PROGRAMA DE LA ACADEMIA DE NETWORKING DE CISCOCCNA1: CONCEPTOS BÁSICOS SOBRE NETWORKING V3.1.1

MÓDULO 3: MEDIOS DE NETWORKING3.3 MEDIOS INALÁMBRICOSIFES – Analista de Sistemas – Redes (2012)

Prof. Oskar Lombas

3.3 MEDIOS INALÁMBRICOS

3.3 MEDIOS INALÁMBRICOS

331.Estándares y organizaciones de las LAN inalámbricas

332.Dispositivos y topologías inalámbricas

333.Cómo se comunican las LAN inalámbricas

334.Autenticación y asociación (+Anexo)

335.Los espectros de onda de radio y microondas

336.Señales y ruido en una WLAN

337.Seguridad de la transmisión inalámbrica

338.Resumen

339.Preguntas varias

3.3.1 Estándares y organizaciones de las LAN inalámbricas (1)Como en el caso de las redes cableadas, la IEEE es la principal generadora de estándares para las redes inalámbricas.La tecnología clave que contiene el estándar 802.11 es el Espectro de Dispersión de Secuencia Directa (DSSS). El DSSS se aplica a los dispositivos inalámbricos que operan dentro de un intervalo de 1 a 2 Mbps.El siguiente estándar aprobado fue el 802.11b, que aumentó las capacidades de transmisión a 11 Mbps. Aunque las WLAN de DSSS podían interoperar con las WLAN de Espectro de Dispersión por Salto de Frecuencia (FHSS), se presentaron problemas que motivaron a los fabricantes a realizar cambios en el diseño.

3.3.1 Estándares y organizaciones de las LAN inalámbricas (2)802.11b también recibe el nombre de Wi-Fi™ o inalámbrico de alta velocidad y se refiere a los sistemas DSSS que operan a 1, 2; 5,5 y 11 Mbps. Todos los sistemas 802.11b cumplen con la norma de forma retrospectiva, ya que también son compatibles con 802.11 para velocidades de transmisión de datos de 1 y 2 Mbps sólo para DSSS. Esta compatibilidad retrospectiva es de suma importancia ya que permite la actualización de la red inalámbrica sin reemplazar las NIC o los puntos de acceso.Los dispositivos de 802.11b logran un mayor índice de tasa de transferencia de datos ya que utilizan una técnica de codificación diferente a la del 802.11, permitiendo la transferencia de una mayor cantidad de datos en la misma cantidad de tiempo. La mayoría de los dispositivos 802.11b todavía no alcanzan tasa de transferencia de 11 Mbps y, por lo general, trabajan en un intervalo de 2 a 4 Mbps.

3.3.1 Estándares y organizaciones de las LAN inalámbricas (3)802.11a abarca los dispositivos WLAN que operan en la banda de transmisión de 5 GHZ. El uso del rango de 5 GHZ no permite la interoperabilidad de los dispositivos 802.11b ya que éstos operan dentro de los 2,4 GHZ. 802.11a puede proporcionar una tasa de transferencia de datos de 54 Mbps y con una tecnología propietaria que se conoce como "duplicación de la velocidad" ha alcanzado los 108 Mbps. En las redes de producción, la velocidad estándar es de 20-26 Mbps.

3.3.1 Estándares y organizaciones de las LAN inalámbricas (4)802.11g proporciona el mismo ancho de banda que el 802.11a pero además es compatible con 802.11b mediante lamodulación de multiplexión por división de frecuencia orogonal (Orthogonal Frequency Division Multiplexing; OFDM) operando a una frecuencia de 2.4 GHZ en la banda de transmisión. Cisco ha desarrollado un punto de acceso que permite que los dispositivos 802.11b y 802.11a coexistan en la misma WLAN. El punto de acceso brinda servicios de ‘gateway’ que permiten que estos dispositivos, que de otra manera serían incompatibles, se comuniquen.

