lunes, 11 de julio de 2016

Presentacion - Wi-Fi






Historia del wifi
Esta nueva tecnología surgió por la necesidad de establecer un mecanismo de conexión inalámbrica que fuese compatible entre distintos dispositivos. Buscando esa compatibilidad, en 1999 las empresas 3Com, Intersil, Lucent Technologies, Nokia y Symbol Technologies se unieron para crear la Wireless Ethernet Compatibility Alliance, o WECA, actualmente llamada Wi-Fi Alliance. El objetivo de la misma fue designar una marca que permitiese fomentar más fácilmente la tecnología inalámbrica y asegurar la compatibilidad de equipos.

De esta forma, en abril de 2000 WECA certifica la interoperabilidad de equipos según la norma IEEE 802.11b, bajo la marca Wi-Fi. Esto quiere decir que el usuario tiene la garantía de que todos los equipos que tengan el sello Wi-Fi pueden trabajar juntos sin problemas, independientemente del fabricante de cada uno de ellos.

En el año 2002 la asociación WECA estaba formada ya por casi 150 miembros en su totalidad. La familia de estándares 802.11 ha ido naturalmente evolucionando desde su creación, mejorando el rango y velocidad de la transferencia de información, su seguridad, entre otras cosas. 

La norma IEEE 802.11 fue diseñada para sustituir el equivalente a las capas físicas y MAC de la norma 802.3 (Ethernet). Esto quiere decir que en lo único que se diferencia una red wifi de una red Ethernet es en cómo se transmiten las tramas o paquetes de datos; el resto es idéntico. Por tanto, una red local inalámbrica 802.11 es completamente compatible con todos los servicios de las redes locales (LAN) de cable 802.3 (Ethernet).



¿Qué es Wifi?


Wifi es una tecnología de comunicación inalámbrica que permite conectar a internet equipos electrónicos, como computadoras, tablets, smartphones o celulares, etc., mediante el uso de radiofrecuencias o infrarrojos para la trasmisión de la información.

Wifi o Wi-Fi es originalmente una abreviación de la marca comercial Wireless Fidelity, que en inglés significa ‘fidelidad sin cables o inalámbrica’. 

Wifi es similar a la red Ethernet tradicional y como tal el establecimiento de comunicación necesita una configuración previa. Utiliza el mismo espectro de frecuencia que Bluetooth con una potencia de salida mayor que lleva a conexiones más sólidas. A veces se denomina a Wi-Fi la “Ethernet sin cables”. Aunque esta descripción no es muy precisa, da una idea de sus ventajas e inconvenientes en comparación a otras alternativas. Se adecua mejor para redes de propósito general: permite conexiones más rápidas, un rango de distancias mayor y mejores mecanismos de seguridad.

Dispositivos de distribución o de red:

Existen varios dispositivos wifi, los cuales se pueden dividir en dos grupos: dispositivos de distribución o de red, entre los que destacan los enrutadores, puntos de acceso y repetidores; y dispositivos terminales que en general son las tarjetas receptoras para conectar a la computadora personal, ya sean internas (tarjetas PCI) o bien USB.

Puntos de Acceso 


Los puntos de acceso son dispositivos que generan un "set de servicio", que podría definirse como una "Red wifi" a la que se pueden conectar otros dispositivos. Los puntos de acceso permiten, en resumen, conectar dispositivos de forma inalámbrica a una red existente. Pueden agregarse más puntos de acceso a una red para generar redes de cobertura más amplia, o conectar antenas más grandes que amplifiquen la señal.

Repetidores 

Los repetidores inalámbricos son equipos que se utilizan para extender la cobertura de una red inalámbrica, éstos se conectan a una red existente que tiene señal más débil y crean una señal limpia a la que se pueden conectar los equipos dentro de su alcance. Algunos de ellos funcionan también como punto de acceso.

Enrutador 
  
Los enrutadores inalámbricos son dispositivos compuestos, especialmente diseñados para redes pequeñas (hogar o pequeña oficina). Estos dispositivos incluyen, un enrutador (encargado de interconectar redes, por ejemplo, nuestra red del hogar con Internet), un punto de acceso (explicado más arriba) y generalmente unconmutador que permite conectar algunos equipos vía cable (Ethernet y USB). Su tarea es tomar la conexión a Internet, y brindar a través de ella acceso a todos los equipos que conectemos, sea por cable o en forma inalámbrica.

Los dispositivos terminales abarcan tres tipos mayoritarios: tarjetas PCI, tarjetas PCMCIA y tarjetas USB:

El wifi puede ser desactivado por un terminal del dispositivo.

Las tarjetas PCI para wifi se agregan (o vienen de fábrica) a los ordenadores de sobremesa. Hoy en día están perdiendo terreno debido a las tarjetas USB. Dentro de este grupo también pueden agregarse las tarjetas MiniPCI que vienen integradas en casi cualquier computador portátil disponible hoy en el mercado.

Las tarjetas PCMCIA son un modelo que se utilizó mucho en los primeros ordenadores portátiles, aunque están cayendo en desuso, debido a la integración de tarjeta inalámbricas internas en estos ordenadores. La mayor parte de estas tarjetas solo son capaces de llegar hasta la tecnología B de wifi, no permitiendo por tanto disfrutar de una velocidad de transmisión demasiado elevada.

