UNIVERSIDAD MAYOR FACULTAD DE INGENIERIA

IMPLEMENTACION Y SOPORTE TEORICO DE UN SISTEMA DE MONITOREO DE RED INALAMBRICA BAJO LA NORMA 802.11
Proyecto de Titulacin para Optar al Ttulo de Ingeniero de Ejecucin Electrnico

PATRICIA SUSANA VIVEROS FUENTES

SANTIAGO DE CHILE JUNIO-2007

UNIVERSIDAD MAYOR FACULTAD DE INGENIERIA

IMPLEMENTACION Y SOPORTE TEORICO DE UN SISTEMA DE MONITOREO DE RED INALAMBRICA BAJO LA NORMA 802.11
Proyecto de Titulacin para Optar al Ttulo de Ingeniero de Ejecucin Electrnico

Alumna Profesor Gua

: Patricia Susana Viveros Fuentes : Ariel Contreras Opazo Ingeniero Civil Electrnico

SANTIAGO DE CHILE JUNIO-2007

DEDICATORIA

Dedico este trabajo:

A mis Padres por su paciencia, confianza y apoyo incondicional. A Jan Eckert que me apoyo en todo momento.

Patricia

AGRADECIMIENTOS

Doy mis sinceros agradecimientos a:

Dios que me dio fuerzas para sacar adelante mi carrera. Todos aquellos que de una u otra forma me ayudaron a elaborar este Proyecto. A Don Carlos Branje y Don Manuel Flores por darme la oportunidad de realizar este Proyecto y brindarme todo su apoyo. A mi Profesor Gua Don Ariel Contreras por su apoyo, acertada orientacin y claridad en sus conceptos. A la Universidad que me entreg los elementos tcnicos necesarios para desarrollarnos personal y profesionalmente y me permiti interactuar con un equipo docente y administrativo de primer nivel.

Patricia

INDICE
Pgina RESUMEN v vi 1 1 1 4 4 4 5 5 6 8 9 10 12 12 17 19 23 23 24 24 26 36 36 37 38 41 i

ABSTRACT
CAPITULO I. INTRODUCCION 1.1. Antecedentes Generales y de Contexto 1.2. Descripcin Bsica del Sistema 1.3. Objetivos 1.3.1 Objetivo general 1.3.2 Objetivo especfico CAPITULO II. MARCO TEORICO 2.1. 2.2. 2.3. 2.4. 2.5. 2.6. Introduccin Redes de Area Local (LAN) Caractersticas del Mercado Beneficios Seguridad en las Redes Norma 802 y Estndares 2.6.1. Antecedentes generales 2.6.2. IEEE 802.11 2.7. Estndares CAPITULO III. ESTADO ACTUAL DE LA TECNOLOGIA INALAMBRICA 3.1. Introduccin 3.2. Topologas y Dispositivos 3.2.1. Dispositivos para redes inalmbricas 3.2.2. Elementos y equipos que interactan en una red WLAN 3.3. Seguridad en las Redes Wi-Fi 3.3.1. Seguridad en redes inalmbricas 802.11 3.3.2. El ambiente de seguridad de 802.11b 3.3.3. Mecanismos de seguridad IEEE 802.11b 3.3.4. Administracin centralizada de seguridad inalmbrica

3.3.5. Consideraciones para proteger una Red WLAN 3.4. Aplicaciones de Redes Wireless 3.5. WLAN una opcin de la PYME CAPITULO IV. IMPLEMENTACION DEL SISTEMA DISTRIBUTED 4.1. Introduccin 4.2. Sistema AirMagnet 4.2.1. Descripcin de la tecnologa AirMagnet 4.2.2. Administracin inalmbrica 4.2.3. Manejo del desempeo 4.2.4. Manejo de seguridad 4.2.5. Solucin de problemas de conexin 4.3. Componentes del Sistema AirMagnet 4.3.1. Servidor de administracin AirMagnet 4.3.2. Consola de administracin AirMagnet 4.3.3. Sensor AirMagnet 4.3.4. Reportero Distribudo AirMagnet 4.3.5. Equipamiento para la implementacin del sistema 4.3.6. Distribucin de componentes fsicos del sistema AirMagnet 4.4. Instalacin y Configuracin de AirMagnet 4.4.1. Instalacin del Servidor AirMagnet 4.4.2. Instalacin de Microsoft SQL Server (base de datos) 4.4.3. Instalacin de AirMagnet Distributed Reporter 4.4.4. Instalacin de La Consola AirMagnet 4.4.5. Instalacin de Los Sensores AirMagnet 4.5. Desplegando el Sistema AirMagnet 4.6. Consola AirMagnet Distributed 4.6.1. Utilizando la pantalla Start 4.6.2. Utilizando la pantalla AirWISE 4.6.3. Utilizando la pantalla Infrastructure 4.6.4. Utilizando la pantalla Charts 4.6.5. Polticas de administracin de perifricos 4.7. Analizador Remoto de AirMagnet 4.7.1. Pantalla de Inicio (Start) 4.7.2. Pantalla de Canales (Channel) 4.7.3. Pantalla Infraestructura 4.7.4. Pantalla AirWISE 4.7.5. Pantalla Charts

45 46 48 50 50 50 50 51 51 52 52 52 53 54 54 55 55 57 58 61 63 64 64 65 66 72 78 81 84 86 87 88 90 92 93 94 95

ii

4.7.6. Pantalla Decodes 4.8. Implementacin del Sistema Distributed 4.8.1. Pruebas realizadas 4.8.2. Conclusiones CAPITULO V. CONCLUSIONES BIBLIOGRAFIA ANEXOS Anexo N 1. Glosario

96 97 100 102 103 105 108 109

INDICE DE TABLAS Tabla N 1. Tabla N 2. Tabla N 3. Tabla N 4. Tabla N 5. Estndares de redes inalmbricas LAN Sensor FOV resumen de medidas Servidor AirMagnet sin reportero Servidor AirMagnet con reportero Canales por regin en el mundo 19 70 71 71 93

INDICE DE CUADROS Cuadro N 1. Modelo OSI 13

INDICE DE FIGURAS Figura N 1. Figura N 2. Figura N 3. Figura N 4. Figura N 5. Figura N 6. Figura N 7. Figura N 8. Figura N 9. Figura N 10. Figura N 11. Figura N 12. Arquitectura del sistema Distributed Enlace de reas fsicas independientes Enlace entre redes locales prximas Redes inalmbricas en la misma rea fsica Access Point con antena Access Point en modo infraestructura Access Point conectados en puente Access Point como repetidor Access Point multimodo Access Point con Router y Switch incluido Adaptador inalmbrico PCMCIA Tarjetas adaptadoras PCI para PC 2 6 7 8 26 27 27 29 29 30 31 32

iii

Figura N 13. Figura N 14. Figura N 15. Figura N 16. Figura N 17. Figura N 18. Figura N 19. Figura N 20. Figura N 21. Figura N 22. Figura N 23. Figura N 24. Figura N 25. Figura N 26. Figura N 27. Figura N 28. Figura N 29. Figura N 30. Figura N 31. Figura N 32. Figura N 33. Figura N 34. Figura N 35. Figura N 36. Figura N 37. Figura N 38. Figura N 39. Figura N 40. Figura N 41. Figura N 42. Figura N 43. Figura N 44. Figura N 45. Figura N 46. Figura N 47. Figura N 48. Figura N 49. Figura N 50.

Adaptadores inalmbricos USB Adaptador inalmbrico compact flash Bridge inalmbrico

Workgroup bridge Wi-Fi zone

Autentificacin por sistema abierto Autentificacin por clave privada Autentificacin RADIUS Topologa del Sistema AirMagnet

Software starter kit Hardware stater kit

Componentes adicionales Distribucin del hardware del Sistema de AirMagnet Verificacin del estado del servidor AirMagnet Verificacin del estado del sensor AirMagnet Bordes FOV Pantalla de conexin del servidor Visualizacin de un servidor Pantalla de inicio de AirMagnet Herramientas del Arbol de Red Arbol de Red Men principal Botones de la barra de navegacin Pantalla de inicio Arbol de ubicacin Arbol de polticas Pantalla infraestructura Botones del panel de detalles Pantalla Charts Pantalla inicial de interfaz de usuario remoto Pantalla canal de interfaz de usuario remoto Pantalla infraestructura del interfaz de usuario remoto Pantalla AirWISE de interfaz de usuario remoto Pantalla Charts de interfaz de usuario remoto Pantalla Decodes de interfaz de usuario remoto Esquema de configuracin de componentes del Sistema Distributed Distribucin de dispositivos en Avantec Deteccin de problemas y fallas mediante alarmas

32 33 34 35 36 40 41 44 53 56 56 57 57 63 66 68 72 73 74 75 75 76 77 79 82 83 84 85 86 91 92 94 95 96 97 98 99 100

iv

RESUMEN
El Proyecto Implementacin y Soporte Terico de un Sistema de Monitoreo de Red Inalmbrica bajo la Norma 802.11, est orientado a cubrir las necesidades de la empresa Avantec S.A. desde el punto de vista terico en el mbito de la nueva tecnologa de redes inalmbricas basada en la Norma 802.11a/b/g. La investigacin del Estado del Arte de la normalizacin de la QoS (Quality of Service) y de las Redes WLAN (Wireless Local Area Network) se presenta con gran nfasis en este Proyecto, ya que es uno de los pilares fundamentales para que una red inalmbrica funcione correctamente y, por ende, el monitoreo de la misma sea el ms eficiente. De la eficiencia en el monitoreo de una red inalmbrica, utilizando el Sistema Distributed de AirMagnet, depende el xito que espera tener la empresa Avantec S.A. en cuanto a la masificacin de este sistema en el mercado de las Telecomunicaciones. Este Proyecto pretende servir de material de referencia y orientacin para aquellos profesionales del rea de las Telecomunicaciones que requieren evaluar e implementar un sistema de gestin de redes WLAN diseado para monitorear y garantizar la seguridad completa de la red, un correcto funcionamiento de los dispositivos y la fiabilidad total del sistema. Los contenidos del presente Proyecto se han estructurado en cinco Captulos. El Captulo I de Introduccin, entrega los antecedentes y los objetivos general y especficos del Proyecto. En el Captulo II, se establece el Marco Terico en la cual se explican las tendencias tecnolgicas, seguridad de las redes y las normas vigentes, entregando los conceptos tericos para entender el funcionamiento de una red inalmbrica con la gestin de un software de monitoreo. En el Captulo III, se da a conocer el estado actual de la tecnologa inalmbrica, sus topologas y dispositivos disponibles en el mercado, como tambin una descripcin sobre la seguridad de las redes WLAN y cules son los puntos crticos a tomar en cuenta al momento de implementar una red. En el Captulo IV, se entregan los antecedentes para la implementacin del Sistema Distributed y una descripcin de las pruebas que se realizaron en terreno. Este sistema de monitoreo es una herramienta de control en la seguridad en las redes para empresas con una infraestructura inalmbrica compleja o crticamente importante. Por ltimo, en el Captulo V, se presentan las Conclusiones del Proyecto que tiene sus fundamentos en los requerimientos en seguridad para los encargados de la tecnologa de la informacin, en este caso de Avantec S.A.

ABSTRACT
The Project Implementacin y Soporte Terico de un Sistema de Monitoreo de Red Inalmbrica bajo la Norma 802.11 is oriented towards covering the necessities of the company Avantec S.A. as seen from a theoretical perspective in the field of new wireless technologies in the 802.11a/b/g standard. The research of the state of the art of the normalization of QoS (Quality of Service) as well as WLAN networks (Wireless Local Area Network) is presented with great emphasis in this Project because it is one of the fundamental pillars for a wireless network to work correctly and thereby also more efficiently in its monitoring of this same network. The success that Avantec S.A. hopes to gain, lies in the efficiency in the monitoring of a wireless network using the AirMagnet Distributed System as far as the proliferation of the system in the telecommunications market. This Project pretends to work as reference material and orientation for professionals in Telecommunications who want to evaluate and implement a WLAN Network Management System designed to monitor and guarantee total security in the network and well functioning components as well as a credible system. The contents of this Project has been structured into five Chapters. Chapter I, Introduction, presents the antecedents and the general and specific objectives of the Project. In Chapter II the theoretical framework is laid out - technological tendencies, network security and contemporary standards are explained. This chapter presents the necessary theoretical concepts which are essential to be able to understand the workings of a wireless network with the management of a monitoring software. Chapter III describes todays wireless technology, its topologies and available components on the market. Also included is a description of WLAN network security and the critical points which should be considered in the moment of implementing a wireless network. Chapter IV lays out all antecedents for the implementation of Distributed System and includes a description of the tests that were carried out. This monitoring system is a control tool in the network security for companies with a complex wireless infrastructure or critically important. At last, Chapter V, general conclusions with its roots in the security requirements for the people responsible for the information technology, in this case Avantec S.A. are drawn from the Project.

vi

CAPITULO I INTRODUCION
1.1. ANTECEDENTES GENERALES Y CONTEXTO Avantec S.A. es una empresa nacional con ms de 10 aos de experiencia en el mbito de la instrumentacin y todo el prestigio que brindan sus representados lo cual se materializa en la entrega de soluciones a medida en forma oportuna a cada uno de sus clientes. Al conjunto de representados se ha sumado AirMagnet, empresa dedicada a proveer herramientas para la administracin y gestin sobre redes 802.11 a/b/g y a dar soluciones que permitan determinar el rendimiento, funcionamiento y seguridad de las redes inalmbricas. Actualmente, las redes inalmbricas en Chile tienen una serie de problemas, ya que no hay parmetros normalizados para este tipo de conexiones, es por eso que utilizan la banda de frecuencia de los 2,4 GHz y 5,8 GHz, que son las asignadas por casi todos los pases para ser usadas por dispositivos no licenciados. En Chile, la mayora de las empresas proveedoras de conexin inalmbrica entregan sus servicios sin realizar previamente un estudio de cobertura, ya que no poseen las herramientas adecuadas para ello, tampoco conocen realmente las velocidades de transmisin que puedan alcanzar las redes inalmbricas, si no que todo se maneja en supuestos, obteniendo datos de pruebas realizadas y no mediante un estudio y anlisis del comportamiento de las seales en la red. AirMagnet ofrece la herramienta necesaria para realizar un estudio de cobertura y un monitoreo permanente, lo que cambiara significativamente la calidad del servicio de red inalmbrica que ofrecen las empresas en Chile, tanto desde el punto de vista de performance como de seguridad. 1.2. DESCRIPCION BASICA DEL SISTEMA El sistema de monitoreo provedo por AirMagnet, recibe el nombre de Distributed y posee las siguientes caractersticas: Es un sistema de gestin de redes WLAN (Wireless Local Area Network) diseado para garantizar la seguridad completa de la red, un correcto funcionamiento de los dispositivos y la fiabilidad total del sistema

Est formado por un servidor central, sensores remotos y tantas consolas fijas o porttiles (Laptop o PDA (Personal Digital Assistent)) como se consideren necesarias para la monitorizacin de una WLAN en tiempo real. FIGURA N 1 ARQUITECTURA DEL SISTEMA DISTRIBUTED

Fuente: AirMagnet (2005).

Los componentes del Sistema Distributed son: 1. Sensores, hardware y software Explora bandas 802.11 a/b/g Ms de 30 Alarmas de Seguridad: Aplicacin de Polticas de la empresa, deteccin de AP (Access Point o Puntos de Acceso, dispositivo que ejercen bsicamente funciones de

puente entre una red Ethernet con una red Wi-Fi) pirata o no configurados, validacin de 802.1x/leap/tkip/mic (estndares de seguridad para redes Wi-Fi), deteccin de intrusos y DoS (Denial of Service, Ataques de Negacin de Servicio) Ms de 24 alarmas de funcionamiento: o Canal: Cada canal inalmbrico crea una red separada, as los dispositivos que usan un canal determinado no estn en la misma red que aqullos que utilizan otro canal. An as puede existir interferencias debido al trfico por canales adyacentes, por lo que es recomendable no utilizar ms de cinco seis canales y que stos se encuentren esparcidos. Esta configuracin permite a las ondas de radio superponerse sin efectuar ocupacin del ancho de banda a los computadores clientes inalmbricos. DSSS 802.11 trabaja en la Banda de Frecuencia 2,4 GHz la cul no requiere de una licencia en la mayora de los pases y provee alto rendimiento de bajas frecuencias. Catorce canales de 2,4 GHz son permitidos para uso a nivel mundial; 1-11 para USA y Canad, 1-13 para Chile y Europa, 12-13 para Espaa, 10-13 para Francia y 1-14 para Japn o BW (Band Wide) de AP sobrecargado o Errores CRC (Cyclic Redundancy Check) o Interferencia RF (Radio Frecuencia).

2. Servidor Recoge informacin vital de sensores y la almacena en un servidor de base de datos SQL (Structured Query Language) Reportes de administracin y funcionamiento.

3. Consola de Administracin Plataforma Windows o PocketPC (computador de bolsillo) Monitorizacin en tiempo real Administracin de sensores, configuracin y actualizaciones Acceso remoto para localizar averas alejadas.

1.3. OBJETIVOS 1.3.1. Objetivo General El objetivo central del Proyecto es cubrir las necesidades de Avantec S.A. desde el punto de vista terico en el mbito de la nueva tecnologa de redes inalmbricas basada en la Norma 802.11a/b/g. 1.3.2. Objetivo Especfico El objetivo especfico se orienta a implementar un sistema de monitoreo para red inalmbrica en la empresa Avantec S.A. entregando, adems, una base terica de sta.

CAPITULO II MARCO TEORICO

2.1. INTRODUCCION Una de las tecnologas ms prometedoras y discutidas en esta dcada, es la de poder comunicar computadores mediante tecnologa inalmbrica. La conexin de computadores mediante ondas de radio o luz infrarroja, actualmente est siendo utilizada y ampliamente investigada. Las redes inalmbricas facilitan la operacin en lugares donde el computador no puede permanecer en un solo lugar, como en oficinas que se encuentren distribuidas en varios pisos. La realidad es que esta tecnologa est siendo estudiada ms a fondo para resolver varios obstculos tcnicos y de regulacin antes de que las redes inalmbricas sean utilizadas de una manera general en los sistemas de la actualidad. No se espera que las redes inalmbricas lleguen a reemplazar a las redes cableadas. Estas ofrecen velocidades de transmisin mayores que las logradas con la tecnologa inalmbrica. Las redes inalmbricas actuales ofrecen velocidades de 11-54 Mbps, las redes cableadas ofrecen velocidades de 100-1000 Mbps. Los sistemas de cable de fibra ptica logran velocidades an mayores y, pensando en el futuro no muy lejano, se espera que las redes inalmbricas alcancen velocidades mayores de 100 Mbps. Sin embargo, se pueden mezclar las redes cableadas con las inalmbricas y, de esta manera, generar una Red Hbrida. Se puede considerar que el sistema cableado sea la parte principal y la inalmbrica le proporcione movilidad adicional al equipo y el operador se pueda desplazar con facilidad dentro de una oficina. Estas son utilizadas principalmente en redes corporativas cuyas oficinas se encuentran en uno o varios edificios que no se encuentran muy retirados entre si, con velocidades del orden de 11 Mbps hasta los 54 Mbps. La tecnologa WLAN viene regida por el Estndar 802.11, especificado por el IEEE (Electrical and Electronics Engineers Institute), el mismo organismo encargado de especificar el resto de tecnologas de red (como en Ethernet la 802.3). Mediante este proceso, se garantiza inicialmente la interoperabilidad entre diferentes fabricantes y un funcionamiento dentro de las capas del modelo de comunicaciones igual que cualquier otra tecnologa LAN (Local Area Network). Por tanto, su interaccin con protocolos de comunicacin, como TCP/IP (Transmission Control Protocol), es totalmente transparente. Desde el punto de vista del sistema operativo, usar un adaptador de WLAN es lo mismo que utilizar uno de LAN tradicional. 5

Por las redes de datos circula informacin personal y comercial, que muchas veces son de alta confidencialidad. Por lo anterior, el tema de la confidencialidad y privacidad de la informacin es un factor fundamental para el xito de una nueva tecnologa en redes de datos y en especial en las redes de datos inalmbricas, en las cuales la informacin viaja a travs de aire, donde cualquiera con los conocimientos y equipos adecuados podra apoderarse de los paquetes de datos y por ende de la informacin. 2.2. REDES DE AREA LOCAL Las redes inalmbricas se diferencian de las convencionales principalmente en la Capa Fsica y la Capa de Enlace de Datos, segn el modelo de referencia OSI (Open Systems Interconnection). La capa fsica indica cmo son enviados los bits de una estacin a otra. La Capa de Enlace de Datos (denominada MAC, Medium Access Control), se encarga de describir cmo se empaquetan y verifican los bits de modo que no tengan errores. Las dems capas forman los protocolos o utilizan puentes, encaminadores o compuertas para conectarse. Los dos mtodos para reemplazar la capa fsica en una red inalmbrica son la transmisin de radio frecuencia y la luz infrarroja. Los usos y aplicaciones tpicas de las redes inalmbricas de rea local son: 1. Enlace de reas fsicas independientes mediante Puntos de Acceso (AP) El enlace entre redes inalmbricas situadas en diferentes pisos de un mismo edificio es un ejemplo perfecto del uso de AP para realizar el enlace entre redes inalmbricas independientes, mediante un mnimo cableado Ethernet, en aquellas situaciones de cobertura lmite de las antenas debido a obstculos importantes. FIGURA N 2 ENLACE DE AREAS FISICAS INDEPENDIENTES

Fuente: ImasD (2005).

2. Enlaces entre Redes Locales Prximas (Bridge) La combinacin de dos Puntos de Acceso (Puente) permite llevar a cabo el enlace entre dos reas inalmbricas, cuando resulta imposible, lento o demasiado caro realizar esta unin mediante cable. Para una situacin similar entre dos redes Ethernet existentes, el puente permite enlazar ambas inalmbricamente evitando va radio los obstculos que impedan su unin mediante un cable. FIGURA N 3 ENLACES ENTRE REDES LOCALES PROXIMAS

Fuente: ImasD (2005).

3. Redes inalmbricas en la misma rea fsica Dos o ms redes inalmbricas, tanto en modo Ad-Hoc como de Infraestructura, pueden coexistir simultneamente en la misma rea fsica de cobertura de sus antenas, de forma totalmente transparente a los usuarios de cada una de las redes. La diferencia principal entre una red de tipo Infraestructura y una red de tipo Ad-Hoc es que la primera incluye un computador principal que tiene incorporado un adaptador de red inalmbrica y est conectado a un punto de acceso (AP) inalmbrico. De esta manera, los computadores que forman parte de una LAN inalmbrica de tipo infraestructura pueden acceder a los recursos y herramientas

de una LAN cableada, incluyendo acceso a Internet y correo electrnico, intercambio de archivos y uso de la misma impresora. Adems, mediante una sencilla operacin de asignacin de canales en su configuracin, ambas redes pueden operar a pleno rendimiento de su ancho de banda a 2 Mbps, en otras palabras, en el modo Infraestructura el AP regula la comunicacin entre las estaciones, mientras que en Ad-Hoc el acceso al medio es regulado por cada estacin. En modo Ad-Hoc todas las estaciones necesitan estar en el mismo radio de alcance para poder comunicarse entre ellas, en modo Infraestructura no es necesario ya que el AP cumple un papel de repetidor aumentando la zona de cobertura. Todas estas caractersticas y diferencias entre ambas topologas de WLAN hacen que cada una de ellas sea ms adecuada a diferentes ambientes, es decir, el modo Infraestructura se recomienda para empresas en que los usuarios mviles requieren acceso a bases de datos centralizadas o aplicaciones cliente-servidor, mientras que un modo Ad-Hoc ofrece un mejor desempeo en redes pequeas. FIGURA N 4 REDES INALAMBRICAS EN LA MISMA AREA FISICA

Fuente: ImasD (2005).

