Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
www.enpresadigitala.net
Autores:
Izaskun Pellejero Fernando Andreu Amaia Lesta
Sociedad para la Promocin y Reconversin Industrial, s.a.
Prl
ogo
3
PRLOGO
Las redes Wi-Fi basadas en los estndares IEEE 802.11 b/g se han hecho
muy populares en los ltimos tiempos. Muchos usuarios han instalado redes
Wi-Fi en sus hogares, se ha multiplicado el nmero de hot-spots y
numerosas organizaciones han aadido puntos de acceso Wi-Fi a sus redes
cableadas para proporcionar a sus empleados un acceso ms sencillo a los
datos y servicios corporativos.
Es en este marco de inters en el que la presente obra realiza una valiosa aportacin para
tcnicos responsables del diseo y gestin de estas redes. Incluye, en primer lugar, la
descripcin exhaustiva de los mecanismos de seguridad existentes para este tipo de redes
(PPTP, L2TP, WEP, WPA, IEEE802.11i, WPA2, IPsec VPN, SSL, SSH, HTTPS) as como
un estudio comparativo de los mismos; en segundo lugar, contempla una serie de
recomendaciones para el diseo de las redes WI-FI en entornos corporativos y posibles
implementaciones.
El conjunto constituye una excelente referencia tanto para quienes tienen que
enfrentarse en la actualidad a los problemas de securizacin de sus redes Wi-Fi
como para quienes tienen planes de instalar este tipo de redes en un futuro
prximo.
Seguridad en redes
D. Jose Luis Del Val
Decano de la Facultad de Ingeniera de la Universidad de Deusto
WLAN
Agradecimientos
AGRADECIMIENTOS
Este trabajo no podra haber sido realizado sin la ayuda de las instituciones que lo
han impulsado: el Gobierno Vasco (a travs de la Agencia de desarrollo
empresarial SPRI), el Ministerio de Industria, Turismo y Comercio (a travs del
Programa de Fomento de Investigacin PROFIT) y la iniciativa europea Eureka (a
travs del programa de I+D ITEA). Especialmente nos gustara destacar a Enpresa
Digitala por la oportunidad que nos ha brindado con esta publicacin, as como al
proyecto ITEA Mobilizing the Internet que nos ha permitido trabajar en estrecha
colaboracin con la empresa EADS. Sin estos apoyos, sin duda, hoy no tendran
en sus manos esta gua.
Los autores tampoco podramos haber realizado esta gua sin contar con la
apuesta de Euskaltel por la generacin de conocimiento, la investigacin y
desarrollo tecnolgico, como pilar fundamental de su estrategia de disponer de una
oferta competitiva e innovadora en el mercado. Esta estrategia produce sinergias
positivas que transcienden el mercado y nuestra organizacin, y se transmite
aguas arriba en la cadena de valor, permitiendo la colaboracin en esta gua de la
Universidad del Pas Vasco y de la Universidad de Deusto, a quienes nos gustara
finalmente agradecer su inestimable aportacin.
Seguridad en redes
WLAN
6
00
ndice
1 RESUMEN EJECUTIVO.............................................................................................................7
2 INTRODUCCIN.........................................................................................................................11
3 DEFINICIONES TILES..........................................................................................................12
7 ACRNIMOS................................................................................................................................50
8 REFERENCIAS............................................................................................................................53
Seguridad en redes
WLAN
7
1 Resumen Ejecutivo
1 RESUMEN EJECUTIVO
Segn una encuesta realizada por Intel en mayo de 2004, los empleados se
encuentran ms del 32% de su tiempo fuera de su puesto de trabajo, estimndose
que esta cifra se elevar al 42% en los prximos aos.
