PRESENTADO POR
GABRIEL ENRIQUE
RUIZ FUENTES
MATERIA
REDES INALAMBRICAS
PROFESOR
ING.VICENTE MUÑOZ
TRABAJO FINAL
UNIDAD 1-6, ANEXO Y VIDEO
TUTORIAL
viernes, 12 de diciembre de 2014
UNIDAD 1
1.1 Concepto: El término banda ancha normalmente se
refiere al acceso a Internet de alta velocidad. La Comisión Federal de
Comunicaciones (FCC, por sus siglas en inglés) define al servicio de banda
ancha como la transmisión de datos a una velocidad mayor de 200 kilobits por
segundo (Kbps) o 200,000 bits por segundo, en por lo menos una dirección:
transmisión de bajada (del Internet a la computadora del usuario) o de subida
(de la computadora del usuario al Internet).
1.2 Características:
1.- Las redes de banda ancha, poseen rasgos
distintivos a diferencia de las redes de banda base, algunas de estas
características (2007) se enlistan a continuación.
2.- Conexión permanente, permitiendo a su vez la
utilización de otra banda diferente del medio para otros fines (servicios de
voz, TV, etc.).
3.- Conexión mediante TCP/IP de cara al cliente,
conectando internamente por medios de alta velocidad del tipo ATM
(AsynchronousTransfer Mode).
4.- Se pueden definir dos tipos generales de
información: Continúa (ANALOGICA) y discreta. La primera se caracteriza por que
sus datos pueden adoptar un número infinito de valores por ejemplo: calor,
velocidad etc. La segunda se caracteriza por que sus datos pueden adoptar solo
un numero finito de valores. Por ejemplo: letras, texto etc.
5.- Ancho de banda dedicadode al menos 1Mbps (aunque
por diferentes cuestiones se denominan conexiones de banda ancha a aquellas que
van a velocidades superiores a los 256Kbps).
6.- Conexión normalmente asincrónica, en la que
la velocidad de bajada (tráfico de datos entre el operador y el cliente) es muy
superior a la de subida (tráfico de datos entre el cliente y el operador).
7.- Normalmente se asocia su conexión a una
Tarifa plana, en la que se paga una cantidad fija por la conexión y por el
ancho de banda contratado, independientemente del tráfico de datos que se
realice.
8.- Las dimensiones de las redes, sus
características y sus funciones varían, de acuerdo a las necesidades del
usuario.
1.3 Servicios
Los servicios de banda ancha son aquellos que
permiten al usuario, utilizando un terminal específico (ordenador, móvil,
televisor, etc.) disponer de una conexión de datos permanente y de capacidad de
transmisión elevada. Se consideran conexiones de banda ancha a aquellas que
ofrecen velocidades de descarga superiores a 144 Kbit/s. Los servicios de banda
ancha permiten el acceso a Internet y suelen comercializarse empaquetados con
otros servicios de telecomunicaciones, como el servicio telefónico fijo y/o el
servicio telefónico móvil, así como servicios de televisión.
1.4 Seguridad
La mayoría de los usuarios de la banda
ancha son consumidores residenciales y pocos son conscientes de los riesgos
para su seguridad informática. La banda ancha está granjeándose la reputación
de permitir un acceso más fácil y libre a la información, pero también puede
granjearse la de ser vulnerable a los fallos de seguridad si no se toman las
debidas precauciones o éstas no se conocen lo suficiente. De hecho, los
usuarios potenciales de la banda ancha pueden tener dudas a la hora de adoptar
la tecnología si consideran que puede entrañar un mayor riesgo para sus datos
personales o comerciales. Los gobiernos y los proveedores de servicios Internet
(ISP, Internet Service Providers) pueden adoptar medidas para aumentar la
información y también para aumentar la seguridad. Además, los productores de
normas tecnológicas deben asumir una parte de la responsabilidad para
garantizar un grado aceptable de seguridad de la red. Cortafuegos: los
cancerberos Los cortafuegos pueden impedir eficazmente el acceso no autorizado
a recursos personales en un ordenador con acceso de banda ancha. Se trata de
programas o equipos que controlan cualquier comunicación que entre o salga del
ordenador (o red). Los cortafuegos se pueden configurar para permitir que sólo
ciertas aplicaciones puedan acceder a la conexión de banda ancha y rechazar
ciertos tipos de solicitudes del exterior (tales como las exploraciones).
Cifrado Si bien los cortafuegos ayudan a rechazar las comunicaciones no
deseadas, el cifrado es aún más interesante para proteger los datos sensibles
que se encuentran en el ordenador o pasan por Internet. Las conexiones de banda
ancha pueden utilizar varias tecnologías de cifrado para garantizar la
privacidad e integridad de los datos cuando transitan por Internet, y admiten
fácilmente comunicaciones cifradas que, habitualmente, exigen entre 10 y 20%
más anchura de banda que la transmisión de información no cifrada.
Legislación y reglamentación La creación e instalación
de sistemas de seguridad mejorados y la adopción de legislaciones y
reglamentaciones apropiadas serán fundamentales para la elaboración de
aplicaciones comerciales y públicas tales como el cibergobierno, la telesanidad
o el cibercomercio. Para que los usuarios acepten estos servicios en línea,
habrá que garantizarles que sus datos serán consultados y tramitados únicamente
por los que estén autorizados a hacerlo, que su buzón electrónico no se llenará
de correos electrónicos masivos no deseados (“spam”) y que pueden confiar en la
información facilitada por ciertos servicios. Seguridad para los usuarios
privados La seguridad también es importante para los usuarios privados que,
habitualmente, no se benefician de los controles y la asistencia técnica de que
suelen disponer las empresas o las oficinas públicas. Un ordenador conectado
las 24 horas del día a Internet se asemeja a una ventana abierta: cualquiera
puede entrar. Por consiguiente, la seguridad es necesaria para crear confianza,
a fin de que las tecnologías como la banda ancha puedan aprovecharse al máximo
y para poder crear un ambiente de confianza en la sociedad mundial de la
información.
1.5 Tecnologías.
La necesidad de ancho de banda ha hecho nacer varias
tecnologías de acceso de banda ancha: DSL (Línea de Abonado Digital) en todas
sus formas simétricas y asimétricas, utiliza la infraestructura de cobre para
dar servicios a velocidades de hasta algunos megabits por segundo; LMDS, los
servicios locales de distribución multipunto ofrecen velocidades de banda ancha
a usuarios residenciales y a profesionales independientes (SOHO) vía
tecnológica inalámbrica; CMTS (Sistema de terminación de módem por cable)
emplea el cable coaxial para entregar servicios digitales a muchos usuarios;
UMTS, fue concebido para servicios de voz y de datos de tercera generación. Las
tecnologías xDSL en la red de acceso. La tecnología xDSL, surge por la
necesidad de aumentar la capacidad de transmisión del par de cobre. Hace
referencia a toda la familia DSL las cuales utilizan técnicas de modulación
modernas ayudadas por los avances en el procesamiento digital de señales para
lograr transmitir a altas velocidades sobre el lazo de abonado local. En la
Tabla 1 se muestra un resumen comparativo entre algunas de las tecnologías
xDSL.
ADSL.
