2.1 IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICA
La seguridad inalámbrica es un aspecto esencial de cualquier red inalámbrica. Es de gran preocupación porque las redes inalámbricas son altamente propensas a amenazas de seguridad accidental. La señal inalámbrica puede ser fácilmente detectado por alguien que está cerca de la red inalámbrica y está equipado con el receptor de la derecha.
Las redes inalámbricas deben ser garantizadas por completo. A veces fallas de seguridad se producen accidentalmente. Alguien que trabaja en su computadora portátil en un lugar dentro del rango de nuestra red inalámbrica puede recibir la señal en su computadora portátil accidentalmente o intencionalmente se puede hacer mediante el uso de un receptor.
ACCESO NO AUTORIZADO
Puntos de acceso de las empresas no regulados
Un problema de seguridad más persistente pero menos publicitado que el fenómeno del ataque a las redes inalámbricas (War Driving) es la práctica de los empleados de configurar sus propios puntos de acceso inalámbrico y/o traer su propio equipo inalámbrico a la oficina. Los empleados podrían gastar algunos cientos de dólares en el punto de acceso inalámbrico y la tarjeta Ethernet para conectarse a la red empresarial de forma que puedan trabajar desde diversos sitios de la oficina. Generalmente estos puntos de acceso no autorizados son inseguros y el departamento de TI de la empresa no los conoce. Aquí radica el gran peligro de la tecnología inalámbrica: al traspasar un punto de acceso inalámbrico inseguro del empleado, con frecuencia el atacante puede tener total acceso sin filtros a la red empresarial.
Esta práctica común deja relegado al equipo de seguridad empresarial que lucha por actualizarse y proteger la tecnología inalámbrica no reglamentada que fue introducida por los empleados. Algunas veces los departamentos de TI están tratando de proteger la tecnología inalámbrica que aún no comprenden por completo. Algunas cifras indican que el 70 % de las empresas que instalan las redes inalámbricas tienen este problema.
PUNTOS DE ACCESO NO AUTORIZADO
Un punto de acceso no autorizado, y por tanto “vulnerable”, puede poner en peligro la seguridad de la red inalámbrica y dejarla completamente expuesta al mundo exterior. Para poder eliminar este amenaza, el responsable de red debe primero detectar la presencia de un punto de acceso vulnerable y, a continuación, localizarlo.
Los dos métodos más comunes de localización de puntos de acceso vulnerables son el de convergencia y el de vectores. Ambos métodos presentan ventajas, pero requieren herramientas distintas. Conociendo estos procedimientos, el responsable de red podrá garantizar la seguridad de la red inalámbrica.
Localización
Un punto de acceso “vulnerable” puede poner en peligro la seguridad de la red inalámbrica. Se dice que un punto de acceso es vulnerable cuando éste es instalado por un usuario sin el conocimiento o aprobación del responsable de la red. Por ejemplo, un empleado trae su router inalámbrico a la oficina para tener acceso inalámbrico en una reunión. O bien, otra posibilidad con peores intenciones, es que alguien ajeno a la empresa instale un punto de acceso a la red para obtener conexión gratuita a Internet o para acceder a información confidencial. En cualquiera de los casos, estos puntos de acceso no autorizados carecen de la configuración de seguridad adecuada, bien por ignorancia o de manera intencionada. La red de la empresa queda totalmente expuesta al mundo exterior por culpa de estos puntos de acceso.
Los responsables de redes disponen de diferentes soluciones que facilitan la detección de los puntos de acceso vulnerables de la red. Sin embargo, la identificación de una vulnerabilidad no es más que la mitad del trabajo. El responsable de red debe a continuación localizar la ubicación de dicho punto de acceso. Una vez localizado, puede eliminarlo de la red o reconfigurarlo de acuerdo con los parámetros de seguridad adecuados.
Los dos métodos más utilizados para localizar puntos de acceso vulnerables son el de convergencia y el de vectores. El método de búsqueda utilizado depende de las herramientas de que se dispongan.
ATAQUES MAN-IN-THE MIDDLE (intermediarios).
