SlideShare una empresa de Scribd logo

Seguridad wlan

Jorge Arroyo
Jorge Arroyo
1 de 13
Descargar para leer sin conexión
Lección 02 Understanding WLAN Security Revisión El beneficio mas tangible de las Wireless es la Reducción del costo. En adición al incremento de la productividad, las Wireless LANs (WLANs) incrementa la calidad del trabajo. Sin embargo, una simple brecha resultante desde un simple acces point inseguro puederesultar muy negativo a la seguridad de una red corporativa y aun puede conducir a la ruina a una organización. Esto es muy importante para comprender los riesgos de la seguridad de las WLANs y cómo se pueden reducir estos riesgos. Objetivos Al completar esta lección, será capaz de describir los aspectos de la seguridad WLAN y las nuevas formas de incrementar la seguridad WLAN. Esta capacidad incluye el logro de los siguientes objetivos: Describe las amenazas mas comunes a los servicios WLAN. Describe los métodos de mitigación de las amenazas a la seguridad WLAN. Describe la evolución de la seguridad WLAN. Describe los procesos de asociación de clientes inalámbricos. Describe cómo IEEE 802.1X proporciona seguridad adicional WLAN. Describe los modos de WPA y WPA2.
WLAN Security Threats Este tópico describe las amenazas mas comunes a los servicios WLAN. Con la reducción de los costos en los sistemas de IEEE 802.11b/g, esinevitable que los hackerstienen muchasmásredes WLANsin garantíaentre los que elegir. Los incidenteshan sido reportadosde personas que utilizanmuchas aplicacionesde código abierto pararecoger yaprovechar las vulnerabilidades de los mecanismos de seguridad del estándar IEEE 802.11, Wired Equivalent Privacy (WEP). Sniffersinalámbricospermiten a los ingenierosde red capturarpasivamentelos paquetes de datospara que puedanser examinadospara corregirproblemas del sistema. Estos mismos sniffers pueden ser utilizados por los hackers para explotar las debilidades conocidas de la seguridad. “War driving” (Escaneo de señales), originalmente significaba que usando un celular se lograba escanear dispositivos y encontrar los números de teléfono para explotar. War driving ahora también significa conseguir con un ordenador portátil y una tarjeta cliente 802.11b/g para encontrar sistemas 802.11 b/g y explotarlos. Más dispositivos inalámbricos que se venden hoy en dia son WLAN ready. Los usuarios finalesno suelencambiar la configuración predeterminada o ellos implementan solamente seguridad WEP, la cual no es óptima para seguridad de redes inalámbricas. Con la activación de encriptación WEP básica (o, obviamente, con la no encriptación), es posiblerecopilar datosy obtener informaciónsensiblede la red como la información del login de un usuario, números de cuentas y records personales. Un puntode acceso no autorizadoes un punto deacceso no autorizadoque se conectaa la red corporativa. Si un punto de acceso no autorizado es programado con la clave WEP correcta, los datos del cliente pueden ser capturados.
Un punto de acceso no autorizado podría también estar configurado para proporcionar información de usuarios no autorizados, como las MAC address de clientes (inalámbricos y cableados) o para capturar y espiar paquetes de datos. En el peor de los casos un punto de acceso no autorizado puede estar configurado para ganar el acceso a servidores y archivos. Una simple y comun versión de este punto de acceso no autorizado es una instalación por empleados con autorización. Los puntos deacceso de los empleadosqueestán destinadospara uso doméstico yse configuran sin la debida seguridad pueden causar riesgos a la seguridad de la red empresarial.
Mitigating Security Threats Este tópico describe cómo se mitigan las amenazas de seguridad a servicios WLAN. Para asegurar una WLAN, se requiere de los siguientes pasos: Autenticación, para asegurar que los clientes y usuarios legítimos accedan a la red via punto de acceso de confianza. Encriptación, para proporcionar privacidad y confidencialidad. Sistemas de Detección de Intrusos (IDSs) y Sistemas de Prevención de Intrusos (IPSs), para proteger de los riesgos de seguridfad y disponibilidad. La solución fundamental para seguridad inalámbrica es la Autenticación y la Encriptación para proteger la transmisión inalámbrica de datos. Estas dos soluciones de seguridad inalámbrica pueden implementarse en grados; sin embargo, ambas se aplican tanto a small office, home office (SOHO) como a redes inalámbricas de empresas grandes. Las redes inalámbricas de las empresas grandes necesitarán de seguridad adicional que es ofrecuida por un monitor IPS. IPSs actuales no solo pueden detectar ataques a las redes inalámbricas, ellos también proveen protección básica contra clientes y puntos de acceso no autorizados. Muchas redes empresariales usan IPSs para protección no del todo contra las amenazas externas, pero principalmente contra puntos de acceso mal intencionados que son instalados por los empleados que desean la movilidad y los beneficios de las wireless.
Evolution of WLAN Security Casi tan pronto comolas primeras normasse establecieronWLAN, los Hackers comenzaron a tratar deexplotar los puntos débiles. Para hacer frente aesta amenaza, los estándares evolucionaron para proporcionar una mayor seguridad. Este tópico describe la evolución de la seguridad WLAN. Esta figura muestra la evolución de la seguridad LAN. Inicialmente, la seguridad de 802.11 definía solamente claves WEP estática de 64 bits para ambas encriptación y autenticación. El contenido actual de la clave de 64 bits, 40 bits de clave más 24 de vector de inicialización. El método de autenticación no fue potenciado. Autenticación abierta y claves compartidas es soportado. La autenticación abiertapermite la asociaciónde cualquier cliente inalámbrico. La Autenticación de clave compartida permite la autenticación de sólo clientes inalámbricos seleccionados, peroel texto de desafíoseenvía sin cifrar. Esta es la principal razón por la que la autenticación de clave compartida no es segura. Otro problema con elcifrado de clavesWEPes que las llavesestaban comprometidascon el tiempo. Las claves fueron administradas estáticamente y este método de seguridad no fue escalable para entornos de empresas grandes.Las empresas trataron decontrarrestaresta debilidadcon técnicas como elfiltrado de direcciones MAC. El SSID es el nombre de la red, parámetro y esquema configurable que el cliente y el Access point deben compartir. Si el Access Point es configurado para Broadcast su SSID, el cliente que está asociado con el Access Point esta usando el SSID que es advertido por el Access Point. Un Access Point puede ser configurado para no Broadcast el SSID (llamado SSID cloaking) para proporcionar un primer nivel de seguridad. La creencia fue que si el
Access Point no se anuncia, será más difícil de encontrar para los hackers. Para permitir al cliente el aprendizaje del SSID del Access Point, 802.11 permiten a los clientes inalámbricos el uso de un valor nulo (es decir,no hay ningún valorintroducido en el campoSSID), por tanto, se solicita queel puntode acceso difundasu SSID. Sin embargo, esta técnica hace que el esfuerzo de la seguridad sea no efectivo debido a que los hackers necesitan solamente enviar una cadena nula hasta ellos para encontrar un Access Point. Los Access Point soportan filtrado usando una MAC address. Las tablassonconstruidasmanualmenteenel punto de accesopara permitira los clientesque se basan ensu dirección dehardware físico. Sin embargo, las direcciones MAC son fácilmente falsificadas y el Filtrado MAC address no es considerado una seguridad de futuro. Mientras que las comunidades comenzaron el proceso de mejora de la seguridad WLAN, los clientes de las empresas inalámbricas necesitaban inmediatamente seguridad para activar sus despliegues. Impulsado por la demanda de los clientes, Cisco introdujo tempranamente mejoras en las propiedades para RC4 basado en encriptación WEP. Cisco implementó el Protocolo Temporal de Integración de Claves Cisco (CKIP) claves por paquete o hashing, y Chequeo de Integridad de Mensaje Cisco (Cisco MIC) para proteger claves WEP. Cisco también adoptó 802.1X protocolo de autenticación con cable para inalámbrico y claves dinámicas usando Cisco Protocolo de Autenticación Extensivo Ligero (Cisco LEAP) para una base de datos centralizada. Este enfoque esta basado en el IEEE 802.11 tarea de grupo i end – to – end trama usando 802.1X y el Protocolo de Autenticación Extensible (EAP) para proporcionar estas mejoras funcionales. Cisco ha incorporado 802.1X y EAP en la solución para WLAN, la suite Cisco Wireless Security. Numerosos tipos de EAP están disponibles hoy en dia para autenticación de usuarios sobre redes con cables e inalámbricas. En la actualidad se incluyen los siguientes tipos de EAP: EAP – Cisco Wireless (LEAP) EAP – Transport Layer Security (EAP-TLS) Protected EAP (PEAP) EAP – Tunneled TLS (EAP-TTLS) EAP-Suscriber Identity Module (EAP-SIM) En la Arquitectura Inalámbrica Cisco SAFE, LEAP, EAP-TLS y PEAP fueron probados y documentados como protocolos de autenticación EAP mutuos viables para el despliegue de las WLAN. Poco después de la implementación de seguridad inalámbrica Cusco, la Wi-Fi Alliance introdujo Wi-Fi Protected Access (WPA) como una solución interina. WPA fue un subconjunto de las experiencias del estándar de seguridad IEEE 802.11i para WLANs utilizando Autenticación 802.1X y mejoras para encriptación WEP. Lo mas nuevo de TKIP tiene implementación de seguridad parecida a las implementaciones que son provistas por Cisco (CKIP) pero estas tres implementaciones no son compatibles. Hoy en día, 802.11i ha sido ratificado y los estándares de Encriptación Avanzad (AES) han reemplazado a WEP como el último y más seguro método de encriptación de datos. Wireless IDSs están disponibles para identificar ataques y proteger las WLAN desde ellas. La Wi-Fi Alliance certifica dispositivos 802.11i bajo Wi-Fi Protected Access 2 (WPA2).
