Redesinalambricas

Estudio, Implantación y Configuración de una Red Inalámbrica Wi-Fi

Por: Javier de la Villa Regueiro

1- Introducción. 2- Seguridad. 3- Wireless Distribution System o WDS. 4- Control de Tráfico. 5- Presentación Práctica.

Introducción Una Red Inalámbrica es un conjunto de dispositivos que se comunican mediante un medio físico no cableado, generalmente el aire. Desventajas frente a una Red Cableada: - Fiabilidad o estabilidad. - Velocidad. - Seguridad. - Regulación (Legislación). Ventajas frente a una Red Cableada: - Movilidad, flexibilidad y escalabilidad. - Alternativa cuando no se puede cablear.

Introducción Principales Tecnologías Inalámbricas: - Infrarrojos: La comunicación se realiza mediante un haz de luz infrarroja. No puede haber obstáculos opacos a la luz entre el emisor y el receptor.

- Radio Frecuencia (RF).

Introducción Radio Frecuencia (RF): La información se transmite en forma de ondas de radio con una determinada frecuencia. El emisor y el receptor deben utilizar la misma frecuencia (o canal) para establecer la comunicación. Se permiten obstáculos entre el emisor y el receptor, pero se degrada la comunicación. Es la tecnología que se utiliza actualmente en comunicaciones inalámbricas. Tecnologías actuales de RF: - Bluetooth - Wi-Fi (WLAN)

¿Qué es Wi-Fi? Significa Wireless Fidelity, y es un conjunto de estándares definidos por el grupo de desarrollo IEEE 802.11 para la comunicación entre dispositivos sin cables. En estos estándares se definen normas para la transmisión de los datos. Hay que destacar sobre todo las referentes a la seguridad y modulación. Normas a destacar: - 802.11b, 802.11g y 802.11a con respecto a Modulación y Frecuencias. - 802.11i en cuanto a Seguridad.

Hardware Wi-Fi Los dispositivos RF constan principalmente de dos partes: - MODEM: - Modulación. - Potencia de Emisión. - Sensibilidad y SNR. - Antenas. - Frecuencia o canal. - Controlador MAC: - Control de Acceso al Medio. - Corrección de errores.

Asociación una WLAN Una red inalámbrica se identifica mediante un SSID. De esta forma, un dispositivo inalámbrico puede unirse a una red mediante el SSID de la misma. Cuando un dispositivo se asocia a otro, se intercambian las direcciones MAC para así poder comunicarse. Se establece una conexión lógica mediante un puerto virtual.

Topología de una WLAN Se define como topología a la disposición lógica o a la disposición física de una red. Nos centraremos en la lógica (cómo se comunican los dispositivos). Tres tipos de Topología WLAN: - Ad-hoc - Infraestructura - Mesh

Topología Ad-hoc Los dispositivos establecen enlaces punto a punto, y se comunican a través de esos enlaces con dispositivos que se encuentren en su rango.

Topología en Infraestructura Un dispositivo se encarga de centralizar las comunicaciones: se denomina Punto de Acceso (AP o Access Point).

Topología en Infraestructura Los dispositivos cliente se conectan a los AP en lo que se denominan células, y pueden intercambiar información con dispositivos conectados a su mismo AP (siempre a través de éste). Por lo tanto, no tienen que encontrase en el rango de alcance para poder comunicarse. Al ser una comunicación centralizada, si se cae el AP ninguno de los dispositivos podrá comunicarse entre sí.

Infraestructura- El AP El AP es el encargado de la comunicación entre los nodos inalámbricos. Se denomina Punto de Acceso porque normalmente hace de puente entre la LAN inalámbrica y una LAN cableada.

Infraestructura- Comunicación ¿Cómo se comunican dos dispositivos a través de un AP?

Dispositivo A

Dispositivo B

Topología Mesh Es el siguiente paso en las topologías inalámbricas. Se descentraliza la comunicación y los dispositivos que intervienen en la comunicación pueden compartir “recursos”. Si se cae un nodo, no afecta a toda la red.

