Integridad del Mensaje (Message Integrity Code), y está fuertemente implementado o enlazado con el protocolo TKIP ya que viene a formar un complemento para reforzar la encriptación del mensaje y así brindar una clave más fuerte y más difícil de quebrar. Con esto se obtiene una mayor seguridad en redes inalámbricas mediante la utilización de MIC.

El algoritmo MIC también es conocido como algoritmo Michael, el cual se implementa sobre redes inalámbricas para determinar la fidelidad del mensaje, siguiendo el método de encriptación TKIP, este mismo genera la clave MIC y se la anida al paquete [16].

Versión: 
1 mensaje acerca de esta página
9 oct 2007 por Diabliyo
Hola:
-={GUL-Reynosa}=- te informa que el tema de 'Seguridad LAN' ha sido
actualizado por completo el dia 6 de octubre del 2007.
Apoya la comunidad -={GUL-Reynosa}=- y pasa la informacion para
quienes deseen ilustrarse mas en la rama de la informatica.
Saludos !!!...
-={GUL-Reynosa}=-
Link del Tema: http://groups.google.com.mx/group/aryax/web/seguridad-wireless
Crear un grupo - Grupos de Google - Página principal de Google - Condiciones del servicio - Política de privacidad
©2008 Google