1

1. PLANTEAMIENTO DEL PROBLEMA 1.1.EL PROBLEMA La problemtica se basa en la falta de seguridades que existen en las redes inalmbricas debido al creciente desarrollo de herramientas diseadas para burlar las seguridades implementadas. A esto se le puede sumar la prdida de la seal debido a diversos factores que interrumpen la transmisin de datos perjudicando de esta manera a las empresas.

1.2. TEMA: Las seguridades en las redes inalmbricas en el sector empresarial

1.3. JUSTIFICACIN DEL PROBLEMA La seguridad es una de los temas ms importantes cuando se habla de redes inalmbricas. Desde el nacimiento de stas, se ha intentado el disponer de protocolos que garanticen las comunicaciones, pero han sufrido de escaso xito. Por ello es conveniente el seguir puntual y escrupulosamente una serie de pasos que nos permitan disponer del grado mximo de seguridad del que seamos capaces de asegurar.

Es por esto que surge la necesidad de realizar esta investigacin para poder determinar los medios ms eficientes para proteger la informacin transmitidas a travs de este medio, beneficiando de esta manera a todos aquellos encargados de administrarlas.

1.4. OBJETIVOS 1.4.1. OBJETIVO GENERAL Determinar los mecanismos ms eficientes para elevar el nivel de seguridad en las redes inalmbricas. 1.4.2. OBJETIVOS ESPECIFICOS

Investigar las principales amenazas que atentan contra la seguridad de las redes inalmbricas.

Clasificar las diferentes amenazas para las redes inalmbricas. Promover tcnicas eficientes que ayuden a erradicar las vulnerabilidades presentes en las redes inalmbricas.

2. MARCO TEORICO 2.1.REDES INALAMBRICAS 2.1.1.RESEA HISTORICA El movimiento wireless surge en EUA por la liberacin de la banda de 2.4 GHz, y la aparicin del protocolo 802.11.b.Adems del campo corporativo, donde los ambientes inalmbricos son cada vez ms comunes, el acceso sin cables a Internet ya est disponible en muchos lugares pblicos a travs de puntos llamados HotSpots. Los HotSpots son puntos pblicos de conexin sin cables a Internet que se ubican en sitios pblicos como universidades, cafeteras, hospitales y aeropuertos para proveer acceso a dispositivos habilitados para ello. En realidad, un Hot Spot no es otra cosa que una LAN o parte de ella.

En la actualidad existen 40 mil HotSpots en toda Europa y se espera que en el 2005 sean ms de 90 mil, segn datos de Mercanet.com. En Amrica Latina hay iniciativas importantes para otorgar este servicio.

Existen dos alternativas lderes en la industria que son HomeRF y Wi-Fi (IEEE 802.11b). De estas 2 la Wi-Fi es la ms apoyada en la industria, ya que es la elegida para resolver necesidades empresariales y puntos de conexin pblicos, a diferencia de HomeRF que est diseada para conexin sin cables dentro del hogar.

La alianza Wi-Fi (formalmente WECA o Wireless Ethernet Compatibility Alliance) se ha dedicado a certificar y garantizar la interoperabilidad entre mltiples proveedores de 802.11b. Una vez que los estndares para comunicaciones inalmbricas fueron

establecidos, el acceso a Internet sin cableado se desarroll con xito.

Despus de probar radios de corto alcance para notebooks y PDA, las grandes empresas decidieron emplear sistemas de largo alcance Wi-Fi, para distribucin de archivos y correo electrnico.

En la actualidad, la alianza Wi-Fi, creada en 1999 sin fines de lucro, tiene 202 empresas miembro en todo el mundo y ms de 800 productos que han recibido la certificacin 802.11 o Wi-Fi (www.wi-fi.org).

Las redes inalmbricas pueden ser configuradas de distintas formas para cubrir la mayor parte de las necesidades que permite su especial fisonoma.

2.1.2. INFRAESTRUCTURA

Las redes inalmbricas se construyen con base en dos variantes. Estas son llamadas de distintas formas: administradas y no administradas, hosted y de punto a punto (peerto-peer), de infraestructura y de ad-hoc.

La variante de infraestructura extiende una red cableada a dispositivos inalmbricos y proporciona una estacin base llamada punto de acceso (Access Point). Este se

une a las redes inalmbricas cableadas y acta como un controlador central para la conexin sin cables. El punto de acceso coordina la transmisin y la recepcin de mltiples dispositivos inalmbricos dentro de un rango especfico.

En el modo de infraestructura puede haber varios puntos de acceso para cubrir un rea grande o slo un punto nico para reas pequeas como alguna casa o edificio pequeo.

En la variante ad-hoc se crea una red LAN nicamente por los dispositivos inalmbricos mismos, sin controlador central o punto de acceso. Cada dispositivo

se comunica directamente con los dems dispositivos en la red, en lugar de que sea a travs de un controlador central. Esto es til en lugares donde pequeos grupos de PC pueden congregarse y no se necesita acceso a otra red.

2.1.3. ALGUNOS STANDARDS

802.11 es un estndar desarrollado por el instituto de Ingenieros Elctricos y Electrnicos (IEEE) para las LAN inalmbricas. Estas son las versiones.

802.11a: Este es un estndar para LAN inalmbricas que funciona en el rango de frecuencias de 5 GHz, con 54 Mbps de velocidad. Cubre entre 30 y 300 metros si no hay muros y obstculos.

802.11b: Es un estndar para LAN inalmbricas que funciona en el rango de frecuencias de 2,4 GHz con un ancho de banda de 11 Mbps Es la frecuencia para hornos de

microondas, telfonos inalmbricos y dispositivos Bluetooth. Alcanza 460 en espacio libre.

802.11g: Ha sido aprobado de manera reciente y garantiza una transferencia de datos superior a los 54 Mbps, comparados con los 11Mb correspondientes al actual 802.11b.

2.1.4.TIPOS DE REDES INALAMBRICAS

Wireless WAN (Wide Area Network) Abarca un rea geogrfica relativamente extensa y permita a mltiples organismos conectarse en una misma red a travs de conexiones satelitales, o antenas de radio. Para que la comunicacin satelital sea efectiva generalmente se necesita que los satlites permanezcan estacionarios con respecto a su posicin sobre la tierra, si no es as, las estaciones en tierra los perderan de vista. Para mantenerse estacionario, el satlite debe tener un periodo de rotacin igual que el de la tierra.

Wireless LAN (Local Area Network) Permiten conectar una red de computadoras dentro de una localidad para compartir archivos, servicios, impresoras y otros recursos. En general utilizan seales de radio, las cuales son captadas por PC-Cards, o tarjetas PCMCIA conectadas a laptops o a slots PCI para PCMCIA de PC de escritorio. En resumen, estas redes

soportan generalmente tasas de transmisin entre los 11 Mbps y 54 Mbps y tienen un rango de entre los 30 a 300 metros, con seales capaces de atravesar paredes.

Redes similares pueden formarse con edificios, o vehculos, esta tecnologa permite conectar un vehculo a la red por medio de un transmisor en una laptop o PDA, al punto de acceso dentro del edificio.