El ADSL es una técnica para la transmisión de datos a gran velocidad sobre el
par de cobre. Una diferencia entre el esquema de modulación empleado por ella y
las usadas por los módems en banda vocal (V.32 a V.90), es que estos últimos
sólo transmiten en la banda de frecuencias usada en telefonía (300 Hz a 3400
Hz), mientras que los módems ADSL operan en un margen de frecuencias mucho más
amplio que va desde los 24 KHz hasta los 1104 KHz, aproximadamente. Esto hace
que el ADSLpueda coexistir en un mismo lazo de abonado con el servicio
telefónico, pues no se solapan sus intervalos de frecuencia, cosa que no es
posible con un módem convencional pues opera en banda vocal, la misma que la
telefonía, lo que constituye otra diferencia de gran importancia. Multiplexor
de acceso DSL El DSLAM (Multiplexor de Acceso DSL) es un equipo ubicado en la
central que agrupa gran número de tarjetas, cada una de las cuales consta de varios
módems ATU-C, y que además concentra el tráfico de todos los enlaces ADSL hacia
la red WAN (Figura 6). Su utilización favoreció el despliegue de ADSL, al
requerir menos espacio en las centrales. Integración de ATM y ADSL Las redes de
comunicaciones de banda ancha en su mayoría emplean el ATM para la conmutación
en banda ancha. Desde un primer momento, dado que el ADSL se concibió como una
solución de acceso de banda ancha, se pensó en el envío de la información en
forma de celdas ATM sobre los enlaces ADSL y de esta forma se sacaría provecho
a la gran velocidad de acceso del ADSL. A nivel de enlace, algunos
suministradores de equipos de central para ADSL plantearon otras alternativas
al ATM, como PPP sobre ADSL y Frame-Relay sobre ADSL, pero finalmente se ha
impuesto el primero. Otra alternativa que está siendo desplegada actualmente es
el Ethernet sobre ADSL.
UNIDAD 2
UNIDAD 2 WLAN.
2.1 DEFINICION DE WLAN. Redes de
área local (LAN). Son redes privadas localizadas en un edificioo campus. Su
extensión es de algunos kilómetros. Muy usadas para la interconexión de
computadoras personales y estaciones de trabajo. Se caracterizan por: tamaño
restringido, tecnología de transmisión (por lo general broadcast), alta
velocidad y topología. Son redes con velocidades entre los 10 y 100 Mbps, tiene
baja tasa de errores. Cuando se utiliza medio compartido es necesario un
mecanismo de arbitraje para resolver conflictos. Son siempre privadas.
2.2 COMPONENTES DE UNA WLAN.
Componentes físicos de una red de área local:
1.- El sistema de cableado
2.-Tarjeta de interfaz de red
3- un transceptor
4.- Las estaciones
5.- Los servidores
6.- El concentrador
7.- Un hub
8.- El repetidor
9.- Fuente de poder interrumpible
2.3 TOPOLOGIA WLAN.
Topología en anillo. Sus principales características son:
1.- El cable forma un bucle cerrado formando un
anillo.
2.- Todas las computadoras que forman parte de
la red se conectan a ese anillo
3.- Habitualmente las redes en anillo utilizan
como método de acceso al medio el modelo "paso de testigo".
Topología en Bus. Consta de un único cable que se extiende de una
computadora a la siguiente de un modo serie. Los extremos del cable se terminan
con una resistencia denominada terminadora, que además de indicar que no
existen más ordenadores en el extremo, permiten cerrar el bus.
1.- Todas las estaciones de trabajo están conectadas a
un punto central (concentrador), formando una estrella física.
2.- Habitualmente sobre este tipo de topología se utiliza como método
de acceso al medio poolling, siendo el nodo central el que se encarga de
implementarlo.
3.- Cada vez que se quiere establecer comunicación entre dos
computadoras, la información transferida de una hacia la otra debe pasar por el
punto central.
2.4 REDES LOCALES INALAMBRICAS 802.11X. IEEE 802.11 comprende varios
estándares Definen la subcapa MAC y la física No son compatibles entre sí, algunos
ni siquiera con ellos mismos Los hay de transmisión: 802.11 original (1997),
802.11b, 802.11a y 802.11g Extensiones al estándar 802.11a: 802.11h y 802.11i
802.11e, extensión para Calidad de Servicio (QoS)
UNIDAD 3
Unidad 3
Configuración
de Redes Inalámbricas.El estudiante distinguirá los dispositivos que
intervienen en las comunicacionesinalámbricas
3.1 Configuración de las topologías de WLAN
A continuación se muestra como es la estructura básica de una red inalámbrica formada porun router y un solo punto de acceso.Consideraciones y consejossobre alcance y cobertura.El alcance de la señal de la red Wi-Fi dependerá de:• La potencia del Punto de Acceso.• La potencia del accesorio o dispositivo Wi-Fi por el que nos conectamos.• Los obstáculos que la señal tenga que atravesar (muros o metal).Cuanto más lejos (linealmente) se quiera llegar, más alto deberemos colocar el Punto deAcceso. Muchos de los actuales APs vienen preparados para poderlos colgar en la pared.Si se quiere llegar lejos, hay que evitar también interferencias como microondas o teléfonosinalámbricos y colocar los puntosde acceso en lugares que, en lo posible, eviten al máximo el número de paredes, muros, armarios, etc.que la señal deba atravesar hasta su destino(ordenadorportátil, PDA, etc.).
A continuación se muestra como es la estructura básica de una red inalámbrica formada porun router y un solo punto de acceso.Consideraciones y consejossobre alcance y cobertura.El alcance de la señal de la red Wi-Fi dependerá de:• La potencia del Punto de Acceso.• La potencia del accesorio o dispositivo Wi-Fi por el que nos conectamos.• Los obstáculos que la señal tenga que atravesar (muros o metal).Cuanto más lejos (linealmente) se quiera llegar, más alto deberemos colocar el Punto deAcceso. Muchos de los actuales APs vienen preparados para poderlos colgar en la pared.Si se quiere llegar lejos, hay que evitar también interferencias como microondas o teléfonosinalámbricos y colocar los puntosde acceso en lugares que, en lo posible, eviten al máximo el número de paredes, muros, armarios, etc.que la señal deba atravesar hasta su destino(ordenadorportátil, PDA, etc.).
3.1.1 Ad hoc
Una red ad hoc consiste en un conjunto de ordenadores al que se les ha instalado unadaptador Wi-Fi y se les ha configurado para poder intercomunicarse entre ellos. Una red adhoc no necesita de puntos de acceso.Las redes ad hoc suponen un buen sistema para interconectar dos o mas ordenadores deuna manera fácil. Si tiene dos ordenadores con tarjeta Wi-Fi, simplemente tiene queconfigurarlos en modo ad hoc con los mismos parámetros de red y listo. A partir de estemomento ya se pueden ver entre ellos. Como cualquier otra red local, el modo ad hoc lepermite compartir archivos, impresoras, juegos, etc. Este modo de comunicación es posiblesin problemas para un máximo dc 10 ordenadores.