3.3.1 Estándares y organizaciones de las LAN inalámbricas – 802.11n (5)802.11n es una propuesta de modificación al estándar IEEE 802.11-2007 para mejorar significativamente el rendimiento de la red más allá de los estándares anteriores, tales como 802.11b y 802.11g, con un incremento significativo en la velocidad máxima de transmisión de 54 Mbps a un máximo de 600 Mbps.IEEE 802.11n está construido basándose en estándares previos de la familia 802.11, agregando Multiple-Input Multiple-Output (MIMO) y unión de interfaces de red (Channel Bonding), además de agregar tramas a la capa MAC.El estándar 802.11n fue ratificado por la organización IEEE el 11 de septiembre de 2009.

3.3.2 Dispositivos y topologías inalámbricas (1)Una red inalámbrica puede constar de tan sólo dos dispositivos. - Los nodos pueden ser simples estaciones de trabajo de escritorio o computadores de mano. Equipada con NIC inalámbricas, se puede establecer una red ‘ad hoc’ comparable a una red cableada de par a par. Ambos dispositivos funcionan como servidores y clientes en este entorno. Aunque brinda conectividad, la seguridad es mínima, al igual que la tasa de transferencia. Otro problema de este tipo de red es la compatibilidad. Muchas veces, las NIC de diferentes fabricantes no son compatibles.

3.3.2 Dispositivos y topologías inalámbricas (2)Para resolver el problema de la compatibilidad, se suele instalar un punto de acceso (AP) para que actúe como hub central para el modo de infraestructura de la WLAN. El AP se conecta mediante cableado a la LAN cableada a fin de proporcionar acceso a Internet y conectividad a la red cableada. Los AP están equipados con antenas y brindan conectividad inalámbrica a un área específica que recibe el nombre de celda.

3.3.2 Dispositivos y topologías inalámbricas (3)Según la composición estructural del lugar donde se instaló el AP y del tamaño y ganancia de las antenas, el tamaño de la celda puede variar enormemente. Por lo general, el alcance es de 91,44 a 152,4 metros (300 a 500 pies). Para brindar servicio a áreas más extensas, es posible instalar múltiples puntos de acceso con cierto grado de superposición. Esta superposición permite pasar de una celda a otra (roaming).

3.3.2 Dispositivos y topologías inalámbricas (4)Esto es muy parecido a los servicios que brindan las empresas de teléfonos celulares. La superposición, en redes con múltiples puntos de acceso, es fundamental para permitir el movimiento de los dispositivos dentro de la WLAN. Aunque los estándares del IEEE no determinan nada al respecto, es aconsejable una superposición de un 20-30% . Este índice de superposición permitirá el roaming entre las celdas y así la actividad de desconexión y reconexión no tendrá interrupciones.

3.3.2 Dispositivos y topologías inalámbricas (5)Cuando se activa un cliente dentro de la WLAN, la red comenzará a "escuchar" para ver si hay un dispositivo compatible con el cual "asociarse". Esto se conoce como "escaneo" y puede ser activo o pasivo.El escaneo activo hace que se envíe un pedido de sondeo desde el nodo inalámbrico que busca conectarse a la red. Este pedido de sondeo incluirá el Identificador del Servicio (SSID) de la red a la que se desea conectar. Cuando se encuentra un AP con el mismo SSID, el AP emite una respuesta de sondeo. Se completan los pasos de autenticación y asociación.Los nodos de escaneo pasivo esperan las tramas de administración de beacons (beacons) que son transmitidas por el AP (modo de infraestructura) o nodos pares (ad hoc). Cuando un nodo recibe un beacon que contiene el SSID de la red a la que se está tratando de conectar, se realiza un intento de conexión a la red. El escaneo pasivo es un proceso continuo y los nodos pueden asociarse o desasociarse de los AP con los cambios en la potencia de la señal.

3.3.2 Dispositivos y topologías inalámbricas (6)

IMPORTANTE! Actividad de medios interactivos.

3.3.2 Dispositivos y topologías inalámbricas (7)

Actividad de medios interactivos.

3.3.2 Dispositivos y topologías inalámbricas (8)

Actividad de medios interactivos.