Wireless PAN (Personal Area Network) Permite interconectar dispositivos electrnicos dentro de un rango de pocos metros, para comunicar y sincronizar informacin. La lder en esta rea es el

estndar Bluetooth, una tecnologa de radio de corto alcance (2.4GHz) que simplifica las comunicaciones entre dispositivos de red y otros ordenadores. Debido a que no fue diseada para soportar grandes cargas de trfico, no es una buena alternativa para sustituir redes locales o amplias.

2.1.5. COMO FUNCIONAN? Un dispositivo o estacin primero tiene que identificar los puntos y las redes

disponibles de acceso, esto se hace a travs de un monitoreo de cuadros, en que el equipo se anuncia a s mismo. La estacin elige una red disponible e inicia un proceso de autenticacin con el punto de acceso. Una vez que se han verificado se da la asociacin que permite el intercambio de informacin y capacidades. El punto de acceso puede utilizar esta informacin y compartirla con otros puntos de acceso en la red. En la modalidad de infraestructura, todo el trfico de las estaciones inalmbricas en la red pasa a travs de un punto de acceso para llegar a su destino y una red LAN ya sea cableada o tambin inalmbrica. El acceso a la red se maneja utilizando un protocolo de telecomunicacin con sensor y evasin de colisiones.

10

La sincronizacin entre las estaciones en la red se maneja por los cuadros peridicos enviados por el punto de acceso. Estos cuadros contienen el valor de reloj de punto de acceso al momento de la transmisin, de tal manera que pueden utilizarse para verificar cualquier desviacin en la estacin de recepcin.

En la modalidad ad-hoc, a diferencia de la infraestructura, simplemente no hay un punto de acceso. En esta res solo estn presentes los dispositivos inalmbricos. Muchas

de las responsabilidades manejadas por el punto de acceso, como los cuadros y la sincronizacin, las maneja un estacin. Algunos elementos no estn disponibles en adhoc, como framerelays entre dos estaciones que no se pueden escuchar entre s. Para iniciar un proceso de conexin inalmbrica el primero componente es el que enva las seales por el espacio para que una tarjeta receptora las pueda leer en conjuntos de paquetes que viajan por el aire. Lo primero en el Access Point que se conecte en un puerto libre de un ruteador o hub lo que permitir la salida de la seal inalmbrica.

2.1.6. VENTAJAS Y DESVENTAJAS DE LAS REDES INALAMBRICAS

Ventajas: No existen cables fsicos. Son ms baratas. Permiten gran movilidad dentro del alcance de la red (generalmente en las redes

inalmbricas hogareas suelen tener hasta 100 metros de la base transmisoras). Suelen instalarse ms fcilmente.

11

Desventajas: Todava no hay estudios certeros sobre su peligrosidad o no de las radiaciones utilizadas en las redes inalmbricas.

Suelen llegar a ser ms inseguras ya que cualquiera cerca podra acceder a la red inalmbrica (de todas maneras se les puede agregar la suficiente seguridad como para que sea difcil hackearlas).

2.1.7RIESGOS DE LAS REDES INALAMBRICAS

Aunque este trabajo vaya dirigido a los aspectos de seguridad de las redes inalmbricas, no podemos pasar por alto los elementos que componen las redes inalmbricas.

Existen 4 tipos de redes inalmbricas, la basada en tecnologa BlueTooth, laIrDa (Infra red Data Association), la HomeRF y la WECA (Wi-Fi). La primera de ellas no permite la transmisin de grandes cantidades de datos entre ordenadores de forma continua y la segunda tecnologa, estndar utilizado por los dispositivos de ondas infrarrojas, debe permitir la visin directa entre los dos elementos comunicantes. Las tecnologas HomeRF y Wi-Fi estn basadas en las especificaciones 802.11 (Ethernet Inalmbrica) y son las que utilizan actualmente las tarjetas de red inalmbricas. La topologa de estas redes consta de dos elementos clave, las estaciones cliente (STA) y los puntos de acceso (AP). La comunicacin puede realizarse directamenteentre estaciones cliente o a travs del AP.

12

El intercambio de datos slo es posible cuando existe una autentificacin entre el STA y el AP y se produce la asociacin entre ellos (un STA pertenece a un AP). Por defecto, el AP transmite seales de gestin peridicas, el STA las recibe e inicia la autentificacin mediante el envo de una trama de autentificacin. Una vez realizada esta, la estacin cliente enva una trama asociada y el AP responde con otra.

La utilizacin del aire como medio de transmisin de datos mediante la propagacin de ondas de radio ha proporcionado nuevos riesgos de seguridad. La salida de estas ondas de radio fuera del edificio donde est ubicada la red permite la exposicin de los datos a posibles intrusos que podran obtener informacin sensible a la empresa y a la seguridad informtica de la misma.

Varios son los riesgos derivables de este factor. Por ejemplo, se podra perpetrar un ataque por insercin, bien de un usuario no autorizado o por la ubicacin de un punto de acceso ilegal ms potente que capte las estaciones cliente en vez del punto de acceso legtimo, interceptando la red inalmbrica. Tambin sera posible crear interferencias y una ms que posible denegacin de servicio con solo introducir un dispositivo que emita ondas de radio a una frecuencia de 24GHz (frecuencia utilizada por las redes inalmbricas).

La posibilidad de comunicarnos entre estaciones cliente directamente, sin pasar por el punto de acceso permitira atacar directamente a una estacin cliente, generando problemas si esta estacin cliente ofrece servicios TCP/IP o comparte ficheros. Existe tambin la posibilidad de duplicar las direcciones IP o MAC de estaciones cliente legtimas.

13

Los puntos de acceso estn expuestos a un ataque de Fuerza bruta para averiguar los passwords, por lo que una configuracin incorrecta de los mismos facilitara la irrupcin en una red inalmbrica por parte de intrusos.

A pesar de los riesgos anteriormente expuestos, existen soluciones y mecanismos de seguridad para impedir que cualquiera con los materiales suficientes puedan introducirse en una red. Unos mecanismos son seguros, otros, como el protocolo WEP fcilmente rompibles por programas distribuidos gratuitamente por Internet .

2.2 SEGURIDAD

Al parecer las tecnologas inalmbricas ofrecen un futuro muy prometedor pero como en la comunicacin inalmbrica no hay cables sino que la informacin viaja por el aire por ondas de radio, la seguridad, privacidad e integridad de los datos genera nuevos y grandes retos.

Desde

su

creacin, 802.11 ha

proporcionado algunos mecanismos

bsicos

de

seguridad para que la libertad inalmbrica no sea una amenaza potencial. Por ejemplo, los puntos de acceso de 802.11 se pueden configurar con un identificador de conjunto de servicio (SSID: service set identifier, un identificador de 32 caracteres anclado a los encabezados de los paquetes que se envan a travs de una WLAN). Este tambin debe conocerlo la tarjeta de red para poder asociarlo con el

Access Point y as proceder con la transmisin y recepcin de datos en la red.

