5.3. Amenazas y ataques.

Para establecer la adecuada seguridad en nuestras redes deberemos seguir unas normas generales como mantener al día la configuración de nuestros antivirus, tanto en servidores como en equipos personales, configuraremos los firewall y podremos utilizar alguna técnica aprendida anteriormente, como las conexiones VPN. En cualquier caso, hablar de seguridad en las redes es hacerlo de los posibles ataques que podemos sufrir y cómo defendemos. Recordamos, de forma sucinta, cuáles son estos posibles ataques:

• Ataque de suplantación. Usando este tipo de ataque, el atacante se hace pasar por una tercera persona o empresa, para dar informaciones falsas. Es habitual encontrar este tipo de ataques en páginas bancarias que son donadas para que usuarios poco precavidos introduzcan sus datos pensando que son webs lícitas.

• Ataque de intromisión. Suelen ser ataques internos o de alguien que consigue colarse en la red y navega por ella explorando archivos y documentos hasta encontrar información relevante que pueda ser de utilidad, normalmente con fines delictivos.

• Ataque de modificación. Se modifican archivos o documentos que se consideran válidos. En caso de que el atacante adquiera permisos de administrador, los daños suelen suponer la baja total del sistema.

• Ataque de interceptación. La información que queremos controlar, o bien toda la información, es desviada de su destino original para ser analizada con detenimiento.

• Ataque de espionaje en líneas. Normalmente se da a través de redes inalámbricas, donde alguien no autorizado analiza el tráfico observando las comunicaciones.

• Ataque de denegación de servicio. Se trata de impedir el correcto funcionamiento de los sistemas a los usuarios autorizados para ellos. Son muy habituales, en el caso de las redes, saturar servidores web a base de accesos simultáneos de forma que las peticiones de los usuarios no puedan ser atendidas.

Estos tipos de ataques, además de mediante las técnicas aprendidas, se pueden controlar desde nuestro navegador. Por ejemplo, Mozilla Firefox incluye una opción de seguridad que permite establecer filtros contra los ataques de suplantación e interceptación y avisos contra sitios presuntamente falsos.

5.4. Redes cableadas e inalámbricas.

Redes cableadas Mediante este tipo de red se conectan equipos y periféricos y su limitación es fisica, ya que el alcance de los cables será limitado y, normalmente, dentro de un mismo edificio. Este tipo de redes son las más utilizadas en empresas y edificios para conectar los equipos locales a los servidores y trabajar con los datos almacenados en ellos.

Para que se lleve a cabo un ataque dentro de una red LAN, el atacante deberá estar físicamente conectado a ella, lo que implica encontrarse dentro de la empresa. Es por esto que este tipo de ataques lo suelen realizar personas de confianza descontentas o bien intrusos profesionales que consiguen burlar la seguridad del entorno físico. Debemos establecer unas normas de seguridad en su instalación para evitar el acceso físico. Podemos introducir el cable en canaletas de protección, que pueden ser de plástico o metálicas, y en ningún caso realizar la instalación fuera de la zona de seguridad del edificio. Que el cable no esté visible ayuda a que el atacante tarde más tiempo en cumplir su objetivo. También debemos elegir un cable de red adecuado en cada momento, ya que la resistencia de este, así como su grosor y forma de fabricación, mejorarán el estado de la red en general. Generalmente usaremos cable de categoría 5 o mejores para instalaciones LAN. Los cables de categoría 5 tienen un alcance de 100 metros y comunican a 100 Mbps. También existe una categoría 5e que minimiza las interferencias y la atenuación, por lo que tiene mayor alcance que la categoría 5 tradicional. En cualquier caso, lo ataques más habituales son mediante software, como los sniffer. Un sniffer es un programa que registra todo el tráfico de la red en busca de conrrasefias y datos relevantes que se transmiten. Para que el sniffer funcione correctamente, debe establecer la tarjeta de red en lo que se denomina modo promiscuo. La mejor forma de protegernos de los sniffer y analizadores de protocolos es crear una conexión privada para cada dispositivo de forma que ese canal que usemos esté al margen del sniffer. Se pueden, además, realizar filtrados por MAC, que es el identificador exclusivo de una tarjeta de red, y por IP, así como cenar y abrir puertos del router, accediendo al mismo mediante un navegador, para impedir el ataque a través de los puertos estándar de aplicaciones peligrosas. Pero, sobre todo, el cifrado de documentos es una garantía en caso de que un sniffer capte paquetes de información.

Redes inalámbricas

Propiamente dicha, la tecnología wireless o inalámbrica se refiere a la transmisión de

voz/datos sin cable.

El concepto de WLAN (Wireless Local Area Network) se corresponde con un sistema de comunicación de datos flexible utilizado como alternativa a la redes locales cableadas. Este tipo de redes se diferencia de las convencionales principalmente en la capa física y en la capa de enlace de datos, según el modelo de referencia OSI. Aparte de poder utilizarse como una red móvil, ya que la unión a un cable físico supone una gran restricción, una de sus grandes ventajas es su instalación como red fija ya que ofrece muchos beneficios comparada con la red de cableado actual.

La capa Física (PHY) indica cómo son enviados los bits de una estación a otra. La capa de Enlace de Datos (MAC) se encarga de describir cómo se empaquetan y verifican los bits de manera que no tengan errores. Las demás capas se encargan de los protocolos, de los bridges, routers o gateways que se utilizan para conectarse. Los dos métodos que se emplean para reemplazar la capa física en una red inalámbrica son la transmisión de Radio Frecuencia y la Luz Infrarroja. Esta es la manera en la que transmiten los datos entre uno o más dispositivos, en lugar de ser por medio de cables.

Los sistemas por infrarrojos, según el ángulo de apertura con que se emite la información, pueden clasificarse en:

– Sistemas de corta apertura, también denominados de rayo dirigido o de línea de visión (LOS, line of sight).

– Sistemas de gran apertura, también denominados reflejados o difusos.

Por otra parte, las comunicaciones inalámbricas que utilizan radiofrecuencia pueden clasificarse en:

� Sistemas de banda estrecha (narrow band) o de frecuencia dedicada. Este tipo trabaja de una forma similar a las ondas de una estación de radio. Esta señal puede atravesar paredes por lo que puede alcanzar una red bastante amplia, sin embargo tienen problemas con las reflexiones que sufren las ondas de radio, para establecer esto hay que evitar las posibles interferencias.

� Sistemas basados en espectro disperso o extendido (spread spectrum). La FCC (Comisión Federal de Comunicaciones) a partir de 1985 permitió la operación sin licencia de dispositivos que utilicen 1 watio de energía o menos, en tres bandas de frecuencias: 902 a 928 MHz, 2.400 a 2.483,5 MHz y 5.725 a 5.850 MHz.