Las tarjetas USB para wifi son el tipo de tarjeta más común que existe en las tiendas y más sencillo de conectar a un pc, ya sea de sobremesa o portátil, haciendo uso de todas las ventajas que tiene la tecnología USB. Hoy en día puede encontrarse incluso tarjetas USB con el estándar 802.11N (Wireless-N) que es el último estándar liberado para redes inalámbricas.

También existen impresoras, cámaras Web y otros periféricos que funcionan con la tecnología wifi, permitiendo un ahorro de mucho cableado en las instalaciones de redes y especialmente, gran movilidad.
En relación con los manejadores de dispositivo, existen directorios de circuito integrado auxiliar de adaptadores inalámbricos.

Ventajas  

 Las redes wifi poseen una serie de ventajas, entre las cuales podemos destacar:

Al ser redes inalámbricas, la comodidad que ofrecen es muy superior a las redes cableadas porque cualquiera que tenga acceso a la red puede conectarse desde distintos puntos dentro de un espacio lo bastante amplio.

Una vez configuradas, las redes wifi permiten el acceso de múltiples ordenadores sin ningún problema ni gasto en infraestructura, ni gran cantidad de cables.

La Wi-Fi Alliance asegura que la compatibilidad entre dispositivos con la marca Wi-Fi es total, con lo que en cualquier parte del mundo podremos utilizar la tecnología wifi con una compatibilidad absoluta.
Desventajas

Pero como red inalámbrica, la tecnología wifi presenta los problemas intrínsecos de cualquier tecnología inalámbrica. Algunos de ellos son:

Una de las desventajas que tiene el sistema wifi es una menor velocidad en comparación a una conexión cableada, debido a las interferencias y pérdidas de señal que el ambiente puede acarrear.

 La desventaja fundamental de estas redes reside en el campo de la seguridad. Existen algunos programas capaces de capturar paquetes, trabajando con su tarjeta wifi en modo promiscuo, de forma que puedan calcular la contraseña de la red y de esta forma acceder a ella. Las claves de tipo WEP son relativamente fáciles de conseguir con este sistema. La Wi-Fi Alliance arregló estos problemas sacando el estándar WPA y posteriormente WPA2, basados en el grupo de trabajo 802.11i. Las redes protegidas con WPA2 se consideran robustas dado que proporcionan muy buena seguridad. De todos modos, muchas compañías no permiten a sus empleados utilizar una red inalámbrica. Este problema se agrava si consideramos que no se puede controlar el área de cobertura de una conexión, de manera que un receptor se puede conectar desde fuera de la zona de recepción prevista (por ejemplo: desde fuera de una oficina, desde una vivienda colindante).

 Esta tecnología no es compatible con otros tipos de conexiones sin cables como Bluetooth, GPRS, UMTS, etc.

 La potencia de la conexión del wifi se verá afectada por los agentes físicos que se encuentran a nuestro alrededor, tales como: árboles, paredes, arroyos, una montaña, etc. Dichos factores afectan la potencia de compartimiento de la conexión wifi con otros dispositivos. 

Estándares de Wifi

Como primer concepto primordial y básico, hay que decir que en una red inalámbrica los datos se transmiten a través de ondas electromagnéticas, y como tales son susceptibles de recibir interferencias.
Para ello existen diferentes tipos de frecuencias de emisión. En un principio, el organismo IEEE estableció para las redes WiFi los 2,4 Ghz como banda a través de la cual emitir los datos de manera inalámbrica. Y esta es la banda principal en la cual operan los diferentes tipos de redes WiFi que existen. Aunque a día de hoy, con la cantidad de dispositivos emitiendo por esta banda (Bluetooth o los hornos microondas, por poner dos ejemplos) los nuevos estándares se están moviendo a otras bandas.

Todos los tipos de WiFi se basan en el estándar internacional 802.11, el cual está definido por el IEEE. Bajo este estándar existen varios subtipos que han ido evolucionando a lo largo de los años, según las necesidades.


  • 802.11b, 802.11g, 802.11n son los más aceptados actualmente a nivel mundial. Los tres trasmiten en el mismo ancho de banda, los 2,4 Ghz y la diferencia básica radica en la velocidad de transferencia (teórica) que son capaces de conseguir, 11, 54  y 300 Mbit/s respectívamente.
  • El estándar 802.11n también trabaja en el mismo ancho de banda que los tres anteriores (2,4 Ghz) solo que su rango de acción puede alcanzar mayor rango de acción (aunque esto depende de las interferencias que reciba su señal.
  • Actualmente se está empezando a implantar el estándar 802.11a que es capaz de emitir en los 5 Ghz, de esta manera se evitan interferencias de dispositivos que estén transmitiendo a través de bluetooth, muy comunes hoy en día.



    El estándar más utilizado, el 802.11n (anteriormente)
    En el año 2009 la organización IEEE ratificó el estándar 802.11.n y desde entonces la mayoría de routers lo incluyen (aunque algunos ya lo hacían antes). Las ventajas de este estándar con respecto a otros es su mayor velocidad de transferencia y el uso de tecnología MIMO.