Wireless Client Association Este tópico describe el proceso de asociación de clientes inalámbricos. En el proceso de asociación de clientes inalámbricos, el Access Point envía una baliza anunciando uno o mas SSID, tasa de datos y otra información. El cliente escanea todos los canales y escucha por señales y respuestas desde el Access Point. Se asocia el clienteal punto de accesoque tienela señal más fuerte. Si la señal llegara a decaer, el cliente repite el escaneo para asociarse con otro Access Point. Este proceso es llamado “roaming”. Durante la asociación, el SSID, la MAC address y la configuración de seguridad son enviadas desde el cliente hacia el Access Point y es comprobado por el Access Point. La asociación de un cliente inalámbrico para un Access Point seleccionado es actualmente el segundo paso en un proceso de dos pasos. Primero, la autenticación, luego la asociación, debe ocurrir antes de que un cliente 802.11 pueda pasar tráfico a través del Access Point a otro host de la red. La autenticación del cliente en este proceso inicial no es el mismo que el de autenticación de red (que es ingresando un nombre de usuario y password para ganar acceso a la red). La autenticación del cliente es simplemente el primer paso (seguidopor la asociación) entre el cliente inalámbrico y el Access Point y simplemente establece la comunicación. El estándar 802.11 tiene especificado solamente dos métodos de autenticación: autenticación abierta y autenticación de clave compartida. La autenticación abierta es simplemente el intercambio de cuatro paquetes tipo “hello”simplementeconningún clienteo la verificacióndel punto de accesopara permitirla facilidad de conectividad. La autenticación de clave compartida usa una clave WEP estática que es conocida entre el cliente y el Access Point para verificación. Esta misma clave puede ser utilizada para encriptar el paso del dato actual entre clientes inalámbricos y el Access Point.
How 802.1X Works on WLANs Este tópico describe cómo 802.1X proporciona seguridad adicional a las WLAN El Access Point actúa como un autenticador en la frontera de la empresa, permite al cliente la asociación utilizando autenticación abierta. El Access Point luego encapsula todo el tráfico que es obligado por el servidor AAA (Autenticación, Autorización y Accounting) y envía esto al servidor. El resto del tráfico de la red es bloqueado, significa que todos los otros intentos para acceder a los recursos de red son paralizados. Después de recibir el tráfico que es originado por el cliente, el Access Point encapsula esto y lo envía la información al cliente. Aunque el servidor autentica al cliente como un usuario válido de la red, este proceso permite al cliente para validar al servidor también, asegurando que el cliente no se logee en un servidor falso. Mientras que una red empresarial utilizará una autenticación centralizada en servidor, las oficinas pequeñas o los negocios podrían simplemente utilizar el Access Point como un servidor de Autenticación para clientes inalámbricos.
WPA AND WPA2 Modes Este tópico describe los modos de Wi-Fi Protected Access (WPA) y Wi-Fi Protected Access 2 (WPA2). WPA proporciona soporte de autenticación vía 802.1X y clave pre compartida (PSK). 802.1X es recomendado para el despliegue de las empresas. WPA proporciona soporte de encriptación vía TKIP. TKIP incluye MIC y claves por paquetes (PPK) via vector de inicialización hashing y rotación de clave de broadcast. WPA2 (estándar 802.11i) usa la misma arquitectura de autenticación, distribución de clave y técnicas de renovación de claves como WPA. Sin embargo, WPA2 agrega mejor encriptación llamada AES-Counter con Protocolo CBC-MAC (AES-CCMP). AES-CCMP usa dos técnicas de criptografías combinadas. Una es el modo de contador y el segundo es CBC-MAC. AES-CCMP proporciona un protocolo de seguridad robusto entre los clientes inalámbricos y los Access Point. Nota: AES es una criptografía cifrada que utiliza una longitud de bloque de 128 bits y longitud de clave de 128, 192 o 256 bits. Modo Contador es un modo de operación. Modo Contador utiliza un numero que cambia con cada bloque de texto encriptado. El numero es llamado el Contador. El contador es encriptado con la cifra y el resultado entra en el texto cifrado. El Contador cambia por cada bloque y el texto cifrado no es repetido. Cipher Block Chaining-Message Authentication Code (CBC-MAC) es un método de mensaje integral. El método usa bloque cifrado como AES. Cada bloque de texto plano es encriptado con la cifra y luego con una operación AND exclusiva es conducido entre el primer y segundo bloque encriptado. Una operación XOR es luego corrida entre este resultado y el tercer bloque, etc.
Enterprise Mode Es un término utilizado por productos que son probados para interoperar entre los modos de operación de autenticación PSK y 802.1X Pprotocolo de Autenticación Extendida (EAP). Cuando 802.1X es usado, una Autenticación, una Autorización y una Accounting (AAA) servidor es requerido para optimizar la autenticación también como clave y administrador de usuario. El Modo empresarial es dirigido para entornos empresariales. Personal Mode Es un término utilizado para productos que son probados para interoperar solamente en el modo de operación para autenticación PSK. Esto requiere configuración manual de un PSK sobre el Access Point y los clientes. El usuario se autentica con PSK via un password, o código de identificación sobre ambos la estación cliente y el Access Point. No necesita servidor de Autenticación. Modo personal esta dirigido a entornos SOHO.
La Encriptación es el proceso de transformación de la información del texto plano para que no pueda ser leído por nadie excepto por quienes tienen la clave. El algortimo que es utilizado para encriptar la información es llamado cipher y el resultado es el texto cifrado. La Encriptación es ahora comunmente usada en la protección de la información en implementaciones WLAN. La Encriptación es también utilizada para proteger los datos en tránsito. Datos en tránsito que pueden ser interceptados y la encriptación es una opción para su proteción. Las claves WEP fueron la primera solución para encriptar y desencriptar transmisión de datos WLAN. Varias investigaciones y artículos han resaltado las vulnerabilidades potenciales de las claves WEP estáticas. Una mejora de las claves WEP estáticas fueron las claves WEP dinámicas en combinación con autenticación 802.1X. sin embargo, los Hackers tienen accesos a herramientas para conocer claves WEP. Varios mejoramientos para claves WEP fueron proporcionados. Estas mejoras WEP fueron TKIP, soporte para MIC, clave hashing por paquete y rotación de clave Broadcast. TKIP es un conjunto de mejoras de software para WEP basado en RC4. Cisco tiene una implementación propia de TKIP para comenzar. Esto fue un tiempo referido como un Cisco TKIP. En el 2002, 802.11i finalizó la especificación para TKIP y la Wi-Fi Alliance anunció que estaba siendo TKIP un componente de WPA. Cisco TKIP y el WPA TKI ambos incluyen claves por paquetes y chequeo de integridad de mensajes. Una debilidad existe en TKIP, sin embargo, este puede permitir un ataque de desencriptación de paquetes sobredeterminadas circunstancias. Una mejora para TKIP es el Estándar de Encriptación Avanzada (AES). AES es una alternativa potente para la encriptación de algoritmo RC4. AES es un algoritmo de encriptación mas seguro y ha sido estimado y aceptado por el gobierno de USA para la encriptación de ambos tipos de datos clasificados y no clasificados. AES es actualmente el mayor estándar de encriptación y reemplaza a WEP. AES ha sido desarrollado para reemplazar el estándar de encriptación de datos (DES). AES ofrece un largo tamaño de clave, mientras que asegura que solamente el acercamiento conocido para desencriptar un mensaje es por un agente externo intruso para probar todas las claves posibles. AES tiene una clave variable cuya longitud de algoritmo puede especificar una clave de 128 bits (por
defecto), una clave de 192 bits o clave de 256 bits. El uso de WPA2 con AES es recomendado en todo momento posible. Esto, sin embargo requiere de un mayor consumo de recursos y requiere de nuevo hardware comparado con las implementaciones simples de WEP o TKIP. Si un cliente no soporta WPA2 con AES merecido por la edad del hardware o ausencia de los driver compatible, una VPN puede ser una buena solución para seguridad de la conexión del cliente sobre el aire. Seguridad IP (IPsec) y Secuire Sockets Layer (SSL) VPNs proporciona un nivel similar de seguridad como WPA2. IPsec VPNs son los servicios que están definidos dentro de IPsec para asegurar la confidencialidad, integridad y autenticidad de las comunicaciones de datos entre redes públicas, como la Internet. IPsec también tiene una aplicación práctica para asegurar WLANs por revestimiento IPsec en adición para tráfico inalámbrico de texto plano 802.11. IPsec proporciona confiabilidad de tráfico IP , asimismo como autenticación y capacidades antirepetitivas. La confiabilidad es conseguida a través de la encriptación usando una variante de DES, llamado Triple DES (3DES) o el nuvo AES.
Seguridad wlan

