1.2.

A. IDENTIFICACIÓN DE AMENAZAS COMUNES A LA SEGURIDAD

INALÁMBRICA.

 Acceso no autorizado.

En este tipo de amenaza un intruso puede introducirse en el sistema de

una red WLAN, donde puede violar la confidencialidad e integridad del
tráfico de red haciéndose pasar como un usuario autorizado, de manera
que puede enviar, recibir, alterar o falsificar mensajes. Este es un ataque
activo, que necesita de equipamiento compatible y estar conectado a la
red.

Una forma de defensa frente a esta amenaza son los mecanismos de

autenticación los cuales aseguran el acceso a la red solo a usuarios
autorizados. Puede presentarse también el caso en que se instale un
punto de acceso clandestino dentro de la red con suficiente potencia de
modo que engañe a una estación legal haciéndola parte de la red del
intruso y éste pueda capturar las llaves secretas y contraseñas de inicio
de sesión. Este ataque es más difícil de detectar, puesto que los intentos
fallidos de inicio de sesión son relativamente frecuentes en las
comunicaciones a través de una red WLAN.

 Ataques Man-in-the-middle (intermediario)

man in the middle?

“ Un ataque man-in-the-middle ( MITM ) es un ataque en el que el

enemigo adquiere la capacidad de leer, insertar y modificar a voluntad,
los mensajes entre dos partes sin que ninguna de ellas conozca que el
enlace entre ellos ha sido violado.”

Extraído de:

http://es.wikipedia.org/wiki/Ataque_Man-in-the-middle

Algunos ataques más comunes o conocidos

ARP Poisoning

ARP Spoofing

DNS spoofing
Port Stealing (robo de puerto)

DHCP Spoofing

Otros ataques de tipo MITM:

STP Mangling

Port stealing

ICMP redirection

IRDP spoofing

Route mangling

 Denegación de servicio

Se produce cuando una señal de RF de potencia considerable, sea

intencional (jamming) o no, interfiere en un sistema inalámbrico
dificultando su funcionamiento o inhabilitándolo por completo. Para la
detección de fuentes de interferencia, puede valerse de equipos
analizadores de espectro.

B. CONFIGURACIÓN DE PARÁMETROS PARA EL ESTABLECIMIENTO

DE LA SEGURIDAD Y PROTECCIÓN DE DISPOSITIVOS
INALÁMBRICOS.

Descripción general del protocolo de seguridad inalámbrico

La seguridad es un aspecto que cobra especial relevancia cuando

hablamos de redes inalámbricas. Para tener acceso a una red cableada
es imprescindible una conexión física al cable de la red. Sin embargo, en
una red inalámbrica desplegada en una oficina un tercero podría acceder
a la red sin ni siquiera estar ubicado en las dependencias de la empresa,
bastaría con que estuviese en un lugar próximo donde le llegase la
señal. Es más, en el caso de un ataque pasivo, donde sólo se escucha la
información, ni siquiera se dejan huellas que posibiliten una
identificación posterior.
El canal de las redes inalámbricas, al contrario que en las redes
cableadas privadas, debe considerarse inseguro. Cualquiera podría estar
escuchando la información transmitida. Y no sólo eso, sino que también
se pueden inyectar nuevos paquetes o modificar los ya existentes
(ataques activos). Las mismas precauciones que tenemos para enviar
datos a través de Internet deben tenerse también para las redes
inalámbricas. Conscientes de este problema, el IEEE [1] publicó un
mecanismo opcional de seguridad, denominado WEP, en la norma de
redes inalámbricas 802.11 [2]. Pero WEP, desplegado en numerosas
redes WLAN, ha sido roto de distintas formas, lo que lo ha convertido en
una protección inservible. Para solucionar sus deficiencias, el IEEE
comenzó el desarrollo de una nueva norma de seguridad, conocida como
802.11i [3], que permitiera dotar de suficiente seguridad a las redes
WLAN. El problema de 802.11i está siendo su tardanza en ver la luz. Su
aprobación se espera para junio de 2004. Algunas empresas en vistas de
que WEP (de 1999) era insuficiente y de que no existían alternativas
estandarizadas mejores, decidieron utilizar otro tipo de tecnologías como
son las VPNs para asegurar los extremos de la comunicación (por
ejemplo, mediante IPSec).

