Este documento describe los problemas de seguridad en las redes wifi y propuestas para mejorarla, incluyendo la implementación del protocolo 802.1x para autenticación y control de acceso. Analiza diferentes mecanismos de seguridad como VPN, proxy web e IEEE 802.11i. Recomienda adoptar 802.1x junto con WPA para proporcionar una solución de seguridad real que aproveche la infraestructura existente.
1. UNIVERSIDAD TECNICA PARTICULAR DE LOJA” Mejoramiento de la seguridad en las rede wireless TEMA: Por: Carlos Rojas Patricio Jaramillo DIEGO MOROCHO Dirección: Ing. María del Carmen Cabrera
2. TEMATICA La tecnología inalámbrica permite a usuarios conectarse a redes LAN sin la necesidad de utilizar cableado físico, de tal forma que se pueden llevar a cabo conexiones desde cualquier lugar siempre y cuando el dispositivo que solicita el servicio de red se encuentre dentro del área de cobertura de estos sistemas. Los sistemas inalámbricos, en cuanto a servicios, presentan características similares a las redes cableadas, con la ventaja de que el usuario puede encontrarse en movimiento.
3. TEMATICA Desde los inicios de esta tecnología, muchas recomendaciones se han generado para dotar a las redes inalámbricas de un nivel de seguridad adecuado. Inicialmente, algunas de estas recomendaciones solo pusieron en evidencia más riesgos, lo que generó confusión y desconfianza, pero posteriormente y con base en iniciativas más serias al momento de valorar el riesgo asociado a esta tecnología, se han venido diseñando y estableciendo otros mecanismos que realmente permiten mejorar el nivel de seguridad en las redes inalámbricas.
4. INTRODUCCION En la actualidad el uso de redes inalámbricas se ha extendido por sus ventajas de movilidad, flexibilidad y productividad. Esta tendencia hacia las redes inalámbricas ha hecho que se las pueda encontrar en aeropuertos, campus universitarios, cafés y en ciudades con los hotspots que se están difundiendo rápidamente por lo que no es de extrañarse que las empresas vean en las WLANs solución a sus necesidades de comunicación.
5. INTRODUCCION Sin embargo, junto con su funcionalidad y demás ventajas, este tipo de implementaciones trae consigo importantes riesgos de seguridad que afrontar, en su mayoría asociados a la inexistencia de delimitación física de forma clara, y otros más importantes asociados a la carencia de mecanismos de seguridad suficientemente fuertes que protejan el acceso a los recursos tecnológicos y a la información.
6. Redes Inalámbricas El concepto de redes inalámbricas hace referencia a un conjunto de equipos de cómputo interconectados por medio de ondas de radio o infrarrojo. Las redes inalámbricas al igual que las redes cableadas tienen diferentes rangos de cobertura. Las redes más populares y con mayor incremento en su uso son las redes inalámbricas de área local o WLAN (wirelessLAN’s) conocidas popularmente como redes Wi-Fi. El uso en el hogar de redes Wi-Fi(1) es una nueva situación que se presenta hoy en día. Contar con una red inalámbrica que permita conectar las computadoras y todos los dispositivos electrónicos es una visión de tener todo bajo un mismo control y canal de conexión; de esta manera se podrá compartir información entre dos puntos distintos de la casa en cuestión de segundos, lo que nos lleva a un nuevo estilo de vida en el hogar. (1) Wi-Fi, Wireless-Fidelity
7. Redes Wifi Las siglas Wi-Fi representan un esfuerzo de muchas empresas para crear un estándar y permitir que los dispositivos para redes inalámbricas tuvieran compatibilidad entre ellos (2). Se utiliza el estándar de transmisión 802.11b/g. Estas redes se han vuelto muy populares en la actualidad por su fácil instalación y por el precio bajo de los dispositivos necesarios para implementar este tipo de redes. Las redes Wi-Fi también son conocidas como las redes Wireless Ethernet aunque el término no es el apropiado. Todos los dispositivos con Wi-Fi integrado permiten la conectividad con una WLAN por medio de un Punto de Acceso (AP) el cual servirá como enlace entre la red y el dispositivo móvil, como puede ser una computadora portátil, un asistente personal digital o PDA, o inclusive una computadora de escritorio la cual “ahorra” el cableado con una tarjeta de red inalámbrica. AP, Access Point o Punto de Acceso Inalámbrico (2) AP, Access Point o Punto de Acceso Inalámbrico
