Wlan Wman
Wlan Wman
REDES INALAMBRICAS
Superior
Redes Inalambricas/51170
02 de Noviembre de 2022
INTRODUCCIÓN
En la actualidad las redes inalámbricas de área local, de sus siglas en inglés Wireless
Local Area Network (WLAN) han encontrado una variedad de escenarios de aplicación,
tanto en el ámbito residencial como en entornos empresariales, por las ventajas que
poseen en cuanto a la movilidad, facilidad de instalación y flexibilidad ya que permiten
llegar a zonas donde no es posible el cableado o este resulta más costoso. Es por ello,
que las empresas analizan la viabilidad de realizar un proceso de actualización de sus
redes e introducen redes inalámbricas como complemento de las redes cableadas.
En las universidades, además del riesgo de sufrir ataques desde fuera de su perímetro,
se ofrecen servicios a distintos tipos de clientes: usuarios administrativos, no docentes,
y usuarios del ámbito académico, compuestos por profesores, investigadores y
estudiantes, algunos de los cuales pueden ser personas con conocimientos sobre cómo
vulnerar la seguridad de la red. En este sentido, resulta imprescindible disponer de
políticas de seguridad para este tipo de entorno, de manera que permitan garantizar a
un nivel aceptable, la autenticidad, disponibilidad y confidencialidad de la información
que se genera y se transmite y con ello el funcionamiento de la red.
Una WLAN conecta los nodos de la red local utilizando tecnología de radio en lugar de
conexiones por cable. Wi-Fi es un tipo específico de WLAN que cumple con el estándar
técnico, pero antes de que pretendas entenderlo, es importante que conozcas los
conexión de varias computadoras en una red local, ya que todas ellas deberán estar
conectadas a este para posteriormente comunicarse con los demás nodos. En el caso
de las WLAN se utiliza un enrutador inalámbrico, el cuál transforma los datos recibidos
en ondas de radio para posteriormente compartirlas con los miembros de la red en
cuestión.
Una vez que entiendes lo que es un enrutador, se te hace mucho más sencillo entender
El funcionamiento de una red WLAN es bastante sencillo; todos los equipos de la red se
posteriormente hacerlos llegar a su destino, que sería otro dispositivo dentro de la red.
canales sin que interfieran entre sí, agilizando mucho más las comunicaciones dentro
de la red.
INFRAESTRUCTURA DE LA WLAN
Uso de cables
La diferencia más evidente entre una y otra está en la dependencia del LAN del
cableado, mientras que las WLAN prescinden de este. Este factor hace que la segunda
sea mucho más práctica y fácil de instalar, así como también más económica, ya que
no necesitas invertir en varios metros de cable para conectar, por ejemplo, el ordenador
Velocidad de trasmisión
Si bien actualmente contamos con tecnologías muy potentes, sigue habiendo una
importante brecha en la velocidad de la transmisión de datos entre una red LAN y una
WLAN, siendo la primera mucho más eficiente en ese sentido. Sin embargo, con la
llegada del estándar IEEE 802.11ax, se podría acortar esta brecha y conseguir
conexiones inalámbricas tan potentes como las cableadas, como sería el caso del
revolucionario WiFi 6.
Las LAN inalámbricas pueden acomodar varias topologías de red. El estándar 802.11
Modo Ad hoc
Es cuando dos dispositivos se conectan de forma inalámbrica de igual a igual (P2P) sin
Modo infraestructura
Tethering
datos móviles está habilitado para crear un punto de acceso personal. En ocasiones se
refiere a esta característica como “anclaje a red (tethering)”. Un punto de acceso suele
ser una solución rápida temporal que permite que un smartphone brinde los servicios
ESTANDARES EN WLAN
Los estándares Wi-Fi han experimentado una evolución muy interesante con el paso de
los años. Dicha evolución hizo posible la llegada de numerosas mejoras que se
multidispositivo.
inalámbricas. El primer estándar Wi-Fi del año 1997 permitió transferir datos a 1
Mbps.
IEEE 802.11a: se desarrolló sobre la base del estándar IEEE 802.11. Llegó en
Mbps.
IEEE 802.11b: fue el primer estándar desarrollado a finales de los años noventa.
IEEE 802.11g: también utiliza la banda de 2,4 GHz. Con este estándar, la
partir de 2003.
Gbps.