3.3.3 Cómo se comunican las LAN inalámbricas (1)

Una vez establecida la conectividad con la WLAN, un nodo pasará las tramas de igual forma que en cualquier otra red 802.x. Las WLAN no usan una trama estándar 802.3. Por lo tanto, el término "Ethernet inalámbrica" puede resultar engañoso. Hay tres clases de tramas: de control, de administración y de datos. Sólo la trama de datos es parecida las tramas 802.3.

3.3.3 Cómo se comunican las LAN inalámbricas (2)Debido a que la radiofrecuencia (RF) es un medio compartido, se pueden producir colisiones de la misma manera que se producen en un medio compartido cableado. La principal diferencia es que no existe un método por el que un nodo origen pueda detectar que ha ocurrido una colisión. Por eso, las WLAN utilizan Acceso Múltiple con Detección de Portadora/Carrier y Prevención de Colisiones (CSMA/CA). Es parecido al CSMA/CD de Ethernet.

Cuando un nodo fuente envía una trama, el nodo receptor devuelve un acuse de recibo positivo (ACK). Esto puede consumir un 50% del ancho de banda disponible. Este gasto, al combinarse con el del protocolo de prevención de colisiones reduce la tasa de transferencia real de datos a un máximo de 5,0 a 5,5 Mbps en una LAN inalámbrica 802.11b con una velocidad de 11 Mbps.

3.3.3 Cómo se comunican las LAN inalámbricas (3)

El rendimiento de la red también estará afectado por la potencia de la señal y por la degradación de la calidad de la señal debido a la distancia o interferencia. A medida que la señal se debilita, se puede invocar la Selección de Velocidad Adaptable (ARS). La unidad transmisora disminuirá la velocidad de transmisión de datos de 11 Mbps a 5,5 Mbps, de 5,5 Mbps a 2 Mbps o de 2 Mbps a 1 Mbps.

3.3.4 Autenticación y asociación (1)La autenticación de la WLAN se produce en la Capa 2. Es el proceso de autenticar el dispositivo no al usuario. Este es un punto fundamental a tener en cuenta con respecto a la seguridad, detección de fallas y administración general de una WLAN.La autenticación puede ser un proceso nulo, como en el caso de un nuevo AP y NIC con las configuraciones por defecto en funcionamiento. El cliente envía una trama de petición de autenticación al AP y éste acepta o rechaza la trama. El cliente recibe una respuesta por medio de una trama de respuesta de autenticación. También puede configurarse el AP para derivar la tarea de autenticación a un servidor de autenticación, que realizaría un proceso de credencial más exhaustivo.La asociación que se realiza después de la autenticación, es el estado que permite que un cliente use los servicios del AP para transferir datos.

3.3.4 Autenticación y asociación (2)Tipos de autenticación y asociación

•No autenticado y no asociadoEl nodo está desconectado de la red y no está asociado a un punto de acceso.•Autenticado y no asociadoEl nodo ha sido autenticado en la red pero todavía no ha sido asociado al punto de acceso.•Autenticado y asociadoEl nodo está conectado a la red y puede transmitir y recibir datos a través del punto de acceso.

3.3.4 Autenticación y asociación (3)Métodos de AutenticaciónIEEE 802.11 presenta dos tipos de procesos de autenticación.El primer proceso de autenticación es un sistema abierto. Se trata de un estándar de conectividad abierto en el que sólo debe coincidir el SSID. Puede ser utilizado en un entorno seguro y no seguro aunque existe una alta capacidad de los ‘husmeadores’ de red de bajo nivel para descubrir el SSID de la LAN.El segundo proceso es una clave compartida. Este proceso requiere el uso de un cifrado del Protocolo de Equivalencia de Comunicaciones Inalámbricas (Wired Equivalent Privacy; WEP). WEP es un algoritmo bastante sencillo que utiliza claves de 64 y 128 bits. El AP está configurado con una clave cifrada y los nodos que buscan acceso a la red a través del AP deben tener una clave que coincida. Las claves del WEP asignadas de forma estática brindan un mayor nivel de seguridad que el sistema abierto pero definitivamente no son invulnerables a la piratería informática. (se complementa en el anexo 3.3.7)El problema del ingreso no autorizado a las WLAN actualmente está siendo considerado por un gran número de nuevas tecnologías de soluciones de seguridad.

