trabajo especial de gradosaber.ucv.ve/bitstream/123456789/2420/1/tesis yelitza... · 2017. 6....
TRANSCRIPT
TRABAJO ESPECIAL DE GRADO
SEGURIDAD AL ACCESO DE INFORMACIÓN EN LA IMPLANTACIÓN DE UNA RED INALÁMBRICA.
Presentado ante la Ilustre Universidad Central de Venezuela
para optar al Título de Especialista en Comunicaciones y Redes de Comunicación de Datos
Por el Ing. Álvarez Méndez, Yelitza Pastora
Caracas, Noviembre 2006
II
TRABAJO ESPECIAL DE GRADO
SEGURIDAD AL ACCESO DE INFORMACIÓN EN LA
IMPLANTACIÓN DE UNA RED INALÁMBRICA. TUTOR ACADÉMICO: Prof. Zeldivar Bruzual.
Presentado ante la Ilustre Universidad Central de Venezuela
para optar al Título de Especialista en Comunicaciones y Redes de Comunicación de Datos
Por el Ing. Álvarez Méndez, Yelitza Pastora
Caracas, Noviembre 2006
III
DEDICATORIA
A Dios y a mi hija Oriana Valentina.
IV
AGRADECIMIENTO
A Dios por acompañarme en todo momento
y darme la fuerza para perseverar
en mis objetivos.
A mi hija por ser el motor que me impulsa a
seguir creciendo.
A mi Madre Blanca, por su ayuda continua
en mi vida.
A la UCV, sus profesores y tutores…
A todos los que de una u otra forma colaboraron
en mi formación
Yelitza Álvarez
V
Álvarez M, Yelitza P
SEGURIDAD AL ACCESO DE INFORMACIÓN EN LA IMPLANTACIÓN DE UNA RED INALÁMBRICA.
Tutor Académico: Prof. Zeldivar Bruzual. Tesis. Caracas, U.C.V.
Facultad de Ingeniería. Escuela de Ingeniería Eléctrica. Especialización de Comunicaciones y Redes de Datos. Año 2006
PALABRAS CLAVES: Redes, redes inalámbricas, WLAN, seguridad, WiFi.
RESUMEN La movilidad se ha vuelto un requerimiento cada vez mayor dentro de los ambientes de trabajo, ahora se debe tener la información precisa en forma instantánea, es decir, la comunicación debe ser inmediata, en tiempo real y en cualquier lugar. Existen en el mercado dispositivos ligeros que permiten llevar información a diversos lugares y las redes inalámbricas agregan una movilidad real a tales dispositivos. La navegación por Internet a través de los dispositivos inalámbricos, hace que el intercambio de la información por este medio, incluyendo datos de alto valor, sea una práctica común para los usuarios de las redes inalámbricas, por lo que actualmente se ha puesto un especial énfasis a la seguridad en tales medios de comunicación. En las redes inalámbricas el canal de comunicación es inseguro, para tratar de atenuar este defecto, se deben poner en práctica servicios que garanticen la seguridad de la información, tales servicios son la confidencialidad, la integridad, y la autenticación. La Compañía WiNet conciente de los riesgos que en seguridad de información se expone, permitió el desarrollo del presente trabajo que permitiría la identificación, evaluación y definición de soluciones para la reducción de riesgos en las posibles vulnerabilidades en el acceso externo no autorizado a la información de la compañía. Como resultado, el análisis de la estrategia de implantación de recomendaciones arroja que sobre las oportunidades de mejoras identificadas, a mediano plazo la compañía alcanzaría un nivel de seguridad aceptable, cuyo esfuerzo por sostenerse dependerá de la definición de un plan estratégico de seguridad integral que concientize a todo el personal de la compañía sobre la importancia de adecuados controles de seguridad, debido a que continuamente aparecen nuevas amenazas informáticas.
