Sei sulla pagina 1di 59

COLECCIN GUAS TCNICAS

www.enpresadigitala.net

Seguridad en redes WLAN


Conozca lo esencial para su empresa

Autores:
Izaskun Pellejero Fernando Andreu Amaia Lesta
Sociedad para la Promocin y Reconversin Industrial, s.a.

Prl
ogo
3

PRLOGO

Las redes Wi-Fi basadas en los estndares IEEE 802.11 b/g se han hecho
muy populares en los ltimos tiempos. Muchos usuarios han instalado redes
Wi-Fi en sus hogares, se ha multiplicado el nmero de hot-spots y
numerosas organizaciones han aadido puntos de acceso Wi-Fi a sus redes
cableadas para proporcionar a sus empleados un acceso ms sencillo a los
datos y servicios corporativos.

Estas redes han proporcionado a los hackers nuevas oportunidades


para conseguir acceso no autorizado a los sistemas corporativos y sus
datos, favorecido por las caractersticas especficas tanto del medio de
transmisin como del trfico que por l circula.

Estas limitaciones en la seguridad han conducido al desarrollo de


nuevas soluciones de seguridad alternativas a la inicialmente existente
(WEP) para proteger a las redes Wi-Fi y proporcionar a las
organizaciones la garanta que necesitan para sus sistemas y datos. El
enorme inters que suscita, en general, el tema de la seguridad y ms
especficamente en el mbito de las redes Wi-Fi hacen que sea un
rea de gran actividad tanto investigadora como de aplicacin.
Seguridad en redes
WLAN
4
Prlogo

Es en este marco de inters en el que la presente obra realiza una valiosa aportacin para
tcnicos responsables del diseo y gestin de estas redes. Incluye, en primer lugar, la
descripcin exhaustiva de los mecanismos de seguridad existentes para este tipo de redes
(PPTP, L2TP, WEP, WPA, IEEE802.11i, WPA2, IPsec VPN, SSL, SSH, HTTPS) as como
un estudio comparativo de los mismos; en segundo lugar, contempla una serie de
recomendaciones para el diseo de las redes WI-FI en entornos corporativos y posibles
implementaciones.

El conjunto constituye una excelente referencia tanto para quienes tienen que
enfrentarse en la actualidad a los problemas de securizacin de sus redes Wi-Fi
como para quienes tienen planes de instalar este tipo de redes en un futuro
prximo.

Seguridad en redes
D. Jose Luis Del Val
Decano de la Facultad de Ingeniera de la Universidad de Deusto
WLAN
Agradecimientos

AGRADECIMIENTOS

Este trabajo no podra haber sido realizado sin la ayuda de las instituciones que lo
han impulsado: el Gobierno Vasco (a travs de la Agencia de desarrollo
empresarial SPRI), el Ministerio de Industria, Turismo y Comercio (a travs del
Programa de Fomento de Investigacin PROFIT) y la iniciativa europea Eureka (a
travs del programa de I+D ITEA). Especialmente nos gustara destacar a Enpresa
Digitala por la oportunidad que nos ha brindado con esta publicacin, as como al
proyecto ITEA Mobilizing the Internet que nos ha permitido trabajar en estrecha
colaboracin con la empresa EADS. Sin estos apoyos, sin duda, hoy no tendran
en sus manos esta gua.

Los autores tampoco podramos haber realizado esta gua sin contar con la
apuesta de Euskaltel por la generacin de conocimiento, la investigacin y
desarrollo tecnolgico, como pilar fundamental de su estrategia de disponer de una
oferta competitiva e innovadora en el mercado. Esta estrategia produce sinergias
positivas que transcienden el mercado y nuestra organizacin, y se transmite
aguas arriba en la cadena de valor, permitiendo la colaboracin en esta gua de la
Universidad del Pas Vasco y de la Universidad de Deusto, a quienes nos gustara
finalmente agradecer su inestimable aportacin.

Seguridad en redes
WLAN
6
00

ndice
1 RESUMEN EJECUTIVO.............................................................................................................7

2 INTRODUCCIN.........................................................................................................................11

3 DEFINICIONES TILES..........................................................................................................12

4 MECANISMOS DE SEGURIDAD EN REDES WLAN..............................................16

4.1 Redes WLAN: Descripcin y funcionamiento bsico...........................................16


4.2 Mecanismos de seguridad en redes WLAN.............................................................18
4.3 Comparativa entre diferentes mecanismos de seguridad..................................21
4.3.1 Autenticacin...........................................................................................................22
4.3.2 Cifrado........................................................................................................................25
5RECOMENDACIONES DE DISEO PARA ENTORNOS
CORPORATIVOS.....................................................................................................................29
5.1 Normas de diseo bsicas..............................................................................................29
5.1.1 Recomendaciones de ingeniera social........................................................29
5.1.2 Recomendaciones de red..................................................................................30
5.1.3 Recomendaciones de seguridad.....................................................................32
5.1.4 Recomendaciones de proteccin fsica de la seal................................35
5.2 Posibles implementaciones.............................................................................................35
5.2.1 WEP............................................................................................................................36
5.2.2 WPA.............................................................................................................................38
5.2.3 Combinacin de WEP y WPA...........................................................................40
5.2.4 IEEE 802.11i............................................................................................................41
5.2.5 IPSec VPN................................................................................................................42
6 CONCLUSIONES........................................................................................................................46

7 ACRNIMOS................................................................................................................................50
8 REFERENCIAS............................................................................................................................53
Seguridad en redes
WLAN
7
1 Resumen Ejecutivo

1 RESUMEN EJECUTIVO

Segn una encuesta realizada por Intel en mayo de 2004, los empleados se
encuentran ms del 32% de su tiempo fuera de su puesto de trabajo, estimndose
que esta cifra se elevar al 42% en los prximos aos.

En este escenario de movilidad, las redes WLAN se han convertido en un elemento


clave en el aumento de la productividad de las empresas ofreciendo ventajas como
la movilidad y la flexibilidad de los empleados. Por ello, en la actualidad, un nmero
elevado de empresas puede encontrarse analizando la viabilidad de realizar un
proceso de actualizacin de sus redes corporativas, introduciendo las redes
inalmbricas WLAN como complemento a sus redes de datos cableadas o de rea
local (tambin conocidas como redes LAN).

Sin embargo, las redes WLAN conllevan una exposicin a ciertos riesgos que

Seguridad en redes
deben ser resueltos de antemano. Estos riesgos provienen del hecho de que tanto
el medio de transmisin, el aire, como el trfico enviado pueden ser accedidos por
terceros, incluso desde fuera del lmite fsico de la empresa. Estos riesgos se
pueden limitar a obtener informacin de la red (son los llamados ataques pasivos)
o pueden implicar la modificacin de datos, la creacin de falsos flujos en la
transmisin de datos e, incluso, colapsar los servicios que puede prestar la red
WLAN

(conocidos como ataques activos).

Por lo tanto, la seguridad es un aspecto crtico en una red WLAN, especialmente


en entornos corporativos debido a la confidencialidad de la informacin utilizada en
los mismos.
8
1 Resumen Ejecutivo

Recursos de red
corporativos

WLAN corporativa

AP

Usuario Atacante

Ilustracin 1 La seguridad en una red WLAN es crtica en un entorno corporativo

Los mecanismos de seguridad propios de las redes inalmbricas WLAN eran


vulnerables en un primer estadio de la tecnologa, tal y como han demostrado

Seguridad en redes
numerosos estudios. En los ltimos aos, se ha realizado un trabajo intenso en
esta rea, fruto del cual, en la actualidad si se requiere por la aplicacin
empresarial, el nivel de seguridad de las redes inalmbricas WLAN es equivalente
al de las redes cableadas.

Esta gua analiza en detalle los mecanismos de seguridad para redes WLAN, que
WLAN

se resumen a continuacin, y recomienda "buenas prcticas" de implementacin.

Como primera medida de seguridad se recomienda que la red WLAN se encuentre


fsicamente separada (mediante Firewalls) de la red LAN de la empresa. As
mismo, debido a la creciente necesidad de movilidad por los empleados nmadas
o itinerantes, se recomienda que el mecanismo de seguridad seleccionado para
entorno corporativo sea compatible (en ltima instancia el mismo) con el que
utilicen los empleados fuera del lmite fsico de su empresa.
9
1 Resumen Ejecutivo

En la actualidad existen diferentes mecanismos de seguridad para redes WLAN,


los cuales estn evolucionando continuamente para adaptarse a las necesidades
de seguridad de los usuarios mviles. Estas necesidades de seguridad vienen a su
vez impuestas por las vulnerabilidades existentes en los mecanismos de seguridad
de las redes WLAN (mecanismos como WEP WPA) as como por la diversidad
de ataques conocidos.

Las conclusiones del anlisis de los diferentes mtodos de seguridad y su


respuesta a los riesgos pueden ser resumidas de la siguiente manera:

Si se quiere ofrecer la misma solucin de seguridad tanto en entorno


empresarial como para los empleados fuera del lmite fsico de la oficina, la
solucin IPSec VPN es altamente recomendada as como el uso de firewalls
que filtren el trfico de la red de la empresa.

