Auditoria de Redes Inalmbricas

Primera Parte Aspectos Bsicos

Tecnologa Inalmbrica
Adems de la red conectada por cable, existen varias tecnologas que permiten la transmisin de informacin entre hosts sin cables. Esas tecnologas se conocen como tecnologas inalmbricas. Las tecnologas inalmbricas utilizan ondas electromagnticas para transportar informacin entre dispositivos. Una onda electromagntica es el mismo medio que transporta seales de radio por aire. El espectro electromagntico incluye bandas de transmisin de radio y televisin, luz visible, rayos X y rayos gama. Cada uno de estos elementos tiene un rango especfico de longitud de onda y energas asociadas, como se muestra en el diagrama.

Algunos tipos de ondas electromagnticas no son adecuados para transportar datos. Otras partes del espectro estn reguladas por los Gobiernos y se otorgan licencias para aplicaciones especficas a varias organizaciones. Algunas reas del espectro se han reservado al uso pblico, sin la restriccin de tener que solicitar permisos especiales. Las longitudes de onda ms utilizadas para comunicaciones inalmbricas pblicas son la infrarroja y parte de la banda de radiofrecuencia (RF).

Tecnologa Inalmbrica

Beneficios y Limitaciones de la Tecnologa Inalmbrica

La tecnologa inalmbrica ofrece muchas ventajas en comparacin con las tradicionales redes conectadas por cable. Una de las principales ventajas es la capacidad de brindar conectividad en cualquier momento y lugar. La extendida implementacin de la conexin inalmbrica en lugares pblicos, conocidos como puntos de conexin, permite a las personas conectarse a Internet para descargar informacin e intercambiar mensajes de correo electrnico y archivos. La instalacin de la tecnologa inalmbrica es simple y econmica. El costo de dispositivos inalmbricos domsticos y comerciales contina disminuyendo. Sin embargo, a pesar de la disminucin del costo, las capacidades y la velocidad de transmisin de datos han aumentado, lo que permite conexiones inalmbricas ms confiables y rpidas. La tecnologa inalmbrica permite que las redes se amplen fcilmente, sin limitaciones de conexiones de cableado. Los usuarios nuevos y los visitantes pueden unirse a la red rpida y fcilmente.

Beneficios y Limitaciones de la Tecnologa Inalmbrica

A pesar de la flexibilidad y los beneficios de la tecnologa inalmbrica, existen algunos riesgos y limitaciones. Primero, las tecnologas LAN inalmbricas (WLAN, Wireless LAN) utilizan las regiones sin licencia del espectro de RF. Dado que estas regiones no estn reguladas, muchos dispositivos distintos las utilizan. Como resultado, estas regiones estn saturadas y las seales de distintos dispositivos suelen interferir entre s. Adems, muchos dispositivos, como los hornos de microondas y los telfonos inalmbricos, utilizan estas frecuencias y pueden interferir en las comunicaciones WLAN. En segundo lugar, un rea problemtica de la tecnologa inalmbrica es la seguridad. La tecnologa inalmbrica brinda facilidad de acceso, ya que transmite datos de manera que otorga a todos los usuarios la capacidad de acceder a ella. Sin embargo, esta misma caracterstica tambin limita la cantidad de proteccin que la conexin inalmbrica puede brindar a los datos.

Permite a cualquier persona interceptar la corriente de comunicacin, incluso a los receptores accidentales. Pata tratar estas cuestiones de seguridad se han desarrollado tcnicas para ayudar a proteger las transmisiones inalmbricas, por ejemplo la encriptacin y la autenticacin.

Por Que Son Atacadas Las WLAN?

Uno de los beneficios principales de una red inalmbrica es la facilidad y conveniencia de conectar dispositivos. Lamentablemente, esa facilidad de conexin y el hecho de que la informacin se transmita por aire tambin hacen que su trabajo sea vulnerable a la intercepcin y a los ataques. Con la conectividad inalmbrica, el atacante no necesita una conexin fsica a su computadora ni a cualquier otro dispositivo para tener acceso a su red. Un atacante puede captar las seales de su red inalmbrica como si sintonizara una estacin de radio.

El atacante puede tener acceso a su red desde cualquier ubicacin a la que llegue su seal inalmbrica. Una vez que el atacante posee acceso a su red puede usar sus servicios de Internet de manera gratuita y puede tener acceso a las computadoras de la red para daar sus archivos o robar informacin personal o privada.
Estos puntos vulnerables en la red inalmbrica requieren mtodos de implementacin y caractersticas de seguridad especiales para ayudarlo a proteger la WLAN contra los ataques. Estos mtodos incluyen sencillos pasos realizados durante la configuracin inicial del dispositivo inalmbrico y configuraciones de seguridad ms avanzadas.