El modo ad hoc es un buen sistema para transferir archivos entre dos ordenadores.divertirse con juegos multiusuarios o utilizar una impresora o acceso a Internet de otroordenador. Además, como los perfiles de configuración pueden guardarse, un ordenadorpuede tener guardados varios perfiles y utilizar uno u otro dependiendo dc la red a la que sevaya a conectar. Esto hace que el proceso de conexión sea muy fácil para el usuario.El modo ad hoc es un modo simple dc interconectar ordenadores, pero. si desea tener unamayor seguridad en las comunicaciones, disponer de ciertas herramientas de gestión de red(DHCP, firewall, etc.) o cubrir un área extensa, necesitara instalar puntos dc acceso.Por cierto, al modo ad hoc también se le conoce como peer-to-peer (igual a igual), modoIBSS. modo independiente (Independent Mode) o modo ordenador a ordenador (Computer-to-Computer).Las redes ad hoc también pueden interconectarse con otras redes (como Internet). Paraello, uno de los ordenadores que forma parte de la red debe hacer el trabajo de pasarela(gateway). Esto consiste en que dicho ordenador comparta su conexión con la otra red. Enel caso de Internet, lo que deberá compartir es su modem de acceso telefónico, su conexiónADSL o modem cable. El propio sistema operativo Windows trae herramientas que permitenhacer esto. En cualquier caso, existesoftware especializado para convertir un ordenador enuna pasarela (para comprar y para bajárselo de la red). Losparámetroswi-fi a configurar. o Tipo de red. o Nombre de red. o Canal. o Seguridad.Cualquier ordenador con un adaptador Wi-Fi que tenga configurados los mismos parámetrosanteriores y que este dentro del área de cobertura radioeléctrica del resto formara parte de lared y, por tanto, podrá compartir sus recursos y tener acceso a los recursos del resto deordenadores que estén configurados como compartidos. Por tanto, para añadir nuevosordenadores a la red, simplemente hay que copiar los parámetros de cualquiera de losordenadores ya conectados y configurárselos al nuevo ordenador.Un ordenador puede tener guardadas distintas configuraciones de red, distintos perfiles. Estoes especialmenteútil para aquellos casos en los que un mismo ordenador se conecta adistintas redes. En estos casos no es necesario introducir todos los parámetros cada vez quese cambia de red. sino, simplemente, elegir el perfil correspondiente.En las redes Wi-Fi ad hoc todos los ordenadores son iguales (de ahí su otro nombre peer-to-peer). No hay ordenador principal ni secundario, cualquier ordenador puede apagarse odesconectarse que. Mientras haya dos ordenadores conectados, seguirá existiendo la red.El parámetro que identifica a las redes ad hoc es SSID o nombre de red. Los parámetros de tcp/ip a configurar.Los parámetros Wi-Fi sirven para configurar los adaptadores de red (las tarjetas Wi-Fi), pero,para que los ordenadores puedan comunicarse. hace falta configurar también el protocolo decomunicación que van a emplear. el protocolo TCP/IP.Como recordara, Wi-Fi determina exclusivamente como se van a poner en contacto losOrdenadores (niveles físico y de enlace del modelo OSI); adicionalmente, hace falta unprotocolo que regule la comunicación en si. De esto se encarga el protocolo TCP/IP. Pues bien, para que funcione el protocolo TCP/IP, solo hace falta que el usuario le configuredos valores: el numero IP de cada terminal y la máscara de la red. o Direcciones IP.Cualquier tipo de red requiere que se pueda identificar de alguna manera cada uno de losterminales que la componen. En la red telefónica o de telefoníamóvil, por ejemplo. seidentifica cada terminal por su número de teléfono. Pues bien, las redes de área localdefinidas por la norma IEEE 802 y. en especial, las redes inalámbricas IEEE 802.11 (entreellas Wi-Fi), son redes IP. En las redes IP cada terminal esta identificado por un numeroconocido como numero o dirección IP.Las direcciones IP constan de cuatro cifras separadas por puntos. Por ejemplo, el siguientenúmero es una dirección IP: 128.54.16.1. Cada cifra está representada por 8 bits, lo quequiere decir que el mayor valor que puede tener cualquiera dc estas cifras es 255 (28= 256valores distintos o. lo que es lo mismo. valores del 0 al 255). Por tanto. losnúmeros IP vandesde el 0.0.0.0 hasta el 255.255.255.255.Las direcciones IP se utilizan tanto para redes públicas (como Internet), como para redesprivadas (como Wi-Fi). Aunque las redes privadas no son visibles directamente desdeInternet. Internet si podría ser visible desde una red privada. listo quiere decir que. para evitarconfusiones. Un terminal de la red privada no debe tener un mismo numero IP que unterminal de Internet. Por tanto, existen direcciones IP reservadas para ser utilizadasexclusivamente por las redes privadas. Ningún terminal de Internet puede disponer de unade estas direcciones. Incluso por Internet no progresara ningún paquete dirigido a estasdirecciones. Las direcciones reservadas a las redes privadas son las siguientes:- De la 10.0.0.0 a la 10.255.255.255- De la 172.16.0.0 a la 172.31.255.255- De la 192.168.0.0 a la 192.168.255.255Cualquier terminal que forma parte de una red Wi-Fi debe disponer de una dirección IP. Estadirección IP es asignada por el usuario o por el administrador de la red. Como las redes Wi-Fi son redes privadas. losnúmeros que deben asignarse son números de los rangos mostradosanteriormente. Las direcciones pueden ser cualquiera. Pero deben pertenecera un mismorango y no deben estar repetidas. o Mascara de subred.Otro valor que hay que configurar es lo que se conoce como mascara de subred. La máscarade subred es una forma de poder definir e identificar redes secundarias (subredescomo Wi-Fi) dentro de una red mayor (como Internet). Este procedimiento le vale a los sistemas paradeterminarfácilmente a que subred pertenece una dirección IP. EI valor de la máscara desubred la tiene que definir y configurar el usuario.La máscara de subred es un numero IP de la forma 255.255.255.0. El valor de este númerose elige de acuerdo con el numeromáximo de terminales. Que va a tener la red. El valor de lamáscaramás el número de terminales debe ser igual o, en todo caso, menor, a255.255.255.255. Para redes que tengan hasta 255 terminales, basta con hacer laoperación con la última cifra. Si la última cifra de la máscara es cero, el númeromáximo determinales es 255. Este es el motivo por el que es habitual fijar como valor de la máscara desubred el valor 255.255.255.0.El proceso de instalación.La instalación de una red ad hoc empieza por instalar físicamente el adaptador de red(tarjeta Wi-Fi) en cada ordenador. Esto puede suponer tener que instalar algún software dela tarjeta.A continuación hay que definir los parámetros de red Wi-Fi que se van a utilizar yconfigurarlos con los mismos valores para todos los terminales. Por último, solo hay queconfigurar los parámetros de TCP/IP.El proceso de instalación puede resumirse en los siguientes pasos:1. Insertar o conectar la tarjeta Wi-Fi e instalar su controlador (driver).2. Configurar los parámetros Wi-Fi.3. Configurar los parámetros de TCP/IP.4. Compartir recursos.
3.1.2 Infraestructura
Una red ad hoc consiste en un conjunto de ordenadores al que se les ha instalado unadaptador Wi-Fi y se les ha configurado para poder intercomunicarse entre ellos. Una red adhoc no necesita de puntos de acceso.Las redes ad hoc suponen un buen sistema para interconectar dos o mas ordenadores deuna manera fácil. Si tiene dos ordenadores con tarjeta Wi-Fi, simplemente tiene queconfigurarlos en modo ad hoc con los mismos parámetros de red y listo. A partir de estemomento ya se pueden ver entre ellos. Como cualquier otra red local, el modo ad hoc lepermite compartir archivos, impresoras, juegos, etc. Este modo de comunicación es posiblesin problemas para un máximo dc 10 ordenadores.