Sin embargo, las redes WLAN conllevan una exposicin a ciertos riesgos que
Seguridad en redes
deben ser resueltos de antemano. Estos riesgos provienen del hecho de que tanto
el medio de transmisin, el aire, como el trfico enviado pueden ser accedidos por
terceros, incluso desde fuera del lmite fsico de la empresa. Estos riesgos se
pueden limitar a obtener informacin de la red (son los llamados ataques pasivos)
o pueden implicar la modificacin de datos, la creacin de falsos flujos en la
transmisin de datos e, incluso, colapsar los servicios que puede prestar la red
WLAN
Recursos de red
corporativos
WLAN corporativa
AP
Usuario Atacante
Seguridad en redes
numerosos estudios. En los ltimos aos, se ha realizado un trabajo intenso en
esta rea, fruto del cual, en la actualidad si se requiere por la aplicacin
empresarial, el nivel de seguridad de las redes inalmbricas WLAN es equivalente
al de las redes cableadas.
Esta gua analiza en detalle los mecanismos de seguridad para redes WLAN, que
WLAN
Seguridad en redes
fabricantes es necesario cambiar los puntos de acceso previamente instalados
por unos puntos de acceso que soporten IEEE 802.11i. Adems, actualmente
los dispositivos PDA existentes no son compatibles con el algoritmo de cifrado
AES empleado por el mecanismo IEEE 802.11i por falta de capacidad de
procesado.
WLAN
Seguridad en redes
WLAN
11
2 Introduccin
2 INTRODUCCIN
Seguridad en redes
mecanismos de seguridad, se realiza un resumen de las principales caractersticas
de los mtodos y mecanismos de seguridad implementados hasta la fecha para
protegerse de los mismos.
3 DEFINICIONES TILES
Autenticacin
Proceso mediante el cual se comprueba la identidad de un usuario o un equipo
en la red.
Seguridad en redes
Cifrado
Tratamiento de un conjunto de datos, contenidos o no en un paquete, a fin de
impedir que nadie excepto el destinatario de los mismos pueda leerlos. Suele
emplearse para ello un algoritmo de cifrado y una clave de cifrado.
Red privada que permite conectar de forma segura a las empresas con otras
oficinas de su organizacin, empleados a distancia, personas con mviles,
proveedores, etc.
WPA
Estndar desarrollado por la Wi-Fi Alliance, basado en un borrador del estndar
IEEE 802.11i, para mejorar el nivel de codificacin existente en WEP as como
para incorporar un mtodo de autenticacin.
IEEE 802.11i
Estndar del IEEE que define la encriptacin y la autenticacin para complementar,
completar y mejorar la seguridad en redes WLAN proporcionada por WEP.
WPA2
Implementacin aprobada por Wi-Fi Alliance interoperable con IEEE 802.11i. El
grupo WPA2 de la Wi-Fi Alliance es el grupo de certificacin del estndar IEEE
802.11, para lo cual se basa en las condiciones obligatorias del estndar.
IEEE 802.1x
Estndar de nivel 2 para el control de acceso a red. Mediante el empleo de
puertos ofrece un marco para una autenticacin superior (basada en una pareja
identificador de usuario y contrasea certificados digitales) y distribucin de
claves de cifrado.
Seguridad en redes
EAP (Extensible Authentication Protocol)
Protocolo de autenticacin para llevar a cabo tareas de AAA que define las
credenciales necesarias para la autenticacin de usuarios. En redes WLAN es
utilizado junto con el protocolo IEEE 802.1x en la negociacin de la conexin
entre el punto de acceso y el usuario de la red WLAN.
IPSec
WLAN
SSL VPN (Secure Sockets Layer Virtual Private Network) Redes privadas
virtuales que se establecen empleando el protocolo de la capa de transporte
SSL. Su principal ventaja sobre las otras soluciones VPN existentes (como
IPSec VPN) es que no hace falta tener instalado ningn cliente en el terminal de
usuario para establecer la conexin segura.
Espionaje/Surveillance
Ataque que consiste en observar el entorno para recopilar informacin
relacionada con la topologa de la red. Esta informacin puede ser empleada en
posteriores ataques.
Seguridad en redes
Escuchas/Sniffing/Eavesdropping
Este ataque tiene como objetivo final monitorizar la red para capturar
informacin sensible (por ejemplo, la direccin MAC IP origen y destino,
identificadores de usuario, contraseas, clave WEP, etc) como un paso previo
a ataques posteriores. Un ejemplo de ataque derivado de la realizacin de
WLAN
escuchas es el wardriving.