Tecnología Wireless

La tecnología Wireless abarca desde sistemas complejos, tales como Redes de Área Local Inalámbrica (WLAN) y telefonía celular a dispositivos simples, como teléfonos inalámbricos, micrófonos y otros dispositivos que no procesan o almacenan información. También incluye dispositivos infrarrojos (IR), como controles remotos, teclados y ratones sin cables, y todo lo que requiera una línea directa de señal entre el transmisor y el receptor para establecer un enlace. Redes Inalámbricas

Sirven como mecanismo de transporte entre distintos dispositivos, y entre estos dispositivos y las redes cableadas tradicionales (redes empresariales e Internet). Las redes wireless son muchas y muy diversas, pero se categorizan en tres grupos basados en su alcance de cubrimiento: Redes de Área Amplia Inalámbricas (WWAN), Redes de Área Local Inalámbricas (WLAN) y Redes de Área Personal Inalámbricas (WPAN). Las WWAN incluyen una amplia área de cubrimiento en tecnologías como 2G cellular, Cellular Digital Packet Data (CDPD), Global System for Mobile Communications (GSM), y Mobitex. Las WLAN incluyen el estándar 802.11, HiperLAN y otros. WPAN representan redes personales como Bluetooth e IR. Todas estas tecnologías son “tetherless”, reciben y transmiten información utilizando ondas electromagnéticas (EM).

Wireless LAN

Las WLAN permiten mayor flexibilidad y portabilidad que las LAN cableadas tradicionales. A diferencia de éstas, que requieren un cable para conectar la computadora de un usuario a la red, una WLAN conecta computadoras y otros componentes a la red utilizando un dispositivo como punto de acceso. Un punto de acceso se comunica con dispositivos equipados con adaptadores de redes inalámbricas, y por otro lado, se conecta a una LAN Ethernet cableada a través de un puerto RJ-45. Los dispositivos de punto de acceso típicamente tienen áreas que cubren hasta 300 pies (aproximadamente 100 metros). Esta área de cubrimiento se llama celda (cell) o alcance. Los usuarios se mueven libremente dentro de la celda con su laptop u otro dispositivo de red sin dejar de transmitir. Las celdas de los puntos e acceso se pueden unir para que los usuarios puedan hasta “vagar” o andar dentro de un edificio o entre edificios.

Recomendaciones de seguridad en wlan

Dado que el acceso a redes inalámbricas plantea un punto muy débil de seguridad en redes corporativas algunas recomendaciones para mejorar la seguridad son:

• Asegurar la administración del punto de acceso (AP), por ser un punto de control de las comunicaciones de todos los usuarios, y por tanto crítico en la red, cambiando la contraseña por defecto. Actualizar el firmware disponible del dispositivo para mejorar sus prestaciones, sobre todo de seguridad.

• Aumentar la seguridad de los datos transmitidos: usando encriptación WEP o WPAIWPA2 o servidor Radius, y cambiando las claves regularmente.

• Cambiar el SSID por defecto y desactiva el broadcastirig SSID. Los posibles intrusos tendrán que introducir manualmente el SSID y conocerlo previamente. Aunque la administración de los clientes se complica ya que deberán conocer el nombre exacto del SSID.

• Realizar una administración y monitorización minuciosa.

• Desactivar el servidor DHCP, y asignar manualmente en los equipos las direcciones IP. Cambiar lasdirecciones IP del punto de acceso y el rango de la red por defecto.

• Activar el filtrado de conexiones permitidas mediante direcciones MAC.

• Establecer un número máximo de dispositivos que pueden conectarse.

• Analizar periódicamente los usuarios conectados verificando si son autorizados o no.

• Desconexión del AP cuando no se use.

• Actualizar el firmware del dispositivo, para evitar vulnerabilidades o añadir nuevas funciones de seguridad.

Redes Ad Hoc

Estas redes, tales como Bluetooth están diseñadas para conectar dinámicamente dispositivos remotos, como teléfonos celulares, laptops y PDAs. Estas redes se identifican como “ad hoc” a

causa de sus topologías de red cambiantes. Mientras que las WLAN utilizan una infraestructura de red fija, las redes ad hoc mantienen configuraciones de red aleatorias, confiando en un sistema maestro-esclavo conectado por enlaces inalámbricos para que los dispositivos puedan comunicarse. En una red Bluetooth, el “master of the piconet” controla los cambios de topología de esas redes. También controla el flujo de datos entre los dispositivos que son capaces de soportar enlaces directos entre sí. Como los dispositivos se mueven de una manera impredecible, estas redes deben ser reconfiguradas en el momento para manejar la topología dinámica. El ruteo que emplea el protocolo Bluetooth permite que el master establezca y mantenga estas redes cambiantes. La siguiente figura muestra un ejemplo de un teléfono móvil habilitado por Bluetooth, conectado a una red de teléfonos móvil, que se sincroniza con una libreta de direcciones PDA, y se está descargando e-mail en una WLAN IEEE 802.11.

Figura 5.7. Ejemplo de red ad hoc.

Topología de una red inalámbrica

Una red inalámbrica está compuesta de dos elementos básicos:

– Tarjetas wireless en las estaciones cliente (PCMCIA - adaptador USB) – Puntos de Acceso (AP) También incluye otros dispositivos:

– Bridges – Workgroups Bridge – Antenas – ACS

Componentes de una red wireless

Figura 5.8. Componentes de una red Wireless.

� Puntos de Acceso (Access Point). Este dispositivo nos permite conectar a la red cableada y a los clientes de la red inalámbrica; su función es convertir los datos que llegan por la interface de UTP a señales de radio y viceversa en las instalaciones indoor o outdoor de corto alcance (en las indoor la distancia máxima es de 40m a la redonda). Los puntos de acceso suelen disponer de dos antenas, un interfaz LAN RJ-45 10/100 Mbps para conectividad WAN y, en la mayoría de los casos, un puerto de consola para su configuración inicial. Generalmente también disponen de varias bocas de red LAN 10/100 al tener integrado un hub o un switch.

� Tarjetas cliente. Este dispositivo permite conectar las computadoras clientes móviles a la red inalámbrica. Contiene integrada la parte de radio y el procesamiento de las señales a bits de datos, por lo que existen tarjetas para Laptop y Desktop. Esto es porque las estaciones de trabajo necesitan conectarse a los puntos de acceso mediante interfaces de red que sean capaces de recibir y enviar tramas de radiofrecuencia 802.11. Usualmente estas tarjetas se conectan a la misma mediante PCMCIA (portátiles), PCI (sistemas de escritorio) ó USB (ambos).

� Bridge. Este dispositivo nos permite conectar lugares remotos a larga distancia con alcance máximo de 40 KM. En él se encuentra el transmisor de radio y el procesamiento de las señales a bits de datos.

� Workgroup Bridge. Este dispositivo nos permite conectar rápidamente a un grupo de 8

computadoras conectadas por cableado al Workgroup Bridge mediante un enlace inalámbrico con un Access Point, facilitándonos la conectividad al backbone de la red LAN.

� Pasarelas Wireless. La función de una pasarela wireless, es poder gestionar de forma

centralizada y homogénea una política de acceso, autenticación (Radius, Kerberos, certificados digitales, LDAP), cifrado y Calidad de Servicio, aplicando esta política a múltiples puntos de acceso muchas veces incompatibles entre sí.

La primera pasarela de este tipo fue Symbol Mobius, que encapsulaba tramas 802.11 en tramas 802.3 Ethernet, hasta llegar a la pasarela. Sin embargo, las tendencias más modernas permiten visibilidad IP directa entre la pasarela wireless y el punto de acceso, delegando la conversión de tramas en estos últimos y convirtiéndose la pasarela en una interface homogeneizadora. De esta forma es posible gestionar la pasarela wireless estableciendo un túnel VPN "sin clientes VPN" desde cualquier punto de la red. Entre ellas destacan: Bluesocket, ReefEdge y Vernier.