Autenticación de una LAN inalámbrica

Hay varias formas de iniciar la configuración de cuenta para una red LAN
inalámbrica; por ejemplo:
• Seleccione Herramientas > Panel de control > Conexiones > Cuentas
de Internet y, a continuación, seleccione Cuenta nueva > WLAN en el
menú Cuentas de Internet.
• Seleccione Herramientas > Panel de control > Conexiones > WLAN y,
a continuación, seleccione Cuenta nueva en el menú WLAN.
• Conéctese a una red para la que no exista una cuenta y se iniciará la
configuración automáticamente.
El menú WLAN, mencionado anteriormente, también es donde se
encuentra la dirección MAC del teléfono.
La configuración de cuenta incluye una serie de pasos, que se describen
a continuación.
Nota: el proveedor de la red LAN inalámbrica debe proporcionar
información sobre los métodos de autenticación, el cifrado y otros
ajustes de configuración de red.
Primer paso: información básica
La primera pantalla de configuración define información básica para la
cuenta:
• Nombre de cuenta: introduzca un nombre para la cuenta.
• Nombre de red (SSID): a menos que la red ya esté rellenada,
introduzca un SSID o seleccione para explorar redes y seleccionar una
de ellas.
• Autenticación: elija un modo de autenticación.
• Modo de red: al conectar a un punto de acceso inalámbrico, seleccione
Infraestructura.
• Canal ad hoc: sólo para el modo de red Ad hoc, cuando un teléfono se
conecta directamente a otro dispositivo.
Segundo paso: autenticación y cifrado
El siguiente paso depende del modo de autenticación seleccionado en el
paso anterior. Determinados modos requieren la definición de
parámetros adicionales para cifrado y autenticación.
Tercer paso: configuración de la configuración y cambio de los ajustes
avanzados
En la última pantalla confirme los ajustes. Si es necesario, utilice el
menú Configuración WLAN para ver y editar, por ejemplo, la dirección IP
del teléfono y las direcciones DNS.
Seleccione Avanzado en el mismo menú para activar el ahorro de
energía y cambiar el valor de umbral RTS. Se recomienda activar el
ahorro de energía, pero en determinada ocasiones el punto de acceso a
red LAN inalámbrica disponible requiere que esté desactivado para
garantizar un rendimiento fiable.
Sugerencia: estos ajustes avanzados están disponibles durante todo el
proceso de configuración, no sólo desde esta pantalla.
Edición de una cuenta de red LAN inalámbrica
Para modificar una cuenta de red LAN inalámbrica existente, seleccione
Herramientas > Panel de control > Conexión > Cuentas de Internet. A
continuación, seleccione la cuenta y realice los cambios.
Nota: si cambia la autenticación, se tienen que configurar sus ajustes
detallados.
Desconexión de una red
Para desconectarse de una red, pulse en la barra de estado. Resalte la
conexión y seleccione Cerrar conexión en el menú Gestor de conexiones.
Para ahorrar batería, elimine también la marca de Activar WLAN en
Herramientas > Panel de control > Conexiones > WLAN

ENCRIPTACION

Encriptación es el proceso mediante el cual cierta información o texto sin

formato es cifrado de forma que el resultado sea ilegible a menos que se
conozcan los datos necesarios para su interpretación. Es una medida de
seguridad utilizada para que al momento de almacenar o transmitir
información sensible ésta no pueda ser obtenida con facilidad por
terceros. Opcionalmente puede existir además un proceso de
desencriptación a través del cuál la información puede ser interpretada
de nuevo a su estado original, aunque existen métodos de encriptación
que no pueden ser revertidos. El término encriptación es traducción
literal del inglés y no existe en el idioma español. La forma más correcta
de utilizar este término sería cifrado.

