RADIO COMUNICACIONES

Profesor Juan I. Garcia A.

TRABAJO FINAL

TEMA 3: Seguridad en Redes WLAN

Sub-tema 1. Introducción y Mecanismo de seguridad en las Redes WLAN - Luis Cedeño H.

Sub-tema 2. Preocupación en cuanto a la seguridad de las LAN inalámbricas - Noel Carmona

Sub-tema 3. Alternativa de seguridad WLAN - Yalitza Aro

Sub-tema 4. Decisión de la solución de seguridad WLAN - Emilia Zerpa

4 Decisión de la solución de seguridad WLAN - Emilia Zerpa

 Como lo define el IEEE, WEP está diseñado para proteger a usuarios de una WLAN de espías casuales y su intención era tener las siguientes propiedades:

Encripción razonablemente fuerte. Depende de la dificultad de recuperar la llave secreta a través de un ataque de fuerza bruta. La dificultad crece con el tamaño de la llave.

El algoritmo funciona de la siguiente manera:

Vale la pena mencionar que el texto plano PDU también está protegido con CRC para prevenir manejo aleatorio del texto cifrado en tránsito. Desafortunadamente, la especificación no incluye ninguna regla relacionada con el uso del IV, excepto que dice que el IV podrá ser cambiado "tan frecuentemente como cualquier MPDU." La especificación sin embargo si pone sobre aviso a los implementadores a considerar los peligros de una pobre administración del IV. Esto es en parte responsable de la facilidad con la que algunas implementaciones WEP son comprometidas.

Plan de Implementación de Seguridad WLAN

La especificación 802.11 del IEEE original utilizó tres mecanismos para proteger las redes LAN inalámbricas.

Elección entre WEP dinámica y WPA

La protección de datos de WEP, cuando se combina con la autenticación segura y la actualización de clave dinámica proporcionada por 802.1X y EAP, proporciona un nivel de seguridad que es más que adecuado para la mayoría de las organizaciones. No obstante, el estándar WPA mejora por encima de esto y ofrece mejores niveles de seguridad.

Las diferencias entre emplear WPA y una WEP dinámica en cualquiera de las soluciones son mínimas y la migración de un entorno WEP dinámico a un entorno WPA es muy sencilla. Los cambios fundamentales al pasar de una WEP dinámica al WPA son:

WPA debería ser la primera elección, si se encuentra disponible. No obstante, debería reflexionar acerca de si alguno de los siguientes problemas pudiese complicar más el empleo de WPA:

Si decide que todavía no se encuentra en condiciones de implementar WPA, debería implementar una solución de WEP dinámica y planear la migración a WPA cuando lo permitan las circunstancias.

Aunque no se deduzca de sus nombres, el público al que están destinadas estas soluciones difiere. Solución de Seguridad de LAN inalámbricas — Servicios de Certificate Server de Microsoft Windows Server 2003 está orientada sobre todo a organizaciones de gran tamaño con entornos de tecnología de la información (TI) relativamente complejos; mientras que Seguridad en LAN inalámbricas con PEAP y contraseñas es una solución bastante más sencilla y se puede implementar con facilidad en organizaciones mucho más pequeñas.

Esto no quiere decir que la autenticación de contraseñas no se pueda utilizar en el caso de organizaciones de gran tamaño (o que la autenticación de certificados no sea adecuada para organizaciones más pequeñas), sólo se trata de reflejar el tipo de organización donde es más probable que se utilice esa tecnología en particular. La siguiente ilustración muestra un árbol de decisión sencillo que ayuda a seleccionar la solución adecuada para su organización. Las tres opciones principales disponibles son:

Figura 1. Árbol de decisión para las soluciones de WLAN de Microsoft

Selección de las opciones de WLAN correctas

A raíz de la información manejada en este tema, debería ser obvio que una solución de WLAN 802.1X es, con diferencia, la mejor opción disponible. Sin embargo y como se indica en la sección "Comprensión de la seguridad de WLAN", una vez que se ha decidido emplear una solución 802.1X, es preciso elegir entre una serie de opciones que conformarán la solución.