Se pueden combinar el uso de IPSec VPN y soluciones especficas para


redes WLAN. En este caso el mecanismo IEEE 802.11i es el nico mecanismo
especfico para redes WLAN cuyo algoritmo de cifrado no ha sido vulnerado, por
lo que puede ser considerado como un mecanismo seguro para entornos
corporativos. El inconveniente de esta solucin, es que en el caso de algunos

Seguridad en redes
fabricantes es necesario cambiar los puntos de acceso previamente instalados
por unos puntos de acceso que soporten IEEE 802.11i. Adems, actualmente
los dispositivos PDA existentes no son compatibles con el algoritmo de cifrado
AES empleado por el mecanismo IEEE 802.11i por falta de capacidad de
procesado.
WLAN

En el caso de desecharse la opcin de emplear IEEE 802.11i, WPA es el


mecanismo a utilizar. El inconveniente de este mecanismo es que su algoritmo
de cifrado ha sido vulnerado. No obstante aporta mejoras importantes con
respecto a WEP:
- Aunque el algoritmo de cifrado haya sido vulnerado es ms
complicado realizar ataques que comprometan la informacin cifrada.
10
1 Resumen Ejecutivo

- Adems, WPA, al igual que IEEE 802.11i, ofrece gestin dinmica de


las claves.

Tanto IEEE 802.11i como WPA utilizan autenticacin basada en la


combinacin de los protocolos IEEE 802.1x y EAP. Dentro de los numerosos
tipos de EAP existentes, los ms seguros y flexibles son:

- EAP-TLS en el caso de seleccionar autenticacin en la parte cliente


basada en certificado.

- EAP-TTLS y PEAP si se requiere autenticacin mediante nombre de


usuario/contrasea. PEAP es compatible con las soluciones de Microsoft pero
EAP-TTLS se puede utilizar con mayor nmero de mecanismos de
autenticacin.

No obstante, en el caso de que no sea posible la utilizacin de IEEE 802.11i


ni WPA, siempre es recomendable utilizar WEP antes que transmitir la
informacin sin cifrar.

Seguridad en redes
WLAN
11
2 Introduccin

2 INTRODUCCIN

Las redes inalmbricas se diferencian de las redes cableadas, en la naturaleza del


medio que emplean para trasmitir sus datos, es decir, el aire. Las redes WLAN,
tambin conocidas como Wi-Fi (en esta gua se har referencia a ellas como redes
WLAN), se han convertido en objetivos interesantes de posibles ataques porque
tanto el medio de transmisin (el aire) como el trfico enviado sobre el mismo
pueden ser accesibles. Los problemas de seguridad son ms relevantes en
entornos corporativos por la confidencialidad de la informacin utilizada en los
mismos, dado que sta puede ser accesible fuera del lmite fsico de la
organizacin. Por esta razn las redes inalmbricas necesitan mecanismos de
seguridad adicionales para garantizar un nivel adecuado de seguridad.

Esta gua tecnolgica recoge recomendaciones sobre los mecanismos de


seguridad a utilizar para el diseo de redes inalmbricas WLAN en entornos
corporativos. As mismo, y con el objetivo de aclarar el porqu de los diferentes

Seguridad en redes
mecanismos de seguridad, se realiza un resumen de las principales caractersticas
de los mtodos y mecanismos de seguridad implementados hasta la fecha para
protegerse de los mismos.

Esta gua consta de tres grandes bloques: se comienza con un apartado de


definiciones tiles, en el cual se realiza un resumen de los trminos utilizados a lo
WLAN

largo de la gua. A continuacin se comparan los diferentes mecanismos de


seguridad para redes WLAN existentes y se realiza una comparativa de su
comportamiento frente a ataques. Por ltimo se realizan recomendaciones de
diseo para entornos corporativos. Se proponen soluciones basadas en WEP,
WPA, IEEE 802.11i, e IPSec VPN para su aplicacin en entornos corporativos.

Para cada escenario de uso se proponen diferentes arquitecturas y niveles de


seguridad obtenidos aplicando las mismas.
12
3 Definiciones tiles

3 DEFINICIONES TILES

Con objeto de facilitar la lectura y familiarizar al lector, se presenta una serie de


breves definiciones de conceptos que se emplean a lo largo de la gua.

Punto de acceso inalmbrico


Dispositivo que se comunica con adaptadores inalmbricos en ordenadores o
PDAs mediante seales de radio y acta como puente entre stos y la red
troncal. El AP es el encargado de coordinar la comunicacin entre los entre
nodos inalmbricos que estn conectados a el.

Autenticacin
Proceso mediante el cual se comprueba la identidad de un usuario o un equipo
en la red.

Seguridad en redes
Cifrado
Tratamiento de un conjunto de datos, contenidos o no en un paquete, a fin de
impedir que nadie excepto el destinatario de los mismos pueda leerlos. Suele
emplearse para ello un algoritmo de cifrado y una clave de cifrado.

VPN (Virtual Private Network)


WLAN

Red privada que permite conectar de forma segura a las empresas con otras
oficinas de su organizacin, empleados a distancia, personas con mviles,
proveedores, etc.

WEP (Wired Equivalent Privacy)


Primer mecanismo de seguridad que se implement bajo el estndar de redes
inalmbricas IEEE 802.11x para codificar los datos que se transfieren a travs
de una red inalmbrica.
13
3 Definiciones tiles

WPA
Estndar desarrollado por la Wi-Fi Alliance, basado en un borrador del estndar
IEEE 802.11i, para mejorar el nivel de codificacin existente en WEP as como
para incorporar un mtodo de autenticacin.

IEEE 802.11i
Estndar del IEEE que define la encriptacin y la autenticacin para complementar,
completar y mejorar la seguridad en redes WLAN proporcionada por WEP.

WPA2
Implementacin aprobada por Wi-Fi Alliance interoperable con IEEE 802.11i. El
grupo WPA2 de la Wi-Fi Alliance es el grupo de certificacin del estndar IEEE
802.11, para lo cual se basa en las condiciones obligatorias del estndar.

IEEE 802.1x
Estndar de nivel 2 para el control de acceso a red. Mediante el empleo de
puertos ofrece un marco para una autenticacin superior (basada en una pareja
identificador de usuario y contrasea certificados digitales) y distribucin de
claves de cifrado.

Seguridad en redes
EAP (Extensible Authentication Protocol)
Protocolo de autenticacin para llevar a cabo tareas de AAA que define las
credenciales necesarias para la autenticacin de usuarios. En redes WLAN es
utilizado junto con el protocolo IEEE 802.1x en la negociacin de la conexin
entre el punto de acceso y el usuario de la red WLAN.

IPSec
WLAN

Marco de estndares abiertos para asegurar comunicaciones privadas sobre


redes IP.

SSL (Secure Sockets Layer)


Estndar que reside entre la capa de redTCP/IP y aplicacin de la pila de
protocolos OSI y permite realizar transacciones seguras entre mquinas.
14
3 Definiciones tiles

SSL VPN (Secure Sockets Layer Virtual Private Network) Redes privadas
virtuales que se establecen empleando el protocolo de la capa de transporte
SSL. Su principal ventaja sobre las otras soluciones VPN existentes (como
IPSec VPN) es que no hace falta tener instalado ningn cliente en el terminal de
usuario para establecer la conexin segura.

SSH (Secure Shell)


Protocolo que sirve para acceder a mquinas remotas usando tcnicas de
cifrado para que ningn atacante pueda descubrir el usuario y contrasea de la
conexin ni lo que se escribe durante toda la sesin.

HTTPS (HyperText Transfer Protocol Secure)


Versin segura del protocolo HTTP. Utiliza un cifrado basado en Secure Socket
Layer (SSL) para crear un canal cifrado ms apropiado para el trfico de
informacin sensible que el protocolo HTTP.

Espionaje/Surveillance
Ataque que consiste en observar el entorno para recopilar informacin
relacionada con la topologa de la red. Esta informacin puede ser empleada en
posteriores ataques.

Seguridad en redes
Escuchas/Sniffing/Eavesdropping
Este ataque tiene como objetivo final monitorizar la red para capturar
informacin sensible (por ejemplo, la direccin MAC IP origen y destino,
identificadores de usuario, contraseas, clave WEP, etc) como un paso previo
a ataques posteriores. Un ejemplo de ataque derivado de la realizacin de
WLAN

escuchas es el wardriving.

Ataques de descubrimiento de contrasea


Este tipo de ataque trata de descubrir la contrasea que un usuario proporciona
para acceder al sistema o descubrir claves de cifrado de la informacin.

Puntos de acceso no autorizados (Rogue APs)


Puntos de acceso inalmbrico que se conectan sin autorizacin a una red
15
3 Definiciones tiles

WLAN existente. Estos puntos de acceso no son gestionados por los


administradores de la red WLAN y es posible que no se ajusten a las polticas
de seguridad de la red.

Spoofing
Ataque que consiste en emplear un terminal cliente al que se han asociado
validadores estticos (por ejemplo, la direccin IP) de una red WLAN para
suplantar la identidad de algn miembro de la comunicacin. Ataques derivados
de l son los ataques de secuestro de sesiones y Man in the Middle.

Hombre en el medio (Man in the Middle)


El ataque de Hombre en el Medio, tambin conocido como Man in the Middle, se
sirve del spoofing para interceptar y selectivamente modificar los datos de la
comunicacin para suplantar la identidad de una de las entidades implicadas en
la comunicacin.

Secuestro de sesiones (Hijacking)


El secuestro de sesiones o hijacking es una amenaza de seguridad que se vale
del spoofing, pero sta consiste en tomar una conexin existente entre dos
computadores. Tras monitorizar la red el atacante puede generar trfico que

Seguridad en redes
parezca venir de una de las partes envueltas en la comunicacin, robando la
sesin de los individuos envueltos.