Spoofing
Ataque que consiste en emplear un terminal cliente al que se han asociado
validadores estticos (por ejemplo, la direccin IP) de una red WLAN para
suplantar la identidad de algn miembro de la comunicacin. Ataques derivados
de l son los ataques de secuestro de sesiones y Man in the Middle.
Seguridad en redes
parezca venir de una de las partes envueltas en la comunicacin, robando la
sesin de los individuos envueltos.
Una red WLAN es aquella en la que una serie de dispositivos (PCs, estaciones de
trabajo, impresoras, servidores, etc.) se comunican entre s en zonas geogrficas
limitadas sin necesidad de tendido de cable entre ellos.
Seguridad en redes
redes de informacin con rapidez y flexibilidad.
Flexibilidad: Permite llegar donde el cable no puede. Las redes WLAN aportan
a las organizaciones flexibilidad para que sus empleados trabajen en edificios
diferentes, reorganizar departamentos fcilmente, una vez que los puntos de
17
4 Mecanismos de seguridad en redes WLAN
Facilidad de instalacin: Evita obras para tirar cable por muros y techos.
Seguridad en redes
la cual se puede definir como el rea geogrfica en la cual una serie de
dispositivos se interconectan entre s por un medio areo. En general esta celda
estar compuesta por estaciones y un nico punto de acceso inalmbrico.
INTERNET
Estacin
Inhalmbrica
Usuario
Seguridad en redes
En la Ilustracin 2 se muestra el esquema bsico de la arquitectura de una red WLAN.
El primer paso para asegurar una red WLAN, es conocer cules son los ataques
que este tipo de redes pueden sufrir. stos pueden ser divididos en dos grandes
grupos:
No obstante, al igual que son numerosos los ataques a redes WLAN existentes,
tambin lo son los mecanismos de seguridad que se pueden aplicar para proteger
los mismos. Se debe seleccionar aquel que presente el nivel de seguridad exigida,
el tipo de servicio deseado y el coste de gestin y mantenimiento de las soluciones
adoptadas. Adems, es importante resaltar que los mecanismos de seguridad para
redes WLAN estn evolucionando continuamente para adaptarse a las
necesidades de seguridad de los usuarios.
Seguridad en redes
Fue el primer mecanismo de seguridad que se implement bajo el estndar de
redes inalmbricas IEEE 802.11 para cifrar los datos que se transfieren a travs
de una red inalmbrica. Es un mecanismo de seguridad bsico del que han sido
demostradas numerosas vulnerabilidades.
IEEE 802.11i
Estndar que define el cifrado y la autentificacin para complementar, completar
y mejorar la seguridad en redes WLAN proporcionada por WEP.
20
4 Mecanismos de seguridad en redes WLAN
Seguridad en redes
El funcionamiento bsico de estos mecanismos se basa en el cifrado de la
informacin de usuario en el interfaz aire (entre el terminal de usuario y el punto de
acceso WLAN). Adems, todos excepto WEP, implican autenticacin de usuario.
En el caso del mecanismo WEP la nica autenticacin que se realiza es la
autenticacin de terminal, pero no contempla ningn otro modo de autenticacin
de usuarios ni de punto de acceso.
WLAN
Los protocolos SSL, HTTPS y SSH, no obstante, slo permiten asegurar el trfico
generado por cierto tipo de aplicaciones, por lo que el estudio de estos protocolos
queda fuera del mbito de anlisis de esta gua. As, por ejemplo, el uso conjunto
de SSL y HTTPS slo permite asegurar la comunicacin entre dos mquinas, por
ejemplo, un terminal de usuario y un servidor web de un banco, protegiendo el
contenido de las transacciones entre ambos. En el caso de SSH, este protocolo
del nivel de aplicacin emplea tcnicas de cifrado para permitir el acceso a
mquinas remotas, la copia y el paso de datos de forma segura a travs de un
canal SSH, as como la gestin de claves RSA (Rivest, Shamir y Adelman).