En criptografía, un ataque man-in-the-middle (MitM o intermediario, en español) es un ataque en el que el enemigo adquiere la capacidad de leer, insertar y modificar a voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado. El atacante debe ser capaz de observar e interceptar mensajes entre las dos víctimas. El ataque MitM es particularmente significativo en el protocolo original de intercambio de claves de Diffie-Hellman, cuando éste se emplea sin autenticación
Posibles subataquesEl ataque MitM puede incluir algunos de los siguientes subataques:
Intercepción de la comunicación (eavesdropping), incluyendo análisis del tráfico y posiblemente un ataque a partir de textos planos (plaintext) conocidos.
Ataques a partir de textos cifrados escogidos, en función de lo que el receptor haga con el mensaje descifrado.
Ataques de sustitución.
Ataques de repetición.
Ataque por denegación de servicio (denial of service). El atacante podría, por ejemplo, bloquear las comunicaciones antes de atacar una de las partes. La defensa en ese caso pasa por el envío periódico de mensajes de status autenticados.
MitM se emplea típicamente para referirse a manipulaciones activas de los mensajes, más que para denotar intercepción pasiva de la comunicación.
Defensas contra el ataque La posibilidad de un ataque de intermediario sigue siendo un problema potencial de seguridad serio, incluso para muchos criptosistemas basados en clave pública. Existen varios tipos de defensa contra estos ataques MitM que emplean técnicas de autenticación basadas en:
Claves públicas
Autenticación mutua fuerte
Claves secretas (secretos con alta entropía)
Passwords (secretos con baja entropía)
Otros criterios, como el reconocimiento de voz u otras características biométricas
La integridad de las claves públicas debe asegurarse de alguna manera, pero éstas no exigen ser secretas, mientras que los passwords y las claves de secreto compartido tienen el requerimiento adicional de la confidencialidad. Las claves públicas pueden ser verificadas por una autoridad de certificación (CA), cuya clave pública sea distribuida a través de un canal seguro (por ejemplo, integrada en el navegador web o en la instalación del sistema operativo).
DENEGACIÒN DE SERVICIOS.
Ataque de denegación de servicio
En seguridad informática, un ataque de denegación de servicio, también llamado ataque DoS (de las siglas en inglés Denial of Service), es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos. Normalmente provoca la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima.
Se genera mediante la saturación de los puertos con flujo de información, haciendo que el servidor se sobrecargue y no pueda seguir prestando servicios, por eso se le dice "denegación", pues hace que el servidor no dé abasto a la cantidad de usuarios. Esta técnica es usada por los llamados Crackers para dejar fuera de servicio a servidores objetivo.
Una ampliación del ataque Dos es el llamado ataque distribuido de denegación de servicio, también llamado ataque DDoS (de las siglas en inglés Distributed Denial of Service) el cual lleva a cabo generando un gran flujo de información desde varios puntos de conexión.
La forma más común de realizar un DDoS es a través de una botnet, siendo esta técnica el ciberataque más usual y eficaz.
En ocasiones, esta herramienta ha sido utilizada como un notable método para comprobar la capacidad de tráfico que un ordenador puede soportar sin volverse inestable y perjudicar los servicios que desempeña. Un administrador de redes puede así conocer la capacidad real de cada máquina
B. CONFIGURACIÓN DE PARÁMETROS PARA EL ESTABLECIMIENTO DE LA SEGURIDAD Y PROTECCIÓN DE DISPOSITIVOS INALÁMBRICOS.
DESCRIPCIÓN GENERAL DEL PROTOCOLO DE SEGURIDAD INALÁMBRICO
La seguridad es un aspecto que cobra especial relevancia cuando hablamos de redes inalámbricas. Para tener acceso a una red cableada es imprescindible una conexión física al cable de la red. Sin embargo, en una red inalámbrica desplegada en una oficina un tercero podría acceder a la red sin ni siquiera estar ubicado en las dependencias de la empresa, bastaría con que estuviese en un lugar próximo donde le llegase la señal. Es más, en el caso de un ataque pasivo, donde sólo se escucha la información, ni siquiera se dejan huellas que posibiliten una identificación posterior.