IEEE 802.11be: será el próximo gran salto en conectividad Wi-Fi. Está previsto
para 2024, trabajará en las bandas de 2,4 GHz, 5 GHz y 6 GHz, y promete
Actualmente, los estándares Wi-Fi más utilizados son el Wi-Fi 4, anteriormente conocido
como Wi-Fi N, y el estándar Wi-Fi 5, conocido en el pasado como Wi-Fi AC. El estándar
Wi-Fi 6 tiene un grado de adopción cada vez mayor, pero la transición comenzó hace
relativamente poco, así que todavía queda un largo camino por delante hasta que se
de la cocina, la ropa que llevamos puesta, todo nuestro entorno estará también
conectado a la red. Además, exigimos una conexión cada vez más rápida, eficiente y
necesidad.
inalámbricas son imprescindibles, en este artículo hablaremos del llamado 5G. Cuando
hablamos de redes inalámbricas, la «G» significa generación. Y del mismo modo que
conectados a la red. Esta nueva realidad precisa de un nuevo protocolo. Eso será el 5G.
La tecnología inalámbrica comenzó con el 1G. En los años 90 conocimos el 2G, aquel
tiempo en que los dispositivos nos permitían enviar SMS. Quizás lo que más te suene
es el 3G, que nos permitió, no sólo llamar y enviar SMS, sino también navegar por
internet. Y el 4G, a grandes rasgos, llegó para mejorar las ventajas del 3G, destacando
Pero la cosa no quedó ahí, al 4G se le añadió el LTE (Long Term Evolution), que lo hizo
¿Qué permitirá?
El 5G nos permitirá seguir realizando las llamadas, enviar mensajes y navegar por
internet. Hasta aquí nada nuevo. La diferencia es que la velocidad será mucho más
rápida. A efectos prácticos, por poner un ejemplo, el descargar y subir archivos pesados,
Y además del aumento de la velocidad, estará preparado para soportar que millones de
Actualmente, la velocidad de transmisión del 4G LTE llega hasta el gigabit por segundo.
Desde hace casi un año, algunas compañías están realizando pruebas en algunas
de manera interna en sus instalaciones. Sin embargo, las predicciones hablan de una
Vehículos autónomos
Las redes 5G estarán preparadas para responder lo suficientemente rápido como para
Podemos imaginar carreteras sin semáforos, por ejemplo. Una vez que todos los
Videoconferencias
El 5G nos permitirá comunicarnos de una forma más visual. Podremos hablar desde
cualquier lugar, con cualquier persona, esté donde esté, a través de videos tan nítidos
Telemedicina
La medicina por control remoto será una realidad gracias al 5G, que permitirá a los
médicos realizar una intervención o practicar una cirugía de manera remota. Sí, como
lo lees; los retrasos en la conexión con el 5G son tan minúsculos, que los médicos
podrán utilizar robots para operar a una persona que puede estar a miles de kilómetros.
necesario que estemos atentos y aprovechamos las oportunidades que nos ofrecerán
hora de disfrutar de todo tipo de contenidos en internet. Por fin podíamos decir adios a
los cables... o casi. Y sin embargo, esa comodidad ha estado siempre comprometida
por la seguridad de esas conexiones, que una y otra vez ha demostrado ser insuficiente.
han sumado las vulnerabilidades que también afectaron al protocolo WPA y, por ultimo,
al protocolo wpa2 que parecía protegernos de forma razonable. Así es como nuestras
El lanzamiento del estándar IEEE 802.11 para conexiones inalámbricas que se ratificó
Equivalent Privacy (WEP) curioso que el acrónimo haga uso de la palabra "Wired" y no
cable.
El protocolo WEP hacía uso del cifrado RC4 y del mecanismo CRC-32 para la integridad,
y el sistema estándar de 64 bits hacía uso de una clave de 40 bits que se concatenaba
con un vector de inicialización (IV) de 24 bits para conformar la clave RC4. A cualquiera
que haya usado este protocolo le resultarán familiares esas clave WEP de 64 bits, pero
en formato hexadecimal, que hacían que al conectarnos a una red WiFi con esa
seguridad tuviésemos que introducir esos diez caracteres exadecimales (números del 0
al 9, letras de la A a la F).