Por Que Son Atacadas Las WLAN?

Una fcil manera de obtener acceso a una red inalmbrica es utilizar el nombre de la red o SSID. Todas las computadoras que se conecten a una red inalmbrica deben conocer el SSID. Por defecto, los routers inalmbricos y los AP transmiten el SSID a todas las computadoras dentro del rango inalmbrico. Con el broadcast de SSID activado, cualquier cliente inalmbrico puede detectar la red y conectarse a ella, si no existen otras caractersticas de seguridad. La funcin de broadcast de SSID puede desactivarse. Cuando est desactivada, ya no se hace pblico el hecho de que existe una red. Cualquier computadora que intente conectarse a una red debe conocer el SSID.

Por Que Son Atacadas Las WLAN?

Adems, es importante cambiar las configuraciones por defecto. Los dispositivos inalmbricos se envan pre configurados con SSID, contrasea y direcciones IP. Estos valores por defecto facilitan la identificacin y la infiltracin en la red por parte de un atacante. Incluso con el broadcast de SSID desactivado se puede entrar a una red utilizando el conocido SSID por defecto. Adems, si otras configuraciones por defecto, como contraseas y direcciones IP, no se cambian, los atacantes pueden tener acceso a un AP y hacer cambios por su cuenta. La informacin por defecto debe cambiarse por otra ms segura y exclusiva. Estos cambios, por s mismos, no protegern su red. Por ejemplo: los SSID se transmiten en texto sin cifrar. Existen dispositivos que interceptarn las seales inalmbricas y leern mensajes de texto sin cifrar. Incluso con el broadcast de SSID desactivado y los valores por defecto cambiados, los atacantes pueden conocer el nombre de una red inalmbrica mediante el uso de estos dispositivos que interceptan seales inalmbricas. Esta informacin se utilizar para la conexin a la red. Para proteger la WLAN, se necesita una combinacin de varios mtodos.

Por Que Son Atacadas Las WLAN?

Limitaciones de Acceso a una WLAN

Una manera de limitar el acceso a una red inalmbrica es controlar exactamente qu dispositivos pueden obtener acceso a ella. Esto puede lograrse mediante el filtrado de la direccin MAC. Filtrado de direccin MAC El filtrado de direcciones MAC utiliza la direccin MAC para identificar qu dispositivos pueden conectarse a la red inalmbrica. Cuando un cliente inalmbrico intenta conectarse o asociarse con un AP enva la informacin de la direccin MAC. Si est activado el filtrado MAC, el router inalmbrico o el AP buscarn la direccin MAC en una lista pre configurada. Slo los dispositivos con direcciones MAC pregrabadas en la base de datos del router podrn conectase. Si la direccin MAC no se encuentra en la base de datos, el dispositivo no podr conectarse ni comunicarse a travs de la red inalmbrica. Existen algunos problemas con este tipo de seguridad. Por ejemplo: requiere que se incluyan en la base de datos las direcciones MAC de todos los dispositivos que tendrn acceso a la red antes de que se intente la conexin. No podr conectarse un dispositivo que no est identificado en la base de datos. Adems, el dispositivo de un atacante puede clonar la direccin MAC de otro dispositivo que tiene acceso.

Limitaciones de Acceso a una WLAN

Autenticacin WLANs
Otra manera de controlar quin puede conectarse es implementar la autenticacin. La autenticacin es el proceso de permitir la entrada a una red sobre la base de un conjunto de credenciales. Se utiliza para verificar que el dispositivo que intenta conectarse a la red sea confiable. El uso de un nombre de usuario y una contrasea es la manera ms comn de autenticacin. En un entorno inalmbrico, la autenticacin garantiza que el host conectado se verifique, pero realiza el proceso de verificacin de una manera un tanto diferente. La autenticacin, si est activada, debe producirse antes de que el cliente obtenga el permiso para conectarse a la WLAN. Existen tres tipos de mtodos de autenticacin inalmbrica: autenticacin abierta, PSK y EAP. Autenticacin abierta Por defecto, los dispositivos inalmbricos no requieren autenticacin. Cualquier cliente puede asociarse, independientemente de quin sea. Esto se denomina autenticacin abierta. La autenticacin abierta slo debe usarse en redes inalmbricas pblicas, como las encontradas en muchas escuelas y restaurantes. Tambin puede usarse en redes donde la autenticacin se realiza por otros medios una vez que se conecta a la red.