2.3. CARACTERISTICAS DEL MERCADO Aunque nadie duda de que la consolidacin del Estndar IEEE 802.11b; cuya revisin original fue ratificada en 1999 y tiene una velocidad mxima de transmisin de 11 Mbps, utiliza el

mismo mtodo de acceso CSMA/CA definido en el estndar original y funciona en la banda de 2,4 GHz; ha servido de revolucin para la industria de las redes locales inalmbricas, lo cierto es que el proceso de evolucin de las tecnologas WLAN contina imparable y los principales fabricantes del mercado trabajan para dar mejores y nuevas soluciones inalmbricas bajo el reciente Estndar 802.11 a/b/g. Aprobado junto al 802.11b hace un par de aos, el IEEE 802.11a, significar para el mercado del networking inalmbrico lo que en su da represent la aparicin de Gigabit Ethernet para las redes de cableado. El Estndar 802.11a utiliza el mismo juego de protocolos de base que el estndar original, opera en la banda de 5 GHz y utiliza 52 subportadoras OFDM (Orthogonal Frequency Division Multiplexing) con una velocidad mxima de 54 Mbps lo que lo hace un estndar prctico para redes inalmbricas con velocidades reales de aproximadamente 20 Mbps. La velocidad de datos se reduce a 48, 36, 24, 18, 12, 9 o 6 Mbps en caso que fuese necesario. La 802.11a posee 12 canales no solapados, ocho para red inalmbrica y cuatro para conexiones punto a punto. No puede interoperar con equipos del estndar 802.11b, excepto si se dispone de equipos que implementen ambos estndares. La mayor ventaja de la Norma 802.11a radicar en que proporcionar una velocidad en la transmisin de datos que oscilar entre 6 y 54 Mbps. Para conseguir este salto en la velocidad recurrir a la denominada Multiplexacin por Divisin en Frecuencia Ortogonal (OFDM), una modalidad de la tecnologa de Espectro Expandido. El Estndar 802.11a utiliza la banda de los 5 GHz, una frecuencia distinta a los 2,4 GHz a los que recurre el 802.11b, lo que lo convierte en incompatible con las redes Wi-Fi (Wireless de alta fidelidad), as bien, en su descargo, hay que aadir que pueden coexistir sin que surjan riesgos de interferencias. Sin embargo, un escenario compartido entre ambas tecnologas requiere ya la instalacin de infraestructuras diferentes, lo que sin duda aumenta los inconvenientes y los costos, en buena medida derivados de la necesidad de un mayor nmero de puntos de acceso de 802.11a para disponer de una cobertura ptima. 2.4. BENEFICIOS 1. Para los usuarios el uso de una WLAN les aporta: Flexibilidad dentro del rea de cobertura No necesita licencias

Robustez frente a contingencias (tcnicas de encriptacin dificultan el acceso no autorizado a la red) Facilidad a la hora de aadir nuevos usuarios En concreto, la aplicacin de 802.11 aporta el conocimiento de un estndar y el producto hacia el que parece evolucionar el mercado.

2. Para los instaladores, el uso de una WLAN les aporta: Es posible construir redes sin infraestructura ni planificacin previa Montajes rpidos y sencillos En concreto, la aplicacin de 802.11, le aporta el conocimiento de un estndar con una gran proyeccin de futuro.

2.5. SEGURIDAD EN LAS REDES Para conectarse a una red inalmbrica que no implementa cifrado WEP (Wired Equivalent Privacy) basta con instalar una tarjeta de red inalmbrica a un computador porttil cualquiera. Especialmente en sistemas Linux no es necesario siquiera configurar los controladores de la tarjeta, basta con esperar a que el servidor DHCP (Dynamic Host Configuration Protocol), tpicamente existente en redes inalmbricas, asigne una direccin y se puede comenzar a utilizar la red. Si se habla de una red genrica, en la que s hay WEP configurado, lo que se necesita hacer es configurar la tarjeta de red con una de las llaves de uso de la red. Esto se hace dependiendo del sistema operativo y tipo de tarjeta que se emplee. Por ejemplo, en Linux se puede especificar el ESSID y la llave de cifrado WEP utilizando el programa iwconfig. 1. Opciones de seguridad en redes inalmbricas WEP no es la mejor opcin, sin embargo, es la nica opcin que se tiene compatible con todo el hardware inalmbrico disponible en el mercado. La WECA (Wireless Ethernet Compatibility Alliance) defini un mecanismo destinado a reemplazar a WEP sin requerir modificaciones al hardware existente. TKIP (Temporary Key Integrity Protocol) hace un tanto ms complejo el trabajo de quien desee romper la seguridad adivinando las llaves pero definitivamente no es suficiente, ya que sigue siendo vulnerable al mismo tipo de ataques (pirateo de claves y contraseas o uso no autorizado del sistema). Cabe mencionar que TKIP fue diseado desde el principio nicamente como una

10

medida paliativa temporal a las debilidades de WEP, haciendo el mximo uso posible del hardware ya disponible en las miles de tarjetas inalmbricas ya instaladas. La IEEE recomienda el uso de AES (Advanced Encryption Standard) que ser pronto un estndar de cifrado en todo tipo de productos pero, actualmente, este nivel de cifrado requiere mayor trabajo matemtico del que puede realizar un dispositivo tan simple como una tarjeta de red. Una buena solucin es el uso de cifrado en capas superiores, especficamente en la capa de red IP (Internet Protocol), requiriendo el uso del estndar IPSec (Protocolo de Seguridad Estndar en Internet) para el uso de la red inalmbrica. Si bien ste es el mejor mecanismo para implementar verdadera seguridad, sigue teniendo la desventaja de significar una carga adicional a la CPU. El cifrado que realiza IPSec es matemticamente muy complejo. Sin embargo, de entre todas las opciones que se tienen, es sin duda la ms completa y confiable. 2. Seguridad dentro de organizaciones que utilizan redes inalmbricas La seguridad en muchas organizaciones, inclusive organizaciones muy grandes, es relegada, dndole muy baja prioridad o hasta ignorndola por completo. Es, desafortunadamente, demasiado comn ver grandes organizaciones en las que no se han tomado ni las ms bsicas precauciones relativas a la seguridad y a nadie sorprende cuando reportan prdidas millonarias por un ataque. 3. Negligencia en cuanto a la seguridad de una red Si bien no es posible justificar que una organizacin no invierta en la seguridad adecuada para su red, se puede entender que hasta que no tengan un primer incidente importante no contraten a un equipo dedicado a seguridad. Sin embargo, el no configurar los aspectos ms bsicos de seguridad en una red inalmbrica, los cuales pueden ser implementados sin costo adicional, no puede calificarse ms que de negligencia. 4. Antenas Tanto los AP como las tarjetas de red estn equipados con pequeas antenas, aptas para lograr un alcance de un par de cientos de metros en condiciones ideales, lo cual en el mundo real se traduce a varias decenas de metros, por la sombra proyectada por las construcciones, interferencias externas, etc.

11

Estos equipos, sin embargo, estn diseados para permitir montar redes mucho ms amplias. Pueden servir como infraestructura muy econmica entre edificios separados por ms de 15 kilmetros, nuevamente, en condiciones ideales. Para aumentar el alcance de los equipos, stos pueden conectarse a diferentes tipos de antenas. Existen antenas de alta ganancia unidireccional, de muy diferentes tipos (colineal, helicoidal, Yagi, semiparablicas, etc.). Hay tambin antenas omnidireccionales, para aumentar, tanto el radio de cobertura de un dispositivo inalmbrico, como para aumentar la resistencia a interferencia. Estas antenas se pueden adquirir prefabricadas o se pueden hacer artesanalmente. Hay instrucciones para hacer esto en las diferentes redes de aficionados que dan cobertura inalmbrica, conocidas como Guerrilla.net, a diferentes ciudades en todo el mundo. Estas antenas, que tpicamente se hacen ya sea con tubos PVC o similares, logran una ganancia muy similar a la de una Yagi profesional, a una fraccin del precio. Se debe mencionar que no siempre es ptimo tener una cobertura muy extensa de la seal ya que se puede ser vctima de intrusin o destruccin. 5. Alta seguridad en base a llaves de acceso Un dispositivo con una encriptacin WEP puede tener configurado hasta cuatro llaves de red y podr comunicarse con cualquier otro dispositivo que tenga una de estas llaves o que no est utilizando cifrado, a menos que sea configurado explcitamente para no aceptar comunicaciones no cifradas. Cabe mencionar que, configurar dos dispositivos correctamente con WEP en el Estndar 802.11b, deben necesariamente interoperar en los mismos parmetros de configuracin, tales como, clave, modo de WEP (64 128 bits) y nmero de key. 2.6. NORMA 802 Y ESTANDARES 2.6.1. Antecedentes Generales El Instituto de Ingenieros Electrnicos y Elctricos (IEEE), fue Fundado en 1884 con el nombre AIEE, que luego de fusionarse con IRE adopt en 1963 el nombre que lleva actualmente. IEEE es una organizacin integrada por ingenieros, cientficos y estudiantes. El IEEE es conocido como el mejor referente para los estndares que rigen la industria de la informtica y de la electrnica. En detalle, los estndares IEEE 802 son ampliamente aplicables para las redes de rea local.

12

La Norma 802 creada por el IEEE est compuesta de las siguientes normas:

802.1 da una introduccin al conjunto de normas y define las primitivas de interfaz, para interconexin en la capa de red 802.2 describe la parte superior de la capa de enlace que utiliza el protocolo LLC (Logical Link Control, Control de Enlaces Lgicos) 802.3 describe la Norma CSMA/CD (Carrier Sense Multiple Access with Collision Detection) 802.4 describe la Norma token bus 802.5 describe la Norma token ring 802.6 red de rea metropolitana MAN (Metropolitan Area Network) 802.7 grupo asesor para tcnicas de banda ancha 802.8 grupo asesor para tcnicas de fibra ptica 802.9 redes integradas para voz y datos 802.10 seguridad de red 802.11 redes inalmbricas 802.12 LAN de acceso de prioridad bajo demanda (100 VG-Any LAN). CUADRO N 1 MODELO OSI

Fuente: Universidad Antonio de Nebrija (2005).

1. IEEE 802.1 definicin de interconexin de red El IEEE 802.1 define la relacin entre las normas 802 del IEEE y el modelo de referencia de la OSI. Este comit establece que las direcciones fsicas de las estaciones de la LAN sean de 48 bits para todas las normas 802, para que cada adaptador tenga una nica direccin.

13

2. IEEE 802.2 control de enlaces lgicos El control de enlaces lgicos 802.2 define el protocolo que asegura que los datos se transmiten de forma fiable a travs del enlace de comunicaciones LLC. En los bridges estos dos subniveles se utilizan como un mecanismo modular de conmutacin. 3. IEEE 802.3 Ethernet Ethernet fue inventada en el Xerox Palo Alto Research Center en los aos 70 por el Dr. Robert M. Metcalfe. Fue diseada para soportar bsqueda en la oficina del futuro, que inclua una de las primeras estaciones de trabajo personal del mundo, la Xerox Alto. El primer sistema Ethernet funcionaba aproximadamente a 3 Mbps y era conocido como Ethernet experimental. Las especificaciones formales para Ethernet fueron publicadas en 1980 por un consorcio de fabricantes que crearon el estndar DIX (DEC Intel Xerox). Este impulso convirti el Ethernet experimental en un sistema abierto y de calidad que opera a 10 Mbps. La tecnologa Ethernet fue adoptada despus como estndar por el comit de estndares LAN del Instituto de Ingenieros Elctricos y Electrnicos con la Norma IEEE 802. El Estndar IEEE fue publicado por primera vez en 1985, bajo el ttulo IEEE 802.3 Carrier Sense Multiple Access with Collision Detection (CSMA/CD) Access Method and Physical Layer Specifications (IEEE 802.3 Portadora de Acceso Mltiple con Deteccin de Colisiones (CSMA/CD) Mtodo de Acceso y Especificaciones Fsicas). El Estndar IEEE ha sido adoptado desde entonces por el International Organization for Standardization (ISO), lo que lo convierte en un estndar a escala mundial. El Estndar IEEE proporciona un sistema tipo Ethernet basado en el estndar original DIX. Todos los equipos Ethernet desde 1985 se construyen de acuerdo al Estndar IEEE 802.3. Para ser exactos, se deberan referir a Ethernet como IEEE 802.3 CSMA/CD. De cualquier modo la mayor parte del mundo todava lo conoce por su nombre original de Ethernet. El Estndar 802.3 es peridicamente puesto al da para incluir la nueva tecnologa. Desde 1985, el estndar ha crecido para incluir los nuevos medios para el sistema Ethernet de 10 Mbps (por ejemplo el par trenzado), as como las ltimas especificaciones para el Fast Ethernet de 100 Mbps. El sistema Ethernet consta de tres elementos bsicos: El medio fsico usado para transportar las seales Ethernet entre computadores

14

Una serie de reglas de control de acceso al medio incluidas en la interfaz que permite a mltiples computadores regular su acceso al medio de forma equitativa Una trama Ethernet que consiste en una serie estandarizada de bits usados para transportar los datos en el sistema.

4. IEEE 802.4 Token Bus Fsicamente es un cable lineal, al cual se conectan las estaciones. Lgicamente estn organizadas en un anillo, en el que cada una de las estaciones conoce la direccin de la estacin ubicada a su izquierda y derecha. 5. IEEE 802.5 Token Ring La Red Token Ring fue desarrollada originalmente por IBM en los aos 70 y contina siendo la red de rea local primaria de dicha empresa y la segunda en importancia despus de la especificacin IEEE 802.3. La especificacin IEEE 802.5 es casi idntica y completamente compatible con la Red Token Ring IBM. El trmino Token Ring es generalmente utilizado, tanto para referirse a las redes Token Ring IBM, como a las redes IEEE 802.5. 6. IEEE 802.6 red de rea metropolitana MAN Define un protocolo de alta velocidad en el cual las estaciones enlazadas comparten un bus doble de fibra ptica que utiliza un mtodo de acceso llamado bus dual de cola distribuida o DQDB (Distributed Queue Dual Bus). DQDB es una red de transmisin de celdas que conmuta celdas con una longitud fija de 53 bytes, por lo tanto, es compatible con ISDN de banda ancha ISDN-B y ATM (Asynchronous Transfer Mode). La conmutacin de celdas tiene lugar en el nivel de control de enlaces lgicos 802.2. 7. IEEE 802.7 grupo asesor para tcnicas de banda ancha Proporciona asesora tcnica a otros subcomits en tcnicas de conexin de red de banda ancha. 8. IEEE 802.8 grupo asesor para tcnicas de fibra ptica Proporciona asesora tcnica a otros subcomits en redes de fibra ptica como alternativa a las redes actuales basadas en cobre.

15

9. IEEE 802.9 redes integradas para voz, datos y videos Tanto para LAN 802 como para ISDN. La especificacin se denomina IVD (Integrated Voice and Data). El servicio proporciona un flujo multiplexado que puede llevar informacin de datos y voz por los canales que conectan las dos estaciones sobre cables de par trenzado de cobre. 10. IEEE 802.10 seguridad de red Grupo que trabaja en la definicin de un modelo normalizado de seguridad que interopere sobre distintas redes e incorpore mtodos de autentificacin y de cifrado. 11. IEEE 802.11 redes inalmbricas Comit que trabaja en la normalizacin de medios como la radio de amplio espectro, radio de banda angosta, infrarrojos y transmisiones sobre lneas de potencia. 12. IEEE 802.12 LAN de acceso de prioridad bajo demanda (100 VG-Any LAN) Comit que define la Norma Ethernet a 100 Mbps con el mtodo de acceso de prioridad bajo demanda propuesto por la Hewlett Packard y otros fabricantes. El cable especificado es un par trenzado de cuatro hilos de cobre utilizndose un concentrador central para controlar el acceso al cable. Las prioridades estn disponibles para soportar la distribucin en tiempo real de aplicaciones multimedia. Los concentradores 100 VG-Any LAN controlan el acceso a la red con lo cual eliminan la necesidad de que las estaciones de trabajo detecten una seal portadora, como sucede en el CSMA/CD de la Norma Ethernet. Cuando una estacin necesita transmitir, enva una peticin al concentrador. Todas las transmisiones se dirigen a travs del concentrador, que ofrece una conmutacin rpida hacia el nodo de destino. Emisor y receptor son los nicos involucrados en las transmisiones, a diferencia del CSMA/CD donde la transmisin es difundida por toda la red. Si mltiples peticiones de transmisin llegan al concentrador, primero se da servicio a la de mayor prioridad. Si dos estaciones de trabajo hacen la solicitud con la misma prioridad y al mismo tiempo, se van alternando para darles servicio. Este mtodo de trabajo es mejor que CSMA/CD.

16

2.6.2. IEEE 802.11 El IEEE 802.11 define opciones de la capa fsica para la transmisin inalmbrica y la capa de protocolos MAC (Media Access Control). El IEEE 802.11 representa el primer estndar para los productos WLAN de una conocida organizacin internacionalmente independiente. Representa un hito importante en sistemas WLAN desde que los clientes pueden tener ahora mltiples fuentes para los componentes de sus sistemas WLAN. El Estndar IEEE 802.11 define el protocolo para dos tipos de redes:

Redes Ad-Hoc Redes cliente/servidor o Infraestructura.

Una red Ad-Hoc es una red simple donde se establecen comunicaciones entre las mltiples estaciones en un rea de cobertura dada sin el uso de un punto de acceso o servidor. La norma especifica la etiqueta que cada estacin debe observar para que todas ellas tengan un acceso justo a los medios de comunicacin inalmbricos. Proporciona mtodos de peticin de arbitraje para utilizar el medio para asegurarse de que el rendimiento se maximiza para todos los usuarios del conjunto de servicios base. Las redes cliente/servidor utilizan un punto de acceso que controla la asignacin del tiempo de transmisin para todas las estaciones y permite que estaciones mviles deambulen por la columna vertebral de la red cliente/servidor. El punto de acceso se usa para manejar el trfico desde un radio mvil hasta las redes cliente/servidor cableadas o inalmbricas. Esta configuracin permite coordinacin puntual de todas las estaciones en el rea de servicios base y asegura un manejo apropiado del trfico de datos. El punto de acceso dirige datos entre las estaciones y otras estaciones inalmbricas y/o el servidor de la red. Tpicamente, las WLAN controladas por un punto de acceso central proporcionar un rendimiento mucho mayor. La Norma 802.11 ha sufrido diferentes extensiones sobre la misma para obtener modificaciones y mejoras. De esta manera, se tienen las siguientes especificaciones:

17

802.11: Especificacin para 1-2 Mbps en la banda de los 2,4 GHz, usando salto de frecuencias (FHSS, Frequency Hopping Spread Spectrum) o secuencia directa (DSSS, Direct Sequence Spread Spectrum) 802.11b: Extensin de 802.11 para proporcionar 11 Mbps usando DSSS, capaz de nteroperar con los de otros fabricantes 802.11a: Extensin de 802.11 para proporcionar 54 Mbps usando OFDM 802.11g: Extensin de 802.11 para proporcionar 20-54 Mbps usando DSSS y OFDM. Es compatible hacia atrs con 802.11b. Tiene mayor alcance que 802.11a.

Las caractersticas tcnicas ms importantes de 802.11a/b/g son: No necesita licencia Soporta prioridades, trfico en tiempo real y gestin del consumo de los terminales El espectro asignado en Chile y Europa para la Norma 802.11b/g es de 2,4 2,4835 GHz En Chile, el espectro de 5,8 GHz bajo la Norma 802.11a, es privado y con pago de aranceles.

A continuacin, en la Tabla N 1, se muestra un resumen con los estndares de redes inalmbricas LAN, especificando sus tasas de transferencias, tipo de modulacin utilizada, sistema de seguridad (o de encriptacin) empleado y las caractersticas ms importantes de cada uno.

18

2.7. ESTANDARES TABLA N 1 ESTANDARES DE REDES INALAMBRICAS LAN

Estndar Tasa de Transferencia de Datos Hasta 2 Mbps en la banda 2,4 GHz Esquema de la Modulacin Seguridad Caractersticas Esta especificacin ha sido extendida a la 802.11b Los productos que adhieren a este estndar se consideran como Wi-Fi certificado Ocho canales disponibles Menos potencial para interferencia del RF que 802.11b y 802.11g Mejor que 802.11b en soporte de voz multimedia, video y aplicaciones de grandes imgenes en ambientes de usuarios densamente poblados Un rango de alcance relativamente ms corto que 802.11b No interoperable con 802.11b
Contina...

IEEE 802.11

FHSS o DSSS

WEP y WPA

IEEE 802.11a (Wi-Fi)

Hasta 54 Mbps en la banda 5,8 GHz

OFDM

WEP y WPA

19

Continuacin

IEEE 802.11b (Wi-Fi)

Hasta 11 Mbps en la banda 2,4 GHz

DSSS con CCK

WEP y WPA

Los productos que se adhieren a este estndar se consideran Wi-Fi certificado No interoperable con 802.11a Requiere menos puntos de acceso que 802.11a para la cobertura de reas grandes Ofrece el acceso de alta velocidad a los datos en hasta 91 metros de la estacin base 14 canales disponibles en la banda de los 2,4 GHz con slo tres canales sin traslapo Los productos que se adhieren a este estndar se consideran Wi-Fi certificado Puede reemplazar a la 802.11b Realiza el mejoramiento de la seguridad sobre la 802.11 Compatible con 802.11b 14 canales disponibles en la banda de los 2,4 GHz
Contina...

IEEE 802.11g (Wi-Fi)

Hasta 54 Mbps en la banda 2,4 GHz

OFDM sobre 20 Mbps, DSSS con CCK bajo los 20 Mbps

WEP y WPA

20

Continuacin

PPTP, SSL (Secure

Bluetooth

Hasta 2 Mbps en la banda 2,4 GHz

Socket Layer)
FHSS o VPN (Virtual

Private Network)

No posee un soporte original para IP, por lo tanto, no soporta TCP/IP ni aplicaciones para Wireless LAN No fue creado originalmente para apoyar las redes Wireless LAN Lo ms cmodo para conectar PDAs, telfonos celulares y computadores en intervalos cortos

Home RF

Hasta 10 Mbps en la banda 2,4 GHZ

FHSS

Destinado para el uso en hogares, no en empresas El rango est a solamente a 45 metros de la estacin base Direcciones de Bajo costo en su red IP instalacin y independientes mantenimiento para cada red. La calidad de la voz Los datos se es siempre buena ya envan con un que est algoritmo de continuamente encriptacin de reservando un trozo 56 bits. del ancho de banda para los servicios de voz Responde bien ante la interferencia debido a la modulacin de la frecuencia por saltos
Contina...