3.3.5 Los espectros de onda de radio y microondas (1)Las ondas de radio son irradiadas en líneas rectas desde la antena. Sin embargo, las ondas de radio se atenúan a medida que se alejan de la antena transmisora. Al igual que lo que sucede con la luz, las ondas de radio pueden ser absorbidas por ciertos materiales y reflejadas por otros. Al pasar de un material, como el aire, a otro material, como una pared de yeso, las ondas de radio se refractan. Las gotas de agua que se encuentran en el aire también dispersan y absorben las ondas de radio.Es importante recordar estas cualidades de las ondas de radio cuando se está planificando una WLAN para un edificio o en un complejo de edificios. El proceso de evaluar la ubicación donde se instala una WLAN se conoce como inspección del sitio.

3.3.5 Los espectros de onda de radio y microondas (2)Como las señales de radio se debilitan a medida que se alejan del transmisor, el receptor también debe estar equipado con una antena. Cuando las ondas de radio llegan a la antena del receptor, se generan débiles corrientes eléctricas en ella. Estas corrientes eléctricas, producidas por las ondas de radio recibidas, son equivalentes a las corrientes que originalmente generaron las ondas de radio en la antena del transmisor. El receptor amplifica la fuerza de estas señales eléctricas débiles.

3.3.5 Los espectros de onda de radio y microondas (3)En un transmisor, las señales eléctricas (datos) que provienen de un computador o de una LAN no son enviadas directamente a la antena del transmisor. En cambio, estas señales de datos son usadas para alterar una segunda señal potente llamada señal portadora.El proceso de alterar una señal portadora que ingresará a la antena del transmisor recibe el nombre de modulación. Existen tres formas básicas en las que se puede modular una señal portadora de radio. Por ejemplo: las estaciones de radio de Amplitud Modulada (AM) modulan la altura (amplitud) de la señal portadora. Las estaciones de Frecuencia Modulada(FM) modulan la frecuencia de la señal portadora según lo determina la señal eléctrica proveniente del micrófono. En las WLAN, se utiliza un tercer tipo de modulación llamado modulación de fase para superponer la señal de los datos a la señal portadora enviada por el transmisor.

3.3.5 Los espectros de onda de radio y microondas (4)En este tipo de modulación, los bits de datos de una señal eléctrica cambian la fase de la señal portadora.Un receptor demodula la señal portadora que llega desde su antena. El receptor interpreta los cambios de fase de estos la señal portadora y la reconstruye a partir de la señal eléctrica de datos original.

3.3.6 Señales y ruido en una WLAN (1)En una red Ethernet cableada, a menudo, resulta simple diagnosticar la causa de una interferencia. Cuando se utiliza una tecnología de RF es necesario tener en cuenta varios tipos de interferencia.Una solución para el problema de interferencia en la banda estrecha consiste en simplemente cambiar el canal que utiliza el AP. La interferencia en banda completa afecta toda la gama del espectro. Las tecnologías Bluetooth™ saltan a través de los 2.4 GHz completo, varias veces por segundo y pueden producir una interferencia significativa en una red 802.11b.

3.3.6 Señales y ruido en una WLAN (2)Es común ver carteles en instalaciones que usan redes inalámbricas solicitando que se desconecten todos los dispositivos Bluetooth™ antes de entrar. En los hogares y las oficinas, un dispositivo que, a menudo, se pasa por alto y que causa interferencia es el horno de microondas estándar. Un microondas que tenga una pérdida de tan sólo un watt que ingrese al espectro de RF puede causar una importante interferencia en la red. Los teléfonos inalámbricos que funcionan en el espectro de 2.4GHZ también pueden producir trastornos en la red.Las condiciones climáticas, inclusive las más extremas, por lo general no afectan la señal de RF. Sin embargo, la niebla o condiciones de humedad elevada pueden afectar y afectan las redes inalámbricas. Los rayos también pueden cargar la atmósfera y alterar el trayecto de una señal transmitida.La primera fuente de problemas de señal, y la más obvia, es la estación transmisora y el tipo de antena. Una estación de mayor potencia transmitirá la señal a mayor distancia y una antena parabólica que concentre la señal aumentará el alcance de la transmisión.