� Conmutadores wireless. Al igual que en las redes LAN, también existen conmutadores de

red para Wireless, que monitorizan las ondas de radio midiendo el rendimiento en tiempo real y reajustando las potencias de emisión para equilibrar la carga y evitar puntos ciegos. Incluso el software que incluyen permite importar los planos del edificio y situar los puntos de acceso en base a los cálculos de propagación por la base de datos de materiales, situando visualmente los accesos no autorizados mediante triangulación de los puntos de acceso.

Entre los principales fabricantes de conmutadores wireless se encuentran Airespace, Aruba, Chantry Networks, Extreme Networks, Symbol Technologies, y Trapeze Networks.

� Antenas. Este dispositivo nos permite transmitir y recibir las señales de radio y las envían a

los Access Point y Bridges para transformar en bits de datos. Dependiendo del alcance es la antena a utilizar.

� ACS. Son servidores de control de acceso que funcionan como un sistema servidor centralizado y pueden controlar la autenticación, autorización y contabilidad (AAA) de los usuarios que acceden a los recursos corporativos a través de la red.

Principales estándares

Las tecnologías Wireless conforman una variedad de estándares y ofrecen varios niveles de características de seguridad. La ventaja principal de los estándares es que fomentan la producción en masa y permiten que puedan interoperar productos de distintos fabricantes. Dos de los principales estándares (existen otros también) son el IEEE 802.11 y el estándar Bluetooth. Las WLAN se basan en el estándar IEEE 802.11, y las redes Ad Hoc siguen las técnicas propietarias o están basadas en el estándar Bluetooth, que fue desarrollado por un

consorcio de compañías comerciales que conformaron el Bluetooth Special Interest Group (SIG). Existen 4 tipos de redes inalámbricas, la basada en tecnología BlueTooth, la IrDa (Infrared Data Association), la HomeRF y la WECA (Wi-Fi). La primera de ellas no permite la transmisión de grandes cantidades de datos entre ordenadores de forma continua y la segunda tecnología, estándar utilizado por los dispositivos de ondas infrarrojas, debe permitir la visión directa entre los dos elementos comunicantes. Las tecnología HomeRF y Wi-Fi están basados en las especificaciones 802.11 (Ethernet Inalámbrica) y son las que utilizan actualmente las tarjetas de red inalámbricas.

� IEEE 802.11. Las WLAN están basadas en el estándar IEEE 802.11, que fue el primero desarrollado por IEEE en 1997. Describe las normas a seguir por cualquier fabricante de dispositivos Wireless para que puedan ser compatibles entre sí. Fue diseñado para soportar un alcance medio, aplicaciones con tasas de datos más altas, tales como redes Ethernet, y para direccionar estaciones móviles y portátiles. 802.11 es el estándar original para WLAN, diseñado para transmisiones inalámbricas de 1 Mbps a 2Mbps. En 1999 fue continuado por 802.11a, que se estableció como estándar WLAN de alta velocidad para una banda de 5 GHz y 54 Mbps soportados. También se completó el estándar 802.11b en 1999, que opera en una banda de 2.4-2.48 GHz y soporta 11 Mbps. El estándar 802.11b es actualmente el estándar dominante para WLANs, proveyendo suficiente velocidad para la mayoría de las aplicaciones de hoy en día. Otro estándar, el 802.11g, opera a 2.4 GHz (waveband). Otros dos estándares relacionados e importantes para WLAN son el 802.1X y 802.11i. El primero, un protocolo de control de acceso a nivel de puerto, provee un marco de seguridad para redes IEEE, incluyendo Ethernet y redes inalámbricas. El estándar 802.11i, fue creado para funciones de seguridad específicas de redes inalámbricas, que operan con IEEE 802.1X.

Resumen de estos estándares:

� Bluetooth. Surgió como un estándar de redes ad hoc muy popular actualmente. Este estándar es una especificación de la industria de telecomunicaciones y computación que describe cómo los teléfonos móviles, las computadoras y las PDAs deben interconectarse entre sí, con teléfonos de hogares e industrias, y con computadoras, usando conexiones inalámbricas de corto alcance. Las aplicaciones de redes Bluetooth incluyen sincronización inalámbrica, acceso a e-mail /Internet /intranet usando conexiones de PC local, ocultando la computación a través de aplicaciones automatizadas y networking, y aplicaciones que pueden utilizarse para tales dispositivos. El estándar Bluetooth especifica operaciones inalámbricas en frecuencia de radio de 2.45 GHz y soporta una tasa de datos de hasta 720 kbps. También soporta hasta tres canales de voz simultáneos y emplea esquemas de frequency-hopping y reducción de energía para reducir la interferencia con otros dispositivos que operan en la misma banda de frecuencia. La organización IEEE 802.15 ha derivado una tecnología de networking de WPAN basada en especificaciones de Bluetooth v1.1.

Ventajas y desventajas de una red inalámbrica

A continuación se muestran algunos aspectos a favor de este tipo de redes frente a las fijas:

• Economía: el precio para instalación de una WLAN depende de los requisitos y de las características de la implementación, sin embargo en una red cableada el costo se puede triplicar por los problemas físicos del cableado.

• Rapidez de implementación: el tiempo que más consume en la instalación de una red inalámbrica es la instalación de los puntos de acceso con la red local de la empresa, la cual puede durar días. Sin embargo la implementación en redes fijas puede durar semanas.

• Movilidad: esta es la ventaja más fuerte frente a las cableadas, tanto a nivel empresarial como en un hogar, debido al gran auge de los portátiles.

• Estética: en una red de cableado se necesitan metros de cables que se introducen en rosetas, lo que desaparece en una red wireless. Este es un pequeño ejemplo que en ocasiones se convierte en fundamental.

• Provisionalidad: si se va a instalar una red provisional esta es la mejor opción, por ejemplo en ferias, oficinas temporales o crecimientos urgentes en una red ya establecida.

• Robustez: Las redes basadas en cableado estructurado son por lo general más robustas frente a interferencias y condiciones adversas que las inalámbricas. Sin embargo, en ciertos entornos como fábricas con elevada humedad, agentes químicos agresivos, calor, etc. Las instalaciones cableadas pueden sufrir una rápida degradación o ser inviables. Una instalación wireless adecuadamente ubicada para resguardarse de dichas inclemencias puede ser la alternativa idónea.

Pero no todo son ventajas, hay una serie de parámetros en los que las redes cableadas ofrecen mayores prestaciones que las inalámbricas. La velocidad binaria es mucho mayor, obteniéndose en general límites máximos de 100 Mbps, como Fast Ethernet, frente a 54 Mbps en una WLAN 802.11g compartidos entre varios usuarios. También son más inmunes a interferencias, más seguras y requieren de menos mantenimiento.

