1. 1
CCNA DISCOVERY 4.0
NETWORKING PARA EL HOGAR Y
PEQUEÑAS EMPRESAS
Capitulo 7.
Tecnologías Inalámbricas
Copyright Cisco Networking Academy
2. INDICE
7.1 Tecnologías Inalámbricas
7.1.1 Dispositivos y tecnologías inalámbricas
7.1.2 beneficios y limitaciones de la tecnología inalámbrica
7.1.3 Tipos de redes inalámbricas y sus líneas divisorias
7.2 LAN inalámbricas
7.2.1 Estándares
7.2.2 Componentes de una LAN inalámbrica
7.2.3 WLAN y SSID
7.2.4 Canales Inalámbricos
7.2.5 Configuración punto de acceso
7.2.6 Configuración del Cliente inalámbrico
7.3 Consideraciones de seguridad en una red inalámbrica
7.3.1 Por que son atacadas las WLAN
7.3.2 Limitación del acceso a una WLAN
7.3.3 Autenticación en una WLAN
7.3.4 Encriptación en una WLAN
7.3.5 Filtrado de trafico en una WLAN
7.4 Configuración de un AP integrado y un cliente inalámbrico
7.4.1 Planificación de la WLAN
7.4.2 Instalación y seguridad del AP
7.4.3 Creación de copias de seguridad y restauración de archivos de
configuración
7.4.4 Actualización de firmware
Laboratorios Prácticos
Actividades
2
3. 7.1 Tecnologías Inalámbricas
7.1.1 Dispositivos y tecnologías inalámbricas
Además de la red conectada por cable, existen varias tecnologías que
permiten la transmisión de información entre hosts sin cables. Esas
tecnologías se conocen como tecnologías inalámbricas.
Las tecnologías inalámbricas utilizan ondas electromagnéticas para
transportar información entre dispositivos. Una onda electromagnética es el
mismo medio que transporta señales de radio por aire.
El espectro electromagnético incluye bandas de transmisión de radio y
televisión, luz visible, rayos X y rayos gama. Cada uno de estos elementos
tiene un rango específico de longitud de onda y energías asociadas, como
se muestra en el diagrama.
Algunos tipos de ondas electromagnéticas no son adecuados para
transportar datos. Otras partes del espectro están reguladas por los
Gobiernos y se otorgan licencias para aplicaciones específicas a varias
organizaciones. Algunas áreas del espectro se han reservado al uso público,
sin la restricción de tener que solicitar permisos especiales. Las longitudes
de onda más utilizadas para comunicaciones inalámbricas públicas son la
infrarroja y parte de la banda de radiofrecuencia (RF).
Infrarrojo
La energía infrarroja (IR) es una energía relativamente baja y no puede
atravesar paredes ni obstáculos. Sin embargo, se usa comúnmente para
conectar y transportar datos entre dispositivos como asistentes digitales
personales (PDA, personal digital assistants) y PC. Un puerto de
comunicación especializado, conocido como puerto de acceso directo
infrarrojo (IrDA, infrared direct access) utiliza el infrarrojo para intercambiar
3
4. información entre dispositivos. La tecnología IR sólo permite un tipo de
conexión uno a uno.
La IR también se utiliza para los dispositivos de control remoto, los mouses
inalámbricos y los teclados inalámbricos. Generalmente se utiliza para
comunicaciones de corto rango dentro de la línea de vista. Sin embargo, se
puede reflejar la señal de IR desde los objetos para ampliar el rango. Para
rangos mayores se requieren frecuencias mayores de ondas
electromagnéticas.
Radiofrecuencia (RF)
Las ondas de RF pueden atravesar paredes y otros obstáculos, lo que brinda
un mayor rango que el IR.
Ciertas áreas de bandas de RF se han reservado para el uso de parte de
dispositivos sin licencia, como las LAN inalámbricas, los teléfonos
inalámbricos y los periféricos para computadora. Esto incluye los rangos de
frecuencia de 900 MHz, 2,4 GHz y 5 GHz. Estos rangos se conocen como
bandas industriales, científicas y médicas (ISM, industrial scientific and
medical) y pueden usarse con muy pocas restricciones.
Bluetooth es una tecnología que utiliza la banda de 2,4 GHz. Se limita a
comunicaciones de baja velocidad y corto rango, pero tiene la ventaja de
comunicarse con muchos dispositivos al mismo tiempo. Estas
comunicaciones de uno a varios dispositivos han hecho que la tecnología
Bluetooth sea el método preferido por sobre IR para conectar periféricos de
computadora, como mouse, teclados e impresoras.
Otras tecnologías que utilizan las bandas de 2,4 GHz y 5 GHz son las
modernas tecnologías LAN inalámbricas que cumplen con los distintos
estándares IEEE 802.11. Son distintas a la tecnología Bluetooth ya que
transmiten con un nivel de energía mucho más alto, lo que les otorga un
rango aún mayor.
Actividad
Clasifique el problemas de acuerdo con la parte de la red con la que puede
estar asociado: IR, RF o Bluetooth.
7.1.2 beneficios y limitaciones de la tecnología inalámbrica
La tecnología inalámbrica ofrece muchas ventajas en comparación con las
tradicionales redes conectadas por cable.
Una de las principales ventajas es la capacidad de brindar conectividad en
cualquier
momento y lugar.
La extendida
implementación
de la conexión
inalámbrica en
lugares públicos,
conocidos como
puntos de
conexión, permite
a las personas
conectarse a
Internet para
4
5. descargar información e intercambiar mensajes de correo electrónico y
archivos.