Seguridad en redes
que hace de estas soluciones una alternativa compleja de implementar. Las
soluciones VPN basadas en IPSec (a nivel de red), son una opcin ms sencilla de
implementar, bien conocida y probada y se considera como un mecanismo muy
robusto de seguridad de la red.
SEGURIDAD
redes WLAN, como son WEP, WPA, IEEE 802.11i, as como de las soluciones En
VPN basadas en la tecnologa IPSec. cu
an
Los parmetros seleccionados para llevar a cabo la comparativa de los distintos o
mecanismos de seguridad bajo estudio son por un lado parmetros relacionados la
con la autenticacin y por otro lado parmetros relacionados con el cifrado, los au
cuales se detallan en los siguientes apartados. en
ica
ci
n,
Autenticacin
Autenticacin
en
Pre-autenticacinel
ca
Negociacin del cifra
so
Cifrado de
la
au
Vector de inicializaci
en
Integridad de la cabe
ica
Cifrado ci
n
Integridad de los dat
W
Proteccin de respue
EP
el
Gestin de claves
pu
nto
Distribucin de clave
de
Clave asignada a: ac
ce
Clave por paquete
so
se
Otros Seguridad ad-hoc
lim
ta
Tabla 1 Comparativa: WEP, WPA, IEEE 802 . 11i e IPSec VPN
a
ac
4.3.1 Autenticacin
eptar nicamente el trfico procedente de terminales de usuario con la clave de
cifrado correcta. La autenticacin del resto de mecanismos es ms completa y
robusta.
Seguridad en redes
WLAN
23
4 Mecanismos de seguridad en redes WLAN
Por otro lado, IEEE 802.1x establece una capa o nivel entre la capa de acceso y
los diferentes algoritmos de autenticacin que existen hoy en da. IEEE 802.1x
traduce las tramas enviadas por un algoritmo de autenticacin en el formato
necesario para que estas sean entendidas por el sistema de autenticacin que
utilice la red. Por lo tanto, IEEE 802.1x no es por si mismo un mtodo de
autenticacin y debe emplearse de forma conjunta con protocolos de autenticacin
para llevar a cabo la verificacin de las credenciales de usuario, este protocolo
puede ser cualquier tipo de EAP, as como la generacin de las claves de cifrado.
Por su parte, el echo de utilizar EAP de forma conjunta con IEEE 802.1x, permite
Seguridad en redes
que se puedan emplear mltiples esquemas de autenticacin entre los terminales
de usuario y la red, entre los que se incluyen tarjetas de identificacin, Kerberos,
RADIUS (Remote Dial-In User Service), contraseas de un solo uso (OTP),
autenticacin por clave pblica mediante tarjetas inteligentes, certificados digitales
y otros. Segn el tipo de EAP seleccionado las credenciales necesarias para llevar
a cabo la autenticacin sern diferentes. Adems, EAP permite la generacin,
WLAN
Propietario
EAP
No
MD5
LEAP S
TLS No
TTLS No
PEAP No
No
SIM
De
Tabla 2 Sntesis EAP
for
ma
Por otro lado, las soluciones de VPN basadas en IPSec, por su parte, emplean IKE
ind
para llevar a cabo la autenticacin de mquina y X-AUTH para la autenticacin de
ep
usuario.
en
die
Adems, tal y como se muestra en la tabla, slo IEEE 802.11i y soluciones VPN
nte
basadas en IPSec emplean pre-autenticacin. Esta pre-autenticacin permite que
a
los terminales de usuario puedan iniciar procesos de autenticacin con puntos de
es
acceso prximos antes de completar el proceso de autenticacin con el punto de
os
acceso seleccionado. Por lo tanto, permite a un terminal de usuario autenticarse
me
simultneamente con diferentes puntos de acceso. En el caso de IEEE 802.11i se
ca
establecen conexiones especficas mediante puertos virtuales (similares a los que
nis
se estableceran en las LAN cableadas) para enviar el trfico de pre-autenticacin
mo
entre el terminal de usuario y el punto de acceso mediante el protocolo EAPOL
s
(EAP over LAN). Adems de los beneficios que la pre-autenticacin aporta en
de
trminos de seguridad, se consiguen tiempos de latencia ms bajos en situaciones
se
donde los empleados son mviles y reducciones de las prdidas de conectividad
gu
con la red, lo cual resulta interesante para aplicaciones VoIP.
