4.1 Riesgos y amenazas en las redes inalámbricas
Los
componentes de software son la piedra angular de diferentes paradigmas de
programación. Esto ha generado la aparición en el mercado de diferentes
especificaciones que plantean la forma de construir, utilizar y distribuir
componentes. Entre las más extendidas se encuentran:
Estándares
- JavaBeans,
servlest y Enterprise Java Beans de Oracle
- Open Services Gateway Initiative (OSGI) de OSGi
Alliance
Paradigmas
Los
componentes de software son útiles en:
- Programacion Orientada a Componentes
- Programacion Orientada a Objetos
- Arquitectura Orientada a Servicios (SOA)
En la especificación UML, un componente es una unidad
modular con interfaces bien definidas, que es reemplazable dentro del
contexto. Así, un componente define su comportamiento en términos de
interfaces proveídas y requerida; y dicho componente será totalmente
reemplazable por otro que cumpla con las interfaces declaradas.
UML no
coloca ninguna restricción respecto a la granularidad del componente, de esta
forma un componente podrá ser tan simple como un convertidor de moneda o tan
complejo como un sistema de ayuda semántico.
UML
no provee explícitamente reglas de consistencia entre los diferentes diagramas
que
Representen
un sistema. Esto se debe principalmente a que se busca privilegiar la
flexibilidad de uso, es decir, permitir la utilización del(los) diagrama(s) más
apropiado(s) para lograr la representación que se desea.
No
obstante lo anterior, la integración de los modelos debe ser adecuadamente
hecha con el fin de tener la consistencia necesaria a toda construcción de
múltiples modelos. La literatura no es muy numerosa en lo que se refiere a la
formalización de esta consistencia. Algunos autores han desarrollado algunos
esfuerzos principalmente enfocados en la verificación de consistencia para
herramientas de apoyo a la construcción de software, pero
generalmente se centran en unos pocos modelos con gran detalle y, en
particular, el DAct muchas veces no es considerado.
Sin el
ánimo de ser sistemático en la definición de reglas de consistencia (lo cual
sólo puede alcanzarse mediante la formalización matemática de UML), se propone
a continuación un conjunto de reglas de integración que dan un panorama amplio
de cómo relacionar los diagramas
UML en
el modelado orientado a objetos. Estas reglas son más bien flexibles, para
permitir el modelado de sistemas de información y de negocios y no sólo desoftware,
razón por la cual el DAct pasa a ser un modelo importante.
4.2. MECANISMOS DE PROTECCIÓN EN LAS REDES INALÁMBRICAS
La
seguridad es un aspecto que cobra especial relevancia cuando hablamos de redes
inalámbricas. Para tener acceso a una red cableada es imprescindible una
conexión física al cable de la red. Sin embargo, en una red inalámbrica
desplegada en una oficina un tercero podría acceder a la red sin ni siquiera
estar ubicado en las dependencias de la empresa, bastaría con que estuviese en
un lugar próximo donde le llegase la señal. Es más, en el caso de un ataque
pasivo, donde sólo se escucha la información, ni siquiera se dejan huellas que
posibiliten una identificación posterior.
Existen
4 tipos de redes inalámbricas, la basada en tecnología BlueTooth, la IrDa
(Infrared Data Association), la HomeRF y la WECA (Wi-Fi). La primera de ellas
no permite la transmisión de grandes cantidades de datos entre ordenadores de
forma continua y la segunda tecnología, estándar utilizado por los dispositivos
de ondas infrarrojas, debe permitir la visión directa entre los dos elementos
comunicantes. Las tecnología HomeRF y Wi-Fi están basados en las
especificaciones 802.11 (Ethernet Inalámbrica) y son las que utilizan
actualmente las tarjetas de red inalámbricas.
Una red
inalámbrica tiene dos componentes principales: las estaciones (STA) y los
puntos de acceso (AP). Pueden operar en dos modalidades: ad-hoc, en la que cada
cliente (STA) se comunica directamente con los otros clientes de la red y en
modalidad de infraestructura, donde las STA envían los paquetes a una estación
central, el punto de acceso. Éste AP actúa como si de un bridge Ethernet se
tratara.
El
cliente y el punto de acceso deben establecer una relación antes de poder
intercambiar datos. Esta relación puede utilizar tres estados diferentes:
1. Sin autenticación y disasociado
2. Con
autenticación y disasociado
3. Con
autenticación y asociado
El intercambio de datos 'reales' sólo es posible en el tercer estado. El AP transmite tramas con señales de gestión en periodos de tiempo regulares.
