Download - 03 Seguridad Capa Fisica 15 II
Semana 03: Seguridad de Capa Física
Docente: MSc. Ing. Gilberto Carrión Barco
E-Mail: [email protected], [email protected]
SEGURIDAD INFORMÁTICA
1MSc. Ing. Gilberto Carrión Barco
Capítulo 03
3.1 Conceptos de tecnología inalámbrica
3.2 Operaciones de LAN inalámbrica
3.3 Seguridad en una LAN Inalámbrica
3.4 Configuración de LAN Inalámbricas
3.5 Resumen
MSc. Ing. Gilberto Carrión Barco 2
Capítulo 03: Objetivos
Al finalizar el capítulo el estudiante podrá hacer lo siguiente:
Describir la tecnología y los estándares de LAN inalámbrica.
Describir los componentes de una infraestructura LAN inalámbrica.
Describir las topologías inalámbricas 802.11.
Describir la administración de canales en una WLAN.
Describir las amenazas para las LAN inalámbricas.
Describir los mecanismos de seguridad de una LAN inalámbrica.
Configurar un router inalámbrico para dar soporte a un sitio remoto.
MSc. Ing. Gilberto Carrión Barco 3
Introducción a la tecnología inalámbrica
Beneficios de la tecnología inalámbrica
Mayor flexibilidad
Aumento de la productividad
Reducción de costes
Capacidad para crecer y
adaptarse a las necesidades
cambiantes
MSc. Ing. Gilberto Carrión Barco 4
Introducción a la tecnología inalámbrica
Tecnologías inalámbricas
En términos generales, las redes inalámbricas pueden clasificarse en los
siguientes tipos:
• WPAN – Dispositivos Bluetooth
• WLAN – 30 m.
• WWAN - Opera en el rango de Km.
Tecnologías inalámbricas disponibles para conectar los dispositivos a estas
redes inalámbricas
• Bluetooth - Un estándar IEEE 802.15 WPAN, utiliza un proceso de emparejamiento
de dispositivos para comunicarse a distancias de hasta 100 metros. Bluetooth v3
admite
velocidades de hasta 24 Mbps.
MSc. Ing. Gilberto Carrión Barco 5
Introducción a la tecnología inalámbrica
Tecnologías inalámbricas
Wi-Fi - Un estándar WLAN IEEE 802.11, ofrece acceso a la red a los usuarios domésticos y
corporativos, para incluir datos, tráfico de voz y vídeo, a distancias de hasta 300 metros.
Interoperabilidad mundial para acceso por microondas (WiMAX) - Un estándar IEEE
802.16 WWAN que proporciona acceso de banda ancha inalámbrica de hasta 30 millas
(50 km).
Banda ancha móvil - Consta de varias organizaciones
empresariales, nacionales e internacionales que utilizan
el proveedor de servicios de acceso celular para
proporcionar conectividad de red móvil de banda ancha.
Banda ancha por satélite - Proporciona acceso de red a sitios remotos mediante el uso
de una antena parabólica direccional
que se alinea con un satélite especifico en la órbita
geoestacionaria (GEO) de la Tierra. Por lo general es
más caro y requiere una línea de visión despejada.
MSc. Ing. Gilberto Carrión Barco 6
Introducción a la tecnología inalámbrica
Radiofrecuencias
Existen bandas de frecuencia con licencias libres, como la ISM (industrial, científica y médica) de 2.4 GHz y la UNII (infraestructura de la información nacional) de 5 GHZ.
• 2,4 GHz (UHF): 802.11b/g/n/ad
• 5 GHz (SHF): 802.11a/n/ac/ad
• Banda de 60 GHz (EHF): 802.11ad
MSc. Ing. Gilberto Carrión Barco 7
Introducción a la tecnología inalámbrica
Estándares 802.11
8MSc. Ing. Gilberto Carrión Barco
Introducción a la tecnología inalámbrica
Comparación entre redes WLAN y redes LAN
9MSc. Ing. Gilberto Carrión Barco
Componentes WLAN
Antenas Inalámbricas
Los AP Cisco Aironet pueden usar lo siguiente:
• Antenas Wi-Fi omnidireccionales: con frecuencia, el engranaje Wi-Fi de fábrica
usa antenas dipolos básicas, conocidas como “antenas de goma”. Las antenas
omnidireccionales proporcionan cobertura de 360° y son ideales para áreas de
oficinas abiertas, pasillos, salas de conferencias y exteriores.