Recomendados

::: SEGURIDAD EN REDES INALAMBRICAS :::
::: SEGURIDAD EN REDES INALAMBRICAS :::::: SEGURIDAD EN REDES INALAMBRICAS :::
::: SEGURIDAD EN REDES INALAMBRICAS :::preverisk Group
 
Configuracion de parametros para el establecimiento de la seguridad y protecc...
Configuracion de parametros para el establecimiento de la seguridad y protecc...Configuracion de parametros para el establecimiento de la seguridad y protecc...
Configuracion de parametros para el establecimiento de la seguridad y protecc...sgosita
 
Seguridad wifi
Seguridad wifiSeguridad wifi
Seguridad wifiunrealjuanka_
 
Presentacion seguridad inalambrica
Presentacion seguridad inalambricaPresentacion seguridad inalambrica
Presentacion seguridad inalambricapardon
 
Seguridad en redes inalambricas
Seguridad en redes inalambricasSeguridad en redes inalambricas
Seguridad en redes inalambricasFrank Zarate Pumachayco
 
Ensayo isummit
Ensayo isummitEnsayo isummit
Ensayo isummitcarlos7489
 
Se puede subir
Se puede subirSe puede subir
Se puede subirthelatin
 
Seguridad Inalámbrica
Seguridad InalámbricaSeguridad Inalámbrica
Seguridad Inalámbricasegarreta
 

Recomendados

::: SEGURIDAD EN REDES INALAMBRICAS :::
::: SEGURIDAD EN REDES INALAMBRICAS :::::: SEGURIDAD EN REDES INALAMBRICAS :::
::: SEGURIDAD EN REDES INALAMBRICAS :::preverisk Group
 
Configuracion de parametros para el establecimiento de la seguridad y protecc...
Configuracion de parametros para el establecimiento de la seguridad y protecc...Configuracion de parametros para el establecimiento de la seguridad y protecc...
Configuracion de parametros para el establecimiento de la seguridad y protecc...sgosita
 
Seguridad wifi
Seguridad wifiSeguridad wifi
Seguridad wifiunrealjuanka_
 
Presentacion seguridad inalambrica
Presentacion seguridad inalambricaPresentacion seguridad inalambrica
Presentacion seguridad inalambricapardon
 
Seguridad en redes inalambricas
Seguridad en redes inalambricasSeguridad en redes inalambricas
Seguridad en redes inalambricasFrank Zarate Pumachayco
 
Ensayo isummit
Ensayo isummitEnsayo isummit
Ensayo isummitcarlos7489
 
Se puede subir
Se puede subirSe puede subir
Se puede subirthelatin
 
Seguridad Inalámbrica
Seguridad InalámbricaSeguridad Inalámbrica
Seguridad Inalámbricasegarreta
 
Red Wifi con políticas de seguridad
Red Wifi con políticas de seguridadRed Wifi con políticas de seguridad
Red Wifi con políticas de seguridadiesgrancapitan.org
 
Implementacion de seguridad en redes inalambricas
Implementacion de seguridad en redes inalambricasImplementacion de seguridad en redes inalambricas
Implementacion de seguridad en redes inalambricasBrayan Giraldo
 
Introducción a la seguridad en redes inalámbricas
Introducción a la seguridad en redes inalámbricasIntroducción a la seguridad en redes inalámbricas
Introducción a la seguridad en redes inalámbricasMarcos Blanco Galán
 