21

Continuacin

HiperLAN/1 (Europa)

Hasta 20 Mbps en la banda 5 GHz

CSMA/CA

HiperLAN/2 (Europa)

Hasta 54 Mbps en la banda 5 GHz

OFDM

Slo se aplica en Europa HiperLAN es totalmente un AdHoc, no requiriendo ninguna configuracin y Encriptacin y ninguna unidad autentificacin central de proceso individual por No proporciona un sesin. servicio iscrono real Relativamente costoso para operar y ser mantenido Ninguna garanta del ancho de banda Slo se aplica en Europa Gran seguridad Diseado para como llevar celdas ATM, caracterstica paquetes IP, principal, con paquetes firewire soporte para (IEEE 1394) y voz autentificacin digital (de telfonos individual y celulares) encriptacin de Mejor calidad del llaves por cada servicio que sesin. HiperLAN/1 y con garanta en el ancho de banda.

Fuente: Webopedia (2005).

22

CAPITULO III ESTADO ACTUAL DE LA TECNOLOGIA INALAMBRICA

3.1. INTRODUCCION Las redes Wi-Fi cubren reas de hasta 75 metros en el interior de un edificio y de 300 metros en el exterior, aunque estas coberturas se pueden ampliar a travs de antenas a varios kilmetros. Uno de los aspectos clave es el ancho de banda. Wi-Fi opera en la banda de los 2,4 GHz, de uso libre, lo que significa que cualquiera puede crear su propia red sin necesitar licencias de ningn tipo. Esta banda de los 2,4 GHz es compartida por dos tecnologas inalmbricas: Bluetooth y Wi-Fi. La primera cuenta con un radio de accin de aproximadamente 10 metros y con un ndice de transmisin de datos de unos 721 Kbps. Bluetooth es ideal para la sincronizacin de un PDA con un PC y otros perifricos del computador como impresoras, teclados o mouse, tambin para navegar por Internet a travs de un telfono mvil que hace las veces de mdem, siempre que est equipado con Bluetooth. Wi-Fi, por su parte, ofrece un ndice de transmisin de datos mayor y tiene mayor alcance. Esta tecnologa permite la conexin a Internet, acceder al correo electrnico y compartir archivos en una oficina sin necesidad de cables, proporcionando una libertad y una flexibilidad nicas, sobre todo ahora que los costos se han reducido de forma significativa. Uno de los aspectos que ms puede confundir a los usuarios son los diferentes estndares WiFi, el primero de los cuales, el 802.11b fue introducido en 1997, es el que est ms extendido y tiene un ndice de transferencia mximo de datos de 11 Mbps. Ahora bien, la industria no para de llevar a cabo investigaciones con el objetivo de mejorar este tipo de tecnologa y ya hace tiempo que se aument el ancho de banda de Wi-Fi con el Estndar 802.11a, que tiene una mayor tasa de transferencia de datos, hasta alcanzar los 54 Mbps, es decir, cinco veces ms rpido que las redes Wi-Fi 802.11b pero que opera en otra frecuencia de radio, los 5,8 GHz. Sin embargo, lo ms destacado de este Estndar, el 802.11a, es que a pesar de que en el mercado estadounidense ya existen una multitud de productos que lo utilizan, su operatividad no es posible en Espaa, Italia, Portugal y Alemania, dentro de los pases europeos, porque la banda en la que opera, los 5,8 GHz, es de uso restringido militar. Adems de estos dos estndares, hay que considerar tambin el 802.11g, que es an ms rpido que el 802.11a pero que opera en la misma frecuencia que el 802.11b, de forma que puede ser utilizado por cualquier dispositivo que haya sido preparado para este ltimo, o 23

tambin, puede ser utilizado en conjunto con dispositivos que operen con 802.11b pero manteniendo la tasa de transmisin de 11Mbps. Se debe mencionar que hay otros estndares que se estn desarrollando y que hacen referencia a la seguridad, como es el caso de 802.11i, que es como el 802.11g, pero que integra medidas de seguridad relativas a una mayor encriptacin de los datos y contraseas. De todos estos estndares lo que es conveniente recordar es que actualmente los estndares dominantes son el 802.11b/g. De hecho hay quien ha comentado que el 802.11a terminar desapareciendo debido a la tremenda implantacin del 802.11b y ms an si a esto se le aade el hecho de que en algunos pases no es posible utilizar libremente la frecuencia en la que opera. En resumidas cuentas, el 802.11a es tcnicamente ms robusto ante las interferencias pero su alcance es ms corto, mientras que el 802.11b es menos robusto pero tiene un alcance mayor. 3.2. TOPOLOGIAS Y DISPOSITIVOS Existen dos tipos de configuracin bsica de una red local inalmbrica, el modo Ad-Hoc (o peer-to-peer) y el modo Infraestructura. En el modo Ad-Hoc, cada mquina puede comunicarse directamente con el resto, pero nicamente con aquellas mquinas que estn dentro de su zona de alcance. En el modo Infraestructura, se instalan puntos de acceso a los que cada componente de la red inalmbrica enva la informacin que quiere transmitir y ste se encarga de distribuirlo a todos los componentes de la red. A la vez, los puntos de acceso permiten ampliar el rea de captacin de la red (al actuar como repetidores) y la entrada de la informacin a una red cableada (ya que tambin actan como puentes). Este ltimo punto permite que una red local inalmbrica pueda ser concebida como una prolongacin de una red cableada existente. En este sentido, no es una tecnologa sustituta necesariamente, sino que puede ser utilizada para dar un valor aadido a una red existente ya en explotacin y sin tener que detenerla para poder ampliarla en forma inalmbrica. 3.2.1 Dispositivos para Redes Inalmbricas Gracias a los avances generados en las tecnologas inalmbricas, los estndares IEEE 802.1lb/g a 11 Mbps y 54 Mbps, respectivamente, estn marcando una nueva era en el mundo de las comunicaciones y se estn convirtiendo en la alternativa a la fibra ptica, el cable tradicional e incluso a nuevas tecnologas basadas en microondas. A travs de estos sistemas inalmbricos es posible acceder a Internet, ya que es viable proveer conexin a la red mundial,

24

llegando a lugares ajenos a las ltimas tecnologas (ADSL (Asymmetric Digital Subscriber Line), fibra ptica, telefona, etctera). Los elementos que componen los sistemas inalmbricos son de produccin masiva debido a su alto consumo y cumplen con el estndar de comunicaciones IEEE 802.11b/g, siendo nteroperables con otros productos que sigan este estndar. La utilizacin de estos elementos de comunicaciones para exteriores junto con la aplicacin de algunas tcnicas de direccionamiento basadas en diferentes modelos de antenas, permiten la implementacin de enlaces va radio que han conseguido transmitir datos a grandes distancias, sin interferencias, con anchos de banda muy por encima de otras tecnologas y con total seguridad debido a sus 11 canales dentro de un rango de frecuencias de 2,4 GHz a 2,5 GHz (en Estados Unidos y Chile) y a sistemas de seguridad como el protocolo de encriptacin WEP de 40 y 128 bits, que permiten una comunicacin privada. Dentro de las redes inalmbricas existen dos entornos de trabajo. El primero es aqul en el que la red es totalmente inalmbrica y los computadores slo tienen necesidad de interconectarse entre ellos, es el caso de ferias o de reuniones donde es necesario un intercambio rpido de informacin (cumplen con el estndar de comunicaciones IEEE 802.11b y son nteroperables con otros productos que sigan este Estndar, el llamado modo Ad-Hoc). Dependiendo del tipo de computador, se montarn tarjetas con bus PCI (Periperhal Component Interconnect), si el computador es de escritorio o PCMCIA (Personal Computer Memory Card International Association), si el computador es porttil. El segundo entorno de trabajo se da cuando es necesario que los computadores de la red WLAN tengan que acceder a los recursos de una red cableada, por ejemplo a otros computadores ya instalados, router de conexin a Internet, impresoras, etctera (el llamado modo Infraestructura). En este caso es necesario instalar un hub o punto de acceso de red inalmbrica. Las tarjetas de red inalmbricas disponen de drivers para Windows y algunas para Linux e incorporan una aplicacin de gestin propia de las tarjetas para configurar los parmetros de funcionamiento, as como, para monitorear los niveles de seal de radio y velocidad de funcionamiento. El alcance o zona de cobertura depende del entorno de trabajo, paredes, estructura del edificio, campo abierto, etctera, llegando a alcanzar en condiciones ptimas 100 metros. A medida que por distancia o cobertura la seal se degrada automticamente se renegocia la velocidad de trabajo para mantener la conexin y ajustarse a las nuevas condiciones de entorno. Cuando estas condiciones mejoran la velocidad se incrementa automticamente.

25

3.2.2. Elementos y Equipos que Interactan en una Red WLAN 1. Puntos de acceso inalmbricos (Wireless Access Point) Un Access Point es un concentrador de nodos inalmbricos. Permiten funcionar de forma similar a los hubs o switches de las redes de cable tradicional, brindando los servicios de conexin segura, movilidad y monitoreo. Cuentan con una o dos antenas incorporadas y poseen en la funcionalidad de roaming permitiendo acceso ininterrumpido a la red. Son fciles de integrar a la red cableada ya que poseen un puerto Ethernet 10/100 Base T con conector RJ-45 y un puerto inalmbrico disponible a travs de una antena orientable que tiene incorporada tipo lpiz, tal como lo muestra la Figura N 5, permitiendo crear redes inalmbricas Ad-Hoc o Infraestructura, de manera que puede adaptarse a cualquier entorno. Mediante luces indicadoras es posible conocer el estado del equipo, la Figura N 6 muestra un Acces Point en un esquema Infraestructura. FIGURA N 5 ACCESS POINT CON ANTENA

Fuente: Macnux (2006).

26

FIGURA N 6 ACCESS POINT EN MODO INFRAESTRUCTURA (WLAN)

Fuente: Gori (2005).

Cuando los AP se configuran en la funcin de puente (o bridge), permiten unir dos redes cableadas LAN, tal como lo muestra la Figura N 7. Junto con el hub inalmbrico se entrega un software de gestin del equipo para Windows y Linux que permite su configuracin y monitorizacin de los elementos conectados a la red inalmbrica. FIGURA N 7 ACCESS POINT CONECTADOS EN PUENTE

Fuente: Propia (2007).

27

Los AP se pueden configurar directamente utilizando un cable de consola (en modo terminal) o utilizando una interfaz grfica basada en Web. La administracin est basada en SNMP pero si se carece de consola de administracin, desde la interfaz grfica se pueden ver estadsticas y estados de las conexiones con slo utilizar un navegador de Internet. La capacidad de los usuarios que son posibles de conectar depende de las caractersticas de cada equipo. La disminucin en la velocidad de una red Wi-Fi depende de la distancia entre el punto de acceso y el usuario, de la cantidad de usuarios conectados a l y de los obstculos que hayan entre ellos (AP y usuario), tales como, campos magnticos, paredes, etctera. Esta disminucin no es gradual, sino que escalonada, ya que los puntos de acceso, al igual que los mdems, incorporan una funcin denominada Auto-Step. Esto hace que, por ejemplo, en el Estndar 802.11b, las velocidades bajen de 11 Mbps a 5,5 Mbps, luego a 2 Mbps y 1 Mbps, es decir, que slo hay cuatro escalones si la comunicacin no se hace efectiva a 11 Mbps, se pasa directamente a 5,5 Mbps. Para el caso del Estndar 802.11a y 802.11g, existen ms escalones, 54 Mbps, 48 Mbps, 36 Mbps, etctera. Esta disminucin afecta de forma distinta a cada usuario, ya que mientras ms lejos se encuentre ste del punto de acceso, ms baja ser su velocidad de conexin. La capacidad de usuarios que se pueden conectar a un access point vara dependiendo de la marca y modelo (caractersticas tcnicas) del mismo, esto es entre 30 a 256 usuarios, teniendo velocidades de conexin ptimas, es decir, para 802.11b 11 Mbps y para 802.11/a/g 54 Mbps. 2. Access point como repetidor Un repetidor inalmbrico es simplemente un access point configurado como un repetidor stand-alone, tal como lo muestra la Figura N 8, que no est conectado al backbone cableado y que permite extender el rango de la infraestructura o para evitar algn obstculo que bloquee la comunicacin de radio. Este permite que un punto remoto distante pueda conectarse a la red cableada al permitirle el acercamiento al backbone. La tasa de transferencia entre el cliente y la LAN se vern afectados por el proceso de recepcin y retransmisin de los paquetes realizados en el repetidor.

28

FIGURA N 8 ACCESS POINT COMO REPETIDOR

Fuente: Cisco Documentation (2004).

3. Access point multimodo Son access point que pueden funcionar en las frecuencias de las bandas de 2,4 GHz y 5,8 GHz. Al utilizar un punto de acceso de banda dual, las organizaciones pueden proteger sus inversiones en equipos Wi-Fi (IEEE 802.11b/g) y permitir tambin una fcil transicin a redes Wi-Fi (IEEE 802.11a). La Figura N 9, muestra un access point multimodo. FIGURA N 9 ACCESS POINT MULTIMODO

Fuente: D-Link (2005).

29

4. Access point con router y switch incorporado Estos access point son una solucin completa, diseados generalmente para PYMES (Pequeas y Medianas Empresas) y hogares, incluyen un router con asignacin automtica de direcciones IP mediante DHCP, que permite compartir una conexin a Internet y datos entre varios computadores y un switch Ethernet. Incluyen la tecnologa Ethernet con NAT (Network Address Translation), lo que permite a varios usuarios conectarse a un acceso xDSL o Cable mdem para compartir una nica cuenta de acceso. Contienen tambin un switch Ethernet autosensible de cuatro u ocho puertos a 10/100 Mbps, esta opcin permite conectar computadores a puertos Ethernet directamente o incluir una conexin a un hub o switch externo a travs de un puerto Up-link. La opcin NAT permite conectar varias direcciones IP privadas a una nica IP pblica, permitiendo proporcionar a los usuarios de la red acceso a Internet simultneamente. El servicio de Firewall por la naturaleza del propio sistema, impide la entrada de intrusos. Estos Router Wireless permiten configuraciones sencillas al permitir asignar direcciones IP automticamente a cada equipo a travs de un servidor DHCP. En la Figura N 10, se puede apreciar el aspecto anterior y posterior de un access point de este tipo. FIGURA N 10 ACCESS POINT CON ROUTER Y SWITCH INCLUIDO

Fuente: Linksys (2005).

5. Adaptadores Wireless LAN La funcin de las tarjetas adaptadoras wireless es conectar un sistema informtico a travs de una red inalmbrica, que como se ha dicho, pueden funcionar entre s o a travs de un access point, brindando la movilidad, la libertad y la flexibilidad de la red Wireless LAN. El uso de

30

encriptacin de 40 y 128 bits por hardware, proveen la seguridad y el rendimiento, comparable a las redes cableadas tradicionales. Fciles de instalar, con drivers para los sistemas operativos de uso corriente y con una aplicacin que permite la configuracin grfica, el monitoreo y el control bsico de la seal, las tarjetas adaptadoras de red son un componente clave dentro de las redes Wireless. 6. Adaptador inalmbrico PCMCIA Corresponden a tarjetas para comunicacin inalmbrica (Figura N 11) que permiten ser instaladas en equipos porttiles que requieren una conexin sin cables a una red WLAN y que cuentan con un slot PCMCIA, para uso en notebooks o con adaptador PCMCIA para PC, de 11 Mbps de tasa de transmisin dentro del Estndar 802.1lb con 2,4 GHz de frecuencia y de 11 a 14 canales, compatible con unidades de 2 Mbps. Soportan encriptacin WEP de 64 y 128 bits. La tarjeta PCMCIA lleva integrada en forma interna la antena de emisin y recepcin que evita la incomodidad de cables colgando para la antena. Adicionalmente, algunos fabricantes proporcionan en el mismo mdulo un conector para conexin de antena exterior va un cable adaptador Pigtail. FIGURA N 11 ADAPTADOR INALAMBRICO PCMCIA

Fuente: Soundblaster (2005).

7. Adaptador inalmbrico PCI Esta es necesaria para el uso de la placa de red inalmbrica en los computadores que no traen la posibilidad de conectar una placa PCMCIA. La tarjeta PCI, mostrada en la Figura N 12, es realmente una tarjeta PCMCIA insertada en un adaptador PCIPCMCIA.

31

Con las placas PCI, los computadores de escritorio se pueden agregar a la red rpidamente sin gastos de cableado y ni tiempos de espera que afecten la productividad. Los clientes de la red poseen antenas que posibilitan la transmisin y recepcin de los datos. Las placas PCI soportan antenas externas mediante el conector Pigtail para optimizar el alcance de sistemas estacionarios. En este caso la antena es de tipo lpiz y dispone de un pequeo soporte para colocarla encima del computador y facilitar la transmisin. FIGURA N 12 TARJETAS ADAPTADORAS PCI PARA PC

Fuente: D-Link (2005), Linksys (2005).

8. Adaptador inalmbrico USB Ofrecen acceso inalmbrico de alta velocidad a Internet y conexin en red para notebook y computadores de escritorio con bus USB. Los usuarios disponen de conectividad inalmbrica simplemente enchufando el dispositivo en un conector USB libre e instalando el software en su PC de escritorio o en su notebook. La Figura N 13, muestra dos tipos de adaptadores inalmbricos USB. FIGURA N 13 ADAPTADORES INALAMBRICOS USB

Fuente: Linksys (2005).

32

9. Adaptador inalmbrico Compact Flash El adaptador inalmbrico Compact Flash (Figura N 14) permite ser instalado en dispositivos que cuenten con slot o interfaz Compact Flash (tipo I o II). Es un adaptador inalmbrico 100% compatible con el Estndar IEEE 802.11b/g y provee conectividad a PDAs (Personal Digital Assistants) o Handhelds en redes inalmbricas. El adaptador Wireless Compact Flash puede ser configurado para operar en modo Ad-Hoc o Infraestructura. FIGURA N 14 ADAPTADOR INALAMBRICO COMPACT FLASH

Fuente: D-Link (2005).

10. Router inalmbrico Los router inalmbricos permiten el acceso simultneo a Internet de los usuarios de una misma LAN mediante una nica direccin IP. Funcionan en la banda 2,4 GHz y tiene un rango de accin de hasta 300 metros en espacios abiertos y 100 metros en lugares cerrados. Proveen velocidad de transmisin de 54 Mbps. Ofrecen servicios de NAT, DHCP, autenticacin a bajo nivel (MAC) y encriptacin WEP. Adems algunos equipos proveen seguridad mediante EAP (Extensible Authentication Protocol) a travs de servidores RADIUS (Remote Authentication Dial in User Service) para autenticacin de usuarios Wireless y para la distribucin dinmica de las claves de 64 y 128 bits necesarias para la encriptacin de los datos. De esta forma, se provee un nivel de seguridad igual al de las redes cableadas.

33

Una de las principales ventajas de estos dispositivos es su independencia del resto de componentes hardware y software de la Red. Cualquier disfuncin en uno de los equipos de la Red no afecta en ningn sentido a los dems. Soporta los principales sistemas operativos. Los equipos disponibles pueden conectarse a un mdem RDSI, cable mdem, mdem DSL o mdem analgico, adems pueden incluir un pequeo switch para proveer puertos 10/100 Mbps. 11. Bridge inalmbrico Permite conectar dos o ms redes localizadas en sitios remotos (con lnea de vista), tal como lo muestra la Figura N 15, y proveen conexiones de alta velocidad, incluso ms rpidas que lneas E1/T1 y con menor costo. Soportan altas tasas de transmisin (54 Mbps) a cortas y medias distancias o bajas tasas de transmisin (1 Mbps) para largas distancias. La administracin de los equipos se puede realizar va Telnet, FTP, SNMP o aplicaciones grficas basadas en Web. La seguridad se basa en los mismos algoritmos con clave de 128 bits que usan los access point. FIGURA N 15 BRIDGE INALAMBRICO

Fuente: Propia (2007).

34

12. Bridge inalmbrico para workgroup Permiten conectar a una red Wireless dispositivos que no tienen disponibles slot PCI o PCMCIA pero que cuentan con opcin Ethernet (almbrico), tal como lo muestra la Figura N 16, proporcionando una conexin simple de la direccin MAC dentro del access point y ste hacia el backbone LAN. Slo es posible la conexin en modo infraestructura. Diseados para cubrir las necesidades de grupos de trabajo (workgroup) remotos, oficinas satlites y usuarios mviles, brindan libertad y flexibilidad a las conexiones inalmbricas de cualquier dispositivo Ethernet habilitado (impresoras, fotocopiadoras, PCs, puntos de venta, etc.). Los Workgroup Bridge conectan a travs de un hub (debido al uso de mltiples direcciones MAC que son manejadas en forma esttica) hasta ocho computadores porttiles Ethernet hacia la LAN inalmbrica, proveyendo el enlace de ese dispositivo a cualquier access point o Wireless Bridge. Los Workgroup Bridge disponen de una antena y otras versiones incluyen un conector que les permite incorporar una antena externa de acuerdo al tipo de solucin a implementar. Los equipos incluyen avanzadas herramientas de diagnstico para simplificar el seguimiento de problemas, configuracin remota y administracin va browser, Telnet, FTP o SNMP. FIGURA N 16

WORKGROUP BRIDGE

Fuente: Propia (2007).

35

3.3. SEGURIDAD EN WI-FI 3.3.1. Seguridad en Redes Inalmbricas 802.11 Este es uno de los conceptos ms complejos para el posible usuario Wireless, corresponde al tema de seguridad, qu tan seguros son los datos para los usuario de redes inalmbricas, es el tema a que se refiere el desarrollo de esta parte del presente trabajo. Por definicin las LAN inalmbricas, son inseguras. Los datos se transmiten por el aire y son difciles de contener. Debido a las vulnerabilidades inherentes que stas presentan en la seguridad, el control de acceso y la privacidad se han constituidos en dos grandes retos. Fabricantes y organismos de estandarizacin han optado por recurrir a una amplia gama de mecanismos de seguridad para poder realizarlo. La combinacin de varios mtodos de seguridad como el sistema de encriptacin WEP, filtrados de direcciones MAC, identificadores SSID (Service Set Identifier), empleo de VPN (Virtual Private Network), empleo de servidores de autenticacin RADIUS, incorporacin del protocolo EAP y protocolo de seguridad 802.1x, aparecen como parte de las soluciones disponibles. Normalmente, en lugares pblicos donde hay una red inalmbrica disponible para todo tipo de usuarios, como por ejemplo, en aeropuertos, restoranes, universidades, etctera, se encuentra un logo que indica la presencia de una zona Wi-Fi, tal como lo muestra la Figura N 17. FIGURA N 17

WI-FI ZONE

Fuente: Gobierno Digital (2005).