ida
d,
ta
mbin es posible llevar a cabo la autenticacin de los usuarios basndose en la
direccin fsica del terminal empleado por ellos, esta solucin es conocida como
autenticacin por direccin MAC. Para ello, el acceso a la red es restringido a los
clientes cuyas direcciones MAC estn contenidas en la tabla Listas de Control de
Acceso ACL
Seguridad en redes
WLAN
25
4 Mecanismos de seguridad en redes WLAN
del sistema, la cual puede estar distribuida en los diferentes puntos de acceso o
centralizada en un servidor.
Seguridad en redes
4.3.2 Cifrado
Seguridad en redes
La implementacin del vector de inicializacin (IV) en el algoritmo WEP tiene
varios problemas de seguridad. El vector de inicializacin se utiliza en el proceso
de cifrado para generar la clave de cifrado de cada paquete. Mediante diferentes
mecanismos se consigue que el vector de inicializacin que se utiliza para generar
la clave sea diferente por cada paquete. La clave de cifrado RC4 est compuesta
WLAN
entre otros por una clave por paquete (parmetro que es variable) y el vector de
inicializacin. En WEP este vector de inicializacin se enva por el aire en texto
plano, sin cifrado alguno y se reutilizan los mismos vectores de inicializacin para
cifrar el trfico, por lo que analizando suficientes tramas un intruso no tendra
mucha dificultad en descifrar la clave secreta.
27
4 Mecanismos de seguridad en redes WLAN
IV
Upper IV
MAC Address
Seguridad en redes
Ilustracin 4 Generacin dinmica de clave por paquete
bits.
Por otro lado, WEP es el nico de los mecanismos analizados que no ofrece
integridad de cabecera ni proteccin de la respuesta. Todos ofrecen integridad de
los datos. No obstante, WEP emplea para ello CRC-32 que se ha demostrado es
vulnerable. Este algoritmo fue diseado para detectar errores aleatorios en la
transmisin de los mensajes, pero no se trata de un algoritmo robusto como para
evitar ataques maliciosos. Por ello, en los estndares WPA y IEEE 802.11i se ha
mejorado la tcnica empleada, en WPA se utiliza MIC y en IEEE 802.11i CCM. Las
soluciones VPN basadas en IPSec, por su parte, emplean AH para garantizar la
integridad de la cabecera y AH ESP para garantizar la integridad de los datos.
Seguridad en redes
WLAN
29
5 Recomendaciones de diseo para entornos corporativos
Esta seccin enumera las normas de diseo bsico para dotar de seguridad a una
red inalmbrica WLAN.
Seguridad en redes
5.1.1 Recomendaciones de ingeniera social
Recomendaciones generales:
La implementacin de una red WLAN no debe alterar arquitecturas y
recomendaciones ya existentes en el lugar en el que se va a llevar a cabo el
despliegue. Debe ser hecha respetando las polticas existentes en cuanto a
seguridad.
Las redes WLAN no son sustitutivas de las redes LAN. Las redes WLAN
deben emplearse para aumentar la flexibilidad y la disponibilidad actuales de la
red proporcionando una extensin a la red existente.
Seguridad en redes
Realizar inspecciones fsicas peridicas y emplear herramientas de gestin
de red para revisar la red rutinariamente y detectar la presencia de puntos de
acceso no autorizados (rogue AP).
Para proteger los servidores del ncleo de red de ataques DoS los servicios
que se desea prestar a los usuarios inalmbricos deben ubicarse en una DMZ
(que retransmita estas peticiones de los servicios a los servidores de la
31
5 Recomendaciones de diseo para entornos corporativos
empresa. Por lo tanto, es recomendable una red redundante para ofrecer alta
disponibilidad).
Seguridad en redes
inalmbricos. Su uso se recomienda por razones del escalabilidad.
Clientes WEP
Servidor Servidor
DHCP DNS
Seguridad en redes
Recomendaciones de protocolos:
Inhabilitar cualquier protocolo inseguro y no esencial. Comprobar los
protocolos por defecto proporcionados por el fabricante.