El canal de las redes inalámbricas, al contrario que en las redes cableadas privadas, debe considerarse inseguro. Cualquiera podría estar escuchando la información transmitida. Y no sólo eso, sino que también se pueden inyectar nuevos paquetes o modificar los ya existentes (ataques activos). Las mismas precauciones que tenemos para enviar datos a través de Internet deben tenerse también para las redes inalámbricas.
Conscientes de este problema, el IEEE publicó un mecanismo opcional de seguridad, denominado WEP, en la norma de redes inalámbricas 802.11. Pero WEP, desplegado en numerosas redes WLAN, ha sido roto de distintas formas, lo que lo ha convertido en una protección inservible. Para solucionar sus deficiencias, el IEEE comenzó el desarrollo de una nueva norma de seguridad, conocida como 802.11i, que permitiera dotar de suficiente seguridad a las redes WLAN. El problema de 802.11i está siendo su tardanza en ver la luz. Su aprobación se espera para finales de 2004. Algunas empresas en vistas de que WEP (de 1999) era insuficiente y de que no existían alternativas estandarizadas mejores, decidieron utilizar otro tipo de tecnologías como son las VPNs para asegurar los extremos de la comunicación(por ejemplo, mediante IPSec). La idea de proteger los datos de usuarios remotos conectados desde Internet a la red corporativa se extendió, en algunos entornos, a las redes WLAN.
No ajena a las necesidades de los usuarios, la asociación de empresas Wi-Fidecidió lanzar un mecanismo de seguridad intermedio de transición hasta que estuviese disponible 802.11i, tomando aquellos aspectos que estaban suficientemente avanzados del desarrollo de la norma. El resultado, en 2003, fue WPA.
Con este trabajo, se pretende ilustrar las características, funcionamiento, aplicaciones, fallas y alternativas del protocolo de seguridad WEP.
WEP (Wired Equivalent Privacy, Privacidad Equivalente al Cable) es el algoritmo opcional de seguridad para brindar protección a las redes inalámbricas, incluido en la primera versión del estándar IEEE 802.11, mantenido sin cambios en las nuevas 802,11a y 802.11b, con el fin de garantizar compatibilidad entre distintos fabricantes. El WEP es un sistema de encriptación estándar implementado en la MAC y soportado por la mayoría de las soluciones inalámbricas. En ningún caso es compatible con IPSec.
El estándar IEEE 802.11 proporciona mecanismos de seguridad mediante procesos de autenticación y cifrado. En el modo de red Ad Hoc o conjunto de servicios avanzados, la autenticación puede realizarse mediante un sistema abierto o mediante clave compartida. Una estación de red que reciba una solicitud puede conceder la autorización a cualquier estación, o sólo a aquellas que estén incluidas en una lista predefinida. En un sistema de clave compartida, sólo aquellas estaciones que posean una llave cifrada serán autenticadas.
El estándar 802.11 especifica una capacidad opcional de cifrado denominada WEP ( Wireless Equivalent Privacy); su intención es la de establecer un nivel de seguridad similar al de las redes cableadas. WEP emplea el algoritmo RC4 de RSA Data Security, y es utilizado para cifrar las transmisiones realizadas a través del aire.
WEP es un elemento crítico para garantizar la confidencialidad e integridad de los datos en los sistemas WLAN basados en el estándar 802.11, así como para proporcionar control de acceso mediante mecanismos de autenticación. Consecuentemente, la mayor parte de los productos WLAN compatibles con 802.11 soportan WEP como característica estándar opcional.
WEP utiliza una clave secreta compartida entre una estación inalámbrica y un punto de acceso. Todos los datos enviados y recibidos entre la estación y el punto de acceso pueden ser cifrados utilizando esta clave compartida. El estándar 802.11 no especifica cómo se establece la clave secreta, pero permite que haya una tabla que asocie una clave exclusiva con cada estación. En la práctica general, sin embargo, una misma clave es compartida entre todas las estaciones y puntos de acceso de un sistema dado.
AUTENTICACIÓN DE UNA LAN INALÁMBRICA
Con el fin de solucionar estos problemas surge el protocolo 802.1x, que aunque lleve ya algunos años en el mercado, pocas empresas lo utilizan, debido a su complejidad de instalación. Pero gracias a esta guía que implemente las cosas van hacer mucho más fácil y compleja su instalación.