El modo ad hoc es un buen sistema para transferir archivos entre dos ordenadores.divertirse con juegos multiusuarios o utilizar una impresora o acceso a Internet de otroordenador. Además, como los perfiles de configuración pueden guardarse, un ordenadorpuede tener guardados varios perfiles y utilizar uno u otro dependiendo dc la red a la que sevaya a conectar. Esto hace que el proceso de conexión sea muy fácil para el usuario.El modo ad hoc es un modo simple dc interconectar ordenadores, pero. si desea tener unamayor seguridad en las comunicaciones, disponer de ciertas herramientas de gestión de red(DHCP, firewall, etc.) o cubrir un área extensa, necesitara instalar puntos dc acceso.Por cierto, al modo ad hoc también se le conoce como peer-to-peer (igual a igual), modoIBSS. modo independiente (Independent Mode) o modo ordenador a ordenador (Computer-to-Computer).Las redes ad hoc también pueden interconectarse con otras redes (como Internet). Paraello, uno de los ordenadores que forma parte de la red debe hacer el trabajo de pasarela(gateway). Esto consiste en que dicho ordenador comparta su conexión con la otra red. Enel caso de Internet, lo que deberá compartir es su modem de acceso telefónico, su conexiónADSL o modem cable. El propio sistema operativo Windows trae herramientas que permitenhacer esto. En cualquier caso, existesoftware especializado para convertir un ordenador enuna pasarela (para comprar y para bajárselo de la red). Losparámetroswi-fi a configurar. o Tipo de red. o Nombre de red. o Canal. o Seguridad.Cualquier ordenador con un adaptador Wi-Fi que tenga configurados los mismos parámetrosanteriores y que este dentro del área de cobertura radioeléctrica del resto formara parte de lared y, por tanto, podrá compartir sus recursos y tener acceso a los recursos del resto deordenadores que estén configurados como compartidos. Por tanto, para añadir nuevosordenadores a la red, simplemente hay que copiar los parámetros de cualquiera de losordenadores ya conectados y configurárselos al nuevo ordenador.Un ordenador puede tener guardadas distintas configuraciones de red, distintos perfiles. Estoes especialmenteútil para aquellos casos en los que un mismo ordenador se conecta adistintas redes. En estos casos no es necesario introducir todos los parámetros cada vez quese cambia de red. sino, simplemente, elegir el perfil correspondiente.En las redes Wi-Fi ad hoc todos los ordenadores son iguales (de ahí su otro nombre peer-to-peer). No hay ordenador principal ni secundario, cualquier ordenador puede apagarse odesconectarse que. Mientras haya dos ordenadores conectados, seguirá existiendo la red.El parámetro que identifica a las redes ad hoc es SSID o nombre de red. Los parámetros de tcp/ip a configurar.Los parámetros Wi-Fi sirven para configurar los adaptadores de red (las tarjetas Wi-Fi), pero,para que los ordenadores puedan comunicarse. hace falta configurar también el protocolo decomunicación que van a emplear. el protocolo TCP/IP.Como recordara, Wi-Fi determina exclusivamente como se van a poner en contacto losOrdenadores (niveles físico y de enlace del modelo OSI); adicionalmente, hace falta unprotocolo que regule la comunicación en si. De esto se encarga el protocolo TCP/IP. Pues bien, para que funcione el protocolo TCP/IP, solo hace falta que el usuario le configuredos valores: el numero IP de cada terminal y la máscara de la red. o Direcciones IP.Cualquier tipo de red requiere que se pueda identificar de alguna manera cada uno de losterminales que la componen. En la red telefónica o de telefoníamóvil, por ejemplo. seidentifica cada terminal por su número de teléfono. Pues bien, las redes de área localdefinidas por la norma IEEE 802 y. en especial, las redes inalámbricas IEEE 802.11 (entreellas Wi-Fi), son redes IP. En las redes IP cada terminal esta identificado por un numeroconocido como numero o dirección IP.Las direcciones IP constan de cuatro cifras separadas por puntos. Por ejemplo, el siguientenúmero es una dirección IP: 128.54.16.1. Cada cifra está representada por 8 bits, lo quequiere decir que el mayor valor que puede tener cualquiera dc estas cifras es 255 (28= 256valores distintos o. lo que es lo mismo. valores del 0 al 255). Por tanto. losnúmeros IP vandesde el 0.0.0.0 hasta el 255.255.255.255.Las direcciones IP se utilizan tanto para redes públicas (como Internet), como para redesprivadas (como Wi-Fi). Aunque las redes privadas no son visibles directamente desdeInternet. Internet si podría ser visible desde una red privada. listo quiere decir que. para evitarconfusiones. Un terminal de la red privada no debe tener un mismo numero IP que unterminal de Internet. Por tanto, existen direcciones IP reservadas para ser utilizadasexclusivamente por las redes privadas. Ningún terminal de Internet puede disponer de unade estas direcciones. Incluso por Internet no progresara ningún paquete dirigido a estasdirecciones. Las direcciones reservadas a las redes privadas son las siguientes:- De la 10.0.0.0 a la 10.255.255.255- De la 172.16.0.0 a la 172.31.255.255- De la 192.168.0.0 a la 192.168.255.255Cualquier terminal que forma parte de una red Wi-Fi debe disponer de una dirección IP. Estadirección IP es asignada por el usuario o por el administrador de la red. Como las redes Wi-Fi son redes privadas. losnúmeros que deben asignarse son números de los rangos mostradosanteriormente. Las direcciones pueden ser cualquiera. Pero deben pertenecera un mismorango y no deben estar repetidas. o Mascara de subred.Otro valor que hay que configurar es lo que se conoce como mascara de subred. La máscarade subred es una forma de poder definir e identificar redes secundarias (subredescomo Wi-Fi) dentro de una red mayor (como Internet). Este procedimiento le vale a los sistemas paradeterminarfácilmente a que subred pertenece una dirección IP. EI valor de la máscara desubred la tiene que definir y configurar el usuario.La máscara de subred es un numero IP de la forma 255.255.255.0. El valor de este númerose elige de acuerdo con el numeromáximo de terminales. Que va a tener la red. El valor de lamáscaramás el número de terminales debe ser igual o, en todo caso, menor, a255.255.255.255. Para redes que tengan hasta 255 terminales, basta con hacer laoperación con la última cifra. Si la última cifra de la máscara es cero, el númeromáximo determinales es 255. Este es el motivo por el que es habitual fijar como valor de la máscara desubred el valor 255.255.255.0.El proceso de instalación.La instalación de una red ad hoc empieza por instalar físicamente el adaptador de red(tarjeta Wi-Fi) en cada ordenador. Esto puede suponer tener que instalar algún software dela tarjeta.A continuación hay que definir los parámetros de red Wi-Fi que se van a utilizar yconfigurarlos con los mismos valores para todos los terminales. Por último, solo hay queconfigurar los parámetros de TCP/IP.El proceso de instalación puede resumirse en los siguientes pasos:1. Insertar o conectar la tarjeta Wi-Fi e instalar su controlador (driver).2. Configurar los parámetros Wi-Fi.3. Configurar los parámetros de TCP/IP.4. Compartir recursos.