Emplear protocolos seguros de gestin como SSL o SSH cuando sea posible.
WLAN
Recomendaciones generales:
Siempre que sea posible es recomendable emplear el mecanismo IEEE802.11i en
redes WLAN en entornos corporativos.
En caso de que no sea posible emplear IEEE 802.11i, una alternativa a utilizar
es WPA. WPA aporta mejoras importantes con respecto a WEP:
33
5 Recomendaciones de diseo para entornos corporativos
Emplear Listas de Control de Acceso (ACL) para que el acceso a red sea
restringido a los clientes cuyas direcciones MAC estn contenidas en la tabla
ACL, la cual puede estar distribuida en los diferentes puntos de acceso o
centralizada en un servidor. Esta medida es slo recomendable cuando el
nmero de usuarios es reducido.
Seguridad en redes
Para aumentar la seguridad de acuerdo a los escenarios de movilidad de
determinados perfiles de usuarios, el uso de un IPSec VPN es altamente
recomendado as como el uso de firewalls que filtren el trfico entrante en la red
de la empresa.
Para evitar los ataques de diccionario o por fuerza bruta contra contraseas
WLAN
se recomienda:
- Emplear EAP-TLS.
En el caso en que la red WLAN est diseada con puntos de acceso que se
puedan configurar con diferentes modos de seguridad (WEP, WPA, IEEE
802.11i), se recomienda configurar la red con un nico modo. Si es necesario
configurar los puntos de acceso con diferentes modos de seguridad, es
recomendable agrupar los puntos de acceso utilizando el mismo modo de
seguridad en una subred. Por ejemplo, crear una subred para puntos de acceso
que empleen WEP y otra para puntos de acceso que empleen WPA. Para
facilitar la creacin de subredes, Se recomienda que los puntos de acceso
tengan la funcionalidad de soporte de mltiples SSIDs. De esta forma, se
pueden asociar diferentes polticas de seguridad a diferentes SSIDs de un
mismo punto de acceso.
Seguridad en redes
Habilitar el cifrado sobre el trfico enviado por el interfaz areo siempre que
sea posible.
Habilitar el cifrado sobre el trfico enviado por el interfaz areo siempre que
sea posible.
Seguridad en redes
Vigilancia exterior.
5.2.1 WEP
Las redes WLAN IEEE 802.11x con WEP tienen que ser consideradas como
inseguras puesto que WEP es un mecanismo con numerosas vulnerabilidades
probadas. Por ello, en una instalacin en que los equipos slo dispongan del
mecanismo WEP, es necesario aplicar medidas estrictas de seguridad para
acceder a la red cableada. A pesar de su vulnerabilidad, es recomendable emplear
WEP cuando sea la nica solucin de seguridad implementable para evitar dejar la
red WLAN abierta y completamente expuesta a posibles ataques.
Los elementos clave para el despliegue de una red WLAN con una solucin de
seguridad basada en el mecanismo WEP son los siguientes:
Clientes y adaptadores inalmbricos que soporten WEP. Proporcionan
conectividad inalmbrica a los puntos de acceso.
WLAN
37
5 Recomendaciones de diseo para entornos corporativos
Clientes WEP
Servidor Servidor
DHCP DNS
Seguridad en redes
Las principales ventajas e inconvenientes de esta solucin de seguridad son los
siguientes:
Pros:
Bajo coste.
WLAN
Contras:
El algoritmo de cifrado que emplea ha sido vulnerado.
