Revista Espectro Tecnolgico / Instituto de Ingeniera y Tecnologa / Universidad Autnoma de Ciudad Jurez

ALGORITMOS DE PROTOCOLOS DE SEGURIDAD EN REDES DE COMPUTADORAS INALMBRICAS Y EL ESTUDIO PARAMTRICO DE SU IMPLEMENTACIN Martn Lpez, Israel Alcocer, Alejandro Barraza, Alejandra Mendoza y Vctor Hinostroza Instituto de Ingeniera y Tecnologa, Universidad Autnoma de Ciudad Jurez Av. del Charro # 450 Norte Ciudad Jurez, Chih., Mxico C. P. 32310 656-6884800 y 656-6884841

Resumen. Este trabajo desarrolla una propuesta para la aplicacin del protocolo de seguridad eficiente en redes inalmbricas. La UACJ tiene una red de aproximadamente 5000 nodos y 60 puntos de acceso para redes inalmbricas. En esta red fueron implementados de manera controlada varios protocolos de seguridad como WEP, WPA, IEEE-802.11i e IPsec. Se identificaron los algoritmos de protocolos de seguridad ms eficientes, en lo que respecta a velocidad, retardo y seguridad de los datos, estacando las caractersticas ms apropiadas para aplicaciones especficas. Se investigaron los problemas ms importantes de seguridad en una red inalmbrica con alta densidad y movilidad de usuarios para comparar los diversos algoritmos de protocolos en lo que respecta a eficiencia, velocidad y costo de instalacin. Asimismo, se experiment con los algoritmos de encriptacin y desencriptacin de datos ms conocidos y significativos. Se hizo un estudio experimental de los diversos protocolos en lo que respecta a aplicaciones cruzadas de polticas de seguridad y escenarios de movilidad de usuarios. As como la posible modificacin y adaptacin de alguno de estos algoritmos. Palabras Claves. Redes inalmbricas, encriptacin/de-encriptacin, algoritmos de seguridad, autentificacin. I. INTRODUCCIN. Las tecnologas inalmbricas facilitan el acceso a la Internet desde cualquier parte. Asimismo, permiten movilidad a los usuarios removiendo las conexiones fsicas a las redes. Sin embargo, caractersticas propias de emisin en redes inalmbricas han causado preocupacin sobre la seguridad ya que la informacin es intercambiada en el espacio, donde la intercepcin y uso malicioso de la informacin se hace ms fcil para cualquiera que tenga posibilidad de tener el equipo adecuado. Por lo tanto, es

necesario desarrollar servicios de seguridad proporcionados por protocolos de seguridad. El protocolo mas importante a considerar para redes inalmbricas es el protocolo conocido como WEP (Wired Equivalent Privacy) privacidad equivalente a la red alambrada, el cual trabaja al nivel de la capa de red MAC (Medium Access Control) control de acceso al medio, este protocolo proporciona control basado en un puerto de la red para los nodos de red inalmbrica. Otro protocolo ms reciente que trata de atacar las deficiencias mas sobresalientes de WEP es un nuevo estndar conocido como IEEE802.11x, este protocolo tambin trabaja en la capa MAC y proporciona control basado en un puerto de la red para los nodos de red inalmbrica. Tambin, el 802.11x, explota el uso del EAP (Extensible Authentication Protocol) protocolo de autentificacin extensible, el cual se usa como un mecanismo de transporte. En la capa de red, se considerar el protocolo IPSec (IP security) seguridad en protocolo de Internet, el cual fue originalmente concebido para redes alambradas, pero puede ser considerado para redes inalmbricas debido a la fortaleza de sus mtodos de autentificacin y encriptacin. El protocolo SSL (Secure Sockets Layers) capas de conexiones seguras, es un protocolo de la capa de transporte y es el protocolo de seguridad mas ampliamente usado en Internet. En la capa de aplicacin se revisar el protocolo RADIUS (Remote Authentication Dial-in User Service), el cual esta basado en la arquitectura cliente-servidor. Aun que hay protocolos de seguridad para cada capa de la red, cada protocolo tiene sus propias debilidades en [2] se demuestran serias debilidades de WEP. En [3] se demuestran los problemas de seguridad de 802.1x. Sin embargo, algo que se puede observar es que estos estudios estn enfocados en problemas del protocolo de seguridad en s y no en las variaciones en funcionamiento que provocan estos protocolos. Este trabajo tiene la intencin de mostrar los problemas de

