Wips

Ayuda a detectar, bloquear y responder las principales amenazas que afectan a la

seguridad de una red wifi
Los Aspectos claves de la Seguridad WIPS
A continuación, presentamos los principales ataques contra los que nos protege
wips para tener una mejor seguridad wifi.
El sistema de seguridad inalámbrica es capaz de diferenciar entre los puntos de
acceso legítimos, los malintencionados y los cercanos de otras redes que
comparten el mismo espacio y por tanto son ajenos a la red wifi que se quiere
proteger.
1. Detección y bloqueo de Rogue Access Points (Rogue APs) o Puntos de
acceso falsos (Fake APs). Se crean puntos de acceso falsos que intentan
parecer legítimos. Es un ataque muy eficaz en sitios con mucha afluencia de
gente, cerca de hotspots gratuitos, tales como aeropuertos, cafés, o
residencias de estudiantes, hoteles o bibliotecas. Por ejemplo, un AP
controlado por los ciberdelincuentes que se llame “Wifi Airport” y que
únicamente deben esperar a que se conecten usuarios incautos.

2. Detección y gestión de APs mal configurados. Aquellos puntos de acceso

que han perdido la configuración, tienen claves de acceso por defecto, se
han reseteado a sus valores de fábrica o se ha modificado deliberadamente
su configuración para hacerlos vulnerables. Se comprueba su estado y si
presentan algún problema, se desautorizan de la red.

3. Clientes mal configurados. Permite detectar si hay un cliente cuyos intentos

de conexión a la red son denegados de forma repetitiva y averiguar si se trata
de un cliente mal configurado o del intento de conexión de un atacante.

4. Bloqueo de conexiones no autorizadas. Impidiendo que usuarios accedan a

una SSID aun cuando conocen la contraseña de acceso.

5. Identificar y bloquear redes “Ad-hoc”. En este tipo de conexiones “peer-to-

peer”, los dispositivos se agregan estando en el mismo rango de la red (es el
caso de 2 portátiles dentro de una habitación del hotel). Este tipo de situación
representa un riesgo importante de seguridad, ya que permite crear una
conexión entre dispositivos no autorizados (o externos) y la red corporativa.
Con el WIPS, monitorizamos los canales Wi-Fi, detectamos este tipo de
redes y el equipo que está creando la vulnerabilidad (Ver más adelante
clientes puente).
6. Evil Twins. Son puntos de acceso creados de forma malintencionada con el
objetivo de suplantar a un AP legítimo. El AP “señuelo” emite una señal más
potente para que el cliente se conecte con este “gemelo malvado”. El fin
último será controlar el tráfico, las comunicaciones, y poder robar nuestras
credenciales (datos de las webs que visitamos, imágenes, contraseñas…).
Por ejemplo: un atacante ante una red wifi que se llama “biblioteca” puede
crear un AP con el mismo nombre y situarlo más cerca de los usuarios.

7. AP MAC Spoofing. Un ataque muy conocido consiste obtener la MAC de un

AP legítimo y suplantarle utilizando esa misma dirección MAC, de ese modo
el hacker consigue tener acceso a la red y pasar desapercibido.

8. DoS Spoofed Disconnection. Ataques de denegación de servicio (interrumpir

el servicio wifi, bloquearlo, colapsarlo…) consistente en enviar tramas de
desconexión a los clientes, impidiendo a estos que puedan utilizar los puntos
de acceso.

9. DoS Flooding. Saturación de los puntos de acceso con intención de llenar las
tablas de enrutamiento y obtener información de las conexiones. Si la
configuración Wifi no cuenta con ningún sistema de protección WIPS, se
puede realizar con diferentes finalidades que incluyen desde saturar las
tablas de enrutamiento de los switchs, hasta inhabilitar los puntos de acceso.
Para liberar los dispositivos, si no cuenta con sistemas de protección, la única
opción disponible es reiniciar los equipos.