Denegacin de servicio (DoS)


La denegacin de servicio tiene como objetivo inutilizar la red para que otros
usuarios no puedan acceder a ella.
WLAN
16
4 Mecanismos de seguridad en redes WLAN

4 MECANISMOS DE SEGURIDAD EN REDES WLAN

Antes de comenzar con el anlisis de los diferentes mecanismos de seguridad de


las redes WLAN, se realiza una breve descripcin de las redes WLAN y de su
funcionamiento bsico.

4.1 REDES WLAN: DESCRIPCIN Y FUNCIONAMIENTO BSICO

Una red WLAN es aquella en la que una serie de dispositivos (PCs, estaciones de
trabajo, impresoras, servidores, etc.) se comunican entre s en zonas geogrficas
limitadas sin necesidad de tendido de cable entre ellos.

La tecnologa inalmbrica WLAN se est desarrollando con rapidez ya que ofrece


movilidad al usuario y requiere una instalacin muy sencilla, permitiendo a
usuarios de terminales porttiles y trabajadores nmadas o itinerantes acceder a

Seguridad en redes
redes de informacin con rapidez y flexibilidad.

Las redes inalmbricas de rea local son un sistema de comunicacin de datos


flexible, muy utilizado como alternativa o complemento a la LAN cableada o como
una extensin de sta. Respecto a la red cableada, la red inalmbrica ofrece las
siguientes ventajas:
WLAN

Movilidad: Informacin en tiempo real en cualquier lugar de la organizacin o


empresa para todo usuario de la red. Esta movilidad permite una productividad y
oportunidad de servicio no proporcionada por las redes cableadas.

Flexibilidad: Permite llegar donde el cable no puede. Las redes WLAN aportan
a las organizaciones flexibilidad para que sus empleados trabajen en edificios
diferentes, reorganizar departamentos fcilmente, una vez que los puntos de
17
4 Mecanismos de seguridad en redes WLAN

acceso estn situados estratgicamente en su edificio los usuarios simplemente


deben introducir un adaptador en su ordenador y ya estn conectados con
libertad de movimiento.

Adaptabilidad: El cambio de topologa de red es sencillo y trata igual a


pequeas y grandes redes. Pudindose ampliar o mejorar con gran facilidad una
red existente.

Reduccin de costes: La instalacin de una red inalmbrica es mucho ms


barata que la cableada cuando mayor sea la superficie a cubrir. Con la sencillez
y flexibilidad de las redes WLAN las organizaciones pueden ahorrar costes de
gestin de red relacionados con la adicin, movimiento y cambio garantizando
un corto perodo de amortizacin.

Facilidad de instalacin: Evita obras para tirar cable por muros y techos.

Mayor productividad: Las redes WLAN permiten al empleado trabajar fuera


del puesto de trabajo.

El elemento fundamental de la arquitectura de las redes IEEE 802.11 es la celda,

Seguridad en redes
la cual se puede definir como el rea geogrfica en la cual una serie de
dispositivos se interconectan entre s por un medio areo. En general esta celda
estar compuesta por estaciones y un nico punto de acceso inalmbrico.

Las estaciones inalmbricas son terminales cliente que cuentan con


adaptadores que realizan las funciones de las tarjetas de red ethernet,
adaptando las tramas ethernet que genera el terminal, a las tramas del estndar
WLAN

inalmbrico y viceversa, posibilitando la transmisin transparente de la


informacin. Estos adaptadores pueden estar integrados en el propio terminal
cliente o, en caso contrario, tratarse de una tarjeta externa.

El punto de acceso (AP) es el elemento que tiene la capacidad de gestionar


todo el trfico de las estaciones inalmbricas y que puede comunicarse con
otras celdas o redes. Es a todos los efectos un bridge que comunica los equipos
18
4 Mecanismos de seguridad en redes WLAN

de su celda de cobertura entre s y con otras redes a las cuales estuviese


conectado, haciendo de puente entre las redes cableadas y las inalmbricas.
Adems posee funcionalidades para la asignacin de recursos, mediante el uso
de tramas "baliza", asignando un canal a las estaciones que se asocian al AP.

INTERNET

Punto de acceso WLAN

Estacin
Inhalmbrica

Usuario

Seguridad en redes
En la Ilustracin 2 se muestra el esquema bsico de la arquitectura de una red WLAN.

4.2 MECANISMOS DE SEGURIDAD EN REDES WLAN


WLAN

El primer paso para asegurar una red WLAN, es conocer cules son los ataques
que este tipo de redes pueden sufrir. stos pueden ser divididos en dos grandes
grupos:

Ataques Pasivos. El principal objetivo del atacante es obtener informacin.


Estos ataques suponen un primer paso para ataques posteriores. Algunos
ejemplos de este tipo de ataques seran el espionaje, escuchas, wardriving y los
ataques para el descubrimiento de contraseas.
19
4 Mecanismos de seguridad en redes WLAN

Ataques Activos. Estos ataques implican la modificacin en el flujo de datos o


la creacin de falsos flujos en la transmisin de datos. Pueden tener dos
objetivos diferentes: pretender ser alguien que en realidad no se es o colapsar
los servicios que puede prestar la red. Algunos ejemplos de este tipo de ataques
son el spoofing, la instalacin de puntos de acceso no autorizados o Rogue APs,
el ataque de Hombre en el medio (Man In The Middle), el secuestro de sesiones
(Hijacking) y la denegacin de servicio (DOS).

No obstante, al igual que son numerosos los ataques a redes WLAN existentes,
tambin lo son los mecanismos de seguridad que se pueden aplicar para proteger
los mismos. Se debe seleccionar aquel que presente el nivel de seguridad exigida,
el tipo de servicio deseado y el coste de gestin y mantenimiento de las soluciones
adoptadas. Adems, es importante resaltar que los mecanismos de seguridad para
redes WLAN estn evolucionando continuamente para adaptarse a las
necesidades de seguridad de los usuarios.

El segundo paso es el conocimiento de los mecanismos de seguridad aplicables


en redes WLAN, as como un anlisis comparativo de aquellos con mayor
aplicabilidad en este tipo de redes:
WEP (Wired Equivalent Privacy)

Seguridad en redes
Fue el primer mecanismo de seguridad que se implement bajo el estndar de
redes inalmbricas IEEE 802.11 para cifrar los datos que se transfieren a travs
de una red inalmbrica. Es un mecanismo de seguridad bsico del que han sido
demostradas numerosas vulnerabilidades.

WPA (Wi-Fi Protected Access)


WLAN

Estndar desarrollado por la Wi-Fi Alliance, basado en un borrador del estndar


IEEE 802.11i, para mejorar el nivel de cifrado existente en WEP e incorporar
adems un mtodo de autenticacin.

IEEE 802.11i
Estndar que define el cifrado y la autentificacin para complementar, completar
y mejorar la seguridad en redes WLAN proporcionada por WEP.
20
4 Mecanismos de seguridad en redes WLAN

WPA2 (Wi-Fi Protected Access v2)


Es la implementacin aprobada por Wi-Fi Alliance interoperable con IEEE
802.11i. El grupo WPA2 de Wi-Fi Alliance es el grupo de certificacin del
estndar IEEE 802.11i, para lo cual se basa en las condiciones obligatorias del
mismo. En funcin de la configuracin de un sistema WPA2 su comportamiento
ser similar a la de un sistema WPA o un sistema IEEE 802.11i.

La evolucin histrica de estos mecanismos se muestra en la siguiente figura:

2000 2001 2002 2003 2004

WEP WPA WPA2


IEEE802.11i

Ilustracin 3 Evolucin de los mecanismos de seguridad en redes WLAN

Seguridad en redes
El funcionamiento bsico de estos mecanismos se basa en el cifrado de la
informacin de usuario en el interfaz aire (entre el terminal de usuario y el punto de
acceso WLAN). Adems, todos excepto WEP, implican autenticacin de usuario.
En el caso del mecanismo WEP la nica autenticacin que se realiza es la
autenticacin de terminal, pero no contempla ningn otro modo de autenticacin
de usuarios ni de punto de acceso.
WLAN

Adicionalmente, es posible emplear en redes WLAN soluciones de seguridad ya


empleadas en otros tipos de redes (cableada o inalmbrica). As, por ejemplo,
mecanismos de seguridad como SSH, HTTPS, SSL, IPSec VPN, PPTP VPN y
L2TP VPN son aplicables no slo a redes WLAN sino tambin a otro tipos de
redes.
21
4 Mecanismos de seguridad en redes WLAN

Los protocolos SSL, HTTPS y SSH, no obstante, slo permiten asegurar el trfico
generado por cierto tipo de aplicaciones, por lo que el estudio de estos protocolos
queda fuera del mbito de anlisis de esta gua. As, por ejemplo, el uso conjunto
de SSL y HTTPS slo permite asegurar la comunicacin entre dos mquinas, por
ejemplo, un terminal de usuario y un servidor web de un banco, protegiendo el
contenido de las transacciones entre ambos. En el caso de SSH, este protocolo
del nivel de aplicacin emplea tcnicas de cifrado para permitir el acceso a
mquinas remotas, la copia y el paso de datos de forma segura a travs de un
canal SSH, as como la gestin de claves RSA (Rivest, Shamir y Adelman).

En cuanto a las diferentes soluciones de seguridad para el acceso corporativo


basadas en la creacin de VPNs (redes privadas virtuales), en todas ellas esta
solucin est formada por un cliente VPN instalado en el terminal de usuario y un
concentrador VPN situado en el borde de la red empresarial. Este tipo de solucin
realiza un robusto cifrado del trfico generado y recibido por los empleados desde
y hacia las redes WLAN es un trfico.