VI
ÍNDICE GENERAL DEDICATORIA............................................................................................ III
AGRADECIMIENTO....................................................................................IV
RESUMEN....................................................................................................V
INTRODUCCIÓN.......................................................................................... 1
CAPITULO I ................................................................................................. 3
DESCRIPCIÓN DE LA SITUACIÓN............................................................. 3
1. Confidencialidad de la Información ................................................. 3 2. Planteamiento del Problema ........................................................... 3 3. Justificación del Trabajo .................................................................. 6 4. Objetivos ......................................................................................... 8 4.1. Objetivo General ............................................................................. 8 4.2. Objetivos Específicos ...................................................................... 8 5. Metodología..................................................................................... 8
CAPITULO II .............................................................................................. 10
MARCO TEORICO..................................................................................... 10
1. Redes inalámbricas....................................................................... 10 1.1. Tipos de redes inalámbricas.......................................................... 11 1.2. Descripción de 802.11 WLAN ....................................................... 11 1.3. Estándares Inalámbricos ............................................................... 13 1.4. Arquitectura ó topología 802.11 WLAN ........................................ 14 2. Conexión a una WLAN.................................................................. 15 3. Técnicas de autenticación en 802.11 WLAN................................. 17 3.1. Sistema abierto ............................................................................. 17 3.2. Llave Compartida .......................................................................... 18 4. Mecanismos de seguridad para redes WLAN ............................... 18 5. Métodos de detección de redes inalámbricas ............................... 29 5.1. Wardriving ..................................................................................... 29 5.2. Warchalking................................................................................... 29 6. Ataques a redes inalámbricas ....................................................... 31 6.1. Ataques Pasivos............................................................................ 31 6.2. Ataques Activos............................................................................. 32 7. Políticas de seguridad ................................................................... 38
CAPITULO III ............................................................................................. 40
VII
MARCO METODOLÓGICO ....................................................................... 40
1. Método de Investigación................................................................ 40 2. Área de Investigación.................................................................... 41 3. Descripción de la Metodología ...................................................... 42 3.1. El origen de ISO 17799 ................................................................. 42 3.2. Marco de las recomendaciones..................................................... 43 3.3. Las diez áreas de control de ISO 17799 ....................................... 44 3.4. La norma técnica ISO 17799......................................................... 46
CAPITULO IV ............................................................................................. 47
EVALUACIÓN, DIAGNÓSTICO DE SEGURIDAD y PROPUESTA DE SOLUCIÓN PARA LA RED INALÁMBRICA DE LA COMPAÑÍA WiNet .. 47
1. Arquitectura y diseño de la red inalámbrica................................... 47 2. Evaluación y diagnóstico de seguridad de la red inalámbrica. ...... 48
CAPITULO V .............................................................................................. 61
ESTRATEGIA DE IMPLANTACION .......................................................... 61
1. Propuesta de acción como alternativa de solución ....................... 61 2. Planificación estratégica de implantación...................................... 64 2.1. Ubicación de los puntos de acceso ............................................... 65 2.2. Seguridad de los equipos inalámbricos ......................................... 66 2.3. Autenticación en la WLAN............................................................. 67 2.4. Monitoreo de puntos de acceso .................................................... 68 2.5. Políticas y Procedimiento de Seguridad ........................................ 69 2.6. Resumen de la estrategia de implantación.................................... 70
CONCLUSIONES....................................................................................... 71
RECOMENDACIONES............................................................................... 73
GLOSARIO DE TÉRMINOS....................................................................... 74
REFERENCIAS BIBLIOGRAFICAS .......................................................... 83
FUENTES ELECTRONICAS...................................................................... 83
ANEXOS..................................................................................................... 86
ANEXOS I. Herramientas de Auditoría .................................................... 87
VIII
ÍNDICE DE TABLAS Pág.
Tabla 1. Características de una WLAN....................................................... 12 Tabla 2. Estándares para redes inalámbricas............................................. 13 Tabla 3. Simbología Warchalking ............................................................... 30 Tabla 4. Diferencias entre "proyecto de investigación" y "proyecto factible"
............................................................................................................. 41 Tabla 5. Componente de la WLAN ............................................................. 48 Tabla 6. Evaluación de seguridad en la WLAN........................................... 51 Tabla 7. Estrategia de Implantación: Ubicación de los puntos de acceso .. 65 Tabla 8. Estrategia de Implantación: Seguridad de los equipos inalámbricos
............................................................................................................. 66 Tabla 9. Estrategia de Implantación: Autenticación en la WLAN................ 67 Tabla 10. Estrategia de Implantación: Monitoreo de puntos de acceso...... 68 Tabla 11. Estrategia de Implantación: Políticas y Procedimiento de
Seguridad ............................................................................................ 69
IX
ÍNDICE DE FIGURAS Pág.