36

3.3.2. El Ambiente de Seguridad de 802.1lb/g Las WLANs deben hacer frente a una serie de amenazas y riesgos, como son el acceso externo a la red con posibilidad de escuchas de las comunicaciones realizadas, a la privacidad o los ataques a la integridad y confidencialidad de los datos. Aunque el nmero de ataques contra 802.11b/g y otras tecnologas inalmbricas se incrementaran con el tiempo, los riesgos ms conocidos se pueden agrupar bsicamente de la siguiente manera: Ataques por incorporacin no autorizada que estn basados en la incorporacin de nuevos clientes y access point no autorizados Interceptacin y monitoreo no autorizado del trfico de la red, que consiste en el anlisis no autorizado de los paquetes inalmbricos, conocimiento de las tramas del trfico de la red y la suplantacin de access point autorizados Bloqueo de la red, es decir, interrupcin o denegacin del servicio Ataques de cliente a cliente, conversacin entre dos clientes pasando por alto los access point y por ende la seguridad Ataques de Brute Force contra las password de los access point, es decir, conocimiento de la clave o password compartida Ataques contra los sistemas de encriptacin Conocimiento de la configuracin definida en los dispositivos inalmbricos, SSID, WEP y configuracin de interfaces como tambin las password de administracin mediante SNMP Riesgos de seguridad generados por el cliente, manejo inadecuado de la informacin de autenticacin y comunicacin de los clientes con los access point.

Inicialmente IEEE 802.11b sustenta su seguridad basndose en tres pilares fundamentales: identificadores SSID, filtrados MAC y sistema de encriptacin WEP. Sin embargo, desde el organismo WECA se recomienda complementarla con una serie de medidas que otorguen mayores garantas. En el caso de las redes inalmbricas pequeas dirigidas al mercado SOHO (Small Office and Home Office), bastara con cambiar la llave de encriptacin WEP y los identificadores SSID de forma habitual, utilizar filtro de direcciones MAC, recurrir a password o a un sistema de red privada virtual (VPN), entre otras medidas. En el caso de las organizaciones con mayores demandas de proteccin se debe considerar, adems mtodos adicionales como los servidores de seguridad, que proporcionan autenticacin y autorizacin sobre redes IP, ofreciendo mayor escalabilidad y gestin centralizada.

37

3.3.3. Mecanismos de Seguridad IEEE 802.11b/g 1. IPSec (Protocolo de Seguridad Estndar en Internet) IPSec apoyado en los estndares de la IETF; (Internet Engineering Task Force, Grupo de Trabajo en Ingeniera de Internet) que es una organizacin internacional abierta de normalizacin y tiene como objetivos el contribuir a la ingeniera de Internet, actuando en diversas reas, tales como transporte, encaminamiento, seguridad; para el uso en redes inalmbricas, es un estndar abierto de servicios que proporciona seguridad y cifrado en capas superiores de red IP (IPv4 y se incluye por defecto en IPv6) y a todos los protocolos basados en l (TCP, UDP, entre otros) independiente de la tecnologa fsica empleada. Si bien este es el mejor mecanismo para implementar verdadera seguridad, sigue teniendo la desventaja de significar una carga adicional a la CPU. El cifrado que realiza IPSec es matemticamente muy complejo. Sin embargo, de entre todas las opciones disponibles, es sin duda la ms completa y confiable ya que ofrece autenticacin y confidencialidad a nivel IP. Todas las versiones de equipos de comunicaciones la incluyen, como as tambin las ltimas versiones de sistemas operativos ms comunes ofreciendo con ello interoperabilidad entre fabricantes. IPsec es en realidad, un conjunto de estndares para integrar en IP funciones de seguridad basadas en criptografa. Proporciona confidencialidad, integridad y autenticidad de datagramas IP, combinando tecnologas de llave pblica RSA; algoritmo asimtrico cifrador de bloques, que utiliza una clave pblica, la cual se distribuye en forma autenticada preferentemente y otra privada, la cual es guardada en secreto por su propietario; algoritmos de cifrado (mtodos para cifrar informacin), tales como DES (Data Encryption Standard), 3DES (algoritmo que hace triple cifrado del DES), IDEA (International Data Encryption Algorithm, Algoritmo Internacional de Cifrado de Datos), Blowfish (codificador de bloques simtricos), algoritmos de HASH MD5 (Algoritmo de Resumen del Mensaje 5) que es un algoritmo de reduccin criptogrfico de 128 bits ampliamente usado, SHA-1 (Secure Hash Algorithm, Algoritmo de Hash Seguro que utiliza un sistema de funciones hash criptogrficas relacionadas de la Agencia de Seguridad Nacional de los Estados Unidos) y certificados digitales X509v3. El protocolo IPsec ha sido diseado de forma modular, de modo que pueda seleccionar el grupo de algoritmos deseados sin afectar a otras partes de la implementacin. Adems, es perfectamente posible usar otros algoritmos que se consideren ms seguros o ms adecuados para un entorno especfico, como por ejemplo, el ms reciente AES. IPsec utiliza dos protocolos de seguridad para el trfico: IP Authentication Header (AH)

38

IP Encapsulating Security Payload (ESP) con mecanismos de seguridad para proteger trfico IP.

Tanto AH como ESP proporcionan dos modos de funcionamiento, el modo transporte y el modo tnel. Utiliza un protocolo de gestin de llaves llamado Internet Key Exchange (IKE) que permite a dos nodos negociar las llaves y todos los parmetros necesarios para establecer una conexin AH o ESP. El objetivo principal de IKE consiste en establecer una conexin cifrada entre dos entidades, a travs de la cual se negocian los parmetros necesarios para establecer una asociacin de seguridad IPsec. IPsec puede ser implementado bien en un host, o bien, en un equipo dedicado, tal como un router o un firewall. Cuando un equipo dedicado realiza estas funciones se denomina Gateway IPsec. 2. Service Set ID El Service Set ID (SSID) es una cadena utilizada para definir un dominio de desplazamiento comn a travs de mltiples puntos de acceso. Diferentes SSID en los puntos de acceso permiten la superposicin de redes inalmbricas. El SSID puede actuar como una simple contrasea, sin la cual el cliente no podr conectarse a la red. De todos modos, esto es fcilmente sobrepasado permitiendo a los puntos de acceso distribuir el SSID, lo que significa que cualquier cliente puede asociarse con el punto de acceso. Debido a que los usuarios casi siempre configuran sus equipos, esta contrasea es ampliamente conocida. 3. Wired Equivalent Privacy (WEP) El Estndar IEEE 802.11b/g, define un mtodo de autentificacin cifrado llamado Wired Equivalent Privacy (WEP) para paliar los asuntos de seguridad. Por lo general, se utilizan mtodos de autentificacin para proteger el acceso no autorizado a la red, mientras que el cifrado WEP es utilizado para contrarrestar las escuchas de quienes pueden tratar de descifrar las transmisiones. Existen cuatro opciones disponibles en cmo utilizar WEP: No utilizar WEP Utilizar WEP slo para el cifrado Utilizar WEP slo para la autentificacin 39

Utilizar WEP para autentificacin y cifrado.

El cifrado WEP se basa en algoritmo RC4 (Dentro de la criptografa RC4 o ARC4 es el sistema de cifrado de flujo Stream cipher ms utilizado y se usa en algunos de los protocolos ms populares como Transport Layer Security (TLS/SSL) para proteger el trfico de Internet), el cual utiliza una clave de 40 bits en conjuncin con un vector aleatorio de inicializacin para cifrar las transmisiones inalmbricas. Es por esto que se pueden ver algunos sistemas 802.11b diciendo poseer cifrados de 64 bits. No existen diferencias con los que tienen claves de cifrado de 40 bits. Si est habilitado, se debe utilizar la misma clave en todos los clientes y puntos de acceso para poder comunicarse. Algunos fabricantes tambin ofrecen WEP de 128 bits, un mtodo de cifrado ms robusto, que dificulta el descifrado de las escuchas de transmisiones en el aire. Cabe destacar que WEP a 128 bits, no es parte del Estndar IEEE 802.11b pero s del 802.11g. Para prevenir el acceso no autorizado, WEP tambin define un protocolo de autentificacin. Existen dos formas de autentificacin definidas por 802.11b/g, sistema abierto y clave privada. La autentificacin de sistema abierto (Figura N 18) permite a cualquier cliente 802.1l b/g asociarse con un punto de acceso. Este no es un modo seguro para redes 802.1lb/g y no es recomendado. No se utiliza autentificacin de clientes ni cifrado de datos. FIGURA N 18 AUTENTIFICACION POR SISTEMA ABIERTO

Fuente: Netgear (2005).

Utilizando autentificacin de clave privada, el access point enva un texto de desafo o prueba a la radio cliente que solicita autentificacin. La radio cliente cifra el texto de desafo utilizando la clave privada y la regresa al access point. Si el punto de acceso logra descifrarla correctamente al texto de desafo original, se comprueba que el cliente posee la clave privada correcta. Luego, se le permite establecer una conexin de red. El proceso ocurre como se muestra en la Figura N 19.

40

FIGURA N 19 AUTENTIFICACION POR CLAVE PRIVADA

Fuente: Netgear (2005).

Una de las desventajas de WEP es que slo provee capacidad para cuatro claves de cifrado estticas. Esto significa que la clave de cifrado es la misma para todos los clientes y puntos de acceso cada vez que un cliente accede a la red. Con suficiente tiempo y proximidad fsica, un hacker podra determinar la clave de cifrado que se utiliza y descifrar datos sin tener acceso a la red. Como mnimo, si se est por establecer una red 802.11b, se recomienda configurar lo siguiente: WEP de 128 bits Habilitar WEP tanto para autentificacin como para cifrado Cambiar las claves WEP regularmente.

3.3.4. Administracin Centralizada de Seguridad Inalmbrica Uno de los desafos ms importantes para un administrador de red en la una WLAN de gran escala es el tiempo utilizado en la configuracin y infraestructura de los puntos de acceso. Con respecto a la seguridad, WLAN permiten la administracin centralizada de todos los parmetros 802.11b, as como otras capacidades incluyendo: Distribucin centralizada de claves WEP Listas de control de acceso (ACL, Access Control Lists) implementacin de actualizacin de la varias plataformas de seguridad IEEE

41

Firewall con filtrado IP (autorizar o denegar una direccin IP especfico).

Estas plataformas (por ejemplo, en las marcas Cisco, Harmony, 3Com, D-Link, Linksys y otros) permiten a los administradores de red desplegar redes 802.11b/g sin la carga de tiempo utilizada por actualizaciones de seguridad de cada access point de la red. 1. Distribucin central de claves WEP Si bien es prctico desde la perspectiva de incrementar la seguridad, la recomendacin de cambiar las claves WEP de manera peridica puede sonar desalentador, debido a que la mayora de los puntos de acceso requieren configuraciones individuales de los parmetros de seguridad. Varios fabricantes, eliminan la prdida de tiempo en la configuracin individual de de cada punto de acceso gracias a software desarrollados para automatizar estas funciones. La automatizacin de estos procesos (adoptada por la mayora de los fabricantes de equipos para WLAN) permite la administracin centralizada de toda la red inalmbrica, incluyendo los parmetros de seguridad y, por ejemplo, todos los puntos de acceso pueden ser actualizados de manera simultnea con nuevas claves WEP a travs del sistema de administracin centralizada. 2. Listas de Control de Acceso (ACL) Gracias a herramientas de software, el acceso de los clientes a la red cableada puede ser administrado centralmente. Las ACL permiten la administracin de muchos clientes y es independiente del estndar de radio utilizado. Los administradores de red pueden utilizar estas listas para incluir o excluir clientes de manera especfica por su MAC address (direccin fsica). Las ACL pueden ser importadas o exportadas desde otras bases de datos, como por ejemplo, desde bases de datos en servidores RADIUS. Si una tarjeta cliente se pierde o es robada, el administrador de red puede excluir a ese cliente o directamente remover esa MAC address de la lista de acceso. Si el cliente no es autorizado mediante la lista de control de acceso, ningn trfico de ese cliente ser transportado a la red cableada. Los firewall de filtrado IP tambin poseen la habilidad de implementar un sistema para proteger recursos de sistemas. Mediante los firewall de filtrado IP, los administradores de red pueden seleccionar el acceso especfico a recursos de la red cableada. El trfico de clientes direccionados hacia recursos no autorizados, no sern transportados hacia la red cableada. Por ejemplo, una empresa puede poner una red 802.11b para el departamento de marketing y de ventas.

42

Mediante el filtrado, los usuarios inalmbricos pueden ser limitados al servidor de correo y el acceso a la Intranet. Otros recursos importantes como sistemas ERP (Enterprise Resource Planning, sistemas de planificacin de recursos empresariales), que son sistemas de informacin gerenciales que integran y manejan muchas de las prcticas de los negocios asociados con las operaciones de produccin y de los aspectos de distribucin de una compaa comprometida en la produccin de bienes o servicios, o finanzas no podrn ser accedidos desde la red inalmbrica. 3. Realizacin de tneles VPN Para grandes despliegues empresariales, la administracin de claves WEP mediante las ACL pueden convertirse en algo pesado. En tal caso, el uso de una red privada virtual (VPN) para todo el trfico inalmbrico es la mejor solucin. Varias plataformas inalmbricas poseen la capacidad de realizar tneles VPN para permitir establecer esta solucin de manera sencilla. Una VPN es comnmente utilizada para crear comunicaciones sobre un enlace inseguro. Las VPN son ampliamente adoptadas por empresas para lograr que oficinas remotas o viajantes de negocios se conecten mediante Internet a la red corporativa para acceder al correo electrnico o cualquier otro servicio de la red. Una red privada virtual refuerza la seguridad mediante la Autentificacin de usuarios y el cifrado. Con la autentificacin de usuarios en el sistema, el nombre de usuario y la contrasea son cifrados, la validez del lugar de ingreso y la direccin MAC pueden ser verificadas. Adems, donde sean permitidos, mtodos de cifrado ms robustos como RC5 y 3-DES son recomendados para asegurar la integridad de los datos. Se recomienda el uso de VPN debido a los asuntos de seguridad en el estndar actual IEEE 802.11b. Uno de los beneficios de este mtodo es que mantiene la interoperabilidad entre diferentes fabricantes de clientes inalmbricos 802.11b, gracias a que no se basa en implementaciones de seguridad propietarias. De hecho, con el crecimiento de 802.11b en espacios pblicos, una VPN permitir a viajantes de negocios acceder a su e-mail o recursos de la red corporativa durante el viaje. Siguiendo esta recomendacin, varios fabricantes incorporan la habilidad de hacer pasar el trfico inalmbrico por un tnel a un servidor VPN. Las capacidades de realizar tneles permiten utilizar una VPN en una red inalmbrica a mucho menor precio y tiempo que con otras soluciones. Una red inalmbrica construida con puntos de acceso sin estas capacidades, necesitarn implementar una VLAN o funcionar en la misma subred para asegurar que todo el trfico inalmbrico sea direccionado al servidor VPN. De todos modos, para grandes instalaciones empresariales, esto se vuelve una carga debido a que muchas empresas utilizan diferentes subredes para dividir por departamento o piso.

43

El tnel VPN trabaja en conjunto con los otros mtodos de seguridad como WEP y las listas de control de acceso de clientes. Si los clientes pasan todos los mecanismos de seguridad, incluyendo autentificacin WEP y ACL, el servidor VPN agregar validacin del cliente basndose en otros parmetros y cifrar toda la comunicacin. 4. Autentificacin RADIUS Algunos fabricantes propusieron el uso de RADIUS como el mtodo central de autentificacin para dispositivos inalmbricos. Los servidores RADIUS autentifican basndose en el usuario y contrasea durante el registro. A primera vista, este mtodo parece ventajoso en tanto provee una estructura tpica de autentificacin para clientes cableados e inalmbricos. De todos modos, si no est bien implementado, un esquema de autentificacin RADIUS puede ser menos seguro que el Estndar WEP de 40 bits. Con este mtodo, el access point pasa el registro del cliente al servidor RADIUS para ser autentificado. En este punto, algunas soluciones logran que el servidor RADIUS notifique al punto de acceso que el cliente fue autentificado y el access point genera la clave de cifrado por usuario y por sesin. Como sea, el access point no posee informacin propia del cliente, por ejemplo, la contrasea de usuario. Por ello, la clave de cifrado por sesin no es cifrada con informacin nica del cliente y es transmitida en limpio para que cualquier dispositivo la capture. Esto hace que la red quede desprotegida a ataques de intercepcin, como se muestra en la Figura N 20. FIGURA N 20 AUTENTIFICACION RADIUS

Fuente: Eusso Technologies (2005).

Para que esquemas de autentificacin que utilicen RADIUS (o cualquier otra base de datos de autentificacin centralizada) sean seguros, la base de datos tambin debe generar la clave de

44

cifrado por usuario y por sesin. Si la autentificacin est separada de la generacin dinmica de claves, la solucin estar sujeta a ataques de intercepcin 3.3.5. Consideraciones para Proteger una Red WLAN Las redes inalmbricas se han popularizado vertiginosamente entre las redes LAN corporativas gracias a sus ventajas en cuanto a facilidad de instalacin, ausencia de cableado y la movilidad que ofrece al usuario dentro de la compaa. Algunos de los pasos bsicos de seguridad son: Codificacin WEP de 128 bits Nombres de red difciles Una clara prohibicin de instalar access point no autorizados Hacer intentos peridicos por violar la propia red usando programas como WEP Crack, Airsnort y Netstumbler.

Sin embargo, estas redes tambin brindan la oportunidad de realizar ataques o robar informacin por parte de un atacante externo simplemente ubicndose dentro de la zona de cobertura de la red con las herramientas necesarias. Para evitar ser vctimas de un ataque de esta naturaleza se recomienda tener en cuenta los siguientes aspectos: Utilizar siempre WEP que soporta funciones de autenticacin y encriptacin Usar antenas bidireccionales para evitar propagacin no deseada de la seal Cambiar la contrasea por defecto en el access point ya que sta puede ser descifrada fcilmente Realizar escaneos externos peridicamente a la WLAN con herramientas que adems de buscar vulnerabilidades anuncien la introduccin de nuevos access point Realizar auditoras internas para verificar que no existan instalados equipos nuevos no autorizados Es fundamental instalar en todos los sistemas firewalls personales Debido a que la WLAN es relativamente insegura, es recomendable no tenerla instalada dentro de la interfaz ms segura del firewall Corporativo La administracin de la WLAN debe realizarse con canales de comunicacin segura, por lo que se recomienda la utilizacin de SSL (Secure Socket Layer) y VPN para esta tarea Revisar peridicamente los logs o bitcoras Evaluar regularmente la informacin que viaja a travs de la red.

45

3.4. APLICACIONES DE REDES WIRELESS Las WLAN tienen un desarrollo de varias dcadas pero fueron desplazadas por las redes Ethernet cableadas, mediante el uso de alambres de cobre o de fibras pticas, en los casos que se requera un rendimiento mayor. De hecho, el estndar de las redes cableadas mediante par trenzado categora 5, operan a 100 Mbps, contra los 11-54 Mbps de las redes Wireless. El avance de mercado de las WLAN no debe entenderse como una competencia directa de las LAN, ya que no intenta competir por ahora en velocidad con esta ltima, sino que tiene otras fortalezas en las que se basa su crecimiento, tales como: 1. Facilidad de instalacin Ya que este sistema de redes no requiere de un cableado ni utilizacin de ductos a travs de los cuales es necesario instalar la red en lugares, a veces muy poco accesibles. 2. Flexibilidad Es muy sencillo cambiar las estaciones de trabajo de lugar, pues slo basta que estn al alcance de un access point a la red. 3. Escalabilidad Anexar nuevos usuarios a la red no es ms que una tarjeta de acceso al medio instalada en el nuevo equipo, y la gestin del administrador de la red para dar los accesos necesarios, porque la instalacin de hardware es efectuada con tarjetas PnP (Plug and Play). 4. Movilidad de los usuarios Ya que el supervisor de una industria o un mdico en un hospital requieren estar siempre conectados a su base de datos, un equipo portable con interfaz Wireless es la solucin para mantenerlo siempre on line en cualquier lugar de las instalaciones. 5. Costos de instalacin Si bien para un espacio reducido y pocos usuarios, los costos son equivalentes a una red cableada, en instalaciones extensas, las obras civiles de esta ltima superan ampliamente los costos de una red WLAN, adems de la baja sistemtica de los costos de los equipos de acceso a las redes inalmbricas.

46

6. Instalacin provisoria Para eventos y reuniones que requieran de equipos en red, como un Simposio en los salones de un Hotel, es complejo y costoso instalar una LAN cableada, adems que por tratarse de una instalacin provisoria, una buena parte del cableado y ductos quedan inutilizados, generando un costo adicional no deseado. 7. Facilidad de enlaces La necesidad de interconectar redes LAN o WLAN es compleja en instalaciones extensas, como industrias, campus universitarios y empresas con instalaciones en distintos edificios. Wireless provee de antenas direccionales que permiten enlaces viables hasta 10 Mbps y 2.000 metros de alcance, compitiendo en este campo con enlaces de fibra ptica, por ejemplo. Como se menciona, las WLAN son un complemento de las LAN, con el objetivo de poder tener una activa participacin en reas en constante desarrollo, tales como Salud, El acceso a informacin sobre los pacientes en todas sus instalaciones mediante equipos mviles, simplifica y optimiza la labor de equipos mdicos en continuo desplazamiento dentro de un Hospital (en Chile, esto se da slo en clnicas privadas, como es el caso de la Clnica Alemana, ya que los recursos econmicos en el rea salud pblica son escasos) Financiera, La velocidad con la que ha evolucionado la Banca Electrnica exige a quienes participan de este segmento de mercado, de informacin en lnea de las bancas ms importantes del mundo antes de ejecutar sus transacciones Industria, Hay dos razones emergentes en este mbito, una de ellas es condiciones de trabajo muy severas, que no admiten sistemas de cableado en empresas de manufactura, tanto para el control de procesos como para la actualizacin de informacin tipo feedback en lnea. El otro aspecto corresponde a almacenes, donde instalaciones de grandes dimensiones dificultan el cableado de redes LAN haciendo poco efectivo los procesos de actualizacin de inventarios, lo que se soluciona con un sistema de WLAN en forma de celdas para cubrir grandes reas Empresas, Proveer de conexin a la red de los funcionarios de una organizacin en todo lugar puede ser altamente beneficioso, al facilitar el acceso en lugares como Salas de Capacitacin, Salas de Reuniones, Showroom los que adems pueden estar distantes o en distintos pisos de un edificio Educacin, El hecho que, tanto los alumnos, como profesores puedan tener acceso a programas y bases de datos en todos los Campus y Salas, permite un mejor desempeo en cuanto a recursos acadmicos y estadsticos, accesos a Bibliotecas, Internet, y todos los 47

recursos disponibles en una LAN, pero sin la necesidad de establecer cableados en las Salas y Aulas, muchas de ellas antiguas, y no preparadas para establecer ductos y cableados de una LAN Lugares Pblicos, El acceso a redes mediante equipos Palm o Notebook en lugares pblicos como Aeropuertos y Terminales, puede significar un aumento en las comunicaciones y posibilidad de acceder a mayor nmero de transacciones en el creciente comercio va Internet Lugares de Eventos: El acceso mediante equipos Wireless a eventos, que incorporen dispositivos multimedia inalmbricos, tales como Video Proyectores, permite efectuar reuniones con un alto nivel tecnolgico, en red, sin la necesidad de instalar redes cableadas de carcter transitorio.