    Al igual que sus hermanos “menores” este estándar sigue transmitiendo en la frecuencia de los 2,4 Ghz, pero la velocidad de transferencia va desde los 54 hasta los 300 Mbps. Esta velocidad varía según las características del lugar donde tengamos colocado el router. Las paredes y las  interferencias de otros aparatos electrónicos transmitiendo en la misma frecuencia variarán esta tasa de transferencia.

    Ademas incluye como ya hemos dicho la tecnología MIMO ¿En qué consiste? Básicamente en el uso de varias antenas de transmisión y recepción de datos. Es capaz de transmitir y recibir datos a la vez, con lo que conseguiremos una señal más potente, mayor velocidad y mayor rango de acción de la misma.

    802.11ad o WiGig 1.0
    El WiFi 802.11ad, también llamado WiGig 1.0, trabaja en la banda de 60 GHz, lo que permite dejar atrás la banda de 2.4 GHz, que es la que más saturada se encuentra del espectro. 

     Gracias a esto, este estándar tiene la capacidad de ofrecer una velocidad de transferencia de datos de hasta 7 Gbps. Aunque proporciona una velocidad de vértigo y tiene la cualidad de que puede transportar más datos, también tiene una desventaja: cuando mayor sea la frecuencia, más corto es el espacio por el que puede viajar la onda.

    Estándares más recientes

    Estos nuevos estándares tratan de evitar la frecuencia de la banda de 2.4 GHz ya que esta congestionada.

    Estándar 802.11ac, características y ventajas

     El estándar 802.11ac se está implementando desde el comienzo del 2014.

    Los componentes que lo emplean consumen menos energía, por lo que es ideal para dispositivos portables, además ahora es posible transmitir datos idénticos a usuarios diferentes.

    Usando la banda de 5 GHz el radio de alcance es menor, pero en la práctica se pueden alcanzar distancias mayores usando la tecnología "Beamforming" que focaliza la señal de radio.

    802.11ac es mucho más rápido, la rapidez se debe a dos factores:

    1- La posibilidad de usar canales de radio más anchos.

    En vez de usar 40 MHz de ancho de canal, AC puede funcionar con 80 o hasta 160 MHz.

    Otra posibilidad es la de usar la característica "Channel Bonding", es decir poder combinar dos canales independientes.


     2- Antenas múltiples.

    Los routers actuales transfieren al mismo tiempo hasta seis flujos de datos (spatial streams) usando tres antenas. Con AC se pueden utilizar hasta cuatro antenas.


    El estándar 802.11ah o Wi-Fi HaLow, características y ventajas
    IEEE 802.11ah es un nuevo protocolo de redes inalámbricas que comienza a implementarse en el 2016. 

    Surge a causa de los constantes requerimientos de la tecnología, la información y el mercado.

    Se diferencia de los anteriores por usar frecuencias inferiores a 1 GHz y permite aumentar el rango de alcance de estas redes, hasta alrededor de 1000 metros. Esto facilita en la práctica su distribución en áreas rurales, usando torres de telefonía con sensores para compartir la señal.


    También ofrece el beneficio de un menor consumo de energía.

    Este protocolo es un competidor del popular Bluetooth usado en dispositivos pequeños.

    Wi-Fi alliance anuncio que 802.11ah se conocería con el nombre Wi-Fi HaLow, que se pronuncia "HAY-Low".




    El estándar 802.11af  o White-Fi (Super Wi-Fi)
    Está diseñado para trabajar en el espectro de espacios en blanco de las bandas VHF y UHF, que habitualmente asociamos a las señales de televisión. A diferencia del WiFi tradicional, en este caso opera por debajo de 1 GHz, entre las bandas de 54 y 790 MHz, un espectro que los canales de televisión no utilizan y en el que por tanto no hay tráfico ni interferencias. Resulta muy útil para la transmisión de datos en largas distancias con un consumo de energía mucho menor. 










    Modos de Funcionamiento Wi-Fi

    Ya conocemos las dos opciones más habituales de establecer una red Wi-Fi. O bien utilizando un Punto de acceso Wi-Fi (AP) o bien utilizando el llamado router Wi-Fi, que además de proporcionar una conexión con Internet, incluye las funciones de un AP. El inconveniente de los routers Wi-Fi es que ofrecen ciertas limitaciones en las posibilidades de conectividad Wi-Fi. Estas limitaciones están perfectamente justificadas en los entornos residenciales donde se utilizan estos routers. Sin embargo, en ciertas ocasiones y sobre todo, en entornos más profesionales pueden ser necesarias características adicionales. Una de las posibilidades que ofrecen los AP es el uso de diferentes modos de configuración.

    Modo infraestructura con varios APs
    Esta es una configuración muy común en entornos profesionales donde es necesario proporcionar acceso Wi-Fi en áreas extensas o donde exista un número alto de dispositivos. La clave de este modo es tener la infraestructura de cableado necesaria ya que todos los APs deben ir conectados a la red cableada donde se encuentre el router que proporcione salida a Internet. Este modo de funcionamiento es totalmente interoperable, es decir, funciona utilizando APs de diferentes fabricantes. Lo importante es que todos los APs utilicen el mismo estándar Wi-Fi y los mismos parámetros (SSID, tipo de seguridad y clave).