Aquel protocolo demostró su debilidad en 2001, cuando Scott R. Fluhrer, Itsik Mantin y
Adi Shamir publicaron un estudio sobre los problemas del cifrado RC4 y cómo descifrar
esas claves era posible en un tiempo reducido espiando una de estas conexiones e
punto de acceso. De hecho si el tráfico era bajo, era posible inyectar y "estimular"
paquetes de respuesta que servían para lograr que la cantidad de IVs permitiese luego
su validez durante años, predefiniendo redes WiFi en los routers que suministraban a
inalámbricas trataron de corregirse con el desarrollo del estándar IEEE 802.11i, que no
llegaría hasta un año después. La urgencia de la situación hizo que la Wi-Fi Alliance
sacara una versión preliminar de ese estándar, y es así como en 2003 apareció en
Una de las ideas de WPA era poder ser aplicable como una actualización del firmware
de muchos routers y otros equipos de comunicaciones, pero resultó que los puntos de
acceso y routers necesitaban contar con algunos requisitos adicionales, lo que hizo que
El protagonista de ese protocolo WPA que cumplía con parte de la especificación IEEE
802.11i era el llamado Temporal Key Integrity Protocolo (TKIP), que se diferenciaba del
protocolo WEP en un tema clave: mientras que la clave tradicional WEP de 64 o 128
bits no cambiaba, con TKIP se implementaba una "clave por paquete", lo que hacía que
se generara una nueva clave de 128 bits por cada paquete, algo que evitaba que este
conocido popularmente como MICHAEL, que servía para proporcionar integridad a todo
el sistema, pero de nuevo se comprobó que aquello no era suficiente para asegurar
estas conexiones. Martin Beck uno de los creadores de la suite aircrack-ng y Erik Twes
redes WPA eran factibles haciendo uso de parte de lo que ya se había logrado en los
célebres ataques Chopchop a las redes WEP. Su documento 'Practical attacks against
WEP and WPA" se convirtió en todo un referente en este tipo de estudios, pero este
Pronto aparecerían variaciones como la de Mathy Banhoef y Frank Piessens, que con
demostrar cómo era posible inyectar paquetes y descifrarlos, algo que podía ser
A este protocolo le fallaba otra pata: la de las contraseñas. Aunque los fabricantes de
relativamente fuertes por defecto para proteger las redes WiFi predefinidas en sus
Esas contraseñas débiles acababan siendo el verdadero problema de unas redes WiFi
que quedaban desprotegidas ante los ataques de fuerza bruta con diccionario. Las
se hicieron famosas por integrar herramientas capaces de atacar redes WiFi que usaran
el protocolo WPA.
Estas suites permitían forzar a un cliente a desconectarse para volver a negociar la
conexión con el punto de acceso, algo que daba acceso al llamado 4-way TKIP
contraseña WiFi por fuerza bruta a través (normalmente) del uso de un diccionario.
handshake con cada palabra del diccionario, y si está en ellos, el atacante logra obtener
la contraseña.
y fuerza bruta están destinados a descifrar contraseñas WiFi de redes WPA (y WPA2)
que son débiles por longitud o por usar palabras muy populares. La capacidad de cálculo
necesaria para acelerar los cálculos ha hecho que hayan aparecido herramientas que
usan GPUs en lugar de CPUs para hacer esos cálculos (hashtag es una de las más
descifrar esos handshakes de forma gratuita y sin que uses tus propios recursos.
Uno de los problemas que imponían las conexiones WiFi era lo incómodo que era
conectar cierto tipo de dispositivos para que aprovechasen esta capacidad. Las
Así es como nació Wi-Fi Protected Setup (WPS), un estándar para crear una red
Sin embargo WPS acabó convirtiéndose en una condena más para la seguridad de las
conexiones WPA y WPA2. Una vulnerabilidad detectada en diciembre de 2011 por parte
de Stefan Viehböck dejaba claro que aquel protocolo estaba expuesto a un ataque que
permitía conseguir la clave WiFi sin necesidad de diccionarios o del proceso con el que
cómo un ataque por fuerza bruta hacía factible superar la seguridad de los protocolos
WPA y WPA2, y concluía con una recomendación a los usuarios: desactivar WPS, algo
Ese ataque online tuvo una alternativa offline con el ataque "Pixie Dust" descubierto en
2014 por Dominique Bongard, que no estaba siempre disponible pero que sí afectaba a
unos cuantos fabricantes de chips WiFi. Tanto el uno como el otro fueron integrados en
como pixieWPS o Reaver que permitían atacar a este tipo de redes de forma
Hace la friolera de 13 años que tenemos teórico protocolo seguro para nuestras redes
WiFi. Fue en 2004 cuando se lanzó por fin WPA2, la segunda versión de WPA que era
En WPA2 se sustituyen tanto TKIP como el cifrado RC4 que se usó tanto en WEP y en
llamado Counter Mode with Cipher Block Chaining Message Authentication Code
Protocol (CCMP). Era además posible configurar WPA2 con TKIP como forma
El protocolo ha demostrado ser mucho más resistente a ataques que sus predecesores,
pero eso no significa que sea inmune. La vulnerabilidad llamada Hole196 aprovecha la
implementación del Group Temporal Key (GTK), que teóricamente hacía uso de un
sistema aleatorio que impedía ataques a esa parte del sistema. Sin embargo el uso de
A ese problema se le suman al menos otros dos. El primero, una vez más, el uso de
contraseñas débiles que pueden también ser descifradas mediante ataques de fuerza
cliente (usuario) de su red WiFi y generar una página web que simule la que generaría
su router. Esto haría creer al usuario que se ha perdido la conexión por algún conflicto
y que con introducir la contraseña a su red WiFi desaparecerá el problema: lo que está
haciendo en realidad es confesarle al atacante esa contraseña WiFi sin darse cuenta.
demostrar que nuestras conexiones WiFi siguen sin estar protegidas aun cuando
"acceder a la información que hasta ahora se asumía que estaba cifrada de forma
segura".