La instalación de la tecnología inalámbrica es simple y económica. El costo
de dispositivos inalámbricos domésticos y comerciales continúa
disminuyendo. Sin embargo, a pesar de la disminución del costo, las
capacidades y la velocidad de transmisión de datos han aumentado, lo que
permite conexiones inalámbricas más confiables y rápidas.
La tecnología inalámbrica permite que las redes se amplíen fácilmente, sin
limitaciones de conexiones de cableado. Los usuarios nuevos y los visitantes
pueden unirse a la red rápida y fácilmente.
A pesar de la flexibilidad y los beneficios de la tecnología inalámbrica,
existen algunos riesgos y limitaciones.
Primero, las
tecnologías LAN
inalámbricas (WLAN,
Wireless LAN) utilizan
las regiones sin
licencia del espectro
de RF. Dado que
estas regiones no
están reguladas,
muchos dispositivos
distintos las utilizan.
Como resultado, estas
regiones están
saturadas y las señales de distintos dispositivos suelen interferir entre sí.
Además, muchos dispositivos, como los hornos de microondas y los
teléfonos inalámbricos, utilizan estas frecuencias y pueden interferir en las
comunicaciones WLAN.
En segundo lugar, un área problemática de la tecnología inalámbrica es la
seguridad. La tecnología inalámbrica brinda facilidad de acceso, ya que
transmite datos de manera que otorga a todos los usuarios la capacidad de
acceder a ella. Sin embargo, esta misma característica también limita la
cantidad de protección que la conexión inalámbrica puede brindar a los
datos. Permite a cualquier persona interceptar la corriente de comunicación,
incluso a los receptores accidentales. Pata tratar estas cuestiones de
seguridad se han desarrollado técnicas para ayudar a proteger las
transmisiones inalámbricas, por ejemplo la encriptación y la autenticación.
7.1.3 Tipos de redes inalámbricas y sus líneas divisorias
Las redes inalámbricas se agrupan en tres categorías principales: redes de
área personal inalámbricas (WPAN), redes de área local inalámbricas
(WLAN) y redes de área extensa inalámbricas (WWAN).
A pesar de
estas
categorías
definidas
es difícil
fijar líneas
divisoras
en una
5
6. implementación inalámbrica. Esto sucede porque, a diferencia de una red
conectada por cable, las redes inalámbricas no tienen límites precisamente
definidos. El rango de transmisiones inalámbricas puede variar debido a
distintos factores. Las redes inalámbricas son vulnerables a las fuentes
externas de interferencias, tanto naturales como generadas por el hombre.
Las fluctuaciones de temperatura y humedad pueden alterar en gran medida
la cobertura de las redes inalámbricas. Los obstáculos dentro de un entorno
inalámbrico también pueden afectar el rango.
WPAN
Es la red inalámbrica más pequeña, utilizada para conectar varios
dispositivos periféricos, como mouse, teclados y PDA, a una computadora.
Todos estos dispositivos están dedicados a un solo host, generalmente
mediante la tecnología Bluetooth o IR.
WLAN
La WLAN se usa generalmente para ampliar los límites de la red de área
local (LAN, local wired network). Las WLAN usan la tecnología RF y cumplen
con los estándares IEEE 802.11. Permiten a muchos usuarios conectarse a
una red conectada por cable mediante un dispositivo conocido como punto
de acceso (AP). El punto de acceso proporciona una conexión entre los
hosts inalámbricos y los hosts en una red Ethernet conectada por cable.
WWAN
Las redes WWAN proporcionan cobertura en áreas extremadamente
grandes. Un buen ejemplo de esta tecnología WWAN es la red por teléfono
celular. Estas redes utilizan tecnologías como el acceso múltiple por división
de código (CDMA, Code Division Multiple Access) o el sistema global para
comunicaciones móviles (GSM, Global System for Mobile Communication) y
están generalmente reguladas por entidades gubernamentales.
Actividad
Clasifique cada esceneario según el tipo de red
7.2 LAN inalámbricas
7.2.1 Estándares
Se ha desarrollado una cantidad de estándares para garantizar que los
dispositivos inalámbricos puedan comunicarse. Éstos especifican el espectro
de RF usado, las velocidades de transmisión de datos, la manera en que se
transmite la información y otras cuestiones. La principal organización
responsable de la creación de los estándares técnicos inalámbricos es IEEE.
El estándar IEEE 802.11 rige el entorno WLAN. Existen cuatro enmiendas al
estándar IEEE 802.11 que describen diferentes características para las
comunicaciones inalámbricas. Las enmiendas actualmente disponibles son
802.11a, 802.11b, 802.11g y 802.11n (802.11n no está ratificada en el
momento de escribir este documento). Estas tecnologías se conocen
grupalmente con el nombre Wi-Fi, amplia fidelidad.
Otra organización, conocida como Wi-Fi Alliance, es responsable de probar
los dispositivos LAN inalámbricos de distintos fabricantes. El logotipo Wi-Fi
en un dispositivo significa que ese equipo cumple los estándares y debe
interoperar con otros dispositivos del mismo estándar.
802.11a:
• Usa el espectro de RF de 5 GHz.
• No es compatible con el espectro de 2,4 GHz, es decir, dispositivos
802.11b/g/n.
• El rango es aproximadamente un 33% del rango de 802.11 b/g.
• Su implementación resulta relativamente cara comparada con otras
tecnologías.
• Es cada vez más difícil encontrar un equipo 802.11a compatible.
802.11b:
• Primera de las tecnologías de 2,4 GHz.
• Máximo de velocidad de transmisión de datos de 11 Mbps.
