03 seguridad capa fisica

Semana 03: Seguridad de Capa Fsica

Docente: Ing. Gilberto Carrin Barco, Mg

E-Mail: [email protected], [email protected]

TPICOS AVANZADOS DE INGENIERA DE

SISTEMAS I

1Ing. Gilberto Carrin Barco, Mg.

Captulo 03

3.1 Conceptos de tecnologa inalmbrica

3.2 Operaciones de LAN inalmbrica

3.3 Seguridad en una LAN Inalmbrica

3.4 Configuracin de LAN Inalmbricas

3.5 Resumen

Ing. Gilberto Carrin Barco, Mg. 2

Captulo 03: Objetivos

Al finalizar el captulo el estudiante podr hacer lo siguiente:

Describir la tecnologa y los estndares de LAN inalmbrica.

Describir los componentes de una infraestructura LAN inalmbrica.

Describir las topologas inalmbricas 802.11.

Describir la administracin de canales en una WLAN.

Describir las amenazas para las LAN inalmbricas.

Describir los mecanismos de seguridad de una LAN inalmbrica.

Configurar un router inalmbrico para dar soporte a un sitio remoto.


Introduccin a la tecnologa inalmbrica

Beneficios de la tecnologa inalmbrica

Mayor flexibilidad

Aumento de la productividad

Reduccin de costes

Capacidad para crecer y

adaptarse a las necesidades

cambiantes



Tecnologas inalmbricas

En trminos generales, las redes inalmbricas pueden clasificarse en los

siguientes tipos:

WPAN Dispositivos Bluetooth

WLAN 30 m.

WWAN - Opera en el rango de Km.

Tecnologas inalmbricas disponibles para conectar los dispositivos a estas

redes inalmbricas

Bluetooth - Un estndar IEEE 802.15 WPAN, utiliza un proceso de emparejamiento

de dispositivos para comunicarse a distancias de hasta 100 metros. Bluetooth v3

admite

velocidades de hasta 24 Mbps.



Tecnologas inalmbricas

Wi-Fi - Un estndar WLAN IEEE 802.11, ofrece acceso a la red a los usuarios domsticos y

corporativos, para incluir datos, trfico de voz y vdeo, a distancias de hasta 300 metros.

Interoperabilidad mundial para acceso por microondas (WiMAX) - Un estndar IEEE

802.16 WWAN que proporciona acceso de banda ancha inalmbrica de hasta 30 millas

(50 km).

Banda ancha mvil - Consta de varias organizaciones

empresariales, nacionales e internacionales que utilizan

el proveedor de servicios de acceso celular para

proporcionar conectividad de red mvil de banda ancha.

Banda ancha por satlite - Proporciona acceso de red a sitios remotos mediante el uso

de una antena parablica direccional

que se alinea con un satlite especifico en la rbita

geoestacionaria (GEO) de la Tierra. Por lo general es

ms caro y requiere una lnea de visin despejada.



Radiofrecuencias

Existen bandas de frecuencia con licencias libres, como la ISM (industrial, cientfica y mdica) de 2.4 GHz y la UNII (infraestructura de la informacin nacional) de 5 GHZ.

2,4 GHz (UHF): 802.11b/g/n/ad

5 GHz (SHF): 802.11a/n/ac/ad

Banda de 60 GHz (EHF): 802.11ad



Estndares 802.11



Certificacin Wi-Fi



Comparacin entre redes WLAN y redes LAN


Componentes WLAN

Antenas Inalmbricas

Los AP Cisco Aironet pueden usar lo siguiente:

Antenas Wi-Fi omnidireccionales: con frecuencia, el engranaje Wi-Fi de fbrica

usa antenas dipolos bsicas, conocidas como antenas de goma. Las antenas

omnidireccionales proporcionan cobertura de 360 y son ideales para reas de

oficinas abiertas, pasillos, salas de conferencias y exteriores.

Antenas Wi-Fi direccionales: las antenas direccionales concentran la seal de

radio en un sentido determinado. Esto mejora la seal desde y hasta el AP en el

sentido que apunta la antena, lo que proporciona una mayor potencia de seal en

un sentido, as como una menor potencia de seal en todos los dems sentidos.

Antenas Yagi: son un tipo de antena de radio direccional que se puede usar para

las redes Wi-Fi de larga distancia. Normalmente, estas antenas se usan para

extender el alcance de las zonas de cobertura exteriores en un sentido especfico o

para llegar a un edificio externo.


Topologas WLAN 802.11

Topologas inalmbricas 802.11

Modo ad hoc: cuando dos

dispositivos se conectan

de manera inalmbrica sin

la ayuda de un dispositivo

de infraestructura, como

un router o un AP

inalmbrico.

Los ejemplos incluyen

Bluetooth y Wi-Fi Direct.