14

Esto es una seguridad muy dbil, debido a que el SSID es reconocido por todas las tarjetas de red y Aps, y se enva a travs del aire de manera libre, independientemente de que se permita la asociacin si el SSID no es reconocido, puede ser controlado por la tarjeta de red o controlador de manera local y no se proporciona ningn cifrado a travs de este.

2.2.1 MECANISMOS DE SEGURIDAD

WEP (Wired Equivalent Protocol)

El protocolo WEP es un sistema de encriptacin estndar propuesto por el comit 802.11, implementada en la capa MAC y soportada por la mayora devendedores de soluciones inalmbricas. En ningn caso es comparable con IPSec. WEP comprime y cifra los datos que se envan a travs de las ondas de radio.Con WEP, la tarjeta de red encripta el cuerpo y el CRC de cada trama 802.11 antes de la transmisin utilizando el algoritmo de encriptacin RC4 proporcionado por RSA Security. La estacin receptora, sea un punto de acceso o una estacin cliente es la encargada de desencriptar la trama. Como parte del proceso de encriptacin, WEP prepara una estructura denominada seed obtenida tras la concatenacin de la llave secreta proporcionada por el usuario de la estacin emisora con un vector de inicializacin (IV) de 24 bits generada aleatoriamente. La estacin cambia el IV para cada trama transmitida. A continuacin, WEP utiliza el seed en un generador de nmeros pseudo-aleatorio que produce una llave de longitud igual a el payload (cuerpo ms CRC) de la trama ms un valor para chequear la integridad (ICV) de 32 bits de longitud.

15

El ICV es un checksum que utiliza la estacin receptora para recalcularla y compararla con la enviada por la estacin emisora para determinar si los datos han sido manipulados durante su envo. Si la estacin receptora recalcula un ICV que no concuerda con el recibido en la trama, esta queda descartada e incluso puede rechazar al emisor de la misma.

WEP especifica una llave secreta compartida de 40 o 64 bits para encriptar y desencriptar, utilizando la encriptacin simtrica.

Antes de que tome lugar la transmisin, WEP combina la llave con el payload/ICV a travs de un proceso XOR a nivel de bit que producir el texto cifrado. Incluyendo el IV sin encriptar sin los primeros bytes del cuerpo de la trama.

La estacin receptora utiliza el IV proporcionado junto con la llave del usuario de la estacin receptora para desencriptar la parte del payload del cuerpo de la trama.

Cuando se transmiten mensajes con el mismo encabezado, por ejemplo el FROM de un correo, el principio de cada payload encriptado ser el mismo si se utilizala misma llave. Tras encriptar los datos, el principio de estas tramas ser el mismo,proporcionando un patrn que puede ayudar a los intrusos a romper el algoritmo de encriptacin. Esto se soluciona utilizando un IV diferente para cada trama.

La vulnerabilidad de WEP reside en la insuficiente longitud del Vector de Inicializacin (IV) y lo estticas que permanecen las llaves de cifrado, pudiendo no cambiar en mucho

16

tiempo. Si utilizamos solamente 24 bits, WEP utilizar el mismo IVpara paquetes diferentes, pudindose repetir a partir de un cierto tiempo de transmisin contina.

Es a partir de entonces cuando un intruso puede, una vez recogido suficientes tramas, determinar incluso la llave compartida.

En cambio, 802.11 no proporciona ninguna funcin que soporte el intercambio de llaves entre estaciones. Como resultado, los administradores de sistemas y los usuarios utilizan las mismas llaves durante das o incluso meses. Algunos vendedores han desarrollado soluciones de llaves dinmicas distribuidas.

A pesar de todo, WEP proporciona un mnimo de seguridad para pequeos negocios o instituciones educativas, si no est deshabilitada, como se encuentra por defecto en los distintos componentes inalmbricos.

OSA (Open System Authentication)

Este es otro mecanismo de autenticacin definido por el estndar 802.11 para autentificar todas las peticiones que recibe. El principal problema que tiene es que no realiza ninguna comprobacin de la estacin cliente, adems las tramas de gestin son enviadas sin cifrar, aun activando WEP, por lo tanto es un mecanismo poco fiable.

17

ACL (Access Control List) Este mecanismo de seguridad es soportado por la mayora de los productos comerciales. Utiliza, como mecanismo de autenticacin la direccin MAC de cada

estacin cliente, permitiendo el acceso a aquellas MAC que consten en la lista de Control de Acceso.

CNAC (Closed Network Access Control) Este mecanismo pretende controlar el acceso a la red inalmbrica y permitirlo solamente a aquellas estaciones cliente que conozcan el nombre de la red actuando este como contrasea.

2.2.2.POLTICAS DE SEGURIDAD Aparte de las medidas que se hayan tomado en el diseo de la red inalmbrica, debemos aplicar ciertas normas y polticas de seguridad que nos ayudaran a mantener una red ms segura:

- Utilizar WEP, aunque sea rompible con herramientas como AirSnort o WEPCrack,como un mnimo de seguridad

- Utilizar mecanismos de intercambio de clave dinmica aportado por los diferentes productos comerciales hasta que el comit 802.11i, encargado de mejorar la seguridad en las redes inalmbricas, publique una revisin del estndar 802.11 con caractersticas avanzadas de seguridad, incluyendo AES (AdvancedEncryptionStandards) e intercambio dinmico de claves.

18

- Inhabilitar DHCP para la red inalmbrica. Las IPs deben ser fijas.

- Actualizar el firmware de los puntos de acceso para cubrir los posibles agujeros en las diferentes soluciones wireless.

- Proporcionar un entorno fsicamente seguro a los puntos de acceso y desactivarlos cuando se pretenda un periodo de inactividad largo (ej. ausencia por vacaciones).

- Cambiar el SSID (Server Set ID) por defecto de los puntos de acceso, conocidos por todos. El SSID es una identificacin configurable que permite la comunicacin delos clientes con un determinado punto de acceso. Acta como un password compartido entre la estacin cliente y el punto de acceso. Ejemplos de SSID por defecto son tsunami para Cisco, 101 para 3Com, Intel para Intel,...

- Inhabilitar la emisin broadcast del SSID.

- Reducir la propagacin de las ondas de radio fuera del edificio.

- Utilizar IPSec, VPN, firewalls y monitorizar los accesos a los puntos de acceso.

19

2.2.2.1. Elementos de una poltica de seguridad informtica

Como mencionbamos en el apartado anterior, una PSI debe orientar las decisiones que se toman en relacin con la seguridad. Por tanto, requiere de una disposicin por parte de cada uno de los miembros de la empresa para lograr una visin conjunta de lo que se considera importante.

Las PSI deben considerar entre otros, los siguientes elementos:

Alcance de las polticas, incluyendo facilidades, sistemas y personal sobre lacual aplica. Es una invitacin de la organizacin a cada uno de sus miembros a reconocer la informacin como uno de sus principales activos as como, un motor de intercambio y desarrollo en el mbito de sus negocios. Invitacin que debe concluir en una posicin.

Objetivos de la poltica y descripcin clara de los elementos involucrados en su definicin.

Responsabilidades por cada uno de los servicios y recursos informticos a todos los niveles de la organizacin.