3.1.2 Infraestructura
Modos de funcionamiento en WiFi.Los dispositivos WiFi
pueden operar en alguno de los siguientes modos:Cada modo tiene restricciones
de operación específicas, y los radios sólo pueden operar enun modo en un
momento determinado.‣Master (AP -access point-)‣Managed(también
llamado clienteo estación)‣Ad-hoc(usado en redes en malla)‣Monitor
(no usado normalmente para comunicaciones)Los radios WiFi pueden operar en uno
sólo de estos cuatro modos en un momentodeterminado. Esto significa que el
mismo radio no puede funcionar simultáneamente comoAP y como cliente.Pero
existen enrutadores inalámbricos que aceptan más de un radio encuyo caso se
puede tener un radio funcionando como AP (Access Point) y otro como
cliente.Esto se usa a menudo en redes en malla para aumentar el
rendimiento.Modo master.El modomaster (también llamado modo AP o de
infraestructura) se usa para instalar una redcon un AP (punto de acceso) que
conecta a diferentes clientes.El AP crea una red con un nombre específico (denominado
SSIDó ESSID) y un canal sobreel cual se ofrecen los servicios de la red. Los
dispositivos WiFi en modo masterpuedencomunicarse sólo con los dispositivos
asociados a ellos que estén en modo managed.SSID (Service Set IDentifier), es
el identificar de la red. Cuando hay más de un AP en lamisma red se usa el
término ESSID (Extended SSID). Cuando hay un solo AP se puede usarBSSID (Basic
SSID), todos ellos se refieren al nombre de la red, el cual tiene que ser
elmismo para e AP y sus clientes. Los AP crean redes WiFi punto a
multipunto. Un radio operando en el modo masterfuncionacomo un AP, anunciando
una red con cierto nombre en un determinado canal y permite quelos clientes se
le conecten. Puede haber limitaciones en el número máximo de clientespermitidos
(el límite depende del modelo de AP usado).Modo Managed.El modoManaged es
llamado también modo cliente. Los dispositivos inalámbricos en modomanaged se
unirán a una red creada por el master y automáticamente cambiarán el canalpara
ajustarse al del master.De los clientes que usan un determinado AP se dice que
están asociados con él.Los radios en modo managed no pueden comunicarse
directamente entre sí y sólo sepueden comunicar con el master al cual están
asociados.Modo ad-hoc.El modoAd-hoc modese usa para crear redes en malla donde:‣No
hay dispositivos en modo master (AP).‣Se realiza la
comunicación directamente entre todos los nodos.Los dispositivos deben estar
dentro de su rango de cobertura para poder comunicarse ydeben escoger un nombre
de red y canal común.El modo Ad-hoc se usa para crear una red en malla, es
decir una red multipunto a multipuntodonde no hay ningún master. El modo Ad hoc
también puede usarse para conectar doslaptops equipados con WiFi sin utilizar
un AP. En el modo ad-hoc cada tarjeta inalámbrica secomunica directamente con
sus vecinas.Algunos fabricantes no implementanadecuadamente el modo ad-hoc con
lo que la interoperabilidad puede verse comprometida.Modo monitor.El
modoMonitor se usa para escuchar pasivamente todo el tráfico en un canal
dado.Es útil para:‣Analizar los problemas en un enlace inalámbrico.‣Observar
el uso del espectro en una zona.‣Realizar tareas de
mantenimiento y de seguridad. El modo monitor se usa en ciertas
herramientas (tales como Kismet) para escucharpasivamente todo el tráfico que
circula en un determinado canal. Esto ayuda en el análisis delos problemas de
una red y en la observación del uso local del espectro. El modo monitor nose
usa para comunicaciones normales.
3.1.3 Puenteo punto a punto.Enrutando el tráfico
WiFi ofrece una conexión local. No provee la funcionalidad de enrutamiento(encaminamiento, ruteo), la cual es suministrada por los protocolos de las capas superiores. Las redes complejas usan algún tipo de protocolo de enrutamiento para retransmitir el tráficoentre nodos. WiFi provee únicamente un enlace local (entre nodos de la misma subred),hasta el nivel dos de la pila de protocolos TCP/IP.Redes Puenteadas.Para una red local inalámbrica simple, una arquitecturade tipo puente es normalmente la más adecuada.Ventajas.‣Configuración muy simple‣Es muy fácil incorporar la itinerancia (roaming).Desventajas.‣Se vuelve ineficiente al añadir muchos nodos‣Todo el tráfico de difusión (broadcast) es retransmitido.‣Virtualmente inusable en grandes redes de área extendida (WAN).La topología de red más simple desde la capa dos es la de puente (bridge).Cuando se establece un puente entre la interfaz Ethernet y la interfaz inalámbrica, se crea unconcentrador (hub) inalámbrico que se comporta de la misma manera como si todos losclientes estuvieran conectados por cable al mismo concentrador.Aunque esta configuración es simple, no es muy eficiente, puesto que cada dispositivo en lared comparte el mismo dominio de difusión (está en la misma subred) por lo que aumenta eltráfico y las colisiones reduciéndose así el caudal efectivo.Todos los AP en una red puenteada comparten el mismo dominio de difusión (broadcast).Todo el tráfico de difusión (solicitudes DHCP, tráfico ARP, etc.) es enviado a cada nodo de lared. Esto congestiona los recursos del radio con tráfico no relevante.Redes enrutadas.Cuando la red crece, se hace necesario utilizar algún esquema de enrutamiento paramantener la eficiencia en el manejo de tráfico.Ventajas‣Los dominios de difusión están limitados, lo que permite unuso más eficiente del ancho debanda del radio.‣Se puede construir redes arbitrariamente grandes.‣Se dispone de una variedad de protocolos de enrutamiento y de gestión.
WiFi ofrece una conexión local. No provee la funcionalidad de enrutamiento(encaminamiento, ruteo), la cual es suministrada por los protocolos de las capas superiores. Las redes complejas usan algún tipo de protocolo de enrutamiento para retransmitir el tráficoentre nodos. WiFi provee únicamente un enlace local (entre nodos de la misma subred),hasta el nivel dos de la pila de protocolos TCP/IP.Redes Puenteadas.Para una red local inalámbrica simple, una arquitecturade tipo puente es normalmente la más adecuada.Ventajas.‣Configuración muy simple‣Es muy fácil incorporar la itinerancia (roaming).Desventajas.‣Se vuelve ineficiente al añadir muchos nodos‣Todo el tráfico de difusión (broadcast) es retransmitido.‣Virtualmente inusable en grandes redes de área extendida (WAN).La topología de red más simple desde la capa dos es la de puente (bridge).Cuando se establece un puente entre la interfaz Ethernet y la interfaz inalámbrica, se crea unconcentrador (hub) inalámbrico que se comporta de la misma manera como si todos losclientes estuvieran conectados por cable al mismo concentrador.Aunque esta configuración es simple, no es muy eficiente, puesto que cada dispositivo en lared comparte el mismo dominio de difusión (está en la misma subred) por lo que aumenta eltráfico y las colisiones reduciéndose así el caudal efectivo.Todos los AP en una red puenteada comparten el mismo dominio de difusión (broadcast).Todo el tráfico de difusión (solicitudes DHCP, tráfico ARP, etc.) es enviado a cada nodo de lared. Esto congestiona los recursos del radio con tráfico no relevante.Redes enrutadas.Cuando la red crece, se hace necesario utilizar algún esquema de enrutamiento paramantener la eficiencia en el manejo de tráfico.Ventajas‣Los dominios de difusión están limitados, lo que permite unuso más eficiente del ancho debanda del radio.‣Se puede construir redes arbitrariamente grandes.‣Se dispone de una variedad de protocolos de enrutamiento y de gestión.
Desventajas.‣Configuración
más compleja‣La itinerancia (roaming) entre AP no es soportada.La
misma red se puede hacer mucho más eficiente si enrutamos en lugar de puentear.