El ataque permite por tanto acceder a información sensible que transmitimos a través
mensajes de chat, correos o fotos, y "funciona con todas las redes WiFi", siendo además
¿Hay solución? Sí: la de que los fabricantes ofrezcan una actualización del firmware de
(portátiles, smartphones y tablets sobre todo) también ofrezcan esos parches para atajar
tarden en llegar o incluso no lleguen nunca, por lo que hacer uso de mecanismos
datos sensibles.
En lo que se refiere a seguridad, las redes LAN son casi infranqueables, ya que para
que alguien pueda acceder a ellas se necesita tener acceso directo a uno de los
hardware de la misma.
Las WLAN no pueden presumir de lo mismo, ya que al utilizar una señal por microondas
u ondas de radio, esta puede ser interceptada por un dispositivo externo a la red, y así
permitir que cualquiera esté al alcance de los datos que se intercambian por esta vía.
muchos flancos abiertos para que terceros las ataquen. No es extraño conocer personas
que tienen fallas de seguridad con su WiFi, el cual es el menor de los problemas, ya que
una persona con verdaderas intenciones maliciosas podría acceder a mucha más
relacionado a la criptografía de estas, el simple hecho de que cualquiera dentro del radio
de acción de la red pueda captar e interceptar la señal de la misma, hace que también
Los protocolos de seguridad que se pueden aplicar en redes WLAN son diversos,
entre ellos están: privacidad equivalente al cableado (WEP), acceso protegido Wi-Fi
(WPA), IEEE 802.11i y acceso protegido Wi-Fi2 (WPA2), aunque también se pueden
utilizar otros mecanismos como las listas de control de acceso (ACL) que también se
aplican a otros tipos de redes, pero al ser las redes inalámbricas, una extensión de las
redes cableadas, puede ser aplicada a las mismas.
Como parte del estándar 802.11, cada dispositivo tiene una dirección MAC asignada por
el fabricante. Para incrementar la seguridad inalámbrica es posible configurar en el AP
una lista de direcciones MAC aceptando solo las MAC de los dispositivos autorizados a
acceder a la red. Esta técnica tiende a ser compleja si es implementada en grandes
organizaciones, puede consumir tiempo en configuración y mantenimiento, por lo que
se recomienda su uso en redes pequeñas. Evita que los dispositivos que se encuentren
dentro del área de cobertura del AP que no estén en el listado de direcciones MAC,
puedan acceder a la red, lo cual permite prevenir accesos no autorizados (Chiu, 2006).
WEP
Esto genera varios inconvenientes. Por un lado, la clave está almacenada en todas las
estaciones, aumentando las posibilidades de que sea comprometida. Y por otro lado, la
distribución manual de claves consume tiempo provocando que las claves no sean
cambiadas periódicamente y que a menudo se deshabiliten las opciones de seguridad
de los equipos para no tener que asumir el costo administrativo de poner las claves en
los clientes inalámbricos.
Por otra parte, en las actualización de WEP a WEP2 se aumentó la clave a 128 bits,
aunque en realidad lo que se aumentó es la clave que comparten los clientes con el AP
de 40 a 104, pero el IV sigue siendo de 24 bits y padeciendo las debilidades del IV por
lo cual el protocolo WEP2 permite deducir la clave al igual que WEP.
Una de las ventajas del uso del protocolo sobre el método de autenticación abierta con
filtrado de direcciones MAC es que no es necesario mantener en los AP un listado
actualizado con las direcciones MAC de los clientes inalámbricos. Otra es que debido al
limitado poder de procesamiento con que se fabricaban los AP, que entre las funciones
de su hardware está cifrar cada paquete del mensaje, el algoritmo de encriptación RC4
no sobrecarga el hardware del AP por lo que no se convierte en una limitación
implementarlo.
WPA
WAP hace uso del protocolo temporal de integridad de claves (TKIP) definido en el
estándar 802.11i. TKIP usa RC4 para el cifrado y genera claves de 128 bits (seed)
compartida entre dispositivos inalámbricos. Posteriormente esa clave se combina con la
dirección MAC del usuario.