3.3.7 Anexo: Seguridad WiFiUno de los problemas más graves a los cuales se enfrenta actualmente la tecnología Wi-Fi es la seguridad. Un elevado porcentaje de redes son instaladas por administradores de sistemas y redes por su simplicidad de implementación sin tener en consideración la seguridad y, por tanto, convirtiendo sus redes en redes abiertas, sin proteger la información que por ellas circulan. Existen varias alternativas para garantizar la seguridad de estas redes. Las más comunes son la utilización de protocolos de cifrado de datos para los estándares Wi-Fi como el WEP y el WPA que se encargan de codificar la información transmitida para proteger su confidencialidad, proporcionados por los propios dispositivos inalámbricos, o IPSEC (túneles IP) en el caso de las VPN y el conjunto de estándares IEEE 802.1X, que permite la autenticación y autorización de usuarios. Actualmente existe el protocolo de seguridad llamado WPA2 (estándar 802.11i), que es una mejora relativa a WPA, es el mejor protocolo de seguridad para Wi-Fi en este momento.

3.3.7 Anexo: Peligros y Ataques (1)WARCHALKING Y WARDRIVING El warchalking hace referencia a la utilización de un lenguaje de símbolos para reflejar visualmente la infraestructura de una red inalámbrica y las características de alguno de sus elementos. Estas señales se suelen colocar en las paredes de edificios situados en las zonas en las que existen redes inalámbricas para indicar su condición y facilitar el acceso a las mismas. El wardriving se refiere a la acción de ir recorriendo una zona en busca de la existencia de redes wireless y conseguir acceder a ellas. Requiere de un software especial que capture las tramas broadcast que difunden los AP.

RUPTURA DE LA CLAVE WEP El mecanismo de seguridad especificado en el estándar 802.11 es el cifrado de la información utilizando una clave simétrica denominada WEP. Sin embargo, WEP tiene deficiencias conocidas, como la corta longitud de su clave o la propagación de la misma, que permiten acceder a redes protegidas solamente mediante WEP.

3.3.7 Anexo: Peligros y Ataques (2)SUPLANTACIÓN La suplantación es un ataque en el que el intruso pretende tomar la identidad de un usuario autorizado. Una variante pasiva de la suplantación es la escucha (eavesdropping).Como las comunicaciones inalámbricas viajan libremente por el aire cualquiera que esté equipado con una antena que opere en el rango de frecuencias adecuado y dentro del área de cobertura de la red podrá recibirlas.También existen suplantaciones activas, como el spoofing. Consiste en que el intruso consigue suplantar la identidad de una fuente de datos autorizada para enviar información errónea a través de la red. El mecanismo más simple es emplear una dirección MAC valida.Otra técnica activa es la captura de canales (hijacking). Sucede cuando un intruso se hace con un canal que, desde ese momento, ya no estará accesible para usuarios autorizados disminuyendo así las prestaciones de la red. Otra posibilidad es que un punto de acceso intruso logre conectarse a la red para que las estaciones le envíen información reservada como son nombres de usuario o contraseñas.

3.3.7 Anexo: Peligros y Ataques (3)DENEGACIÓN DE SERVICIO

Son aquellos ataques en los que el intruso consigue que los usuarios autorizados no puedan conectarse a la red. Existen los siguientes ataques de denegación de servicio: -Crear un nivel elevado de interferencias en una zona cercana al punto de acceso.- Ataques por sincronización • Smurf. El intruso envía un mensaje broadcast con una dirección IP falsa que, al ser recibida, causará un aumento enorme de la carga de red.

3.3.7 Anexo: Mecanismos de seguridad (1)La seguridad WIFI abarca dos niveles. En el nivel más bajo, se encuentran los mecanismos de cifrado de la información, y en el nivel superior los procesos de autenticación.