38
5 Recomendaciones de diseo para entornos corporativos
5.2.2 WPA
Seguridad en redes
dotar de mayor seguridad a la red, el tipo de EAP debe proporcionar una
autenticacin mutua, por lo tanto, no es recomendable utilizar EAP-MD5. En
caso de utilizacin de EAP-TLS, EAP-TTLS y PEAP se recomienda configurar
los clientes inalmbricos con un certificado de un servidor seguro y evitar que el
usuario pueda modificar estos parmetros. nicamente el administrador debe
tener privilegios para poder modificar el certificado empleado. Si no se configura
WLAN
Puntos de acceso inalmbricos que soporten WPA y una conexin segura con un
servidor RADIUS. Los puntos de acceso se configuran para aceptar solamente
conexiones WPA y rechaza conexiones WEP. En el caso de implementar esta solucin
en instalaciones nuevas, podra tenerse en cuenta la opcin de adquirir equipos que
nicamente sean compatibles con WPA. WPA ofrece mecanismos de seguridad mucho
ms robustos que los utilizados por WEP,
39
5 Recomendaciones de diseo para entornos corporativos
Clientes WPA
Seguridad en redes
WLAN
Servidor Servidores
DHCP RADIUS, DNS
SUBRED WI-FI DMZ
Pros:
Permite definir diferentes perfiles de usuario.
Seguridad en redes
Contras:
El algoritmo de cifrado que emplea ha sido vulnerado.
parte cliente.
Es importante destacar que, slo es posible desplegar una red en modo mixto
WEP-WPA. Para evitar comprometer la seguridad de la red debido a la
vulnerabilidad de WEP no es posible hacerlo en modo mixto WEP-WPA2.
Es recomendable que los puntos de acceso que soporten nicamente WEP y que
no sea posible actualizarlos a WPA sean puestos juntos para formar una WEP-
WLAN con polticas de seguridad independientes del resto.
Seguridad en redes
Los elementos clave de la arquitectura de una solucin de despliegue de redes
WLAN que implementen un mecanismo de seguridad basado en IEEE 802.11i son
los mismos que los empleados en una solucin WPA/WPA2. La nica diferencia es
que los puntos de acceso deben soportar el estndar IEEE 802.11i.
algoritmo de cifrado utilizado, IEEE 802.11i utiliza AES y WPA/WPA2, al igual que
WEP, utiliza RC4. Por lo que s que existen puntos de acceso que soportan el
modo mixto WEP-WPA, pero no que soportan el modo mixto WEP-IEEE 802.11i.
42
5 Recomendaciones de diseo para entornos corporativos
Clientes
802.11i
Servidor Servidores
DHCP RADIUS, DNS
SUBRED WI-FI DMZ
Seguridad en redes
Las principales ventajas e inconvenientes de esta solucin de seguridad son los
siguientes:
Pros:
Algoritmo de cifrado robusto.
WLAN
Contras:
En algunos fabricantes, requiere el cambio de los puntos de acceso desplegados.
Sobrecarga de configuracin de clientes WPA, corporativos e invitados.
Dependiendo del mtodo EAP utilizado requiere el uso de certificados en la
parte cliente.
43
5 Recomendaciones de diseo para entornos corporativos
Adems una solucin VPN basada en IPSec es compatible con el uso de WPA e
IEEE 802.11i. Es decir, es posible utilizar la solucin VPN IPsec cuando el
empleado se encuentra conectado con WPA o IEEE802.11i.
Por ltimo, para equipos IEEE 802.11 que tienen solamente WEP, el uso de VPN
IPSec es altamente recomendable.
Los elementos clave de la arquitectura de una red WLAN en la que se emplea una
solucin VPN basada en la tecnologa IPSec para asegurar el trfico de datos son
los siguientes:
Clientes y adaptadores inalmbricos. Proporcionan conectividad inalmbrica a
los puntos de acceso.
Seguridad en redes
Cliente IPSec VPN. Es el extremo del tnel IPSec en el terminal de usuario. El
cliente de VPN debe conectarse al concentrador VPN al iniciarse la sesin por
parte del terminal de usuario.
Pros:
Emplear una solucin de seguridad que permite al personal acceder a todos
los recursos de la red.
Seguridad en redes
Contras:
Necesidad de un concentrador VPN.
6 CONCLUSIONES
Por otro lado, existen mecanismos de seguridad como WEP; WPA, WPA2,
IEEE802.11i, que han sido desarrollados de forma especfica para su utilizacin en
redes WLAN para intentar paliar las debilidades inherentes a esta tecnologa de
acceso.
