03 Seguridad Capa Fisica 15 II

Semana 03: Seguridad de Capa Física

Docente: MSc. Ing. Gilberto Carrión Barco

E-Mail: [email protected], [email protected]

SEGURIDAD INFORMÁTICA

1MSc. Ing. Gilberto Carrión Barco

Capítulo 03

3.1 Conceptos de tecnología inalámbrica

3.2 Operaciones de LAN inalámbrica

3.3 Seguridad en una LAN Inalámbrica

3.4 Configuración de LAN Inalámbricas

3.5 Resumen

MSc. Ing. Gilberto Carrión Barco 2

Capítulo 03: Objetivos

Al finalizar el capítulo el estudiante podrá hacer lo siguiente:

Describir la tecnología y los estándares de LAN inalámbrica.

Describir los componentes de una infraestructura LAN inalámbrica.

Describir las topologías inalámbricas 802.11.

Describir la administración de canales en una WLAN.

Describir las amenazas para las LAN inalámbricas.

Describir los mecanismos de seguridad de una LAN inalámbrica.

Configurar un router inalámbrico para dar soporte a un sitio remoto.


Introducción a la tecnología inalámbrica

Beneficios de la tecnología inalámbrica

Mayor flexibilidad

Aumento de la productividad

Reducción de costes

Capacidad para crecer y

adaptarse a las necesidades

cambiantes



Tecnologías inalámbricas

En términos generales, las redes inalámbricas pueden clasificarse en los

siguientes tipos:

• WPAN – Dispositivos Bluetooth

• WLAN – 30 m.

• WWAN - Opera en el rango de Km.

Tecnologías inalámbricas disponibles para conectar los dispositivos a estas

redes inalámbricas

• Bluetooth - Un estándar IEEE 802.15 WPAN, utiliza un proceso de emparejamiento

de dispositivos para comunicarse a distancias de hasta 100 metros. Bluetooth v3

admite

velocidades de hasta 24 Mbps.



Tecnologías inalámbricas

Wi-Fi - Un estándar WLAN IEEE 802.11, ofrece acceso a la red a los usuarios domésticos y

corporativos, para incluir datos, tráfico de voz y vídeo, a distancias de hasta 300 metros.

Interoperabilidad mundial para acceso por microondas (WiMAX) - Un estándar IEEE

802.16 WWAN que proporciona acceso de banda ancha inalámbrica de hasta 30 millas

(50 km).

Banda ancha móvil - Consta de varias organizaciones

empresariales, nacionales e internacionales que utilizan

el proveedor de servicios de acceso celular para

proporcionar conectividad de red móvil de banda ancha.

Banda ancha por satélite - Proporciona acceso de red a sitios remotos mediante el uso

de una antena parabólica direccional

que se alinea con un satélite especifico en la órbita

geoestacionaria (GEO) de la Tierra. Por lo general es

más caro y requiere una línea de visión despejada.



Radiofrecuencias

Existen bandas de frecuencia con licencias libres, como la ISM (industrial, científica y médica) de 2.4 GHz y la UNII (infraestructura de la información nacional) de 5 GHZ.

• 2,4 GHz (UHF): 802.11b/g/n/ad

• 5 GHz (SHF): 802.11a/n/ac/ad

• Banda de 60 GHz (EHF): 802.11ad



Estándares 802.11



Comparación entre redes WLAN y redes LAN


Componentes WLAN

Antenas Inalámbricas

Los AP Cisco Aironet pueden usar lo siguiente:

• Antenas Wi-Fi omnidireccionales: con frecuencia, el engranaje Wi-Fi de fábrica

usa antenas dipolos básicas, conocidas como “antenas de goma”. Las antenas

omnidireccionales proporcionan cobertura de 360° y son ideales para áreas de

oficinas abiertas, pasillos, salas de conferencias y exteriores.

• Antenas Wi-Fi direccionales: las antenas direccionales concentran la señal de

radio en un sentido determinado. Esto mejora la señal desde y hasta el AP en el

sentido que apunta la antena, lo que proporciona una mayor potencia de señal en

un sentido, así como una menor potencia de señal en todos los demás sentidos.

• Antenas Yagi: son un tipo de antena de radio direccional que se puede usar para

las redes Wi-Fi de larga distancia. Normalmente, estas antenas se usan para

extender el alcance de las zonas de cobertura exteriores en un sentido específico o

para llegar a un edificio externo.


Topologías WLAN 802.11

Topologías inalámbricas 802.11

Modo ad hoc: cuando dos

dispositivos se conectan

de manera inalámbrica sin

la ayuda de un dispositivo

de infraestructura, como

un router o un AP

inalámbrico.