El protocolo 802.1x ofrece un marco en el que se lleva a cabo un proceso de autentificación del usuario, así como un proceso de variación dinámica de claves, todo ello ajustado a un protocolo, denominado EAP (Extensible Authentication Protocol). Mediante este procedimiento, todo usuario que esté empleando la red se encuentra autentificado y con una clave única, que se va modificando de manera automática y que es negociada por el servidor y el cliente de manera transparente para el usuario. El servicio soporta múltiples procesos de autenticación tales como Kerberos, Radius, certificados públicos, claves de una vez, etc. Aunque no es el objetivo de esta guía enumerar los diferentes procesos de autentificación, basta con mencionar que Windows 2003 Server ® soporta este servicio.
Para entender cómo funciona el protocolo 802.1x sigamos el siguiente esquema.
El cliente, que quiere conectarse a la red, manda un mensaje de inicio de EAP que da lugar al proceso de autentificación. Siguiendo con nuestro ejemplo, la persona que quiere acceder a la FUP pediría acceso al guardia de seguridad de la puerta.
El punto de acceso a la red respondería con una solicitud de autentificación EAP. En nuestro ejemplo, el guardia de seguridad respondería solicitando el nombre y el apellido del cliente, así como su huella digital. Además, antes de preguntarle, el guarda de seguridad le diría una contraseña al cliente, para que éste sepa que realmente es un guardia de seguridad.
El cliente responde al punto de acceso con un mensaje EAP que contendrá los datos de autentificación. ‘Nuestro cliente le daría el nombre y los apellidos al guardia de seguridad además de su huella digital’.
El servidor de autentificación verifica los datos suministrados por el cliente mediante algoritmos, y otorga acceso a la red en caso de validarse. En nuestro caso, el sistema de la FUP verificaría la huella digital, y el guardia validaría que se correspondiese con el cliente.
El punto de acceso suministra un mensaje EAP de aceptación o rechazo, dejando que el cliente se conecte o rechazándolo. Nuestro guardia de seguridad le abrirá la puesta o no, en función de la verificación al cliente.
Una vez autentificado, el servidor acepta al cliente, por lo que el punto de acceso establecerá el puerto del cliente en un estado autorizado. Nuestro cliente estará dentro de la FUP.
De esta manera, el protocolo 802.1x provee una manera efectiva de autentificar, se implementen o no claves de autentificación WEP. De todas formas, la mayoría de las instalaciones 802.1x otorgan cambios automáticos de claves de encriptación usadas solo para la sesión con el cliente, no dejando el tiempo necesario para que ningún sniffer sea capaz de obtener la clave.
ENCRIPTACIÓN
Se trata de una medida de seguridad que es usada para almacenar o transferir información delicada que no debería ser accesible a terceros. Pueden ser contraseñas, nos. de tarjetas de crédito, conversaciones privadas, etc.
Para encriptar información se utilizan complejas fórmulas matemáticas y para desencriptar, se debe usar una clave como parámetro para esas fórmulas.
El texto plano que está encriptado o cifrado se llama criptograma.
Para encriptar información se utilizan complejas fórmulas matemáticas y para desencriptar, se debe usar una clave como parámetro para esas fórmulas.
El texto plano que está encriptado o cifrado se llama criptograma.
Aclaración: encriptación vs. cifrado
Se prefiere el uso de la palabra "cifrado" en lugar de "encriptación", debido a que esta última es una mala traducción del inglés encrypt.
La Tarjeta PC de la computadora portátil recibe y transmite información digital sobre una frecuencia de radio de 2,4 GHz. La tarjeta convierte la señal de radio en datos digitales (en realidad, pequeños paquetes de información) que la PC puede comprender y procesar.
La tarjeta PCI se conecta a una computadora de escritorio y funciona de modo similar a la Tarjeta PC, con la diferencia de que es especial para Portátiles.
El punto de acceso de software permite que una PC conectada a una red Ethernet (un tipo de red de área local muy común) pueda desempeñarse como punto de acceso de hardware.