• Antenas Wi-Fi direccionales: las antenas direccionales concentran la señal de
radio en un sentido determinado. Esto mejora la señal desde y hasta el AP en el
sentido que apunta la antena, lo que proporciona una mayor potencia de señal en
un sentido, así como una menor potencia de señal en todos los demás sentidos.
• Antenas Yagi: son un tipo de antena de radio direccional que se puede usar para
las redes Wi-Fi de larga distancia. Normalmente, estas antenas se usan para
extender el alcance de las zonas de cobertura exteriores en un sentido específico o
para llegar a un edificio externo.
MSc. Ing. Gilberto Carrión Barco 10
Topologías WLAN 802.11
Topologías inalámbricas 802.11
Modo ad hoc: cuando dos
dispositivos se conectan
de manera inalámbrica sin
la ayuda de un dispositivo
de infraestructura, como
un router o un AP
inalámbrico.
Los ejemplos incluyen
Bluetooth y Wi-Fi Direct.
MSc. Ing. Gilberto Carrión Barco 11
Topologías WLAN 802.11
Topologías inalámbricas 802.11
Modo de
infraestructura: cuando los
clientes inalámbricos se
conectan mediante un
router o un AP inalámbrico,
como en las WLAN.
Los AP se conectan a la
infraestructura de la red
mediante el sistema de
distribución (DS) conectado
por cable, como Ethernet.
MSc. Ing. Gilberto Carrión Barco 12
Topologías WLAN 802.11
Mode Ad Hoc
13MSc. Ing. Gilberto Carrión Barco
Topologías WLAN 802.11
Modo Infraestructura
14MSc. Ing. Gilberto Carrión Barco
Topologías WLAN 802.11
Modo Infraestructura
15MSc. Ing. Gilberto Carrión Barco
Operación Inalámbrica
Asociación de AP y clientes inalámbricos
Para que los dispositivos inalámbricos se comuniquen a través de una red,
primero se deben asociar a un AP o un router inalámbrico.
Una parte importante del proceso 802.11 es descubrir una WLAN y
conectarse a esta.
Los dispositivos inalámbricos usan
las tramas de administración para
completar el siguiente proceso de
tres etapas:
• Descubrir nuevos AP inalámbricos.
• Autenticar con el AP.
• Asociarse al AP.
MSc. Ing. Gilberto Carrión Barco 16
Operación Inalámbrica
Parámetros de asociación
SSID – identificador único que los clientes inalámbricos utilizan para distinguir
entre varias redes inalámbricas en la misma área.
Contraseña – el cliente inalámbrico la necesita para autenticarse con el AP.
Modo de red – se refiere a los estándares WLAN 802.11a/b/g/n/ac/ad. Los AP y
los routers inalámbricos pueden funcionar en modo Mixed (Mixto), lo que
implica que pueden usar varios estándares a la vez.
Modo de seguridad – se refiere a la configuración de los parámetros de
seguridad, como WEP, WPA o WPA2. Habilite siempre el nivel más alto de
seguridad que se admita.
Ajustes de canal – se refiere a las bandas de frecuencia que se usan para
transmitir datos inalámbricos. Los routers y los AP inalámbricos pueden elegir la
configuración de canales, o esta se puede establecer manualmente.
MSc. Ing. Gilberto Carrión Barco 17
Operación Inalámbrica
Detección de AP
Modo pasivo
• El AP anuncia abiertamente su servicio al enviar periódicamente tramas de señal de difusión que contienen el SSID, los estándares admitidos y la configuración de seguridad.
• El propósito principal de la señal es permitir que los clientes inalámbricos descubran qué redes y qué AP existen en un área determinada, de modo que puedan elegir qué red y qué AP usar
Modo activo
• Los clientes inalámbricos deben conocer el nombre del SSID. El cliente inalámbrico inicia el proceso al transmitir por difusión una trama de solicitud de sondeo en varios canales. La solicitud de sondeo incluye el nombre del SSID y los estándares admitidos.