Las STA
reciben estas tramas e inician la autenticación mediante el envío de una trama
de autenticación. Una vez realizada satisfactoriamente la autenticación, la STA
envía la trama asociada y el AP responde con otra trama asociada.
La
utilización del aire como medio de transmisión de datos mediante la propagación
de ondas de radio ha proporcionado nuevos riesgos de seguridad. La salida de
estas ondas de radio fuera del edificio donde está ubicada la red permite la
exposición de los datos a posibles intrusos que podrían obtener información
sensible a la empresa y a la seguridad informática de la misma.
Varios
son los riesgos derivables de este factor. Por ejemplo, se podría perpetrar un
ataque por inserción, bien de un usuario no autorizado o por la ubicación de un
punto de acceso ilegal más potente que capte las estaciones cliente en vez del
punto de acceso legítimo, interceptando la red inalámbrica. También sería
posible crear interferencias y una más que posible denegación de servicio con
solo introducir un dispositivo que emita ondas de radio a una frecuencia de
2’4GHz (frecuencia utilizada por las redes inalámbricas).
La
posibilidad de comunicarnos entre estaciones cliente directamente, sin pasar
por el punto de acceso permitiría atacar directamente a una estación cliente,
generando problemas si esta estación cliente ofrece servicios TCP/IP o comparte
ficheros. Existe también la posibilidad de duplicar las direcciones IP o MAC de
estaciones cliente legítimas.
Los
puntos de acceso están expuestos a un ataque de Fuerza bruta para averiguar los
passwords, por lo que una configuración incorrecta de los mismos facilitaría la
irrupción en una red inalámbrica por parte de intrusos.
A pesar
de los riesgos anteriormente expuestos, existen soluciones y mecanismos de
seguridad para impedir que cualquiera con los materiales suficientes pueda
introducirse en una red. Unos mecanismos son seguros, otros, como el protocolo
WEP fácilmente ‘rompibles’ por programas distribuidos gratuitamente por
Internet.
4.2.1 PRIVACIDAD EQUIVALENTE AL CABLEADO (WEP)
El
protocolo WEP es un sistema de encriptación estándar propuesto por el comité
802.11, implementada en la capa MAC y soportada por la mayoría de vendedores de
soluciones inalámbricas. En ningún caso es comparable con IPSec. WEP comprime y
cifra los datos que se envían a través de las ondas de radio.
Se
trata del primer mecanismo implementado y fue diseñado para ofrecer un cierto
grado de privacidad, pero no puede equiparse (como a veces se hace) con
protocolos de redes tales como IPSec. WEP comprime y cifra los datos que se
envían a través de las ondas de radio.WEP utiliza una clave secreta, utilizada
para la encriptación de los paquetes antes de su retransmisión.
El
algoritmo utilizado para la encriptación es RC4. Con WEP, la tarjeta de red
encripta el cuerpo y el CRC de cada trama 802.11 antes de la transmisión
utilizando el algoritmo de encriptación RC4 proporcionado por RSA Security. La
estación receptora, sea un punto de acceso o una estación cliente es la
encargada de desencriptar la trama.
Como
parte del proceso de encriptación, WEP prepara una estructura denominada ‘seed’
obtenida tras la concatenación de la llave secreta proporcionada por el usuario
de la estación emisora con un vector de inicialización (IV) de 24 bits generada
aleatoriamente. La estación cambia el IV para cada trama transmitida.
A
continuación, WEP utiliza el ‘seed’ en un generador de números pseudoaleatorio
que produce una llave de longitud igual al payload (cuerpo más CRC) de la trama
más un valor para chequear la integridad (ICV) de 32 bits de longitud. El ICV
es un checksum que utiliza la estación receptora para recalcularla y compararla
con la enviada por la estación emisora para determinar si los datos han sido
manipulados durante su envío. Si la estación receptora recalcula un ICV que no
concuerda con el recibido en la trama, esta queda descartada e incluso puede
rechazar al emisor de la misma.
WEP
especifica una llave secreta compartida de 40 o 64 bits para encriptar y
desencriptar, utilizando la encriptación simétrica. Antes de que tome lugar la
transmisión, WEP combina la llave con el payload/ICV a través de un proceso XOR
a nivel de bit que producirá el texto cifrado. Incluyendo el IV sin encriptar
sin los primeros bytes del cuerpo de la trama. La estación receptora utiliza el
IV proporcionado junto con la llave del usuario de la estación receptora para
desencriptar la parte del payload del cuerpo de la trama.