Hasta ahora se ha hecho mencin casi exclusivamente a redes WLAN, que son el objetivo de estudio de este documento pero es importante mencionar el futuro promisorio de los equipos Handheld computer, los PALM, IPAQ, PDA, PCS, etctera, los cuales, mediante el sistema WAP (Wireless Application Protocol), pueden ingresar a equipos que transforman los protocolos de comunicacin al formato WML (Wireless Markup Language), mediante un Servidor Proxy WAP, por ejemplo, y de ah a los servidores Web. Con esto los equipos mviles en un entorno Wireless podran ejecutar un gran nmero de transacciones, limitadas hasta hace poco slo a equipos fijos conectados a una LAN Ethernet. 8. Posibilidad de expansin Los productos de red inalmbricos son ahora razonablemente rpidos, estndar y econmicos para que se implemente en las oficinas y hogares. Los usuarios pueden permanecer conectados incluso si van de su oficina a la sala de conferencias con su Notebook. Estas redes permiten extender la red de datos a cada rincn de la empresa, edificio o domicilio. 3.5. WLAN UNA OPCION PARA LA PYME Las redes inalmbricas desarrolladas bajo el Estndar 802.11b/802.11b/g permiten a la pequea y mediana empresa disponer de una red que unifique todos sus dispositivos informticos de forma que cualquier usuario (trabajadores y proveedores) puedan compartir la informacin sin tener que enchufar ningn cable. Ventajas: La eleccin de una red WLAN permitir optimizar su tiempo e incrementar la productividad gracias a su fcil y rpida instalacin, basta con conectar el punto de acceso, 48

instalar las tarjetas adaptadoras inalmbricas en sus computadores porttiles o de escritorio, fijar el tipo de red y empezar a trabajar Movilidad y flexibilidad para los usuarios Los actuales productos inalmbricos han alcanzado precios muy competitivos con una excelente calidad, lo que los convierte en una solucin ms rentable que las redes cableadas, minimizndose los costos de ampliacin y ahorrando costos de mantenimiento respecto a las redes de cable tradicionales Las redes inalmbricas permiten realizar cambios fsicos de lugar de trabajo o cambiar de oficinas sin tener que rehacer la red cableada ni perder la inversin La eliminacin del cableado hace de las WLAN la opcin ms ptima para entornos en los cuales es complicado instalar cable, ya sea en edificios histricos o antiguos, instalaciones con paredes amantadas y zonas abiertas El amplio rango de operacin que permiten los nuevos productos Wi-Fi, de hasta 200 metros entre dos puntos y hasta 255 usuarios conectados simultneamente permite total libertad de movimiento dentro del entorno de trabajo La actual tasa de transmisin de hasta 54 Mbps alcanzada por algunos productos inalmbricos bajo el Estndar 802.11g aporta una solucin rpida que satisface con creces la velocidad requerida por las aplicaciones utilizadas en la PYME Uno de las cuestiones decisivas a la hora de elegir entre una red cableada o inalmbrica es la seguridad en la transmisin de los datos. Los productos para redes WLAN han alcanzado un alto nivel de seguridad, igual o superior al de las redes cableadas, ya que soportan encriptacin WEP de 64/128-bits y 256 bits y cuentan con filtracin de direcciones MAC Si ya se dispone de una red tradicional y se necesita incrementar su infraestructura, las soluciones inalmbricas se integran perfectamente con las redes de cable Ethernet para soportar diversas aplicaciones, como puede ser una aplicacin mvil o grupos de trabajo temporales.

Desventajas: La velocidad est limitada a 54 Mbps (en el mejor de los casos) Inestabilidad en la conexin Interferencias con otros dispositivos inalmbrico, hacen que se pierda efectividad de ancho de banda en la transmisin de datos El rea de cobertura est limitado a un radio determinado, adems entre ms distante que se encuentre el computador del punto de acceso menor ser la velocidad de transmisin.

49

CAPITULO IV IMPLEMENTACION DEL SISTEMA DISTRIBUTED

4.1. INTRODUCCION AirMagnet es una alternativa en seguridad para los responsables de la tecnologa de la informacin aplicado a las empresas con una infraestructura inalmbrica compleja o crticamente importante. Los productos AirMagnet satisfacen las necesidades que cualquier empresa requiera, ya sea, de redes y seguridad, diseo e instalacin, solucin de conexiones o rendimiento ptimo. Existen tres procesos que deben llevarse a cabo en la implementacin del Sistema Distributed provisto por AirMagnet, el primero de ellos es la instalacin del Sistema, del cual derivar el segundo paso, deteccin de errores de funcionamiento y solucin de los mismos, para as llegar al tercer proceso que comprende el monitoreo de la red inalmbrica, en este caso, la Red de AVANTEC. 4.2. SISTEMA AIRMAGNET 4.2.1. Descripcin de la Tecnologa AirMagnet El Sistema de Administracin Distributed de AirMagnet representa una nueva generacin de herramientas para administracin y diagnstico de redes inalmbricas. Construida desde cero para ayudar a profesionales a solucionar y administrar redes inalmbricas, incluye un grupo importante de herramientas para la administracin total de la red. Estas herramientas pueden eliminar rpidamente los problemas de conexin, mantener altos niveles de desempeo y monitorear eventos de seguridad en la red. Las herramientas de administracin son aplicables a las reas de: Administracin inalmbrica Manejo del desempeo Manejo de seguridad Soluciones de problemas de conexin.

El motor de diagnstico del Sistema Distributed de AirMagnet est basado en lo que esta compaa est patentando como Sistema Experto de Redes Inalmbricas AirMagnet

50

(AirWISE), una plataforma de monitoreo que ayuda a profesionales de redes a estar al tanto de cualquier cambio en la red que pueda llevar a complicaciones. AirWISE opera en segundo plano, asistiendo a administradores de redes recolectando automticamente estadsticas de la red. Usando estas estadsticas, AirWISE es capaz de identificar y seguir dispositivos en la red inalmbrica, monitorear su configuracin, identificar problemas y sugerir pasos a seguir para lograr una solucin. 4.2.2. Administracin Inalmbrica El Sistema Distributed AirMagnet incluye herramientas que ayudan al administrador de redes a organizar los dispositivos de la misma en una estructura lgica y jerrquica. Estas herramientas pueden administrar listas de dispositivos autorizados y monitorear su estado con respecto a problemas en tiempo real. El estado de la red se puede resumir fcilmente en un alto nivel o ser expuesto en completo detalle hasta el ms bajo nivel. Alarmas de rendimiento y seguridad, que contienen detalladas descripciones y sus posibles soluciones, hacen de la administracin de la red una tarea fcil. 4.2.3. Manejo del Desempeo El Sistema Distributed AirMagnet incluye herramientas que se enfocan especficamente en el desempeo. Obtener el mximo partido a una inversin en 802.11 requiere un completo conocimiento de la configuracin de AP y el control de todos los nodos de la red. AirMagnet incorpora una herramienta experta en anlisis de desempeo que monitorea el trfico de la WLAN e identifica fuentes de problemas de rendimiento en el momento en que stos ocurren. Es posible ver alarmas de desempeo en altos niveles de segmentos de la red, como tambin es posible monitorear interferencia en canales, monitorear frecuencia de errores CRC, identificar seales RF dbiles, loops en puentes, rfagas de transmisin y frecuencias de transmisin de baja velocidad en capas de acoplamiento.

51

4.2.4. Manejo de Seguridad Como las seales de RF penetran paredes, las fronteras de una red inalmbrica no son perfectamente claras. Es mucho ms fcil para un atacante husmear en una red inalmbrica que en una almbrica. AirMagnet trae herramientas capaces de identificar ms de 15 condiciones de vulnerabilidad de seguridad, algunas de las cuales son: Puntos de acceso no autorizados (Rogue APs) Estaciones no autorizadas (Rogue Stations) Buscadores externos (Wardriving Probes) Ataque de denegacin de servicio o llamado DoS (Denial of Service) y configuraciones WEP equivocadas.

AirMagnet tambin administra AP y garantiza que todos estn correctamente configurados y que permanezcan as. 4.2.5. Solucin de Problemas de Conexin Los problemas de conexin pueden constituir una gran prdida de recursos en una organizacin de administracin de tecnologas. Herramientas de calidad pueden hacer esta tarea mucho ms fcil y eficiente. AirMagnet dispone de herramientas que asisten en la solucin de todo tipo de problemas de conexin. La herramienta de diagnstico identifica errores en SSIDs, llaves WEP, frecuencias de transmisin o canales RF. La herramienta de anlisis de fallos (DHCP, ping y encaminamiento) puede aislar fallos de transmisin, incluyendo fallos de autenticacin y reasociacin. La captura y desciframiento de paquetes en tiempo real muestra todo el trfico de la red. 4.3. COMPONENTES DEL SISTEMA AIRMAGNET La Figura N 21 ilustra la topologa del Sistema AirMagnet. Su instalacin involucra mltiples etapas al existir mltiples componentes en el Sistema mismo. 52

Existen tres procesos separados en la instalacin: el Servidor debe ser el primero en instalarse. Una vez que el Servidor es instalado, se puede iniciar la instalacin del Sensor y la Consola conectndose al Servidor a travs de un explorador Web estndar, que sea capaz de realizar comunicaciones seguras de HTTP. AirMagnet tiene cuatro componentes principales las que trabajan en conjunto para formar el Sistema: Servidor AirMagnet Consola AirMganet Sensores AirMagnet AirMagnet Reporter (reportero). FIGURA N 21 TOPOLOGIA DEL SISTEMA AIRMAGNET

Fuente: AirMagnet Technical Publications (2004)

4.3.1. Servidor de Administracin AirMagnet El Servidor es el componente central del Sistema Distributed de AirMagnet y controla todos los datos recolectados por los sensores AirMagnet. Ellos envan alarmas e informacin

53

relevante al servidor centralizado AirMagnet. El Servidor mantiene una base de datos de toda la informacin de la red y entrega en forma segura esta informacin a las consolas AirMagnet en tiempo real y en cualquier ubicacin. El servidor de administracin es un programa basado en Windows que funciona, tanto en Windows 2000 como en Windows XP y est diseado para manejar un nmero ilimitado de sensores AirMagnet. El Servidor provee de los siguientes servicios fundamentales: Vista Central de Alarmas: Provee una vista general de las actividades crticas en toda la red inalmbrica Administracin de Sensores: Provee configuracin de perfiles de los sensores, distribucin de perfiles y actualizacin del software de los sensores para facilitar una efectiva poltica de distribucin Administracin de Usuarios: Provee el manejo de perfiles de usuarios basados en su rol, lo que le da a los administradores de tecnologa la flexibilidad de delegar tareas de administracin y solucin de problemas a equipos de trabajo que tengan varios niveles de permiso y capacidad Agregacin de Informacin de Sensor: Maneja el servidor SQL y almacena la informacin de desempeo como una fuente de datos para producir variados reportes.

4.3.2. Consola de Administracin AirMagnet La consola de administracin AirMagnet representa la interfaz de usuario del sistema y permite al usuario ver la informacin de la red por campus, edificio, piso o sensor individual. Cuando se necesita informacin ms detallada, la consola puede conectarse directamente a cualquier sensor individual para analizar en tiempo real y manejar activamente la solucin de los problemas mediante el Analizador Remoto AirMagnet. La consola es lo suficientemente flexible para ser desplegada e iniciada en forma segura desde un PC, un porttil o incluso un Pocket PC para un control completamente omnipresente. 4.3.3. Sensor AirMagnet Los sensores inteligentes AirMagnet se instalan en una red inalmbrica para monitorear activamente cerca de 150 amenazas y alarmas que pudieran tener impacto en la seguridad y salud de la WLAN. A diferencia de otros sistemas, cada sensor AirMagnet est construido con un motor de anlisis inteligente (AirWISE), que le permite monitorear automticamente el ambiente. Esta habilidad logra que el trabajo pesado del anlisis se ejecute localmente en cada

54

extremo de la red y evita exceso de transferencia de datos al servidor central para ser procesados. 4.3.4. Reportero Distribuido AirMagnet El Reportero AirMagnet compila informacin vital de la WLAN recolectada por una variedad de productos AirMagnet. Genera informes detallados de administracin, que pueden ser utilizados para investigacin detallada offline, anlisis de tendencias y documentacin de la red WLAN. El Reportero trabaja como un componente de software integrado al Sistema Distributed de AirMagnet. Los sensores AirMagnet recolectan informacin vital de la WLAN (mediante hardware y software) y es automticamente agregada en la base de datos centralizada, que est ubicada en el Servidor AirMagnet. La base de datos del SQL puede estar ubicada, tanto en el servidor AirMagnet, como en un computador separado en el que corra un sistema operativo Windows Server. El Reportero AirMagnet se conecta remotamente a la base de datos SQL para generar reportes de administracin sin que sea necesaria la intervencin del usuario para importar o exportar manualmente los datos. Es importante mencionar que el sistema de monitoreo funciona sin el Reportero de AirMagnet, pero no tiene la misma eficacia, por ser ste quin genera los reportes o informes del funcionamiento de la Red. 4.3.5. Equipamiento para la Implementacin del Sistema El equipamiento bsico para la implementacin del sistema de monitoreo est compuesto por una parte de software y otra de hardware. Una conexin banda ancha de Internet y el software de AirMagnet, pertenecen a la primera mencionada, mientras que, los sensores, el servidor y la consola de administracin pertenecen al hardware necesario para implementar el Sistema. El equipamiento de software y hardware necesario para la implementacin del Sistema recibe el nombre Software Starter Kit y Hardware Starter Kit y se detallan a continuacin:

Software Starter Kit: Compuesto por el software del servidor, software de la consola y cuatro softwares, uno para cada sensor, tal como lo muestra la Figura N 22
55

Hardware Starter Kit: Compuesto por un servidor, una consola y cuatro sensores hardware, tal como lo muestra la Figura N 23.
FIGURA N 22

SOFTWARE STARTER KIT

Software del Servidor Distributed

Software de la Consola Distributed

Software de los Sensores

Fuente: AirMagnet (2005).

FIGURA N 23

HARDWARE STARTER KIT

Servidor Distributed

Consola Distributed

Sensores Hardware

Fuente: AirMagnet (2005).

Adicionalmente, para lograr una mayor cobertura de la red o tener ms de un encargado de la seguridad en la misma, se pueden agregar los siguientes componentes (Figura N 24):

Hardware sensor adicional Software sensor adicional

Consola adicional Reporter.

56

FIGURA N 24 COMPONENTES ADICIONALES

+ + + +

Fuente: AirMagnet (2005).

4.3.6. Distribucin de Componentes Fsicos del Sistema AirMagnet El sistema se compone de dos distribuciones diferentes, una bsica (un servidor AirMagnet con servidor SQL) y una fragmentada (un servidor AirMagnet y otro SQL por separado), tal como se muestra en la Figura N 25 FIGURA N 25 DISTRIBUCION DEL HARDWARE DEL SISTEMA DE AIRMAGNET

Fuente: AirMagnet Technical Publications (2004).

57

1. Configuracin de distribucin bsica (Basic) El programa AirMagnet Reporter puede conectarse al servidor principal con la base de datos instalada en el mismo servidor principal. 2. Configuracin de distribucin fragmentada (Split Server) El programa AirMagnet puede conectarse a la base de datos del servidor mientras la base de datos existe en un servidor diferente. En esta modalidad el programa AirMagnet Reporter puede comunicarse con el servidor principal, as como con la base de datos. El usuario opcionalmente puede adjuntar un handheld analyzer (analizador porttil) al reportero y utilizarlo para realizar revisiones de sitio y luego transferir los datos obtenidos al Reportero. De esta forma, los datos se pueden enviar a la base de datos SQL a travs del Reportero y la informacin recibida ser considerada como informacin proveniente de un sensor, por lo tanto, el handheld analyzer se puede considerar como un sensor porttil. 4.4. INSTALACION Y CONFIGURACION DE AIRMAGNET La instalacin y configuracin del sistema Distributed de AirMagnet involucra planificacin. A continuacin, se muestra una lista que sugiere el orden en que deben realizarse los procesos y as lograr una organizacin que permita el xito en la instalacin del Sistema Distributed. 1. Plano general El primer paso en la planificacin es considerar el esquema fsico y los recursos disponibles para el trabajo: Determinar cuntos sitios debern incluirse en la instalacin Determinar cuntos sensores se utilizarn para recolectar informacin Dependiendo si los sitios se distribuyen en mltiples edificios y campus, puede ser importante configurar una Red Privada Virtual (VPN) y un firewall Si se va a utilizar NAT (Network Address Translation), hay que tener cuidado en determinar cules dispositivos sern capaces de conectarse o comunicarse entre si.

58

2. Usuarios La administracin de usuarios permitir el acceso controlado y planificado al Sistema Distributed de AirMagnet, es decir, considerar a los usuarios que tendrn permitido el acceso y asignarles contraseas y roles. Asegurar que los usuarios pueden conectarse al Servidor y a los sensores de su ubicacin en la red. 3. Administracin del Servidor Se considera bsicamente que el Servidor debiera estar fsicamente ubicado en un punto central de la red almbrica, idealmente en un centro de operaciones de red con conexiones de red y elctricas adecuadas. Este puede ser un Centro de Operaciones de Red (NOC) con personal de tiempo completo, como tambin, con personal que slo acuda al servidor en caso de necesitar configurar nuevos parmetros (agregar usuarios, realizar actualizaciones de software, etctera). El Servidor debe tener una fuente de energa ininterrumpida y estar cableado para una red Ethernet 10/100. El Servidor debe ser una mquina dedicada exclusivamente a los servicios de AirMagnet. 4. Administracin de sensores Ellos requieren de una fuente de energa alterna (220 V) y de un punto de red Ethernet 10/100. Estos pueden configurarse como IP esttica o IP dinmica (DHCP), ya que en ambos casos el sistema funciona correctamente. 5. Examen de sitios del sensor Para poder determinar el rea de cobertura y permetro del sensor en una red inalmbrica y tambin para determinar qu porcin de la red es factible de monitorear mediante la instalacin del sensor AirMagnet se realizan pruebas in-situ. Estos rangos de cobertura se monitorean mediante el Software de AirMagnet, en el cual en un grfico se muestra el valor de la potencia y la calidad de la seal. Con estos parmetros se define una ptima relacin entre la calidad y el nivel de potencia para ubicar el sensor en un punto fijo.

59

6. Etapas Antes de instalar efectivamente los sensores en su ubicacin remota, es buena idea configurar todo el hardware del lugar para verificar que sea completamente operativo en un ambiente controlado Pre-configurar todos los sensores en un ambiente de laboratorio Verificar que cada sensor sea visible para el servidor y enve datos a ste Verificar que cada sensor est aceptando conexiones de un usuario remoto Enviar los sensores a sus ubicaciones remotas pre-configurados, para que su instalacin sea plug and play.

7. Instalacin del software Ser necesario instalar el software en los diversos componentes del Sistema. Como parte del proceso de etapas, se debe instalar el software del Servidor AirMagnet, seguido del software del sensor y de la consola y luego configurar cada componente del software segn los requerimientos especficos de monitoreo. Se debe tener especial cuidado con el software que se instale en el servidor, sensor y consola, stos deben pertenecer a la misma versin, de lo contrario se generan errores en la comunicacin entre ellos o simplemente la comunicacin no se establece. 8. Prueba final Despus de terminar el proceso de configuracin por etapas, de que todos los sensores han sido instalados en sus ubicaciones remotas (determinadas por las pruebas in-situ), se deben ejecutar las siguientes pruebas finales: Revisar que todas las cuentas de usuario puedan conectar al Servidor y abrir sensores desde su ubicacin normal en la red Revisar que todos los sensores estn en lnea (conectados) y habilitados Configurar una Lista de Control de Acceso (ACL) desde la consola de administracin para verificar que todos los nodos configurados estn siendo considerados.

Instalaciones de prueba realizadas en AVANTEC, han permitido establecer parmetros y requerimientos adicionales necesarios para la instalacin exitosa de AirMagnet Distributed en una empresa, esto debido a fallas de funcionamiento que se han detectado, una de ellas es la incompatibilidad entre los sensores y el servidor, que provocan un Reset constante en los sensores cada vez que se quiere tener acceso a stos, debido a diferencias en las claves de cada 60

uno de ellos (al instalar y configurar el servidor, los sensores y la consola, el sistema pide asignar un nombre o clave a cada uno de ellos), esto quiere decir, que todos los equipos deben ser configurados con el mismo nombre o clave, ya que es el medio que utilizan para reconocerse entre s y de esa manera detectar si son o no amigos. De manera contraria no se puede establecer una comunicacin entre ellos. Constantes fallas de fbrica en equipos de baja calidad (access point) es otro problema presente, por lo que cada AP debe ser probado individualmente antes de ser instalado como parte de la red de cobertura del Sistema. 4.4.1. Instalacin del Servidor AirMagnet A continuacin, se indican seis puntos esenciales a considerar antes de la instalacin del Servidor AirMagnet y que permiten una instalacin eficaz del software: 1. El programa de AirMagnet Distributed Management Server (ADMS) se puede instalar utilizando el CD de sistema o desde la pgina web de AirMagnet 2. Los servicios ADMS deben ser instalados en un servidor dedicado, es decir, no deben existir otros tipos de softwares instalados 3. El ADMS debe estar configurado con una IP esttica y no debe tener otros servicios web en el mismo incluyendo Microsoft IIS (Internet Information Services, este servicio convierte a un computador en un servidor de Internet o Intranet) 4. La aplicacin AirMagnet laptop no puede ser instalado en el mismo computador que el AirMagnet management Server y se debe verificar que no est instalada esta aplicacin antes de instalar 5. Se debe verificar que est deshabilitada de su configuracin de redes la configuracin Proxy Server de Microsoft Internet Explorer 6. Debe ser deshabilitada la opcin Deteccin Automtica de Configuracin en el navegador IE (Internet Explorer). El Servidor Distribuido de AirMagnet (ADMS) puede ser instalado basndose en los requerimientos de sistema bsicos para su funcionamiento pero si se desea utilizar en conjunto con el Reportero Distribuido de AirMagnet, los requerimientos mnimos aumentan. Requerimientos bsicos para la instalacin de ADMS: Windows 2000 Server con Service Pack 4 (requerido si se utilizan ms de 20 Sensores AirMagnet) Windows XP Professional con Service Pack 1 Procesador Pentium 4 de 1,8 GHz como mnimo

61

512 MB de memoria RAM 4 GB de espacio en disco duro Conexin a Internet (licencias y actualizaciones constantes se deben bajar de la pgina web).