Seguridad en redes inalámbricas

La irrupción de la nueva tecnología de comunicación basada en redes inalámbricas ha proporcionado nuevas expectativas de futuro para el desarrollo de sistemas de comunicación, así como nuevos riesgos. La flexibilidad y la movilidad que nos proporcionan las nuevas redes inalámbricas han hecho que la utilización de estas redes se haya disparado en el año 2002 siendo la mejor manera de realizar conectividad de datos en edificios sin necesidad de cablearlos. Pero como todas la nuevas tecnologías en evolución, presenta algunos riesgos debidos al optimismo inicial y en la adopción de la nueva tecnología sin observar los riesgos inherentes a la utilización de un medio de transmisión tan ‘observable’ como son las ondas de radio. Riesgos de las redes inalámbricas

La topología de estas redes consta de dos elementos clave, las estaciones cliente (STA) y los puntos de acceso (AP). La comunicación puede realizarse directamente entre estaciones cliente o a través del AP. El intercambio de datos sólo es posible cuando existe una autentificación entre el STA y el AP y se produce la asociación entre ellos (un STA pertenece a un AP). Por defecto, el AP transmite señales de gestión periódicas, la STA las recibe e inicia la autentificación mediante el envío de una trama de autentificación. Una vez realizada ésta, la estación cliente envía una trama asociada y el AP responde con otra. La utilización del aire como medio de transmisión de datos mediante la propagación de ondas de radio ha proporcionado nuevos riesgos de seguridad. La salida de estas ondas de radio fuera del edificio donde está ubicada la red permite la exposición de los datos a posibles intrusos que podrían obtener información sensible a la empresa y a la seguridad informática de la misma. Varios son los riesgos derivables de este factor.

1. Por ejemplo, se podría consumar un ataque por inserción, bien de un usuario no autorizado o por la ubicación de un punto de acceso ilegal más potente que capte las estaciones cliente en vez del punto de acceso legítimo, interceptando la red inalámbrica.

2. También sería posible crear interferencias y una más que posible denegación de servicio con sólo introducir un dispositivo que emita ondas de radio a una frecuencia de 2.4GHz (frecuencia utilizada por las redes inalámbricas).

3. La posibilidad de comunicarnos entre estaciones cliente directamente, sin pasar por el punto de acceso permitiría atacar directamente a una estación cliente, generando problemas si esta ofrece servicios TCP/IP o comparte archivos. Existe también la posibilidad de duplicar las direcciones IP o MAC de estaciones cliente legítimas.

4. Los puntos de acceso están expuestos a un ataque de fuerza bruta para averiguar los passwords, por lo que una configuración incorrecta de los mismos facilitaría la irrupción en una red inalámbrica por parte de intrusos.

A pesar de los riesgos anteriormente expuestos, existen soluciones y mecanismos de seguridad para impedir que cualquiera con los materiales suficientes pueda introducirse en una red. Algunos mecanismos son seguros, otros, como el protocolo WEP, son fácilmente ‘rompibles’ por programas distribuidos gratuitamente por Internet.

El libro de NIST “Una introducción a la seguridad de computadoras” clasifica genéricamente las amenazas de seguridad en nueve categorías que van desde errores y omisiones hasta amenazas a la privacidad personal. Sin embargo los asuntos más inmediatos para las comunicaciones inalámbricas son el robo de dispositivos, denegación de servicios, crackers, código malicioso, robo de servicios, y espionaje industrial y externo. El robo comúnmente ocurre con los dispositivos inalámbricos a causa de su portabilidad. Los usuarios autorizados y no autorizados del sistema pueden comprometer fraude y robo. Sin embargo, los usuarios autorizados son los que generalmente llevan a cabo estos ataques, ya que conocen los recursos y las debilidades del sistema. Los crackers son individuos que irrumpen en un sistema sin autorización, usualmente para beneficio personal o para producir daño; en general son individuos externos a una agencia u organización. Estos pueden ganar acceso a los AP de una red inalámbrica escuchando las comunicaciones en los dispositivos inalámbricos. El código malicioso involucra virus, worms, troyanos, bombas lógicas, u otro software no deseado que está diseñado para dañar o romper un sistema. El robo de un servicio ocurre cuando un usuario no autorizado obtiene acceso a la red y consume recursos de la red. El espionaje industrial y externo involucra recolección de datos propietarios de corporaciones o información de inteligencia gubernamental a través de la escucha. En redes inalámbricas, el robo de espionaje proviene de la facilidad relativa con la se puede realizar escuchas en transmisiones de radio. Los ataques que resultan de estos robos, si son exitosos, ponen los sistemas de una organización y sus datos (lo más importante) en riesgo. Asegurar la confidencialidad, integridad, autenticidad y disponibilidad son los principales objetivos de toda política y práctica de seguridad gubernamental. La publicación especial (SP) 800-26 de NIST “Security Self-Assessment Guide For Information Technology Systems”, establece que la información debe ser protegida de modificación no autorizada, no anticipada o no intencionada. Los requerimientos de seguridad incluyen los siguientes:

• Autenticidad: Una tercera parte debe ser capaz de verificar que el contenido de un mensaje no ha sido cambiado durante su transmisión.

• No repudio: El origen o el recibo de un mensaje específico debe ser verificado por una tercera parte.

• Contabilidad (Accountability): las acciones de una entidad deben determinar el origen únicamente de esa entidad.

La disponibilidad de la red es “la propiedad de permanecer accesible y utilizable bajo demanda por una entidad autorizada”. Los recursos de tecnología de información (sistema o datos) deben estar disponibles oportunamente (a tiempo) para satisfacer los requerimientos o evitar pérdidas sustanciales. La disponibilidad también incluye asegurar que los recursos se utilicen sólo para los propósitos establecidos. Para mitigar los riesgos expuestos, las organizaciones necesitan adoptar medidas y prácticas de seguridad que ayuden a llevar sus riesgos a un nivel manejable. Necesitan por ejemplo, realizar evaluaciones de seguridad antes de la implementación para determinar las amenazas y vulnerabilidades específicas que las redes inalámbricas introducirán en sus entornos. Al realizar la evaluación deben considerar políticas de seguridad existentes, amenazas y

vulnerabilidades conocidas, legislación y regulación, protección, confiabilidad, performance del sistema, los costos del ciclo de vida de las medidas de seguridad y requerimientos técnicos. Una vez que la evaluación de riesgos está completa, la organización puede empezar a planificar e implementar las medidas que llevará a cabo para resguardar sus sistemas y disminuir sus riesgos de seguridad a un nivel manejable. La organización debería reevaluar periódicamente las políticas y medidas que llevó a cabo, o lo que puso en marcha, a causa de que las tecnologías de computación y las amenazas maliciosas están continuamente cambiando. Los riesgos en las redes inalámbricas son la suma del riesgo de operar una red cableada (por operar una red en general) más los nuevos riesgos introducidos por las debilidades en los protocolos inalámbricos. Posibles ataques y amenazas a una red inalámbrica Ataques propios de una WLAN

� Espionaje (surveillance). Este tipo de ataque consiste simplemente en observar el entorno donde se encuentra instalada la red inalámbrica. No se necesita ningún tipo de “hardware” o “software” especial. Sirve para recopilar información y se puede combinar con otros tipos de ataques.