Presentación Seguridad Redes Inalámbricas
Presentación Seguridad Redes InalámbricasPresentación Seguridad Redes Inalámbricas
Presentación Seguridad Redes InalámbricasWilmer Campos Saavedra
 
Que consideraciones se deben tener para transformar una wlan
Que consideraciones se deben tener para transformar una wlanQue consideraciones se deben tener para transformar una wlan
Que consideraciones se deben tener para transformar una wlanManuel Rodriguez
 
Manual red inlambrica
Manual red inlambricaManual red inlambrica
Manual red inlambricaSandro Santiago A
 
Jamdrid seguridad redes-inalambricas
Jamdrid seguridad redes-inalambricasJamdrid seguridad redes-inalambricas
Jamdrid seguridad redes-inalambricasConstanza Janeth Velasco
 
ELEMENTOS CLAVES PARA LA SEGURIDAD POR ACCESO REMOTO
ELEMENTOS CLAVES PARA LA SEGURIDAD POR ACCESO REMOTOELEMENTOS CLAVES PARA LA SEGURIDAD POR ACCESO REMOTO
ELEMENTOS CLAVES PARA LA SEGURIDAD POR ACCESO REMOTOelsiscarolinacaasest
 
redes
redesredes
redesantonio lopez
 
Audema
AudemaAudema
Audemaivanrodrigo
 
Seguridad en Redes Inalámbricas
Seguridad en Redes InalámbricasSeguridad en Redes Inalámbricas
Seguridad en Redes InalámbricasAnna Vega
 
Taller: Todo acerca de Cloud Computing
Taller: Todo acerca de Cloud ComputingTaller: Todo acerca de Cloud Computing
Taller: Todo acerca de Cloud ComputingMundo Contact
 
Tecnologia wifi
Tecnologia wifiTecnologia wifi
Tecnologia wifiMasso_07
 
Protocolo vpn
Protocolo vpnProtocolo vpn
Protocolo vpnJuan MmnVvr Aguila
 
Clase 01
Clase 01Clase 01
Clase 01Titiushko Jazz
 
Seguridad en redes inalambricas
Seguridad en redes inalambricasSeguridad en redes inalambricas
Seguridad en redes inalambricasEDVV
 
Guía de Seguridad en Redes Inalámbricas
Guía de Seguridad en Redes InalámbricasGuía de Seguridad en Redes Inalámbricas
Guía de Seguridad en Redes InalámbricasESET Latinoamérica
 
Expo semana 8
Expo semana 8Expo semana 8
Expo semana 8William Dick Davalos Minaya
 
Crak wep
Crak wepCrak wep
Crak wepthelatin
 
Crack WEP
Crack WEPCrack WEP
Crack WEPthelatin
 
Diseño de una red lan inalambrica para una
Diseño de una red lan inalambrica para unaDiseño de una red lan inalambrica para una
Diseño de una red lan inalambrica para unaRicardo Guzman
 
Auditoría wireless
Auditoría wirelessAuditoría wireless
Auditoría wirelessruben0909
 

Más contenido relacionado

La actualidad más candente

Red Wifi con políticas de seguridad
Red Wifi con políticas de seguridadRed Wifi con políticas de seguridad
Red Wifi con políticas de seguridadiesgrancapitan.org
 
Implementacion de seguridad en redes inalambricas
Implementacion de seguridad en redes inalambricasImplementacion de seguridad en redes inalambricas
Implementacion de seguridad en redes inalambricasBrayan Giraldo
 
Introducción a la seguridad en redes inalámbricas
Introducción a la seguridad en redes inalámbricasIntroducción a la seguridad en redes inalámbricas
Introducción a la seguridad en redes inalámbricasMarcos Blanco Galán
 
Presentación Seguridad Redes Inalámbricas
Presentación Seguridad Redes InalámbricasPresentación Seguridad Redes Inalámbricas
Presentación Seguridad Redes InalámbricasWilmer Campos Saavedra
 
Que consideraciones se deben tener para transformar una wlan
Que consideraciones se deben tener para transformar una wlanQue consideraciones se deben tener para transformar una wlan
Que consideraciones se deben tener para transformar una wlanManuel Rodriguez
 
ELEMENTOS CLAVES PARA LA SEGURIDAD POR ACCESO REMOTO
ELEMENTOS CLAVES PARA LA SEGURIDAD POR ACCESO REMOTOELEMENTOS CLAVES PARA LA SEGURIDAD POR ACCESO REMOTO
ELEMENTOS CLAVES PARA LA SEGURIDAD POR ACCESO REMOTOelsiscarolinacaasest
 
Seguridad en Redes Inalámbricas
Seguridad en Redes InalámbricasSeguridad en Redes Inalámbricas
Seguridad en Redes InalámbricasAnna Vega
 
Taller: Todo acerca de Cloud Computing
Taller: Todo acerca de Cloud ComputingTaller: Todo acerca de Cloud Computing
Taller: Todo acerca de Cloud ComputingMundo Contact
 
Tecnologia wifi
Tecnologia wifiTecnologia wifi
Tecnologia wifiMasso_07
 
Seguridad en redes inalambricas
Seguridad en redes inalambricasSeguridad en redes inalambricas
Seguridad en redes inalambricasEDVV
 
Guía de Seguridad en Redes Inalámbricas
Guía de Seguridad en Redes InalámbricasGuía de Seguridad en Redes Inalámbricas
Guía de Seguridad en Redes InalámbricasESET Latinoamérica
 

La actualidad más candente (17)

Red Wifi con políticas de seguridad
Red Wifi con políticas de seguridadRed Wifi con políticas de seguridad
Red Wifi con políticas de seguridad
 
Implementacion de seguridad en redes inalambricas
Implementacion de seguridad en redes inalambricasImplementacion de seguridad en redes inalambricas
Implementacion de seguridad en redes inalambricas
 
Introducción a la seguridad en redes inalámbricas
Introducción a la seguridad en redes inalámbricasIntroducción a la seguridad en redes inalámbricas
Introducción a la seguridad en redes inalámbricas
 
Presentación Seguridad Redes Inalámbricas
Presentación Seguridad Redes InalámbricasPresentación Seguridad Redes Inalámbricas
Presentación Seguridad Redes Inalámbricas
 
Que consideraciones se deben tener para transformar una wlan
Que consideraciones se deben tener para transformar una wlanQue consideraciones se deben tener para transformar una wlan
Que consideraciones se deben tener para transformar una wlan
 
Manual red inlambrica
Manual red inlambricaManual red inlambrica
Manual red inlambrica
 
Jamdrid seguridad redes-inalambricas
Jamdrid seguridad redes-inalambricasJamdrid seguridad redes-inalambricas
Jamdrid seguridad redes-inalambricas
 
ELEMENTOS CLAVES PARA LA SEGURIDAD POR ACCESO REMOTO
ELEMENTOS CLAVES PARA LA SEGURIDAD POR ACCESO REMOTOELEMENTOS CLAVES PARA LA SEGURIDAD POR ACCESO REMOTO
ELEMENTOS CLAVES PARA LA SEGURIDAD POR ACCESO REMOTO
 
redes
redesredes
redes
 
Audema
AudemaAudema
Audema
 
Seguridad en Redes Inalámbricas
Seguridad en Redes InalámbricasSeguridad en Redes Inalámbricas
Seguridad en Redes Inalámbricas
 
Taller: Todo acerca de Cloud Computing
Taller: Todo acerca de Cloud ComputingTaller: Todo acerca de Cloud Computing
Taller: Todo acerca de Cloud Computing
 