Autenticacin Abierta

Autenticacin WLAN
Claves precompartidas (PSK, Pre-shared keys) Con las PSK, tanto el AP como el cliente deben configurarse con la misma clave o palabra secreta. El AP enva una cadena de bytes aleatoria al cliente. El cliente acepta la cadena, la encripta (o codifica) segn la clave, y la enva nuevamente al AP. El AP recibe la cadena encriptada y usa la clave para descifrarla (o decodificarla). Si la cadena descifrada recibida del cliente coincide con la cadena original enviada al cliente, ste puede conectarse. La PSK realiza una autenticacin de una va, es decir, el host se autentica ante el AP. La PSK no autentica el AP ante el host; tampoco autentica el usuario real del host. Protocolo de autenticacin extensible (EAP, Extensible Authentication Protocol) El EAP proporciona autenticacin mutua, o de dos vas, adems de la autenticacin del usuario. Cuando el software EAP se instala en el cliente, ste se comunica con un servidor de autenticacin de back-end, como el servicio de usuario de acceso telefnico de autenticacin remota (RADIUS, Remote Authentication Dial-in User Service). Este servidor back-end funciona independientemente del AP y mantiene la base de datos de usuarios vlidos que pueden tener acceso a la red. Cuando se utiliza el EAP, el usuario (no slo el host) debe proporcionar un nombre de usuario y una contrasea, que se comparan con la base de datos de RADIUS, para obtener la validacin. Si son vlidos, el usuario obtiene la autenticacin.

PSK

EAP

Autenticacin WLAN
Una vez que se habilita la autenticacin, independientemente del mtodo utilizado, el cliente debe pasar la autenticacin correctamente antes de asociarse con el AP. Si se habilitan la autenticacin y el filtrado de la direccin MAC, la autenticacin se produce primero. Una vez que la autenticacin se realiza correctamente, el AP compara la direccin MAC con la tabla de direcciones MAC. Una vez realizada la verificacin, el AP agrega las direcciones MAC del host a la tabla del host. En ese momento se dice que el cliente est asociado con el AP y puede conectarse a la red.

Encriptacin en una WLAN

La autenticacin y el filtrado MAC pueden evitar que un atacante se conecte a una red inalmbrica, pero no evitarn que intercepte los datos transmitidos. Dado que no existen lmites distintivos en una red inalmbrica y que el trfico se transmite por aire, es fcil para un atacante interceptar o detectar tramas inalmbricas. La encriptacin es el proceso de transformar datos de manera que, aunque sean interceptados, queden inutilizables. Protocolo de equivalencia por cable (WEP, Wired Equivalency Protocol) El protocolo de equivalencia por cable (WEP) es una caracterstica avanzada de seguridad que encripta el trfico de la red a medida que ste se desplaza por el aire. El WEP utiliza claves preconfiguradas para encriptar y descifrar datos. Una clave WEP se introduce como una cadena de nmeros y letras, y generalmente consta de 64 128 bits. En algunos casos, el WEP admite tambin claves de 256 bits. Para simplificar la creacin y la introduccin de estas claves, muchos dispositivos incluyen la opcin por contrasea. La opcin por contrasea es una fcil manera de recordar la palabra o frase usada para generar automticamente una clave. A fin de que el WEP funcione, el AP (y cualquier otro dispositivo inalmbrico que tenga habilitado el acceso a la red) deber tener la misma clave WEP introducida. Sin esta clave, los dispositivos no podrn comprender las transmisiones inalmbricas.

WEP

Encriptacion en la WLAN
El WEP es una excelente manera de evitar que los atacantes intercepten datos. Sin embargo, existen puntos dbiles dentro del WEP, por ejemplo el uso de una clave esttica en todos los dispositivos con WEP habilitado. Existen aplicaciones disponibles que los atacantes pueden utilizar para descubrir la clave WEP. Estas aplicaciones se encuentran disponibles fcilmente en Internet. Una vez que el atacante ha extrado la clave, tiene acceso completo a toda la informacin transmitida. Una manera de superar este punto dbil es cambiar la clave frecuentemente. Otra manera es usar una forma de encriptacin ms avanzada y segura, conocida como acceso protegido Wi-Fi (WPA, Wi-Fi Protected Access). Acceso protegido Wi-Fi (WPA) El WPA tambin utiliza claves de encriptacin de 64 a 256 bits. Sin embargo, el WPA, a diferencia del WEP, genera nuevas claves dinmicas cada vez que un cliente establece una conexin con el AP. Por esta razn el WPA se considera ms seguro que el WEP, ya que es mucho ms difcil de decodificar.

