2. La seguridad de la red es el proceso por el cual se protegen los recursos de información
digital. Los objetivos de la seguridad son mantener la integridad, proteger la
confidencialidad y asegurar la disponibilidad.
¿Qué es la seguridad?
La palabra seguridad comprende la protección contra ataques maliciosos. La seguridad
también comprende el control de los efectos de los errores y de las fallas del equipo. Todo
lo que pueda proteger contra un ataque inalámbrico probablemente evitará también otros
tipos de problemas.
3. Autenticación débil únicamente de dispositivo - Se autentican los dispositivos clientes.
Los usuarios no se autentican.
Encriptación de datos débil - Se ha probado que la Privacidad Equivalente a la Cableada
(WEP) es ineficiente como medio para encriptar datos.
No hay integridad de mensajes - Se ha probado que el Valor de Control de Integridad
(ICV) no es efectivo como medio para asegurar la integridad de los mensajes.
Cisco ha desarrollado la Suite de Seguridad Inalámbrica para proveer mejoras sólidas a
la encriptación WEP y autenticación centralizada basada en usuarios
4. Existen cuatro clases principales de amenazas a la seguridad inalámbrica:
1. Amenazas no estructuradas
2. Amenazas estructuradas
3. Amenazas externas
4. Amenazas internas
No estructuradas consisten principalmente en individuos inexpertos que están usando
herramientas de hacking disponibles fácilmente como scripts de shell y crackers de
passwords.
Las amenazas estructuradas vienen de hackers que están mucho más motivados y son
técnicamente competentes, comprender y desarrollar explotación de códigos, scripts y
programas
Las amenazas externas son individuos u organizaciones que trabajan desde el exterior
de la compañía
Las amenazas internas ocurren cuando alguien tiene acceso autorizado a la red con una
cuenta en un servidor o con acceso físico al cableado
5. Los métodos de ataques inalámbricos pueden ser divididos en tres categorías:
1. Reconocimiento
2. Ataque de acceso
3. Negación del Servicio [Denial of Service (DoS)]
Reconocimiento
mapeo no autorizado de sistemas, ejemplos claro es el reconocimiento es similar a un
ladrón que revisa un vecindario buscando casas fáciles donde entrar. En muchos
casos, los intrusos llegan tan lejos como a probar el picaporte de la puerta para descubrir
áreas vulnerables.
6. acceso autorizado normalmente se debe ejecutar un hack script o una herramienta que
explote una vulnerabilidad conocida del sistema o aplicación a ser atacada.
• Explotación de passwords débiles o no existentes
• Explotación de servicios como HTTP, FTP, SNMP, CDP y Telnet.
• El hack más fácil se llama Ingeniería Social.
7. La DoS ocurre cuando un atacante desactiva o corrompe las redes, sistemas o servicios
inalámbricos, Muchos ataques DoS contra las redes inalámbricas 802.11 han sido
teorizados. Un utilitario, llamado Wlan Jack, envía paquetes de disociación falsos que
desconectan a los clientes 802.11 del access point. Siempre que se ejecute el utilitario de
ataque, los clientes no pueden usar la WLAN. De hecho, cualquier dispositivo que opere
a 2.4 GHz o a 5 GHz puede ser usado como una herramienta DoS.
8. Proteger la red aplicando la política de seguridad y aplicación de las siguientes soluciones de
seguridad:
Autenticación, autorización y contabilidad
servidores de seguridad
red privada virtual (VPN)
Parches de vulnerabilidad
Detección de Intruso
9.
Detectar violaciones a la política de seguridad
sistema de auditoría
Detección de intrusión en tiempo real
validar la implementación de seguridad en el paso uno
10.
Validar la eficacia de la implementación de políticas de seguridad a través de la auditoría
del sistema y análisis de vulnetability
11. Utilizar información de las fases de prueba y monitor para realizar mejoras en la
aplicación de la seguridad
Ajustar la política de seguridad como las vulnerabilidades de seguridad y se identifican
los riesgos
12. Formas más antiguas de la seguridad en redes WLAN
SSID
Autenticación controlada por MAC
El SSID es una cadena de 1 a 32 caracteres del Código Estándar Norteamericano, permite
que un cliente con un SSID en blanco acceda a un access point, SSID broadcast’ envía
paquetes baliza que publican el SSID y el desactivar esto opciones no garantiza la
seguridad ya que un sniffer inalámbrico puede fácilmente capturar un SSID válido del
tráfico normal de la
WLAN.
13. El estándar WEP de IEEE 802.11 especificaba una clave de 40 bits, La mayoría de los
fabricantes han extendido el WEP a 128 bits o más. WEP está basado en un tipo de
encriptación existente y familiar, la Rivest Cipher 4 (RC4).
El estandar 802.11 proporciona dos esquemas: Cuando un cliente obtiene las claves
predeterminadas, ese cliente puede comunicarse en forma segura con todas las otras
estaciones en el subsistema. El problema con las claves predeterminadas es que cuando
llegan a estar distribuidas extensamente, es más probable que estén en peligro.
En el segundo esquema, cada cliente establece una relación de mapeo de clave con otra
estación. Esta es una forma más segura de operación, porque menos estaciones tienen las
claves.
14. En términos sencillos, una red de área local inalámbrica (WLAN) hace exactamente lo que el
nombre implica. Proporciona todas las funciones y beneficios de las tecnologías LAN
tradicionales, como Ethernet y Token Ring, pero sin las limitaciones impuestas por los
alambres o cables. De esta forma, las WLANs
redefinen la forma en la cual la industria contempla las LANs
Una WLAN, al igual que una LAN, requiere un medio físico a través del cual pasan las
señales de
transmisión. En lugar de utilizar par trenzado o cable de fibra óptica, las WLANs utilizan luz
infrarroja (IR) o
frecuencias de radio (RFs). El uso de la RF es mucho más popular debido a su mayor
alcance, mayor ancho
de banda y más amplia cobertura. Las WLANs utilizan las bandas de frecuencia de 2,4
gigahertz (GHz) y de
5 GHz. Estas porciones del espectro de RF están reservadas en la mayor parte del mundo
para dispositivos
sin licencia.