• Si un AP o un router inalámbrico se configuran para que no transmitan por difusión las tramas de señal, es posible que se requiera el modo activo.
MSc. Ing. Gilberto Carrión Barco 18
Operación Inalámbrica
Detección de AP
19MSc. Ing. Gilberto Carrión Barco
Operación Inalámbrica
Autenticación
Autenticación abierta:
fundamentalmente, una autenticación
NULA donde el cliente inalámbrico dice
“autentíqueme” y el AP responde “sí”. La
autenticación abierta proporciona
conectividad inalámbrica a cualquier
dispositivo inalámbrico y se debe usar
solo en situaciones donde la seguridad
no es un motivo de preocupación.
Autenticación de clave compartida: es
una técnica que se basa en una clave
previamente compartida entre el cliente
y el AP.
MSc. Ing. Gilberto Carrión Barco 20
Administración de canales
Selección de canales
21MSc. Ing. Gilberto Carrión Barco
Administración de canales
Selección de canales
Nota: en Europa, hay 13 canales 802.11b.
Para las WLAN que requieren varios AP, se recomienda usar canales no superpuestos. Si existen tres AP adyacentes, use los canales 1, 6 y 11. Si existen solo dos, seleccione aquellos dos que estén separados por cinco canales, como los canales 5 y 10.
MSc. Ing. Gilberto Carrión Barco 22
Administración de canales
Planificación de una implementación WLAN
Implementar una WLAN que saque el
mejor provecho de los recursos y
entregue el mejor servicio puede
requerir de una planificación
cuidadosa.
El número de usuarios de una WLAN
depende de la disposición geográfica
de la instalación, incluidos el número
de personas y dispositivos que
pueden caber en un espacio, las
velocidades de datos que esperan los
usuarios, el uso de canales no
superpuestos por parte de varios AP
en un ESS y la configuración de
energía de transmisión.
MSc. Ing. Gilberto Carrión Barco 23
Amenazas de WLAN
Protección de redes inalámbricas
1. Usuarios no autorizados que intentan acceder a los recursos de la red. La solución es disuadir a los usuarios mediante el uso de la autenticación.
2. Los usuarios no autorizados pueden capturar los datos inalámbricos con facilidad. Utilice el cifrado de los datos que intercambian el cliente y el AP para protegerlos.
3. Los servicios de las WLAN se pueden ver comprometidos accidentalmente o debido a intentos malintencionados. Existen varias soluciones según el origen del DoS.
4. Un usuario con buenas o malas intenciones instala AP no autorizados. Use un software de administración inalámbrica para detectar AP no autorizados.
MSc. Ing. Gilberto Carrión Barco 24
Protección WLAN
Descripción general de la seguridad inalámbrica
Los SSID se descubren
con facilidad, incluso si
los AP no los transmiten
por difusión, y las
direcciones MAC se
pueden suplantar.
La mejor manera de
proteger una red
inalámbrica es usar
sistemas de
autenticación y cifrado
MSc. Ing. Gilberto Carrión Barco 25
Protección WLAN
Métodos de autenticación mediante clave compartida
26MSc. Ing. Gilberto Carrión Barco
Protección WLAN
Métodos de cifrado
El estándar IEEE 802.11i y los estándares WPA y WPA2 de Wi-Fi Alliance usan los siguientes protocolos de cifrado:
Protocolo de Integridad de Clave Temporal (TKIP)
• Utilizado por WPA.
• Hace uso de WEP, pero cifra el contenido de capa 2 utilizando TKIP, y realiza una comprobación de integridad de los mensajes (MIC) en el paquete cifrado para asegurar que no se alteró el mensaje.
Estándar de Cifrado Avanzado (AES)
• Método de cifrado utilizado por WPA2. El método preferido, ya que se alinea con el estándar de la industria IEEE 802.11i.
• Método de encriptación o cifrado más seguro.