Estoreduce el tamaño de los dominios de difusión que ahora abarcan un solo
AP.Usar enrutamiento impide la itinerancia, lo que constituye un problema
únicamente conteléfonos IP u otros dispositivos que aspiran a mantener la
conectividad aún cuando se estánmoviendo físicamente entre las áreas de
cobertura de diferentes AP
3.2 Servicio de Roaming
3.2 Servicio de Roaming
Los AP no pueden comunicarse con otros AP por radio. Existe una modalidad especial enWiFi llamada WDS (Wireless Distribution System)- Sistema de Distribución inalámbrico-, quepermite que varios AP se comuniquen entre sí por radio, pero a expensas de unaconsiderable reducción del caudal y es frecuente encontrar problemas de interoperabilidadentre fabricantes, por lo que se desaconseja utilizar esta modalidad.Wireless Distribution System (WDS).Es posible habilitar la comunicación inalámbrica directa entre AP usando el protocolo WDS.Puede ser útil, pero tiene importantes limitaciones:‣Es probable que la implementación de WDS de diferentes fabricantes no sea compatible.‣Puesto que WiFi es half-duplex, el caudal máximo se reduce a la mitad en cada “salto”.‣WDS sólo soporta un pequeño número de AP (típicamente cinco).‣WDS puede no soportar ciertas modalidades de seguridad, tales como cifrado WPA.WDS (Sistema de Distribución Inalámbrica) es mencionado en el estándar que es la base deWiFi,pero su implementación no está especificada completamente, por lo quefrecuentemente existe incompatibilidad entre las versiones de diferentes fabricantes.Un “salto” hopen inglés, es el enlace entre dos nodos adyacentes.
3.3 Vulnerabilidades WLAN
La seguridad en las redes inalámbricas es una necesidad, dadas las características de lainformación que por ellas se transmite. Sin embargo, muchas redes inalámbricas instaladasno tienen configurada seguridad alguna, o poseen un nivel de seguridad muy débil, lo quepone en peligro la confidencialidad e integridad de dicha información.La implementación de la seguridad depende del uso que se vaya a dar a la red (casera oempresarial), si es una red existente o nueva, y del presupuesto del que se disponga paraimplantarla.La restricción de acceso mediante direcciones MAC es insuficiente, dado el gran númerode herramientas disponibles libremente para cambiar la dirección MAC de una tarjeta.El método mediante WEP con clave estática es el mínimo nivel de protección que existe.En una red casera puede ser suficiente; en una corporativa, su uso está desaconsejado, porla facilidad con la que se pueden romper las claves WEP en un entorno de alto tráfico.VPN es una alternativa interesante cuando ya se tiene una red inalámbrica, y no se poseehardware inalámbrico que soporte el protocolo 802.1x. Requiere de la instalación desoftware especializado en los clientes inalámbricos, y de uno o más servidores quemanejen las tareas de cifrado de datos, autenticación y autorización de acceso. La alternativa de 802.1x y EAP es la adecuada si los equipos de la red inalámbrica sepueden actualizar, o si se va a montar una red nueva.Finalmente, todo mecanismo de protección de información en una red debe estarenmarcado dentro de una política de seguridad adecuada
La seguridad en las redes inalámbricas es una necesidad, dadas las características de lainformación que por ellas se transmite. Sin embargo, muchas redes inalámbricas instaladasno tienen configurada seguridad alguna, o poseen un nivel de seguridad muy débil, lo quepone en peligro la confidencialidad e integridad de dicha información.La implementación de la seguridad depende del uso que se vaya a dar a la red (casera oempresarial), si es una red existente o nueva, y del presupuesto del que se disponga paraimplantarla.La restricción de acceso mediante direcciones MAC es insuficiente, dado el gran númerode herramientas disponibles libremente para cambiar la dirección MAC de una tarjeta.El método mediante WEP con clave estática es el mínimo nivel de protección que existe.En una red casera puede ser suficiente; en una corporativa, su uso está desaconsejado, porla facilidad con la que se pueden romper las claves WEP en un entorno de alto tráfico.VPN es una alternativa interesante cuando ya se tiene una red inalámbrica, y no se poseehardware inalámbrico que soporte el protocolo 802.1x. Requiere de la instalación desoftware especializado en los clientes inalámbricos, y de uno o más servidores quemanejen las tareas de cifrado de datos, autenticación y autorización de acceso. La alternativa de 802.1x y EAP es la adecuada si los equipos de la red inalámbrica sepueden actualizar, o si se va a montar una red nueva.Finalmente, todo mecanismo de protección de información en una red debe estarenmarcado dentro de una política de seguridad adecuada
UNIDAD 4
4.1 Riesgos y amenazas en las redes inalámbricas
Los
componentes de software son la piedra angular de diferentes paradigmas de
programación. Esto ha generado la aparición en el mercado de diferentes
especificaciones que plantean la forma de construir, utilizar y distribuir
componentes. Entre las más extendidas se encuentran:
Estándares
- JavaBeans,
servlest y Enterprise Java Beans de Oracle
- Open Services Gateway Initiative (OSGI) de OSGi
Alliance
Paradigmas
Los
componentes de software son útiles en:
- Programacion Orientada a Componentes
- Programacion Orientada a Objetos
- Arquitectura Orientada a Servicios (SOA)
En la especificación UML, un componente es una unidad
modular con interfaces bien definidas, que es reemplazable dentro del
contexto. Así, un componente define su comportamiento en términos de
interfaces proveídas y requerida; y dicho componente será totalmente
reemplazable por otro que cumpla con las interfaces declaradas.
UML no
coloca ninguna restricción respecto a la granularidad del componente, de esta
forma un componente podrá ser tan simple como un convertidor de moneda o tan
complejo como un sistema de ayuda semántico.
UML
no provee explícitamente reglas de consistencia entre los diferentes diagramas
que
Representen
un sistema. Esto se debe principalmente a que se busca privilegiar la
flexibilidad de uso, es decir, permitir la utilización del(los) diagrama(s) más
apropiado(s) para lograr la representación que se desea.
No
obstante lo anterior, la integración de los modelos debe ser adecuadamente
hecha con el fin de tener la consistencia necesaria a toda construcción de
múltiples modelos. La literatura no es muy numerosa en lo que se refiere a la
formalización de esta consistencia. Algunos autores han desarrollado algunos
esfuerzos principalmente enfocados en la verificación de consistencia para
herramientas de apoyo a la construcción de software, pero
generalmente se centran en unos pocos modelos con gran detalle y, en
particular, el DAct muchas veces no es considerado.
Sin el
ánimo de ser sistemático en la definición de reglas de consistencia (lo cual
sólo puede alcanzarse mediante la formalización matemática de UML), se propone
a continuación un conjunto de reglas de integración que dan un panorama amplio
de cómo relacionar los diagramas
UML en
el modelado orientado a objetos. Estas reglas son más bien flexibles, para
permitir el modelado de sistemas de información y de negocios y no sólo desoftware,
razón por la cual el DAct pasa a ser un modelo importante.