Dentro de las diferentes soluciones VPN existentes, las soluciones a nivel de


enlace (L2TP, PPTP,) implican la necesidad de que el equipamiento (routers,
puntos de acceso, clientes inalmbricos, etc.) soporte protocolos especficos, lo

Seguridad en redes
que hace de estas soluciones una alternativa compleja de implementar. Las
soluciones VPN basadas en IPSec (a nivel de red), son una opcin ms sencilla de
implementar, bien conocida y probada y se considera como un mecanismo muy
robusto de seguridad de la red.

4.3 COMPARATIVA ENTRE DIFERENTES MECANISMOS DE


WLAN

SEGURIDAD

Una vez conocidos los diferentes mecanismos de seguridad existentes en redes


WLAN, se realiza un anlisis comparativo de aquellos con mayor aplicabilidad en
redes WLAN.

Con este propsito, en la Tabla 1 se resumen las principales caractersticas de


aquellos mecanismos desarrollados especficamente para dotar de seguridad a
22
4 Mecanismos de seguridad en redes WLAN

redes WLAN, como son WEP, WPA, IEEE 802.11i, as como de las soluciones En
VPN basadas en la tecnologa IPSec. cu
an
Los parmetros seleccionados para llevar a cabo la comparativa de los distintos o
mecanismos de seguridad bajo estudio son por un lado parmetros relacionados la
con la autenticacin y por otro lado parmetros relacionados con el cifrado, los au
cuales se detallan en los siguientes apartados. en
ica
ci
n,
Autenticacin

Autenticacin
en
Pre-autenticacinel

ca
Negociacin del cifra
so
Cifrado de
la
au
Vector de inicializaci

en
Integridad de la cabe
ica
Cifrado ci
n
Integridad de los dat

W
Proteccin de respue

EP
el
Gestin de claves
pu
nto
Distribucin de clave

de
Clave asignada a: ac
ce
Clave por paquete
so
se
Otros Seguridad ad-hoc
lim
ta
Tabla 1 Comparativa: WEP, WPA, IEEE 802 . 11i e IPSec VPN
a
ac
4.3.1 Autenticacin
eptar nicamente el trfico procedente de terminales de usuario con la clave de
cifrado correcta. La autenticacin del resto de mecanismos es ms completa y
robusta.

Por un lado, la autenticacin en WPA e IEEE 802.11i se basa en la combinacin


del estndar IEEE 802.1x y el Protocolo de Autenticacin Extendida (EAP). La
utilizacin conjunta de ambos permite llevar a cabo la autenticacin mutua extremo

Seguridad en redes
WLAN
23
4 Mecanismos de seguridad en redes WLAN

a extremo entre el usuario y el servidor de autenticacin de la red de manera


centralizada, as como generar claves de cifrado y su distribucin.

El estndar IEEE 802.1x es un estndar para el control de acceso a red de nivel 2


basado en puertos que ofrece un marco para una autenticacin superior (basada
en una pareja identificador de usuario y contrasea o certificados digitales) y
distribucin de claves de cifrado. Pero, IEEE 802.1x no es una alternativa al
cifrado, por lo que puede y debe ser usado junto a una tcnica de cifrado mediante
el correspondiente algoritmo de cifrado.

Por otro lado, IEEE 802.1x establece una capa o nivel entre la capa de acceso y
los diferentes algoritmos de autenticacin que existen hoy en da. IEEE 802.1x
traduce las tramas enviadas por un algoritmo de autenticacin en el formato
necesario para que estas sean entendidas por el sistema de autenticacin que
utilice la red. Por lo tanto, IEEE 802.1x no es por si mismo un mtodo de
autenticacin y debe emplearse de forma conjunta con protocolos de autenticacin
para llevar a cabo la verificacin de las credenciales de usuario, este protocolo
puede ser cualquier tipo de EAP, as como la generacin de las claves de cifrado.

Por su parte, el echo de utilizar EAP de forma conjunta con IEEE 802.1x, permite

Seguridad en redes
que se puedan emplear mltiples esquemas de autenticacin entre los terminales
de usuario y la red, entre los que se incluyen tarjetas de identificacin, Kerberos,
RADIUS (Remote Dial-In User Service), contraseas de un solo uso (OTP),
autenticacin por clave pblica mediante tarjetas inteligentes, certificados digitales
y otros. Segn el tipo de EAP seleccionado las credenciales necesarias para llevar
a cabo la autenticacin sern diferentes. Adems, EAP permite la generacin,
WLAN

distribucin y gestin de claves dinmicas. A continuacin se muestra una tabla


resumen de las caractersticas ms importantes de los tipos de EAP ms utilizados
(Tabla 2).
24
4 Mecanismos de seguridad en redes WLAN

Propietario
EAP

No
MD5

LEAP S

TLS No

TTLS No

PEAP No

No

SIM

De
Tabla 2 Sntesis EAP
for
ma
Por otro lado, las soluciones de VPN basadas en IPSec, por su parte, emplean IKE
ind
para llevar a cabo la autenticacin de mquina y X-AUTH para la autenticacin de
ep
usuario.
en
die
Adems, tal y como se muestra en la tabla, slo IEEE 802.11i y soluciones VPN
nte
basadas en IPSec emplean pre-autenticacin. Esta pre-autenticacin permite que
a
los terminales de usuario puedan iniciar procesos de autenticacin con puntos de
es
acceso prximos antes de completar el proceso de autenticacin con el punto de
os
acceso seleccionado. Por lo tanto, permite a un terminal de usuario autenticarse
me
simultneamente con diferentes puntos de acceso. En el caso de IEEE 802.11i se
ca
establecen conexiones especficas mediante puertos virtuales (similares a los que
nis
se estableceran en las LAN cableadas) para enviar el trfico de pre-autenticacin
mo
entre el terminal de usuario y el punto de acceso mediante el protocolo EAPOL
s
(EAP over LAN). Adems de los beneficios que la pre-autenticacin aporta en
de
trminos de seguridad, se consiguen tiempos de latencia ms bajos en situaciones
se
donde los empleados son mviles y reducciones de las prdidas de conectividad
gu
con la red, lo cual resulta interesante para aplicaciones VoIP.
ida
d,
ta
mbin es posible llevar a cabo la autenticacin de los usuarios basndose en la
direccin fsica del terminal empleado por ellos, esta solucin es conocida como
autenticacin por direccin MAC. Para ello, el acceso a la red es restringido a los
clientes cuyas direcciones MAC estn contenidas en la tabla Listas de Control de
Acceso ACL

Seguridad en redes
WLAN
25
4 Mecanismos de seguridad en redes WLAN

del sistema, la cual puede estar distribuida en los diferentes puntos de acceso o
centralizada en un servidor.

Es importante destacar que este mecanismo no autentica a usuarios en si mismo,


si no al interfaz del terminal que se conecta a la red a travs de su direccin fsica,
conocida como direccin MAC.

Adems, otro de los inconvenientes de este mecanismo de autenticacin es que


puede ser vulnerado con facilidad. Tal y como se ha demostrado en numerosos
estudios, es relativamente sencillo asignar una MAC incluida en la ACL a un
interfaz, lo que se conoce como MAC spoofing. Muchas tarjetas permiten cambiar
su direccin MAC, ya se trate slo del valor que su controlador lee y almacena en
memoria, o bien reprogramando la propia tarjeta. Adicionalmente, existen algunas
utilidades que proporcionan funciones y recursos extra y que permiten, por
ejemplo, obtener una MAC de determinado fabricante o capturar el trfico de
terminales conectados a la red para obtener su MAC.

Por ltimo, esta solucin de autenticacin puede resultar compleja de gestionar si


el nmero de terminales aumenta, por lo que no es una solucin escalable
aconsejable para grandes empresas.

Seguridad en redes
4.3.2 Cifrado

En cuanto al algoritmo de cifrado, tanto WEP como WPA emplean el algoritmo


RC4, el cual ha sido demostrado que es fcilmente vulnerable por cierto tipo de
ataques. Entre las principales vulnerabilidades del algoritmo destacan la gestin
manual de claves estticas, la corta longitud de las claves secretas en el caso del
mecanismo WEP (64 bits o 128 bits), la corta longitud del vector de inicializacin
WLAN

(IV) y una deficiente aleatorizacin de bits. Este es el punto dbil de ambos


mecanismos, pero la diferencia en trminos de cifrado entre WEP y WPA radica en
la gestin de claves y el algoritmo de inicializacin, conceptos que se explican en
prximos prrafos.

En IEEE 802.11i/WPA2 y soluciones VPN basadas en IPSec, el cifrado se basa en


el empleo del algoritmo AES, mucho ms complejo y que no sufre de los
problemas asociados con RC4 (algoritmo WEP).
26
4 Mecanismos de seguridad en redes WLAN

En cuanto a las claves de cifrado, en el mecanismo de seguridad WEP las claves


de cifrado son asignadas estticamente y de forma manual. Adems, la clave de
cifrado WEP es compartida por todos los usuarios del punto de acceso, por lo que
si se compromete la clave WEP todas las comunicaciones de los usuarios podran
ser atacadas. Adicionalmente, la modificacin de la clave WEP tiene que ser
realizada manualmente por todos los usuarios, puesto que no existe ningn
mtodo de distribucin y gestin de claves WEP. Esto hace que la implementacin
y mantenimiento de un sistema de seguridad basado en WEP sea costoso.