El punto de acceso de hardware recibe y transmite información de forma similar a la tarjeta PC. Se conecta a la red Ethernet mediante un conector RJ-45 y maneja el tráfico entrante y saliente entre la red fija y los usuarios de la LAN INALÁMBRICA o "clientes", actuando así como un hub inalámbrico. En otras palabras, el punto de acceso de hardware se desempeña como portal o rampa de ingreso, para que los usuarios inalámbricos puedan acceder a una LAN cableada.
Es importante destacar que, tal como ocurre en una autopista en horas de máximo tráfico, cuantos más usuarios se hallan en el punto de acceso, tanto más lento será el tráfico. El punto de acceso de hardware se conecta a un hub, conmutador o encaminado, pero también puede conectarse directamente a un servidor mediante un adaptador de cable.
Modo de infraestructura.- Cuando se selecciona el modo de infraestructura (en la PC mediante la utilidad de configuración), el usuario puede enviar y recibir señales de radio (información) a través de un punto de acceso, el cual puede ser mediante hardware o software. Este punto de acceso se conecta a una red convencional mediante un cable, recibe la señal de radio del cliente y la convierte a formato digital que la red y el servidor pueden comprender y procesar. Si el usuario solicita información (por ejemplo, una página web), el punto de acceso envía una señal de radio a la PC del usuario de la LAN INALÁMBRICA. Los puntos de acceso están ubicados en las conexiones de red donde cualquier computadora, impresora u otro dispositivo de red se conectaría mediante un cable RJ-45 (similar a un enchufe telefónico, pero ligeramente más grande).
LAN inalámbrica con infraestructura
Modo de pares: Cuando se selecciona el modo entre pares (peer to peer), los usuarios se conectan a otras computadoras (ya sea portátiles o de mesa) equipadas con productos inalámbricos IEEE 802.11b de alta velocidad. Este modo se utiliza cuando no existen redes cableadas cuando un grupo de usuarios desea configurar su propia red para colaborar y compartir archivos. En el extremo de servidor/red, el gerente de tecnología de la información debe instalar un paquete de software, que su departamento debe introducir en el servidor apropiado.
Este paquete de software permite configurar, administrar y controlar el seguimiento del tráfico inalámbrico a través de la red.
Cada punto de acceso de hardware ofrece un caudal dehasta 11 Mbps. Esta capacidad es adecuada para las siguientes actividades:
* 50 usuarios, en su mayoría inactivos, que ocasionalmente consultan mensajes de correo electrónico de texto.
* 25 usuarios principales que utilizan intensamente servicios de correo electrónico y cargan o descargan archivos de tamaño moderado.
* 10 a 20 usuarios que constantemente están conectados a la red y trabajan con archivos grandes.
* 25 usuarios principales que utilizan intensamente servicios de correo electrónico y cargan o descargan archivos de tamaño moderado.
* 10 a 20 usuarios que constantemente están conectados a la red y trabajan con archivos grandes.
Para aumentar la capacidad, pueden agregarse más puntos de acceso, lo que brinda a los usuarios mayor oportunidad de ingresar a la red. Es importante destacar que las redes se consideran optimizadas cuando los puntos de acceso corresponden a distintos canales
Ejemplo: Una compañía puede establecer 3 puntos de acceso (con un alcance de hasta 100 metros cada uno) en 3 oficinas adyacentes, cada uno configurado a un canal distinto. En teoría, esto permitiría que numerosos usuarios "compartiesen" una capacidad total de hasta 33 Mbps (si bien ningún usuario podría alcanzar velocidades superiores a 11 Mbps). En la realidad, dado que los clientes se comunican con el punto de acceso que les ofrece la señal más intensa, el ancho de banda no necesariamente se distribuye uniformemente entre todos los usuarios.
LAN troncal cableada como una Ethernet. Conecta varios servidores, estaciones de trabajo, o dispositivos de encaminamiento para conectar otra red Existe un Modulo de Control que funciona como interfaz con la LAN inalámbrica.
LAN inalámbrica de celda única
LAN inalámbrica de celdas múltiples Existen varios módulos de control interconectados por una LAN cableada. Cada modulo da servicio a varios sistemas finales inalámbricos dentro de su rango de transmisión.
CONTROL DEL ACCESO A LA LAN INALÁMBRICO
Alguien en 2021?
ResponderEliminarWhole Lotta Clika Shit