� War-Chalking. Se trata de un lenguaje de símbolos utilizado para marcar sobre el terreno la existencia de las redes inalámbricas, de forma que puedan ser utilizadas por aquellos que “pasen por allí”. Es decir, es la práctica de dibujar en paredes o aceras una serie de símbolos para indicar a otros la proximidad de un acceso inalámbrico. En este tipo de ataque los símbolos eran pintados con tiza (“chalk” en inglés) aunque actualmente se utilizan otros medios, como la pintura normal, spray de color, etc. El significado de cada símbolo existente es el siguiente:

� War-driving. Es el método más conocido para detectar las redes inalámbricas inseguras. Se realiza habitualmente con un dispositivo móvil, como una notebook o un PDA. El método es realmente simple: el atacante pasea con el dispositivo móvil, y en el momento en que detecta la existencia de la red, se realiza una análisis de la misma. El dispositivo móvil puede estar equipado con un sistema GPS para marcar la posición exacta donde la señal es más fuerte, o incluso una antena direccional para recibir el tráfico de la red desde una distancia considerable. Si la red tiene DHCP, el dispositivo móvil se configura para preguntar continuamente por una IP dentro de un cierto rango, si la red no tiene DHCP activado se puede ver la IP que figure en algún paquete analizado. Existen varias herramientas útiles para detectar redes inalámbricas, las más conocidas son el AirSnort o Kismet para Linux y el NetStumbler para sistemas Windows. Para realizar el Wardriving se necesitan realmente pocos recursos. Los más habituales son una computadora portátil con una tarjeta inalámbrica, un dispositivo GPS para ubicar el PA en un mapa y el software apropiado (AirSnort para Linux, BSD- AriTools para BSD o NetStumbler para Windows).

� Interceptar una señal. El atacante intenta identificar el origen y el destino que posee la

información. Es decir, la toma de posesión y el uso del ancho de banda de las WLAN privadas y de los “hotspot” públicos, mediante un kit básico del wardriver: programas sniffer descargables de la Red, antenas direccionales hechas de las formas más inverosímiles (incuso con paquetes de papas fritas Pringles) e instrucciones colgadas en los sitios de Net-activismo más visitados. Tras haber interceptado la señal, el atacante intentará recopilar información sensible del sistema. El “wireless hacking” puede requerir que el wardriver tenga que exponerse peligrosamente, teniendo que acercarse a la red para poder capturar la señal. Esto puede provocar una probable tendencia a una mayor prudencia.

Figura 5.9. Ejemplo de wireless hacking.

Técnicas de intrusión

Suplantar una fuente real

Esta técnica de ataque se engloba dentro de los ataques activos, donde un intruso pretende ser la fuente real u original.

“Sniffing” y “Eavesdropping” (escuchas-intercepción)

El programa monitoriza los datos y determina hacia donde van, de donde vienen y qué son, siempre que haya una tarjeta de red que actúa en “modo promiscuo”. El modo promiscuo es un modo de operación en el que una computadora conectada a una red compartida captura todos los paquetes, incluyendo los paquetes destinados a otras computadoras. Es muy útil para supervisar la red, pero presenta un riesgo de seguridad dentro de una red de producción. “Spoofing” (burla) y “Hijacking” (secuestro)

El atacante falsifica información, un identificador de usuario o una contraseña permitidos por el sistema atacado. Esto lo hace redefiniendo la dirección física o MAC de la tarjeta inalámbrica por una válida (“hijacking”). De esta manera, asocia una dirección IP válida del sistema

atacado. La idea es secuestrar la comunicación entre dos sistemas suplantando a uno de ellos, para lo que es necesario estar situado en la ruta de comunicación.

Denegación de servicio (DoS) o ataques por inundación (flooding attacks)

La denegación de servicio sucede cuando un atacante intenta ocupar la mayoría de los recursos disponibles de una red inalámbrica. Impide a los usuarios legítimos de ésta, disponer de dichos servicios o recursos. Puede producirse a través de:

• Ataques por sincronización (SYN Flooding) • Ataque “smurf” • Sobrecarga del sistema • Falsedad de nombres de dominio (DNS spoofing)

Mecanismos de seguridad

El canal de las redes inalámbricas, al contrario que en las redes cableadas privadas, debe considerarse inseguro. Cualquiera podría estar escuchando la información transmitida. Y no sólo eso, sino que también se pueden inyectar nuevos paquetes o modificar los ya existentes (ataques activos). Las mismas precauciones que tenemos para enviar datos a través de Internet deben tenerse también para las redes inalámbricas. Conscientes de este problema, el IEEE publicó un mecanismo opcional de seguridad, denominado WEP, en la norma de redes inalámbricas 802.11. Pero WEP, desplegado en numerosas redes WLAN, ha sido roto de distintas formas, lo que lo ha convertido en una protección inservible. Para solucionar sus deficiencias, el IEEE desarrolló una nueva norma de seguridad, conocida como 802.11i, que permite dotar de suficiente seguridad a las redes WLAN. Algunas empresas en vistas de que WEP (de 1999) era insuficiente y de que no existían alternativas estandarizadas mejores, decidieron utilizar otro tipo de tecnologías como son las VPNs para asegurar los extremos de la comunicación (por ejemplo, mediante IPSec). La idea de proteger los datos de usuarios remotos conectados desde Internet a la red corporativa se extendió, en algunos entornos, a las redes WLAN. De hecho, como hemos comentado antes, ambos canales de transmisión deben considerarse inseguros. Pero la tecnología VPN es quizás demasiado costosa en recursos para su implementación en redes WLAN. No ajena a las necesidades de los usuarios, la asociación de empresas Wi-Fi decidió lanzar un mecanismo de seguridad intermedio de transición hasta que estuviese disponible 802.11i, tomando aquellos aspectos que estaban suficientemente avanzados del desarrollo de la norma. El resultado, en 2003, fue WPA.

Figura 5.10. Protocolos de seguridad para Wireless.

WEP (Wired Equivalent Protocol)

Características y funcionamiento

WEP (Wired Equivalent Privacy, privacidad equivalente al cableado) es el algoritmo opcional de seguridad incluido en la norma IEEE 802.11. Los objetivos de WEP, según el estándar, son proporcionar confidencialidad, autentificación y control de acceso en redes WLAN. WEP utiliza una misma clave simétrica y estática en las estaciones y el punto de acceso. El estándar no contempla ningún mecanismo de distribución automática de claves, lo que obliga a escribir la clave manualmente en cada uno de los elementos de red. Esto genera varios inconvenientes. Por un lado, la clave está almacenada en todas las estaciones, aumentando las posibilidades de que sea comprometida. Y por otro, la distribución manual de claves provoca un aumento de mantenimiento por parte del administrador de la red, lo que conlleva, en la mayoría de ocasiones, que la clave se cambie poco o nunca. El algoritmo de encriptación utilizado es RC4 con claves (seed), según el estándar, de 64 bits. Estos 64 bits están formados por 24 bits correspondientes al vector de inicialización más 40 bits de la clave secreta. Los 40 bits son los que se deben distribuir manualmente. El vector de inicialización (IV), en cambio, es generado dinámicamente y debería ser diferente para cada trama. El objetivo perseguido con el IV es cifrar con claves diferentes para impedir que un posible atacante pueda capturar suficiente tráfico cifrado con la misma clave y terminar finalmente deduciendo la clave. Como es lógico, ambos extremos deben conocer tanto la clave secreta como el IV. La clave secreta es conocida puesto que está almacenada en la configuración de cada elemento de red. El IV, en cambio, se genera en un extremo y se envía en la propia trama al otro extremo, por lo que también será conocido. Observemos que al viajar el IV en cada trama es sencillo de interceptar por un posible atacante. El algoritmo de encriptación de WEP es el siguiente:

1. Se calcula un CRC de 32 bits de los datos. Este CRC-32 es el método que propone WEP

para garantizar la integridad de los mensajes (ICV, Integrity Check Value).