Control de acceso a la LAN inalámbrica

• Usos de las Lan Inalámbricas

• Acceso Nómada
• * Permite un enlace no guiado entre un centro o servidor de LAN y un
terminal de datos móvil con antena (computadora portátil).
* El usuario se pueden desplazar con la computadora portátil y
conectarse con servidores de LAN Inalámbricos desde distintos lugares.
• Tarjeta para Notebook, la cual sirve para configurar a la Portátil para
las LAN Inalámbricas, tiene antena integrada y puede transmitir 11
Mbits/segundo
• Tarjeta de LAN inalámbrica especial para potátiles
• Otra de las grandes ventajas que se deriva del empleo del Punto de
Acceso es la posibilidad de enlazar una red inalámbrica con una red de
cable Ethernet. Ambas redes, inalámbrica y de cable, quedarían de este
modo integradas en una única red global, de manera que cualquier PC
de la red de cable pueda comunicar con cualquier PC de la red
inalámbrica y viceversa.
• LAN inalámbrica con infraestructura y Conexión a una Red cableada
• Teniendo en cuenta que en la red de Infraestructura el PC que lleva el
control de acceso puede ser cualquier equipo de la red, el uso del Punto
de Acceso permite ampliar las actuales redes de cable Ethernet sólo en
base a la instalación de nuevos puntos con dispositivos inalámbricos, sin
necesidad de seguir instalando cables de red. * El uso del Punto de
Acceso, en la ampliación de redes de cable Ethernet existentes está
especialmente indicado en enlaces entre plantas de un mismo edificio,
entre edificios cercanos y/o entre locales próximos pero sin continuidad.
• Para ello se usa el denominado Puente. El Puente o Bridge cumple el
estándar IEEE802.11 y está compuesto por el software de protocolo para
redes inalámbricas y una tarjeta de redes inalámbricas.
• El Puente tiene como finalidad la unión ( o puente ) entre dos redes de
cables tradicionales (Ethernet), separadas por un cierto espacio físico,
que hagan imposible o dificultosa su unión por cable.
• El uso del Puente permite la facil interconexión entre dos redes de
cables situadas en locales cercanos, en pisos diferentes o hasta en
edificios separados, ahorrando al usuario las costosas obras de
infraestructura ( zanjas, cableados, etc.,).
• La solución que aporta la utilización del Puente frente a enlaces punto
a punto o temporales, vía red telefónica conmutada, proporciona una
muy superior velocidad en la transferencia de datos ( hasta 60 veces
más), sin más costes que el uso del propio Puente
• Interconexión de Redes Ethernet mediante Puente
• Las redes inalámbricas pueden ser configuradas en los siguientes
entornos:
• <1.- Red "ad-hoc":
• Es aquella en la que todos los ordenadores (de sobremesa y/o
portátiles) provistos de tarjetas de red inalámbrica pueden comunicarse
entre sí directamente. Es una red igual (sin servidor central) establecida
temporalmente para satisfacer una necesidad inmediata, formando así
una red temporal.
• LAN inalámbrica Ad-hoc
• 2.- Red Infraestructura.
• Es aquella en la que todos los ordenadores (de sobremesa y/o
portátiles) provistos de tarjetas de red inalámbrica trabajan en orden
jerárquico, por el que uno de los ordenadores de la red es el punto de
enlace entre todos los PCs de la misma red. Desde ese ordenador se
lleva el control de acceso, como medida de seguridad del resto de los
equipos que forman parte de la red. Para configurar la red de
Infraestructura, se requiere que sobre el ordenador elegido para llevar el
control se instale un Punto de Acceso, conforme al estándar IEEE
802.11.