4.2. MECANISMOS DE PROTECCIÓN EN LAS REDES INALÁMBRICAS
La
seguridad es un aspecto que cobra especial relevancia cuando hablamos de redes
inalámbricas. Para tener acceso a una red cableada es imprescindible una
conexión física al cable de la red. Sin embargo, en una red inalámbrica
desplegada en una oficina un tercero podría acceder a la red sin ni siquiera
estar ubicado en las dependencias de la empresa, bastaría con que estuviese en
un lugar próximo donde le llegase la señal. Es más, en el caso de un ataque
pasivo, donde sólo se escucha la información, ni siquiera se dejan huellas que
posibiliten una identificación posterior.
Existen
4 tipos de redes inalámbricas, la basada en tecnología BlueTooth, la IrDa
(Infrared Data Association), la HomeRF y la WECA (Wi-Fi). La primera de ellas
no permite la transmisión de grandes cantidades de datos entre ordenadores de
forma continua y la segunda tecnología, estándar utilizado por los dispositivos
de ondas infrarrojas, debe permitir la visión directa entre los dos elementos
comunicantes. Las tecnología HomeRF y Wi-Fi están basados en las
especificaciones 802.11 (Ethernet Inalámbrica) y son las que utilizan
actualmente las tarjetas de red inalámbricas.
Una red
inalámbrica tiene dos componentes principales: las estaciones (STA) y los
puntos de acceso (AP). Pueden operar en dos modalidades: ad-hoc, en la que cada
cliente (STA) se comunica directamente con los otros clientes de la red y en
modalidad de infraestructura, donde las STA envían los paquetes a una estación
central, el punto de acceso. Éste AP actúa como si de un bridge Ethernet se
tratara.
El
cliente y el punto de acceso deben establecer una relación antes de poder
intercambiar datos. Esta relación puede utilizar tres estados diferentes:
1. Sin autenticación y disasociado
2. Con
autenticación y disasociado
3. Con
autenticación y asociado
El intercambio de datos 'reales' sólo es posible en el tercer estado. El AP transmite tramas con señales de gestión en periodos de tiempo regulares.
Las STA
reciben estas tramas e inician la autenticación mediante el envío de una trama
de autenticación. Una vez realizada satisfactoriamente la autenticación, la STA
envía la trama asociada y el AP responde con otra trama asociada.
La
utilización del aire como medio de transmisión de datos mediante la propagación
de ondas de radio ha proporcionado nuevos riesgos de seguridad. La salida de
estas ondas de radio fuera del edificio donde está ubicada la red permite la
exposición de los datos a posibles intrusos que podrían obtener información
sensible a la empresa y a la seguridad informática de la misma.
Varios
son los riesgos derivables de este factor. Por ejemplo, se podría perpetrar un
ataque por inserción, bien de un usuario no autorizado o por la ubicación de un
punto de acceso ilegal más potente que capte las estaciones cliente en vez del
punto de acceso legítimo, interceptando la red inalámbrica. También sería
posible crear interferencias y una más que posible denegación de servicio con
solo introducir un dispositivo que emita ondas de radio a una frecuencia de
2’4GHz (frecuencia utilizada por las redes inalámbricas).
La
posibilidad de comunicarnos entre estaciones cliente directamente, sin pasar
por el punto de acceso permitiría atacar directamente a una estación cliente,
generando problemas si esta estación cliente ofrece servicios TCP/IP o comparte
ficheros. Existe también la posibilidad de duplicar las direcciones IP o MAC de
estaciones cliente legítimas.
Los
puntos de acceso están expuestos a un ataque de Fuerza bruta para averiguar los
passwords, por lo que una configuración incorrecta de los mismos facilitaría la
irrupción en una red inalámbrica por parte de intrusos.
A pesar
de los riesgos anteriormente expuestos, existen soluciones y mecanismos de
seguridad para impedir que cualquiera con los materiales suficientes pueda
introducirse en una red. Unos mecanismos son seguros, otros, como el protocolo
WEP fácilmente ‘rompibles’ por programas distribuidos gratuitamente por
Internet.
4.2.1 PRIVACIDAD EQUIVALENTE AL CABLEADO (WEP)
El
protocolo WEP es un sistema de encriptación estándar propuesto por el comité
802.11, implementada en la capa MAC y soportada por la mayoría de vendedores de
soluciones inalámbricas. En ningún caso es comparable con IPSec. WEP comprime y
cifra los datos que se envían a través de las ondas de radio.
Se
trata del primer mecanismo implementado y fue diseñado para ofrecer un cierto
grado de privacidad, pero no puede equiparse (como a veces se hace) con
protocolos de redes tales como IPSec. WEP comprime y cifra los datos que se
envían a través de las ondas de radio.WEP utiliza una clave secreta, utilizada
para la encriptación de los paquetes antes de su retransmisión.
El
algoritmo utilizado para la encriptación es RC4. Con WEP, la tarjeta de red
encripta el cuerpo y el CRC de cada trama 802.11 antes de la transmisión
utilizando el algoritmo de encriptación RC4 proporcionado por RSA Security. La
estación receptora, sea un punto de acceso o una estación cliente es la
encargada de desencriptar la trama.
Como
parte del proceso de encriptación, WEP prepara una estructura denominada ‘seed’
obtenida tras la concatenación de la llave secreta proporcionada por el usuario
de la estación emisora con un vector de inicialización (IV) de 24 bits generada
aleatoriamente. La estación cambia el IV para cada trama transmitida.
A
continuación, WEP utiliza el ‘seed’ en un generador de números pseudoaleatorio
que produce una llave de longitud igual al payload (cuerpo más CRC) de la trama
más un valor para chequear la integridad (ICV) de 32 bits de longitud. El ICV
es un checksum que utiliza la estación receptora para recalcularla y compararla
con la enviada por la estación emisora para determinar si los datos han sido
manipulados durante su envío. Si la estación receptora recalcula un ICV que no
concuerda con el recibido en la trama, esta queda descartada e incluso puede
rechazar al emisor de la misma.
WEP
especifica una llave secreta compartida de 40 o 64 bits para encriptar y
desencriptar, utilizando la encriptación simétrica. Antes de que tome lugar la
transmisión, WEP combina la llave con el payload/ICV a través de un proceso XOR
a nivel de bit que producirá el texto cifrado. Incluyendo el IV sin encriptar
sin los primeros bytes del cuerpo de la trama. La estación receptora utiliza el
IV proporcionado junto con la llave del usuario de la estación receptora para
desencriptar la parte del payload del cuerpo de la trama.
Cuando
se transmiten mensajes con el mismo encabezado, por ejemplo el FROM de un
correo, el principio de cada payload encriptado será el mismo si se utiliza la
misma llave. Tras encriptar los datos, el principio de estas tramas será el
mismo, proporcionando un patrón que puede ayudar a los intrusos a romper el
algoritmo de encriptación. Esto se soluciona utilizando un IV diferente para
cada trama.
La
vulnerabilidad de WEP reside en la insuficiente longitud del Vector de
Inicialización (IV) y lo estáticas que permanecen las llaves de cifrado,
pudiendo no cambiar en mucho tiempo. Si utilizamos solamente 24 bits, WEP
utilizará el mismo IV para paquetes diferentes, pudiéndose repetir a partir de
un cierto tiempo de transmisión continúa. Es a partir de entonces cuando un
intruso puede, una vez recogido suficientes tramas, determinar incluso la llave
compartida.
En
cambio, 802.11 no proporciona ninguna función que soporte el intercambio de
llaves entre estaciones. Como resultado, los administradores de sistemas y los
usuarios utilizan las mismas llaves durante días o incluso meses. Algunos
vendedores han desarrollado soluciones de llaves dinámicas distribuidas. A
pesar de todo, WEP proporciona un mínimo de seguridad para pequeños negocios o
instituciones educativas, si no está deshabilitada, como se encuentra por
defecto en los distintos componentes inalámbricos.