8. Esquema de una red inalámbrica Para la Arquitectura de la red Wi-Fi de la mayoría de instituciones, siempre se una red inalámbrica con el estándar 802.11g a 54Mbps en modo Infraestructura. El identificador de la red Wi-Fi o SSID(3) de los puntos de Acceso depende del Área de Servicio en que se encuentre. SSID, Service Set IDentifier, Identificador de la red wifi.Los puntos de acceso están situados en puntos estratégicos de forma que el área que cubre cada punto maximice su alcance. El esquema de seguridad de la redes actualmente contempla muy pocos aspectos que se deben tomar en cuenta; como es el caso de la utilización de un servidor de autenticación a través de un portal que no es robusto, la comunicación entre el Access Point y el Cliente no es cifrada, no está integrado a otros componentes de gestión de la red, carece de escalabilidad, está sujeto a ataques del tipo spoofing y no hay categorización de usuarios ni manejo de perfiles para la asignación de recursos como ancho de banda y permisos, perjudicando en gran medida el uso adecuado de los mismos. (3) SSID, Service Set IDentifier, Identificador de la red wifi
9. Estudio y selección de los nuevos mecanismos de seguridad Muchas prácticas se han establecido como recomendables para minimizar los riesgos asociados al acceso indebido en redes inalámbricas. Para solucionar los problemas que presenta implementar WLAN en distintos escenarios se evalúa las tres principales técnicas: Virtual Private Network (VPN): Una VPN (red privada virtual) es una técnica de encapsulación y encriptación de los paquetes de datos a distintos puntos de la red a través de infraestructuras públicas de transporte. El escenario más común de esta tecnología es la de unir oficinas o la de permitir al personal que se encuentra de viaje acceder a la red interna de sus empresas, permitiéndole a éste obtener los servicios propios de la red interna.
10. Estudio y selección de los nuevos mecanismos de seguridad Proxy-Web: Una de las alternativas más populares por su bajo costo, es la implementación de un Proxy-Web o portal cautivo. La idea es realizar autenticación y autorización de los usuarios en escenarios como en Hoteles y aeropuertos, donde se requiere entregar acceso público con algún tipo de restricción en el acceso. Proxy-Web no requiere de la instalación de ningún software adicional por parte del cliente. IEEE 802.11i (3): El Instituto de Ingenieros Eléctricos y Electrónicos IEEE propone el protocolo IEEE 802.11i o WirelessProtected Access 2 (WPA2) como la solución definitiva al problema de seguridad en redes inalámbricas de área local ante las debilidades encontradas en 802.11 y WEP. Este protocolo especifica los requerimientos para las redes inalámbricas de área local (LAN) a nivel de capa MAC y capa física (PHY), fue recientemente ratificado a principios de octubre del año 2004.
11. Estudio y selección de los nuevos mecanismos de seguridad Una primera versión llamada WirelessProtected Access (WPA) basada en IEEE 802.11i, era la encargada de ofrecer una WLAN segura hasta la ratificación IEEE 802.11i. Esta ofrece mejoras bajo el hardware que actualmente poseen los usuarios (equipos Wi-Fi, que mediante un update de drivers o firmware se compatibilizan con lo que WPA propone). WPA utiliza como mecanismo de encriptación TKIP y autenticación basada en 802.1X/EAP. Para escenarios donde no se quiere implementar 802.1X se tiene un modo llamado Pre-Shared Key (PSK) que al igual que WEP utiliza una llave preconocida y compartida entre AP y STA, pero realiza una permanente rotación de llaves. Ver Figura 3.3 .
12. Requerimientos técnicos de las soluciones Es necesario delimitar los posibles tipos de autenticación a implementar, es importante validarlos y seleccionar el más indicado con base en los requerimientos técnicos que implica la implementación de estos posibles tipos de autenticación. Otro punto importante es considerar la estructura de dominio de usuarios con la que se cuenta y si se pretende utilizar la misma base de datos de usuarios para validar la autenticación a la red en la implementación de 802.1x a realizar.
13. Requerimientos técnicos de las soluciones Desde el punto de vista de los clientes de acceso inalámbricos, exactamente sobre los requerimientos de la conexión, se debe validar si las plataformas utilizadas en los clientes soportan el tipo de autenticación elegido o si por el contrario requieren un componente de software que los habilite para realizarla. A continuación se presenta la Tabla 1 con el tipo de soporte disponible en algunos sistemas operativos (los más comunes a nivel de cliente) para los métodos de autenticación EAP que se implementarían: Al manejar diferentes plataformas a nivel de clientes (Windows, Linux, MacOS) se hace necesario implementar un mismo cliente 802.1x para tener un sistema homogéneo y facilitar la administración.