WPA personal, con clave compartida para entornos residenciales y redes pequeñas: el
usuario debe introducir una clave que puede tener de 8 a 63 caracteres configurada en
el AP y en cada cliente, evita con ello ataques de escucha y accesos no autorizados. La
clave se utiliza para iniciar la autenticación, no para el cifrado y permite una relación de
acuerdo único para generar el cifrado TKIP en la red. Aunque la clave para la
autenticación es común para todos los dispositivos de la red WLAN, no lo son las claves
de cifrado, que son distintas para cada uno, constituye esto una mejora con respecto a
WEP. En esta solución se recomienda que las claves estén constituidas por caracteres
hexadecimales y que la longitud sea mayor que 20 caracteres para no ser descubiertas.
Emplear EAP con IEEE 802.1x permite utilizar varios esquemas de autenticación entre
clientes inalámbricos y la red en cuestión, entre los esquemas más comunes están:
Radius, Kerberos, certificados digitales, autenticación mediante tarjetas inteligentes y
tarjetas de identificación (SIM). Según el esquema será seleccionado el tipo de EAP con
las credenciales necesarias para llevar a cabo la autenticación. EAP permite la
generación, distribución y gestión de claves dinámicas. Entre los tipos de EAP
existentes, los más seguros y flexibles son: EAP-TLS en el caso de seleccionar
autenticación de cliente mediante certificados, PEAP y EAP-TTLS que permiten la
autenticación del cliente mediante nombre de usuario y contraseña, PEAP es compatible
con las soluciones de Microsoft (Remote Authentication Dial In User Service (Radius) y
Active Directory), y EAP-TTLS que se puede utilizar con mayor número de mecanismos
de autenticación como FreeRadius y LDAP.
Los conjuntos de estos dos mecanismos unido al esquema de cifrado forman una fuerte
estructura de autenticación que utiliza un servidor de autenticación centralizado,
generalmente un servidor RADIUS que es un protocolo de red que provee
administración centralizada con autenticación, autorización y contabilidad. Los proceso
de autenticación y autorización son definidos en la RFC 2865 (Rigney, Willens, Rubens
& Simpson,2000) y actualizados en la RFC 5080 y la RFC 6929 mientras que el proceso
de contabilidad es descrito en la RFC 2866 y actualizado en la RFC 5080 y la RFC 5997.
RADIUS permite usar una base de datos de usuarios, para almacenar sus nombres y
contraseñas. Algunas de estas bases de datos son Microsoft Active Directory, MySQL,
PostgreSQL y LDAP.
Una de las ventajas de usar WPA es que emplea el mismo algoritmo de cifrado RC4
que WEP, por lo que en una red WLAN con equipamiento WEP, solo es necesario una
actualización del software en los clientes inalámbricos y en los AP, sin llevar a cabo
cambios de hardware. También implementa un contador de secuencia para protegerse
contra los ataques de reenvío frecuentes en WEP. TKIP implementa un mecanismo de
intercambio de claves que asegura que todos los paquetes sean enviados con una única
clave de encriptación.
En cuanto al algoritmo de cifrado, tanto WEP como WPA emplean el algoritmo RC4, se
ha demostrado que es vulnerable a ataques. Aunque en el caso de WPA disminuye las
vulnerabilidades conocidas de WEP, ya que TKIP utiliza RC4 con claves de 128 bits
para el cifrado la cual fue aumentada respecto a WEP que es de 64 y se mantuvo de
igual tamaño respecto a WEP2, pero con un aumento del IV de 24 bits en WEP a 48 en
WPA, además el empleo de TKIP incorpora el hash de claves por paquete MIC y la
rotación de claves de difusión, lo que protege la red WLAN de ataques de clave débil
que ocurrían en WEP.
IEEE 802.11i
WPA2
Implementación aprobada por Wi-Fi Alliance de IEEE 802.11i. El grupo WPA2 de la Wi-
Fi Alliance es el grupo de certificación del estándar IEEE 802.11i. El Instituto de
Ingenieros Eléctrico y Electrónicos IEEE propone WPA2 como la solución definitiva al
problema de seguridad en redes WLAN ante las debilidades encontradas en WEP. La
versión oficial del estándar fue ratificada en junio del 2004. WPA2 es más seguro que
WPA porque usa como mecanismo de encriptación AES que soporta claves de 128 bits,
192 bits y 256 bits en lugar de RC4/TKIP, y porque reemplaza el algoritmo Michael por
el protocolo CCMP, que es considerado criptográficamente seguro. WPA2 puede ser
usado al igual que WPA con autenticación de clave compartida o en entornos
empresariales (IEEE 802.11i/EAP) que permite autenticación RADIUS
Las redes WLAN basadas en WPA2 son consideradas las más seguras. Aunque, en
modo personal la difusión y multidifusión de claves representan una vulnerabilidad.