Tras el anlisis realizado en esta gua de los mtodos de seguridad para redes
WLAN, se pueden concluir las siguientes recomendaciones:
47
6 Conclusiones
Los mecanismos IEEE 802.11i, WPA y WEP cubren los aspectos de seguridad
requeridos por los usuarios cuando se conectan a la red WLAN corporativa. Si
se quiere emplear un nico mecanismo de seguridad en el entorno empresarial
y para los empleados itinerantes que se conectan desde fuera de su empresa, la
solucin IPsec VPN es recomendada as como el uso de firewalls que filtren el
trfico que entre en la red de la empresa. En funcin del entorno de uso se
puede combinar el uso de IPsec VPN y soluciones especficas para redes
WLAN (WEP, WPA, WPA2, IEEE802.11i).
Seguridad en redes
cifrado. En caso de optar por una solucin basada en WPA es conveniente
recordar que, a pesar de la vulnerabilidad de su algoritmo de cifrado, el modo de
operacin WPA-Enterprise no ha sido vulnerado. Se recomienda usar IEEE802.11i
o una solucin VPN basada en IPsec siempre que sea posible.
Switch
WLAN
APs
Firewall
Clientes WEP
Servidor
DHCP
Servidor de autentic.
Servidor
DNS
DMZ
SUBRED WI-FI
Mecanismo de
Seguridad en
seguridad: Mecanismo de seguridad:
- WEP - Autentic. por
- Autentic. por MAC MAC
- WPA - WPA
- IEEE 802 11i - IEEE 802 11i
- WPA2 - WPA2
7 ACRNIMOS
Seguridad en redes
ESP IP Encapsulating Security Payload
ESS Extended Service Set
FTP File Transfer Protocol
HMAC Hash Message Authentication Codes
IAPP Inter-Access Point Protocol
IEEE Institute of Electrical and Electronics Engineers
WLAN
IV Vector de Inicializacin
IS Information System
LAN Local Area Network
LDAP Lightweight Directory Access Protocol
LEAP The Cisco Lightweight EAP
MAC Medium Access Control
MIC Message Integrity Check
OSI Open System Interconnect
OTP One Time Password
PAP Password Authentication Protocol
PEAP Protected EAP
PIN Personal Identifier Number
PKI Public Key Infrastructure
OCSP Online Certificate Status Protocol
QoS Quality of Service
RADIUS Remote Authentication Dial In User Service
RAS Remote Access Services
RSA Rivest, Shamir y Adelman
RSN Robust Security Network
SA Security Association
SAD Security Asocciation Databases
SNMP Simple Network Management Protocol
SSID Service Set Identifier
STA Station
TCP Transmission Control Protocol
Seguridad en redes
TKIP Temporal Key Integrity Protocol
TLS Transport Layer Security
TTLS Tunneled TLS
UDP User Datagram Protocol
VLAN Virtual Local Area Network
VoIP Voice Over IP
WLAN
Seguridad en redes
WLAN
53
8 Referencias
8 REFERENCIAS
[3] Walker, Jesse, "Unsafe at any Key Size: an analysis of the WEP
encapsulation, November 2000 "
Seguridad en redes
[6] http://www.vsantivirus.com/vul-ie-https-ssl.htm
[7] www.proxim.com
[8] http://www.ieee802.org/1/files/public/docs2002/11-02-TBDr0-I-Pre-
WLAN
Authentication.pdf
[9] http://www.tinypeap.com/page8.html
[10] http://www.nowima.net/nowima/modules.php?name=News&file
=article&sid=179
[11] http://www.trapezenetworks.com/technology/inbrief/8021Xclients.asp
54
8 Referencias
[14] http://www.wifi.org/OpenSection/ReleaseDisplay.asp?TID=
4&ItemID=181&StrYear=2004&strmonth=9
[15] http://www.verisign.es/products/site/faq/ssl_basics.html
[16] http://www.virusprot.com/Nt150451.html
[17] http://www.retronet.com.ar/article.php?story=20040410200835499
[18] http://www.wi-fi.org/membersonly/getfile.asp?f=Whitepaper_Wi-
Fi_Enterprise2-6-03.pdf
Seguridad en redes
WLAN