    Cuando el número de APs que conforman la red inalámbrica es alto, algunos fabricantes proporcionan soluciones tanto software como hardware para gestionar de forma eficiente y unificada todos los dispositivos. El inconveniente en este caso es que todos los APs deben ser del mismo fabricante que aporta la solución de gestión.

    Puente inalámbrico (modo WDS)

    Este modo se utiliza para poder establecer un puente (bridge) inalámbrico entre dos redes. Muy útil cuando es necesario unir dos redes separadas físicamente, por ejemplo, en dos edificios cercanos, cuando el coste del tendido del cable es caro o simplemente no es posible. Como se observa en la figura, es necesario disponer de dos APs. Hay APs comercializados para trabajar específicamente en este modo. Normalmente se montan en la fachada exterior de los edificios y tienen que estar construidos con materiales que soporten las condiciones del exterior. Este modo no forma parte del estándar Wi-Fi por lo que está recomendado que los dos dispositivos que forman el puente inalámbrico sean del mismo modelo. Hay que tener en cuenta que esta solución de conectividad no es la más óptima en términos de rendimiento. Por tanto, dicha solución sólo se emplea cuando el tendido de un cable no es posible o el coste es elevado.



     Puente inalámbrico (modo Wireless Client)

     Este modo de configuración es una alternativa para establecer un puente inalámbrico con dispositivos de distinto fabricante si uno de ellos soporta este modo, ya que dicho puente se establece utilizando las características del estándar Wi-Fi y no el modo WDS.


     Las prestaciones de este modo son pobres ya que el ancho de banda para el puente depende del número de dispositivos conectados al AP principal. Por tanto, esta solución sólo es aceptable cuando no es necesario proporcionar mucha velocidad.


    Puente inalámbrico con funciones AP
    Para lleva a cabo esta configuración es necesario que el AP soporte el modo WDS con AP. Dicha configuración permite establecer un puente inalámbrico y además constituir una red Wi-Fi en uno de los extremos del puente (o en los dos).

    Esta solución sólo es recomendable cuando el número de dispositivos Wi-Fi conectados es muy pequeño.


    Extensor de cobertura (modo Repeater o Range Extender)

    Un dispositivo muy popular en los últimos años es el conocido Repetidor Wi-Fi. Dicho dispositivo es un AP funcionando en modo Repeater. La idea de este modo de funcionamiento es extender la cobertura de una red Wi-Fi establecida desde otro AP (o desde un router  Wi-Fi). El AP en modo Repeater se conecta al AP principal como cliente Wi-Fi y genera una nueva área de cobertura Wi-Fi para que otros dispositivos se conecten a dicha red. Es muy importante que el repetidor tenga buena cobertura de la señal Wi-Fi original. Esta solución no está recomendada para entornos profesionales y sólo se aconseja su uso en entornos residenciales con pocos dispositivos Wi-Fi ya que el “doble salto” inalámbrico que existe para los dispositivos Wi-Fi conectados al repetidor penaliza mucho el rendimiento de las conexiones.


    Seguridad Wireless


    La seguridad de la red es el proceso por el cual se protegen los recursos de información digital. Los objetivos de la seguridad son mantener la integridad, proteger la confidencialidad y asegurar la disponibilidad. El crecimiento de la computación ha generado enormes avances en la forma en que las personas viven y trabajan. Por lo tanto, todas las redes deben estar protegidas para alcanzar su máximo potencial. Las WLANs presentan desafíos de seguridad únicos.  



    ¿Qué es la seguridad?
    Un propósito principal de la seguridad es mantener afuera a los intrusos. En la mayoría de los casos, esto significa construir paredes fuertes y establecer puertas pequeñas bien protegidas para proporcionar acceso seguro a un grupo selecto de personas. Esta estrategia funciona mejor para las LANs cableadas que para las WLANs. El crecimiento del comercio móvil y de las redes inalámbricas hace que los modelos viejos sean inadecuados. Las soluciones de seguridad deben estar integradas sin fisuras y ser muy transparentes, flexibles y administrables.

    Vulnerabilidades de las WLANs


    Las WLANs son vulnerables a ataques especializados. Muchos de estos ataques explotan las debilidades de la tecnología, ya que la seguridad de WLAN 802.11 es relativamente nueva.

     Principales vulnerabilidades:
    • Autenticación débil únicamente de dispositivo - Se autentican los dispositivos clientes. Los usuarios no se autentican.
     • Encriptación de datos débil - Se ha probado que la Privacidad Equivalente a la Cableada (WEP) es ineficiente como medio para encriptar datos.
      • No hay integridad de mensajes - Se ha probado que el Valor de Control de Integridad (ICV) no es efectivo como medio para asegurar la integridad de los mensajes.  

    Amenazas al WLAN

    Existen cuatro clases principales de amenazas a la seguridad inalámbrica:


      1. Amenazas no estructuradas.
      2. Amenazas estructuradas.
      3. Amenazas externas.
      4. Amenazas internas.

    -          Las amenazas no estructuradas consisten principalmente en individuos inexpertos que están usando herramientas de hacking disponibles fácilmente como scripts de shell y crackers de passwords.

    -          Las amenazas estructuradas vienen de hackers que están mucho más motivados y son técnicamente competentes. Estas personas conocen las vulnerabilidades de los sistemas inalámbricos y pueden comprender y desarrollar explotación de códigos, scripts y programas.