Cuando
se transmiten mensajes con el mismo encabezado, por ejemplo el FROM de un
correo, el principio de cada payload encriptado será el mismo si se utiliza la
misma llave. Tras encriptar los datos, el principio de estas tramas será el
mismo, proporcionando un patrón que puede ayudar a los intrusos a romper el
algoritmo de encriptación. Esto se soluciona utilizando un IV diferente para
cada trama.
La
vulnerabilidad de WEP reside en la insuficiente longitud del Vector de
Inicialización (IV) y lo estáticas que permanecen las llaves de cifrado,
pudiendo no cambiar en mucho tiempo. Si utilizamos solamente 24 bits, WEP
utilizará el mismo IV para paquetes diferentes, pudiéndose repetir a partir de
un cierto tiempo de transmisión continúa. Es a partir de entonces cuando un
intruso puede, una vez recogido suficientes tramas, determinar incluso la llave
compartida.
En
cambio, 802.11 no proporciona ninguna función que soporte el intercambio de
llaves entre estaciones. Como resultado, los administradores de sistemas y los
usuarios utilizan las mismas llaves durante días o incluso meses. Algunos
vendedores han desarrollado soluciones de llaves dinámicas distribuidas. A
pesar de todo, WEP proporciona un mínimo de seguridad para pequeños negocios o
instituciones educativas, si no está deshabilitada, como se encuentra por
defecto en los distintos componentes inalámbricos.
Por
defecto, WEP está deshabilitado.
WEP2
Es una
modificación del protocolo WEP realizada el año 2001, como consecuencia de una
serie de vulnerabilidades que se descubrieron. No obstante, todavía hoy no
existe ninguna implementación completa de WEP2.
4.2.2 ACCESO WI-FI PROTEGIDO (WPA)
WPA (Wi-Fi
Protected Access, acceso protegido Wi-Fi) es la respuesta de la asociación de
empresas Wi-Fi a la seguridad que demandan los usuarios y que WEP no puede
proporcionar.
El IEEE
tiene casi terminados los trabajos de un nuevo estándar para reemplazar a WEP,
que se publicarán en la norma IEEE 802.11i a mediados de 2004. Debido a la
tardanza (WEP es de 1999 y las principales vulnerabilidades de seguridad se
encontraron en 2001), Wi-Fi decidió, en colaboración con el IEEE, tomar
aquellas partes del futuro estándar que ya estaban suficientemente maduras y
publicar así WPA. WPA es, por tanto, un subconjunto de lo que será IEEE
802.11i. WPA (2003) se está ofreciendo en los dispositivos actuales.
WPA
soluciona todas las debilidades conocidas de WEP y se considera suficientemente
seguro. Puede ocurrir incluso que usuarios que utilizan WPA no vean necesidad
de cambiar a IEEE 802.11i cuando esté disponible.
Características
de WPA
Las
principales características de WPA son la distribución dinámica de claves,
utilización más robusta del vector de inicialización (mejora de la
confidencialidad) y nuevas técnicas de integridad y autentificación.
WPA
incluye las siguientes tecnologías:
- IEEE 802.1X. Estándar del IEEE de 2001 para
proporcionar un control de acceso en redes basadas en puertos. El concepto
de puerto, en un principio pensado para las ramas de un switch, también se
puede aplicar a las distintas conexiones de un punto de acceso con las
estaciones. Las estaciones tratarán entonces de conectarse a un puerto del
punto de acceso. El punto de acceso mantendrá el puerto bloqueado
hasta que el usuario se autentifique. Con este fin se utiliza el protocolo
EAP y un servidor AAA (Authentication Authorization Accounting) como puede
ser RADIUS (Remote Authentication Dial-In User Service). Si la
autorización es positiva, entonces el punto de acceso abre el puerto. El
servidor RADIUS puede contener políticas para ese usuario concreto que
podría aplicar el punto de acceso (como priorizar ciertos tráficos o
descartar otros).
- EAP. EAP, definido en la RFC 2284, es el
protocolo de autentificación extensible para llevar a cabo las tareas de
autentificación, autorización y contabilidad. EAP fue diseñado
originalmente para el protocolo PPP (Point-to-Point Protocol), aunque WPA
lo utiliza entre la estación y el servidor RADIUS. Esta forma de
encapsulación de EAP está definida en el estándar 802.1X bajo el nombre de
EAPOL (EAP over LAN).