Seguridad - Introducción La mayoría de los problemas de seguridad en WLAN son debidos al medio de transmisión utilizado, el aire, que es de fácil acceso para los atacantes. Por ello, hay que establecer unos medios para asegurar la privacidad de nuestros datos. - Medios Físicos - Medios Lógicos (SW)

Seguridad - Introducción Aunque es difícil delimitar el aire, podemos controlar los límites o el rango de alcance de nuestra red Wireless, aunque no siempre dispondremos de los medios adecuados y pueda ser costoso. - Mediante el uso de antenas: - Forma de la onda (según el tipo de antena). - Potencia de emisión. - Mediante Estructuras: - Paredes con materiales aislantes, o de un determinado grosor.

Seguridad Lógica Principalmente son técnicas de cifrado e integridad de la información y técnicas de Autenticación/ Autorización/ Accounting (AAA). Estos dos tipos de técnicas pueden complementarse. Primeros pasos para hacer más segura una WLAN: - No emitir públicamente la SSID de la WLAN, para no permitir su conexión al AP. Problema: Se puede obtener fácilmente escuchando tráfico de la WLAN. - Definición de un listado de los dispositivos que pueden acceder o no, mediante la dirección MAC del dispositivo. Problema: se puede falsear la dirección MAC de un dispositivo

Seguridad - Introducción Cifrado e integridad de la información. Se encargan de mantener la privacidad de nuestros datos, y de evitar posibles suplantaciones de personalidad en la comunicación. El cifrado se basa en claves compartidas previamente (PreShared Key) o que se asignan de forma dinámica. - WEP (Wired Equivalent Privacy) - WPA (Wi-Fi Protected Access) - WPA2

Seguridad - WEP Diseñado para proporcionar una seguridad equivalente a la de una LAN cableada (Wired Equivalent Privacy) Cifrado: - Cifrado RC4 con claves de 40 bits o 104 bits, y con un Vector de Inicialización de 24 bits y sin cifrar. - Comprobador de integridad: CRC de fácil cálculo. - Se comparte una misma clave WEP, prefijada de antemano, para todos los usuarios.

Seguridad - WEP Problemas: - Claves de cifrado poco robustas (como mínimo de 128 bits). - El Vector de Inicialización se envía sin cifrar. - El código CRC es de fácil cálculo, con lo que podemos suplantar a uno de los interlocutores en la comunicación.

Seguridad - WPA Nació como sustituto temporal de WEP, pensando en la compatibilidad con el hardware disponible. Posteriormente derivó en WPA2. En un principio se definió como obligatorio utilizar el protocolo de autenticación IEEE 802.1X, pero posteriormente se definieron dos niveles de seguridad en WPA: WPA Personal y WPA Enterprise: -WPA Personal dirigido a entorno doméstico, WPA PreShared Key. - WPA Enterprise dirigido a entornos empresariales. Utilización de WPA + IEEE 802.1X.

Seguridad - WPA WPA se basa en TKIP (Temporal Key Integrity Protocol): - Algoritmo RC4 con claves de 128 bits, y con un Vector de Inicialización de 48 bits. El VI varía por cada trama (tiene un contador), con lo que se utiliza una clave diferente por trama: Key = VI + HASH (VI, Pre-Shared Key) - Comprobador de integridad: Message Integrity Check o MIC, más robusto que un CRC. - Rotación dinámica de la clave WPA.

Seguridad - WPA2 WPA2 (IEEE 802.11i): CCMP ( Counter Mode / CBC MAC Protocol) vs TKIP: - Algoritmo de Cifrado AES (Advanced Standard), mucho más robusto que RC4.

Encryption

- Comprobador de integridad: MIC sustituido por Cipher Block Chaining Message Authentication Code (CBC-MAC).

Seguridad - IEEE 802.1X (AAA) AAA (Autenticación/Autorización/Accounting) Def.- Autenticación: Es el acto de verificar la identidad de un individuo a partir de unas credenciales que provee el mismo. Def.- Autorización: Es el acto de otorgar unos derechos o unos privilegios determinados a un individuo que presenta unas credenciales. Def.- Accounting: Es el acto de recopilar información sobre el consumo de recursos, para su posterior análisis, planificación, cálculo de coste,... (recoger información sobre el individuo que hemos autorizado en el sistema)

Seguridad - IEEE 802.1X (AAA) Actores: - Supplicant o cliente. Un nodo de la red inalámbrica. - Autenticador. Normalmente el AP. - Servidor de Autenticación. Un servicio que puede encontrarse en el Punto de Acceso o en un nodo de la red cableada.