Requerimientos mnimos para configuracin de la seguridad de los sistemas que cobija el alcance de la poltica. Definicin de violaciones y de las consecuencias del no cumplimiento de la poltica.

20

Responsabilidades de los usuarios con respecto a la informacin a la que ella tiene acceso.

Las PSI deben ofrecer explicaciones comprensibles acerca de por qu deben tomarse ciertas decisiones, transmitir por qu son importantes estos u otros recursos o servicios.

De igual forma, las PSI establecen las expectativas de la organizacin en relacin con la seguridad y lo que ella puede esperar de las acciones que la materializan en la campaa. Deben mantener un lenguaje comn libre de tecnicismos y trminos legales que impidan una comprensin clara de las mismas, sin sacrificar su precisin y formalidad dentro de la empresa.

Por otra parte, la poltica debe especificar la autoridad que debe hacer que las cosas ocurran, el rango de los correctivos y sus actuaciones que permitan dar indicaciones sobre la clase de sanciones que se puedan imponer. No debe especificar con exactitud qu pasara o cundo algo suceder; no es una sentencia obligatoria de la ley.

Finalmente, las PSI como documentos dinmicos de la organizacin, deben seguir un proceso de actualizacin peridica sujeto a los cambios organizacionales relevantes: crecimiento de la planta de personal, cambio en la infraestructura computacional, alta rotacin de personal, desarrollo de nuevos servicios, cambio o diversificacin de negocios entre otros.

21

2.2.2.2. Algunos parmetros para establecer polticas de seguridad

Si bien las caractersticas de la PSI que hemos mencionado hasta el momento, nos muestran una perspectiva de las implicaciones en la formulacin de estas directrices, revisaremos a continuacin, algunos aspectos generales recomendados para la formulacin de las mismas.

Considere efectuar un ejercicio de anlisis de riesgos informtico, a travs del cual valore sus activos, el cual le permitir afinar las PSI de su organizacin. Involucre a las reas propietarias de los recursos o servicios, pues ellos pose en la experiencia y son fuente principal para establecer el alcance y las definiciones de violaciones a la PSI. Comunique a todo el personal involucrado en el desarrollo de las PSI, los beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de seguridad. Recuerde que es necesario identificar quin tiene la autoridad para tomar decisiones, pues son ellos los responsables de salva guardar los activos crticos de la funcionalidad de su rea u organizacin. Desarrolle un proceso de monitoreo peridico de las directrices en el hacer de la organizacin, que permita una actualizacin oportuna de las mismas.

Un ltimo consejo: no d por hecho algo que es obvio. Haga explcito y concreto los alcances y propuestas de seguridad, con el propsito de evitar sorpresas y malos entendidos en el momento de establecer los mecanismos de seguridad que respondan a las PSI trazadas.

22

2.2.2.3. Proposicin de una forma de realizar el anlisis para llevar acabo un sistema de seguridad

Tal como puede visualizarse, en el grfico estn plasmados todos los elementos que intervienen para el estudio de una poltica de seguridad.

Se comienza realizando una evaluacin del factor humano interviniente, teniendo en cuenta que ste es el punto ms vulnerable en toda la cadena de seguridad , de los mecanismos con que se cuentan para llevar a cabo los procesos necesarios ( mecanismos tcnicos, fsicos lgicos), luego, el medio ambiente en que se desempea el sistema, las consecuencias que puede traer aparejado defectos en la seguridad (prdidas fsicas, prdidas econmicas, en la imagen de la organizacin,etc.), y cules son las amenazas posibles.

23

Una vez evaluado todo lo anterior, se origina un programa de seguridad, que involucra los pasos a tomar para poder asegurar el umbral de seguridad que se desea.

Luego, se pasa al plan de accin, que es cmo se va a llevar a cabo el programa de seguridad. Finalmente, se redactan los procedimientos y normas que permiten llegar a buen destino.

Con el propsito de asegurar el cumplimiento de todo lo anterior, se realizan los controles y la vigilancia que aseguran el fiel cumplimiento de los tres puntos antes puestos.

Para asegurar un marco efectivo, se realizan auditoras a los controles y alos archivos logsticos que se generen en los procesos implementados (de nada vale tener archivos logsticos si nunca se los analizan o se los analizan cuando ya ha ocurrido un problema).

Con el objeto de confirmar el buen funcionamiento de lo creado, se procede asimular eventos que atenten contra la seguridad del sistema. Como el proceso de seguridad es un proceso dinmico, es necesario realizar revisiones al programa de seguridad, al plan de accin y a los procedimientos y normas. Estas revisiones, tendrn efecto sobre los puntos tratados en el primer prrafo y, de esta manera, el proceso se vuelve a repetir.

Es claro que el establecimiento de polticas de seguridad es un proceso dinmico sobre el que hay que estar actuando permanentemente, de manera tal que no quede desactualizado; que, cuando se le descubran debilidades, stas sean subsanadas y, finalmente, que su prctica por los integrantes de la organizacin no caiga en desuso.

24

2.2.2.4. Por qu las polticas de seguridad informtica generalmente no consiguen implantarse?

Muchas veces, las organizaciones realizan grandes esfuerzos para definir susdirectrices de seguridad y concretarlas en documentos que orienten las acciones de las mismas, con relativo xito. Segn algunos estudios resulta una labor ardua convencer a los altos ejecutivos de la necesidad de buenas polticas y prcticas de seguridad informtica.

Muchos de los inconvenientes se inician por los tecnicismos informticos y por la falta de una estrategia de mercadeo de los especialistas en seguridad que, llevan a los altos directivos a pensamientos como: "ms dinero para los juguetes de los ingenieros".

Esta situacin ha llevado a que muchas empresas con activos muy importantes, se encuentren expuestas a graves problemas de seguridad que, en muchos de los casos, lleva a comprometer su informacin sensible y por ende su imagen corporativa.

Ante esta encrucijada, los encargados de la seguridad deben asegurarse de que las personas relevantes entienden los asuntos importantes de la seguridad, conocen sus alcances y estn de acuerdo con las decisiones tomadas en relacin con esos asuntos.

En particular, la gente debe conocer las consecuencias de sus decisiones, incluyendo lo mejor y lo peor que podra ocurrir. Una intrusin o una travesura puede convertir a las personas que no entendieron, en blanco de las polticas o en seuelos de los verdaderos vndalos.

25

Luego, para que las PSI logren abrirse espacio en el interior de una organizacin deben integrarse a las estrategias del negocio, a su misin y visin, con el propsito de que los que toman las decisiones reconozcan su importancia e incidencias en las proyecciones y utilidades de la campaa.

De igual forma, las PSI deben ir acompaadas de una visin de negocio que promueva actividades que involucren a las personas en su hacer diario, donde se identifiquen las necesidades y acciones que materializan las polticas. En este contexto, entender la organizacin, sus elementos culturales y comportamientos nos debe llevar a reconocer las pautas de seguridad necesarias y suficientes que aseguren confiabilidad en las operaciones y funcionalidad de la compaa.