• Usa el protocolo Counter Mode Cipher Block Chaining Message Authentication CodeProtocol (CCMP), que permite que los hosts de destino reconozcan si se alteraron los bits cifrados y no cifrados
Nota: siempre que sea posible, elija WPA2 con AES.
MSc. Ing. Gilberto Carrión Barco 27
Protección WLAN
Autenticación de un usuario domestico
WPA y WPA2 admiten dos tipos de autenticación:
Personal:
• Diseñada para redes SOHO; los usuarios se autentican mediante una clave previamente compartida (PSK).
• Los clientes inalámbricos se autentican con el AP mediante una contraseña previamente compartida. No se requiere ningún servidor de autenticación especial.
Enterprise (Empresarial):
• Diseñada para las redes empresariales, pero requiere un servidor de servicio de autenticación remota telefónica de usuario (RADIUS).
• Si bien su configuración es más complicada, proporciona seguridad adicional. El servidor RADIUS debe autenticar el dispositivo y, a continuación, se deben autenticar los usuarios mediante el estándar 802.1X, que usa el protocolo de autenticación extensible (EAP).
MSc. Ing. Gilberto Carrión Barco 28
Protección WLAN
Autenticación en la empresa
En las redes que tienen requisitos de seguridad más estrictos, se requiere una
autenticación o un inicio de sesión adicionales para otorgar acceso a los
clientes inalámbricos.
Las opciones del modo
de seguridad Enterprise
requieren un servidor
RADIUS con
autenticación,
autorización y
contabilidad (AAA).
MSc. Ing. Gilberto Carrión Barco 29
Configuración de un router inalámbrico
Configuración de un router inalámbrico
Los routers inalámbricos modernos ofrecen una variedad de características, y la mayoría se diseñó para funcionar sin ninguna configuración adicional aparte de la configuración predeterminada.
Sin embargo, es aconsejable cambiar la configuración predeterminada inicial.
Un enfoque básico a la implementación inalámbrica, como en cualquier trabajo de red básico, es configurar y probar progresivamente.
MSc. Ing. Gilberto Carrión Barco 30
Configuración de un router inalámbrico
Configuración de un router inalámbrico
Una vez que se confirma el funcionamiento de la red conectada por cable,
el plan de implementación consta de lo siguiente:
• Paso 1. Comience el proceso de implementación de WLAN con un único AP y un
único cliente inalámbrico, sin habilitar la seguridad inalámbrica.
• Paso 2. Verifique que el cliente recibió una dirección IP de DHCP y puede hacer
ping al router predeterminado local conectado por cable, y luego explore Internet
externo.
• Paso 3. Configure la seguridad inalámbrica con WPA2/WPA Mixed Personal. Nunca
use WEP, a menos que no existan otras opciones.
• Paso 4. Realice una copia de seguridad de la configuración.
MSc. Ing. Gilberto Carrión Barco 31
Resolución de problemas
Métodos de resolución de problemas
Tres enfoques principales de solución de problemas que se utilizan
para resolver problemas de la red:
• De abajo hacia arriba - Comience en la capa 1 del modelo OSI y luego
debe ir subiendo.
• De arriba hacia abajo - Comience en la capa superior del modelo OSI y
trabaje hacia abajo.
• Divide y vencerás – Haga ping al destino. Si los pings fallan, compruebe las
capas inferiores. Si los pings son exitosos, verificar las capas superiores.
MSc. Ing. Gilberto Carrión Barco 32
Resolución de problemas
Falla de conexión de un cliente inalámbrico
MSc. Ing. Gilberto Carrión Barco 33
Resolución de problemas
Resolución de problemas en una red lenta
Existen varios motivos para usar un método
de división del tráfico:
La banda de 2,4 GHz puede ser adecuada
para el tráfico de Internet básico que no
depende del factor tiempo.
El ancho de banda aún se puede compartir
con otras WLAN cercanas.
La banda de 5 GHz está mucho menos
poblada que la banda de 2,4 GHz, ideal para
la transmisión de multimedios.
La banda de 5 GHz tiene más canales; por lo
tanto, es más probable que el canal que se
elija no tenga interferencia.
MSc. Ing. Gilberto Carrión Barco 34
Resumen
35MSc. Ing. Gilberto Carrión Barco