• Rango de aproximadamente 46 m (150 pies) en interiores/96 m (300
pies) en exteriores.
6
7. 802.11g:
• Tecnologías de 2,4 GHz.
• Máximo aumento de velocidad de transmisión de datos de 54 Mbps.
• Algunos rangos compatibles con 802.11b.
• Compatible con 802.11b.
802.11n:
• El más nuevo de los estándares en desarrollo.
• Tecnologías de 2,4 GHz (el estándar borrador especifica
compatibilidad con 5 GHz).
• Extiende el rango y la rendimiento.
• Compatible con equipos 802.11g y 802.11b existentes (el estándar
borrador especifica compatibilidad con 802.11a).
7.2.2 Componentes de una LAN inalámbrica
Una vez que se adopta un estándar, es importante que todos los
componentes dentro de la WLAN lo cumplan, o que al menos sean
compatibles con ese estándar. Existen varios componentes que deben
tenerse en cuenta en WLAN, incluidos: un cliente inalámbrico o STA, punto
de acceso, bridge inalámbrico y una antena.
7
8. Antenas:
• Usadas en AP (puntos de acceso) y bridges inalámbricos.
• Aumentan la potencia de la señal de salida.
• Reciben señales inalámbricas de otros dispositivos como STA.
• El aumento en la potencia de la señal desde una antena se conoce
como ganancia.
• Mayores ganancias se traducen en distancias de transmisión
mayores.
Las antenas se
clasifican según la
manera en que
irradian la señal. Las
antenas
direccionales
concentran la
potencia de la señal
en una dirección.
Las antenas
omnidireccionales
están diseñadas
para emitir de igual
manera en todas las
direcciones.
Al concentrar toda la
señal en una sola dirección, las antenas direccionales pueden obtener
mayores distancias de transmisión. Las antenas direccionales se usan
generalmente en aplicaciones de bridge, mientras que las antenas
omnidireccionales se encuentran en AP.
Actividad
Una el componente de WLAN con su función
7.2.3 WLAN y SSID
Cuando se genera una red inalámbrica es importante que los componentes
inalámbricos se conecten a la WLAN apropiada. Esto se realiza mediante un
identificador del servicio (SSID, Service Set Identifier).
El SSID es una
cadena alfanumérica
que distingue entre
mayúsculas y
minúsculas y consta
de hasta 32
caracteres. Se envía
en el encabezado de
todas las tramas
transmitidas por la
WLAN. El SSID se
utiliza para comunicar
a los dispositivos
inalámbricos a qué
WLAN pertenecen y
con qué otros
dispositivos pueden
comunicarse.
Independientemente del tipo de instalación WLAN, todos los dispositivos
inalámbricos en una WLAN pueden configurarse con el mismo SSID a fin de
poder realizar la comunicación.
Existen dos tipos básicos de instalaciones WLAN: ad hoc y modo de
infraestructura.
Ad hoc
La manera más simple de red inalámbrica se crea al conectar dos o más
clientes inalámbricos en una red peer-to-peer. Una red inalámbrica
establecida de esta manera se conoce como red ad-hoc y no incluye AP.
8
9. Todos los clientes dentro de una red ad-hoc son iguales. El área cubierta por
esta red se conoce como conjunto de servicios básicos independientes
(IBSS, Independent Basic Service Set). Una red ad-hoc simple puede
utilizarse para intercambiar archivos e información entre dispositivos sin el
gasto ni la complejidad de comprar y configurar un AP.
Modo de infraestructura
A pesar de que una configuración ad-hoc puede ser buena para redes
pequeñas, las redes más grandes requieren un solo dispositivo que controle
las comunicaciones en la celda inalámbrica. Si está presente, un AP puede
asumir este rol y controlar quién puede hablar y cuándo. Esto se conoce
como modo de infraestructura y es el modo de comunicación inalámbrica
más usado en los entornos domésticos y comerciales. En esta forma de
WLAN, las STA inalámbricas no pueden comunicarse directamente entre sí.
Para comunicarse, cada dispositivo debe obtener un permiso de un AP. El
AP controla todas las comunicaciones y garantiza que todas las STA tengan
igual acceso al medio. El área cubierta por un solo AP se conoce como un
conjunto de servicios básicos (BSS, Basic Service Set) o celda.
El conjunto de servicios básicos (BSS, Basic Service Set) es el elemento
básico más pequeño de una WLAN. El área de cobertura de un solo AP es
limitado. Para ampliar el área de cobertura, se pueden conectar varios BSS
mediante un sistema de distribución (DS). Esto forma un conjunto de
servicios extendidos (ESS, Extended Service Set). Un ESS utiliza varios AP.
Cada AP es un BSS separado.
A fin de permitir el movimiento entre las celdas sin que se pierda señal, los
BSS deben superponerse en aproximadamente un 10%. Esto le permite al
cliente conectarse a un segundo AP antes de desconectarse del primero.
La mayoría de los entornos domésticos y comerciales consiste en un solo
BSS. Sin embargo, a medida que el área de cobertura requerida y el número
de hosts que necesitan conectarse aumenta, se debe crear un ESS.
Actividad
Configure un identificador en un AP utilizando la interfaz de la GUI.
7.2.4 Canales Inalámbricos
Independientemente de si los clientes inalámbricos se están comunicando
con IBSS, BSS o ESS, la conversación entre el emisor y el receptor debe
controlarse. Una manera de lograrlo es el uso de Canales.
Los canales se crean al dividir el espectro de RF disponible. Cada canal
puede transportar una conversación diferente. Esto es similar a la manera en
que los distintos canales de televisión se transmiten por un único medio.