Todos los nodos de la red necesitan conocerlas, y un atacante puede descubrir la clave
mediante el intercambio entre el AP y el cliente. Se recomienda emplear WPA2
Empresarial en caso de que se necesite confidencialidad mediante el cifrado a nivel de
enlace. En caso de usarse una solución más simple como WPA2 personal, deben
tomarse precauciones al escoger la clave. En WPA2 como el cifrado se basa en el
algoritmo AES no sufre de los problemas asociados con RC4. Pero por otra parte
requiere poder de procesamiento por lo que se hace necesario actualizar el hardware
existen en la red WLAN en caso de que no lo soporte.
En redes WLAN pueden ser aplicados otros protocolos como SSL, SSH y HTTPS. El
protocolo SSL, cuya versión actual es la 3.0 presentada en 1996 por la IETF en la RFC
6101, es un protocolo criptográfico diseñado para proveer comunicaciones seguras en
internet. El cual se basa en el uso de certificados digitales y se ha convertido en el
estándar de facto para transacciones Web seguras. HTTPS es la versión segura de
HTTP que utiliza un cifrado basado en SSL para crear un canal más apropiado para el
tráfico de información sensible que el protocolo HTTP. SSL y HTTPS permiten asegurar
la comunicación mediante el acceso web entre cliente y servidor, protegiendo el proceso
de autentificación con certificados que posibilita que con herramientas como el firebug
que es un plugin para Firefox, con el cual se pueden observar los datos transferidos
entre clientes y servidores web, no puedan obtenerse el usuario y la contraseña durante
la conexión. En el caso del protocolo Secure Shell (SSH), sirve para acceder a máquinas
remotas usando técnicas de cifrado a través de un canal SSH para que un atacante no
pueda descubrir el usuario y la contraseña, ni lo que se escribe durante la conexión a
los servidores.
En caso contrario que los AP no soporten WPA2 y soporten WEP y/o WPA la solución
pudiera ser actualizar todo el equipamiento que se pueda a WPA y emplear este para
el control de acceso al medio. Como se ha visto anteriormente una de las principales
diferencias entre WPA2 y WPA se encuentra en el algoritmo de cifrado utilizado, IEEE
802.11i/WPA2 utilizan AES, y WPA al igual que WEP, utiliza RC4. Por lo que pueden
existir AP que soporten el modo mixto WEP-WPA, pero no que soporten el modo mixto
WEP-IEEE 802.11i/WPA2.
En esta solución la red WLAN de la UCF está compuesta por la subred WLAN en
cuestión y la red de distribución de servicios inalámbricos, esta última es una red
cableada que interconecta los dispositivos que brindan servicios a la red inalámbrica.
Se recomienda dedicar una red de área local virtual (VLAN) para la red de distribución
de servicios inalámbricos dentro de la red LAN corporativa y no compartirla con una
subred LAN para poder realizar filtrados entre VLANs y proteger los servidores del
núcleo de la red de ataques DoS.
Los servicios que se desea prestar a los usuarios inalámbricos deben ubicarse en una
DMZ que retransmita las peticiones a los servidores de la empresa. Se propone
implementar un firewall entre la subred inalámbrica, que debe considerarse insegura y
la red corporativa para filtrar el tráfico, un servidor DHCP para proporcionar las
configuraciones IP a los clientes inalámbricos aumentando la escalabilidad de la red y
un servidor DNS. Para la administración remota a los servidores, emplear SSH con el
objetivo de proteger las credenciales de administración. Además, en el caso de
servidores como SIGENU, Moodle y Active Directory, tanto como para los APs será
implementada una ACL centralizada para registrar las direcciones MAC y los puertos de
acceso de las PC donde radica el personal con permiso administrativo en el servidor
con el objetivo de limitar el acceso desde PC no autorizadas. Y para acceder a
servidores web donde se gestionen las credenciales de usuario se usará SSL, como,
por ejemplo, el acceso al servidor de correo mediante un cliente web.
COMO TRABAJAN LAS WMAN
Si bien es cierto, al referirse a una red de tipo WMAN se identifica una clase de red
inalámbrica que puede instalarse dentro de una misma zona metropolitana, por lo que
su principal objetivo es lograr establecer diferentes conexiones inalámbricas dentro de
un espacio determinado. Dicho espacio, puede contener varias decenas de kilómetros
que la red WMAN deberá cubrir con total eficacia y en vista de que no usa ningún
cableado, te preguntarás como es su funcionamiento para conectar un área
metropolitana de esa manera.
Pues bien, para comprender como funciona una red WMAN, es preciso discernir que
esta hace uso de ondas de radio o luz infrarroja mediante lo cual puede lograr transferir
los datos. De tal manera, cuenta con un rango de acción determinante y así, al mismo
tiempo, evita tener que contar con mucho cableado para establecer la conexión. Con lo
que, adicional a eso, permite ahorrar más costos.