AUTENTICIDAD Y PRIVACIDADAl igual que en el resto de redes la seguridad para las redes wireless se concentra en el control y la privacidad de los accesos. Un control de accesos fuerte impide a los usuarios no autorizados comunicarse a través de los AP, que son los puntos finales que en la red Ethernet conectan a los clientes WLAN con la red. Por otra parte, la privacidad garantiza que sólo los usuarios a los que van destinados los datos trasmitidos los comprendan. Así, la privacidad de los datos transmitidos solo queda protegida cuando los datos son encriptados con una clave que solo puede ser utilizada por el receptor al que están destinados esos datos.Por tanto, en cuanto a seguridad, las redes wireless incorporan dos servicios: de autenticación y privacidad.

3.3.7 Anexo: Mecanismos de seguridad (2)La seguridad WIFI abarca dos niveles. En el nivel más bajo, se encuentran los mecanismos de cifrado de la información, y en el nivel superior los procesos de autenticación.AUTENTICIDADLos sistemas basados en 802.11 operan muy frecuentemente como sistemas abiertos, de manera que cualquier cliente inalámbrico puede asociarse a un punto de acceso si la configuración lo permite. También existen listas de control de accesos basadas en la dirección MAC, disponiendo en el AP de una lista con los clientes autorizados para rechazar a los que no lo están. También es posible permitir el acceso a cualquier nodo que se identifique y que proporcione el SSID (Service Set ID) correcto.PRIVACIDADPor defecto, los datos se envían sin utilizar ningún cifrado. Si se utiliza la opción WEP los datos se encriptan antes de ser enviados utilizando claves compartidas, que pueden ser estáticas o dinámicas. Para realizar el cifrado se emplea la misma clave que se usa para la autenticación WEP. También se pueden utilizar otros mecanismos más potentes, como WPA o el nuevo estándar 802.11i (WPA2).

3.3.7 Anexo: Breve historia de WEP (1)El protocolo WEP no fue creado por expertos en seguridad o criptografía, así que pronto se demostró (se detectó una vulnerabilidad ya en 1995, mientras que el primer ataque se produjo en 2001) que era vulnerable.Las herramientas de cracking, como Aircrack o WepLab, ponen en práctica estos ataques y pueden extraer una clave WEP de 128-bits en menos de 10 minutos (o algo más, dependiendo del punto de acceso y la tarjeta wireless específicos). Con la inyección de paquetes, el obtener los datos necesarios era apenas una tarea de minutos. En la actualidad, WEP está definitivamente muerto y no debería ser utilizado, ni siquiera con rotación de claves.

3.3.7 Anexo: WEP muere, nacen WPA y WPA2 (1)Luego del deceso del WEP, en 2003 se propone el Acceso Protegido a Wi-Fi (WPA, por sus iniciales en inglés) y luego queda certificado como parte del estándar IEEE 802.11i, con el nombre de WPA2 (en 2004).WPA y WPA2 son protocolos diseñados para trabajar con y sin un servidor de manejo de llaves. Si no se usa un servidor de llaves, todas las estaciones de la red usan una “llave previamente compartida” (PSK - Pre-Shared-Key-, en inglés), El modo PSK se conoce como WPA o WPA2-Personal.Cuando se emplea un servidor de llaves, al WPA2 se le conoce como WPA2-Corporativo (o WPA2-Enterprise, en inglés). En WPA-Corporativo, se usa un servidor IEEE 802.1X para distribuir las llaves.Una mejora notable en el WPA” sobre el viejo WEP es la posibilidad de intercambiar llaves de manera dinámica mediante un protocolo de integridad temporal de llaves (TKIP - Temporal Key Integrity Protocol).

