Arquitecturas Seguras en Redes Inalambricas
-
Upload
jessica-flores -
Category
Documents
-
view
213 -
download
1
description
Transcript of Arquitecturas Seguras en Redes Inalambricas
1
Arquitecturas seguras en redes inalámbricas
Jessica Flores Reyes e-mail: [email protected]
Facultad de Sistemas y Telecomunicaciones Universidad Estatal Península de Santa Elena
La Libertad - Ecuador [email protected]
Comunicaciones II
RESUMEN: el presente documento da a conocer las arquitecturas seguras de las redes inalámbricas,
además del estándar 802.11i para la autenticación de usuarios que acceden a la red. Se especifica los
modos de funcionamiento de los equipos inalámbricos, así como también, el diseño lógico de la WLAN
segura.
INTRODUCCION
Las redes inalámbricas, son redes a las que se
tiene fácil acceso sin la necesidad de la conexión por
cables. Permiten a los usuarios engancharse a la red y
poder desplazarse dentro del área de cobertura sin
perder la conexión.
Estas redes utilizan ondas electromagnéticas para
la transmisión de datos entre uno o varios dispositivos
receptores y trasmisores de señales, por tal motivo la
tecnología inalámbrica varía constantemente por
parámetros con frecuencia, canal, radio de cobertura,
velocidad de transmisión, entre otros.
Cabe mencionar, que son vulnerables a ataques
como el acceso a la información sensible por lo que el
atacante logra captar la señal e intentar acceder y
conectarse fácilmente a la red en caso de que la
información que se transmite no está codificada, siendo
esto una acción desfavorable para la entidad u
organización poseedora de la red.
El administrador de la red, tiene la obligación de
verificar y disminuir las vulnerabilidades a la que está
expuesta la red inalámbrica para aplicar métodos de
seguridad que logre contrarrestar los riesgos de filtrado
de información.
El punto clave y eje de esta consulta, es analizar la
arquitectura que deben tener las redes inalámbricas
para dar a conocer mejoras.
MODOS DE FUNCIONAMIENTO EN
WiFi [1]
Los dispositivos inalámbricos pueden operar en
varios modos como:
Master
Este modo es también llamado AP (Access
Point) o de infraestructura, usado para la
instalación de una red con un AP que conecta
a diferentes clientes.
Los dispositivos WiFi en este modo, solo se
pueden comunicar con dispositivos asociados a
ellos que estén en el modo Managed.
Managed
También llamado modo cliente, estación o
CPE. Los dispositivos configurados en este
modo, se unirán a una red creada por el Master
y automáticamente cambiarán su canal para
ajustarse con el del Master. Su comunicación
2
será solo con el equipo Master, mas no entre sí
mismos.
Ad-hoc
Usado en redes mesh, la comunicación se
realiza únicamente entre los nodos y los
dispositivos deberán estar dentro del mismo
rango de cobertura para escoger el nombre de
red y un canal común.
Monitor
Este modo no es usado normalmente para
comunicaciones, sino para escuchar
parcialmente todo el tráfico en un canal dado.
Es útil para el análisis de los problemas de un
enlace inalámbrico, observar el uso del
espectro en una zona específica, efectuar
tareas de mantenimiento y de seguridad, entre
otros.
Cada uno de estos modos, poseen restricciones
específicas de operación indicando que solo se puede
operar en un modo determinado a la vez, es decir, si el
equipo opera como AP ya o puede operar como cliente.
Cabe mencionar, que existen casos en que los
equipos aceptan más de un modo como en el caso de
las redes mesh para el aumento del rendimiento.
A continuación se puede observar las posibles
comunicaciones con los equipos establecidos en
diferentes modos.
Figura 1. Modos de funcionamiento de equipos inalámbricos
PROTOCOLO 802.11i [2]
Este protocolo está dirigido a disminuir la
vulnerabilidad actual en la seguridad para protocolos de
autenticación y de codificación.
El estándar abarca los protocolos
802.1x, TKIP (Protocolo de Claves Integra – Seguras –
Temporales), y AES (Advanced Encryption Standard,
Estándar de Cifrado Avanzado).
Se implementa en Wi-Fi Protected Access (WPA2).
3
Figura 2. Arquitectura de una red inalámbrica segura
Descripción del proceso de
conexión de un cliente
1. El equipo cliente debe poseer los
certificados instalados, puede copiarlos
manualmente o puede conectarse al
dominio a través de un canal seguro.
2. El equipo cliente detecta el SSID de la
WLAN, es usado para determinar la
configuración correcta y el tipo de
credencial que va a utilizarse en la WLAN.
La configuración del AP permite
conexiones seguras a través de 802.1x.
2.1. Cuando el equipo cliente intenta
conectarse, el AP abre un canal
restringido para la comunicación
con el servidor de autenticación
(RADIUS).
2.2. RADIUS solo acepta conexiones
de puntos de acceso de
confianza o de otro equipo que
se haya configurado como cliente
RADIUS en el IAS (Servicio de
Autenticación de Internet)
2.3. El equipo cliente establece una
sesión segura en la capa de
transporte permitiendo la
autenticación entre el RADIUS y
el cliente. El tráfico es cifrado.