Tecnologia wifi
Tecnologia wifiTecnologia wifi
Tecnologia wifi
 
Protocolo vpn
Protocolo vpnProtocolo vpn
Protocolo vpn
 
Clase 01
Clase 01Clase 01
Clase 01
 
Seguridad en redes inalambricas
Seguridad en redes inalambricasSeguridad en redes inalambricas
Seguridad en redes inalambricas
 
Guía de Seguridad en Redes Inalámbricas
Guía de Seguridad en Redes InalámbricasGuía de Seguridad en Redes Inalámbricas
Guía de Seguridad en Redes Inalámbricas
 

Similar a Seguridad wlan

Diseño de una red lan inalambrica para una
Diseño de una red lan inalambrica para unaDiseño de una red lan inalambrica para una
Diseño de una red lan inalambrica para unaRicardo Guzman
 
Auditoría wireless
Auditoría wirelessAuditoría wireless
Auditoría wirelessruben0909
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redeslisc20145
 
Proyecto de red wifi formulacion 1
Proyecto de red wifi formulacion 1Proyecto de red wifi formulacion 1
Proyecto de red wifi formulacion 1Cruch
 
Seguridad física y lógica en redes inalámbricas
Seguridad física y lógica en redes inalámbricasSeguridad física y lógica en redes inalámbricas
Seguridad física y lógica en redes inalámbricasAdamari Cortes
 
Seguridad en nuevas Tecnologías. Intenet Global Congress.
Seguridad en nuevas Tecnologías. Intenet Global Congress.Seguridad en nuevas Tecnologías. Intenet Global Congress.
Seguridad en nuevas Tecnologías. Intenet Global Congress.Internet Security Auditors
 
Viviendo En La Jungla
Viviendo En La JunglaViviendo En La Jungla
Viviendo En La JunglaChema Alonso
 
7+1 Consejos que Ayudaran a Proteger la Red de Computadoras de tu Empresa
7+1 Consejos que Ayudaran a Proteger la Red de Computadoras de tu Empresa7+1 Consejos que Ayudaran a Proteger la Red de Computadoras de tu Empresa
7+1 Consejos que Ayudaran a Proteger la Red de Computadoras de tu Empresaservidoresdedic
 
Seguridad En Redes Wireless
Seguridad En Redes WirelessSeguridad En Redes Wireless
Seguridad En Redes Wirelessing.ricardo
 
Seguridad En Redes Wireless
Seguridad En Redes WirelessSeguridad En Redes Wireless
Seguridad En Redes Wirelessing.ricardo
 
Seguridad En Redes Wireless
Seguridad En Redes WirelessSeguridad En Redes Wireless
Seguridad En Redes Wirelessing.ricardo
 

Similar a Seguridad wlan (20)

Expo semana 8
Expo semana 8Expo semana 8
Expo semana 8
 
Crak wep
Crak wepCrak wep
Crak wep
 
Crack WEP
Crack WEPCrack WEP
Crack WEP
 
Diseño de una red lan inalambrica para una
Diseño de una red lan inalambrica para unaDiseño de una red lan inalambrica para una
Diseño de una red lan inalambrica para una
 
Auditoría wireless
Auditoría wirelessAuditoría wireless
Auditoría wireless
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redes
 
Practica 4
Practica 4Practica 4
Practica 4
 
La jungla de las redes WiFi
La jungla de las redes WiFiLa jungla de las redes WiFi
La jungla de las redes WiFi
 
Descifrado de redes
Descifrado de redesDescifrado de redes
Descifrado de redes
 
Proyecto de red wifi formulacion 1
Proyecto de red wifi formulacion 1Proyecto de red wifi formulacion 1
Proyecto de red wifi formulacion 1
 
Seguridad física y lógica en redes inalámbricas
Seguridad física y lógica en redes inalámbricasSeguridad física y lógica en redes inalámbricas
Seguridad física y lógica en redes inalámbricas
 
Seguridad en nuevas Tecnologías. Intenet Global Congress.
Seguridad en nuevas Tecnologías. Intenet Global Congress.Seguridad en nuevas Tecnologías. Intenet Global Congress.
Seguridad en nuevas Tecnologías. Intenet Global Congress.
 
ALGORITMOS
ALGORITMOSALGORITMOS
ALGORITMOS
 
Viviendo En La Jungla
Viviendo En La JunglaViviendo En La Jungla
Viviendo En La Jungla
 
7+1 Consejos que Ayudaran a Proteger la Red de Computadoras de tu Empresa
7+1 Consejos que Ayudaran a Proteger la Red de Computadoras de tu Empresa7+1 Consejos que Ayudaran a Proteger la Red de Computadoras de tu Empresa
7+1 Consejos que Ayudaran a Proteger la Red de Computadoras de tu Empresa
 
PresentacióN Vale 1
PresentacióN Vale 1PresentacióN Vale 1
PresentacióN Vale 1
 
PresentacióN Vale
PresentacióN ValePresentacióN Vale
PresentacióN Vale
 
Seguridad En Redes Wireless
Seguridad En Redes WirelessSeguridad En Redes Wireless
Seguridad En Redes Wireless
 
Seguridad En Redes Wireless
Seguridad En Redes WirelessSeguridad En Redes Wireless
Seguridad En Redes Wireless
 
Seguridad En Redes Wireless
Seguridad En Redes WirelessSeguridad En Redes Wireless
Seguridad En Redes Wireless
 

Más de Jorge Arroyo

Presentación1 2014
Presentación1 2014Presentación1 2014
Presentación1 2014Jorge Arroyo
 
Módulo i lección 2 seguridad en la red
Módulo i lección 2 seguridad en la redMódulo i lección 2 seguridad en la red
Módulo i lección 2 seguridad en la redJorge Arroyo
 
Tema n° 11 Frame Relay
Tema n° 11 Frame RelayTema n° 11 Frame Relay
Tema n° 11 Frame RelayJorge Arroyo
 
Tema n° 11 analizando el envío de paquetes
Tema n° 11 analizando el envío de paquetesTema n° 11 analizando el envío de paquetes
Tema n° 11 analizando el envío de paquetesJorge Arroyo
 
Tema n° 10 lan switcheadas dispositivos de interconexión
Tema n° 10 lan switcheadas dispositivos de interconexiónTema n° 10 lan switcheadas dispositivos de interconexión
Tema n° 10 lan switcheadas dispositivos de interconexiónJorge Arroyo
 
Tema n° 09 lan ethernet
Tema n° 09 lan ethernetTema n° 09 lan ethernet
Tema n° 09 lan ethernetJorge Arroyo
 
Protocolos de enrutamiento por vector distancia
Protocolos de enrutamiento por vector distanciaProtocolos de enrutamiento por vector distancia
Protocolos de enrutamiento por vector distanciaJorge Arroyo
 
Explorando las redes wireless
Explorando las redes wirelessExplorando las redes wireless
Explorando las redes wirelessJorge Arroyo
 
Entendiendo la seguridad en un switch
Entendiendo la seguridad en un switchEntendiendo la seguridad en un switch
Entendiendo la seguridad en un switchJorge Arroyo
 
Módulo ii lección 03 entendiendo el envío de paquetes.
Módulo ii lección 03 entendiendo el envío de paquetes.Módulo ii lección 03 entendiendo el envío de paquetes.
Módulo ii lección 03 entendiendo el envío de paquetes.Jorge Arroyo
 