En cambio, cuando se emplea WPA, IEEE 802.11i y soluciones VPN basadas en


IPSec la gestin de claves es dinmica. Para ello, en WPA la generacin de claves
de forma dinmica es realizada por el protocolo TKIP y en IEEE 802.11i por CCMP.
En cuanto a la gestin y distribucin de claves, IEEE 802.11i y WPA emplean IEEE
802.1x conjuntamente con algn mtodo EAP. Las soluciones VPN basadas en
IPSec emplean el protocolo IKE para la gestin y distribucin de claves.

La utilizacin de claves dinmicas conlleva un aumento en la seguridad del


sistema al dificultar el descubrimiento de una clave vlida en el mismo y que, en
caso de descubrimiento de la clave de cifrado durante un ataque, slo seran
comprometidos un nmero limitado de datos, no todos los de la comunicacin.

Seguridad en redes
La implementacin del vector de inicializacin (IV) en el algoritmo WEP tiene
varios problemas de seguridad. El vector de inicializacin se utiliza en el proceso
de cifrado para generar la clave de cifrado de cada paquete. Mediante diferentes
mecanismos se consigue que el vector de inicializacin que se utiliza para generar
la clave sea diferente por cada paquete. La clave de cifrado RC4 est compuesta
WLAN

entre otros por una clave por paquete (parmetro que es variable) y el vector de
inicializacin. En WEP este vector de inicializacin se enva por el aire en texto
plano, sin cifrado alguno y se reutilizan los mismos vectores de inicializacin para
cifrar el trfico, por lo que analizando suficientes tramas un intruso no tendra
mucha dificultad en descifrar la clave secreta.
27
4 Mecanismos de seguridad en redes WLAN

En WPA se pretende resolver este problema mediante el protocolo TKIP (Temporal


Key Integrity Protocol). El empleo de TKIP garantiza un vector de inicializacin
ampliado (doble tamao que en WEP, 48 bits) con reglas de secuencia y la mezcla
de dicho vector de inicializacin por paquete (ver Ilustracin 4), lo que defiende a
la red WLAN de ciertos ataques de clave dbil de WEP.

IV de 48 bits CLAVE DE CIFRADO RC4

32 bits 24 bits 104 bits

IV
Upper IV

MAC Address

Clave por sesin d es un byte para evitar claves dbiles

Seguridad en redes
Ilustracin 4 Generacin dinmica de clave por paquete

En el caso de IEEE 802.11i la tcnica empleada para superar esta vulnerabilidad


de WEP es el protocolo CCMP (Counter Mode with CBC-MAC Protocol), en el que
se utilizan vectores de inicializacin de la misma longitud que en TKIP, es decir, 48
WLAN

bits.

En cuanto a las soluciones VPN basadas en IPSec el vector de inicializacin es un


vector DES-CBC de 64 bits.
28
4 Mecanismos de seguridad en redes WLAN

Por otro lado, WEP es el nico de los mecanismos analizados que no ofrece
integridad de cabecera ni proteccin de la respuesta. Todos ofrecen integridad de
los datos. No obstante, WEP emplea para ello CRC-32 que se ha demostrado es
vulnerable. Este algoritmo fue diseado para detectar errores aleatorios en la
transmisin de los mensajes, pero no se trata de un algoritmo robusto como para
evitar ataques maliciosos. Por ello, en los estndares WPA y IEEE 802.11i se ha
mejorado la tcnica empleada, en WPA se utiliza MIC y en IEEE 802.11i CCM. Las
soluciones VPN basadas en IPSec, por su parte, emplean AH para garantizar la
integridad de la cabecera y AH ESP para garantizar la integridad de los datos.

Seguridad en redes
WLAN
29
5 Recomendaciones de diseo para entornos corporativos

5 RECOMENDACIONES DE DISEO PARA


ENTORNOS CORPORATIVOS

La solucin de seguridad en redes WLAN en un entorno corporativo depende de


las polticas de seguridad que se quieran implantar. En este apartado se indican
unas pautas a seguir en el diseo de redes WLAN para garantizar unos mnimos
en cuanto a su seguridad en un entorno corporativo. No obstante, debe ser tenido
en cuenta que la utilizacin de excesivas normas de seguridad podra reducir la
rapidez y utilidad de la red inalmbrica.

5.1 NORMAS DE DISEO BSICAS

Esta seccin enumera las normas de diseo bsico para dotar de seguridad a una
red inalmbrica WLAN.

Seguridad en redes
5.1.1 Recomendaciones de ingeniera social

Educar al personal de la empresa para que no comente informacin sensible


(contraseas,..) con sus compaeros o gente desconocida, para que no escriba
las contraseas en papel, etc.
WLAN

Divulgar la informacin crtica (contraseas administrativas,...) al mnimo


personal posible.

Algunos empleados pueden no darse cuenta de que un despliegue WLAN no


autorizado (es decir, instalar puntos de acceso no autorizados conectados a la
LAN o a la WLAN), puede aumentar los riesgos en la seguridad. Por ello, es
conveniente fijar pautas claras que promuevan la cooperacin activa.
30
5 Recomendaciones de diseo para entornos corporativos

5.1.2 Recomendaciones de red

Se dividen y agrupan en tres grupos de recomendaciones:

Recomendaciones generales:
La implementacin de una red WLAN no debe alterar arquitecturas y
recomendaciones ya existentes en el lugar en el que se va a llevar a cabo el
despliegue. Debe ser hecha respetando las polticas existentes en cuanto a
seguridad.

Las redes WLAN no son sustitutivas de las redes LAN. Las redes WLAN
deben emplearse para aumentar la flexibilidad y la disponibilidad actuales de la
red proporcionando una extensin a la red existente.

Mantener una poltica de contraseas adecuada. El administrador debe


prestar atencin a las contraseas. Una contrasea debe ser suficientemente
larga y contener caracteres no alfanumricos. Una desventaja de este mtodo
es que los usuarios tienen dificultades para recordarlas y las escriben en el
papel en lugar de memorizarlas.

Seguridad en redes
Realizar inspecciones fsicas peridicas y emplear herramientas de gestin
de red para revisar la red rutinariamente y detectar la presencia de puntos de
acceso no autorizados (rogue AP).

Utilizar perfiles de usuario que permitan el control de acceso para usuarios


corporativos e invitados.
WLAN

Recomendaciones de arquitectura de red:


Las redes WLAN deben ser asignadas a una subred dedicada y no
compartidas con una red LAN.

Para proteger los servidores del ncleo de red de ataques DoS los servicios
que se desea prestar a los usuarios inalmbricos deben ubicarse en una DMZ
(que retransmita estas peticiones de los servicios a los servidores de la
31
5 Recomendaciones de diseo para entornos corporativos

empresa. Por lo tanto, es recomendable una red redundante para ofrecer alta
disponibilidad).

Cambiar los parmetros por defecto de los equipos.

Comprobar regularmente si hay disponibles nuevas actualizaciones de


seguridad para los equipos y aplicarlos.

Adems de los puntos de acceso inalmbricos, elementos bsicos a emplear


en el despliegue de redes WLAN de forma eficiente y segura son los siguientes:

- Switch de capa 2 de capa 3. Proporcionan conectividad Ethernet


entre los puntos de acceso y la red corporativa.

- Firewalls. La red WLAN es considerada insegura, por lo que todo el


trfico
entre ella y la red corporativa debe ser filtrada. Filtrados especiales deben
aplicarse a protocolos, direcciones IP origen y subredes destino.

- Servidor de DHCP. Proporciona la configuracin de IP para los clientes

Seguridad en redes
inalmbricos. Su uso se recomienda por razones del escalabilidad.

- Servidor del DNS. Proporciona conectividad de IP a otras mquinas IP.


WLAN
32
5 Recomendaciones de diseo para entornos corporativos

La arquitectura bsica de una red WLAN, teniendo en cuenta las recomendaciones


anteriores, se muestra en la siguiente figura:

RED LAN CORPORATIVA

Clientes WEP

Servidor Servidor
DHCP DNS

SUBRED WI-FI DMZ

Ilustracin 5 Arquitectura bsica de una red WLAN

Seguridad en redes
Recomendaciones de protocolos:
Inhabilitar cualquier protocolo inseguro y no esencial. Comprobar los
protocolos por defecto proporcionados por el fabricante.

Emplear protocolos seguros de gestin como SSL o SSH cuando sea posible.
WLAN

5.1.3 Recomendaciones de seguridad

Recomendaciones generales:
Siempre que sea posible es recomendable emplear el mecanismo IEEE802.11i en
redes WLAN en entornos corporativos.
En caso de que no sea posible emplear IEEE 802.11i, una alternativa a utilizar
es WPA. WPA aporta mejoras importantes con respecto a WEP:
33
5 Recomendaciones de diseo para entornos corporativos

EEE802.11i y WPA utilizan autenticacin basada en la combinacin de


IEEE802.1x y EAP. A la hora de seleccionar el tipo de EAP a emplear es
conveniente tener en cuenta que los ms seguros y flexibles son:

- EAP-TLS en el caso de seleccionar autenticacin de cliente mediante


certificados.

- EAP-TTLS y PEAP permiten la autenticacin de cliente mediante


nombre de usuario/contrasea. PEAP es compatible con las soluciones de
Microsoft, pero EAP-TTLS se puede utilizar con mayor nmero de
mecanismos de autenticacin.

Cuando no sea posible la utilizacin de IEEE802.11i ni WPA, siempre es


recomendable utilizar WEP.