14. Mejores practicas para la gestión de red inalámbrica A continuación se presenta un listado de las Mejores Prácticas Para la Red WIFI que se deben tomar en cuenta para la administración de seguridad de la misma. Establecer políticas y procedimientos de seguridad para la utilización de la tecnología WIFI. Las herramientas de seguridad WIFI son insuficientes para solucionar todos los problemas de seguridad que plantean las redes inalámbricas. Por lo tanto es imprescindible la utilización de políticas claras y rígidas en materia de seguridad Verificar que los usuarios de la red están entrenados y conocen los riesgos asociados con su utilización. Los usuarios de WIFI, en su gran mayoría, nunca fueron entrenados ni capacitados para el uso de esta novedosa tecnología.
15. Análisis del esquema 802.1x Como alternativa realmente viable para quienes tiene dispositivos inalámbricos que no soportan WPA, surgió la integración del mecanismo de control de acceso y autenticación a la red 802.1x con el uso de cifrado WEP con manejo dinámico de claves (WEP dinámico(4)). Otra ventaja de la implementación de 802.1x en redes inalámbricas son los costos asociados, ya que se puede utilizar servidores de autenticación (RADIUS, IAS(5)) que ya existen en las organizaciones y no se requiere actualizaciones firmware o compatibilidad con WPA en los dispositivos inalámbricos utilizados. (4)http://es.wikipedia.org/wiki/WEP#WEP_din.C3.A1mico (5)IAS, Internet AuthenticationService, Servicio de autenticación de Internet utilizado como servidor AAA radius.
16.
17. La implementación de 802.1x para la red inalámbrica es un componente primordial de las mejores recomendaciones de seguridad actuales y futuras, por lo cual su adopción es una práctica que no solo eleva el nivel de seguridad de las infraestructuras de acceso inalámbrico actuales, si no que prepara a las organizaciones para llegar a cumplir con los futuros estándares de seguridad para la tecnología inalámbrica.
18. La implementación de 802.1x para la red inalámbrica es una posibilidad real que las organizaciones pueden llevar a cabo con su infraestructura tecnológica actual, y que se adecuará, sin mayores impactos económicos o funcionales, a su crecimiento y modernización.
19.
20. Implementación del esquema para la Asignación dinámica de VLANs para los clientes de la red cableada, lo que garantizará a sus usuarios acceder a los servicios de la red basados en su perfil de usuario en cualquier equipo de la red ingresando sus credenciales. A sí mismo el administrador de la red se evitará de realizar cambios en los equipos de red.
21. Promover la creación de comunidades de wifi global, que permitan a los usuarios la conexión gratuita a los puntos de acceso de otros usuarios a través de roaming mediante servidores AAA radius usando como pasarela el internet, a la vez se puede incorporar como una iniciativa empresarial de manera similar a la propuesta por el movimiento FON(6).(6)http://www.fon.es/
22. Aporte Personal Nuestro aporte personal tiene que ver con la seguridad que debemos tener en cuenta al momento de levantar una red local y que no surjan luego de algún lapso de tiempo cualquier problema de seguridad. Creo que es súper importante utilizar un esquema WPA el cual use 802.1x como mecanismo de control de acceso y autenticación a la red, y para generar y entregar las llaves de sesión WPA a los usuarios autenticados. Esto tomara un poco más de tiempo para levantar la red pero será mucho mas seguro y más fácil de administrar.
23. BIBLIOGRAFIA 1. Cisco Systems. Cisco Networking Academy Program CCNA. 2004.Cisco Systems EEUU. Documento en linea: http://cisco.netacad.net. 2. Wi-Fi Alliance. Wi-Fi.About the alliance. 2005. Wifialliance. EEUU. Documento en línea: http://www.wifi.org. [En línea] 3. Dennis Fisher. Study Exposes WLAN Security Risks. Marzo 12 de 2003. http://www.eweek.com/ print_article/ 0, 3048,a=38444,00.asp. Wikipedia. Wifi. 2007. Wikipedia. EEUU. Documento en línea:http://en.wikipedia.org/wiki/Wif 4. Warchalking, http://www.warchalking.org. [En línea] 5. Wireless VPN Performance Test, http://www.scd.ucar.edu/nets/projects/wireless/performance.tests.vpn.html. [En línea]