- TKIP (Temporal Key Integrity
Protocol). Según indica Wi-Fi, es el protocolo
encargado de la generación de la clave para cada trama.
- MIC (Message Integrity Code) o
Michael. Código que verifica la integridad de los
datos de las tramas.
Mejoras
de WPA respecto a WEP
WPA
soluciona la debilidad del vector de inicialización (IV) de WEP mediante la
inclusión de vectores del doble de longitud (48 bits) y especificando reglas de
secuencia que los fabricantes deben implementar. Los 48 bits permiten generar 2
elevado a 48 combinaciones de claves diferentes, lo cual parece un número
suficientemente elevado como para tener duplicados. El algoritmo utilizado por
WPA sigue siendo RC4. La secuencia de los IV, conocida por ambos extremos de la
comunicación, se puede utilizar para evitar ataques de repetición de tramas
(replay).
Para la
integridad de los mensajes (ICV), se ha eliminado el CRC-32 que se demostró
inservible en WEP y se ha incluido un nuevo código denominado MIC.
Las
claves ahora son generadas dinámicamente y distribuidas de forma automática por
lo que se evita tener que modificarlas manualmente en cada uno de los elementos
de red cada cierto tiempo, como ocurría en WEP.
Para la
autentificación, se sustituye el mecanismo de autentificación de secreto
compartido de WEP así como la posibilidad de verificar las direcciones MAC de
las estaciones por la terna 802.1X / EAP / RADIUS. Su inconveniente es que
requiere de una mayor infraestructura: un servidor RADIUS funcionando en la
red, aunque también podría utilizarse un punto de acceso con esta
funcionalidad.
Modos de funcionamiento de WPA
WPA
puede funcionar en dos modos:
- Con servidor AAA, RADIUS normalmente.
Este es el modo indicado para las empresas. Requiere un servidor
configurado para desempeñar las tareas de autentificación, autorización y
contabilidad.
- Con clave inicial compartida (PSK). Este
modo está orientado para usuarios domésticos o pequeñas redes. No requiere
un servidor AAA, sino que se utiliza una clave compartida en las
estaciones y punto de acceso. Al contrario que en WEP, esta clave sólo se
utiliza como punto de inicio para la autentificación, pero no para el
cifrado de los datos.
WPA2 (IEEE
802.11i)
802.11i
es el nuevo estándar del IEEE para proporcionar seguridad en redes WLAN. Se
espera que esté concluido todo el proceso de estandarización para mediados de
2004. Wi-Fi está haciendo una implementación completa del estándar en la
especificación WPA2. Sus especificaciones no son públicas por lo que la
cantidad de información disponible en estos momentos es realmente escasa.
WPA2
incluye el nuevo algoritmo de cifrado AES (Advanced Encryption Standard),
desarrollado por el NIS. Se trata de un algoritmo de cifrado de bloque (RC4 es
de flujo) con claves de 128 bits. Requerirá un hardware potente para realizar
sus algoritmos. Este aspecto es importante puesto que significa que
dispositivos antiguos sin suficientes capacidades de proceso no podrán
incorporar WPA2.
Para el
aseguramiento de la integridad y autenticidad de los mensajes, WPA2 utiliza
CCMP (Counter-Mode / Cipher Block Chaining / Message Authentication Code
Protocol) en lugar de los códigos MIC.
Otra
mejora respecto a WPA es que WPA2 incluirá soporte no sólo para el modo BSS
sino también para el modo IBSS (redes ad-hoc).
4.2.3 Listas de Control de Acceso (Filtrado
MAC)
La mayoría de 802,11 (Wi-Fi), los puntos de
acceso permiten al administrador de la red para entrar en una lista de MAC
(Media Access Control) se ocupa de que se les permite comunicarse en la red.
Esta funcionalidad, conocida como dirección MAC
Filtrados permite al administrador de red para denegar el acceso a cualquier
dirección MAC que no esté específicamente permitido en la red. Esto exige que
cada nuevo dispositivo de la red tiene su dirección MAC, entró en la base de
datos como un dispositivo autorizado.
Por otra parte, más 802,11 (Wi-Fi), tarjetas le
permiten configurar la dirección MAC de la tarjeta en el software. Por lo
tanto, si usted puede oler la dirección MAC de un nodo de red, es posible
unirse a la red usando la dirección MAC de ese nodo.
No hay comentarios.:
Publicar un comentario