Varios AP pueden funcionar muy cerca unos de otros siempre que utilicen
diferentes canales para la comunicación.
9
10. Lamentablemente, es posible que las frecuencias utilizadas por algunos
canales se superpongan con las utilizadas por otros. Diferentes
conversaciones deben realizarse en canales no superpuestos. La cantidad y
la distribución de canales varían según la región y la tecnología. La selección
de un canal usado para una conversación específica puede configurarse
manual o automáticamente, según factores como el uso actual y el
rendimiento disponible.
Normalmente, cada conversación inalámbrica utiliza un canal individual.
Algunas de las más nuevas tecnologías combinan los canales para crear un
solo canal amplio, que proporciona más ancho de banda y aumenta la
velocidad de transmisión de datos.
Dentro de una WLAN, la falta de límites bien definidos hace imposible
detectar si se producen colisiones durante una transmisión. Por lo tanto es
necesario usar un método de acceso en una red inalámbrica que garantice
que no se produzcan dichas colisiones.
Las tecnologías inalámbricas utilizan un método de acceso denominado
acceso múltiple por detección de portadora con prevención de colisiones
(CSMA/CA, Carrier Sense Multiple Access with Collision Avoidance).
CSMA/CA crea una reserva en el canal para que sea utilizada por una
conversación específica. Cuando existe una reserva ningún otro dispositivo
puede transmitir en el canal, por lo que se evitan posibles colisiones.
¿Cómo funciona este proceso de reserva? Si un dispositivo requiere el uso
de un canal específico de comunicación en un BSS, debe solicitar permiso al
AP. Esto se conoce como solicitud para enviar (RTS, Request to Send). Si el
canal se encuentra disponible, el AP responderá al dispositivo con el
mensaje de listo para enviar (CTS, Clear to Send), que indica que el
dispositivo puede transmitir por el canal. El mensaje CTS se transmite a
todos los dispositivos dentro del BSS. Por lo tanto todos los dispositivos en
el BSS saben que el canal solicitado está ahora en uso.
Una vez que la conversación se completa, el dispositivo que solicitó el canal
envía otro mensaje, conocido como acuse de recibo (ACK,
Acknowledgement) a un AP. El ACK indica al AP que el canal puede
liberarse. Este mensaje se transmite a todos los dispositivos dentro de la
WLAN. Todos los dispositivos dentro del BSS reciben ACK y saben que el
canal está nuevamente disponible.
Actividad
Configure los canales usados por un AP utilizando la interfaz de la GUI.
7.2.5 Configuración punto de acceso
Una vez que se eligieron el estándar, la configuración y la asignación de
canales inalámbricos, es hora de configurar el AP.
La mayoría de los routers integrados ofrece conectividad por cable o
inalámbrica y sirve como AP en la red inalámbrica. Las configuraciones
básicas (como contraseñas, direcciones IP y configuraciones DHCP) son las
mismas, independientemente de si el dispositivo se utiliza para conectar
hosts con cable o host inalámbricos. Las tareas de configuración básicas,
como cambiar la contraseña por defecto, se deben realizar antes de que el
AP se conecte a una red activa.
10
11. Cuando se utiliza la función inalámbrica de un router integrado se requieren
parámetros de configuración adicionales, como la configuración de un modo
inalámbrico, SSID, y canales inalámbricos para utilizar.
Modo inalámbrico
La mayoría de los
dispositivos AP
domésticos puede admitir
varios modos,
principalmente 802,11g,
802.11g y 802.11n. A
pesar de que todos estos
modos utilizan el rango
de 2,4 GHz, cada uno
usa una tecnología
diferente para obtener el
máximo rendimiento. El
tipo de modo habilitado
en el AP depende del
tipo de host que se
conecte a él. Si sólo se conecta un tipo de host al dispositivo AP, configure el
modo que lo admita. Si se van a conectar distintos tipos de host, seleccione
el modo Mixto. Cada modo incluye cierta cantidad de gasto. Al habilitar el
modo Mixto, el rendimiento de la red disminuirá debido al gasto en el que se
habrá incurrido para admitir todos los modos.
SSID
El SSID se utiliza para identificar la WLAN. Todos los dispositivos que
deseen participar en la WLAN deben tener el mismo SSID. Para permitir una
fácil detección de la WLAN por parte de los clientes se transmite el SSID. Se
puede deshabilitar la característica de transmisión del SSID. Si no se
transmite el SSID los clientes inalámbricos necesitarán configurar este valor
manualmente.
Canal inalámbrico
La elección del canal para un AP debe estar relacionada con las otras redes
inalámbricas que lo rodean. Los BSS adyacentes deben utilizar canales que
no se superpongan a fin de optimizar el rendimiento. La mayoría de los AP
actualmente ofrece una opción de configuración manual del canal o permite
al AP localizar automáticamente el canal menos saturado o el que ofrezca el
máximo rendimiento.
Actividad de laboratorio Practico
Configure una función inalámbrica básica en un AP utilizando la interfaz de
la GUI.
7.2.6 Configuración del Cliente inalámbrico
Un host inalámbrico o STA se define como cualquier dispositivo que
contenga una NIC inalámbrica y un software cliente inalámbrico. Este
software cliente le permite al hardware participar en la WLAN. Los
dispositivos que son STA incluyen: computadoras portátiles, PDA,
computadoras de escritorio, impresoras, proyectores y teléfonos Wi-Fi.
11
12. A fin de que una STA se conecte a la WLAN, la configuración del cliente
debe coincidir con la del AP. Esto incluye el SSID, las configuraciones de
seguridad y la información del canal, si éste se configuró manualmente en el
AP. Estas configuraciones están especificadas en el software cliente que
administra la conexión cliente.