3.3.7 Anexo: WEP muere, nacen WPA y WPA2 (2)WPA2 – ACCESO PROTEGIDO A WI-FI

WPA2 es la versión certificada de WPA y es parte del estándar IEEE 802.11i. Hay dos cambios principales en WPA2 vs. WPA:1. El reemplazo del algoritmo Michael por un código de autenticación conocido como el protocolo “Counter-Mode/CBC-Mac” (CCMP), que es considerado criptográficamente seguro.2. El reemplazo del algoritmo RC4 por el “Advanced Encryption Standard (AES)” conocido también como Rijndael.Recomendaciones para confidencialidad en datos: •Si se necesita confidencialidad mediante el cifrado a nivel de enlace: la mejor opción es WPA2 en modo “corporativo” (WPA2-Enterprise”).•En caso de usarse una solución más simple como la WPA2-Personal, deben tomarse precauciones especiales al escoger una contraseña (llave pre-compartida, PSK).•El protocolo WEP y sus variantes WEP+, y WEP2, deben ser descartados.

3.3.7 Anexo: WPA /WPA2 (Wireless Protected Access) (1)FUNCIONAMIENTOSu nombre proviene del acrónimo WPA, es decir, Wireless Protected Access (acceso inalámbrico protegido) y tiene su origen en los problemas detectados en el anterior sistema de seguridad creado para las redes inalámbricas. La idea era crear un sistema de seguridad que hiciera de puente entre WEP y el 802.11i (WPA2), el cual estaba por llegar. Para ello utiliza el protocolo TKIP (Temporal Key Integrity Protocol) y mecanismos 802.1x. La combinación de estos dos sistemas proporciona una encriptación dinámica y un proceso de autentificación mutuo. Así pues, WPA involucra dos aspectos: un sistema de encriptación mediante TKIP y un proceso de autentificación mediante 802.1x.WPA2 fue lazada en septiembre de 2004 por la Wi-Fi Alliance. WPA2 es la versión certificada que cumple completamente el estándar 802.11i ratificado en junio de 2004.

3.3.7 Anexo: WPA /WPA2 (Wireless Protected Access) (2)Análogamente a WPA presenta dos vertientes: la autentificación y la encriptación de datos. Para el primer elemento utiliza 802.1x / EAP o bien PSK. Para la encriptación se utiliza un algoritmo mejor que el TKIP, concretamente el AES.En el modo Enterprise el sistema trabaja gestionada mente asignando a cada usuario una única clave de identificación, lo que proporciona un alto nivel de seguridad. Para la autentificación el sistema utiliza el ya comentado 802.1x y para la encriptación un algoritmo de cifrado mejor que el TKIP, el AES. Para el caso de funcionamiento en la versión personal, se utiliza una clave compartida (PSK) que es manualmente introducida por el usuario tanto en el punto de acceso como en las máquinas cliente, utilizando para la encriptación o bien TKIP o AES. En este sentido las diferencias con WEP se basan en el algoritmo de cifrado de los datos.

3.3.7 Anexo: WPA /WPA2 (Wireless Protected Access) (3)PROBLEMASDesgraciadamente WPA no está exento de problemas. Uno de los más importantes sigue siendo los DoS o ataques de denegación de servicio. Si alguien envía dos paquetes consecutivos en el mismo intervalo de tiempo usando una clave incorrecta el punto de acceso elimina todas las conexiones de los usuarios durante un minuto. Este mecanismo de defensa utilizado para evitar accesos no autorizados a la red puede ser un grave problema.

3.3.7 Anexo: WPA /WPA2 (Wireless Protected Access) (4)OTRAS MEDIDAS

Otras medidas que se pueden utilizar en conjunción con los diferentes sistemas de seguridad son:

-FILTRADO DE DIRECCIONES MACAunque no es una práctica que implique un aumento elevado en la seguridad del sistema, es un extra que añade un nivel más de seguridad de cara a los posibles atacantes casuales y es recomendable, si bien no supondrá ningún impedimento para hackers profesionales ya que hoy día es muy fácil simular las direcciones MAC de un sistema.

- OCULTACIÓN DEL NOMBRE DE LA RED (ESSID)De nuevo es una medida más que es prudente tomar a la hora de realizar las implementaciones de seguridad de nuestra red inalámbrica, pero que en ningún caso supone impedimentos graves para hackers profesionales.