    -          Las amenazas externas son individuos u organizaciones que trabajan desde el exterior de la compañía. Ellos no tienen acceso autorizado a la red inalámbrica. Ingresan a la red principalmente desde el exterior del edificio como estacionamientos, edificios adyacentes o áreas comunes. Estos son los tipos de amenazas por los que la gente gasta la mayor parte del tiempo y dinero en protegerse.
    -        
           Las amenazas internas ocurren cuando alguien tiene acceso autorizado a la red con una cuenta en un servidor o con acceso físico al cableado. De acuerdo con el FBI, el acceso interno y el mal uso forman el 60 al 80 por ciento de los incidentes reportados.  El acceso inalámbrico puede ser una gran amenaza a la seguridad de la red. La mayoría de las WLANs tienen pocas o ninguna restricción. Una vez asociado a un access point, un atacante puede recorrer libremente la red interna.


    Los métodos de ataques inalámbricos


    Los métodos de ataques inalámbricos pueden ser divididos en tres categorías:  
    1. Reconocimiento.
    2. Ataque de acceso.
    3. Negación del Servicio [Denial of Service (DoS)].   

    El reconocimiento

    El reconocimiento es el descubrimiento y mapeo no autorizado de sistemas, servicios o vulnerabilidades. También es conocido como reunión de información y normalmente precede a un acceso real o ataque DoS.
    La realización del reconocimiento comprende el uso de comandos o utilitarios comunes para conocer tanto como sea posible el sitio de la víctima.  


    El snooping (simulación) inalámbrico y el sniffing (rastreo) de paquetes son términos comunes para las escuchas. La información reunida por las escuchas puede luego ser usada en futuros accesos o ataques DoS a la red. El usar encriptación y evitar protocolos que son fácilmente escuchados puede combatir las escuchas.

     El reconocimiento inalámbrico a menudo es llamado wardriving. Los utilitarios usados para explorar las redes inalámbricas pueden ser activos o pasivos.


    Acceso

    El acceso al sistema, en este contexto, es la capacidad para que un intruso no autorizado logre acceder a un dispositivo para el cual no tiene una cuenta o password. Para ingresar o acceder a los sistemas donde uno no tiene acceso autorizado normalmente se debe ejecutar un hack script o una herramienta que explote una vulnerabilidad conocida del sistema o aplicación a ser atacada. Acceso es un término demasiado abarcativo que hace referencia a la manipulación de datos, acceso a sistemas o escaladas privilegiadas no autorizados.

     Algunos ejemplos de acceso son los siguientes:
      • Explotación de passwords débiles o no existentes
     • Explotación de servicios como HTTP, FTP, SNMP, CDP y Telnet.  


    Negación del servicio


    La DoS ocurre cuando un atacante desactiva o corrompe las redes, sistemas o servicios inalámbricos, con la intención de negar el servicio a usuarios autorizados. Los ataques DoS toman muchas formas. En la mayoría de los casos, la realización del ataque comprende simplemente ejecutar un hack, una script o una herramienta. El atacante no necesita acceder previamente al objetivo, porque todo lo que se necesita normalmente es una forma de acceder a él. Por estas razones y a causa del gran daño potencial, los ataques DoS son los más temidos, ya que son los más difíciles de evitar.  

    Muchos ataques DoS contra las redes inalámbricas 802.11 han sido teorizados. Un utilitario, llamado Wlan Jack, envía paquetes de disociación falsos que desconectan a los clientes 802.11 del access point. Siempre que se ejecute el utilitario de ataque, los clientes no pueden usar la WLAN. De hecho, cualquier dispositivo que opere a 2.4 GHz o a 5 GHz puede ser usado como una herramienta DoS.


    Tecnologías de Seguridad WLAN Básica

    La rueda de la seguridad WLAN

    La mayoría de los incidentes de seguridad inalámbrica ocurren porque los administradores de sistemas no implementan contramedidas. Por lo tanto, la cuestión no es sólo confirmar que existe una vulnerabilidad técnica y encontrar una contramedida que funcione. También es crítico verificar que la contramedida está en su lugar y que funciona correctamente.
    Aquí es donde la Rueda de la Seguridad WLAN, que es un proceso de seguridad continuo, es efectiva. La Rueda de la Seguridad WLAN no sólo promueve la aplicación de medidas de seguridad a la red, sino que lo más importante es que promueve el control y la aplicación de medidas de seguridad actualizadas en forma continua.

    Una política de seguridad necesita para llevar a cabo las siguientes tareas:
    • Identificar los objetivos de seguridad de la organización.
    • Documentar los recursos que deben protegerse.
    • Identificar la infraestructura de red con mapas e inventarios actuales.
    • Identificar los recursos críticos que deben ser protegidos, tales como la investigación y el desarrollo, finanzas y recursos humanos.

    Después de que la política de seguridad se desarrolla, lo convierten en el eje sobre el cual se basan las cuatro fases de la rueda de la seguridad. Los pasos son secure, monitor, test, and improve.