2. Se concatena la clave secreta a continuación del IV formando el seed.

3. El PRNG (Pseudo-Random Number Generator) de RC4 genera una secuencia de caracteres pseudo aleatorios (keystream), a partir del seed, de la misma longitud que los bits obtenidos en el punto 1.

4. Se calcula el OR exclusivo (XOR) de los caracteres del punto 1 con los del punto 3. El resultado es el mensaje cifrado.

5. Se envía el IV (sin cifrar) y el mensaje cifrado dentro del campo de datos (frame body) de la trama IEEE 802.11.

El algoritmo para descifrar es similar al anterior. Debido a que el otro extremo conocerá el IV y la clave secreta, tendrá entonces el seed y con ello podrá generar el keystream. Realizando el XOR entre los datos recibidos y el keystream se obtendrá el mensaje sin cifrar (datos y CRC-32). A continuación debe comprobar que el CRC-32 es correcto. Debilidad del vector de inicialización

La implementación del vector de inicialización (IV) en el algoritmo WEP tiene varios problemas de seguridad. Recordemos que el IV es la parte que varía de la clave (seed) para impedir que un posible atacante recopile suficiente información cifrada con una misma clave. Sin embargo, el estándar 802.11 no especifica cómo manejar el IV. Sólo se indica que debería cambiarse en cada trama para mejorar la privacidad, pero no obliga a ello. Queda abierta a los fabricantes la cuestión de cómo variar el IV en sus productos. La consecuencia de esto es que buena parte de las implementaciones optan por una solución sencilla: cada vez que arranca la tarjeta de red, se fija el IV a 0 y se incrementa en 1 para cada trama. Y esto ocasiona que los primeras combinaciones de IVs y clave secreta se repitan muy frecuentemente. Más aún si tenemos en cuenta que cada estación utiliza la misma clave secreta, por lo que las tramas con igual clave se multiplican en el medio. Por otro lado, el número de IVs diferentes no es demasiado elevado (224=16 millones aprox.), por lo que terminarán repitiéndose en cuestión de minutos u horas. El tiempo será menor cuanto mayor sea la carga de la red. Lo ideal sería que el IV no se repitiese nunca, pero como vemos, esto es imposible en WEP. La cantidad de veces que se repite un mismo IV dependerá de la implementación elegida para variar el IV por el fabricante (secuencial, aleatoria, etc.) y de la carga de la red. Observemos que es trivial saber si dos tramas han sido cifradas con la misma clave, puesto que el IV se envía sin cifrar y la clave secreta es estática. La longitud de 24 bits para el IV forma parte del estándar y no puede cambiarse. Bien es cierto que existen implementaciones con claves de 128 bits (lo que se conoce como WEP2), sin embargo, en realidad lo único que se aumenta es la clave secreta (104 bits) pero el IV se conserva con 24 bits. El aumento de la longitud de la clave secreta no soluciona la debilidad del IV. ¿Qué podemos hacer una vez que hemos capturado varias tramas con igual IV, es decir, con igual keystream?. Necesitamos conocer el mensaje sin cifrar de una de ellas. Haciendo el XOR entre un mensaje sin cifrar y el mismo cifrado, nos dará el keystream para ese IV. Conociendo el keystream asociado a un IV, podremos descifrar todas las tramas que usen el mismo IV. El problema es entonces conocer un mensaje sin cifrar, aunque esto no es tan complicado,

porque existen tráficos predecibles o bien, podemos provocarlos nosotros (mensajes ICMP de solicitud y respuesta de eco, confirmaciones de TCP, etc.). Con lo que hemos descripto no podemos deducir la clave secreta, aunque sí es posible generar una tabla con los IVs de los que sabemos su keystream, la cual permitirá descifrar cualquier mensaje que tenga un IV contenido en la tabla. Sin embargo, podemos llegar a más y deducir la clave secreta. Una nueva vulnerabilidad del protocolo WEP permite deducir la clave total conociendo parte de la clave (justamente, el IV que es conocido). Para ello necesitamos recopilar suficientes IVs y sus keystreams asociados obtenidos por el procedimiento anterior.

Otras debilidades de WEP

WEP también adolece de otros problemas además de los relacionados con el vector de inicialización y la forma de utilizar el algoritmo RC4. Entre los objetivos de WEP, se encuentra proporcionar un mecanismo que garantice la integridad de los mensajes. Con este fin, WEP incluye un CRC-32 que viaja cifrado. Sin embargo, se ha demostrado que este mecanismo no es válido y es posible modificar una parte del mensaje y a su vez el CRC, sin necesidad de conocer el resto. Esto permitiría, por ejemplo, modificar algún número de la trama sin que el destino se percatara de ello. En lugar del algoritmo de CRC se recomienda como ICV (Integrity Check Value) un algoritmo diseñado para tal fin como SHA1 HMAC. El estándar IEEE 802.11 incluye un mecanismo de autentificación de las estaciones basado en

un secreto compartido. Para ello se utiliza la misma contraseña de WEP en la forma que describimos a continuación. Una estación que quiere unirse a una red, solicita al punto de acceso una autentificación. El punto de acceso envía un texto en claro a la estación y ésta lo cifra y se lo devuelve. El punto de acceso finalmente descifra el mensaje recibido, comprueba que su ICV es correcto y lo compara con el texto que envió. El mecanismo anterior de autentificación de secreto compartido tiene el problema de enviar por la red el mismo texto sin cifrar y cifrado con la clave WEP (esta clave coincide con la utilizada para asegurar la confidencialidad). El estándar es consciente de esta debilidad y aconseja no utilizar el mismo IV para el resto de transmisiones. Sin embargo, tanto si las implementaciones repiten ese IV como si no, el mecanismo ofrece información que podría ser aprovechada para romper la clave WEP utilizando las debilidades del vector de inicialización explicadas más arriba. WEP no incluye autentificación de usuarios. Lo más que incluye es la autentificación de estaciones descrita (podrán entrar aquellas estaciones que en su configuración tengan almacenada la clave WEP). El sistema de autentificación descrito es tan débil que el mejor consejo sería no utilizarlo para no ofrecer información extra a un posible atacante. En este caso tendríamos una autentificación de sistema abierto, es decir, sin autentificación. Entre la larga lista de problemas de seguridad de WEP se encuentra también la ausencia de

mecanismos de protección contra mensajes repetidos (replay). Esto permite que se capture un mensaje y se introduzca en la red en un momento posterior. El paquete podría ser, por ejemplo, el que contiene la contraseña de un usuario para utilizar un determinado servicio.

Todos los problemas comentados unidos a las características propias de WEP como es la distribución manual de claves y la utilización de claves simétricas, hacen que este sistema no sea apropiado para asegurar una red inalámbrica.