Topologas inalmbricas 802.11

Modo de

infraestructura: cuando los

clientes inalmbricos se

conectan mediante un

router o un AP inalmbrico,

como en las WLAN.

Los AP se conectan a la

infraestructura de la red

mediante el sistema de

distribucin (DS) conectado

por cable, como Ethernet.



Mode Ad Hoc



Modo Infraestructura


Operacin Inalmbrica

Asociacin de AP y clientes inalmbricos

Para que los dispositivos inalmbricos se comuniquen a travs de una red,

primero se deben asociar a un AP o un router inalmbrico.

Una parte importante del proceso 802.11 es descubrir una WLAN y

conectarse a esta.

Los dispositivos inalmbricos usan

las tramas de administracin para

completar el siguiente proceso de

tres etapas:

Descubrir nuevos AP inalmbricos.

Autenticar con el AP.

Asociarse al AP.


Operacin Inalmbrica

Parmetros de asociacin

SSID identificador nico que los clientes inalmbricos utilizan para distinguir

entre varias redes inalmbricas en la misma rea.

Contrasea el cliente inalmbrico la necesita para autenticarse con el AP.

Modo de red se refiere a los estndares WLAN 802.11a/b/g/n/ac/ad. Los AP y

los routers inalmbricos pueden funcionar en modo Mixed (Mixto), lo que

implica que pueden usar varios estndares a la vez.

Modo de seguridad se refiere a la configuracin de los parmetros de

seguridad, como WEP, WPA o WPA2. Habilite siempre el nivel ms alto de

seguridad que se admita.

Ajustes de canal se refiere a las bandas de frecuencia que se usan para

transmitir datos inalmbricos. Los routers y los AP inalmbricos pueden elegir la

configuracin de canales, o esta se puede establecer manualmente.


Operacin Inalmbrica

Deteccin de AP

Modo pasivo

El AP anuncia abiertamente su servicio al enviar peridicamente tramas de seal de difusin que contienen el SSID, los estndares admitidos y la configuracin de seguridad.

El propsito principal de la seal es permitir que los clientes inalmbricos descubran qu redes y qu AP existen en un rea determinada, de modo que puedan elegir qu red y qu AP usar

Modo activo

Los clientes inalmbricos deben conocer el nombre del SSID. El cliente inalmbrico inicia el proceso al transmitir por difusin una trama de solicitud de sondeo en varios canales. La solicitud de sondeo incluye el nombre del SSID y los estndares admitidos.

Si un AP o un router inalmbrico se configuran para que no transmitan por difusin las tramas de seal, es posible que se requiera el modo activo.


Operacin Inalmbrica

Deteccin de AP


Operacin Inalmbrica

Autenticacin

Autenticacin abierta:

fundamentalmente, una autenticacin

NULA donde el cliente inalmbrico dice

autentqueme y el AP responde s. La

autenticacin abierta proporciona

conectividad inalmbrica a cualquier

dispositivo inalmbrico y se debe usar

solo en situaciones donde la seguridad

no es un motivo de preocupacin.

Autenticacin de clave compartida: es

una tcnica que se basa en una clave

previamente compartida entre el cliente

y el AP.


Administracin de canales

Seleccin de canales



Seleccin de canales

Nota: en Europa, hay 13 canales 802.11b.

Para las WLAN que requieren varios AP, se recomienda usar canales no superpuestos. Si existen tres AP adyacentes, use los canales 1, 6 y 11. Si existen solo dos, seleccione aquellos dos que estn separados por cinco canales, como los canales 5 y 10.



Planificacin de una implementacin WLAN

Implementar una WLAN que saque el

mejor provecho de los recursos y

entregue el mejor servicio puede

requerir de una planificacin

cuidadosa.

El nmero de usuarios de una WLAN

depende de la disposicin geogrfica

de la instalacin, incluidos el nmero

de personas y dispositivos que

pueden caber en un espacio, las

velocidades de datos que esperan los

usuarios, el uso de canales no

superpuestos por parte de varios AP

en un ESS y la configuracin de

energa de transmisin.


Amenazas de WLAN

Proteccin de redes inalmbricas

1. Usuarios no autorizados que intentan acceder a los recursos de la red. La solucin es disuadir a los usuarios mediante el uso de la autenticacin.

2. Los usuarios no autorizados pueden capturar los datos inalmbricos con facilidad. Utilice el cifrado de los datos que intercambian el cliente y el AP para protegerlos.

3. Los servicios de las WLAN se pueden ver comprometidos accidentalmente o debido a intentos malintencionados. Existen varias soluciones segn el origen del DoS.

4. Un usuario con buenas o malas intenciones instala AP no autorizados. Use un software de administracin inalmbrica para detectar AP no autorizados.