Requerimientos para la instalacin de ADMS a trabajar en conjunto con el Reportero Distribuido: Windows 2000 Server o 2003 Server Procesador Pentium 4 de 2 GHz como mnimo 512 MB de memoria RAM 20 GB de espacio en disco duro Conexin a Internet.

La instalacin del Servidor AirMagnet es tan amigable como la mayora de los softwares que existen en el mercado. Una serie de pasos guiados llevan a la correcta instalacin del software pero es importante que al momento de asignar una clave al Servidor, sta sea anotada en algn lugar, para luego asignar esa misma clave en la instalacin del software de los sensores, ya que cada sensor utilizar esta clave para conectarse al servidor. La clave lleva el nombre de Sensor Shared Secret Key, la que puede tener entre 1 y 25 caracteres alfanumricos y es quin permite la comunicacin entre Servidor y Sensor. Se puede comprobar que la instalacin ha sido correcta mediante la conexin a la pgina web del Servidor AirMagnet (AirMagnet Management Server Web Page). Esta comprobacin slo se puede hacer una vez que se tienen las licencias del software y la conexin se realiza entrando a la pgina https://Server/ donde Server se refiere a la direccin IP del servidor AirMagnet o al Host Name. La Figura N 26 muestra una captura de pantalla de lo que se obtiene al conectarse a esta pgina y se observa que el estado del servidor (status) est activo (running), as como tambin, muestra la versin del software AirMagnet Distributed, el nmero de licencia, cantidad de sensores conectados, alarmas generadas, cantidad de usuarios y otros.

62

FIGURA N 26 VERIFICACION DEL ESTADO DEL SERVIDOR AIRMAGNET

Fuente: AirMagnet Technical Publications (2004).

4.4.2. Instalacin de Microsoft SQL Server (Base de Datos) Algunas empresas poseen en sus redes corporativas una base de datos Microsoft SQL Server, lo cual evita la instalacin de un nuevo servidor para la base de datos, ya que AirMagnet Distributed puede trabajar en conjunto con Microsoft SQL Server existentes. En caso contrario, que no exista una base de datos con servidor, ste se puede instalar desde el CD de instalacin de AirMagnet Distributed Reporter. Requerimientos de sistema para la instalacin de Microsoft SQL Server (base de datos): Windows 2000 Server o 2003 Server Procesador Pentium 4 de 2,8 GHz 1 GB de memoria RAM Procesador con soporte de Hyper Threaded con al menos 533 MHz de bus frontal Disco duro con tecnologa RAID.

63

Es importante que la contrasea que se le asigne a la base de datos Microsoft SQL Server no sea olvidada, ya que sta se utiliza en varios procesos durante la instalacin de AirMagnet Distributed Reporter. 4.4.3. Instalacin de AirMagnet Distributed Reporter Antes de la instalacin de AirMagnet Distributer Reporter se deben tener en cuenta cuatro puntos importantes para el correcto funcionamiento del sistema: 1. La base de datos SQL debe estar previamente instalada, de lo contrario, todo el proceso de instalacin del Reporter, tendr que ser ejecutado nuevamente desde el inicio 2. Se debe tener a mano la contrasea asignada a la base de datos SQL (asignada en la instalacin de la misma), ya que sta se utiliza en diferentes etapas de la instalacin del Reporter 3. El Servidor AirMagnet debe estar actualizado para soportar el trabajo en conjunto con AirMagnet Reporter 4. AirMagnet Distributed Reporter no debe ser instalado en el mismo computador que el servidor o que la base de datos SQL. Requerimientos de sistema para la instalacin de AirMagnet Distributed Reporter: Windows XP (Home o Professional) con Service Pack 1 o Windows 2000 con Service Pack 4 Procesador Pentium 4 de 1 GHz 512 MB de memoria RAM Conexin a Internet y Ethernet.

4.4.4. Instalacin de la Consola AirMagnet La instalacin de la consola se realiza descargando desde el servidor central el programa llamado AirMagnet Laptop Management Console al computador que cumplir la funcin de Consola. Esto se realiza utilizando una conexin a Internet y conectndose al sitio del servidor central (https://Server/ donde Server es el Host Name o la direccin IP del servidor ADMS). La licencia que incluye el AirMagnet Distributed Management Server, slo soporta trabajar en conjunto con una sola consola, por lo que si se desean tener varias consolas trabajando se debe solicitar a AirMagnet una nueva licencia.

64

Requerimientos de sistema para la instalacin de AirMagnet Management Console: Windows 2000 o Windows XP (Home o Professional) Procesador Pentium 4 de 1,2 GHz como mnimo 256 MB de memoria RAM Conexin a Internet y Ethernet. 4.4.5. Instalacin de los Sensores AirMagnet Dos detalles deben tenerse en cuenta antes de instalar los sensores. El primero, es que el Servidor AirMagnet debe estar instalado y activo y lo segundo, es que para la configuracin inicial se necesita un computador para poder comunicarse con los sensores. Los sensores traen una direccin IP asignada por la fbrica, por lo que es necesario configurar la direccin IP del computador que se utilice para que haya una comunicacin entre ellos (la direccin IP esttica debe ser de la misma subred que la direccin IP del sensor). El hardware sensor puede ser conectado a una red separada (hub o switch) para realizar la configuracin inicial, utilizando un cable Ethernet RJ-45 pin a pin, como tambin puede ser conectado directamente al computador utilizando un cable RJ-45 cruzado. Una vez que el sensor se enciende, ste se puede configurar ingresando a la pgina del sensor (https://sensor/ donde sensor se refiere a la direccin IP del mismo), donde se ingresa con el nombre de usuario y contrasea que entrega la fbrica. Una vez realizado lo anterior, aparece la pgina de informacin del sensor y, desde all se puede, asignar un nuevo nombre al sensor (que ser el nombre con que se identifique en la consola), ingresar los datos del servidor AirMagnet (para que ste pueda comunicarse con el sensor), tales como, nombre del servidor o direccin IP del mismo y Sensor Shared Key (utilizada en la configuracin del servidor), asignar la zona horaria correspondiente al lugar donde se encuentre instalado el sensor y otros parmetros. Ya terminada la configuracin del sensor, ste se encuentra listo para conectarlo a la red (hub o switch) de la empresa, a travs del cable RJ-45 pin a pin. Finalmente, el cambio de IP esttica del sensor (IP de fbrica) a los parmetros de la red de la empresa y la aprobacin de la licencia, permite la conexin a la red corporativa y a su vez, la deteccin del sensor en la consola AirMagnet. Para verificar que el sensor est correctamente instalado y comunicndose con el servidor AirMagnet, se puede conectar a la pgina del sensor (http://Sensor), donde debe aparecer que 65

la licencia est aprobada y la direccin IP del servidor debe coincidir con la direccin IP del servidor de la red de la empresa, tal como lo muestra la Figura N 27. FIGURA N 27 VERIFICACION DEL ESTADO DEL SENSOR AIRMAGNET

Fuente: AirMagnet Technical Publications (2004).

4.5. DESPLEGANDO EL SISTEMA AIRMAGNET 1. Conceptos Bsicos Los objetivos de diseo aplicados a la implementacin de un sistema de monitoreo WLAN usando AirMagnet Distributed cubre la mayor rea posible con el equipamiento mnimo. El mismo pensamiento es usualmente aplicado a la implementacin de una WLAN con punto de acceso u otros elementos de infraestructura. Se requiere llevar a cabo en forma cuidadosa las revisiones en terreno de AP y antena para asegurarse de entregar la cobertura apropiada a todos los usuarios. Los mismos principios son aplicados al diseo de sensores de redes para monitorear los ambientes WLAN.

66

2. Sensor de Campo Visual (FOV) El FOV es el rea fsica que puede ser monitoreada por el sensor de actividad de la WLAN. El sensor FOV es anlogo a la cobertura para un AP. 3. Dispositivos de seguridad Un dispositivo de seguridad es un AP o una Estacin inalmbrica con autorizacin de despliegue de la organizacin de la red para entregar el servicio WLAN. 4. Dispositivo sin autorizacin Este es cualquier dispositivo WLAN (AP o Estacin) que est transmitiendo o recibiendo una seal 802.11 en la banda de 2,4 GHz, el cual es observable dentro del rea fsica definida como la zona de operacin de seguridad. Existen varias clases de dispositivos no autorizados. Por ejemplo, el amistoso, el cual es un AP que es parte de otra red, pero que irradia en la zona confiada. Un ejemplo comn de un punto amistoso incluye vecinos en una oficina multiuso o un rea de oficinas comerciales o en una casa que irradia dentro de una oficina adyacente en un rea urbana densa. 5. Tipos de sensor FOV (Field of View) Hay tres tipos de sensores FOV, cada uno tiene sus propias caractersticas. Es importante evaluar cuidadosamente los objetivos del monitoreo general WLAN para el sistema y entonces escoger el tipo de FOV apropiado. Los tres tipos de sensores FOV llevan el nombre de A, B y C, que se detallan a continuacin: Tipo C: Deteccin de Dispositivo sin autorizacin: El Sensor Tipo C est definido como el campo de cobertura (lmite) para el sensor de deteccin confiable de los dispositivos AP para reas de interior. En reas abiertas o en exteriores, el campo de cobertura para el sensor de deteccin confiable son los dispositivos AP o Estacin Tipo B: Monitoreo de AP Confiable: El campo de cobertura del Tipo B de Sensor FOV es definido como el lmite para el monitor confiable del sensor AP al nivel de seal al menos igual a un mnimo especificado en el diseo. Por ejemplo, un nivel de seal mnimo de -88 dBm es suficiente para monitorear todo el trfico de un 802.11b en un AP de una empresa cualquiera usando una antena de configuracin diversa de 2,5 dBi1

Ganancia relativa de una antena, con respecto a un radiador isotrpico ideal.

67

Tipo A: Monitoreo del trfico confiable: El campo de cobertura del Sensor Tipo A est definido como el trfico confiable en un nivel mnimo de seal o ligado a un rango a lo menos igual al mnimo especificado en el diseo, por lo tanto, entre ms que se acerca al limite interior o borde, el trfico seguro es como si se capturara al rango mximo soportado por el aparato.

En la mayora de los casos, el sensor del Tipo C abarcar reas ms extensas, con el Tipo B reas menores y con el Tipo A el sensor se cerrar a reas mucho menores. Es imposible mezclar los tipos de sensores en una misma rea pero se puede trabajar con ms de un tipo de sensor siempre y cuando se encuentren en reas diferentes. Por ejemplo, un diseo puede especificar el Tipo A FOV para reas interiores y tener sensores adicionales, los cuales son designados con el Tipo C FOV. En la Figura N 28 se ilustran los tres tipos de bordes FOV. FIGURA N 28 BORDES FOV

Fuente: AirMagnet Technical Publications (2004).

6. Factores que afectan el desempeo del Sensor FOV As como la cobertura creada por un AP, hay muchos factores que influyen en el modelo exacto del FOV, en el cual un sensor alcanzar una posicin dada. Estos factores se dividen en cuatro categoras:

68

Especificaciones de sensor RF Mtodos de instalacin del sensor Composicin estructural y tipo de construccin Caractersticas operacionales de la red WLAN.

Debido a las grandes variaciones creadas por estos factores desde un ambiente WLAN a otro, es claro que el proceso de medida del sensor FOV es esencial para un buen diseo de monitores de red WLAN. Algunos de esos factores pueden tener un gran efecto sobre el sensor FOV y debe ser cuidadoso al evaluar el diseo, medicin y verificacin del proceso. 7. Restricciones de instalacin del sensor Algunos ambientes de oficinas corporativas requieren que el equipo tcnico sea instalado completamente oculto. Esto puede restringir las ubicaciones del sensor a reas completamente cerradas, como en techos falsos, bloqueando la antena del sensor, de esta manera podra reducirse el FOV, algunas veces dramticamente en comparacin con una ubicacin de montaje expuesto. Un ejemplo similar se puede encontrar en algunos sitios gubernamentales y accesos pblicos lugares como aeropuertos, donde es a menudo requerido que aparatos de comunicacin sean instalados slo en cabinas o salas designadas, usualmente con reducido control de acceso fsico. 8. Oficina con sala de comando central Muchos edificios de oficinas estn estructuradas con sala de comando central, un rea muy densa que contienen ascensores, equipo elctrico y mecnico, ductos de ventilacin, cables de datos y comunicaciones, etctera. A menudo esta central requiere que el rea sea dividida en al menos dos sectores fsicos para WLAN. La distribucin de los Sensores y el nmero de ellos requerido depende de las caractersticas de los ya mencionados, de la superficie a cubrir y de las caractersticas fsicas del sector donde se encuentren los sensores ya que de esto depende la calidad y el alcance de la seal. En la Tabla N 2 se muestra un resumen, a modo de ejemplo, de la distribucin de los sensores y access point en un edificio.

69

TABLA N 2 SENSOR FOV RESUMEN DE MEDIDAS

Ttulo Proyecto Area Interior m2 11.180 8.825 9.290 Nmero de Pisos Nmero de APs Tipo de FOV Nmero de Sensores 20 3 3 Promedio m2 por cada Sensor FOV 559 2.942 3.066

Oficina 1 Oficina 2 Bodega

9 1 1

32 16 3

A, C B, C C

Fuente: AirMagnet Technical Publications (2004).

En el caso de Oficina 1 se tiene un edificio corporativo compuesto por 9 pisos y ocupa un rea total de 11.118 m2, la parte central se caracteriza por ser una zona muy densa (debido al trfico de informacin por ser una zona de oficinas) por lo que es necesario instalar dos sensores tipo A como mnimo por piso. En las reas abiertas que posee este edificio, como cafs y estacionamientos, slo es necesario instalar dos sensores tipo C por planta. La Oficina 2 est compuesta por slo una planta en el primer piso de un edificio de 8.825 m2 de rea, en la cual se requiere de dos sensores tipo B para el sector de oficinas y un sensor tipo C para el rea de los estacionamientos y pasillos pblicos. Para el rea de la bodega, de 9.290 m2 de superficie, se deben utilizar dos sensores tipo C, esto debido a las caractersticas de la planta ya que posee un enrejado de acero a 1,2 m de distancia del techo, pasillos estrechos y el embalaje de los productos que se encuentran ah es muy denso y 1 Sensor tambin tipo C para el sector colindante al espacio de oficinas. La eleccin de los tipos de sensores deber hacerse de acuerdo a los objetivos que se estn buscando, un diseo con sensores tipo C ser el mejor en el caso que slo se requiera detectar intrusos en la Red, mientras que un diseo con sensores tipo B ser el ms adecuado para que AirMagnet Distributed pueda monitorear variaciones en los niveles de seal dentro de la WLAN, ya sea por cambios en la estructura fsica del lugar, instalacin de nuevas maquinarias, o cualquier suceso que cause un impacto en la cobertura de la WLAN. Cada una de estas problemticas es anunciada por el Sensor mediante alarmas, lo que a su vez genera alertas detalladas a la NOC.

70

El Sistema AirMagnet se ha probado en laboratorios de fbrica con equipos que utilizan las configuraciones que se muestran en las Tablas N 3 y N 4, donde los resultados obtenidos han sido satisfactorios para ambos casos. TABLA N 3 SERVIDOR AIRMAGNET SIN REPORTERO Requerimientos CPU Avg CPU Memoria Disco Sistema Operativo
Fuente: AirMagnet Technical Publications (2004).

Servidor AirMagnet Pentium 4 2,4 GHz 30% 512MB IDE 2003 Server

La configuracin utilizada en la Tabla N 3, ha sido probada para soportar 240 sensores. Cada uno de estos sensores observa alrededor de 15 AP y 50 estaciones (clientes o usuarios). TABLA N 4 SERVIDOR AIRMAGNET CON REPORTERO Requerimientos CPU Avg CPU Memoria Disco Sistema Operativo
Fuente: AirMagnet Technical Publications (2004).

Servidor AirMagnet Pentium 4 2,4 GHz 50% 512MB IDE 2003 Server

Servidor SQL Pentium 4 2,4 GHz 30% 512MB IDE 2000 Server

La Tabla N 4 muestra una configuracin con el sistema Reportero de AirMagnet habilitado, al igual que el Servidor de base de datos SQL. Tal configuracin ha sido probada para trabajar con 1.200 sensores, donde cada uno de ellos observa alrededor de 15 AP y 50 estaciones. Se debe tener en cuenta que con esta configuracin la base de datos crece con una tasa de alrededor de 1 GB por da, por lo que al cabo de un mes estar ocupando 30 GB. En ambos casos, ya sea con o sin reportero, se debe considerar que ms estaciones no aumentan los requerimientos del sistema del servidor AirMagnet.

71

4.6. CONSOLA AIRMAGNET DISTRIBUTED En este tem se describirn los principales componente de la consola AirMagnet y sus funciones bsicas. Mdulo de Distribucin de la Consola Para empezar la Consola AirMagnet se deben seguir los siguientes pasos: 1. 2. 3. 4. Presionar Start Seleccionar All Programs Seleccionar AirMagnet Seleccionar Console.

La consola de AirMagnet aparecer, seguida de la pantalla de conexin del servidor, tal como lo muestra la Figura N 29. FIGURA N 29 PANTALLA DE CONEXION DEL SERVIDOR

Fuente: AirMagnet Technical Publications (2004).

72

Para conectar la consola con el servidor se debe seleccionar el servidor AirMagnet que se quiere utilizar (si es que se tiene ms de 1 servidor instalado), luego de la seleccin la consola se conectar con el servidor Cada consola puede soportar mltiples servidores, as como tambin, el Servidor AirMagnet puede soportar cientos de sensores, por lo que el Sistema de Distribucin AirMagnet gestiona una gran WLAN relativamente fcil. Si se tienen mltiples servidores instalados en la red WLAN, se puede seleccionar o escoger cualquier servidor desde el men en pantalla, donde cada servidor est representado por un punto verde, tal como se ve en la Figura N 30. Tambin se puede editar, agregar, o remover servidores. FIGURA N 30 VISUALIZACION DE UN SERVIDOR

Fuente: AirMagnet Technical Publications (2004).

La pantalla de la consola AirMagnet puede ser dividida en 2 paneles, el Arbol de Red y Polticas sobre el panel izquierdo y el Despliegue de Datos sobre el panel derecho. La informacin en los paneles izquierdos y derechos est estrechamente relacionada, lo que se seleccione en el panel izquierdo afectar en alguna manera los datos desplegados en la derecha, como sucede en la mayora de los programas que se utilizan a diario en los hogares y oficinas. Esto hace que la consola de AirMagnet Distributed sea amigable en la utilizacin por el usuario. En la parte superior izquierda estn las herramientas de construccin del Arbol de Red, representado por cuatro diferentes conos. Por el lado derecho superior se encuentra el men principal que muestra tres opciones de men y finalmente bajo el panel derecho est la barra

73

de navegacin que entrega cinco opciones de navegacin. Todo lo anterior puede ser apreciado en la Figura N 31 a continuacin. FIGURA N 31 PANTALLA DE INICIO DE AIRMAGNET

Fuente: AirMagnet Technical Publications (2004).

1. Herramientas de Red Las cuatro herramientas de construccin del Arbol de Red (Figura N 32), sirven para configurar la estructura de rbol de la red inalmbrica. El cono de Ciudad o Campus se utiliza para agregar ciudades o campus a la red, mientras que los conos de Edificio y Planta o Piso, sirven para agregar nuevos edificios o plantas a la red respectivamente. El ltimo botn (Propiedades), muestra el perfil de cada componente que se selecciona en la red de rbol.

74

FIGURA N 32 HERRAMIENTAS DEL ARBOL DE RED

Fuente: AirMagnet Technical Publications (2004).

Dentro de las ventajas de utilizar un esquema de rbol, es que se pueden administrar de forma clara todos los lugares que pertenezcan a la red, por ejemplo, dentro de una ciudad se pueden incluir sub-ciudades, edificios o pisos, tal como se ve en la Figura N 33, por lo que es sencillo y rpido encontrar el lugar que se desea monitorear. FIGURA N 33 ARBOL DE RED

Fuente: AirMagnet Technical Publications (2004).

75

2. Men Principal El Men Principal est compuesto por tres mens, que a su vez poseen sub-mens dentro de ellos, tal como lo muestra la Figura N 34. FIGURA N 34 MENU PRINCIPAL

Fuente: AirMagnet Technical Publications (2004).

El men Connect, est compuesto por tres sub-mens, Servidor, Sensor y Salir, donde los dos primeros permiten conectarse o agregar a un determinado servidor o sensor y el sub-men Salir, cierra la consola AirMagnet. El Men Manage, tambin est compuesto por tres sub-mens. El sub-men de Perfiles Polticos, permite crear nuevos perfiles polticos de seguridad y funcionamiento y asignarlos a diferentes lugares de la red, tambin permite modificar o eliminar perfiles polticos existentes. El sub-men Usuarios y Funciones, se puede utilizar para agregar nuevos usuarios y asignarle roles o funciones especficas a cada uno de ellos. Existen 3 tipos de usuarios. Usuarios Bsicos, que slo tienen acceso a leer informacin, Usuarios con Privilegios, que pueden hacer determinadas modificaciones y generar reportes, y Administradores que tienen acceso a configurar y administrar todo el sistema. En el caso del sub-men Configurar, las tareas que se pueden realizar son a nivel general de configuracin, desde este sub-men se puede cambiar la configuracin de la consola, servidor, sensor o shared secret key, es decir, las configuraciones bsicas del sistema.

76

3. Barra de Navegacin La barra de navegacin est compuesta por botones que permiten seleccionar o cambiar entre las pantallas disponibles (Start, AirWISE, Infrastructure, Charts y Back), como lo muestra la Figura N 35, y cada uno de ellos corresponde a una opcin especfica de pantalla. La barra de navegacin se encuentra siempre visible en la parte inferior de cada pantalla de la consola. FIGURA N 35 BOTONES DE LA BARRA DE NAVEGACION

Fuente: AirMagnet Technical Publications (2004).