1
Agosto - Diciembre 2009

Revista Espectro Tecnolgico / Instituto de Ingeniera y Tecnologa / Universidad Autnoma de Ciudad Jurez

funcionamiento provocados por cada protocolo. Para realizar este trabajo se llevaron a cabo diversos experimentos sobre polticas de seguridad, servicios de seguridad, escenarios de movilidad, mediciones sobre parmetros y mtricas fundamentales para seguridad. Inicialmente se construyo una red de prueba para replicar algunos fundamentos sobre servicios de seguridad. Esta red debera tener todo los elementos requeridos para la realizacin de las diferentes arquitecturas y pruebas. Las polticas de seguridad estn diseadas para demostrar los potenciales servicios de seguridad que cada protocolo de seguridad puede proveer, cada protocolo usa varios mecanismos de autentificacin y encriptacin para proporcionar seguridad en la red de prueba. Se midi el impacto de las polticas de seguridad sobre el funcionamiento general del sistema de red y su calidad de servicio con respecto a las siguientes mtricas. Tiempo de autentificacin. Es el tiempo que se necesita para la fase de autentificacin de un protocolo de seguridad. Aqu se medir el tiempo que lleva el proceso de autentificacin en los varios protocolos de seguridad evaluados. Costo de encriptacin. Se refiere a la carga adicional asociada con la encriptacin y desencriptacin de datos. Aqu se medir en trminos de bits, la carga adicional que tiene que soportar el sistema con los diversos algoritmos de encriptacin. Tiempo de respuesta. Es una medida del retardo de la transmisin de datos entre dos nodos. Aqu se medir la mxima velocidad de flujo de informacin que puede soportar cada una de los protocolos.

adems de un listado de los parmetros a tomar en cuenta para la implementacin de servicios de seguridad en redes inalmbricas, obteniendo los resultados de los problemas ms importantes de seguridad en una red inalmbrica con alta densidad y movilidad de usuarios. II. ARQUITECTURA DE PRUEBA. De manera que pudiramos alcanzar los objetivos marcados arriba, se utilizaron varias arquitecturas de red de prueba. En general, la arquitectura mas usada fue la que muestra en la figura 1. Consta de dos subredes, cada una con su servidor y sus puntos de acceso, cada uno de estos puntos de acceso tiene una cantidad variable de nodos, dependiendo de la prueba y del protocolo de seguridad instalado. Los servidores estn conectados por medio de un conmutador y un ruteador. Los parmetros que se evaluaron fueron velocidad de transferencia, tiempo de autentificacin, tiempo de respuesta y la sobrecarga de encriptacin.

Figura 1. Arquitectura de prueba. La figura 1 muestra que se tienen dos subredes con un punto de acceso cada una y a travs de este punto de acceso se conectan al menos cinco estaciones a cada una de las subredes en forma inalmbrica. Todas las mediciones se realizaron con un analizador de envi de paquetes y se consideraron mnimo 5 estaciones de trabajo conectadas a la subred. Los ruteadores y conmutadores inalmbricos se escogieron de tal manera que pudieran los protocolos seleccionados para la prueba. Los protocolos se seleccionaron de manera que proporcionaran un amplio espectro de posibilidades de conexin en aplicaciones prcticas. Casi todos los escenarios de conexin fueron estticos, es decir no haba movimiento de las estaciones de trabajo y

Se hizo un cuadro comparativo de los diversos algoritmos de protocolos en los que respecta a eficiencia, velocidad y costo de instalacin, la evaluacin cuantitativa de los algoritmos de encriptacin/desencriptacin de datos ms conocidos e importantes y una gua de costos y administracin para la implementacin de servicios de seguridad en redes de computadoras inalmbricas. Al final se recomiendan los protocolos mas eficientes en cuanto a los parmetros arriba mencionados y en cuanto a la aplicacin especifica en que se utilizaran. Se realizo la matriz comparativa de escenarios de movilidad y su interrelacin desde el punto de vista de seguridad

2
Agosto - Diciembre 2009

Revista Espectro Tecnolgico / Instituto de Ingeniera y Tecnologa / Universidad Autnoma de Ciudad Jurez

se aseguro que se tuvieran buenas posibilidades de conexin para todas las estaciones de trabajo. III. RESULTADOS. Despus de hacer la combinacin de diferentes escenarios de movilidad, protocolos de seguridad, mtodos de encriptacin y velocidades de transferencia. Se obtuvieron resultados sobre efectos de la encriptacin sobre la velocidad de transferencia, sobrecarga de encriptacin y retardo de los paquetes. En la figura 2, se muestra el tiempo inicial de conexin de los diversos protocolos, se puede observar en la figura que el menor tiempo de conexin corresponde a los protocolos con menor seguridad. Este tiempo sera muy similar si hay una reconexin automtica. Tambin, con WPA 2 el tiempo de conexin es ms grande debido que es el protocolo de mayor seguridad. Figura 3. Costo promedio de conexin inicial. La figura 4 muestra el costo promedio en bits por conexin, en esta figura se puede observar que el protocolo WPA de nuevo tiene le mayor costo, esto est en concordancia con los resultados de la figura 3.