    Secure

     Asegurar la red mediante la aplicación de la política de seguridad y la aplicación de las siguientes soluciones de seguridad: 
    • Autenticación - Dar acceso sólo a usuarios autorizados. Un ejemplo de esto es usar contraseñas de un solo uso.
    • Los cortafuegos - Filtrar el tráfico de red para permitir sólo el tráfico y los servicios válida.
    • Redes privadas virtuales (VPN) - Ocultar el contenido del tráfico para evitar la divulgación no deseada a personas no autorizadas o maliciosas.
    • La vulnerabilidad de parches - Aplicar las correcciones o medidas para detener la explotación de vulnerabilidades conocidas. Esto incluye apagar los servicios que no son necesarios en todos los sistemas. El menor número de servicios que están habilitados, más difícil es para los hackers acceder.

    Monitor

     Control de la seguridad implica métodos activos y pasivos de detección de violaciónes de seguridad. El método activo que se usa más comúnmente es el control de los archivos de registro a nivel del host. La mayoría de los sistemas operativos incluyen funcionalidad de auditoría. Los administradores del sistema para cada máquina en la red deben activarlos y tomar el tiempo para revisar e interpretar las entradas del archivo de registro.

    Los métodos pasivos incluyen el uso de dispositivos de detección de intrusos o IDS para detectar automáticamente la intrusión. Este método requiere sólo un pequeño número de administradores de seguridad de red para el monitoreo. Estos sistemas pueden detectar violaciónes de seguridad en tiempo real y puede ser configurado para responder automáticamente antes de que un intruso hace ningún daño.

    Un beneficio adicional de supervisión de la red es la verificación de que los dispositivos de seguridad implementadas en el Paso 1 de la rueda de la seguridad se han configurado y están trabajando correctamente.

    Test

    En la fase de prueba de la rueda de la seguridad, la seguridad de la red se prueba de forma proactiva. En concreto, la funcionalidad de las soluciones de seguridad implementadas en el paso 1 y la auditoría del sistema de detección de intrusos y métodos implementados en el paso 2 debe estar asegurada. herramientas de análisis de vulnerabilidades como SATAN, Nessus o Nmap son útiles para probar periódicamente las medidas de seguridad de red.

    Improbe

    La fase de mejora de la rueda de la seguridad implica el análisis de los datos recogidos durante las fases de seguimiento y comprobación y el desarrollo y la implementación de mecanismos de mejora que se alimentan en la política de seguridad y la fase de fijación en el Paso 1. Para mantener una red lo más seguro posible, el ciclo de la rueda de la seguridad debe repetirse continuamente, debido a las nuevas vulnerabilidades y los riesgos de red se crean todos los días.

    Con la información recogida de las fases de seguimiento y evaluación, los sistemas de detección de intrusos pueden ser utilizados para implementar mejoras en la seguridad. La política de seguridad debe ajustarse según las nuevas vulnerabilidades de seguridad y los riesgos se descubrió.

    Debido a la naturaleza del medio de transmisión de las redes inalámbricas, el aire, estas son especialmente vulnerables a problemas de seguridad. Mientras que en las redes cableadas, el acceso necesariamente necestita un cable físico para de conexíon a la red, en una red inalámbrica, los paquetes de información viajan libremente en forma de ondas de radio.
    Debido a al naturaleza insegura del medio utilizado, las características de seguridad en las redes inalámbricas se basan especialmente en el control de acceso a la red y en garantizar la privacidad de las comunicaciones.

    WEP (Wired Equivalent Privacy - Privacidad Equipalente a Cableado)

    Es el sistema de cifrado incluido en el estándar IEEE 802.11 como protocolo para redes Wireless que permite cifrar la información que se transmite.

    La idea del WEP es proporcionar a las redes inalámbricas la “privacidad de un cable”. El algoritmo WEP se basa en el RC4 y utiliza una clave que deben conocer tanto los clientes como los puntos de acceso (habitualmente se utiliza más de una clave), junto con un vector de iniciación (IV) generado de forma pseudoaleatoria para realizar la encriptación de los datos. Una vez cifrado el texto, además de éste hay que enviar el IV y el checksum, este último independiente de la clave. Para dificultar los ataques al protocolo, el IV se cambia periódicamente. Los tamaños de clave utilizado son 40 y 104 que, junto con los 24 bits del IV, conforman la clave de cifrado de tamaño 64 y 128 bits respectivamente. Además indicar que estas claves pueden estar en formato decimal, en hexadecimal o en ASCII, en cuyo caso la clave se suele obtener mediante un generador a partir del texto introducido.

    El principal problema con la implementación del algoritmo anteriormente descrito es el tamaño de los vectores de iniciación. A pesar de que se pueden generar muchos vectores, la cantidad de tramas que pasan a través de un punto de acceso es muy grande, lo que hace que rápidamente se encuentren dos mensajes con el mismo vector de iniciación, y por lo tanto sea fácil hacerse con la clave. Por lo tanto es inseguro debido a su implementación. Aumentar los tamaños de las claves de cifrado sólo aumenta el tiempo necesario para romperlo.

    WPA (Wi-Fi Protected Access, Acceso Protegido a Wi-Fi)

    El sistema nace para corregir las deficiencias del sistema anterior WEP. WPA implementa la mayoría del estándar IEEE 802.11i, y fue creado como una medida intermedia para ocupar el lugar de WEP mientras 802.11i era finalizado. Por un lado corrige las deficiencias de encriptación de WEP mediante TKIP, y por otra, utiliza un método de autenticación para el acceso a la red (EAP).