Capa de enlace de datos
Capa de enlace de datosCapa de enlace de datos
Capa de enlace de datosJorge Arroyo
 
Evolución de los protocolos de enrutamiento dinámico
Evolución de los protocolos de enrutamiento dinámicoEvolución de los protocolos de enrutamiento dinámico
Evolución de los protocolos de enrutamiento dinámicoJorge Arroyo
 
Enrutamiento estático
Enrutamiento estáticoEnrutamiento estático
Enrutamiento estáticoJorge Arroyo
 

Más de Jorge Arroyo (20)

Presentación1 2014
Presentación1 2014Presentación1 2014
Presentación1 2014
 
Módulo i lección 2 seguridad en la red
Módulo i lección 2 seguridad en la redMódulo i lección 2 seguridad en la red
Módulo i lección 2 seguridad en la red
 
Tema n° 11 Frame Relay
Tema n° 11 Frame RelayTema n° 11 Frame Relay
Tema n° 11 Frame Relay
 
Tema n° 11 analizando el envío de paquetes
Tema n° 11 analizando el envío de paquetesTema n° 11 analizando el envío de paquetes
Tema n° 11 analizando el envío de paquetes
 
Tema n° 10 wlan
Tema n° 10 wlanTema n° 10 wlan
Tema n° 10 wlan
 
Tema n° 09 vlan
Tema n° 09 vlanTema n° 09 vlan
Tema n° 09 vlan
 
Tema n° 10 lan switcheadas dispositivos de interconexión
Tema n° 10 lan switcheadas dispositivos de interconexiónTema n° 10 lan switcheadas dispositivos de interconexión
Tema n° 10 lan switcheadas dispositivos de interconexión
 
Tema n° 09 lan ethernet
Tema n° 09 lan ethernetTema n° 09 lan ethernet
Tema n° 09 lan ethernet
 
Ospf
OspfOspf
Ospf
 
Rip v2
Rip v2Rip v2
Rip v2
 
Protocolos de enrutamiento por vector distancia
Protocolos de enrutamiento por vector distanciaProtocolos de enrutamiento por vector distancia
Protocolos de enrutamiento por vector distancia
 
Explorando las redes wireless
Explorando las redes wirelessExplorando las redes wireless
Explorando las redes wireless
 
Entendiendo la seguridad en un switch
Entendiendo la seguridad en un switchEntendiendo la seguridad en un switch
Entendiendo la seguridad en un switch
 
Starting a switch
Starting a switchStarting a switch
Starting a switch
 
Módulo ii lección 03 entendiendo el envío de paquetes.
Módulo ii lección 03 entendiendo el envío de paquetes.Módulo ii lección 03 entendiendo el envío de paquetes.
Módulo ii lección 03 entendiendo el envío de paquetes.
 
Capa de enlace de datos
Capa de enlace de datosCapa de enlace de datos
Capa de enlace de datos
 
Rip e igrp
Rip e igrpRip e igrp
Rip e igrp
 
Evolución de los protocolos de enrutamiento dinámico
Evolución de los protocolos de enrutamiento dinámicoEvolución de los protocolos de enrutamiento dinámico
Evolución de los protocolos de enrutamiento dinámico
 
Enrutamiento estático
Enrutamiento estáticoEnrutamiento estático
Enrutamiento estático
 