A continuacin, mencionamos algunas recomendaciones para concientizar sobre la seguridad informtica:

Desarrolle ejemplos organizacionales relacionados con fallas de seguridad que capten la atencin de sus interlocutores. Asocie el punto anterior a las estrategias de la organizacin y a la imagen que se tiene de la organizacin en el desarrollo de sus actividades. Articule las estrategias de seguridad informtica con el proceso de toma de decisiones y los principios de integridad, confidencialidad y disponibilidad de la informacin. Muestre una valoracin costo-beneficio, ante una falla de seguridad. Justifique la importancia de la seguridad informtica en funcin de hechos y preguntas concretas, que muestren el impacto, limitaciones y beneficios sobre los activos claves de la organizacin.

26

2.3 MTODOS DE DETECCIN DE REDES INALMBRICAS

El mtodo de deteccin de una red inalmbrica se denomina Wardriving y es bastante sencillo. Bastara con la simple utilizacin de una tarjeta de red inalmbrica WNIC (Wireless Network Interface Card), un dispositivo porttil (ordenador porttil o incluso un PDA) con un software para verificar puntos de acceso y pasearse por un centro de negocios o algn sitio donde nos conste la utilizacin de una red inalmbrica.

El ordenador porttil puede estar equipado con un sistema GPS para marcar la posicin exacta donde la seal es ms fuerte, o incluso una antena direccional para recibir el trfico de la red desde una distancia considerable.

Una vez detectada la existencia de una red abierta, se suele dibujar en el suelo una marca con la anotacin de sus caractersticas. Es lo que se denomina Warchalking, y cuya simbologa se muestra a continuacin: SIMBOLO SSID )( ANCHO DE BANDA SSID () NODO CERRADO NODO ABIERTO SIFNIFICADO

SSID (W) ANCHO DE BANDA Simbologa de warchalking. NODO WEP

27

Por ejemplo el dibujo: Xarxa )( 1.5 Indicara un nodo abierto, que utiliza el SSID Xarxa y que dispone de un ancho de Banda de 1.5Mbps. Esta simbologa permite disponer de un mapa donde constan los puntos de acceso con sus datos (SSID, WEP, direcciones MAC,...). Si la red tiene DHCP, elordenador porttil se configura para preguntar continuamente por una IP de un cierto rango, si la red no tiene DHCP activado podemos analizar la IP que figure en algn paquete analizado.

Existen varias herramientas tiles para detectar redes inalmbricas, las ms conocidas son el AirSnort o Kismet para Linux y el NetStumbler para sistemas Windows.

Este mecanismo de deteccin de redes inalmbricas nos muestra lo fcil que es detectarlas y obtener informacin (incluso introducirnos en la red). A continuacin semuestra un estudio realizado a fecha del 20 de octubre del 2010 en la ciudad de Guayaquil:

APs WEP INHABILITADO WEP HABILITADO TOTAL

NUMERO 198 65 263

PORCENTAJE 75% 25% 100%

28

Los estudios realizados indican un nmero elevado de redes inalmbricas sin el protocolo WEP activado o con el protocolo WEP activado pero con el SSID utilizado por defecto. 2.3.1. GARANTIZANDO LA SEGURIDAD DE UNA RED INALAMBRICA Para poder considerar una red inalmbrica como segura, debera cumplir con los siguientes requisitos:

Las ondas de radio deben confinarse tanto como sea posible. Esto es difcil de lograr totalmente, pero se puede hacer un buen trabajo empleando antenas direccionales y configurando adecuadamente la potencia de transmisin de los puntos de acceso.

Debe existir algn mecanismo de autenticacin en doble va, que permita al cliente verificar que se est conectando a la red correcta, y a la red constatar que el cliente est autorizado para acceder a ella.

Los datos deben viajar cifrados por el aire, para evitar que equipos ajenos a la red puedan capturar datos mediante escucha pasiva.

2.3.2. VARIOS METODOS Existen varios mtodos para lograr la configuracin segura de una red inalmbrica; cada mtodo logra un nivel diferente de seguridad y presenta ciertas ventajas y desventajas. Se har a continuacin una presentacin de cada uno de ellos. METODO 1: Filtrado de direcciones MAC Este mtodo consiste en la creacin de una tabla de datos en cada uno de los puntos de acceso a la red inalmbrica. Dicha tabla contiene las direcciones MAC (Media Access

29

Control) de las tarjetas de red inalmbricas que se pueden conectar al punto de acceso. Como toda tarjeta de red posee una direccin MAC nica, se logra autenticar el equipo. Este mtodo tiene como ventaja su sencillez, por lo cual se puede usar para redes caseras o pequeas. Sin embargo, posee muchas desventajas que lo hacen imprctico para uso en redes medianas o grandes:

No escala bien, porque cada vez que se desee autorizar o dar de baja un equipo, es necesario editar las tablas de direcciones de todos los puntos de acceso. Despus de cierto nmero de equipos o de puntos de acceso, la situacin se torna inmanejable.

El formato de una direccin MAC no es amigable (normalmente se escriben como 6 bytes en hexadecimal), lo que puede llevar a cometer errores en la manipulacin de las listas.

Las direcciones MAC viajan sin cifrar por el aire. Un atacante podra capturar direcciones MAC de tarjetas matriculadas en la red empleando un sniffer, y luego asignarle una de estas direcciones capturadas a la tarjeta de su computador, empleando programas tales como AirJack6 o WellenReiter,7 entre otros. De este modo, el atacante puede hacerse pasar por un cliente vlido.

En caso de robo de un equipo inalmbrico, el ladrn dispondr de un dispositivo que la red reconoce como vlido. En caso de que el elemento robado sea un punto de acceso el problema es ms serio, porque el punto de acceso contiene toda la tabla de direcciones vlidas en su memoria de configuracin.

Debe notarse adems, que este mtodo no garantiza la confidencialidad de la informacin transmitida, ya que no prev ningn mecanismo de cifrado.

30

METODO 2: Wired Equivalent Privacy (WEP)

El algoritmo WEP10 forma parte de la especificacin 802.11, y se dise con el fin de proteger los datos que se transmiten en una conexin inalmbrica mediante cifrados. WEP opera a nivel 2 del modelo OSI y es soportado por la gran mayora de fabricantes de soluciones inalmbricas.

El algoritmo WEP cifra de la siguiente manera:

A la trama en claro se le computa un cdigo de integridad (Integrity Check Value, ICV) mediante el algoritmo CRC-32. Dicho ICV se concatena con la trama, y es empleado ms tarde por el receptor para comprobar si la trama ha sido alterada durante el transporte.

Se escoge una clave secreta compartida entre emisor y receptor.Esta clave puede poseer 40 128 bits.

Si se empleara siempre la misma clave secreta para cifrar todas las tramas, dos tramas en claro iguales produciran tramas cifradas similares. Para evitar esta eventualidad, se concatena la clave secreta con un nmero aleatorio llamado vector de inicializacin (IV) de 24bits. El IV cambia con cada trama.