Alternativas a WEP

Aunque no forma parte del estándar, los fabricantes de productos Wi-Fi decidieron ofrecer la posibilidad de utilizar claves del doble de longitud (de 64 bits a 128 bits). WEP utilizado con claves de 128 bits es lo que se conoce generalmente como WEP2. Sin embargo, debemos observar que la longitud del vector de inicialización sigue siendo de 24 bits (las tramas IEEE 802.11 no contemplan un mayor número de bits para enviar el IV), por lo que lo único que se ha aumentado es la clave secreta (de 40 bits a 104 bits). Debido a que la longitud del IV y su forma de utilizarlo no varían, las debilidades del IV pueden seguir siendo aprovechadas de la misma manera. WEP2 no resuelve los problemas de WEP. Otra variante de WEP utilizada en algunas implementaciones es WEP dinámico. En este caso se busca incorporar mecanismos de distribución automática de claves y de autentificación de usuarios mediante 802.1x/EAP/RADIUS. Requiere un servidor de autentificación (RADIUS normalmente) funcionando en la red. En el caso de que la misma clave (clave secreta + WEP) no se utilice en más de una trama, este mecanismo sería suficiente para compensar las principales debilidades de WEP. Sin embargo, la solución preferida por las empresas como alternativa a WEP ha sido la utilización de VPNs, de la misma manera que se haría si los usuarios estuviesen conectados remotamente a la oficina. La tecnología de VPNs está suficiente probada y se considera segura, aunque no ha sido diseñada específicamente para redes WLAN. Tiene como inconveniente la falta de interoperabilidad entre dispositivos de distintos fabricantes. Los mecanismos diseñados específicamente para redes WLAN para ser los sucesores de WEP son WPA y WPA2 (IEEE 802.11i). WPA

WPA (Wi-Fi Protected Access, acceso protegido Wi-Fi) es la respuesta de la asociación de empresas Wi-Fi a la seguridad que demandan los usuarios y que WEP no puede proporcionar. WPA soluciona todas las debilidades conocidas de WEP y se considera suficientemente seguro. Características de WPA

Las principales características de WPA son la distribución dinámica de claves, utilización más robusta del vector de inicialización (mejora de la confidencialidad) y nuevas técnicas de integridad y autentificación. WPA incluye las siguientes tecnologías: � IEEE 802.1X. Estándar del IEEE de 2001 para proporcionar un control de acceso en redes

basadas en puertos. El concepto de puerto, en un principio pensado para las ramas de un switch, también se puede aplicar a las distintas conexiones de un punto de acceso con las estaciones. Las estaciones tratarán entonces de conectarse a un puerto del punto de acceso. El punto de acceso mantendrá el puerto bloqueado hasta que el usuario se autentifique.

Con este fin se utiliza el protocolo EAP y un servidor AAA (Authentication Authorization

Accounting) como puede ser RADIUS (Remote Authentication Dial-In User Service). Si la autorización es positiva, entonces el punto de acceso abre el puerto. El servidor RADIUS puede contener políticas para ese usuario concreto que podría aplicar el punto de acceso (como priorizar ciertos tráficos o descartar otros).

� EAP. EAP, definido en la RFC 2284, es el protocolo de autentificación extensible para llevar a cabo las tareas de autentificación, autorización y contabilidad. EAP fue diseñado originalmente para el protocolo PPP (Point-to-Point Protocol), aunque WPA lo utiliza entre la estación y el servidor RADIUS. Esta forma de encapsulación de EAP está definida en el estándar 802.1X bajo el nombre de EAPOL (EAP over LAN).

� TKIP (Temporal Key Integrity Protocol). Según indica Wi-Fi, es el protocolo encargado de la generación de la clave para cada trama.

� MIC (Message Integrity Code) o Michael. Código que verifica la integridad de los datos de las tramas.

Mejoras de WPA respecto a WEP

WPA soluciona la debilidad del vector de inicialización (IV) de WEP mediante la inclusión de vectores del doble de longitud (48 bits) y especificando reglas de secuencia que los fabricantes deben implementar. Los 48 bits permiten generar 248 combinaciones de claves diferentes, lo cual parece un número suficientemente elevado como para tener duplicados. El algoritmo utilizado por WPA sigue siendo RC4. La secuencia de los IV, conocida por ambos extremos de la comunicación, se puede utilizar para evitar ataques de repetición de tramas (replay). Para la integridad de los mensajes (ICV), se ha eliminado el CRC-32 que se demostró inservible en WEP y se ha incluido un nuevo código denominado MIC. Las claves ahora son generadas

dinámicamente y distribuidas de forma automática por lo que se evita tener que

modificarlas manualmente en cada uno de los elementos de red cada cierto tiempo, como

ocurría en WEP. Para la autentificación, se sustituye el mecanismo de autentificación de secreto compartido de WEP así como la posibilidad de verificar las direcciones MAC de las estaciones por la terna 802.1X / EAP / RADIUS. Su inconveniente es que requiere de una mayor infraestructura: un

servidor RADIUS funcionando en la red, aunque también podría utilizarse un punto de acceso con esta funcionalidad. Modos de funcionamiento de WPA

WPA puede funcionar en dos modos:

• Con servidor RADIUS normalmente. Este es el modo indicado para las empresas. Requiere un servidor configurado para desempeñar las tareas de autentificación, autorización y contabilidad.

• Con clave inicial pre-compartida (PSK). Este modo está orientado para usuarios domésticos o pequeñas redes. No requiere un servidor radius, sino que se utiliza una

clave compartida en las estaciones y punto de acceso. Al contrario que en WEP, esta clave sólo se utiliza como punto de inicio para la autentificación, pero no para el cifrado de los datos.

WPA2 (IEEE 802.11i)

WPA2 incluye el nuevo algoritmo de cifrado AES (Advanced Encryption Standard), desarrollado por el NIST. Se trata de un algoritmo de cifrado de bloque (RC4 es de flujo) con claves de 128 bits. Requerirá un hardware potente para realizar sus algoritmos. Este aspecto es importante ya que significa que dispositivos antiguos sin suficientes capacidades de proceso no podrán incorporar WPA2. Para asegurar de la integridad y autenticidad de los mensajes, WPA2 utiliza CCMP (Counter-

Mode / Cipher Block Chaining / Message Authentication Code Protocol) en lugar de los códigos MIC. Otra mejora respecto a WPA es que WPA2 incluye soporte no sólo para el modo BSS sino también para el modo IBSS (redes ad-hoc).

Figura 5.11. Comparación entre WEP y WPA.

OSA (Open System Authentication)

Es otro mecanismo de autenticación definido por el estándar 802.11 para autentificar todas las peticiones que recibe. El principal problema que tiene es que no realiza ninguna comprobación de la estación cliente, además las tramas de gestión son enviadas sin encriptar, aún activando WEP, por lo tanto es un mecanismo poco fiable.

ACL (Access Control List)

Este mecanismo de seguridad es soportado por la mayoría de los productos comerciales. Utiliza, como mecanismo de autenticación, la dirección MAC de cada estación cliente, permitiendo el acceso a aquellas MAC que consten en la Lista de Control de Acceso.