15. Conceptos básicos acerca de las ondas
Conceptos básicos acerca de las ondas EM
Espectro EM es simplemente un nombre que los científicos han otorgado al conjunto de
todos los tipos de
radiación, cuando se los trata como grupo. La radiación es energía que viaja en ondas y se
dispersa a lo
largo de la distancia. La luz visible que proviene de una lámpara que se encuentra en una
casa y las ondas
de radio que provienen de una estación de radio son dos tipos de ondas
electromagnéticas. Otros ejemplos
son las microondas, la luz infrarroja, la luz ultravioleta, los rayos X y los rayos gamma
16. Categorías de WLAN
Las WLANs son elementos o productos de la capa de acceso. Los productos WLAN se
dividen en dos categorías principales:
1. LANs inalámbricas en el interior de un edificio
2. Bridging inalámbrico de edificio a edificio
Los bridges inalámbricos permiten a dos o más redes que están físicamente separadas
conectarse en una LAN, sin el tiempo ni los gastos ocasionados por los cables dedicados o
por las líneas T1.
17. Los siguientes pasos se toman para asegurar un roaming sin fisuras:
• El cliente envía una solicitud de asociación e inmediatamente recibe una respuesta
proveniente de
todos los puntos de acceso dentro de su área de cobertura.
• El cliente decide a qué access point asociarse basándose en la calidad y en la fuerza de la señal
y
en la cantidad de usuarios asociados, y en la cantidad de saltos requeridos para llegar al
backbone.
• Una vez establecida una asociación, la dirección de Control de Acceso al Medio (MAC) del
cliente
recae en la tabla del punto de acceso seleccionado. Si el cliente encuentra dificultades, hará
roaming para otro access point. Si no se dispone de otro punto de acceso, el cliente bajará su
velocidad de transmisión de datos e intentará mantener la conexión.
• Una vez que un cliente hace roaming a otro punto de acceso, su dirección MAC recae en la
tabla
del nuevo access point, que envía un mensaje broadcast que básicamente enuncia que recibió la
"dirección MAC X".
• El access point original envía cualquier dato que tuviera para el cliente al otro punto de
acceso, que
responde enviándolo al cliente.
18. Este módulo comenzará con información acerca de la instalación y configuración básicas
de un access point
(AP). Un access point actúa como hub de comunicaciones para los usuarios de redes
inalámbricas. Un
access point puede enlazar redes cableadas e inalámbricas. El objetivo de este módulo es
hacer que el AP
se configure y comunique. Es importante mantener la configuración simple hasta lograr
la conectividad.
Posteriormente en este módulo, se tratarán configuraciones y servicios de puerto más
detallados
19. Configuración utilizando un navegador Web
Abra un navegador Web, e introduzca la dirección IP del AP en la línea de dirección del
navegador. Se
mostrará la pantalla de la página Web del AP.
Configuración utilizando Telnet
Desde un Shell DOS, tipee telnet <dirección-ip>. Utilice la dirección IP actualmente
asignada al access pointpara <dirección-ip>.
Configuración utilizando la consola
Conecte un cable serie desde la PC al access point y abra HyperTerminal. Utilice los
siguientes datos para onfigurar HyperTerminal:
• Bits por segundo (velocidad en baudios): 9600
• Bits de datos: 8
• Paridad: No parity
• Bits de parada: 1
• Control de flujo: Xon/Xoff o None
20. Esta sección describe cómo configurar la radio AP. Utilice las páginas de la Radio AP en la
página de configuración del sistema de administración, para establecer la configuración
de la radio. Las páginas de la radio incluyen las siguientes:
21. La página de la Figura se utiliza para configurar servicios de Cisco y actualizar el firmware
navegando
hasta una unidad local o utilizando FTP para actualizar el firmware desde un servidor de
archivos.Puede accederse a las siguientes configuraciones desde esta página:
• Administrar Claves de Instalación [Manage Installation Keys] se utiliza para leer
especificaciones de
la licencia de software y para instalar una nueva licencia.
• Administrar la Configuración del Sistema [Manage System Configuration] se utiliza
para reiniciar el
dispositivo, descargar un archivo de configuración o reiniciar las configuraciones según
los valores
por defecto de fábrica.
• Distribuir la Configuración a otros Dispositivos Cisco [Distribute Configuration to other
Cisco
Devices] se utiliza para enviar la configuración del dispositivo a otros dispositivos Cisco
Aironet de
su red.
• Distribuir el Firmware a otros Dispositivos Cisco [Distribute Firmware to other Cisco
Devices] se
utiliza para enviar una nueva versión del firmware a otros dispositivos Cisco Aironet de su
red.
22. CDP
CDP es un protocolo de descubrimiento de dispositivos que se ejecuta en todo el
equipamiento de red de
Cisco. La información de los paquetes CDP se utiliza en el software de administración de
redes como
CiscoWorks2000.
Utilice la página de Configuración de CDP [CDP Setup] para ajustar las configuraciones
de CDP del access
point. CDP se habilita por defecto
23. Estas porciones del espectro de RF están reservadas en la mayor parte del mundo para
dispositivos
sin licencia. El networking inalámbrico proporciona la libertad y la flexibilidad para
operar dentro de edificios
y entre edificios. A lo largo de este curso, los íconos y símbolos mostrados en las Figuras a
se utilizarán
para documentar los dispositivos y la infraestructura del networking inalámbrico.