La concatenacin de la clave secretay el IV (conocida como semilla) se emplea como entrada de un generador RC4 de nmeros pseudo aleatorios. El generador RC4 es capaz de generar una secuencia pseudo aleatoria (o cifra de flujo) tan larga como se desee a partir de la semilla.

31

El generador RC4 genera una cifra de flujo, del mismo tamao de la trama a cifrar ms 32 bits (para cubrir la longitud de la trama y el ICV). Se hace un XOR bit por bit de la trama con la secuencia de clave, obtenindose como resultado la trama cifrada.

El IV y la trama se transmiten juntos.

Funcionamiento del algoritmo WEP en modalidad de cifrado. En el receptor se lleva a cabo el proceso de descifrado:

Se emplean el IV recibido y la clave secreta compartida para generar la semilla que se utiliz en el transmisor.

Un generador RC4 produce la cifra de flujo a partir de la semilla. Si la semilla coincide con la empleada en la transmisin, la cifra de flujo tambin ser idntica a la usada en la transmisin.

Se efecta un XOR bit por bit de la cifra de flujo y la trama cifrado, obtenindose de esta manera la trama en claro y el ICV.

32

A la trama en claro se le aplica el algoritmo CRC-32 para obtener un segundo ICV, que se compara con el recibido. Si los dos ICV son iguales, la trama se acepta; en caso contrario se rechaza.

Funcionamiento del algoritmo WEP en modalidad de descifrado

El algoritmo WEP resuelve aparentemente el problema del cifrado de datos entre emisor y receptor. Sin embargo, existen dos situaciones que hacen que WEP no sea seguro en la manera que es empleado en la mayora de aplicaciones:

La mayora de instalaciones emplea WEP con claves de cifrado estticas (se configura una clave en el punto de acceso y no se la cambia nunca, o muy de vez en cuando). Esto hace posible que un atacante acumule grandes cantidades de texto cifrado con la misma clave y pueda intentar un ataque por fuerza bruta.

El IV que se utiliza es de longitud insuficiente (24 bits). Dado que cada trama se cifra con un IV diferente, solamente es cuestin de tiempo para que se agote el espacio de 224 IV distintos. Esto no es problemtico en una red casera con bajo trfico, pero en una red que posea alto trfico se puede agotar el espacio de los IV en ms o menos 5 horas. Si el atacante logra conseguir dos tramas con IV idntico, puede efectuar un XOR entre ellas y obtener los textos en claro de ambas tramas mediante un ataque estadstico.

33

Con el texto en claro de una trama y su respectivo texto cifrado se puede obtener la cifra de flujo; conociendo el funcionamiento del algoritmo RC4 es posible entonces obtener la clave secreta y descifrar toda la conversacin.

WEP no ofrece servicio de autenticacin. El cliente no puede autenticar a la red, ni al contrario; basta con que el equipo mvil y el punto de acceso compartan la clave WEP para que la comunicacin pueda llevarse a cabo. Existen en este momento diversas herramientas gratuitas para romper la clave secreta de enlaces protegidos con WEP.

El primer programa que hizo esto posible fue WEP Crack8 que consiste en una serie de scripts escritos en lenguaje Perl diseados para analizar un archivo de captura de paquetes de un sniffer. La herramienta AirSnort9 hace lo mismo, pero integra las funciones de sniffer y rompedor de claves, y por lo tanto es ms fcil de usar. Airsnort captura paquetes pasivamente, y rompe la clave WEP cuando ha capturado suficientes datos.

MTODO 3 WPA (WI-FI Protected Access)

WPA14 es un estndar propuesto por los miembros de la Wi-Fi Alliance (que rene a los grandes fabricantes de dispositivos para WLAN) en colaboracin con la IEEE. Este estndar busca subsanar los problemas de WEP, mejorando el cifrado de los datos y ofreciendo un mecanismo de autenticacin.

Para solucionar el problema de cifrado de los datos, WPA propone un nuevo protocolo para cifrado, conocido como TKIP (Temporary Key Integrity Protocol). Este protocolo se encarga de cambiar la clave compartida entre punto de acceso y cliente cada cierto tiempo, para evitar ataques que permitan revelar la clave.

34

Igualmente se mejoraron los algoritmos de cifrado de trama y de generacin de los IVs, con respecto a WEP.

El mecanismo de autenticacin usado en WPA emplea 802.1x y EAP, que fueron discutidos en la seccin anterior.

Segn la complejidad de la red, un punto de acceso compatible con WPA puede operar en dos modalidades:

Modalidad de red empresarial:Para operar en esta modalidad se requiere de la existencia de un servidor RADIUS en la red. El punto de acceso emplea entonces 802.1x y EAP para la autenticacin, y el servidor RADIUS suministra las claves compartidas que se usarn para cifrar los datos.

Modalidad de red casera, o PSK (Pre-Shared Key): WPA opera en esta modalidad cuando no se dispone de un servidor RADIUS en la red. Se requiere entonces introducir una contrasea compartida en el punto de acceso y en los dispositivos mviles. Solamente podrn acceder al punto de acceso los dispositivos mviles cuya contrasea coincida con la del punto de acceso. Una vez logrado el acceso, TKIP entra en funcionamiento para garantizar la seguridad del acceso. Se recomienda que las contraseas empleadas sean largas (20 o ms caracteres), porque ya se ha comprobado que WPA es vulnerable a ataques de diccionariosi se utiliza una contrasea corta.

La norma WPA data de abril de 2003, y es de obligatorio cumplimiento para todos los miembros de la Wi-Fi Alliance a partir de finales de 2003. Segn la Wi-Fi Alliance, todo equipo de red inalmbrica que posea el sello Wi-Fi Certified podr ser actualizado por software para que cumpla con la especificacin WPA.

35

2.4. DISEO RECOMENDADO

Se podran hacer varias recomendaciones para disear una red inalmbrica e impedir lo mximo posible el ataque de cualquier intruso.

Como primera medida, se debe separar la red de la organizacin en un dominio pblico y otro privado. Los usuarios que proceden del dominio pblico (los usuarios de la red inalmbrica) pueden ser tratados como cualquier usuario de Internet (externo a la organizacin). As mismo, instalar cortafuegos y mecanismos de autentificacin entre la red inalmbrica y la red clsica, situando los puntos de acceso delante de cortafuegos y utilizando VPN a nivel de cortafuegos para la encriptacin del trfico en la red inalmbrica.

Los clientes de la red inalmbrica deben acceder a la red utilizando SSH, VPN o IPSec y mecanismos de autorizacin, autenticacin y encriptacin del trfico (SSL).

Lo ideal sera aplicar un nivel de seguridad distinto segn que usuario accede a una determinada aplicacin.

La utilizacin de VPNs nos impedira la movilidad de las estaciones cliente entre puntos de acceso, ya que estos ltimos necesitaran intercambiar informacin sobre los usuarios conectados a ellos sin reiniciar la conexin o la aplicacin en curso, cosa no soportada cuando utilizamos VPN.