WPA

Filtrado de Trafico
Adems de controlar quin puede obtener acceso a una WLAN y quin puede usar los datos transmitidos, tambin es importante controlar los tipos de trfico que se transmiten en una WLAN. Esto se logra mediante el filtrado de trfico. El filtrado de trfico bloquea el trfico no deseado y evita que entre en la red inalmbrica o salga de ella. El AP realiza el filtrado a medida que el trfico pasa a travs de l. Puede utilizarse para eliminar el trfico desde una direccin IP o MAC especfica, o hacia ella. Tambin puede bloquear ciertas aplicaciones por nmero de puerto. Al quitar de la red el trfico no deseado y sospechoso, el ancho de banda se destina al movimiento de trfico importante y mejora el rendimiento de la WLAN. Por ejemplo: el filtrado de trfico puede utilizarse para bloquear todo el trfico telnet destinado a una mquina en especial, como el servidor de autenticacin. Cualquier intento de hacer telnet al servidor de autenticacin se considerar sospechoso y se bloquear.

Filtrado de Trafico

Riesgo de intrusin en la red

Sin importar si estn conectadas por cable o de manera inalmbrica, las redes de computadoras cada vez se tornan ms esenciales para las actividades diarias. Tanto las personas como las organizaciones dependen de sus computadores y de las redes para funciones como correo electrnico, contabilidad, organizacin y administracin de archivos. Las intrusiones de personas no autorizadas pueden causar interrupciones costosas en la red y prdidas de trabajo. Los ataques a una red pueden ser devastadores y pueden causar prdida de tiempo y de dinero debido a los daos o robos de informacin o de activos importantes. Los intrusos pueden obtener acceso a la red a travs de vulnerabilidades del software, ataques al hardware o incluso a travs de mtodos menos tecnolgicos, como el de adivinar el nombre de usuario y la contrasea de una persona. Por lo general, a los intrusos que obtienen acceso mediante la modificacin del software o la explotacin de las vulnerabilidades del software se los denomina piratas informticos. Una vez que el pirata informtico obtiene acceso a la red, pueden surgir cuatro tipos de amenazas: Robo de informacin Robo de identidad Prdida/manipulacin de datos Interrupcin del servicio

Riesgo de intrusin en la red

Orgenes de las intrusiones en la red

Las amenazas de seguridad causadas por intrusos en la red pueden originarse tanto en forma interna como externa. Amenazas externas Las amenazas externas provienen de personas que trabajan fuera de una organizacin. Estas personas no tienen autorizacin para acceder al sistema o a la red de la computadora. Los atacantes externos logran ingresar a la red principalmente desde Internet, enlaces inalmbricos o servidores de acceso dial-up. Amenazas internas

Las amenazas internas se originan cuando una persona cuenta con acceso autorizado a la red a travs de una cuenta de usuario o tiene acceso fsico al equipo de la red. Un atacante interno conoce la poltica interna y las personas. Por lo general, conocen informacin valiosa y vulnerable y saben cmo acceder a sta.
Sin embargo, no todos los ataques internos son intencionales. En algunos casos la amenaza interna puede provenir de un empleado confiable que capta un virus o una amenaza de seguridad mientras se encuentra fuera de la compaa y, sin saberlo, lo lleva a la red interna. La mayor parte de las compaas invierte recursos considerables para defenderse contra los ataques externos; sin embargo, la mayor parte de las amenazas son de origen interno. De acuerdo con el FBI, el acceso interno y la mala utilizacin de los sistemas de computacin representan aproximadamente el 70% de los incidentes de violacin de seguridad notificados.

Ingeniera Social y Suplantacin de Identidad

Para un intruso, una de las formas ms fciles de obtener acceso, ya sea interno o externo, es el aprovechamiento de las conductas humanas. Uno de los mtodos ms comunes de explotacin de las debilidades humanas se denomina ingeniera social.

Ingeniera social
Ingeniera social es un trmino que hace referencia a la capacidad de algo o alguien para influenciar la conducta de un grupo de personas. En el contexto de la seguridad de computadores y redes, la ingeniera social hace referencia a una serie de tcnicas utilizadas para engaar a los usuarios internos a fin de que realicen acciones especficas o revelen informacin confidencial. A travs de estas tcnicas, el atacante se aprovecha de usuarios legtimos desprevenidos para obtener acceso a los recursos internos y a informacin privada, como nmeros de cuentas bancarias o contraseas. Los ataques de ingeniera social aprovechan el hecho de que a los usuarios generalmente se los considera uno de los enlaces ms dbiles en lo que se refiere a la seguridad. Los ingenieros sociales pueden ser internos o externos a la organizacin; sin embargo, por lo general no conocen a sus vctimas cara a cara. Tres de las tcnicas ms comnmente utilizadas en la ingeniera social son: pretextar, suplantacin de identidad y vishing.