Emplear Listas de Control de Acceso (ACL) para que el acceso a red sea
restringido a los clientes cuyas direcciones MAC estn contenidas en la tabla
ACL, la cual puede estar distribuida en los diferentes puntos de acceso o
centralizada en un servidor. Esta medida es slo recomendable cuando el
nmero de usuarios es reducido.

Seguridad en redes
Para aumentar la seguridad de acuerdo a los escenarios de movilidad de
determinados perfiles de usuarios, el uso de un IPSec VPN es altamente
recomendado as como el uso de firewalls que filtren el trfico entrante en la red
de la empresa.

Para evitar los ataques de diccionario o por fuerza bruta contra contraseas
WLAN

se recomienda:

- Llevar a cabo el bloqueo de cuentas de usuario por parte del servidor


RADIUS tras una serie de intentos de logueo fallidos.

- Escoger contraseas fuertes.


34
5 Recomendaciones de diseo para entornos corporativos

- Emplear claves de usuario dinmicas, por ejemplo mediante


autenticacin OTP (One Time Password) con PEAP y EAP-TTLS.

- Emplear EAP-TLS.

Recomendaciones de seguridad de los puntos de acceso:


Seleccionar puntos de acceso que puedan ser actualizados (firmware y software).

En el caso en que la red WLAN est diseada con puntos de acceso que se
puedan configurar con diferentes modos de seguridad (WEP, WPA, IEEE
802.11i), se recomienda configurar la red con un nico modo. Si es necesario
configurar los puntos de acceso con diferentes modos de seguridad, es
recomendable agrupar los puntos de acceso utilizando el mismo modo de
seguridad en una subred. Por ejemplo, crear una subred para puntos de acceso
que empleen WEP y otra para puntos de acceso que empleen WPA. Para
facilitar la creacin de subredes, Se recomienda que los puntos de acceso
tengan la funcionalidad de soporte de mltiples SSIDs. De esta forma, se
pueden asociar diferentes polticas de seguridad a diferentes SSIDs de un
mismo punto de acceso.

Seguridad en redes
Habilitar el cifrado sobre el trfico enviado por el interfaz areo siempre que
sea posible.

Asegurar fsicamente los puntos de acceso, para evitar que personal no


deseado tenga acceso a l.
WLAN

El SSID es el nombre lgico asociado a una red WLAN. Es un valor arbitrario


de hasta 32 caracteres y dgitos. Las redes WLAN sern slo accesibles por
aquellos terminales asociados al SSID adecuado. Para evitar el acceso por
parte de usuarios no deseados es fundamental deshabilitar el broadcast de
SSID que, en general, llevan a cabo por defecto los puntos de acceso.
35
5 Recomendaciones de diseo para entornos corporativos

Recomendaciones de seguridad de los clientes:


Inhabilitar el modo ad-hoc.

Habilitar el cifrado sobre el trfico enviado por el interfaz areo siempre que
sea posible.

Se recomienda la instalacin de software de seguridad como antivirus y firewalls.

5.1.4 Recomendaciones de proteccin fsica de la seal

Estudio exhaustivo del tipo y ubicacin de antenas para restringir el rea de


cobertura radio dentro del rea deseada.

Empleo de materiales opacos en la construccin del edificio para atenuar la


seal, y evitar que sta salga fuera del edificio.

Equipos inhibidores de seal en zonas que no se desea tener cobertura.

Herramientas de monitorizacin de la seal radio y de deteccin de puntos de


acceso no autorizados (rogue AP).

Seguridad en redes
Vigilancia exterior.

5.2 POSIBLES IMPLEMENTACIONES

Dependiendo del nivel de seguridad exigido y existente en los sistemas de


WLAN

informacin de la empresa es necesario aplicar medidas especficas de seguridad


para proteger la informacin confidencial de la red cableada ante usuarios
inalmbricos no autorizados.

A continuacin, se analizan diferentes soluciones de seguridad para redes WLAN


utilizando los mecanismos WEP, WPA, IEEE 802.11i e IPSec VPN.
36
5 Recomendaciones de diseo para entornos corporativos

5.2.1 WEP

Habilitar el mecanismo WEP es una opcin de seguridad que evita la asociacin


automtica a los puntos de acceso de los terminales inalmbricos existentes en el
entorno. Los puntos de acceso con WEP activado nicamente aceptan trfico
cifrado con WEP.

Las redes WLAN IEEE 802.11x con WEP tienen que ser consideradas como
inseguras puesto que WEP es un mecanismo con numerosas vulnerabilidades
probadas. Por ello, en una instalacin en que los equipos slo dispongan del
mecanismo WEP, es necesario aplicar medidas estrictas de seguridad para
acceder a la red cableada. A pesar de su vulnerabilidad, es recomendable emplear
WEP cuando sea la nica solucin de seguridad implementable para evitar dejar la
red WLAN abierta y completamente expuesta a posibles ataques.

Los elementos clave para el despliegue de una red WLAN con una solucin de
seguridad basada en el mecanismo WEP son los siguientes:
Clientes y adaptadores inalmbricos que soporten WEP. Proporcionan
conectividad inalmbrica a los puntos de acceso.

Puntos de acceso inalmbricos que soporten WEP.

WLAN
37
5 Recomendaciones de diseo para entornos corporativos

La Ilustracin 6 muestra la arquitectura de una red WLAN que cuenta con un


mecanismo de seguridad basado en WEP en un entorno corporativo.

RED LAN CORPORATIVA

Clientes WEP

Servidor Servidor
DHCP DNS

SUBRED WI-FI DMZ

Ilustracin 6 Arquitectura de seguridad con WEP

Seguridad en redes
Las principales ventajas e inconvenientes de esta solucin de seguridad son los
siguientes:

Pros:
Bajo coste.
WLAN

Fcil de gestionar (si no se cambian las claves).

Se pueden definir perfiles de usuario que permiten el control de acceso para


usuarios corporativos e invitados (visitantes).

Contras:
El algoritmo de cifrado que emplea ha sido vulnerado.
38
5 Recomendaciones de diseo para entornos corporativos

Puesto que WEP es un mecanismo de seguridad que nicamente protege el medio


radio y adems, presenta ciertas vulnerabilidades, para reforzar la seguridad
proporcionada a una red WLAN por una solucin WEP, es posible la utilizacin de
alguna de las siguientes opciones:
Ofrecer a travs de la red WLAN nicamente ciertos servicios, como
explorador web o consulta de correo electrnico, mediante un servidor HTTPS.

Se recomienda complementar la solucin con otros mecanismos de


seguridad, una alternativa es utilizar la solucin IPSec VPN. Suponiendo que la
plantilla de la empresa sea nmada e itinerante, se configura un cliente de
IPSec en sus terminales para proporcionar seguridad mxima al conectarse a
Internet o a los puntos de acceso de la empresa, dentro y fuera de la misma.

5.2.2 WPA

Los elementos clave de la arquitectura de una solucin propuesta de despliegue


de redes WLAN que implementen un mecanismo de seguridad basado en WPA
son los siguientes:
Adaptador y software inalmbricos en la parte cliente. La solucin debe estar
basada en un tipo de EAP que soporte el tipo de autenticacin adecuado. Para

Seguridad en redes
dotar de mayor seguridad a la red, el tipo de EAP debe proporcionar una
autenticacin mutua, por lo tanto, no es recomendable utilizar EAP-MD5. En
caso de utilizacin de EAP-TLS, EAP-TTLS y PEAP se recomienda configurar
los clientes inalmbricos con un certificado de un servidor seguro y evitar que el
usuario pueda modificar estos parmetros. nicamente el administrador debe
tener privilegios para poder modificar el certificado empleado. Si no se configura
WLAN

el certificado, los ataques Man in the Middle son posibles.

Puntos de acceso inalmbricos que soporten WPA y una conexin segura con un
servidor RADIUS. Los puntos de acceso se configuran para aceptar solamente
conexiones WPA y rechaza conexiones WEP. En el caso de implementar esta solucin
en instalaciones nuevas, podra tenerse en cuenta la opcin de adquirir equipos que
nicamente sean compatibles con WPA. WPA ofrece mecanismos de seguridad mucho
ms robustos que los utilizados por WEP,
39
5 Recomendaciones de diseo para entornos corporativos

en cuanto a la autenticaci n, integridad y confidencialidad .

Servidor RADIUS. Este es un equipo que no exista en la solucin basada en


WEP. El servidor RADIUS proporciona la autenticacin de usuarios para los
clientes y los puntos de acceso. Genera las llaves dinmicas de WPA y las enva
a los puntos de acceso. En caso de utilizacin de certificados, se recomienda
que el servidor RADIUS contraste el estado del certificado del cliente contra un
autoridad CRL (las principales Autoridades Certificadoras internacionales
actualmente son Verising y Thawte) un servidor OCSP.

La Ilustracin 7 muestra la arquitectura de una red WLAN que cuenta con un


mecanismo de seguridad basado en WPA en un entorno corporativo.

RED LAN CORPORATIVA

Clientes WPA

Seguridad en redes
WLAN
Servidor Servidores
DHCP RADIUS, DNS
SUBRED WI-FI DMZ

Ilustracin 7 Arquitectura de seguridad con WPA

En funcin del mtodo EAP de autenticacin utilizado pueden ser empleados


opcionalmente los siguientes elementos adicionales:
40
5 Recomendaciones de diseo para entornos corporativos

Servidor PKI. Proporciona certificados X.509 para la autenticacin de usuario


y de servidor. Necesario en caso de emplearse EAP-TLS, EAP-TTLS y PEAP.