El software cliente inalámbrico utilizado puede estar integrado por software
al sistema operativo del dispositivo o puede ser un software de utilidad
inalámbrica, independiente y descargable, diseñado específicamente para
interactuar con la NIC inalámbrica.
Software integrado de utilidad inalámbrica
El software cliente inalámbrico de Windows XP es un ejemplo de una utilidad
inalámbrica cliente popular que se incluye como parte del sistema operativo
del dispositivo. El software cliente es un software básico de administración
que puede controlar la mayoría de las configuraciones cliente inalámbricas.
Es fácil de usar y ofrece un proceso de conexión simple.
Software de utilidad inalámbrica independiente
El software de utilidad inalámbrica, como el suministrado con la NIC
inalámbrica, está diseñado para funcionar con esa NIC específica.
Generalmente ofrece funcionalidad mejorada en comparación con el
software de utilidad inalámbrica de Windows XP e incluye las siguientes
características:
Información de enlace: muestra la potencia y la calidad actuales de una
única red inalámbrica
Perfiles: permite opciones de configuración, como el canal y el SSID que se
especificarán para cada red inalámbrica
Relevamiento del sitio: permite la detección de todas las redes inalámbricas
cercanas
No se permite al software de utilidad inalámbrica y al software cliente
de Windows XP administrar la conexión inalámbrica al mismo tiempo.
Para la mayoría de las situaciones Windows XP no es suficiente. Sin
embargo, si se deben crear perfiles múltiples para cada red
inalámbrica, o si son necesarias configuraciones avanzadas, es mejor
usar la utilidad provista con la NIC.
Una vez que se configure el software cliente, verifique el enlace entre el
cliente y el AP.
Abra la pantalla de información del enlace inalámbrico para mostrar datos
como la velocidad de transmisión de datos de la conexión, el estado de
conexión y el canal inalámbrico usado. Si está disponible, la característica
Información de enlace muestra la potencia de señal y la calidad de la señal
inalámbrica actuales.
Además de verificar el estado de la conexión inalámbrica, verifique que los
datos puedan transmitirse. Una de las pruebas más comunes para verificar
si la transmisión de datos se realizó correctamente es la prueba de ping. Si
el ping se realiza correctamente se puede realizar la transmisión de datos.
Si el ping no se realiza correctamente de origen a destino haga ping en el AP
desde el cliente
inalámbrico para
garantizar que la
conectividad
inalámbrica esté
disponible. Si esto
también falla, el
problema se
encuentra entre el
cliente inalámbrico y el
AP. Controle la
información de
configuración y pruebe restablecer la conectividad.
12
13. Si el cliente inalámbrico puede conectarse correctamente al AP, controle la
conectividad desde el AP hasta el siguiente salto en la ruta hacia el destino.
Si esto se realiza correctamente, entonces el problema seguramente no está
en la configuración del AP sino en otro dispositivo de la ruta hacia el destino
o en el dispositivo de destino.
Actividad de laboratorio
Configure un cliente inalámbrico para que se conecte al AP configurado
previamente y verifique la conectividad.
13
14. 7.3 Consideraciones de seguridad en una red inalámbrica
7.3.1 Por que son atacadas las WLAN
Uno de los beneficios principales de una red inalámbrica es la facilidad y
conveniencia de conectar dispositivos. Lamentablemente, esa facilidad de
conexión y el hecho de que la información se transmita por aire también
hacen que su trabajo sea vulnerable a la intercepción y a los ataques.
Con la conectividad inalámbrica, el atacante no necesita una conexión física
a su computadora ni a cualquier otro dispositivo para tener acceso a su red.
Un atacante puede captar las señales de su red inalámbrica como si
sintonizara una estación de radio.
El atacante puede tener acceso a su red desde cualquier ubicación a la que
llegue su señal inalámbrica. Una vez que el atacante posee acceso a su red
puede usar sus servicios de Internet de manera gratuita y puede tener
acceso a las computadoras de la red para dañar sus archivos o robar
Estos puntos vulnerables en la red inalámbrica requieren métodos de
implementación y características de seguridad especiales para ayudarlo a
proteger la WLAN contra los ataques. Estos métodos incluyen sencillos
pasos realizados durante la configuración inicial del dispositivo inalámbrico y
configuraciones de seguridad más avanzadas.información personal o
privada.
Una fácil manera de obtener acceso a una red inalámbrica es utilizar el
nombre de la red o SSID.
Todas las computadoras que se conecten a una red inalámbrica deben
conocer el SSID. Por defecto, los routers inalámbricos y los AP transmiten el
SSID a todas las computadoras dentro del rango inalámbrico. Con el
broadcast de SSID activado, cualquier cliente inalámbrico puede detectar la
red y conectarse a ella, si no existen otras características de seguridad.
La función de broadcast de SSID puede desactivarse. Cuando está
desactivada, ya no se hace público el hecho de que existe una red.
Cualquier computadora que intente conectarse a una red debe conocer el
SSID.
Además, es importante cambiar las configuraciones por defecto. Los
dispositivos inalámbricos se envían preconfigurados con SSID, contraseña y
direcciones IP. Estos valores por defecto facilitan la identificación y la
infiltración en la red por parte de un atacante.
Incluso con el broadcast de SSID desactivado se puede entrar a una red
utilizando el conocido SSID por defecto. Además, si otras configuraciones
por defecto, como contraseñas y direcciones IP, no se cambian, los
atacantes pueden tener acceso a un AP y hacer cambios por su cuenta. La
información por defecto debe cambiarse por otra más segura y exclusiva.