3.3.7 Anexo: WPA /WPA2 (Wireless Protected Access) (5)DEBILIDADES DE WPA/WPA2Aunque se han descubierto algunas pequeñas debilidades en WPA/WPA2 desde su lanzamiento, ninguna de ellas es peligrosa si se siguen unas mínimas recomendaciones de seguridad.La vulnerabilidad más práctica es el ataque contra la clave PSK de WPA/WPA2. La PSK proporciona una alternativa a la generación de 802.1X PMK usando un servidor de autenticación. Es una cadena de 256 bits o una frase de 8 a 63 caracteres.La fuerza de PTK radica en el valor de PMK, que para PSK significa exactamente la solidez de la frase. Podría verse sometido a ataques de diccionario o ataques offline de fuerza bruta. Aircrack permite este tipo de ataques sobre WPA. El diseño del protocolo significa que el método de la fuerza bruta es muy lento (unos centenares de frases por segundo con el último procesador simple). La PMK no puede ser pre-calculada (y guardada en tablas) porque la frase de acceso está codificada adicionalmente según la ESSID. Una buena frase que no esté en un diccionario (de unos 20 caracteres) debe ser escogida para protegerse eficazmente de esta debilidad.

3.3.7 Anexo: Conclusiones y recomendacionesLa seguridad meramente inalámbrica sólo incluye mecanismos de seguridad presentes en las capas 1 y 2.La encripción a nivel de la capa de enlace (WEP, WPA, WPA2) es una medida de seguridad comúnmente utilizada pero no garantiza confidencialidad punto-a-punto. Si se necesita seguridad a nivel de capa de enlace evite el uso de WEP, y use IEEE 802.11i (WPA2). La supresión del anuncio de la SSID y el filtrado mediante direcciones MAC no son métodos de autenticación seguros. Es necesario un método de autenticación de más alto nivel, como por ejemplo un portal cautivo (ver nota).Una red puede tornarse inoperativa como resultado de ataques de Negación de servicio (D0S) o software malicioso, pero también debido a nodos ocultos de los que no tenemos idea de su existencia, y problemas de interferencia. Solo mediante el monitoreo de tráfico en la red, se pueden encontrar las causas reales de un problema.No hay una solución estándar de seguridad para todas las redes inalámbricas. Es necesario tener una idea clara de los requisitos de seguridad, y la solución depende de cada escenario.

3.3.8 Resumen (1)Se debe haber obtenido una comprensión adecuada de los siguientes puntos clave:Visto anteriormente (recordar):•El cable coaxial consta de un conductor cilíndrico exterior hueco que rodea un conductor de alambre interno único.•El cable UTP es un medio de cuatro pares de hilos que se utiliza en varios tipos de redes.•El cable STP combina las técnicas de blindaje, cancelación y trenzado de los hilos.•La fibra óptica es un excelente medio de transmisión cuando es instalada, probada y mantenida correctamente.•La energía de la luz, un tipo de onda de energía electromagnética, se utiliza para transmitir grandes cantidades de datos de forma segura a distancias relativamente grandes.•Las fibras son utilizadas en pares para proporcionar comunicaciones full duplex.

3.3.8 Resumen (2)Se debe haber obtenido una comprensión adecuada de los siguientes puntos clave:Visto en esta presentación:•La comprensión de las reglamentaciones y los estándares que se aplican a la tecnología inalámbrica permitirá la interoperabilidad y cumplimiento de todas las redes existentes.•Los problemas de compatibilidad con las NIC se resuelven instalando un punto de acceso (AP) que actúe como hub central para la WLAN•Son tres los tipos de tramas que se utilizan en las comunicaciones inalámbricas: de control, de administración y de datos•Las WLAN utilizan Acceso Múltiple con Detección de Portadora y Prevención de Colisiones (CSMA/CA).•La autenticación de la WLAN es un proceso que autentica el dispositivo, no el usuario.

3.3.9 Preguntas varias del módulo 3 (1)

3.3.9 Preguntas varias del módulo 3 (1)

3.3.9 Preguntas varias del módulo 3 (2)

3.3.9 Preguntas varias del módulo 3 (2)

3.3.9 Preguntas varias (3)

3.3.9 Preguntas varias (3)

3.3.9 Preguntas varias (4)

3.3.9 Preguntas varias del módulo 3 (4)