Servidor OTP . Proporciona autenticacin OTP mediante servidores RADIUS.


Puede emplearse con PEAP o EAP-TTLS.

Adicionalmente, es recomendable proteger el modo EAP empleado (LEAP, PEAP,


EAP-TTLS) contra ataques de fuerza bruta. El servidor RADIUS debe bloquear las
cuentas de usuario tras una serie de intentos de logueo fallidos. Cuando la cuenta
de usuario est bloqueada el usuario no puede ser autenticado hasta que no se
lleva a cabo una serie de acciones administrativas, lo que permite al administrador
llevar a cabo un examen de la seguridad. Para evitar este riesgo, se puede exigir a
los usuarios inalmbricos llevar a cabo autenticacin tipo OTP.

Las principales ventajas e inconvenientes de esta solucin de seguridad son los


siguientes:

Pros:
Permite definir diferentes perfiles de usuario.

Seguridad en redes
Contras:
El algoritmo de cifrado que emplea ha sido vulnerado.

Sobrecarga de configuracin de clientes WPA, corporativos e invitados.

Dependiendo del mtodo EAP utilizado requiere el uso de certificados en la


WLAN

parte cliente.

5.2.3 Combinacin de WEP y WPA

Para instalaciones que dispongan de clientes y puntos de acceso WEP sera


conveniente migrar los equipos WEP a WPA para dotar la red de acceso de una
mayor seguridad. No obstante, si no fuera posible llevar a cabo esta migracin, es
posible un entorno heterogneo que combine soluciones basadas en WEP y
41
5 Recomendaciones de diseo para entornos corporativos

WPA simultneamente o configurar los puntos de acceso para que trabajen en


modo mixto WEP-WPA, de forma que soporten clientes WPA y clientes WEP.

Es importante destacar que, slo es posible desplegar una red en modo mixto
WEP-WPA. Para evitar comprometer la seguridad de la red debido a la
vulnerabilidad de WEP no es posible hacerlo en modo mixto WEP-WPA2.

Es recomendable que los puntos de acceso que soporten nicamente WEP y que
no sea posible actualizarlos a WPA sean puestos juntos para formar una WEP-
WLAN con polticas de seguridad independientes del resto.

En cualquier caso, la consecuencia directa de soportar ambos tipos de clientes es


que la seguridad operar en el menor de los niveles de seguridad, el de WEP,
comn a ambos dispositivos. Por ello, se recomienda migrar todos los puntos de
acceso y clientes a WPA en lugar de mantener un entorno mixto.

5.2.4 IEEE 802.11i

En este apartado se describen las principales caractersticas de una solucin de


seguridad basada en IEEE 802.11i.

Seguridad en redes
Los elementos clave de la arquitectura de una solucin de despliegue de redes
WLAN que implementen un mecanismo de seguridad basado en IEEE 802.11i son
los mismos que los empleados en una solucin WPA/WPA2. La nica diferencia es
que los puntos de acceso deben soportar el estndar IEEE 802.11i.

Una de las principales diferencias entre IEEE 802.11i y WPA se encuentra en el


WLAN

algoritmo de cifrado utilizado, IEEE 802.11i utiliza AES y WPA/WPA2, al igual que
WEP, utiliza RC4. Por lo que s que existen puntos de acceso que soportan el
modo mixto WEP-WPA, pero no que soportan el modo mixto WEP-IEEE 802.11i.
42
5 Recomendaciones de diseo para entornos corporativos

La Ilustracin 8 muestra la arquitectura de una red WLAN que cuenta con un


mecanismo de seguridad basado en IEEE 802.11i en un entorno corporativo.

RED LAN CORPORATIVA

Clientes
802.11i

Servidor Servidores
DHCP RADIUS, DNS
SUBRED WI-FI DMZ

Ilustracin 8 Arquitectura de seguridad con WPA

Seguridad en redes
Las principales ventajas e inconvenientes de esta solucin de seguridad son los
siguientes:

Pros:
Algoritmo de cifrado robusto.
WLAN

Permite definir diferentes perfiles de usuario.

Contras:
En algunos fabricantes, requiere el cambio de los puntos de acceso desplegados.
Sobrecarga de configuracin de clientes WPA, corporativos e invitados.
Dependiendo del mtodo EAP utilizado requiere el uso de certificados en la
parte cliente.
43
5 Recomendaciones de diseo para entornos corporativos

5.2.5 IPSec VPN

La utilizacin de las soluciones VPN basadas en IPSec es especialmente


recomendable en el caso en que la plantilla de la empresa sea nmada e itinerante
(es decir, que necesiten el acceso a Intenet, a datos corporativos fuera de la
empresa), para proporcionar seguridad al conectarse a Internet o a la red de la
empresa desde otras redes.

Adems una solucin VPN basada en IPSec es compatible con el uso de WPA e
IEEE 802.11i. Es decir, es posible utilizar la solucin VPN IPsec cuando el
empleado se encuentra conectado con WPA o IEEE802.11i.

Por ltimo, para equipos IEEE 802.11 que tienen solamente WEP, el uso de VPN
IPSec es altamente recomendable.
Los elementos clave de la arquitectura de una red WLAN en la que se emplea una
solucin VPN basada en la tecnologa IPSec para asegurar el trfico de datos son
los siguientes:
Clientes y adaptadores inalmbricos. Proporcionan conectividad inalmbrica a
los puntos de acceso.

Seguridad en redes
Cliente IPSec VPN. Es el extremo del tnel IPSec en el terminal de usuario. El
cliente de VPN debe conectarse al concentrador VPN al iniciarse la sesin por
parte del terminal de usuario.

El punto de acceso inalmbrico proporciona conectividad Ethernet a la red


corporativa. Si el punto de acceso tiene capacidades de filtrado, se puede filtrar
WLAN
el trfico para permitir nicamente los protocolos DHCP e IPSec.

Gateway/concentrador IPSec VPN. Autentica a usuarios inalmbricos y


termina los tneles de IPSec. Puede tambin actuar como servidor DHCP para
los clientes inalmbricos.

Firewall. Se recomienda ubicar un firewall despus del concentrador VPN que


aplique polticas de seguridad al flujo no cifrado.
44
5 Recomendaciones de diseo para entornos corporativos

La Ilustracin 9 muestra la arquitectura para el empleo de una VPN basada en


IPSec como mecanismo de la seguridad para tener acceso a una red corporativa.

er
or
OT
Pr
or
na
au
tic
n
OT
me
an
se
do
RA
US

Ilustracin 9 Diseo de una arquitectura basada en VPN IPSec

En funcin del mtodo de autenticacin utilizado pueden ser empleados


opcionalmente los siguientes elementos.

Servidor RADIUS. Proporciona la autenticacin de usuario para los clientes


inalmbricos que se conectan al gateway/concentrador VPN.

Servidor PKI. Proporciona certificados X.509 para la autenticacin de usuario


y de servidor. Se recomienda que los certificados de cliente sean accesibles
solamente mediante hardware protegido con contrasea como, por ejemplo,
smart-cards o llaves USB.
Seguridad en redes
WLAN
45
5 Recomendaciones de diseo para entornos corporativos

Se recomienda utilizar polticas basadas en certificados para establecer los tneles


IPSec en lugar de llaves pre-compartidas. Emplear llaves pre-compartidas es
peligroso, porque si un atacante las obtiene, es difcil detectar que las llaves estn
comprometidas. Por lo que implica sobrecarga en el mantenimiento al obligar a
todos a cambiar las llaves pre-compartidas. Adems, se recomienda que el
concentrador VPN compruebe el estado de los certificados de cliente contra las
autoridades CRL (las principales Autoridades Certificadoras internacionales
actualmente son Verisign y Thawte) un servidor de OCSP.

Las principales ventajas e inconvenientes de esta solucin de seguridad VPN


basada en IPSec son los siguientes:

Pros:
Emplear una solucin de seguridad que permite al personal acceder a todos
los recursos de la red.

Permite definir diferentes perfiles de usuario.

Reutilizacin de la VPN fuera del entorno corporativo.

Seguridad en redes
Contras:
Necesidad de un concentrador VPN.

Sobrecarga de configuracin de clientes VPN.

Excluye a los invitados.


WLAN

Es una solucin costosa.


46
6 Conclusiones

6 CONCLUSIONES

Los mecanismos de seguridad propios de las redes inalmbricas WLAN son


vulnerables desde su nacimiento, tal y como han demostrado numerosos estudios.
En los ltimos aos, se ha realizado un trabajo intenso en este rea, fruto del cual
en la actualidad el nivel de seguridad de las redes inalmbricas WLAN es
comparable al de las redes cableadas.

En la actualidad son mltiples los mecanismos de seguridad existentes que


permiten garantizar la seguridad en las comunicaciones realizadas a travs de
redes WLAN. Mecanismos de seguridad como SSH, HTTPS, SSL e IPsec VPN
pueden ser empleados con mltiples tecnologas de acceso, incluidas las redes
WLAN. No obstante, los protocolos SSH, HTTPS y SSL son slo capaces de
asegurar cierto tipo de comunicaciones (gestin remota, trfico web,), por lo que
no permiten asegurar todo el trfico originado en el terminal de usuario y dirigido al
mismo, tal y como sera deseable en una red WLAN. En las redes WLAN tambin
es posible llevar a cabo la autenticacin de terminales de usuario basndose en su
direccin fsica o direccin MAC. No obstante, este mecanismo de seguridad no
implica el envo de cifrado de la informacin y su escalabilidad es compleja.
Adems, este tipo de autenticacin es fcilmente vulnerable.