Pantalla Start: Esta pantalla permite ver la jerarqua de la red y una tabla con un breve resumen del estado de la seguridad y el funcionamiento de la red que se haya seleccionado. Desde aqu se puede crear o modificar el rbol de red, como tambin conduce a un anlisis detallado de la red en cuanto a polticas, access points y otros Pantalla AirWISE: La pantalla AirWISE permite examinar, en forma detallada, sucesos que ocurran en cuanto a polticas y de la red en general. El anlisis de AirWISE identifica y alerta en forma automtica en ms de 100 casos de seguridad y funcionamiento (basado en los parmetros establecidos en la configuracin) y provee un asesoramiento para comprender en forma rpida de qu se trata cada problema que se presente en la red Pantalla Infrastructure: Esta pantalla permite profundizar en los detalles de todos los activos inalmbricos de la red, ya sean access points, clientes o SSIDs. De esta manera, se puede saber qu sucede, a quin le sucede y en qu lugar est sucediendo, pero ms importante an, es que se puede seleccionar una poltica determinada y de esta forma saber quin est violando la red y dnde est localizado, para as, en forma remota, cerrarle el paso a la red. La pantalla Infrastructure, al igual que la pantalla AirWISE, tambin permite ver informacin basada en la poltica o la ubicacin Pantalla Charts: Permite ver y analizar los eventos que ocurran en la red utilizando cuatro diferentes tipos de cartas: tendencia de los sucesos, resumen de eventos, lista de puntos de acceso y de infraestructura. La seccin de datos en la pantalla permite decidir qu informacin mostrar en la carta. La pantalla Charts, al igual que AirWISE y la pantalla infastructure, permite ver informacin basada en la poltica o en la ubicacin Botn Back: Permite volver a la pantalla que se estaba viendo previamente.

77

4.6.1. Utilizando la Pantalla Start La pantalla Start de la Consola AirMagnet funciona como un centro de operaciones NOC, entrega a los administradores de red informacin acerca de la seguridad y el funcionamiento de la red, activos inalmbricos e informacin agregada y resumida acerca de cualquier segmento presente en la red. La informacin entregada por esta pantalla se divide en las siguientes categoras: Las ocho sub-categoras ms violadas dentro de las categoras de seguridad y funcionamiento de polticas seleccionadas Las diez polticas individuales ms violadas en la categora de seguridad y funcionamiento de polticas seleccionadas Los diez access points con la mayor tasa de violacin de polticas Los diez access points ms activos, segn el nmero de clientes Las diez WLAN (SSID) ms activas, segn el nmero de clientes Access points y estaciones clientes contadas segn el tipo de estndar utilizado (802.11a/b/g) Ayuda para la administracin de ms de un servidor.

A continuacin, se mostrarn las principales secciones de la consola de AirMagnet y cmo se utilizan e identifican, analizan y resuelven los temas de seguridad y desempeo.

78

FIGURA N 36 PANTALLA DE INICIO

Fuente: AirMagnet Technical Publications (2004).

Como se muestra en la Figura N 36 se identifican cinco secciones principales: 1. 2. 3. 4. 5.

Network Tree Location Summary Policy Overview AP/Client Overview Activity Overview.

1. Network Tree (Arbol de Redes) El rbol de la red muestra la jerarqua de la ubicacin de la WLAN. Cada modo representa un grupo de jerarqua el cual contiene tres niveles:

79

Ciudad o Campus Edificio Piso.

Adicionalmente la pantalla puede mostrar la topologa WLAN y el umbral de la red indicando los problemas si los hubiese. 2. Location Summary Esta seccin muestra informacin adicional acerca del modo del rbol de la red, mostrando as una visin amplia sobre el estado de los distintos aparatos Wi-Fi de la WLAN. Esta seccin no slo indica dnde se encuentran los problemas si no tambin cules son. Por cada nivel seleccionado del rbol de la red se muestran los eventos de seguridad y desempeo enumerando la cantidad de ocurrencias. 3. The Policy Overview En esta vista general de poltica se agrupan categoras de alertas de seguridad y desempeo. Las principales categoras de Polticas de seguridad son: IDS Intrusin IDS Denial of Service AP y Clientes Encriptacin y autentificacin de usuario Vulnerabilidad de configuracin.

Las principales categoras de polticas de desempeo son: Patrones de problemas de Trfico Error de Operacin Administracin RF Canal o sobrecarga de equipo

Los colores rojo, naranja y amarillo en los grficos de la pantalla muestran los niveles de importancia, su significado es el siguiente:

80

Rojo, Urgente Naranjo, Alerta Amarillo, Informacin.

En los grficos se pueden observar la densidad y severidad de los eventos entregados por hora. Esta seccin muestra exactamente qu problemas tiene y cundo ellos ocurren en la red. 4. AP/Client Overview Esta pantalla resume toda la informacin de todos los Puntos de Acceso y Clientes de un segmento de la red codificado en diferentes colores. 5. Activity y Overview Aqu es posible observar qu aparato Wi-Fi tiene la mayor actividad y cul presenta la mayor cantidad de problemas. Se divide en tres secciones: Direcciones MAC de los Puntos de Acceso con mayor cantidad de eventos Puntos de Acceso with Most Station SSID con Most Station.

4.6.2. Utilizando la Pantalla AirWISE En este captulo se dan a conocer cmo identificar y resolver varios tems de seguridad y de desempeo en una red inalmbrica. Al instalar perifricos inalmbricos en forma no planificada en un entorno de red corporativo puede generar vulnerabilidades en toda la red permitiendo ataques e intrusiones externas. AirWISE es un componente de solucin importante de AirMagnet WLAN, identificando automticamente ms de cien eventos de seguridad y desempeo en la WLAN, accionado por alarmas que estn debidamente predeterminadas en las polticas. AirWISE monitorea la seguridad y desempeo de la red de la siguiente manera: Recolecta informacin de desempeo de la red en forma automtica Identifica y rastrea dispositivos inalmbricos y sus caractersticas Monitorea y analiza el estado de la red inalmbrica

81

Provee una gua de solucin a los problemas Permite a los administradores de red administrar en forma completa la WLAN desde la consola.

1. Los principales componentes de AirWISE La pantalla de AirWISE se divide en tres partes principales: Red de Arbol de polticas y ubicacin Panel de eventos detallados Panel de Ayuda Avanzada.

a) Red de Arbol de Polticas y ubicacin En el lado izquierdo del panel se encuentra la jerarqua de la red inalmbrica. La Figura N 37 muestra la jerarqua del Arbol de Ubicacin. FIGURA N 37 ARBOL DE UBICACION

Fuente: AirMagnet Technical Publications (2004).

82

Mientras el rbol de Ubicacin muestra dnde est el problema, el rbol de Polticas (Figura N 38) indica cul es el problema. FIGURA N 38 ARBOL DE POLITICAS

Fuente: AirMagnet Technical Publications (2004).

b) Panel de Eventos Detallados Esta seccin permite a un administrador identificar una actividad de una alarma de cualquier violacin de arriba hacia abajo se puede identificar el total de alarmas activadas por cada grupo de poltica, por categora, subcategora y activaciones de alarmas individuales. Al seleccionar una alarma activa se muestra informacin en forma detallada como hora, fecha, canal, ubicacin, etctera.

83

c) Panel de Ayuda Avanzado Esta ventana entrega una valiosa ayuda explicativa relacionada con el evento que est siendo seleccionado. Este texto de ayuda puede proporcionar informacin tanto generalizada como detallada. 4.6.3. Utilizando la Pantalla Infrastructure Muestra todos los activos inalmbricos que estn siendo utilizados en la red, tales como access points, clientes y SSIDs. Permite ver cualquiera de ellos sin importar la ubicacin que tengan (no slo importa saber qu activos se tienen, tambin importa saber dnde se encuentran). La pantalla infraestructura se divide en tres secciones, tal como se ve en la Figura N 39: Arbol de Ubicacin o Polticas Detalles de la Infraestructura Informacin de Ubicacin. FIGURA N 39 PANTALLA INFRAESTRUCTURA

Fuente: AirMagnet Technical Publications (2004).

84

a) El rbol de polticas y ubicacin Permite ver la jerarqua de todos los componentes tangibles de la WLAN, ordenado segn la clasificacin de polticas. Dos pestaas en la parte inferior del panel de Arbol de Red, indican qu rbol se est visualizando, Arbol de Ubicacin (Location) o Arbol de Polticas (Policy) y permite cambiarse entre ellos. b) Panel de Detalles de la Infraestructura Muestra 8 columnas en las que se pueden ver detalles como seal activa o no de un dispositivo, bajo qu estndar opera el dispositivo (802.11a/b/g), medidas de seguridad que operan en el dispositivo, direccin MAC, nombre del dispositivo y si se encuentra o no en la lista de control de acceso (x roja para las que no estn incluidas, x amarilla para los considerados vecinos y verde para los que estn en la ACL). La Figura N 40 muestra los botones de la parte superior del panel detallado, los que se utilizan para agregar, editar, buscar dispositivos y otras funciones extras. FIGURA N 40 BOTONES DEL PANEL DE DETALLES

Fuente: AirMagnet Technical Publications (2004).

c) Informacin de Ubicacin Este panel permite ver todos los Sensores que hayan detectado un determinado access point seleccionado para ver sus detalles. El panel tambin muestra la fuerza relativa de la seal de los sensores que detectaron el AP. Esto es de mucha ayuda para determinar la ubicacin de un AP ya que mientras mayor sea la 85

fuerza de la seal del sensor, quiere decir que se encuentra ms cerca de ste, por lo tanto se puede determinar su ubicacin relativa. 4.6.4. Utilizando la Pantalla Charts La Pantalla Charts se divide en tres secciones, tal como lo muestra la Figura N 41: Arbol de Ubicacin/Polticas Panel de Comportamiento Panel de Datos. FIGURA N 41 PANTALLA CHARTS

Fuente: AirMagnet Technical Publications (2004).

86

a) Arbol de Ubicacin/Polticas Permite ver la jerarqua de la red inalmbrica. Mientras que el rbol de ubicacin informa dnde est el problema, para luego decir cul es el problema, el rbol de polticas informa cul es el problema y luego dnde est ubicado. b) Panel de Comportamiento Esta seccin exhibe el comportamiento (tendencia) de los datos seleccionados en el panel de datos. Existen cuatro opciones para visualizar este panel: Tendencia de los sucesos Resumen de sucesos

Access points
Infraestructura.

c) Panel de Datos La informacin entregada en este panel, depende del rbol de red que se est utilizando (ubicacin o polticas). Si est seleccionado el rbol de ubicacin, el panel de datos muestra la estructura de polticas de la red y los detalles de las violaciones de polticas que hayan ocurrido en la ubicacin que se haya seleccionado. En el caso que se seleccione el rbol de polticas, el panel de datos muestra el rbol de ubicacin y de esta manera, al seleccionar una ubicacin, se puede saber quin est violando las polticas de esa ubicacin. 4.6.5. Polticas de Administracin de Perifricos En este punto se describe cmo crear, modificar y asignar las polticas de desempeo en una red WLAN. Para implementar la tecnologa AirMagnet exitosamente es esencial crear polticas especficas para la red de la empresa.

87

Para crear polticas los administradores debern plantearse las siguientes inquietudes: Qu parte de la red WLAN se monitorear? Qu polticas se desean monitorear (seguridad versus desempeo, polticas generales versus polticas especificas)? En caso de una violacin en el sistema a quin se debe informar? De qu forma se debe alertar (correo, sonido, etc.)?.

Para crear una poltica se debe elegir la opcin Manage luego Police Profiles. Ah tambin se podr modificar y eliminar perfiles existentes. Ejemplo de cmo crear una Poltica: 1. Seleccionar un lugar fsico en la WLAN (edificio, piso, ciudad) 2. Seleccionar un sensor a cubrir el rea 3. Determinar qu poltica se utilizar: Seguridad Desempeo 4. Seleccionar una categora de poltica, una subcategora y luego especificar la poltica dentro de la categora 5. Configurar las siguientes polticas: Umbral de configuracin SSID Notificaciones Severidad o rigurosidad. 4.7. ANALIZADOR REMOTO DE AIRMAGNET El Analizador Remoto de AirMagnet es una consola inalmbrica que analiza y muestra datos especficos de un determinado Sensor AirMagnet. Provee todas las funciones analticas de un Analizador AirMagnet, pero en forma remota. Es una herramienta que se puede utilizar para resolver los problemas de un entorno inalmbrico en la cual se diagnostican y resuelven los inconvenientes en forma segura y rpida. El Analizador de AirMagnet incluye las siguientes herramientas de administracin: Administrador Inalmbrico Monitoreo Inalmbrico

88

Gestin de Rendimiento Evaluacin de Seguridad Problemas de Conexin.

El Analizador Remoto de AirMagnet tambin posee una plataforma de monitoreo de desempeo y seguridad para los administradores de redes, llamada AirMagnet AirWISE, con el cual se pueden graficar y resolver los problemas, ya sean de seguridad, rendimiento, servicio de red o fallas tcnicas en los equipos que componen la misma. El Analizador Remoto rene en forma automtica informacin del rendimiento de la red, estadsticas, identifica y rastrea dispositivos inalmbricos de una red WLAN y analiza posibles errores. AirWISE posee una administracin inalmbrica que entrega al usuario informacin ms detallada para ayudar con la rutina de las tareas de administracin de la WLAN, as como: Informacin instantnea de la Red: Alerta los cambios con alarmas en caso de una falla en el servicio Herramienta de la Red: Rastrea un entorno de la red inalmbrica en la cual el administrador asigna mltiples configuraciones de perifricos.

El Monitoreo Inalmbrico es tambin una parte importante de AirWISE ya que entrega una herramienta para administrar cobertura y desempeo de una WLAN, esto incluye: Funciones: Investiga en forma detallada un punto de acceso remoto, tanto en la calidad de la seal como en su operacin Herramientas de Seal y Calidad: Identifica y asla canales de interferencia en un punto de acceso desconocido para prevenir posibles conflictos de desempeo Herramientas de Bsqueda: Identifica todos los SSID, puntos de acceso y estaciones de una red, tanto los autorizados como los no autorizados.

Controlar y operar un ambiente WLAN puede causar un gran impacto en el desempeo y fiabilidad y para ello AirWISE incorpora un Administrador de Desempeo que realiza las siguientes operaciones: Vista Resumida de la Red: Muestra una fotografa del estado de la red, teniendo la opcin de profundizar en detalle la informacin requerida

89

Alarmas de Rendimiento: En caso de una anomala en la WLAN el usuario es notificado con una alarma previamente definida Monitoreo de Ancho de Banda: Monitorea interferencias, seales bajas, transmisiones lentas y tormentas de paquetes Monitoreo de Interferencias de Canales: Avisa la carga excesiva de los puntos de acceso.

AirWISE incluye un sistema de Evaluacin de Seguridad con lo que se pretende minimizar el acceso de usuarios no autorizados e identificar posibles falencias en la configuracin de la seguridad de los Puntos de Acceso y prevenir ataques y penetracin desde el exterior. Dentro de las condiciones a detectar estn: Punto de acceso no autorizado Deteccin de saturacin o inundacin de paquetes en los AP Deteccin de emulacin de una direccin MAC Deteccin de un AP no configurado Deteccin de un ataque malicioso en la WLAN.

La identificacin de problemas de conexin es una herramienta para ayudar a eliminar problemas de conectividad. Esta utilidad puede diagnosticar los siguientes problemas: Desajuste de Conexin: Identifica problemas en el SSID, contraseas WEP, niveles de transmisin, etctera Falla de Dispositivo: Asla los problemas de transmisin, autentificacin y fallas de dispositivos Anlisis de Problemas en la LAN: Asla fallas de conectividad desde un punto de acceso especfico.

4.7.1. Pantalla de Inicio (Start) El analizador remoto de AirMagnet comienza con una pantalla inicial de interfaz de usuario remoto, como la que se muestra en la Figura N 42. Aqu se ve una generalidad del estado de la WLAN, como tambin los ndices generales de la red WLAN. Esto incluye los niveles de la seal RF, un sumario de la infraestructura y un resumen del rendimiento y seguridad de la red actual. Por el lado izquierdo de la pantalla se muestran los niveles de la seal, niveles de ruido y una relacin seal/ruido para cada canal, por el lado derecho se muestra una tabla con el SSID y cada dispositivo inalmbrico de la red identificado por su MAC, estndar en el que operan, tipo de seguridad que utiliza, si est en modo de puente o no, y nmero del canal, los 90

que dependiendo del color que posean, es el estado que tienen, en esta captura de pantalla el color verde significa que el dispositivo ha estado activo en los ltimos 5 segundos. FIGURA N 42 PANTALLA INICIAL DE INTERFAZ DE USUARIO REMOTO (Start)

Fuente: AirMagnet Technical Publications (2004).

Cada color que se ve en las pantallas del Analizador Remoto, representa un estado determinado de lo que est marcando. En el caso de la columna de canales, el color rojo quiere decir que existe una alarma que no se ha revisado. Para la columna de direcciones MAC existe cuatro colores posibles, amarillo, verde, rojo y gris. Donde amarillo significa que el dispositivo ha estado inactivo entre 5 a 60 segundos, verde que el dispositivo ha estado activo en los ltimos 5 segundos, rojo que el dispositivo esta inactivo hace ms de 60 segundos y gris que el dispositivo aun no se ha activado desde su configuracin. Los colores verde, turquesa y naranjo en la columna de estndares representan cada uno de ellos. Verde quiere decir que el dispositivo opera con 802.11b, turquesa con 802.11a y naranjo con 802.11g.

91

En la parte izquierda de la pantalla las barras de color verde indican el nivel de la seal, las de color rojo indican nivel de ruido, mientras que las barras amarillas representan la relacin seal/ruido. En la columna de tipo de seguridad, representada por un candado, cada letra representa el tipo de seguridad para transmisin que se est utilizando. La letra N quiere decir que no hay uso de WEP, la letra Y indica que WEP est siendo utilizado, V quiere decir que se est usando VPN y 1x significa que se est trabajando con 802.1x. 4.7.2. Pantalla de Canales (Channel) La pantalla Channel, Figura N 43, muestra el anlisis del trfico 802.11 en el canal seleccionado, la proporcin de utilizacin, potencia de la seal y estadsticas vitales del canal seleccionado. FIGURA N 43 PANTALLA CANAL DE INTERFAZ DE USUARIO REMOTO (Channel)

Fuente: AirMagnet Technical Publications (2004).

92

El nmero de canales mostrados vara segn el Pas o Continente donde se encuentre la WLAN analizada. Los canales asignados para cada regin del mundo se muestran en la Tabla N 5. TABLA N 5 CANALES POR REGION EN EL MUNDO
Regin Canales 802.11b Canales 802.11a

Norte Amrica (EEUU y Canad) Chile, Australia y Mayor parte de Europa y Sudamrica Francia

1 - 11

36, 40, 44, 48, 52, 56, 60, 64, 149, 153, 157, 161

1 - 13

36, 40, 44, 48, 52, 60, 64

10 - 14

36, 40, 44, 48, 52, 56, 60, 64

Espaa

10 - 11

36, 40, 44, 48, 52, 56, 60, 64

Japn

1 - 14

34, 38, 42, 46

Islas del Pacfico

Fuente: AirMagnet Technical Publications (2004).

1 - 11

36, 40, 44, 48, 52, 56, 60, 64, 149, 153, 157, 161

Para el caso de Chile, se permite operar con 13 canales, pero debido a que la mayora de los equipos utilizados son americanos (EEUU) y estn diseados para trabajar con 11 canales, entonces, slo se utilizan 11 canales. 4.7.3. Pantalla Infraestructura La pantalla Infraestructura, muestra la proporcin entre la seal y ruido y las actividades de la red inalmbrica, tal como se muestra en la Figura N 44 en la parte superior derecha. En las distintas ventanas de la Pantalla Infraestructura se obtiene: Lista por SSID Lista por Canal Lista de APs Lista de estaciones Lista Ad-hoc.

93

FIGURA N 44 PANTALLA INFRAESTRUCTURA DEL INTERFAZ DE USUARIO REMOTO

Fuente: AirMagnet Technical Publications (2004).

4.7.4. Pantalla AirWISE La Pantalla AirWISE muestra una lista de rendimientos y de alarmas de seguridad detectado por el programa AirWISE, tal como se ve en la Figura N 45, y es la manera ms fcil de establecer claramente cules son los problemas ms comunes, en cuanto a seguridad y funcionamiento, de la red inalmbrica. Las estadsticas y grficos en la parte inferior derecha de la pantalla, representan el tem que se haya seleccionado, ya sea canal o nodo.

94

FIGURA N 45 PANTALLA AIRWISE DEL INTERFAZ DE USUARIO REMOTO

Fuente: AirMagnet Technical Publications (2004).

4.7.5. Pantalla Charts La pantalla Charts, muestra los nodos, access points y estaciones ms utilizadas y canales generando trfico en la Red La parte inferior de la pantalla, muestra tres tipos de ndices, tal como se ve en la Figura N 46. Estos ndices son: 802.11 Frame Type: Proporciona datos por cada direccin de AP (Punto de Acceso) en la forma de administracin de control, datos y errores CRC Frame Speed: Muestra detalles de la velocidad de conexin Address Type: Entrega informacin por cada direccin AP en el modo broadcast, multicast y unicast.

95

FIGURA N 46 PANTALLA CHARTS DE INTERFAZ DE USUARIO REMOTO

Fuente: AirMagnet Technical Publications (2004).

Las barras de color rojo indican problemas, por ejemplo, errores CRC o bajas velocidades. Bajo cada barra se encuentra el nombre o la direccin del dispositivo que se est analizando y se encuentran en funcin de la capacidad total que estn utilizando, es decir, la informacin mostrada en la parte inferior de la pantalla est representada por el grfico superior. 4.7.6. Pantalla Decodes La pantalla Decodes, mostrada en la Figura N 47, analiza los paquetes 802.11 en forma resumida y en tiempo real para solucionar problemas de interoperabilidad de protocolo en la WLAN. Cada columna que se ve en la pantalla se detalla a continuacin.

96

CH: (Canal) Los paquetes marcados en rojo muestran errores CRC, en este caso el color amarillo indica una proporcionalidad entre la seal y el ruido S: Fuerza de la seal en dBm Len: Largo del paquete Source: Fuente de donde proviene la informacin Summary: Provee mensajes de informacin de actividad 802.11. FIGURA N 47

PANTALLA DECODES DEL INTERFAZ DE USUARIO REMOTO

Fuente: AirMagnet Technical Publications (2004).

4.8. IMPLEMENTACION DEL SISTEMA DISTRIBUTED La implementacin del Sistema AirMagnet durante el periodo de prueba en la Red de Avantec, bsicamente consisti en implementar un sistema, en el cual se pueden hacer mediciones y captura de datos con los distintos dispositivos obtenidos por la Empresa, y luego analizarlos con el Software de AirMagnet.

97

En la implementacin del Sistema se utiliz una configuracin Distributed Basic (bsica de Distributed), tal como se muestra en la Figura N 48. FIGURA N 48 ESQUEMA DE CONFIGURACION DE COMPONENTES DEL SISTEMA DISTRIBUTED

Fuente: AirMagnet Technical Publications (2004).

Actualmente, Avantec dispone de una red LAN y una Red Wi-Fi con tres computadores inalmbricos y otros cuantos cableados. Esta infraestructura ayudar a realizar las pruebas necesarias considerando, que este producto est diseado para corporaciones o para grandes empresas. Se dispuso de dos personas que estaban disponibles para instalar los dispositivos y configurar los servidores y las aplicaciones de cliente en los respectivos computadores.