    TIPOS DE WPA

    WPA fue diseñado para utilizar un servidor de autenticación (normalmente un servidor RADIUS), que distribuye claves diferentes a cada usuario (a través del protocolo 802.1x ); sin embargo, también se puede utilizar en un modo menos seguro de clave pre-compartida ([PSK] - Pre-Shared Key).

    La alianza Wi-Fi llama a la versión de clave pre-compartida WPA-Personal y a la versión con autenticación 802.1x/EAP como WPA-Enterprise.

    WPA-Personal (WPA-PSK)

    Es el sistema más simple de control de acceso tras WEP, a efectos prácticos tiene la misma dificultad de configuración que WEP, una clave común compartida, sin embargo, la gestión dinámica de claves aumenta notoriamente su nivel de seguridad. PSK se corresponde con las iniciales de PreShared Key y viene a significar clave compartida previamente, es decir, a efectos del cliente basa su seguridad en una contraseña compartida.

    WPA-PSK usa una clave de acceso de una longitud entre 8 y 63 caracteres, que es la clave compartida. Al igual que ocurría con WEP, esta clave hay que introducirla en cada una de las estaciones y puntos de acceso de la red inalámbrica. Cualquier estación que se identifique con esta contraseña, tiene acceso a la red.

    Las características de WPA-PSK lo definen como el sistema, actualmente, más adecuado para redes de pequeñas oficinas o domésticas, la configuración es muy simple, la seguridad es aceptable y no necesita ningún componente adicional.

    Debilidades de WPA-PSK:

    La principal debilidad de WPA-PSK es la clave compartida entre estaciones. Cuando un sistema basa su seguridad en un contraseña siempre es susceptible de sufrir un ataque de fuera bruta, es decir ir comprobando contraseñas, aunque dada la longitud de la contraseña y si está bien elegida no debería plantear mayores problemas. Debemos pensar que hay un momento de debilidad cuando la estación establece el diálogo de autenticación. Este diálogo va cifrado con las claves compartidas, y si se ?entienden? entonces se garantiza el acceso y se inicia el uso de claves dinámicas. La debilidad consiste en que conocemos el contenido del paquete de autenticación y conocemos su valor cifrado. Ahora lo que queda es, mediante un proceso de ataque de diccionario o de fuerza bruta, intentar determinar la contraseña.

    WPA-Empresarial (WPA-EAP)

    En redes corporativas resultan imprescindibles otros mecanismos de control de acceso más versátiles y fáciles de mantener como por ejemplo los usuario de un sistema identificados con nombre/contraseña o la posesión de un certificado digital. Evidentemente el hardware de un punto de acceso no tiene la capacidad para almacenar y procesar toda esta información por lo que es necesario recurrir a otros elementos de la red cableada para que comprueben unas credenciales. Ahora bien, parece complicado que un cliente se pueda validar ante un componente de la red por cable si todavía no tenemos acceso a la red, parece el problema del huevo y la gallina. En este punto es donde entra en juego el IEEE 802.1X, que describimos a continuación, para permitir el tráfico de validación entre un cliente y una máquina de la red local (RADIUS). Una vez que se ha validado a un cliente es cuando WPA inicia TKIP para utilizar claves dinámicas.

    Los clientes WPA tienen que estar configurados para utilizar un sistema concreto de validación que es completamente independiente del punto de acceso. Los sistemas de validación WPA pueden ser, entre otros, EAP-TLS, PEAP, EAP-TTLS

    TKIP (Temporary Key Integrity Protocol, Protocolo de Integridad de Claves Temporales)

    Utilizado por WPA para mejorar la encriptación, TKIP es también llamado hashing de Clave WEP WPA incluye mecanismos del estándar emergente 802.11i para mejorar el cifrado de datos inalámbricos. WPA tiene TKIP, que utiliza el mismo algoritmo que WEP, pero construye claves en una forma diferente. TKIP es una solución temporal que soluciona el problema de reutilización de clave de WEP. WEP utiliza periódicamente la misma clave para cifrar los datos. El proceso de TKIP comienza con una clave temporal de 128 bits que es compartida entre los clientes y los access points. TKIP combina la clave temporal con la dirección MAC del cliente. Luego agrega un vector de inicialización relativamente largo, de 16 octetos, para producir la clave que cifrará los datos. Este procedimiento asegura que cada estación utilice diferentes streams claves para cifrar los datos. El hashing de clave WEP protege a los Vectores de Inicialización (IVs) débiles para que no sean expuestos haciendo hashing del IV por cada paquete.

    TKIP utiliza el RC4 para realizar el cifrado, que es lo mismo que el WEP. Sin embargo, una gran diferencia con el WEP es que el TKIP cambia las claves temporales cada 10.000 paquetes. Esto proporciona un método de distribución dinámico, lo que mejora significativamente la seguridad de la red.

    EAP (Extensible Authentication Protocol, Protocolo de Autenticación Extensible)

    El estándar 802.1X utiliza EAP para la autenticación de usuarios. En realidad EAP actúa como intermediario entre un solicitante y un motor de validación (RADIUS) permitiendo la comunicación entre ambos.