Semana 01 routers
Semana 01 routersSemana 01 routers
Semana 01 routers
 

Seguridad wlan

  • 1. Lección 02 Understanding WLAN Security Revisión El beneficio mas tangible de las Wireless es la Reducción del costo. En adición al incremento de la productividad, las Wireless LANs (WLANs) incrementa la calidad del trabajo. Sin embargo, una simple brecha resultante desde un simple acces point inseguro puederesultar muy negativo a la seguridad de una red corporativa y aun puede conducir a la ruina a una organización. Esto es muy importante para comprender los riesgos de la seguridad de las WLANs y cómo se pueden reducir estos riesgos. Objetivos Al completar esta lección, será capaz de describir los aspectos de la seguridad WLAN y las nuevas formas de incrementar la seguridad WLAN. Esta capacidad incluye el logro de los siguientes objetivos: Describe las amenazas mas comunes a los servicios WLAN. Describe los métodos de mitigación de las amenazas a la seguridad WLAN. Describe la evolución de la seguridad WLAN. Describe los procesos de asociación de clientes inalámbricos. Describe cómo IEEE 802.1X proporciona seguridad adicional WLAN. Describe los modos de WPA y WPA2.
  • 2. WLAN Security Threats Este tópico describe las amenazas mas comunes a los servicios WLAN. Con la reducción de los costos en los sistemas de IEEE 802.11b/g, esinevitable que los hackerstienen muchasmásredes WLANsin garantíaentre los que elegir. Los incidenteshan sido reportadosde personas que utilizanmuchas aplicacionesde código abierto pararecoger yaprovechar las vulnerabilidades de los mecanismos de seguridad del estándar IEEE 802.11, Wired Equivalent Privacy (WEP). Sniffersinalámbricospermiten a los ingenierosde red capturarpasivamentelos paquetes de datospara que puedanser examinadospara corregirproblemas del sistema. Estos mismos sniffers pueden ser utilizados por los hackers para explotar las debilidades conocidas de la seguridad. “War driving” (Escaneo de señales), originalmente significaba que usando un celular se lograba escanear dispositivos y encontrar los números de teléfono para explotar. War driving ahora también significa conseguir con un ordenador portátil y una tarjeta cliente 802.11b/g para encontrar sistemas 802.11 b/g y explotarlos. Más dispositivos inalámbricos que se venden hoy en dia son WLAN ready. Los usuarios finalesno suelencambiar la configuración predeterminada o ellos implementan solamente seguridad WEP, la cual no es óptima para seguridad de redes inalámbricas. Con la activación de encriptación WEP básica (o, obviamente, con la no encriptación), es posiblerecopilar datosy obtener informaciónsensiblede la red como la información del login de un usuario, números de cuentas y records personales. Un puntode acceso no autorizadoes un punto deacceso no autorizadoque se conectaa la red corporativa. Si un punto de acceso no autorizado es programado con la clave WEP correcta, los datos del cliente pueden ser capturados.
  • 3. Un punto de acceso no autorizado podría también estar configurado para proporcionar información de usuarios no autorizados, como las MAC address de clientes (inalámbricos y cableados) o para capturar y espiar paquetes de datos. En el peor de los casos un punto de acceso no autorizado puede estar configurado para ganar el acceso a servidores y archivos. Una simple y comun versión de este punto de acceso no autorizado es una instalación por empleados con autorización. Los puntos deacceso de los empleadosqueestán destinadospara uso doméstico yse configuran sin la debida seguridad pueden causar riesgos a la seguridad de la red empresarial.
  • 4. Mitigating Security Threats Este tópico describe cómo se mitigan las amenazas de seguridad a servicios WLAN. Para asegurar una WLAN, se requiere de los siguientes pasos: Autenticación, para asegurar que los clientes y usuarios legítimos accedan a la red via punto de acceso de confianza. Encriptación, para proporcionar privacidad y confidencialidad. Sistemas de Detección de Intrusos (IDSs) y Sistemas de Prevención de Intrusos (IPSs), para proteger de los riesgos de seguridfad y disponibilidad. La solución fundamental para seguridad inalámbrica es la Autenticación y la Encriptación para proteger la transmisión inalámbrica de datos. Estas dos soluciones de seguridad inalámbrica pueden implementarse en grados; sin embargo, ambas se aplican tanto a small office, home office (SOHO) como a redes inalámbricas de empresas grandes. Las redes inalámbricas de las empresas grandes necesitarán de seguridad adicional que es ofrecuida por un monitor IPS. IPSs actuales no solo pueden detectar ataques a las redes inalámbricas, ellos también proveen protección básica contra clientes y puntos de acceso no autorizados. Muchas redes empresariales usan IPSs para protección no del todo contra las amenazas externas, pero principalmente contra puntos de acceso mal intencionados que son instalados por los empleados que desean la movilidad y los beneficios de las wireless.
  • 5. Evolution of WLAN Security Casi tan pronto comolas primeras normasse establecieronWLAN, los Hackers comenzaron a tratar deexplotar los puntos débiles. Para hacer frente aesta amenaza, los estándares evolucionaron para proporcionar una mayor seguridad. Este tópico describe la evolución de la seguridad WLAN. Esta figura muestra la evolución de la seguridad LAN. Inicialmente, la seguridad de 802.11 definía solamente claves WEP estática de 64 bits para ambas encriptación y autenticación. El contenido actual de la clave de 64 bits, 40 bits de clave más 24 de vector de inicialización. El método de autenticación no fue potenciado. Autenticación abierta y claves compartidas es soportado. La autenticación abiertapermite la asociaciónde cualquier cliente inalámbrico. La Autenticación de clave compartida permite la autenticación de sólo clientes inalámbricos seleccionados, peroel texto de desafíoseenvía sin cifrar. Esta es la principal razón por la que la autenticación de clave compartida no es segura. Otro problema con elcifrado de clavesWEPes que las llavesestaban comprometidascon el tiempo. Las claves fueron administradas estáticamente y este método de seguridad no fue escalable para entornos de empresas grandes.Las empresas trataron decontrarrestaresta debilidadcon técnicas como elfiltrado de direcciones MAC. El SSID es el nombre de la red, parámetro y esquema configurable que el cliente y el Access point deben compartir. Si el Access Point es configurado para Broadcast su SSID, el cliente que está asociado con el Access Point esta usando el SSID que es advertido por el Access Point. Un Access Point puede ser configurado para no Broadcast el SSID (llamado SSID cloaking) para proporcionar un primer nivel de seguridad. La creencia fue que si el
  • 6. Access Point no se anuncia, será más difícil de encontrar para los hackers. Para permitir al cliente el aprendizaje del SSID del Access Point, 802.11 permiten a los clientes inalámbricos el uso de un valor nulo (es decir,no hay ningún valorintroducido en el campoSSID), por tanto, se solicita queel puntode acceso difundasu SSID. Sin embargo, esta técnica hace que el esfuerzo de la seguridad sea no efectivo debido a que los hackers necesitan solamente enviar una cadena nula hasta ellos para encontrar un Access Point. Los Access Point soportan filtrado usando una MAC address. Las tablassonconstruidasmanualmenteenel punto de accesopara permitira los clientesque se basan ensu dirección dehardware físico. Sin embargo, las direcciones MAC son fácilmente falsificadas y el Filtrado MAC address no es considerado una seguridad de futuro. Mientras que las comunidades comenzaron el proceso de mejora de la seguridad WLAN, los clientes de las empresas inalámbricas necesitaban inmediatamente seguridad para activar sus despliegues. Impulsado por la demanda de los clientes, Cisco introdujo tempranamente mejoras en las propiedades para RC4 basado en encriptación WEP. Cisco implementó el Protocolo Temporal de Integración de Claves Cisco (CKIP) claves por paquete o hashing, y Chequeo de Integridad de Mensaje Cisco (Cisco MIC) para proteger claves WEP. Cisco también adoptó 802.1X protocolo de autenticación con cable para inalámbrico y claves dinámicas usando Cisco Protocolo de Autenticación Extensivo Ligero (Cisco LEAP) para una base de datos centralizada. Este enfoque esta basado en el IEEE 802.11 tarea de grupo i end – to – end trama usando 802.1X y el Protocolo de Autenticación Extensible (EAP) para proporcionar estas mejoras funcionales. Cisco ha incorporado 802.1X y EAP en la solución para WLAN, la suite Cisco Wireless Security. Numerosos tipos de EAP están disponibles hoy en dia para autenticación de usuarios sobre redes con cables e inalámbricas. En la actualidad se incluyen los siguientes tipos de EAP: EAP – Cisco Wireless (LEAP) EAP – Transport Layer Security (EAP-TLS) Protected EAP (PEAP) EAP – Tunneled TLS (EAP-TTLS) EAP-Suscriber Identity Module (EAP-SIM) En la Arquitectura Inalámbrica Cisco SAFE, LEAP, EAP-TLS y PEAP fueron probados y documentados como protocolos de autenticación EAP mutuos viables para el despliegue de las WLAN. Poco después de la implementación de seguridad inalámbrica Cusco, la Wi-Fi Alliance introdujo Wi-Fi Protected Access (WPA) como una solución interina. WPA fue un subconjunto de las experiencias del estándar de seguridad IEEE 802.11i para WLANs utilizando Autenticación 802.1X y mejoras para encriptación WEP. Lo mas nuevo de TKIP tiene implementación de seguridad parecida a las implementaciones que son provistas por Cisco (CKIP) pero estas tres implementaciones no son compatibles. Hoy en día, 802.11i ha sido ratificado y los estándares de Encriptación Avanzad (AES) han reemplazado a WEP como el último y más seguro método de encriptación de datos. Wireless IDSs están disponibles para identificar ataques y proteger las WLAN desde ellas. La Wi-Fi Alliance certifica dispositivos 802.11i bajo Wi-Fi Protected Access 2 (WPA2).