Se utiliza para minimizar el riesgo de conexión de dispositivos no autorizados. Se debe utilizar con un número no muy elevado de dispositivos móviles. Este método no es recomendable porque una dirección MAC se puede duplicar, o si se daña la tarjeta de un cliente hay que dar de baja la antigua MAC y declarar la nueva dirección MAC; este proceso puede complicarse en medida del tamaño de la empresa. CNAC (Closed Network Access Control)

Este mecanismo pretende controlar el acceso a la red inalámbrica y permitirlo solamente a aquellas estaciones cliente que conozcan el nombre de la red (SSID) actuando éste como contraseña. El SSID (Service Set Identifier) es el nombre que le asignamos a nuestra red inalámbrica y es conocido por los dispositivos autorizados. Se utiliza para determinar por parte del dispositivo móvil, a qué punto de acceso está conectado y autenticarse en el mismo. También se denomina ESSID (Extended Service Set Identifier). Service Set Identifier no es un método de autentificación, más bien es un nombre común para los subsistemas wireless (clientes y otros AP), como un identificador. A todos los dispositivos que no tienen por defecto ese SSID no los deja pasar, es la forma en como se diferencian las redes wireless. Por defecto este SIID está en broadcast y por lo tanto cualquier cliente puede identificar y unirse al SSID existente. Si se elimina la opción de broadcast del AP, un intruso con un sniffer no puede identificar el SIID y unirse al AP. Defensa a través de DMZ

La arquitectura Screened Subnet, también conocida como red perimétrica o De-Militarized

Zone (DMZ) es con diferencia la más utilizada e implantada hoy en día, ya que añade un nivel de seguridad en las arquitecturas de cortafuegos situando una subred (DMZ) entre las redes externa e interna, de forma que se consiguen reducir los efectos de un ataque exitoso al host bastión: en otros modelos toda la seguridad se centra en el bastión, de forma que si la seguridad del mismo se ve comprometida, la amenaza se extiende automáticamente al resto de la red. Como la máquina bastión es un objetivo interesante para muchos piratas, la arquitectura DMZ intenta aislarla en una red perimétrica de forma que un intruso que accede a esta máquina no consiga un acceso total a la subred protegida. Screened subnet es la arquitectura más segura, pero también la más compleja; se utilizan dos routers, denominados exterior e interior, conectados ambos a la red perimétrica. En esta red perimétrica, que constituye el sistema cortafuegos, se incluye el host bastión y también se podrían incluir sistemas que requieran un acceso controlado, como baterías de módems o el servidor de correo, que serían los únicos elementos visibles desde fuera de nuestra red. El router exterior tiene como misión bloquear el tráfico no deseado en ambos sentidos (hacia la red perimétrica y hacia la red externa), mientras que el interior hace lo mismo pero con el tráfico entre la red interna y la perimétrica: así, un atacante habría de romper la seguridad de ambos routers para acceder a la red protegida. Esta arquitectura de cortafuegos elimina los puntos únicos de fallo presentes en otras: antes de llegar al bastión (por definición, el sistema más vulnerable) un atacante ha de saltarse las medidas de seguridad impuestas por el router externo.

Cortafuegos o “firewall”

Los firewalls son soluciones basadas en software o en hardware que residen en una máquina y pueden ser administradas por el cliente o de manera centralizada. Permiten definir filtros para denegar o permitir el acceso a ciertos usuarios o a ciertos hosts de la red. Sistemas Detectores de Intrusos

Los sistemas detectores de intrusos (IDS) totalmente integrados en las redes clásicas cableadas, están tomando forma también en las redes inalámbricas. Sin embargo, aún son pocas las herramientas disponibles y sobretodo realmente efectivas, aunque empresas privadas están desarrollando y adaptando sus sistemas detectores de intrusos para redes inalámbricas (como ISS en su software Real Secure). Las redes inalámbricas nos proporcionan cambios nuevos respecto a los sistemas de detección de intrusos situados en las redes clásicas cableadas. En primer lugar, la localización de la estación capturadora del tráfico debe estar instalado en la misma área de servicios WLAN que queramos monitorizar. Este punto es crítico y obtendremos muchos falsos positivos si la localización es inapropiada o la sensibilidad del agente tan elevada que puede incluso capturar tráfico procedente de otras WLANs ajenas a la nuestra. Otro punto crítico en los sistemas detectores de intrusos para redes es la identificación de tráfico anómalo, ya que existen aplicaciones como el NetStumbler y Dstumbler que utilizan técnicas de descubrimiento de redes inalámbricas especificadas en 802.11 junto con otras propias, por lo que el agente IDS debe detectar y distinguir un tráfico de otro. Como punto positivo encontramos que ya existen patrones para distinguir a estos programas utilizados por los intrusos. Además de todos estos mecanismos de seguridad, también se pueden utilizar otros, para complementarlos y reforzar la seguridad, como es el uso de PKI, Smart Cards, o técnicas

biométricas, por ejemplo.

Diseño recomendado

Se podrían hacer varias recomendaciones para diseñar una red inalámbrica e impedir lo máximo posible el ataque de cualquier intruso. Como primera medida, se debe separar la red de la organización en un dominio público y otro privado. Los usuarios que proceden del dominio público (los usuarios de la red inalámbrica) pueden ser tratados como cualquier usuario de Internet (externo a la organización). Así mismo, instalar cortafuegos y mecanismos de autentificación entre la red inalámbrica y la red clásica, situando los puntos de acceso delante del cortafuegos y utilizando VPN a nivel de cortafuegos para la encriptación del tráfico en la red inalámbrica. Los clientes de la red inalámbrica deben acceder a la red utilizando SSH, VPN o IPSec y mecanismos de autorización, autenticación y encriptación del tráfico (SSL). Lo ideal sería aplicar un nivel de seguridad distinto según qué usuario accede a una determinada aplicación. La utilización de VPNs nos impediría la movilidad de las estaciones cliente entre puntos de acceso, ya que estos últimos necesitarían intercambiar información sobre los usuarios conectados a ellos sin reiniciar la conexión o la aplicación en curso, cosa no soportada cuando utilizamos VPN.

Como contradicción, es recomendable no utilizar excesivas normas de seguridad porque podría reducir la rapidez y la utilidad de la red inalámbrica. La conectividad entre estaciones cliente y PA es FCFS, es decir, la primera estación cliente que accede es la primera en ser servida, además el ancho de banda es compartido, motivo por el cual nos tenemos que asegurar un número adecuado de puntos de acceso para atender a los usuarios. También se podrían adoptar medidas extraordinarias para impedir la intrusión, como utilizar receivers (Signal Leakage Detection System) situados a lo largo del perímetro del edificio para detectar señales anómalas hacia el edificio, además de utilizar estaciones de monitorización pasivas para detectar direcciones MAC no registradas o clonadas y el aumento de tramas de reautentificación. Por último también podrían ser adoptadas medidas físicas en la construcción del edificio o en la utilización de ciertos materiales atenuantes en el perímetro exterior del edificio, debilitando lo máximo posible las señales emitidas hacia el exterior. Algunas de estas recomendaciones podrían ser, aún a riesgo de resultar extremadas:

• Utilizar cobertura metálica en las paredes exteriores.

• Vidrio aislante térmico (atenúa las señales de radiofrecuencia).

• Persianas venecianas de metal, en vez de plásticas.

• Poner dispositivos WLAN lejos de las paredes exteriores.

• Revestir las rosetas de la red con un revestimiento de aluminio.

• Utilizar pintura metálica.

• Limitar el poder de una señal cambiando la atenuación del transmisor.

Figura 5.12. Resumen de los requerimientos de una red segura.