IEEE 802.1X proporciona un mecanismo de control de acceso a la red: - Interruptor “abierto”, interruptor “cerrado”.

Seguridad - IEEE 802.1X (AAA) Un nodo wireless tiene que autenticarse antes de poder acceder a la LAN y a sus recursos: 1- Cuando un nodo Wireless pide acceso a la LAN, el AP requiere al nodo que proporcione su identidad. Ningún tipo de tráfico excepto el de autenticación (tráfico EAP) está permitido, ya que el puerto está cerrado hasta que el nodo se autentique. 2- El Autenticador (en este caso el AP), encapsula los mensajes EAP y se los envía al Servidor de Autenticación. Durante la autenticación, el Autenticador (el AP) simplemente se encarga de transmitir paquetes entre el nodo que requiere la autenticación y el servidor de autenticación. Cuando termina el proceso de Autenticación, el Servidor de Autenticación envía un mensaje de Éxito o Fallo. Dependiendo de éste mensaje, el Autenticador abre o no el puerto al nodo que ha requerido el acceso a la red. 3- Tras una autenticación exitosa, el nodo obtiene acceso a la LAN y a sus recursos.

Seguridad - IEEE 802.1X (AAA)

Seguridad - IEEE 802.1X (AAA) IEEE 802.1X obliga a utilizar cifrado, ya sea WPA o WEP. Uso de claves dinámicas (WEP o WPA): - Una nueva clave de cifrado se crea por cada sesión de autenticación exitosa. - Incompatibilidad con Hardware que no soporte claves dinámicas o WPA. - Incompatibilidad con WDS.

Seguridad - Conclusiones Nivel de Seguridad

Dificultad de Configuración del Modelo

Dificultad de Configuración en Cliente

Puesta en Marcha en el Cliente

Sin cifrado ni AAA

Nulo

Muy Fácil

Muy Fácil

Muy Rápida

WEP (Pre-Shared)

Bajo

Muy Fácil

Fácil

Rápida

WPA (Pre-Shared)

Medio/Alto

Muy Fácil

Fácil

Rápida

WEP + AAA

Alto

Difícil

Media

Media / Elevada

WPA + AAA

Muy Alto

Difícil

Media

Media / Elevada

Seguridad - Conclusiones Compatibilidad HW

Compatibilidad SW

Compatibilidad WDS

Sin cifrado ni AAA

Total

Total

Total

WEP (Pre-Shared)

Total

Total

Total

WPA (Pre-Shared)

Media

Alta

No compatible

WEP + AAA

Alta

Media

No compatible

WPA + AAA

Media

Baja

No compatible

WDS - Introducción Wireless Distribution System es un sistema para la interconexión de Puntos de Acceso sin la necesidad de cables. ¿Cómo funciona? Se establecen un enlace punto a punto entre los puntos de acceso que se desean interconectar, mediante el intercambio de sus direcciones MAC. Se crea un “puerto” virtual . Los AP que se interconecten deben encontrarse en el mismo canal o frecuencia, pero no tienen por qué tener el mismo SSID (para poder elegir a qué AP conectarse)

WDS – Ventajas y desventajas Ventajas : - Flexibilidad. - Coste económico

Desventajas : - Rendimiento. - Compatibilidad. - Seguridad

WDS - Disposición En estrella

WDS - Disposición En cadena

Control de Tráfico Debido a que muchas veces los usuarios de la red inalámbrica son desconocidos (por ejemplo los clientes de un hotel, viajeros en un aeropuerto,...) hay que controlar el uso del tráfico realizado por los mismos. Normalmente desde redes inalámbricas se da acceso a Internet, y es un recurso limitado. Por lo tanto, si se hace un mal uso de ese recurso hay que controlar el tráfico. Esto se puede aplicar a cualquier tipo de red, no necesariamente a una red inalámbrica.

Control de Tráfico - Implantación

Control de Tráfico - Implantación

CONCLUSIONES