Proteccin WLAN

Descripcin general de la seguridad inalmbrica

Los SSID se descubren

con facilidad, incluso si

los AP no los transmiten

por difusin, y las

direcciones MAC se

pueden suplantar.

La mejor manera de

proteger una red

inalmbrica es usar

sistemas de

autenticacin y cifrado


Proteccin WLAN

Mtodos de autenticacin mediante clave compartida


Proteccin WLAN

Mtodos de cifrado

El estndar IEEE 802.11i y los estndares WPA y WPA2 de Wi-Fi Alliance usan los siguientes protocolos de cifrado:

Protocolo de Integridad de Clave Temporal (TKIP)

Utilizado por WPA.

Hace uso de WEP, pero cifra el contenido de capa 2 utilizando TKIP, y realiza una comprobacin de integridad de los mensajes (MIC) en el paquete cifrado para asegurar que no se alter el mensaje.

Estndar de Cifrado Avanzado (AES)

Mtodo de cifrado utilizado por WPA2. El mtodo preferido, ya que se alinea con el estndar de la industria IEEE 802.11i.

Mtodo de encriptacin o cifrado ms seguro.

Usa el protocolo Counter Mode Cipher Block Chaining Message Authentication CodeProtocol (CCMP), que permite que los hosts de destino reconozcan si se alteraron los bits cifrados y no cifrados

Nota: siempre que sea posible, elija WPA2 con AES.


Proteccin WLAN

Autenticacin de un usuario domestico

WPA y WPA2 admiten dos tipos de autenticacin:

Personal:

Diseada para redes SOHO; los usuarios se autentican mediante una clave previamente compartida (PSK).

Los clientes inalmbricos se autentican con el AP mediante una contrasea previamente compartida. No se requiere ningn servidor de autenticacin especial.

Enterprise (Empresarial):

Diseada para las redes empresariales, pero requiere un servidor de servicio de autenticacin remota telefnica de usuario (RADIUS).

Si bien su configuracin es ms complicada, proporciona seguridad adicional. El servidor RADIUS debe autenticar el dispositivo y, a continuacin, se deben autenticar los usuarios mediante el estndar 802.1X, que usa el protocolo de autenticacin extensible (EAP).


Proteccin WLAN

Autenticacin en la empresa

En las redes que tienen requisitos de seguridad ms estrictos, se requiere una

autenticacin o un inicio de sesin adicionales para otorgar acceso a los

clientes inalmbricos.

Las opciones del modo

de seguridad Enterprise

requieren un servidor

RADIUS con

autenticacin,

autorizacin y

contabilidad (AAA).


Configuracin de un router inalmbrico


Los routers inalmbricos modernos ofrecen una variedad de caractersticas, y la mayora se dise para funcionar sin ninguna configuracin adicional aparte de la configuracin predeterminada.

Sin embargo, es aconsejable cambiar la configuracin predeterminada inicial.

Un enfoque bsico a la implementacin inalmbrica, como en cualquier trabajo de red bsico, es configurar y probar progresivamente.




Una vez que se confirma el funcionamiento de la red conectada por cable,

el plan de implementacin consta de lo siguiente:

Paso 1. Comience el proceso de implementacin de WLAN con un nico AP y un

nico cliente inalmbrico, sin habilitar la seguridad inalmbrica.

Paso 2. Verifique que el cliente recibi una direccin IP de DHCP y puede hacer

ping al router predeterminado local conectado por cable, y luego explore Internet

externo.

Paso 3. Configure la seguridad inalmbrica con WPA2/WPA Mixed Personal. Nunca

use WEP, a menos que no existan otras opciones.

Paso 4. Realice una copia de seguridad de la configuracin.


Resolucin de problemas

Mtodos de resolucin de problemas

Tres enfoques principales de solucin de problemas que se utilizan

para resolver problemas de la red:

De abajo hacia arriba - Comience en la capa 1 del modelo OSI y luego

debe ir subiendo.

De arriba hacia abajo - Comience en la capa superior del modelo OSI y

trabaje hacia abajo.

Divide y vencers Haga ping al destino. Si los pings fallan, compruebe las

capas inferiores. Si los pings son exitosos, verificar las capas superiores.



Falla de conexin de un cliente inalmbrico



Resolucin de problemas en una red lenta

Existen varios motivos para usar un mtodo

de divisin del trfico:

La banda de 2,4 GHz puede ser adecuada

para el trfico de Internet bsico que no

depende del factor tiempo.

El ancho de banda an se puede compartir

con otras WLAN cercanas.

La banda de 5 GHz est mucho menos

poblada que la banda de 2,4 GHz, ideal para

la transmisin de multimedios.

La banda de 5 GHz tiene ms canales; por lo

tanto, es ms probable que el canal que se

elija no tenga interferencia.


Resumen


03 seguridad capa fisica

Documents