Las dos elecciones principales son:

Estos dos elementos son independientes el uno del otro.

Como se comentó con anterioridad en este documento, Microsoft posee dos guías sobre la solución de seguridad de WLAN; una, que emplea autenticación de contraseña y otra, que emplea autenticación de certificados. Estas soluciones funcionan tanto con WEP dinámica como con WPA.

Problemática actual en los despliegues de WLANs

Una vez conocidas las inseguridades de las redes wireless, no tardaron en aparecer los ataques. Y una de las más sofisticadas formas se ha denominado "wardriving". Consiste en que expertos en redes wireless ethernet se desplazan en un coche con un portátil con tarjeta de red inalámbrica y una antena pequeña, realizando una exploración de las frecuencias empleadas por estas redes en zonas empresariales y centros de negocios de grandes ciudades.

Los resultados de estas búsquedas revelan que con mínimo esfuerzo se puede penetrar en una gran mayoría de las redes. Las razones de ello son: elevados porcentajes de redes con los parámetros por defecto de los equipos, no activadas las reglas de seguridad básicas o sólo parcialmente, exceso de potencia de señal que permite su fácil recepción desde el exterior, empleados que implantan su propio punto de acceso inalámbrico sin conocimiento de la empresa, seguridad sólo basada en WEP, etc. Solamente una muy pequeña proporción respondía a un patrón de diseño cuidadoso, habiendo introducido mecanismos adicionales de protección (túneles, radius).

Para realizar una migración de WEP a WPA cuando el punto de acceso admite simultáneamente WEP dinámica y WPA:

  1. Configure todos los puntos de acceso inalámbrico para que admitan WEP dinámica y WPA a la vez.
  2. Cree un nuevo objeto de directiva de grupo de la configuración del cliente WLAN.
  3. Cree una directiva de red inalámbrica que establezca la configuración adecuada para WPA (consulte el procedimiento de la sección "Configuración manual de WLAN en Windows XP para WPA" de este apéndice). A continuación, deshabilite el objeto de directiva de grupo de la WEP actual y habilite el de WPA para que todas las configuraciones de WPA se envíen a todos los clientes. Los clientes comenzarán a utilizar WPA en la WLAN una vez se haya actualizado el objeto de directiva de grupo.
  4. Nota: si configura los clientes de forma manual, deberá deshabilitar el objeto de directiva de grupo que contenga la configuración WEP, ya que, de no hacerlo, el objeto de directiva de grupo sobrescribirá la configuración WPA manual.
  5. Finalmente, debe actualizar el tiempo de espera de la sesión de la directiva de acceso remoto IAS y de la sesión de cliente en el punto de acceso (tal y como se describe en la sección sobre la directiva de acceso remoto IAS anterior de este apéndice).

Para realizar una migración de WEP a WPA cuando el punto de acceso no admite WEP y WPA simultáneamente:

  1. Cree un nuevo SSID de WLAN para la red WPA.
  2. Modifique el objeto de directiva de grupo de la configuración de red del cliente y agregue el nuevo SSID con los parámetros de WPA (tal y como se describe en la sección "Configuración manual de WLAN en Windows XP para WPA" anterior de este apéndice). Si configura los clientes de forma manual, deberá hacerlo con el nuevo SSID y, asimismo, con la configuración de WPA para ese SSID. En cualquier caso, no quite la configuración del SSID de la WEP anterior.
  3. De forma simultánea, vuelva a configurar los puntos de acceso que admitían WEP para que sean compatibles con WPA y modifique el SSID del punto de acceso. A medida que vaya configurando cada punto de acceso, los clientes cambiarán al nuevo SSID y utilizarán WPA.
  4. Una vez que haya reconfigurado todos los puntos de acceso, podrá actualizar las directivas de acceso remoto en todos los servidores IAS. Será necesario aumentar el valor de tiempo de espera de la sesión en la directiva de acceso remoto (de 60 minutos a 8 horas) y, además, modificar la misma configuración en los puntos de acceso inalámbrico (tal y como se describe en la sección sobre la directiva de acceso remoto IAS anterior de este apéndice).