C. Identificación de procedimientos para la resolución de

problemas relacionados con las redes Inalámbricas.

· Problemas con el radio de acceso

La solución consiste en utilizar un programa como NetStumbler. Este

programa generará una lista de las redes inalámbricas WiFi cercanas a la
tuya y de la cual podrás elegir el canal menos utilizado para que puedas
mejorar la velocidad de tu conexión inalámbrica.

· Problemas con el firmware del AP

Algunos ISP como EPM utilizan dhcp como protocolo para conectarse a
internet y normalmente le asocian a cada usuario una MAC determinada
para conectarse. Para cambiar la MAC en un router usando OpenWRT
debemos hacer lo siguiente (donde aa:bb:cc:dd:ee:ff es la dirección MAC
que tiene asociada a su conexión):

nvram set wan_hwaddr="aa:bb:cc:dd:ee:ff"

nvram commit

reboot

Si usamos freifunk los anteriores comandos no funcionan

(aparentemente), lo recomendable es modificar la MAC asociada a
nuestra conexión por la MAC del router directamente con el ISP.

Recomendable

Construir un script que produzca señales de audio de acuerdo a la

respuesta del ping, de modo que no sea necesario llevar el portátil
abierto para saber cómo se comporta la señal

Un minihowto sobre la construcción de una caja externa para el access

pointde modo que se puede colocar a la interperie en algún tejado.

· Problemas con la autenticación y encriptación

· ENCRIPTACIÓN WPA (Wi-Fi Protected Access)

Surgió como alternativa segura y eficaz al WEP, se basa en el cifrado de

la información mediante claves dinámicas, que se calculan a partir de
una contraseña. Es precisamente aquí donde está el punto flaco, si no se
emplea una contraseña suficientemente larga y compleja, es posible que
lleguen a desvelarla.

En el router o punto de acceso: al igual que anteriormente, hay que ir al

apartado de Wireless y seleccionar la opción WPA. En este caso no
tendremos una simple opción, pues habrá que escoger entre WPA-Radius
o WPA-PreSharedKey (WPA-PSK), como su propio nombre indica, su único
requerimiento es compartir una clave entre los diferentes clientes que se
van a autentificar en un determinado punto de acceso o router que
también la conoce. Este método no es tan seguro como el uso de un
servidor de autentificación central del tipo Radius, pero es suficiente en
entornos que necesiten conectar de forma segura a unos pocos equipos.
Por sencillez es recomentable el WPA-PSK, que simplemente pide
escoger la encriptación (AES oTKIP) y una clave de, mínimo, 8 dígitos y
de máximo 63. TKIP es el algorítmo aprobado y certificado para WPA,
algunos productos son compatibles con el cifrado avanzado (AES) pero
no han sido certificados porque no funcionan con el hardware de
distintos suministradores. Así que selecciona TKIP para evitar que el
router trabaje innecesariamente o bién la combinación de los dos
métodos disponibles (TKIP+AES), así no tendrás problemas de
compatibilidad.

· En el PC: vamos a la ventana de Propiedades de la Red

Inalámbrica, pulsamos sobre el botón Agregar, y configuramos los
mismos parámetros que introdujimos en el router/punto de acceso:

· El único problema de este tipo de encriptación es que no todos los

adaptadores de red inalámbricos o routers/puntos de acceso lo soportan,
aunque la tendencia actual es que el hardware sea compatible. En el
caso de que no lo sea, comprueba si existen actualizaciones disponibles,
descárgalas e instálalas. También debes asegurarte de que tu versión de
Windows admite el cifrado WPA. Windows XP con Service Pack 2 (SP2) es
compatible, las versiones anteriores no lo son. Si no tienes instalado
SP2, descarga el parche desde aquí.

· Aunque Windows XP también tiene soporte completo para WPA2,

la versión certificada final de WPA. Puedes descargar el parche
apropiado desdeMicrosoft.