Figura 4. Costo promedio de conexin Figura 2. Tiempo de conexin inicial. La figura 3 muestra el costo en bits de la conexin inicial. En la figura se puede observar que los protocolos WPA tienen un costo mayor que los dems protocolos, ya que este protocolo necesita 6 o 7 paquetes para enviar la llave y uno ms de inicio. Por otro lado, el protocolo WEP, slo requiere 3 paquetes de informacin. En el caso de no seguridad lo nico que tiene que hacer es habilitar la tarjeta e intercambiar DHCP. Asimismo, hay que considerar que los protocolos WEP se llevan a cabo en hardware y por lo tanto su realizacin es ms rpida. Figura 5. Tiempo de reconexin La figura 5 muestra el tiempo de reconexin de un enlace con los diferentes protocolos de seguridad. Los resultaros fueron parecidos al tiempo de conexin inicial en donde el tiempo de conexin es

3
Agosto - Diciembre 2009

Revista Espectro Tecnolgico / Instituto de Ingeniera y Tecnologa / Universidad Autnoma de Ciudad Jurez

proporcional a la seguridad del protocolo, aunque tiene una variacin relativa dependiendo de la estacin de trabajo. Para la reconexin lo que se hizo fue liberar la direccin IP y pedir una nueva. La figura 6 se muestra el tiempo que lleva enviar un archivo del mismo tamao con los diferentes protocolos. En esta figura se puede observar que WEP 128 es el ms rpido; el protocolo WPA AES es el ms lento; WEP 64 y WPA TKIP tienen un retardo intermedio. Sin embargo cunado se observa la figura 7, que muestra el costo en bits de enviar este mismo archivo se puede ver que el costo es muy similar para todos los protocolos. Es decir, en trminos generales, para archivos de gran tamao, no hace mucha diferencia el protocolo que usemos.

un archivo, si hay diferencias significativas en el tiempo para los diferentes protocolos de seguridad, pero respecto a la cantidad en bits enviados, no parece haber diferencias sustanciales. En trabajos posteriores ser necesario incluir ms protocolos de seguridad como 802.11X e IPSEC en sus diversas versiones. Asimismo, faltara incluir ms escenarios tales como; el uso de roaming, de mvil a mvil, mviles en diferentes dominios, etc. Por otro lado, sera conveniente separar el flujo TCP del de UDP y ver la diferencia entre ellos. REFERENCIAS: [1]) TS 33.102: Security architecture, version 4.2.0, release 4. Third Generation Partnership Project Technical Specification Group. 2001 [2] Borisov N., Goldber I. y Wagner D., Intercepting mobile communications : the insecurity of 802.11x, Procc. 7th. International conference on mobile computing and networking, 2001. [3] Mishra A. y Arboaught W., Security analisysy of the IEEE802.11x standar, http://www.cs.umd.edu/waa/wireless.htm, 2002. [3]TR 33.902: Formal analysis of the 3G authentication protocol. Third Generation Partnership Project - Authentication and Key Agreement (AKA). [4] M. Zhang and Y. Fang, Security analysis and enhancements of 3GPP authentication and key agreement protocol, IEEE Trans. Wireless Commun., vol. 4, no. 2, pp. 734742, Mar. 2005. [5] D. A. Cooper and K. P. Birman, Preserving privacy in a network of mobile computers, in Proc. IEEE Symposium Research Security Privacy, 1995, pp. 2638. [6] R. Molva, D. Samfat, and G. Tsudik, Authentication of mobile users, IEEE Network, vol. 8, no. 2, pp. 2634, Mar./Apr. 1994. [7] W.-B. Lee and C.-K. Yeh, A new delegationbased authentication protocol for use in portable communication systems, IEEE Trans. Wireless Commun., vol. 4, no. 1, pp. 5764, Jan. 2005. [8] K. Zhang, Threshold proxy signature schemes, in Proc. 1st InternationalInform. Security Workshop, 1997, pp. 191197. [9] D. Johnson, A. Menezes, and S. Vanstone, The elliptic curve digital signature algorithm (ECDSA), International J. Inform. Security, vol. 1, no. 1, pp. 3663, Aug. 2001. [10] Aissi S., Dabbous N. y Prasad A., Security for mobile networks and platforms, Ed. Universal personal communications, 2006.

Figura 6. Tiempo de transmisin de archivo.

Figura 7. Cantidad de bits necesarios IV. CONCLUSIONES. Los resultados obtenidos muestran que la diferencia en tiempos de conexin depende de la introduccin de la llave de acceso. En cuanto al tiempo promedio de conexin inicial y reconexin, la diferencia est en el nmero de paquetes que el protocolo tiene que intercambiar para su identificacin y autentificacin. En el tiempo necesario para enviar

4
Agosto - Diciembre 2009