Figura 1. Esquema gráfico de la red implantada en la Compañia WiNet ....... 4 Figura 2. Principales ciclos del negocio de la Compañía WiNet ...................... 4 Figura 3. Esquema gráfico de una 802.11 WLAN ............................................ 12 Figura 4. Topología infraestructura 802.11 WLAN ........................................... 15 Figura 5. Topología ad-hoc 802.11 WLAN ........................................................ 15 Figura 6. Diagrama de estados para la conexión a una WLAN ..................... 16 Figura 7. Sistema de autenticación abierta ....................................................... 17 Figura 8. Sistema de autenticación de llave compartida ................................. 18 Figura 9. Funcionamiento del algoritmo WEP en modalidad de cifrado ....... 22 Figura 10. Funcionamiento del algoritmo WEP en modalidad de descifrado
.......................................................................................................................... 23 Figura 11. Estructura de una VPN para acceso inalámbrico seguro............. 25 Figura 12. Esquema puerto habilitado/inhabilitado 802.1X............................. 26 Figura 13. Warchalking y su simbología ............................................................ 31 Figura 14. WLAN antes del ataque ..................................................................... 34 Figura 15. WLAN después del ataque................................................................ 35 Figura 16. Servidores de una LAN que puede ser accedidos por la WLAN 36 Figura 17. Ataque ARP Poisoning....................................................................... 37 Figura 18. Arquitectura de la red inalámbrica de la Compañía WiNet .......... 47 Figura 19. Áreas de evaluación ........................................................................... 50 Figura 20. Matriz de riesgos: Ubicación de los puntos de acceso................. 65 Figura 21. Matriz de riesgos: Seguridad de los equipos inalámbricos .......... 66 Figura 22. Matriz de riesgos: Autenticación en la WLAN ................................ 67 Figura 23. Matriz de riesgos: Monitoreo de puntos de acceso....................... 68 Figura 24. Matriz de riesgos: Políticas y Procedimiento de Seguridad......... 69 Figura 25. Resumen de la estrategia de implantación..................................... 70
X
LISTA DE ABREVIATURAS
ACL: Access Control List AP: Access Point DoS: Denial of Service DHCP: Dynamic Host Control Protocol EAP: Extensible Authentication Protocol IEEE: Institute of Electrical and Electronics Engineers IPsec: Internet Protocol Security IV: Initialization Vector LAN: Local Area Network MAC: Mediun Access Control RADIUS: Remote Authentication Dial-in User Service SMTP: Simple Mail Transfer Protocol SSH: Secure Shell SSID: Service Set Identifier TACACS+: Terminal Access Controller Access Control System Plus TCP/IP: Transmission Control Protocol/Internet Protocol VPN: Virtual Private Network WAP: Wireless Aplication Protocol WEP: Wired Equivalent Privacy WI-FI: Wireless Fidelity WLAN: Wireless Local Area Network WPA: Wi-Fi Protected Access
1
INTRODUCCIÓN
La implantación de las redes inalámbricas está creciendo de forma
sustancial gracias a la flexibilidad y movilidad que nos proporcionan este
tipo de redes, también conocidas como “Wireless”, siendo la mejor manera
de proporcionar conectividad de datos sin necesidad de cablear; sin
embargo el grado de madurez conseguido no se corresponde con el nivel
de seguridad aportado hasta el momento.
El funcionamiento de las redes inalámbricas se basa en el envío de
información a través del aire y en forma de ondas de radio, pudiendo ser
bastantes accesibles desde los límites externos de una organización, entre
los cuales tenemos algunos de los grandes riesgos a los que se ven
sometidas:
− Intercepción de datos, captación de señales de radio por la instalación
de puntos de acceso inalámbricos no autorizados lo cual exponen a la
empresa a que los intrusos puedan tener acceso a información
confidencial,
− Inserción de usuarios y equipos de red no autorizados que podrían
hacer que la red sea vulnerable a ataque de virus,
− Interrupción o negación del servicio reduciendo la calidad del servicio de
WLAN.
Es por esta razón que la seguridad de la información de la empresa
juega un papel significativo, sobre todo cuando las amenazas a que se ven
expuestas las redes inalámbricas pueden afectar la información y la
continuidad de las operaciones en las organizaciones.
El objetivo de la revisión plantea la identificación, evaluación y
2
planteamiento de soluciones para reducir los riesgos del negocio implícitos
en la utilización de la red inalámbrica de la Compañía WiNet.