Una vez que ha finalizado la migración, puede quitar el SSID de la WEP del objeto de directiva de grupo.

Anterior-----Siguiente

INFOGRAFÍA

Articulo 1.

Seguridad en LAN inalámbrica con PEAP y contraseñas. Introducción: Elección de una estrategia para la seguridad rn LAN inalámbricas.

En este articulo se presentan dos soluciones de seguridad de WLAN de Microsoft®, así como las preguntas y respuestas acerca de si las WLAN pueden ser seguras y cuál es la mejor manera de protegerlas.

http://www.microsoft.com/latam/technet/seguridad/guidance/lan/peap_int.mspx

Local: http://www.oocities.org/es/emilia_zerpa_c/radio/trabajo_final/Eleccion_de_una_estrategia_para_la_seguridad_en_LAN_inalambricas.htm

Artículo 2

Seguridad en LAN inalámbricas con PEAP y contraseñas. Introducción de la seguridad inalámbrica con PEAP y contraseñas

Este articulo comprende una solución integral que engloba el ciclo completo de planeamiento, creación, prueba y administración de la solución. En segundo lugar, es un articulo de carácter normativo; las opciones de diseño de la solución se basaron en prácticas recomendadas y conocimientos obtenidos de las implementaciones de WLAN en Microsoft y sus clientes.

http://www.microsoft.com/spain/technet/recursos/articulos/peap_0.mspx

Local: http://www.oocities.org/es/emilia_zerpa_c/radio/trabajo_final/Introduccion_LAN_inalambricas_PEAP_contrasenas.htm

 Articulo 3.

Seguridad Informática en WLAN's

Este documento, fue creado con el fin de proporcionar una visión general de los protocolos, de los asuntos de seguridad relacionados con estos, y arquitecturas del estándar IEEE 802. 11 de 1999 de LAN’s inalámbricas (WLAN's).

http://www.monografias.com/trabajos14/segur-wlan/segur-wlan.shtml

Local: http://www.oocities.org/es/emilia_zerpa_c/radio/trabajo_final/Seguridad_en_WLAN_Monografias_com.htm

Articulo 4.

Seguridad de la Red de Área Local Inalámbrica (WLAN)

Este articulo hace referencia a la seguridad en las redes WLAN. Aquí podrá conocer cuales son los estándares y protocolos de seguridad de las WLAN y los principales mecanismos de seguridad para protegerlas.

http://www.pc-news.com/detalle.asp?sid=&id=4&Ida=1291

Local: http://www.oocities.org/es/emilia_zerpa_c/radio/trabajo_final/Seguridad_Red_Area_Local_Inalambrica.htm

Articulo 5.

Tecnologías para redes LAN inalambricas y Windows XP. Pag. 3 de 5: Retos actuales de las redes LAN inalámbricas.

El articulo habla acerca de los retos que siempre han tenido las rede, pero éstos aumentan cuando se agrega complejidad, tal como sucede con las redes inalámbricas. Por ejemplo, a medida que la configuración de red continúa simplificándose, las redes inalámbricas incorporan características (en ocasiones para resolver otros retos) y métrica que se agrega a los parámetros de configuración.

http://www.microsoft.com/latam/windowsxp/pro/biblioteca/planning/wirelesslan/challenges.asp

Local: http://www.oocities.org/es/emilia_zerpa_c/radio/trabajo_final/Retos_actuales_de_las_redes_LAN_inalambricas.htm

Articulo 6.

Seguridad en LAN inalámbricas con PEAP y contraseñas. Apendice B: Uso de WPA en la Solución.

El artículo hace referencia detallada al uso de WPA en lugar de WEP, así como también, como realizar una migración de WEP a WPA cuando el punto de acceso admite simultáneamente WEP dinámica y WPA y cuando no admite.

http://www.microsoft.com/latam/technet/seguridad/guidance/lan/peap_b.mspx

Local: http://www.oocities.org/es/emilia_zerpa_c/radio/trabajo_final/Retos_actuales_de_las_redes_LAN_inalambricas.htm

Anterior-----Siguiente