Por otro lado, existen mecanismos de seguridad como WEP; WPA, WPA2,
IEEE802.11i, que han sido desarrollados de forma especfica para su utilizacin en
redes WLAN para intentar paliar las debilidades inherentes a esta tecnologa de
acceso.

Tras el anlisis realizado en esta gua de los mtodos de seguridad para redes
WLAN, se pueden concluir las siguientes recomendaciones:
47
6 Conclusiones

El mecanismo IEEE802.11i es el nico mecanismo especfico para redes WLAN


que puede considerarse un mecanismo seguro para entornos corporativos. Sin
embargo, en el caso de algunos fabricantes es necesario cambiar los puntos de
acceso WLAN previamente instalados por un modelo que soporte IEEE802.11i.
Adems, actualmente los dispositivos PDA existentes no son compatibles con el
algoritmo de cifrado AES empleado por el mecanismo IEEE802.11i por falta de
capacidad de procesado.

Una alternativa a IEEE802.11i es WPA. WPA aporta mejoras importantes con


respecto a WEP:
- Aunque el algoritmo de cifrado haya sido vulnerado slo es posible
realizar ataques que comprometan la informacin cifrada en el modo de
operacin WPA personal (WPA-PSK). El modo WPA-Enterprise no ha sido
vulnerado.

- Adems, WPA, al igual que IEEE802.11i, ofrece gestin dinmica de


las claves.

- WPA puede ser empleado en PDAs.

IEEE802.11i y WPA utilizan autenticacin basada en la combinacin de


IEEE802.1x y EAP. Dentro de los numerosos tipos de EAP existentes, los ms
seguros y flexibles son:
- EAP-TLS en el caso de seleccionar autenticacin de cliente mediante
certificados.

- EAP-TTLS y PEAP permiten la autenticacin de cliente mediante


nombre de usuario/contrasea. PEAP es compatible con las soluciones de
Microsoft, pero EAP-TTLS se puede utilizar con mayor nmero de
mecanismos de autenticacin.

Cuando no sea posible la utilizacin de IEEE802.11i ni WPA, siempre es


recomendable utilizar WEP antes que transmitir la informacin sin cifrar.

En ltima instancia, si no fuera posible emplear ningn mecanismo de cifrado


Seguridad en redes
WLAN
48
6 Conclusiones

y si el nmero de clientes de la red WLAN no es elevado, sera recomendable


llevar a cabo la autenticacin de los mismos basada en la direccin MAC del
terminal. De esta forma, se evitara al menos la asociacin de clientes a la red
de manera involuntaria. No obstante, no se debe olvidar que esta solucin es
recomendable slo para su empleo en entornos con un nmero de terminales
reducido por su compleja escalabilidad y que es una solucin fcilmente
vulnerable.

Los mecanismos IEEE 802.11i, WPA y WEP cubren los aspectos de seguridad
requeridos por los usuarios cuando se conectan a la red WLAN corporativa. Si
se quiere emplear un nico mecanismo de seguridad en el entorno empresarial
y para los empleados itinerantes que se conectan desde fuera de su empresa, la
solucin IPsec VPN es recomendada as como el uso de firewalls que filtren el
trfico que entre en la red de la empresa. En funcin del entorno de uso se
puede combinar el uso de IPsec VPN y soluciones especficas para redes
WLAN (WEP, WPA, WPA2, IEEE802.11i).

Se puede concluir, atendiendo a los niveles de seguridad aportados por los


diferentes mecanismos, que se recomienda evitar emplear WEP como mecanismo
de seguridad en entornos corporativos debido a la vulnerabilidad de su algoritmo

Seguridad en redes
cifrado. En caso de optar por una solucin basada en WPA es conveniente
recordar que, a pesar de la vulnerabilidad de su algoritmo de cifrado, el modo de
operacin WPA-Enterprise no ha sido vulnerado. Se recomienda usar IEEE802.11i
o una solucin VPN basada en IPsec siempre que sea posible.

Por ltimo, como norma bsica de seguridad en entornos corporativos, se


WLAN

recomienda "aislar" la red WLAN de la empresa de su red LAN y ubicar los


servidores que gestionen los servicios que se desea prestar a los usuarios
inalmbricos en una DMZ (DisMilitarized Zone) que retransmita estas peticiones de
los servicios a los servidores de la empresa.
49
6 Conclusion
es

RED LAN CORPORATIVA

Switch

WLAN
APs
Firewall
Clientes WEP

Servidor
DHCP
Servidor de autentic.
Servidor
DNS

DMZ
SUBRED WI-FI
Mecanismo de

Seguridad en
seguridad: Mecanismo de seguridad:
- WEP - Autentic. por
- Autentic. por MAC MAC
- WPA - WPA
- IEEE 802 11i - IEEE 802 11i
- WPA2 - WPA2

Ilustracin 10 Rred WLAN en un entorno corporativo


redes
WLAN
7
50
Acrnimos

7 ACRNIMOS

AAA Authentication, Authorization, Accounting


AES Advanced Encryption Standard
AH Authentication Header
AP Access Point
ARP Address Resolution Protocol
BSS Basic Service Set
BSSID Basic Service Set Identifier
CHAP Challenge Handshake Authentication Protocol
CCM Counter Mode with CBCMAC
CRC Cyclic Redundancy Check
DHCP Dynamic Host Configuration Protocol
DMZ Demilitarized Zone
DNS Domain Name System
DoS Denial Of Service
DS Distribution System
EAP Extensible Authentication Protocol
EAPOL EAP over LANs
EAPOW EAP over Wireless

Seguridad en redes
ESP IP Encapsulating Security Payload
ESS Extended Service Set
FTP File Transfer Protocol
HMAC Hash Message Authentication Codes
IAPP Inter-Access Point Protocol
IEEE Institute of Electrical and Electronics Engineers
WLAN

IKE Internet Key Exchange


IP Internet Protocol
IETF Internet Engineering Task Force
7
51
Acrnimos

IV Vector de Inicializacin
IS Information System
LAN Local Area Network
LDAP Lightweight Directory Access Protocol
LEAP The Cisco Lightweight EAP
MAC Medium Access Control
MIC Message Integrity Check
OSI Open System Interconnect
OTP One Time Password
PAP Password Authentication Protocol
PEAP Protected EAP
PIN Personal Identifier Number
PKI Public Key Infrastructure
OCSP Online Certificate Status Protocol
QoS Quality of Service
RADIUS Remote Authentication Dial In User Service
RAS Remote Access Services
RSA Rivest, Shamir y Adelman
RSN Robust Security Network
SA Security Association
SAD Security Asocciation Databases
SNMP Simple Network Management Protocol
SSID Service Set Identifier
STA Station
TCP Transmission Control Protocol

Seguridad en redes
TKIP Temporal Key Integrity Protocol
TLS Transport Layer Security
TTLS Tunneled TLS
UDP User Datagram Protocol
VLAN Virtual Local Area Network
VoIP Voice Over IP
WLAN

VPN Red Privada Virtual


WAN Wide Area Network
WEP Wired Equivalent Privacy
52
7 Acrnimos

WLAN Wireless Fidelity known as standard IEEE 802.11b


WISP Wireless Internet Service Provider Wireless Local
WLAN Area Network WLAN Protected Access
WPA

Seguridad en redes
WLAN
53
8 Referencias

8 REFERENCIAS

[1] MTI/PRO/DD/0001: Security of 802.11 WEP protected networks

[2] Brewer, Borisov, et al, "802.11 Security",


http://www.isaac.cs.berkeley.edu/isaac/wep-faq.html

[3] Walker, Jesse, "Unsafe at any Key Size: an analysis of the WEP
encapsulation, November 2000 "

[4] Fluhrer, Mantin, Shamir, Weaknesses in the Key Scheduling Algorithm


of RC4lr, August 2001.

[5] MTI/PRO/DD/00004/01/01/EN: Security recommendations for wireless


business

Seguridad en redes
[6] http://www.vsantivirus.com/vul-ie-https-ssl.htm

[7] www.proxim.com

[8] http://www.ieee802.org/1/files/public/docs2002/11-02-TBDr0-I-Pre-
WLAN

Authentication.pdf

[9] http://www.tinypeap.com/page8.html

[10] http://www.nowima.net/nowima/modules.php?name=News&file
=article&sid=179

[11] http://www.trapezenetworks.com/technology/inbrief/8021Xclients.asp
54
8 Referencias

[12] Deploying Wi-Fi Protected Access (WPA) and WPA2 in the


Enterprise de Wi-Fi Alliance http://www.wifi.org/membersonly/getfile.asp?
f=WFA_02_27_05_WP A_WPA2_White_Paper.pdf

[13] Q&A WPA2 de Wi-Fi Alliance. http://www.wi-


fi.org/OpenSection/pdf/WPA2_Q_A.pdf

[14] http://www.wifi.org/OpenSection/ReleaseDisplay.asp?TID=
4&ItemID=181&StrYear=2004&strmonth=9

[15] http://www.verisign.es/products/site/faq/ssl_basics.html

[16] http://www.virusprot.com/Nt150451.html

[17] http://www.retronet.com.ar/article.php?story=20040410200835499

[18] http://www.wi-fi.org/membersonly/getfile.asp?f=Whitepaper_Wi-
Fi_Enterprise2-6-03.pdf

Seguridad en redes
WLAN

Potrebbero piacerti anche