14
15. Estos cambios, por sí mismos, no protegerán su red. Por ejemplo: los SSID
se transmiten en texto sin cifrar. Existen dispositivos que interceptarán las
señales inalámbricas y leerán mensajes de texto sin cifrar. Incluso con el
broadcast de SSID desactivado y los valores por defecto cambiados, los
atacantes pueden conocer el nombre de una red inalámbrica mediante el
uso de estos dispositivos que interceptan señales inalámbricas. Esta
información se utilizará para la conexión a la red. Para proteger la WLAN, se
necesita una combinación de varios métodos.
7.3.2 Limitación del acceso a una WLAN
Una manera de limitar el acceso a una red inalámbrica es controlar
exactamente qué dispositivos pueden obtener acceso a ella. Esto puede
lograrse mediante el filtrado de la dirección MAC.
Filtrado de dirección MAC
El filtrado de direcciones MAC utiliza la dirección MAC para identificar qué
dispositivos pueden conectarse a la red inalámbrica. Cuando un cliente
inalámbrico intenta conectarse o asociarse con un AP envia la información
de la dirección
MAC. Si está
activado el
filtrado MAC,
el router
inalámbrico o
el AP
buscarán la
dirección MAC
en una lista
preconfigurada. Sólo los dispositivos con direcciones MAC pregrabadas en
la base de datos del router podrán conectase.
Si la dirección MAC no se encuentra en la base de datos, el dispositivo no
podrá conectarse ni comunicarse a través de la red inalámbrica.
Existen algunos problemas con este tipo de seguridad. Por ejemplo: requiere
que se incluyan en la base de datos las direcciones MAC de todos los
dispositivos que tendrán acceso a la red antes de que se intente la conexión.
No podrá conectarse un dispositivo que no esté identificado en la base de
datos. Además, el dispositivo de un atacante puede clonar la dirección MAC
de otro dispositivo que tiene acceso.
7.3.3 Autenticación en una WLAN
Otra manera de controlar quién puede conectarse es implementar la
autenticación. La autenticación es el proceso de permitir la entrada a una red
sobre la base de un conjunto de credenciales. Se utiliza para verificar que el
dispositivo que intenta conectarse a la red sea confiable.
El uso de un nombre de usuario y una contraseña es la manera más común
de autenticación. En un entorno inalámbrico, la autenticación garantiza que
el host conectado se verifique, pero realiza el proceso de verificación de una
manera un tanto diferente. La autenticación, si está activada, debe
producirse antes de que el cliente obtenga el permiso para conectarse a la
WLAN. Existen tres tipos de métodos de autenticación inalámbrica:
autenticación abierta, PSK y EAP.
Autenticación abierta
Por defecto, los dispositivos inalámbricos no requieren autenticación.
Cualquier cliente puede asociarse, independientemente de quién sea. Esto
se denomina autenticación abierta. La autenticación abierta sólo debe
usarse en redes inalámbricas públicas, como las encontradas en muchas
escuelas y restaurantes. También puede usarse en redes donde la
autenticación se realiza por otros medios una vez que se conecta a la red.
Claves precompartidas (PSK, Pre-shared keys)
Con las PSK, tanto el AP como el cliente deben configurarse con la misma
clave o palabra secreta. El AP envía una cadena de bytes aleatoria al
cliente. El cliente acepta la cadena, la encripta (o codifica) según la clave, y
la envía nuevamente al AP. El AP recibe la cadena encriptada y usa la clave
para descifrarla (o decodificarla). Si la cadena descifrada recibida del cliente
15
16. coincide con la cadena original enviada al cliente, éste puede conectarse.
La PSK realiza una autenticación de una vía, es decir, el host se autentica
ante el AP. La PSK no autentica el AP ante el host; tampoco autentica el
usuario real del host.
Protocolo de autenticación extensible (EAP, Extensible Authentication
Protocol)
El EAP proporciona autenticación mutua, o de dos vías, además de la
autenticación del usuario. Cuando el software EAP se instala en el cliente,
éste se comunica con un servidor de autenticación de back-end, como el
servicio de usuario de acceso telefónico de autenticación remota (RADIUS,
Remote Authentication Dial-in User Service). Este servidor back-end
funciona independientemente del AP y mantiene la base de datos de
usuarios válidos que pueden tener acceso a la red. Cuando se utiliza el EAP,
el usuario (no sólo el host) debe proporcionar un nombre de usuario y una
contraseña, que se comparan con la base de datos de RADIUS, para
obtener la validación. Si son válidos, el usuario obtiene la autenticación.
Una vez que se habilita la autenticación, independientemente del método
utilizado, el cliente debe pasar la autenticación correctamente antes de
asociarse con el AP. Si se habilitan la autenticación y el filtrado de la
dirección MAC, la autenticación se produce primero.
Una vez que la autenticación se realiza correctamente, el AP compara la
dirección MAC con la tabla de direcciones MAC. Una vez realizada la
verificación, el AP agrega las direcciones MAC del host a la tabla del host.
En ese momento se dice que el cliente está asociado con el AP y puede
conectarse a la red.
7.3.4 Encriptación en una WLAN
La autenticación y el filtrado MAC pueden evitar que un atacante se conecte
a una red inalámbrica, pero no evitarán que intercepte los datos transmitidos.
Dado que no existen límites distintivos en una red inalámbrica y que el tráfico
se transmite por aire, es fácil para un atacante interceptar o detectar tramas
inalámbricas. La encriptación es el proceso de transformar datos de manera
que, aunque sean interceptados, queden inutilizables.