10. Clientes puente. Clientes correctamente autorizados a utilizar la red que a su

vez permiten la conexión de otros dispositivos que no están supervisados.
Un ejemplo típico es un portátil autorizado a usar la red wifi y que además
está conectado a otro dispositivo como puede ser una Tablet. La Tablet tiene
acceso a través del portátil, aunque no tenga permisos. Igualmente se puede
conectar un wifi al portátil y conectar cualquier dispositivo con este puente
sin necesidad de autorización y escapando a cualquier control de red.
 IPSEC
IPSec es una propuesta de arquitectura, la cual busca proveer servicios de
seguridad al tráfico de la capa IP (IPv4 y IPv6). La forma de proveer estos servicios
es a través de otros protocolos, así como de mecanismos de criptografía, los cuales
pueden ser usados solos o en conjunto, para proveer distintos niveles de seguridad.
Entre los servicios que provee se encuentran control de acceso, integridad sin
conexión, autentificación de origen de datos, protección anti-duplicados y
confidencialidad.
La manera de conseguir estos objetivos es a través del uso de dos protocolos,
Authentication Header(AH) y Encapsulatin Security Payload (ESP), y el uso de
procedimientos y protocolos de manejo de claves. Estos pueden ser usado en
cualquier contexto y la manera en que se combinarán, depende de los
requerimientos de seguridad de los usuarios, aplicaciones y organizaciones que lo
emplearán. La idea es que el uso de este protocolo sea totalmente transparente al
tráfico del usuario. El protocolo IPSec es totalmente independiente de los algoritmos
y procedimientos usados para los procedimientos criptográficos.
AH:
Authentication Header o Cabecera de Autenticación. Proporciona
autenticación e integridad calculando un resumen sobre los paquetes a
transmitir, pero no confidencialidad.
ESP:
Encapsulating Security Payload o Carga de Seguridad Encapsulada.
Proporciona autenticación, integridad y confidencialidad, utilizando
mecanismos ágiles de cifrado cuya fiabilidad reside en el intercambio previo
de claves.
Es conveniente resaltar que esta seguridad solo afectara la capa IP, y los niveles
superiores a esta.

Algunas de las funcionalidades que provee son:

 Autenticación: una firma digital es utilizada para verificar la identidad del

remitente. IPSec puede utilizar certificados digitales o una clave compartida
previamente.
 Integridad: un algoritmo de hash es utilizado para garantizar que la
información no ha sido modificada en tránsito. A partir del paquete original,
se calcula un HMAC (Hash Message Authentication Code).
  Confidencialidad: se utilizan algoritmos de cifrado para asegurar que la
información transmitida, aunque interceptada, no pueda ser descifrada.
 Anti-repetición: previene que un atacante reenvíe paquetes en un intento de
acceder a la red.
 No repudio: se utilizan firmas digitales para garantizar que el remitente no
pueda negar el envío.
 Claves dinámicas: las claves pueden ser creadas durante la sesión en forma
dinámica, protegiendo distintos segmentos de la información con diferentes
claves.
 Regeneración de claves: el algoritmo de intercambio de claves Diffie-Hellman
se utiliza para habilitar que dos equipos intercambien una clave de cifrado.
 Filtrado de paquetes IP: es posible filtrar e incluso bloquear tipos de tráficos
específicos, basado en cualquier combinación de dirección IP, protocolo y
puerto.

IPSec posee dos modos de operación, túnel y transporte.