Entonces, a partir de las ondas de radio o infrarrojos, lo que hacen las redes WLAN es
interconectar unas con otras y de esa manera, extiende el rango de acción. Razón por
la que, además de usarse entre edificios, varias áreas pertenecientes a una empresa y
en campus universitarios, este tipo de redes también suelen ser usadas en zonas de
difícil acceso (áreas rurales, lugares remotos dentro de un municipio, etc.)
INFRAESTRUCTURA WMAN
Topología de Anillo
Se trata de una red de anillo que señala que cada una de las estaciones cuenta con una
exclusiva conexión de entrada y una de salida. De manera tal que, cada una de dichas
estaciones tendrá un receptor y un transmisor que, de forma simultánea, posee la
función de traductor para trasladar la información a la siguiente estación de la red en
cuestión.
En ese sentido, la comunicación en la topología de anillo se produce por el paso de un
testigo o “token”. El cual, cuenta con la capacidad de definir la forma en la que una
especie de elemento pasa recaudando toda la información para entregarla en paquetes,
posteriormente. Gracias a dicho proceso, se pueden evitar las colisiones y la pérdida de
información.
Así como su propio nombre lo indica, es una topología que actúa como si fueran dos
anillos independientes, en vista de que se emplea uno solo a la vez. De ese modo,
funciona como la topología de doble anillo a diferencia de que posee un segundo anillo
a través del cual logra conectar los mismos dispositivos.
En otras palabras, gracias al segundo anillo incluido en el sistema, esta tipología admite
la posibilidad de aumentar la fiabilidad y la flexibilidad de la red, notablemente. Puesto
que, cada uno de los dispositivos de dicha red hace parte de dos topologías de anillo
independiente que, funcionan en conjunto de manera simultánea.
Esta también se identifica como “topología malla” y se caracteriza por contener cada
uno de los nodos conectados a todos los demás. Debido a esto, ofrece la posibilidad de
que los mensajes puedan ser dirigidos de un nodo a otro por medio de diferentes
caminos y sin ningún tipo de complicación.
Así, en vista de que cada uno de los nodos contenidos están enlazados entre sí con los
demás, se trata de una red totalmente conectada que no puede tener ninguna clase de
interrupción durante la comunicación. Tomando en cuenta que, el motivo de ello se basa
en que cada uno de los servidores posee sus mismas conexiones con todos los otros
servidores del sistema.
Topología Árbol
Básicamente, esta es una topología que se encarga de indicar que los nodos están
ubicados en forma de árbol; así como su mismo nombre lo permite saber. Es por ello
que, la red se ve muy similar a lo que es una serie de redes en estrella interconectadas,
pero que no cuentan con un nodo central.
Sin embargo, a pesar de que la topología árbol no tiene un nodo central, si dispone de
un nodo de enlace troncal que, por lo general, se mantiene ocupado por
un “hub” o “switch”. El cual, se trata de un dispositivo que permite centralizar el cableado
de una red de computadoras, para poder ampliarla y así, desde dicho dispositivo se
ramifican los otros nodos del sistema.
Topología de estrella
Mencionada anteriormente, la red de estrella cuenta con cierta similitud con respecto a
la topología árbol. Pero, en este caso, las estaciones de la red se encuentran
conectadas a un punto central del sistema directamente, es decir, a un nodo central.
De esta forma, todas las comunicaciones existentes en la red, deberán pasar por dicho
punto central del sistema. Por ese motivo, los dispositivos no están conectados entre sí
y, en vista de ello, no permiten un extenso tráfico de información al mismo tiempo para
lograr evitar cualquier colisión posible.
Topología Bus
Se considera la topología más simple respecto a una conexión WMAN. Ya que, la red
Bus cuenta con la particularidad de disponer de un único canal de comunicación que,
habitualmente, se identifica como “troncal”, “bus” o “backbone”.
De tal modo, dicho canal de comunicación es el encargado de conectar a los diferentes
dispositivos que hacen parte de la red. Además de ello, dichos dispositivos tienen que
compartir el mismo canal para poder comunicarse entre sí durante todo el proceso.