36

Como contradiccin, es recomendable no utilizar excesivas normas de seguridad por que podra reducir la rapidez y la utilidad de la red inalmbrica. La conectividad entre estaciones cliente y PA es FCFS, es decir, la primera estacin cliente que accede es la primera en ser servida, adems el ancho de banda es compartido, motivo por el cual nos tenemos que asegurar un nmero adecuado de puntos de acceso para atender a los usuarios.

Tambin se podran adoptar medidas extraordinarias para impedir la intrusin, como utilizar receivers (Signal Leakage Detection System) situados a lo largo del permetro del edificio para detectar seales anmalas hacia el edificio adems de utilizar estaciones de monitorizacin pasivas para detectar direcciones MAC no registradas oclonadas y el aumento de tramas de re autentificacin.

Por ltimo tambin podran ser adoptadas medidas fsicas en la construccin del edificio o en la utilizacin de ciertos materiales atenuantes en el permetro exterior del edificio, debilitando lo mximo posible las seales emitidas hacia el exterior. Algunas de estas recomendaciones podran ser, an a riesgo de resultar extremadas:

- Utilizar cobertura metlica en las paredes exteriores.

- Vidrio aislante trmico (atena las seales de radiofrecuencia).

- Persianas venecianas de metal, en vez de plsticas.

37

- Poner dispositivos WLAN lejos de las paredes exteriores.

- Revestir los closets (rosetas) de la red con un revestimiento de aluminio.

- Utilizar pintura metlica.

- Limitar el poder de una seal cambiando la atenuacin del transmisor.

2.5. SISTEMAS DETECTORES DE INTRUSOS

Los sistemas detectores de intrusos, IDS, totalmente integrados en las redes clsicas cableadas, estn tomando forma tambin en las redes inalmbricas. Sin embargo, an son pocas las herramientas disponibles y sobretodo realmente efectivas, aunque empresas privadas estn desarrollando y adaptando sus sistemas detectores de intrusos para redes inalmbricas (como ISS en su software Real Secure).

Las redes inalmbricas nos proporcionan cambios nuevos respecto a los sistemas de deteccin de intrusos situados en las redes clsicas cableadas.

38

En primer lugar, la localizacin de la estacin capturadora del trfico debe estar instalado en la misma rea de servicios WLAN que queramos monitorizar. Este punto es crtico y obtendremos muchos falsos positivos si la localizacin es inapropiada o la sensibilidad del agente tan elevada que puede incluso capturar trfico procedente de otras WLANs ajenas a la nuestra.

Otro punto crtico en los sistemas detectores de intrusos para redes es la identificacin de trfico anmalo, ya que existen aplicaciones como el NetStumbler y Dstumbler que utilizan tcnicas de descubrimiento de redes inalmbricas especificadas en 802.11 junto con otras propias, por lo que el agente IDS debe detectar y distinguir un trfico de otro.

Como punto positivo encontramos que ya existen patrones para distinguir a estos programas utilizados por los intrusos.

2.6. FUTUROS CAMBIOS: COMIT 802.11i

Siendo conscientes de las debilidades del estndar 802.11 en su protocolo WEP, se form el comit 802.11i para paliar y mejorar los aspectos de seguridad en las redes inalmbricas. Muchos son los que creen que las medidas llegan tarde, y que las soluciones propietarias se han hecho dueas en este apartado mediante los protocolos ULA (Upper Layer Protocol), aplicables a las capas ms altas del modelo OSI, y no especificadas en 802.11i por no ser objetivo del estndar.

39

2.6.1. LOS PROTOCOLOS ULA (Upper Layer Protocol) Los protocolos ULA proporcionan intercambio de autenticacin entre el cliente y un servidor de autenticacin. La mayora de los protocolos de autenticacin incluyen:

- EAP-TLS (Extensible Authentication Protocol with Transport Layer Security), protocolo de autenticacin basado en certificados y soportado por Windows XP. Necesita la configuracin de la mquina para establecer el certificado e indicar el servidor de autentificacin.

- PEAP (Protected Extensible Authentication Protocol), proporciona una autentificacin basada en el password. En este caso, solamente el servidor de autentificacin necesitara un certificado.

EAP-TTLS (EAP with Tunneled Transport Layer Security), parecido al PEAP, est

implementado en algunos servidores Radius y en software diseado para utilizarse en redes 802.11 (inalmbricas). - LEAP (Lightweigh EAP), propiedad de Cisco y diseado para ser portable a travs de varias plataformas wireless. Basa su popularidad por ser el primero y durante mucho tiempo el nico mecanismo de autenticacin basado en password y proporcionar diferentes clientes segn el sistema operativo.

Pero parece ser que nadie se escapa de la perspicacia de los intrusos, y cuando me encontraba redactando esta memoria me llegaba la noticia de un reciente ataque Man-inthe-middle a los protocolos PEAP y EAP-TTLS. Esto deja constancia de la rapidez con que se producen los cambios y de la inseguridad de algunas medidas adoptadas.

40

Las medidas que el comit 802.11i est estudiando intentarn mejorar la seguridad de las redes inalmbricas. Estas medidas se publicarn a principios de este ao, Pero ya existen documentos que nos hablan por donde se encaminan dichas mejoras.

Los cambios se fundamentan en 3 puntos importantes, organizados en dos capas.

A un nivel ms bajo, se introducen dos nuevos protocolos de encriptacin sobre WEP totalmente compatibles entre s, el protocolo TKIP (Temporal Key Integrity Protocol) y el CCMP (Counter Mode with CBC-MAC Protocol), que tratar de explicar a continuacin, junto con el estndar 802.1x para el control de acceso a la red basado en puertos.

2.6.2. ESTNDAR 802.1x

Como ya he comentado anteriormente, es un estndar de control de acceso a la red basado en puertos. Como tal, restringe el acceso a la red hasta que el usuario se ha validado.

El sistema se compone de los siguientes elementos:

- Una estacin cliente. - Un punto de acceso. - Un servidor de Autenticacin (AS).

41

Es este nuevo elemento, el Servidor de Autenticacin, el que realiza la autenticacin real de las credenciales proporcionadas por el cliente. El AS es una entidad separada situada en la zona cableada (red clsica), pero tambin implementable en un punto de acceso. El tipo de servidor utilizado podra ser el RADIUS, u otro tipo de servidor que se crea conveniente (802.1x no especifica nada al respecto).

El

estndar 802.1x introduce un nuevo concepto, el concepto de puerto

habilitado/inhabilitado en el cual hasta que un cliente no se valide en el servidor no tiene acceso a los servicios ofrecidos por la red. El esquema posible de este concepto lo podemos ver a continuacin:

Esquema puerto habilitado/inhabilitado 802.1x

En sistemas con 802.1x activado, se generarn 2 llaves, la llave de sesin (pair wise key) y la llave de grupo (group wise key). Las llaves de grupo se comparten por todas las estaciones cliente conectadas a un mismo punto de acceso y se utilizarn para el trfico multicast, las llaves de sesin sern nicas para cada asociacin entre el cliente y el punto de acceso y se crear un puerto privado virtual entre los dos.