 Modo Transporte
Proporciona seguridad de (extremo a extremo) del tráfico de paquetes, en el que los
ordenadores de los extremos finales realizan el procesado de seguridad. Sólo la
carga útil (los datos que se transfieren) del paquete IP es cifrada y autenticada. El
enrutamiento permanece intacto, ya que no se modifica ni se cifra la cabecera IP;
sin embargo, cuando se utiliza la cabecera de autenticación (AH), las direcciones IP
no pueden ser, ya que eso invalidaría el hash. Las capas de transporte y aplicación
están siempre aseguradas por un hash, de forma que no pueden ser modificadas
de ninguna manera (por ejemplo, traduciendo los números de puerto TCP y UDP)
 Modo Túnel
En el modo túnel, todo el paquete IP (datos más cabeceras del mensaje) es cifrado
y/o autenticado. Debe ser entonces encapsulado en un nuevo paquete IP para que
funcione el enrutamiento. El modo túnel se utiliza para comunicaciones red a red
(túneles seguros entre routers, p.e. para VPNs) o comunicaciones ordenador a red
u ordenador a ordenador sobre Internet. El propósito de este modo es establecer
una comunicación segura entre dos redes remotas sobre un canal inseguro.
El algoritmo de cifrado
IPSec brinda servicios de confidencialidad mediante el cifrado de la información
antes de que esta sea enviada. Si los paquetes son interceptados, el cifrado asegura
que el intruso no podrá interpretar la información.
 VPN
Una conexión VPN lo que te permite es crear una red local sin necesidad que sus
integrantes estén físicamente conectados entre sí, sino a través de Internet. Es el
componente "virtual" del que hablábamos antes. Obtienes las ventajas de la red
local (y alguna extra), con una mayor flexibilidad, pues la conexión es a través de
Internet y puede por ejemplo ser de una punta del mundo a la otra.

Sin embargo, es otra peculiaridad de las conexiones VPN la que las está
volviendo tan de moda hoy en día: los túneles de datos. Normalmente,
mientras usas Internet tu dispositivo se pone en contacto con tu proveedor de
Internet, que es el que conecta con los distintos servicios web para ofrecerte,
por ejemplo, los vídeos de YouTube.

Cuando te conectas a una conexión VPN, esto cambia. Todo tu tráfico de red
sigue yendo desde tu dispositivo a tu proveedor de Internet, pero de ahí se
dirige directo al servidor VPN, desde donde partirá al destino. Idealmente la
conexión está cifrada, de modo que tu proveedor de Internet realmente no sabe
a qué estás accediendo. A efectos prácticos, tu dirección IP es la del servidor
VPN: en muchos aspectos es como si estuvieras físicamente ahí, conectándote
a Internet.
Fases de una conexión VPN

1. Autenticación

En esta fase, los datos de los paquetes son primeramente encapsulados,

básicamente envueltos dentro de otros paquetes en procesos que van añadiendo
nueva información y aumentando el tamaño del paquete enviado. Estos datos son
información sobre la máquina emisora, bits de CRC(para garantizar la integridad del
paquete), la propia información enviada y otros datos.

Ahora, tu dispositivo inicia la negociación con el servidor VPN -saludo- y este

responde con una respuesta acorde (ACK o Acknowledgement). Entonces, el
servidor pide las credenciales del usuario para comprobar su identidad real.

2. Tunelización: después de la fase de autenticación, podemos imaginar la

creación un túnel que proporciona un camino seguro para la información entre dos
puntos. Cualquier dato que enviemos mediante dicho túnel estará protegido del
resto de paquetes de la red mediante cifrado, pero no aún.

3. Cifrado: después de haber creado nuestro túnel con éxito, podemos enviar
cualquier información a través de él, pero no podemos dar la información por segura
si estamos conectados a un servicio de VPN gratuito, que estará utilizado por más
usuarios.
Por eso, debemos cifrar los paquetes transmitidos por nuestra máquina ANTES de
que alcancen el túnel, impidiendo así que el resto de usuarios del túnel pueda
acceder a nuestra información (pues siguen el mismo camino de red que nuestros
paquetes).

Ejemplo: pongamos que quieres acceder a una web. Tu dispositivo enviará la

solicitud de acceso -get- al servidor VPN, que después la trasladará en su nombre
a la página en cuestión. Recibirá los datos de dicha web por nosotros y finalmente
nos los devolverá de forma segura.
Merece la pena destacar algo, y es que durante todo el proceso el VPN será
transparente para el servidor remoto al que nos conectamos, de tal modo que este
devolverá la respuesta a la dirección privada virtual como si se comunicase con el
usuario final.