Los ejemplos incluyen

Bluetooth y Wi-Fi Direct.



Topologías inalámbricas 802.11

Modo de

infraestructura: cuando los

clientes inalámbricos se

conectan mediante un

router o un AP inalámbrico,

como en las WLAN.

Los AP se conectan a la

infraestructura de la red

mediante el sistema de

distribución (DS) conectado

por cable, como Ethernet.



Mode Ad Hoc



Modo Infraestructura


Operación Inalámbrica

Asociación de AP y clientes inalámbricos

Para que los dispositivos inalámbricos se comuniquen a través de una red,

primero se deben asociar a un AP o un router inalámbrico.

Una parte importante del proceso 802.11 es descubrir una WLAN y

conectarse a esta.

Los dispositivos inalámbricos usan

las tramas de administración para

completar el siguiente proceso de

tres etapas:

• Descubrir nuevos AP inalámbricos.

• Autenticar con el AP.

• Asociarse al AP.



Parámetros de asociación

SSID – identificador único que los clientes inalámbricos utilizan para distinguir

entre varias redes inalámbricas en la misma área.

Contraseña – el cliente inalámbrico la necesita para autenticarse con el AP.

Modo de red – se refiere a los estándares WLAN 802.11a/b/g/n/ac/ad. Los AP y

los routers inalámbricos pueden funcionar en modo Mixed (Mixto), lo que

implica que pueden usar varios estándares a la vez.

Modo de seguridad – se refiere a la configuración de los parámetros de

seguridad, como WEP, WPA o WPA2. Habilite siempre el nivel más alto de

seguridad que se admita.

Ajustes de canal – se refiere a las bandas de frecuencia que se usan para

transmitir datos inalámbricos. Los routers y los AP inalámbricos pueden elegir la

configuración de canales, o esta se puede establecer manualmente.



Detección de AP

Modo pasivo

• El AP anuncia abiertamente su servicio al enviar periódicamente tramas de señal de difusión que contienen el SSID, los estándares admitidos y la configuración de seguridad.

• El propósito principal de la señal es permitir que los clientes inalámbricos descubran qué redes y qué AP existen en un área determinada, de modo que puedan elegir qué red y qué AP usar

Modo activo

• Los clientes inalámbricos deben conocer el nombre del SSID. El cliente inalámbrico inicia el proceso al transmitir por difusión una trama de solicitud de sondeo en varios canales. La solicitud de sondeo incluye el nombre del SSID y los estándares admitidos.

• Si un AP o un router inalámbrico se configuran para que no transmitan por difusión las tramas de señal, es posible que se requiera el modo activo.



Detección de AP



Autenticación

Autenticación abierta:

fundamentalmente, una autenticación

NULA donde el cliente inalámbrico dice

“autentíqueme” y el AP responde “sí”. La

autenticación abierta proporciona

conectividad inalámbrica a cualquier

dispositivo inalámbrico y se debe usar

solo en situaciones donde la seguridad

no es un motivo de preocupación.

Autenticación de clave compartida: es

una técnica que se basa en una clave

previamente compartida entre el cliente

y el AP.


Administración de canales

Selección de canales



Selección de canales

Nota: en Europa, hay 13 canales 802.11b.

Para las WLAN que requieren varios AP, se recomienda usar canales no superpuestos. Si existen tres AP adyacentes, use los canales 1, 6 y 11. Si existen solo dos, seleccione aquellos dos que estén separados por cinco canales, como los canales 5 y 10.



Planificación de una implementación WLAN

Implementar una WLAN que saque el

mejor provecho de los recursos y

entregue el mejor servicio puede

requerir de una planificación

cuidadosa.

El número de usuarios de una WLAN

depende de la disposición geográfica

de la instalación, incluidos el número

de personas y dispositivos que

pueden caber en un espacio, las

velocidades de datos que esperan los

usuarios, el uso de canales no

superpuestos por parte de varios AP

en un ESS y la configuración de

energía de transmisión.


Amenazas de WLAN

Protección de redes inalámbricas

1. Usuarios no autorizados que intentan acceder a los recursos de la red. La solución es disuadir a los usuarios mediante el uso de la autenticación.

2. Los usuarios no autorizados pueden capturar los datos inalámbricos con facilidad. Utilice el cifrado de los datos que intercambian el cliente y el AP para protegerlos.

3. Los servicios de las WLAN se pueden ver comprometidos accidentalmente o debido a intentos malintencionados. Existen varias soluciones según el origen del DoS.

4. Un usuario con buenas o malas intenciones instala AP no autorizados. Use un software de administración inalámbrica para detectar AP no autorizados.


Protección WLAN

Descripción general de la seguridad inalámbrica

Los SSID se descubren

con facilidad, incluso si

los AP no los transmiten

por difusión, y las

direcciones MAC se

pueden suplantar.