42

El estndar 802.1x mejora la seguridad proporcionando las siguientes mejoras sobre WEP: - Modelo de seguridad con administracin centralizada. - La llave de encriptacin principal es nica para cada estacin, por lo tanto, el trfico de esta llave es reducido (no se repite en otros clientes). Existe una generacin dinmica de llaves por parte del AS, sin necesidad de

administrarlo manualmente. - Se aplica una autenticacin fuerte en la capa superior. 2.6.3. TKIP (Temporal Key Integrity Protocol) Con este protocolo se pretende resolver las deficiencias del algoritmo WEP y mantener la compatibilidad con el hardware utilizado actualmente mediante una actualizacin del firmware. El protocolo TKIP est compuesto por los siguientes elementos:

- Un cdigo de integracin de mensajes (MIC), encripta el checksum incluyendo las direcciones fsicas (MAC) del origen y del destino y los datos en texto claro de la trama 802.11. Esta medida protege contra los ataques por falsificacin.

- Contramedidas para reducir la probabilidad de que un atacante pueda aprender o utilizar una determinada llave.

- Utilizacin de un IV (vector de inicializacin) de 48 bits llamado TSC (TKIP Sequence Counter) para protegerse contra ataques por repeticin, descartando los paquetes recibidos fuera de orden.

43

La estructura de encriptacin TKIP propuesta por 802.11i sera la siguiente:

Estructura de encriptacin TKIP

La utilizacin del TSC extiende la vida til de la llave temporal y elimina la necesidad de re decodificar la llave temporal durante una sola asociacin. Pueden intercambiarse 248 paquetes utilizando una sola llave temporal antes de ser rehusada. En el proceso de encapsulacin TKIP mostrada a continuacin:

Se combinan en dos fases la llave temporal, la direccin del emisor y el TSC para la obtencin de una llave de 128 bits por paquete, dividido en una llave RC4 de104 bits y en una IV de 24 bits para su posterior encapsulacin WEP.

44

El MIC final se calcula sobre la direccin fsica origen y destino y el MSDU (MAC Service Data Unit o texto plano de los datos en la trama 802.11) despus de ser segmentado por la llave MIC y el TSC.

La funcin MIC utiliza una funcin hash unidireccional, si es necesario, elMSDU se fragmenta incrementando el TSC para cada fragmento antes de la encriptacin WEP.

En la desencriptacin se examina el TSC para asegurar que el paquete recibido tiene el valor TSC mayor que el anterior.

Si no, el paquete se descartar para prevenir posibles ataques por repeticin. Despus de que el valor del MIC sea calculado basado en el MSDU recibido y desencriptado, el valor calculado del MIC se compara con el valor recibido.

2.6.4. CCMP (Counter Mode with CBC-MAC Protocol)

Este protocolo es complementario al TKIP y representa un nuevo mtodo de encriptacin basado en AES (Advanced Encryption Standards), cifrado simtrico que utiliza bloques de 128 bits, con el algoritmo CBC-MAC. As como el uso del TKIP es opcional, la utilizacin del protocolo CCMP es obligatorio si se est utilizando 802.11i.

45

En la siguiente figura podemos observar el formato tras la encriptacin CCMP:

Estructura de encriptacin CCMP

CCMP utiliza un IV de 48 bits denominado Nmero de Paquete (PN) utilizado a lo largo del proceso de cifrado, junto con la informacin para inicializar el cifrado AES para calcular el MIC y la encriptacin de la trama.

Proceso de encriptacin CCMP

En el proceso de encriptacin CCMP, la encriptacin de los bloques utiliza la misma llave temporal tanto para el clculo del MIC como para la encriptacin del paquete. Como en TKIP, la llave temporal se deriva de la llave principal obtenida como parte del intercambio en 802.1x. Como podemos observar en la figura, el clculo del MIC y la encriptacin se realiza de forma paralela.

46

El MIC se calcula a partir de un IV formado por el PN y datos extrados de la cabecera de la trama. El IV se convierte en un bloque AES y su salida a travs de la operacin XOR conformar el siguiente bloque AES.

47

48

3. METODOLOGIA 3.1. MODALIDAD DE LA INVESTIGACION Para el proceso de la investigacin se tomarn las siguientes modalidades:

3.1.1.BIBLIOGRAFICA Por medio de esta modalidad se recopilar informacin de libros, revistas o en internet, que nos ayudar a obtener las bases fundamentales de nuestra investigacin.

3.1.2. DE CAMPO Por medio de la observacin se determinar el grado de incidencia de la falta de seguridad en las redes inalmbricas.

3.2. TECNICAS Entrevista dirigida a especialista en Administracin de Bases de Datos.

3.3. RECURSOS 3.3.1. TALENTOS HUMANOS

Tutor de Monografa. Investigador. Especialistas en Administracin de Redes Inalmbricas.

3.3.2. RECURSOS MATERIALES

Hojas. Equipo de cmputo.

49 Tinta. Impresora. Pen Drive. Internet. Empastado. Libros.

3.3.3. RECURSOS ECONOMICOS El presente trabajo de investigacin tendr un costo de 145.00 usd.

50

51

4. RECOMENDACIONES Y CONCLUSIONES 4.1. CONCLUSIONES Con la tecnologa inalmbrica se nos abre todo un mundo de posibilidades de conexin sin la utilizacin de cableado clsico, proporcionando una flexibilidad y comodidad sin

precedentes en la conectividad entre ordenadores. Esta tecnologa tiene como mayor inconveniente la principal de sus ventajas, el acceso al medio compartido de cualquiera con el material y los mtodos adecuados, proporcionando un elevado riesgo de seguridad que tendremos que tener presentes a la hora de decantarnos por esta opcin y que crecer en igual medida (o ms rpido) que las soluciones aportadas para subsanar estos riesgos. 4.2.RECOMENDACIONES Se recomienda la utilizacin de una poltica de seguridad homognea y sin fisuras, que trate todos los aspectos que comporten riesgo, sin mermar la rapidez y que sepa aprovechar las ventajas de las redes inalmbricas. Como primera medida, se debe separar la red de la organizacin en un dominio pblico y otro privado. Los usuarios que proceden del dominio pblico pueden ser tratados como cualquier usuario de Internet. Asi mismo, instalar firewalls y mecanismos de autenticacin entre la red inalmbrica y la cableada (si la hay), situando los puntos de acceso delante del firewall. Tambin es recomendable la implementacin de detect ores de intrusos (IDs) ver links abajo.

52

53

54

55

Dilogo EAPOL-RADIUS.

56

Estructura de una VPN para acceso inalmbrico seguro.

Warchalking y su simbologa.

57

BIBLIOGRAFIA http://redesinl.galeon.com/aficiones1342943.html

www.alegsa.com

http://neworder.box.sk

www.infosecuritymag.com

http://www.uv.es/montanan/ampliacion/trabajos/SeguridadWireless.pdf

http://bibliotecadigital.icesi.edu.co/biblioteca_digital/bitstream/item/400/1/ja mdrid-seguridad_redes_inalambricas.pdf

http://ocw.upm.es/teoria-de-la-senal-y-comunicaciones-1/comunicacionesmoviles-digitales/contenidos/Documentos/WP_wifi_PSE.pdf