    El proceso de validación está conformado por tres elementos, un solicitante que quiere ser validado mediante unas credenciales, un punto de acceso y un sistema de validación situado en la parte cableada de la red. Para conectarse a la red, el solicitante se identifica mediante una credenciales que pueden ser un certificado digital, una pareja nombre/usuario u otros datos. Junto con las credenciales, el cliente solicitante tiene que añadir también qué sistema de validación tiene que utilizar. En general EAP actúa de esta forma, recibe una solicitud de validación y la remite a otro sistema que sepa como resolverla y que formará parte de la red cableada. De esta forma vemos como el sistema EAP permite un cierto tráfico de datos con la red local para permitir la validación de un solicitante. El punto de acceso rechaza todas las tramas que no estén validadas, que provengan de un cliente que no se he identificado, salvo aquéllas que sean una solicitud de validación. Estos paquetes EAP que circulan por la red local se denominan EAPOL (EAP over LAN). Una vez validado, el punto de acceso admite todo el tráfico del cliente.



     

    El sistema de autenticación puede ser un servidor RADIUS situado en la red local.

    Los pasos que sigue el sistema de autenticación 802.1X son:

    ·                    El cliente envía un mensaje de inicio EAP que inicia un intercambio de mensajes para permitir autenticar al cliente.
    ·                    El punto de acceso responde con un mensaje de solicitud de identidad EAP para solicitar las credenciales del cliente.
    ·                    El cliente envía un paquete respuesta EAP que contiene las credenciales de validación y que es remitido al servidor de validación en la red local, ajeno al punto de acceso.
    ·                    El servidor de validación analiza las credenciales y el sistema de validación solicitado y determina si autoriza o no el acceso. En este punto tendrán que coincidir las configuraciones del cliente y del servidor, las credenciales tienen que coincidir con el tipo de datos que espera el servidor.
    ·                    El servidor pude aceptar o rechazar la validación y le envía la respuesta al punto de acceso.
    ·                    El punto de acceso devuelve un paquete EAP de acceso o de rechazo al cliente.
    ·                    Si el servidor de autenticación acepta al cliente, el punto de acceso modifica el estado del puerto de ese cliente como autorizado para permitir las comunicaciones.

    Existen múltiples tipos de EAP, algunos son estándares y otros son soluciones propietarias de empresas. Entre los tipos de EAP podemos citar:

    EAP-TLS

    Es un sistema de autenticación fuerte basado en certificados digitales, tanto del cliente como del servidor, es decir, requiere una configuración PKI (Public Key Infraestructure) en ambos extremos. TLS (transport Layer Security) es el nuevo estándar que sustituye a SSL (Secure Socket Layer).

    EAP-TTLS

    El sistema de autenticación se basa en una identificación de un usuario y contraseña que se transmiten cifrados mediante TLS, para evitar su transmisión en texto limpio. Es decir se crea un túnel mediante TLS para transmitir el nombre de usuario y la contraseña. A diferencia de EAP-TLS sólo requiere un certificado de servidor.

    PEAP

    El significado de PEAP se corresponde con Protected EAP y consiste en un mecanismo de validación similar a EAP-TTLS, basado en usuario y contraseña también protegidos.

    AES

    El estándar de cifrado (encriptación) avanzado AES, Advanced Encryption Standard (AES), es uno de los algoritmos más seguros y más utilizados hoy en día - disponible para uso público. Está clasificado por la Agencia de Seguridad Nacional, National Security Agency (NSA), de los Estados Unidos para la seguridad más alta de información secreta “Top Secret”. Su historia de éxito comenzó 1997, cuando el Instituto Nacional de Estándares y Tecnología, National Institute of Standards and Technology (NIST), anunció la búsqueda de un sucesor para el estándar de cifrado DES. Un algoritmo llamado "Rijndael", desarrollado por los criptólogos belgas Joan Daemen y Vincent Rijmen, fue destacado en seguridad, así como en el rendimiento y la flexibilidad. Este algoritmo le gano a varios competidores, y fue oficialmente presentado como el nuevo estándar de cifrado AES en el 2001 y se transformó en estándar efectivo en el 2002. El algoritmo se basa en varias sustituciones, permutaciones y transformaciones lineales, ejecutadas en bloques de datos de 16 bytes - por lo que se le llama blockcipher. Estas operaciones se repiten varias veces, llamadas "rondas". En cada ronda, un único “roundkey” se calcula de la clave de encriptación, y es incorporado en los cálculos. Basado en esta estructura de bloque de AES, el cambio de un solo bit, ya sea en la clave, o en los bloques de texto simple y claro, resulta en un bloque de texto cifrado/encriptado completamente diferente - una clara ventaja sobre cifrados de flujo tradicionales. La diferencia entre AES-128, AES-192 y AES-256, es la longitud de la clave: 128, 192 o 256 bits - todos drásticamente mejorados en comparación con la clave DES de 56 bits. A modo de ejemplo: Descifrar una clave de 128 bits AES con una supercomputadora estándar del momento, llevaría más tiempo que la presunta edad del universo. Por lo tanto, sigue siendo el estándar AES de cifrado preferido por los gobiernos, los bancos y los sistemas de alta seguridad de todo el mundo.

    Qué es WiFi?

    en

    No hay comentarios:

    Publicar un comentario

    Suscribirse a: Enviar comentarios (Atom)