Por consiguiente, la definición de una red segura no existe, dado que no es posible
garantizar la plena seguridad debido a las múltiples vulnerabilidades que trae consigo la
evolución de la tecnología y actualizaciones de los servicios y plataformas, aun así, se
pueden tomar precauciones que minimicen el impacto de las vulnerabilidades cuando
se implementan dichas redes. Las redes cableadas e inalámbricas son seguras o
vulnerables de acuerdo al descuido o robustecimiento que se apliquen bajo los pilares
establecidos de la seguridad informática, pilares definidos por la autenticidad,
confidencialidad, disponibilidad e integridad de todos los elementos que componen la
red. No importa el tipo de configuración que se use hoy en día, existen herramientas
que permiten el acceso a redes privadas por medio de exploits que permiten vulnerar
los parámetros de seguridad implementados, encontrando así los agujeros que no
hacen del todo robusta la seguridad de las plataformas, esto indica que ningún sistema
ofrece confiabilidad frente a lo desplegado en el ámbito comercial y usado por la gran
mayoría de usuarios convencionales (empresas, instituciones públicas y privadas)
SEGURIDAD EN WMAN
Debido a que los clientes envían los paquetes de requerimiento RTS y que pueden
coindicidir en el mismo periodo de tiempo, el AP identifica este choque de solicitudes y
no genera el CTS a los dispositivos, por consiguiente, los clientes esperan durante un
periodo tiempo aleatorio y vuelven a intentar el envió del paquete RTS. Este proceso
mencionado de evita las colisiones y continua con la generación de un paquete que
confirma al primer cliente que realizo la solicitud, su disponibilidad. De manera posterior
el cliente puede enviar la data y el punto de acceso confirma su recibido, este proceso
se repite.
En el ámbito de las redes corporativas, en donde las redes sin hilos en su gran mayoría
hacen uso de un sistema controlador de los puntos de acceso, el flujo de control se
repite, pero se añade a su escenario una capa de control entre la controladora
inalámbrica y sus puntos de accesos, añadiendo así un estándar que permita realizar
tunelización de la comunicación de manera ordenada, controlada y segura. El uso de
este protocolo de acceso al medio CSMA/CA, también es utilizado por atacantes
malintencionados para volcar el objetivo inicial del protocolo a su favor, generando
denegaciones de servicio bajo dos tipos de ataques conocidos y comunes de DoS como
lo son: los ataques de des asociación de los clientes inalámbricos hacia una red que
inducen al cliente a un intento de conexión cíclico sin éxito alguno. El otro ataque consta
de una saturación de los mensajes de CTS hacia los clientes, se da vía libre a todos los
clientes inalámbricos para envíen sus transmisiones generando colisiones, que
deniegan a su vez la comunicación.
Funcionamiento. Este sistema trabaja mediante la autenticación del usuario con una
contraseña, su funcionamiento es aplicado sobre la capa MAC del sistema. Panda
Software18, indica que el protocolo utiliza el algoritmo AES + la Clave Secreta
combinada con un vector de inicialización de 24 bits, para encriptar el mensaje y el
checksum. Cabe resaltar que WPA2 a diferencia del protocolo WPA, contiene mejoras
de los protocolos de 4 way-handshake, que permite que el punto de acceso, el elemento
autrenticador, y el cliente puedan de manera independiente proporcionarse entre estos
elementos la clave o la denominada PSK sin comprometer la confidencialidad de la
misma.
Las redes inalámbricas se han convertido en una alternativa a las redes LAN cableadas
para facilitar la movilidad y llegar a lugares donde el cableado no es posible. Pero se
hace necesario tener en cuenta los protocolos de seguridad debido a que las
transmisiones viajan por un medio no seguro (el aire).
Existen diversos mecanismos de seguridad para redes LAN como SSH, HTTPS, SSL
que pueden ser aplicados a redes WLAN. En redes WLAN se puede llevar a cabo la
autenticación de terminales de usuario basándose en su dirección MAC, pero en este
mecanismo de seguridad la información no es enviada de forma cifrada, la escalabilidad
se hace compleja al incrementar el número de dispositivos clientes y es vulnerable.
El sistema WEP posee debilidades, por lo que deben buscarse alternativas. Una puede
ser actualizar el equipamiento a WPA, ya que aunque el algoritmo de cifrado WPA ha
sido vulnerado solo es posible realizar ataques que comprometan la información cifrada
en WPA personal. El modo WPA empresarial no ha sido vulnerado.
El estándar WAP2 demostró ser la alternativa más segura para campus universitarios
como el de la UCF donde se requiere autentificar y auditar a sus usuarios con sus
credenciales. No hay una solución estándar de seguridad para redes WLAN. Es
necesario identificar los requisitos de seguridad que se quieren alcanzar y sobre la base
de los mismos emplear los protocolos combinándolos, según las necesidades.
BIBLIOGRAFIA
https://tarify.win/definiciones/red-wman/
https://ignasisayol.com/es/5g
https://tarify.win/definiciones/red-wlan/
https://www.xataka.com/seguridad/
https://www.muycomputer.com
http://scielo.sld.cu/
https://www.ionos.es/