3. En esta fase, el RADIUS valida las
credenciales del cliente con el Directorio
Activo para que se transmita la decisión al
AP.
3.1. Si la decisión es positiva, el
RADIUS transmite la clave
maestra al AP, con esta
información se crea un canal
seguro de transmisión.
4. Por último, el AP conecta al cliente con la
red interna a través de un canal cifrado.
Descripción de los elementos de la
arquitectura
Infraestructura PKI (Infraestructura de
Clave Pública)
o Definir cómo será la emisión
y uso de los certificados
dentro de la organización.
o Decidir que aplicaciones van
a necesitar certificados
dentro de la organización.
o Definir el nivel de seguridad
de los certificados
4
Servidor RADIUS
Su implementación se realiza a través
del Servicio de Autenticación de
Internet (IAS) de Microsoft, en este
caso se hará uso del servicio AAA
(Authentication, Authorization and
Accounting) y no del Proxy debido a
que solo se cuenta con un servidor
RADIUS.
Directorio Activo
Importante para la importación
automática de los certificados de los
clientes
PROTOCOLO 802.1x: COMPONENTES
BÁSICOS [3]
Es un protocolo de control de acceso y
autenticación basado en la arquitectura cliente/servidor,
que restringe la conexión de equipos sin autorización en
una red, además, está diseñado para emplear
servidores RADIUS (Remote Authentication Dial-In User
Service). Este protocolo involucra 3 componentes:
Equipo cliente.
Autenticador: switch, router, etc.
Servidor de autenticación (RADIUS)
DISEÑO LÓGICO DE LA SOLUCIÓN DE
WLAN SEGURA [5]
La agrupación de componentes elegida, permite
una visualización modular del diseño completo que
permite una máxima reutilización de estos
componentes. Los servicios de TI del diseño se
agruparán en los siguientes grupos lógicos:
Componentes WLAN: clientes y puntos de
acceso inalámbricos
Componente RADIUS
Componente PKI: entidades emisoras de
certificados
Componente Servicios de infraestructura
Este último componente incluye un directorio y
servicios de red auxiliares. Éstos se componen de
servicios de TI que generalmente ya existían en la
organización y con los que la solución interactúa de
algún modo.
Figura 3. Diseño lógico de la solución de una WLAN segura
5
EJEMPLOS
El enrutador hace la función de
firewall [4]
Figura 4. WLAN
Arquitectura de un VPN para el
acceso inalámbrico seguro [3]
Figura 5. VPN
Los servidores de VPN son los encargados de
autenticar y autorizar a los clientes inalámbricos, y de
cifrar todo el tráfico desde y hacia dichos clientes.
GLOSARIO
AAA (Authentication, Authorization and
Accounting)
Permite definir a que recursos tiene acceso el
usuario, y al mismo tiempo, rastrea l actividad
del usuario en la red. Requiere de un servidor
dedicado, por ejemplo RADIUS
AES (Advanced Encryption Standard)
Algoritmo de encriptación simétrica de 128 bits.
Firewall
Software y hardware de seguridad encargado
de bloquear y chequear el tráfico de la red.
RADIUS (Remote Authentication Dial-In User
Service)
Sistema de autenticación y contabilización
empleado por la mayoría de ISP.
CONCLUSIONES
Las redes inalámbricas se exponen
constantemente a una serie de ataques, los cuales, con
una buena administración de red se pueden disminuir
pero no desaparecer del todo.
La arquitectura de estas redes está guiada por el
protocolo 802.11i para la autenticación de clientes que
deseen acceder a la red, siendo uno de los métodos
más seguros para grandes entidades.
RECOMENDACIONES
Vulnerar la red por parte del administrador de red o
de una persona especializada en vulnerabilidades de
redes contrata por la entidad, para la disminución de
amenazas de la red.
Poseer servidores de autenticación, sistemas
adicionales de seguridad, actualizar periódicamente el
firmware y software de los AP.
6
BIBLIOGRAFÍA
[1] WALC. (18 de Marzo de 2011). Recuperado el 1 de
Agosto de 2015, de
http://www.eslared.org.ve/walc2012/material/tra
ck1/05-Introduccion_a_las_redes_WiFi-es-
v2.3-notes.pdf
[2] Contribuciones. (6 de Diciembre de 2011).
SECURITYBYDEFAULT. Recuperado el 1 de
Agosto de 2015, de
http://www.securitybydefault.com/2011/12/ejem
plo-de-arquitectura-wireless-con.html
[3] bibdigital. (s.f.). Recuperado el 1 de Agosto de 2015,
de
http://bibdigital.epn.edu.ec/bitstream/15000/242
9/1/CD-0117.pdf
[4] Hernando, R. (9 de Julio de 2007). rhernando.net.
Recuperado el 1 de Agosto de 2015, de
http://www2.rhernando.net/modules/tutorials/do
c/redes/seg-wifi.pdf
[5] MICROSOFT. (24 de Noviembre de 2004).
Recuperado el 1 de Agosto de 2015, de
https://www.microsoft.com/latam/technet/articul
os/wireless/pgch03.mspx