Ingeniera Social y Suplantacin de Identidad

Pretextar El pretexto es una forma de ingeniera social en la que se utiliza una situacin inventada (el pretexto) para que una vctima divulgue informacin o lleve a cabo una accin. Generalmente, el contacto con el objetivo se establece telefnicamente. Para que el pretexto sea efectivo el atacante deber establecer la legitimidad con la vctima o el objetivo deseado. Esto requiere, por lo general, que el atacante cuente con conocimientos o investigaciones previas. Por ejemplo: si el atacante conoce el nmero de seguro social del objetivo, puede utilizar esta informacin para ganar la confianza de su objetivo. De esta manera es ms probable que el objetivo divulgue informacin. Suplantacin de identidad La suplantacin de identidad es una forma de ingeniera social en la que el estafador pretende representar a una organizacin externa legtima. Generalmente se pone en contacto con el objetivo (el estafado) mediante correo electrnico. El estafador puede solicitar la verificacin de informacin, como contraseas o nombres de usuario, a fin de evitar consecuencias terribles. Vishing/suplantacin de identidad telefnica El vishing es una nueva forma de ingeniera social que utiliza el sistema de voz sobre IP (VOIP). Con el vishing, un usuario desprevenido recibe un correo de voz donde se le solicita que llame a un nmero telefnico que parece ser un servicio de banca telefnica legtimo. A continuacin, la llamada es interceptada por un ladrn. De esta forma se roban los nmeros de cuentas bancarias o las contraseas introducidas telefnicamente para verificacin.

Denegacin de Servicio y Ataques de Fuerza Bruta

Por lo general, el objetivo de un atacante es interrumpir el funcionamiento normal de una red. Este tipo de ataque a menudo se lleva a cabo con el fin de interrumpir el funcionamiento de una organizacin. Denegacin de servicio (DoS) Los ataques DoS son ataques agresivos sobre una computadora personal o un grupo de computadoras con el fin de denegar el servicio a los usuarios a quienes est dirigido. Los ataques DoS tienen como objetivo sistemas de usuarios finales, servidores, routers y enlaces de red. En general, los ataques DoS tienen como fin: Inundar un sistema o una red con trfico a fin de evitar que el trfico de red legtimo fluya. Interrumpir las conexiones entre un cliente y un servidor para evitar el acceso al servicio. Existen varios tipos de ataques DoS. Los administradores de redes deben estar al tanto de los tipos de ataques DoS que se pueden producir a fin de asegurarse de que sus redes estn protegidas. Dos tipos comunes de ataques DoS son: Flooding SYN (sincrnica): se enva una gran cantidad de paquetes a un servidor, para solicitar una conexin de cliente. Los paquetes contienen direcciones IP de origen no vlidas. El servidor se ocupa de responder a estas solicitudes falsas y, por lo tanto, no puede responder a las solicitudes legtimas. Ping of death: se enva a un dispositivo un paquete con un tamao mayor que el mximo permitido por el IP (65 535 bytes). Esto puede hacer que el sistema receptor colapse.

DoS

Denegacin de Servicio y Ataques de Fuerza Bruta

Denegacin de servicio distribuida (DDoS) La DDoS es una forma de ataque DoS ms sofisticada y potencialmente ms perjudicial. Est diseada para saturar y sobrecargar los enlaces de red con datos intiles. Los ataques DDoS operan en una escala mucho mayor que los ataques DoS. Generalmente, cientos o miles de puntos de ataque intentan saturar un objetivo al mismo tiempo. Los puntos de ataque pueden ser computadoras inadvertidas que ya hayan sido infectadas por el cdigo DDoS. Cuando son invocados, los sistemas infectados con el cdigo DDoS atacan el sitio del objetivo. Fuerza bruta No todos los ataques que provocan interrupciones en la red son ataques DoS especficos. Un ataque de fuerza bruta es otro tipo de ataque que puede causar la denegacin de servicio. En los ataques de fuerza bruta se utiliza una computadora veloz para tratar de adivinar contraseas o para descifrar un cdigo de encriptacin. El atacante prueba una gran cantidad de posibilidades de manera rpida y sucesiva para obtener acceso o descifrar el cdigo. Los ataques de fuerza bruta pueden causar una denegacin de servicio debido al trfico excesivo hacia un recurso especfico o al bloqueo de las cuentas de usuario.

DDoS

Aviso Al reutilizar o distribuir la obra, tiene que dejar bien claro los trminos de la licencia de esta obra.