Por
defecto, WEP está deshabilitado.
WEP2
Es una
modificación del protocolo WEP realizada el año 2001, como consecuencia de una
serie de vulnerabilidades que se descubrieron. No obstante, todavía hoy no
existe ninguna implementación completa de WEP2.
4.2.2 ACCESO WI-FI PROTEGIDO (WPA)
WPA (Wi-Fi
Protected Access, acceso protegido Wi-Fi) es la respuesta de la asociación de
empresas Wi-Fi a la seguridad que demandan los usuarios y que WEP no puede
proporcionar.
El IEEE
tiene casi terminados los trabajos de un nuevo estándar para reemplazar a WEP,
que se publicarán en la norma IEEE 802.11i a mediados de 2004. Debido a la
tardanza (WEP es de 1999 y las principales vulnerabilidades de seguridad se
encontraron en 2001), Wi-Fi decidió, en colaboración con el IEEE, tomar
aquellas partes del futuro estándar que ya estaban suficientemente maduras y
publicar así WPA. WPA es, por tanto, un subconjunto de lo que será IEEE
802.11i. WPA (2003) se está ofreciendo en los dispositivos actuales.
WPA
soluciona todas las debilidades conocidas de WEP y se considera suficientemente
seguro. Puede ocurrir incluso que usuarios que utilizan WPA no vean necesidad
de cambiar a IEEE 802.11i cuando esté disponible.
Características
de WPA
Las
principales características de WPA son la distribución dinámica de claves,
utilización más robusta del vector de inicialización (mejora de la
confidencialidad) y nuevas técnicas de integridad y autentificación.
WPA
incluye las siguientes tecnologías:
- IEEE 802.1X. Estándar del IEEE de 2001 para
proporcionar un control de acceso en redes basadas en puertos. El concepto
de puerto, en un principio pensado para las ramas de un switch, también se
puede aplicar a las distintas conexiones de un punto de acceso con las
estaciones. Las estaciones tratarán entonces de conectarse a un puerto del
punto de acceso. El punto de acceso mantendrá el puerto bloqueado
hasta que el usuario se autentifique. Con este fin se utiliza el protocolo
EAP y un servidor AAA (Authentication Authorization Accounting) como puede
ser RADIUS (Remote Authentication Dial-In User Service). Si la
autorización es positiva, entonces el punto de acceso abre el puerto. El
servidor RADIUS puede contener políticas para ese usuario concreto que
podría aplicar el punto de acceso (como priorizar ciertos tráficos o
descartar otros).
- EAP. EAP, definido en la RFC 2284, es el
protocolo de autentificación extensible para llevar a cabo las tareas de
autentificación, autorización y contabilidad. EAP fue diseñado
originalmente para el protocolo PPP (Point-to-Point Protocol), aunque WPA
lo utiliza entre la estación y el servidor RADIUS. Esta forma de
encapsulación de EAP está definida en el estándar 802.1X bajo el nombre de
EAPOL (EAP over LAN).
- TKIP (Temporal Key Integrity
Protocol). Según indica Wi-Fi, es el protocolo
encargado de la generación de la clave para cada trama.
- MIC (Message Integrity Code) o
Michael. Código que verifica la integridad de los
datos de las tramas.
Mejoras
de WPA respecto a WEP
WPA
soluciona la debilidad del vector de inicialización (IV) de WEP mediante la
inclusión de vectores del doble de longitud (48 bits) y especificando reglas de
secuencia que los fabricantes deben implementar. Los 48 bits permiten generar 2
elevado a 48 combinaciones de claves diferentes, lo cual parece un número
suficientemente elevado como para tener duplicados. El algoritmo utilizado por
WPA sigue siendo RC4. La secuencia de los IV, conocida por ambos extremos de la
comunicación, se puede utilizar para evitar ataques de repetición de tramas
(replay).
Para la
integridad de los mensajes (ICV), se ha eliminado el CRC-32 que se demostró
inservible en WEP y se ha incluido un nuevo código denominado MIC.
Las
claves ahora son generadas dinámicamente y distribuidas de forma automática por
lo que se evita tener que modificarlas manualmente en cada uno de los elementos
de red cada cierto tiempo, como ocurría en WEP.
Para la
autentificación, se sustituye el mecanismo de autentificación de secreto
compartido de WEP así como la posibilidad de verificar las direcciones MAC de
las estaciones por la terna 802.1X / EAP / RADIUS. Su inconveniente es que
requiere de una mayor infraestructura: un servidor RADIUS funcionando en la
red, aunque también podría utilizarse un punto de acceso con esta
funcionalidad.
Modos de funcionamiento de WPA
WPA
puede funcionar en dos modos:
- Con servidor AAA, RADIUS normalmente.
Este es el modo indicado para las empresas. Requiere un servidor
configurado para desempeñar las tareas de autentificación, autorización y
contabilidad.
- Con clave inicial compartida (PSK). Este
modo está orientado para usuarios domésticos o pequeñas redes. No requiere
un servidor AAA, sino que se utiliza una clave compartida en las
estaciones y punto de acceso. Al contrario que en WEP, esta clave sólo se
utiliza como punto de inicio para la autentificación, pero no para el
cifrado de los datos.
WPA2 (IEEE
802.11i)
802.11i
es el nuevo estándar del IEEE para proporcionar seguridad en redes WLAN. Se
espera que esté concluido todo el proceso de estandarización para mediados de
2004. Wi-Fi está haciendo una implementación completa del estándar en la
especificación WPA2. Sus especificaciones no son públicas por lo que la
cantidad de información disponible en estos momentos es realmente escasa.
WPA2
incluye el nuevo algoritmo de cifrado AES (Advanced Encryption Standard),
desarrollado por el NIS. Se trata de un algoritmo de cifrado de bloque (RC4 es
de flujo) con claves de 128 bits. Requerirá un hardware potente para realizar
sus algoritmos. Este aspecto es importante puesto que significa que
dispositivos antiguos sin suficientes capacidades de proceso no podrán
incorporar WPA2.
Para el
aseguramiento de la integridad y autenticidad de los mensajes, WPA2 utiliza
CCMP (Counter-Mode / Cipher Block Chaining / Message Authentication Code
Protocol) en lugar de los códigos MIC.
Otra
mejora respecto a WPA es que WPA2 incluirá soporte no sólo para el modo BSS
sino también para el modo IBSS (redes ad-hoc).
4.2.3 Listas de Control de Acceso (Filtrado
MAC)
La mayoría de 802,11 (Wi-Fi), los puntos de
acceso permiten al administrador de la red para entrar en una lista de MAC
(Media Access Control) se ocupa de que se les permite comunicarse en la red.
Esta funcionalidad, conocida como dirección MAC
Filtrados permite al administrador de red para denegar el acceso a cualquier
dirección MAC que no esté específicamente permitido en la red. Esto exige que
cada nuevo dispositivo de la red tiene su dirección MAC, entró en la base de
datos como un dispositivo autorizado.
Por otra parte, más 802,11 (Wi-Fi), tarjetas le
permiten configurar la dirección MAC de la tarjeta en el software. Por lo
tanto, si usted puede oler la dirección MAC de un nodo de red, es posible
unirse a la red usando la dirección MAC de ese nodo.
Suscribirse a:
Entradas (Atom)