Protocolo de
equivalencia por
cable (WEP,
Wired Equivalency
Protocol)
16
17. El protocolo de equivalencia por cable (WEP) es una característica avanzada
de seguridad que encripta el tráfico de la red a medida que éste se desplaza
por el aire. El WEP utiliza claves preconfiguradas para encriptar y descifrar
datos.
Una clave WEP se introduce como una cadena de números y letras, y
generalmente consta de 64 ó 128 bits. En algunos casos, el WEP admite
también claves de 256 bits. Para simplificar la creación y la introducción de
estas claves, muchos dispositivos incluyen la opción por contraseña. La
opción por contraseña es una fácil manera de recordar la palabra o frase
usada para generar automáticamente una clave.
A fin de que el WEP funcione, el AP (y cualquier otro dispositivo inalámbrico
que tenga habilitado el acceso a la red) deberá tener la misma clave WEP
introducida. Sin esta clave, los dispositivos no podrán comprender las
transmisiones inalámbricas.
El WEP es una excelente manera de evitar que los atacantes intercepten
datos. Sin embargo, existen puntos débiles dentro del WEP, por ejemplo el
uso de una clave estática en todos los dispositivos con WEP habilitado.
Existen aplicaciones disponibles que los atacantes pueden utilizar para
descubrir la clave WEP. Estas aplicaciones se encuentran disponibles
fácilmente en Internet. Una vez que el atacante ha extraído la clave, tiene
acceso completo a toda la información transmitida.
Una manera de superar este punto débil es cambiar la clave frecuentemente.
Otra manera es usar una forma de encriptación más avanzada y segura,
conocida como acceso protegido Wi-Fi (WPA, Wi-Fi Protected Access).
Acceso protegido Wi-Fi (WPA)
El WPA también utiliza claves de encriptación de 64 a 256 bits. Sin embargo,
el WPA, a diferencia del WEP, genera nuevas claves dinámicas cada vez
que un cliente establece una conexión con el AP. Por esta razón el WPA se
considera más seguro que el WEP, ya que es mucho más difícil de
decodificar.
Actividad
Configure la encriptación utilizando la interfaz de la GUI de Linksys.
7.3.5 Filtrado de trafico en una WLAN
Además de controlar quién puede obtener acceso a una WLAN y quién
puede usar los datos transmitidos, también es importante controlar los tipos
de tráfico que se transmiten en una WLAN. Esto se logra mediante el filtrado
de tráfico.
El filtrado de tráfico bloquea el tráfico no deseado y evita que entre en la red
inalámbrica o salga de ella. El AP realiza el filtrado a medida que el tráfico
pasa a través de él. Puede utilizarse para eliminar el tráfico desde una
dirección IP o MAC específica, o hacia ella. También puede bloquear ciertas
aplicaciones por número de puerto. Al quitar de la red el tráfico no deseado y
sospechoso, el ancho de banda se destina al movimiento de tráfico
importante y mejora el rendimiento de la WLAN. Por ejemplo: el filtrado de
tráfico puede utilizarse para bloquear todo el tráfico telnet destinado a una
máquina en especial, como el servidor de autenticación. Cualquier intento de
hacer telnet al servidor de autenticación se considerará sospechoso y se
17
19. 7.4 Configuración de un AP integrado y un cliente inalámbrico
7.4.1 Planificación de la WLAN
Cuando se implementa una solución de red inalámbrica es importante
planificar antes de realizar cualquier instalación. Por ejemplo:
• Determinar el tipo de estándar inalámbrico que se utilizará
• Determinar la configuración de dispositivos más eficaz
• Realizar un plan de seguridad e instalación
• Planificar una estrategia para realizar copias de seguridad y
actualizar el firmware de los dispositivos inalámbricos.
Estándar inalámbrico
Se deben considerar varios factores a la hora de determinar qué estándar
WLAN utilizar. Los factores más comunes incluyen: requerimientos de ancho
de banda, áreas de cobertura, implementaciones existentes y costo. Esta
información se reúne al determinar los requerimientos del usuario final.
La mejor manera de conocer los requerimientos del usuario final es realizar
preguntas.
• ¿Qué rendimiento requieren actualmente las aplicaciones que se
ejecutan en la red?
• ¿Cuántos usuarios tendrán acceso a la WLAN?
• ¿Cuál es el área de cobertura necesaria?
• ¿Qué es la estructura de red existente?
• ¿Cuál es el presupuesto?
El ancho de banda disponible en el BSS debe compartirse entre todos los
usuarios de ese BSS. Incluso si las aplicaciones no requieren una conexión
de alta velocidad, puede ser necesaria una tecnología de mayor velocidad si
varios usuarios se conectan al mismo tiempo.
Distintos estándares admiten diferentes áreas de cobertura. La señal de 2,4
GHz usada en las tecnologías 802.11 b/g/n viaja una distancia mayor que la
señal de 5 GHz usada en las tecnologías 802.11a. Por lo tanto, 802.11 b/g/n
admite un BSS mayor. Esto se traduce en menos equipos y un costo de
implementación menor.
La red existente también afecta la nueva implementación de los estándares
WLAN. Por ejemplo: el estándar 802.11n es compatible con 802.11g y
802.11b, pero no con 802.11a. Si el equipo y la infraestructura de red
existentes admiten 802.11a, las nuevas implementaciones deben admitir el
mismo estándar.