La mejor manera de

proteger una red

inalámbrica es usar

sistemas de

autenticación y cifrado


Protección WLAN

Métodos de autenticación mediante clave compartida


Protección WLAN

Métodos de cifrado

El estándar IEEE 802.11i y los estándares WPA y WPA2 de Wi-Fi Alliance usan los siguientes protocolos de cifrado:

Protocolo de Integridad de Clave Temporal (TKIP)

• Utilizado por WPA.

• Hace uso de WEP, pero cifra el contenido de capa 2 utilizando TKIP, y realiza una comprobación de integridad de los mensajes (MIC) en el paquete cifrado para asegurar que no se alteró el mensaje.

Estándar de Cifrado Avanzado (AES)

• Método de cifrado utilizado por WPA2. El método preferido, ya que se alinea con el estándar de la industria IEEE 802.11i.

• Método de encriptación o cifrado más seguro.

• Usa el protocolo Counter Mode Cipher Block Chaining Message Authentication CodeProtocol (CCMP), que permite que los hosts de destino reconozcan si se alteraron los bits cifrados y no cifrados

Nota: siempre que sea posible, elija WPA2 con AES.


Protección WLAN

Autenticación de un usuario domestico

WPA y WPA2 admiten dos tipos de autenticación:

Personal:

• Diseñada para redes SOHO; los usuarios se autentican mediante una clave previamente compartida (PSK).

• Los clientes inalámbricos se autentican con el AP mediante una contraseña previamente compartida. No se requiere ningún servidor de autenticación especial.

Enterprise (Empresarial):

• Diseñada para las redes empresariales, pero requiere un servidor de servicio de autenticación remota telefónica de usuario (RADIUS).

• Si bien su configuración es más complicada, proporciona seguridad adicional. El servidor RADIUS debe autenticar el dispositivo y, a continuación, se deben autenticar los usuarios mediante el estándar 802.1X, que usa el protocolo de autenticación extensible (EAP).


Protección WLAN

Autenticación en la empresa

En las redes que tienen requisitos de seguridad más estrictos, se requiere una

autenticación o un inicio de sesión adicionales para otorgar acceso a los

clientes inalámbricos.

Las opciones del modo

de seguridad Enterprise

requieren un servidor

RADIUS con

autenticación,

autorización y

contabilidad (AAA).


Configuración de un router inalámbrico


Los routers inalámbricos modernos ofrecen una variedad de características, y la mayoría se diseñó para funcionar sin ninguna configuración adicional aparte de la configuración predeterminada.

Sin embargo, es aconsejable cambiar la configuración predeterminada inicial.

Un enfoque básico a la implementación inalámbrica, como en cualquier trabajo de red básico, es configurar y probar progresivamente.




Una vez que se confirma el funcionamiento de la red conectada por cable,

el plan de implementación consta de lo siguiente:

• Paso 1. Comience el proceso de implementación de WLAN con un único AP y un

único cliente inalámbrico, sin habilitar la seguridad inalámbrica.

• Paso 2. Verifique que el cliente recibió una dirección IP de DHCP y puede hacer

ping al router predeterminado local conectado por cable, y luego explore Internet

externo.

• Paso 3. Configure la seguridad inalámbrica con WPA2/WPA Mixed Personal. Nunca

use WEP, a menos que no existan otras opciones.

• Paso 4. Realice una copia de seguridad de la configuración.


Resolución de problemas

Métodos de resolución de problemas

Tres enfoques principales de solución de problemas que se utilizan

para resolver problemas de la red:

• De abajo hacia arriba - Comience en la capa 1 del modelo OSI y luego

debe ir subiendo.

• De arriba hacia abajo - Comience en la capa superior del modelo OSI y

trabaje hacia abajo.

• Divide y vencerás – Haga ping al destino. Si los pings fallan, compruebe las

capas inferiores. Si los pings son exitosos, verificar las capas superiores.



Falla de conexión de un cliente inalámbrico



Resolución de problemas en una red lenta

Existen varios motivos para usar un método

de división del tráfico:

La banda de 2,4 GHz puede ser adecuada

para el tráfico de Internet básico que no

depende del factor tiempo.

El ancho de banda aún se puede compartir

con otras WLAN cercanas.

La banda de 5 GHz está mucho menos

poblada que la banda de 2,4 GHz, ideal para

la transmisión de multimedios.

La banda de 5 GHz tiene más canales; por lo

tanto, es más probable que el canal que se

elija no tenga interferencia.


Resumen


03 Seguridad Capa Fisica 15 II

Documents

Transcript of 03 Seguridad Capa Fisica 15 II