  • 7. Wireless Client Association Este tópico describe el proceso de asociación de clientes inalámbricos. En el proceso de asociación de clientes inalámbricos, el Access Point envía una baliza anunciando uno o mas SSID, tasa de datos y otra información. El cliente escanea todos los canales y escucha por señales y respuestas desde el Access Point. Se asocia el clienteal punto de accesoque tienela señal más fuerte. Si la señal llegara a decaer, el cliente repite el escaneo para asociarse con otro Access Point. Este proceso es llamado “roaming”. Durante la asociación, el SSID, la MAC address y la configuración de seguridad son enviadas desde el cliente hacia el Access Point y es comprobado por el Access Point. La asociación de un cliente inalámbrico para un Access Point seleccionado es actualmente el segundo paso en un proceso de dos pasos. Primero, la autenticación, luego la asociación, debe ocurrir antes de que un cliente 802.11 pueda pasar tráfico a través del Access Point a otro host de la red. La autenticación del cliente en este proceso inicial no es el mismo que el de autenticación de red (que es ingresando un nombre de usuario y password para ganar acceso a la red). La autenticación del cliente es simplemente el primer paso (seguidopor la asociación) entre el cliente inalámbrico y el Access Point y simplemente establece la comunicación. El estándar 802.11 tiene especificado solamente dos métodos de autenticación: autenticación abierta y autenticación de clave compartida. La autenticación abierta es simplemente el intercambio de cuatro paquetes tipo “hello”simplementeconningún clienteo la verificacióndel punto de accesopara permitirla facilidad de conectividad. La autenticación de clave compartida usa una clave WEP estática que es conocida entre el cliente y el Access Point para verificación. Esta misma clave puede ser utilizada para encriptar el paso del dato actual entre clientes inalámbricos y el Access Point.
  • 8. How 802.1X Works on WLANs Este tópico describe cómo 802.1X proporciona seguridad adicional a las WLAN El Access Point actúa como un autenticador en la frontera de la empresa, permite al cliente la asociación utilizando autenticación abierta. El Access Point luego encapsula todo el tráfico que es obligado por el servidor AAA (Autenticación, Autorización y Accounting) y envía esto al servidor. El resto del tráfico de la red es bloqueado, significa que todos los otros intentos para acceder a los recursos de red son paralizados. Después de recibir el tráfico que es originado por el cliente, el Access Point encapsula esto y lo envía la información al cliente. Aunque el servidor autentica al cliente como un usuario válido de la red, este proceso permite al cliente para validar al servidor también, asegurando que el cliente no se logee en un servidor falso. Mientras que una red empresarial utilizará una autenticación centralizada en servidor, las oficinas pequeñas o los negocios podrían simplemente utilizar el Access Point como un servidor de Autenticación para clientes inalámbricos.
  • 9. WPA AND WPA2 Modes Este tópico describe los modos de Wi-Fi Protected Access (WPA) y Wi-Fi Protected Access 2 (WPA2). WPA proporciona soporte de autenticación vía 802.1X y clave pre compartida (PSK). 802.1X es recomendado para el despliegue de las empresas. WPA proporciona soporte de encriptación vía TKIP. TKIP incluye MIC y claves por paquetes (PPK) via vector de inicialización hashing y rotación de clave de broadcast. WPA2 (estándar 802.11i) usa la misma arquitectura de autenticación, distribución de clave y técnicas de renovación de claves como WPA. Sin embargo, WPA2 agrega mejor encriptación llamada AES-Counter con Protocolo CBC-MAC (AES-CCMP). AES-CCMP usa dos técnicas de criptografías combinadas. Una es el modo de contador y el segundo es CBC-MAC. AES-CCMP proporciona un protocolo de seguridad robusto entre los clientes inalámbricos y los Access Point. Nota: AES es una criptografía cifrada que utiliza una longitud de bloque de 128 bits y longitud de clave de 128, 192 o 256 bits. Modo Contador es un modo de operación. Modo Contador utiliza un numero que cambia con cada bloque de texto encriptado. El numero es llamado el Contador. El contador es encriptado con la cifra y el resultado entra en el texto cifrado. El Contador cambia por cada bloque y el texto cifrado no es repetido. Cipher Block Chaining-Message Authentication Code (CBC-MAC) es un método de mensaje integral. El método usa bloque cifrado como AES. Cada bloque de texto plano es encriptado con la cifra y luego con una operación AND exclusiva es conducido entre el primer y segundo bloque encriptado. Una operación XOR es luego corrida entre este resultado y el tercer bloque, etc.
  • 10. Enterprise Mode Es un término utilizado por productos que son probados para interoperar entre los modos de operación de autenticación PSK y 802.1X Pprotocolo de Autenticación Extendida (EAP). Cuando 802.1X es usado, una Autenticación, una Autorización y una Accounting (AAA) servidor es requerido para optimizar la autenticación también como clave y administrador de usuario. El Modo empresarial es dirigido para entornos empresariales. Personal Mode Es un término utilizado para productos que son probados para interoperar solamente en el modo de operación para autenticación PSK. Esto requiere configuración manual de un PSK sobre el Access Point y los clientes. El usuario se autentica con PSK via un password, o código de identificación sobre ambos la estación cliente y el Access Point. No necesita servidor de Autenticación. Modo personal esta dirigido a entornos SOHO.
  • 11. La Encriptación es el proceso de transformación de la información del texto plano para que no pueda ser leído por nadie excepto por quienes tienen la clave. El algortimo que es utilizado para encriptar la información es llamado cipher y el resultado es el texto cifrado. La Encriptación es ahora comunmente usada en la protección de la información en implementaciones WLAN. La Encriptación es también utilizada para proteger los datos en tránsito. Datos en tránsito que pueden ser interceptados y la encriptación es una opción para su proteción. Las claves WEP fueron la primera solución para encriptar y desencriptar transmisión de datos WLAN. Varias investigaciones y artículos han resaltado las vulnerabilidades potenciales de las claves WEP estáticas. Una mejora de las claves WEP estáticas fueron las claves WEP dinámicas en combinación con autenticación 802.1X. sin embargo, los Hackers tienen accesos a herramientas para conocer claves WEP. Varios mejoramientos para claves WEP fueron proporcionados. Estas mejoras WEP fueron TKIP, soporte para MIC, clave hashing por paquete y rotación de clave Broadcast. TKIP es un conjunto de mejoras de software para WEP basado en RC4. Cisco tiene una implementación propia de TKIP para comenzar. Esto fue un tiempo referido como un Cisco TKIP. En el 2002, 802.11i finalizó la especificación para TKIP y la Wi-Fi Alliance anunció que estaba siendo TKIP un componente de WPA. Cisco TKIP y el WPA TKI ambos incluyen claves por paquetes y chequeo de integridad de mensajes. Una debilidad existe en TKIP, sin embargo, este puede permitir un ataque de desencriptación de paquetes sobredeterminadas circunstancias. Una mejora para TKIP es el Estándar de Encriptación Avanzada (AES). AES es una alternativa potente para la encriptación de algoritmo RC4. AES es un algoritmo de encriptación mas seguro y ha sido estimado y aceptado por el gobierno de USA para la encriptación de ambos tipos de datos clasificados y no clasificados. AES es actualmente el mayor estándar de encriptación y reemplaza a WEP. AES ha sido desarrollado para reemplazar el estándar de encriptación de datos (DES). AES ofrece un largo tamaño de clave, mientras que asegura que solamente el acercamiento conocido para desencriptar un mensaje es por un agente externo intruso para probar todas las claves posibles. AES tiene una clave variable cuya longitud de algoritmo puede especificar una clave de 128 bits (por
  • 12. defecto), una clave de 192 bits o clave de 256 bits. El uso de WPA2 con AES es recomendado en todo momento posible. Esto, sin embargo requiere de un mayor consumo de recursos y requiere de nuevo hardware comparado con las implementaciones simples de WEP o TKIP. Si un cliente no soporta WPA2 con AES merecido por la edad del hardware o ausencia de los driver compatible, una VPN puede ser una buena solución para seguridad de la conexión del cliente sobre el aire. Seguridad IP (IPsec) y Secuire Sockets Layer (SSL) VPNs proporciona un nivel similar de seguridad como WPA2. IPsec VPNs son los servicios que están definidos dentro de IPsec para asegurar la confidencialidad, integridad y autenticidad de las comunicaciones de datos entre redes públicas, como la Internet. IPsec también tiene una aplicación práctica para asegurar WLANs por revestimiento IPsec en adición para tráfico inalámbrico de texto plano 802.11. IPsec proporciona confiabilidad de tráfico IP , asimismo como autenticación y capacidades antirepetitivas. La confiabilidad es conseguida a través de la encriptación usando una variante de DES, llamado Triple DES (3DES) o el nuvo AES.