98

El sistema se prob en los dos pisos del edificio donde Avantec tiene sus dependencias, esta empresa cuenta con un enlace de Internet dedicado con una capacidad de 2Mbps y un punto de acceso (AP) ubicado en el piso 11 del edificio. Luego se colocaron dos de los cuatros sensores, provistos por AirMagnet, uno ubicado en la biblioteca del piso11 y otro en el piso 7, tal como se muestra en la Figura N 49. FIGURA N 49 DISTRIBUCION DE DISPOSITIVOS EN AVANTEC

Fuente: Propia (2007).

99

Como servidor se utiliz un equipo de buenas prestaciones instalndose el sistema operativo Windows 2000 Server con SQL Server (requisitos para hacer funcionar el Software), los otros equipos de los usuarios, son equipos principalmente con sistema operativo Windows XP, utilizando una conexin inalmbrica con el protocolo TCP/IP y con una encriptacin WEP para las transferencias de datos. 4.8.1. Pruebas Realizadas Considerando que la oficina se ubica en una planta libre, se obtuvo que las seales se reciben bien en el rea de prueba, es decir, que la relacin seal a ruido est por sobre 30 dBm, que es el parmetro que la empresa considera bueno, aunque la fuerza de la seal disminuye mientras ms lejos se encuentre del AP. En este sentido tampoco existen problemas de interferencia con otras seales de oficinas aledaas u oficinas de otros edificios, an cuando el Sistema Distributed detecta otras redes inalmbricas cercanas, ya que el nivel de potencia de esas seales en el rea de la empresa es mnimo (ms de -87 dBm). Una vez instalado y configurado AirMagnet Distributed en Avantec, se realizaron pruebas para comprobar la rapidez y eficacia del sistema. A continuacin, la Figura N 50 visualiza una administracin WLAN en donde Sensores remotos detectan problemas de Seguridad y fallas de la Red y una alarma es generada en la consola del administrador con informacin detallada sobre el problema. FIGURA N 50 DETECCION DE PROBLEMAS Y FALLAS MEDIANTE ALARMAS

Fuente: AirMagnet (2005).

100

Una de las pruebas realizadas fue crear un trfico de informacin en un horario fuera de las horas de trabajo, utilizando una cmara de fotos conectada a uno de los computadores de la red, se rescat el contenido de la cmara desde otro computador por medio de la conexin inalmbrica de la empresa. Esto provoc que el Sensor AirMagnet detectara un trfico sospechoso, por lo que casi inmediatamente el Reportero arroj una alarma diciendo trfico sospechoso fuera del horario laboral. Como respuesta a esa alarma, se decidi intentar detener el trfico de informacin y se logr bloqueando el access point que utilizaban dichos computadores. Todo este proceso se realiz a travs de la consola de AirMagnet. Otra de las pruebas realizadas, fue fuera del rea fsica de Avantec, se busc un lugar que tuviera una conexin inalmbrica pblica para ver si desde ah se poda ver qu es lo que estaba sucediendo en la red de Avantec. El lugar elegido, fue un caf en Providencia con una red Wi-Fi disponible. Desde ah, con la consola (que se instal en un computador porttil) se vio qu estaba pasando con el trfico en Avantec. Se pudo ver el estado de los access point, del sensor, quin estaba utilizando la red, quines estaban realizando el mayor trfico informacin por la red, etctera. Tambin desde ah se identificaron varias de las redes prximas. Es importante decir que, a pesar de que AirMagnet Distributed es un sistema tcnicamente muy bueno, que funciona y realiza acciones que an ningn otro sistema de monitoreo logra hacer, econmicamente no se justifica si es que no es totalmente necesario. La tecnologa es de un precio muy alto y normalmente las empresas de Chile buscan lo justo y necesario para proteger sus redes. An as, se realizaron demostraciones a posibles clientes, uno de ellos fue el Banco del Estado, al cual se llevaron dos computadores porttiles y un Sensor para hacer una demostracin del sistema. Desde ah se cre una mini red con los equipos que se llevaron. Uno de los computadores porttiles llevaba instalado el servidor y otro la consola de AirMagnet. Se logr monitorear toda la red del Banco del Estado, con la consola se visualizaron todos los access points y estaciones, se mostr el trfico de informacin que se estaba realizando, se vieron grficos de utilizacin y tambin se descubrieron access point que tenan oculto el SSID, pero mal configurado, ya que cuando un AP tiene un SSID oculto no debe ser detectado. El Sistema Distributed logr encontrar estos AP ya que haban estaciones preguntado por ellos, lo que en cierta forma delataba su existencia. Luego, para demostrar que el sistema funciona remotamente, se monitore la red de Avantec, donde se realiz exactamente lo mismo que con la red del banco, pero esta vez se estaba monitoreando una red que no estaba en la misma rea fsica. La demostracin fue todo un xito, en cuanto a sorprender al cliente, pero el producto no fue adquirido.

101

4.8.2. Conclusiones AirMagnet Distributed es un sistema de gestin de redes WLAN diseado para garantizar la seguridad completa de la red, un correcto funcionamiento de los dispositivos y la fiabilidad del sistema completo. AirMagnet Distributed es un sistema formado por un servidor central, sensores remotos y tantas consolas fijas o porttiles (Laptop/PDA) como se consideren necesarias para la monitorizacin de una WLAN en tiempo real y permanente. Unas de las ventajas de este producto es que garantiza seguridad, funcionamiento y la fiabilidad para una WLAN completa. Este sistema es escalable y adaptable a los diferentes grados de las necesidades de las empresas Trabaja con los estndares 802.11 a/b/g en ambas bandas: 2,4 GHz y 5 GHz soportando todo tipo de fabricante. Trabaja muy bien con los estndares de Seguridad: 802.1x, LEAP, WPA, PEAP y en la forma expedita, se puede obtener un anlisis remoto de funcionamiento y de localizacin de averas.

102

CAPITULO V CONCLUSIONES
De acuerdo a todos los antecedentes obtenidos y analizados se puede observar que actualmente en Chile se ha adoptado rpidamente la tecnologa inalmbrica tanto por sus costos como sus beneficios, para las empresas como tambin para los hogares. En un futuro no muy lejano se depender de esta tecnologa de comunicacin para desenvolverse, en gran parte del territorio nacional o del mundo. Estos beneficios se consiguen gracias a una mayor flexibilidad e independencia en el mbito comunicacional pudiendo acceder a los datos o informacin desde cualquier parte en forma rpida y actualizada. Como bien se sabe, en el mundo de los negocios la informacin puede ser un capital muy valioso y crtico, por esta razn, se deben implementar todas las precauciones para la prevencin del hurto de datos, como tambin monitorear constantemente las operaciones de las redes de manera de impedir filtraciones de agentes externos y/o internos. Este Proyecto se llev a cabo con la implementacin de un sistema de gestin de redes WLAN llamado AirMagnet Distributed que monitorea la calidad del servicio de red inalmbrica que ofrecen las empresas del pas, tanto desde el punto de vista de performance como de seguridad, en tiempo real y permanente. AirMagnet Distributed cumple con todas las necesidades y beneficios de la tecnologa inalmbrica disponible actualmente, se han probado las mltiples configuraciones y opciones en laboratorio y terreno para garantizar la seguridad completa de la red, incluyendo un correcto funcionamiento de los dispositivos y la fiabilidad del sistema completo. El objetivo general del Proyecto fue cubrir las necesidades de Avantec S.A. desde el punto de vista terico en el mbito de la nueva tecnologa de redes inalmbricas basada en la Norma 802.11a/b/g. Este objetivo se logr satisfactoriamente, ya con esta base terica se logr la correcta implementacin de una red inalmbrica en la Empresa, lo que conllev al cumplimiento del objetivo especfico de este Proyecto; la implementacin del sistema de monitoreo en la Empresa; ste cumpli con las expectativas planteadas, lograr la correcta implementacin y manejo del sistema para ser mostrado a los posibles clientes. De esta forma, se asegura un producto certificado para la venta e implementacin en el mercado nacional. An as, las pruebas con el software, no se siguieron realizando, debido a que el costo del Sistema Distributed de AirMagnet es muy alto y en Chile no hay mercado que pueda solventarlo.

103

No obstante, an cuando existe esta tecnologa disponible, el mercado nacional no ha reparado en la importancia que reviste el contar con un sistema de seguridad al interior de las empresas, el desconocimiento, la falta de informacin y los altos costos de esta tecnologa son el principal inconveniente cuando se avala la inclusin de seguridad como parte de un sistema. No ocurre lo mismo en otros pases, como por ejemplo Estados Unidos, donde la tecnologa de AirMagnet Distributed est masificada y donde la entidad que ms invierte en este sistema es el Ejrcito del mismo pas. La Seguridad Perfecta requiere un nivel de perfeccin que realmente no existe, pero los riesgos, las amenazas, y por ende los daos pueden ser manejados y llevados a su mnima expresin. Finalmente, el funcionamiento permanente de las empresas es un asunto importante que las compaas deben afrontan en la actualidad y las aplicaciones integradas de seguridad les permiten mejorar la disponibilidad de sus sistemas; con la combinacin correcta de tecnologas de la seguridad implantadas en los lugares adecuados de la red, es posible mejorar la situacin de seguridad a pesar de que los permetros actuales estn desapareciendo y que existen amenazas sofisticadas en Internet.

104

BIBLIOGRAFIA
Aguirre, Jos Eduardo (2000). Redes Inalmbricas. Trabajo para Titulacin de Ingeniera en Sistemas Computacionales. Universidad Antonio de Nebrija. Madrid. Espaa. 70pp. AirMagnet (2005). Soluciones AirMagnet, Mobile y Distributed. California. Estados Unidos. 18pp. AirMagnet Technical Publications (2004). AirMagnet Distributed Management System User Guide. AirMagnet. California. Estados Unidos. 236pp. Alerta en Lnea (2006). Seguridad Inalmbrica. http://www.alertaenlinea.gov. Bernier, Antonio; Vega Garca, Vctor; Martnez Lomas, Diego (2005). Seguridad WiFi. Escuela Superior de Ingenieros. Universidad de Sevilla. Sevilla. Espaa. 47pp. Brenner, Pablo (1997). A Technical Tutorial on the IEEE 802.11 Protocol. BreezeCOM. Virginia. Estados Unidos. 24pp. Cazorro, Toni (2003). Introduccin a las Redes Wireless Basadas en 802.11. Menorca Wireless. Menorca. Espaa. 4pp. http://www.islademenorca.com/menorcawireless/sub_pags/introduccion/intro.htm. Cisco Documentation (2004). Cisco IOS Software Configuration Guide for Cisco Aironet Access points. Cisco Systems. San Jos. Estados Unidos. 8pp. Cisco Systems (2002). Seguridad en Redes WiFi. San Jos. Estados Unidos. 9pp. Cisco Systems (2007). Gua de Usuario de SDM Express de Cisco. San Jos. Estados Unidos. 78pp. Delgadillo, Sebastin; Guzmn, David; Mller, Andrs; Grote, Walter (2005). Anlisis Experimental de un Ambiente Wi-Fi Multicelda. Facultad de Ingeniera. Universidad de Tarapac. Arica. Chile. 45-52 pp. http://www.scielo.cl/pdf/rfacing/v13n3/art07.pdf. D-Link (2005). http://www.dlink.com/ Eric Anderson (2005). Manual de FreeBSD. http://www.freebsd.org/doc/es_ES.ISO88591/books/handbook/network-wireless.html. 105

Eusso Technologies (2005). 54/108 Mbps Wireless Access Point. http://www.eusso.com/Models/Wireless/UGL2454-RTA/UGL2454-RTA.htm Gobierno Digital (2005). Por Qu es Importante Proteger las Conexiones Inalmbricas. http://weblogs.cfired.org.ar/blog/archives/002581.php Gori, Riccardo (2005). Predisposizione e installazione di reti Ethernet. Ministero dell'Istruzione, dell'Universit e della Ricerca. Roma. Italia. http://puntoeduft.indire.it/materialic. Hernndez Orallo, Enrique y Vila i Carb, Joan (2000). Transmisin de Datos en Tiempo Real. Trabajo de Doctorado. Universidad Politcnica de valencia. Valencia. Espaa. 43pp. http://www.disca.upv.es/enheror/pdf/Doctorado2Creditos.PDF. ImasD (2005). Redes Inalmbricas WLAN. Islas Canarias. Espaa. 15pp. Jaque, Sandra (2003). WiFi en la Educacin, el Caso de Chile. Red Universitaria Nacional (REUNA). Santiago. Chile. 28pp. Linksys (2005). http://www-es.linksys.com. Macnux (2006). Redes. www.macnux.com/portal/articulos_redes. Netgear (2005). Wireless Networking Basics. Santa Clara. Estados Unidos. 26pp. http://documentation.netgear.com/reference/sve/wireless/pdfs/FullManual.pdf Prez de la Rosa, Francisco (2007). Wifi. http://www.iesdonana.org/conferencia_wifi.doc. Soundblaster (2005). http://www.soundblaster.com. Subsecretara de Telecomunicaciones (2007). http://www.subtel.cl. Tanenbaum, Andrew (2003). Redes de Computadoras. Pearson Educacin. Ciudad de Mxico. Mxico. 891pp. Universidad Antonio de Nebrija (2005). Norma 802.xx. Departamento de Teleinformtica y Redes. Madrid. Espaa. 21pp.

106

Universidad Francisco de Paula Santander (2006). Estado del Arte de la Seguridad en las Redes LAN Inalmbricas. San Jos de Ccuta. Colombia. http://www.ufps.edu.co/wireless. Vergara, Angelo (2003). Wireless Network Security Bulletin V.2.1. Proxim Corporation. San Jos. Estados Unidos. 8pp. Virusprot (2006). http://www.virusprot.com/ Webopedia (2005). Wireless Networking Standards. http://www.webopedia.com/quick_ref. Wikimedia foundation, Inc. (2006). Wikipedia, la Enciclopedia Libre. http://www.wikipedia.org.

107

ANEXOS

108

ANEXO N 1 GLOSARIO ACL

Access Control Lists (Listas de Control de Acceso) Forma de determinar los

permisos de acceso apropiados a un determinado objeto.

ADMS

AirMagnet Distributed Management Server (Servidor Distribuido de

AirMagnet).

ADSL

Asymmetric Digital Subscriber Line (Lnea de Abonado Digital Asimtrica)

Lnea digital de alta velocidad.

AES

Advanced Encryption Standard (Estndar de Encriptacin Avanzada)

Esquema de cifrado por bloques.

AH

Authentication Header (Encabezado de Autenticacin) Proporciona el

servicio de autenticacin de un paquete IP que viaje por la red.

AIEE

American Institute of Electrical Engineers (Instituto Americano de

Ingenieros Elctricos) Institucin dedicada a las comunicaciones por cable y sistemas de luz.

AIRWISE

AirMagnet Wi-Fi system Expert (Sistema Experto de AirMagnet para Redes

Inalmbricas).

AP

Acces Point (Punto de Acceso) Equipo que interconecta dispositivos de

comunicacin inalmbrica.

ATM

Asynchronous Transfer Mode (Modo de Transmisin Asncrono) Tecnologa

de telecomunicacin desarrollada para hacer frente a la demanda de capacidad de transmisin.

BW

Band Wide (Ancho de Banda) Anchura del rango de frecuencias en el que se

concentra la mayor parte de la potencia de la seal.

CPU

Central Processing Unit (Unidad Central de Procesos) Componente que

interpreta instrucciones y procesa datos contenidos en los programas de un computador.

109

CRC

Cyclic Redundancy Check (Control de Redundancia Cclica) Mecanismo de

deteccin de errores en sistemas digitales.

CSMA/CA

Carrier Sense Multiple Access with Collision Avoidance (Mltiple Acceso

por Deteccin de Portadoras Evitando Colisiones) Protocolo de control de redes que permite a mltiples estaciones utilizar un mismo medio de transmisin.

CSMA/CD

Carrier Sense Multiple Access with Collision Detection (Mltiple Acceso

con Escucha de Portadora y Deteccin de colisiones) Protocolo usado en redes Ethernet para asegurarse de que slo 1 nodo de red est transmitiendo en un determinado canal.

dBi DES

Decibelios por encima o por debajo de la seal ideal de una antena isotrpica.

Data Encryption Standard (Estndar de Encriptacin de Datos) Mtodo para

cifrar informacin.

DHCP

Dynamic Host Configuration Protocol (Protocolo de Configuracin

Dinmica de Host) Protocolo que permite a los nodos de una red IP obtener sus parmetros de configuracin automticamente.

DoS

Denial of Service (Negacin de Servicio) Consecuencia a un ataque a la red

que causa que los usuarios legtimos no puedan acceder a la misma.

DQDB

Distributed Queue Dual Bus (Bus Dual de Cola Distribuida) Red multiacceso
que utiliza un bus dual y organiza todo mediante una cola distribuida.

DSSS

Direct Sequence Spread Spectrum (Espectro Ensanchado por Secuencia

Directa) Mtodo de modulacin para transmisin de seales digitales sobre ondas radiofnicas.

DSL

Digital Subscriber Line (Linea de Abonado Digital) Tecnologas que proveen

una conexin digital sobre lnea de abonado de la red telefnica local.

EAP

Extensible Authentication Protocol (Protocolo de Autenticacin Extensible)

Estructura de soporte para la autenticacin.

110

ERP

Enterprise Resource Planning (Sistema de Planificacin de Recursos

Empresariales) Sistemas de informacin que integran y manejan los sistemas de produccin y distribucin en una empresa.

ESP

Encapsulating Security Payload (Carga Util de Seguridad Encapsulada)

Protocolo IPSec que proporciona confidencialidad e integridad de datos.

ESSID

Extended Service Set Identifier (Identificador de Servicios Ampliables)

Nombre o cdigo asignado a un enrutador.

FHSS

Frequency Hopping Spread Spectrum (Espectro Ensanchado por Salto de

Frecuencia) Tcnica de modulacin donde las seales se vuelven resistentes al ruido y son difciles de interceptar.

FOV FTP

Field of View (Campo de Visin) Campo de visin que posee un sensor. File Transfer Protocol (Protocolo de Transferencia de Ficheros) Medio
especfico de conexin de un sitio Internet para cargar y descargar archivos.

HASH

Funcin o mtodo para generar claves que representen de manera unvoca a un archivo.

HTTP

Hyper Text Transfer Protocol (Protocolo de Transferencia de Hipertexto)

Protocolo utilizado en cada transaccin de la Web.

IDEA

Internacional Data Encryption Algorithm (Algoritmo Internacional de

Cifrado de Datos) Algoritmo cifrador por bloques que en sus comienzos reemplaz a DES.

IEEE

Electrical and Electronics Engineers Institute (Instituto de Ingenieros

Elctricos y Electrnicos) Asociacin tcnica profesional dedicada a la estandarizacin.

IETF

Internet Engineering Task Force (Grupo de trabajo en Ingeniera de Internet)

Organizacin internacional abierta de normalizacin cuyo objetivo es contribuir a la ingeniera de Internet.

IIS

Internet Information Services (Servicios de Informacin de Internet) Serie de

servicios que convierten a un computador en un servidor de Internet o Intranet.

111

IKE IP IPAQ IPsec

Internet Key Exchange (Intercambio de Claves en Internet) . Internet Protocol (Protocolo de Internet).
PDA para Pocket PC.

Internet Protocol Security (Protocolo de Seguridad de Internet) Protocolo de

seguridad estndar en Internet.

IRE ISO

Institute of Radio Engineers (Instituto de Ingenieros en Radio). International Organization for Standardization (Organizacin Internacional
para la Estandarizacin).

IVD LAN LLC MAC MAN NAT NOC OFDM

Integrated Voice and Data (Voz y Datos Integrados). Local Area Network (Red de Area Local). Logical Link Control (Control de Enlaces Lgicos). Medium Access Control (Control de Acceso al Medio). Metropolitan Area Network (Red de Area Metropolitana). Network Address Translation (Traduccin de Direccin de Red). Network Operation Center (Centro de Operaciones de la Red). Orthogonal Frequency Division Multiplexing (Multiplexacin por Divisin
en Frecuencia Ortogonal).

OSI PALM PCI

Open Systems Interconnection (Interconexin de Sistema Abierto).

Sistema Operativo hecho por PalmSource Inc. para PDAs.

Periperhal Component Interconnect (Interconector de Componentes

Perifricos).

112

PCMCIA

Personal Computer Memory Card International Association Dispositivos

utilizados en computadores porttiles para expandir sus capacidades.

PCS PDA

Personal Communications services (Servicio de Comunicacin Personal). Personal Digital Assistent (Ayudante digital personal) Computador de mano,
originalmente diseado como agenda electrnica.

PYME RAID

Pequea y Mediana Empresa.

Redundant Array of Independent Disks (Conjunto Redundante de Discos

Independientes) Sistema de Almacenamiento que usa mltiples discos duros entre los que distribuye y replica los datos para lograr mejor tolerancia a fallas, ms rendimiento y mayor capacidad.

RADIUS

Remote Authentication Dial in User Service Protocolo de autentificacin y

autorizacin para aplicaciones de acceso a una red o movilidad IP.

RF RSA

Radio Frequency (Radio Frecuencia).

Algoritmo asimtrico cifrador de bloques que recibe su nombre por las iniciales de sus inventores, Ronald Rivest, Adi Shamir, Leonard Adleman.

SOHO SQL SSID

Small Office and Home Office Structured Query Language (Lenguaje de Consulta Estructurado). Service Set Identifier Cdigo de identificacin incluido en todos los paquetes
de una red inalmbrica.

SSL

Secure Socket Layer Protocolo criptogrfico que permite comunicaciones

seguras en Internet.

TCP TCP/IP

Transmission Control Protocol (Protocolo de Control de Transmisin). Transmission Control Protocol/ Internet Protocol Conjunto de protocolos
que permiten la transmisin de datos entre redes de computadores.

TKIP

Temporary Key Integrity Protocol Protocolo de seguridad usado en WPA.

113

TLS

Transport

Protocolo comunicaciones seguras en Internet.

Layer

Security

criptogrfico

que

permite

VPN WAP

Virtual Private Network (Red Privada Virtual). Wireless Application Protocol (Protocolo de Aplicaciones Inalmbricas)
Estndar abierto internacional para aplicaciones inalmbricas.

WECA

Wireless Ethernet Compatibility Alliance Empresa creada con el fin de

fomentar la compatibilidad entre tecnologas Ethernet inalmbricas bajo la norma 802.11.

WEP

Wired Equivalent Privacy Sistema de cifrado incluido en el estndar IEEE

802.11 como protocolo para redes Wireless.

WI-FI WLAN

Wireless Fidelity Red Inalmbrica de alta fidelidad. Wireless Local Area Network (Red de Area local Inalmbrica) Sistema de
comunicacin de datos inalmbrico.

WML

Wireless Markup Language Lenguaje que se utiliza para construir las pginas
que aparecen en los telfonos mviles y PDAs.

WPA

Wi-Fi Protected Access (Red Inalmbrica con Acceso Protegido).

114