El costo también es un factor determinante. A la hora de considerar los
costos, tenga en cuenta el costo total de propiedad (TCO, Total Cost of
Ownership), que incluye la compra de equipo, además de los costos de
instalación y soporte. El TCO es más importante para la elección del
estándar WLAN en los entornos de empresas medianas a grandes que en
los entornos domésticos. Esto se debe a que en las empresas medianas a
grandes se necesitan más equipos y planes de instalación, lo que aumenta
el costo.
Instalación de dispositivos inalámbricos
Para entornos domésticos o para pequeñas empresas la instalación
usualmente consta de una cantidad limitada de equipo que puede reubicarse
fácilmente para proporcionar coberturas y rendimientos óptimos.
En el entorno
empresarial el
equipo no puede
reubicarse
fácilmente y la
cobertura debe ser
completa. Es
importante
determinar la
ubicación y el
número óptimos de
los AP para
proporcionar esta
cobertura al menor
costo posible.
Para lograrlo, se realiza generalmente un relevamiento del sitio. La persona
responsable del relevamiento del sitio debe ser un experto en el diseño de
WLAN y debe contar con equipo sofisticado para medir la potencia de la
señal y la interferencia. Según el tamaño de la implementación WLAN, éste
puede ser un proceso muy costoso. Para las implementaciones pequeñas se
realiza generalmente un relevamiento del sitio mediante el solo uso de STA
19
20. inalámbricas y de los programas de utilidades que se incluyen en la mayoría
de las NIC inalámbricas.
En todos los casos es necesario considerar fuentes conocidas de
interferencia, como los cables de alto voltaje, los motores y otros dispositivos
inalámbricos, en el momento de determinar la ubicación del equipo WLAN.
7.4.2 Instalación y seguridad del AP
Una vez que determine la mejor tecnología y la ubicación del AP, instale el
dispositivo WLAN y configure el AP con medidas de seguridad. Las medidas
de seguridad deben planificarse y configurarse antes de conectar el AP a la
red o al ISP.
Algunas de las medidas de seguridad más básicas son:
• Cambio de los valores por defecto para el SSID, los nombres de
usuario y las contraseñas.
• Desactivación de la transmisión SSID.
• Configuración del filtrado de dirección MAC.
Algunas de las medidas de seguridad más avanzadas son:
• Configuración de encriptación mediante WEP o WPA.
• Configuración de autenticación.
• Configuración de filtrado de tráfico.
Tenga en cuenta que ninguna medida de seguridad por sí sola mantendrá la
red inalámbrica completamente segura. La combinación de varias técnicas
reforzará la
integridad del
plan de
seguridad.
A la hora de
configurar los
clientes, es
fundamental que
el SSID coincida
con el SSID
configurado en
el AP. Además, las claves de encriptación y autenticación también deben
coincidir.
7.4.3 Creación de copias de seguridad y restauración de archivos de
configuración
Copias de seguridad de configuración
Una vez que la red inalámbrica está configurada correctamente y exista
tráfico, se debe realizar una copia de seguridad de la configuración en los
dispositivos inalámbricos. Esto es muy importante si la configuración está
muy personalizada.
Ya que la mayoría de los routers integrados está diseñada para los
mercados
domésticos y para
pequeñas
empresas,
solamente es
necesario
seleccionar la
opción Backup
Configurations
desde el menú
correspondiente y
especificar la
ubicación donde
debe guardarse el
archivo. El router
integrado
proporciona un nombre por defecto para el archivo de configuración. Este
nombre de archivo puede cambiarse.
El proceso de restauración también es así de simple. Seleccione la opción
Restore Configurations. Luego, simplemente busque la ubicación donde se
guardó anteriormente el archivo de configuración y selecciónelo. Una vez
seleccionado el archivo, haga clic en Start to Restore para cargar el archivo
de configuración.
A veces es necesario regresar las configuraciones a las condiciones por
defecto de fábrica. Para lograrlo, seleccione la opción Restore Factory
Defaults del menú correspondiente o presione y mantenga presionado el
botón RESTABLECER durante 30 segundos. La última técnica resultará
especialmente útil si no puede conectarse al AP del router integrado a través
de la red pero tiene acceso físico al dispositivo.
20
21. Actividad
Realice una copia de seguridad y restaure las configuraciones utilizando la
GUI de Linksys.
7.4.4 Actualización de firmware
Actualización del firmware
El sistema operativo en la mayoría de los routers integrados se almacena en
el firmware. A medida que se desarrollen nuevas características o se
descubran problemas con el firmware existente, tal vez sea necesario
actualizar el firmware del dispositivo.
El
proceso de actualización del firmware en un router integrado, como el router
inalámbrico de Linksys, es simple. Sin embargo, es importante que una vez
iniciado este proceso no se interrumpa. Si el proceso de actualización se
interrumpe antes de completarse el dispositivo puede quedar inutilizable.
Determine la versión de firmware instalada actualmente en el dispositivo.
Esta información se muestra generalmente en la pantalla de configuración o
en la pantalla de estado de conexión. A continuación, busque en Internet el
sitio Web del fabricante y los grupos de noticias relacionados para descubrir
el conjunto de características del firmware, los problemas que requieren una
actualización y si existen actualizaciones disponibles.
Descargue la versión actualizada del firmware y almacénela en el disco duro
de un dispositivo que pueda conectarse directamente al router integrado. Es
conveniente que la máquina esté conectada directamente con un cable al
router integrado para evitar que la conexión inalámbrica provoque una
interrupción en el proceso de actualización.
Seleccione la característica Firmware Upgrade en la GUI. Navegue hasta el
archivo apropiado del dispositivo conectado directamente y comience la
actualización.
Actividad
Actualice los AP con una nueva versión de firmware.
7.5 Resumen
21