Los resultados alcanzados en este trabajo, se han estructurado en
cinco capítulos. El capítulo I “Descripción de la Situación” plantea clara y
precisamente, los lineamientos y objetivos (generales y específicos) del
trabajo realizado, el alcance y limitaciones respectivas, así como un breve
estudio de la factibilidad de la investigación; el capítulo II “Marco Teórico”
resume los conceptos y aspectos relevantes que teóricamente requieren
conocerse para el desarrollo y entendimiento del trabajo realizado; el
capítulo III “Marco Metodológico”, especifica el método de investigación y
metodología empleada para desarrollar el proyecto; el capítulo IV “Situación
Actual”, muestra los resultados de la evaluación realizada incorporando el
esquema de recomendaciones, finalmente en el capitulo V “Estrategia de
Implantación”, se muestra el procedimiento de análisis realizado para la
implantación de recomendaciones.
La motivación de este documento es apoyar a la implementación de redes
inalámbricas seguras en donde se pueda contar con un acceso seguro a la
información y al Internet.
3
CAPITULO I
DESCRIPCIÓN DE LA SITUACIÓN
1. Confidencialidad de la Información
Debido a la importancia de la información manejada en esta
evaluación, existen políticas de confidencialidad de información que impiden
revelar el nombre de la compañía en estudio. Por esta razón, en el
desarrollo de la tesis de grado, se utilizará como nombre homólogo
“Compañía WiNet”.
2. Planteamiento del Problema
WiNet es una compañía venezolana dedicada al sector de las
telecomunicaciones ofreciendo servicios de transmisión de voz, datos y
acceso a Internet. Su oficina administrativa (sede principal) se encuentra
ubicada en Caracas donde se está desarrollando una red inalámbrica en el
piso 2 de esta sede; la red implantada cuenta con 2 puntos de acceso que
permite el acceso a la red hasta un máximo de 50 estaciones de trabajo, el
estándar usado IEEE es 802.11 bg lo cual ofrece velocidades hasta de 54
Mbps en la banda de 2.4 GHz, el tipo de red es “WiFi” la cual usa tarjetas
de red inalámbricas.
En la figura N°1 se presenta un esquema gráfico de la red descrita
anteriormente:
4
Figura 1. Esquema gráfico de la red implantada en la Compañia WiNet
Para identificar y comprender los riesgos que en seguridad de
información se expone la Compañía WiNet, se hace necesario conocer los
principales procesos del negocio que se mueven sobre las redes
inalámbricas; riesgos que se incrementan debido a que la Compañía a
optado por seguir implementando redes de este tipo en toda la
organización.
En la Figura 2 se muestra gráficamente los principales ciclos del
negocio de la Compañía WiNet:
Figura 2. Principales ciclos del negocio de la Compañía WiNet
CICLO DE COMPRAS
CICLO DEINVENTARIOS
CICLO DE VENTAS
CICLO DE TESORERIA, FINANZAS Y NOMINA
PRINCIPALES CICLOS DE NEGOCIO DEL MERCADEO MINORISTA
CICLO DE COMPRAS
CICLO DEINVENTARIO
CICLO DE VENTAS
CICLO DE TESORERIA, FINANZAS Y NOMINA
PRINCIPALES CICLOS DEL NEGOCIO
5
- Ciclo de Compras: Corresponde a las actividades de selección de
proveedor, gestión de compra y adquisición final de productos.
- Ciclo de Inventario: Se encarga de la administración y control de bienes
tangibles que se disponen para la venta.
- Ciclo de ventas. Se refiere a la comercialización de bienes tangibles o
productos.
- Ciclo de tesorería, finanzas y nómina. Estos ciclos apoyan la gestión
interna y administrativa de la Compañía.
En este sentido, los principales objetivos y procesos del negocio que
se soportan sobre las redes inalámbricas, son los que se mencionan a
continuación:
- Ser el proveedor dominante de soluciones integrales de
telecomunicaciones en el mercado, defendiendo la marca y el cliente.
- Aplicar la tecnología para responder oportunamente a las necesidades y
requerimiento del mercado.
- Crear y mantener ventajas competitivas mediante el manejo de la
información de nuestra base de datos de clientes.
Aunado a lo expuesto anteriormente, las principales inquietudes de
la alta gerencia de la Compañía WiNet, en relación con los mecanismos de
seguridad en redes inalámbricas, que marcan la pauta para la realización
de este trabajo, se mencionan los principales riesgos en seguridad de
información que afronta la Compañía:
6
− Vulnerabilidad en cuanto al acceso externo a datos confidenciales, sobre
todo cuando la Compañía se desenvuelve en un mercado altamente
competitivo y la fuga o robo de información pudiera originar pérdidas que
afecten el desenvolvimiento del negocio.
− Ataque de virus
− Inexistencia de políticas y procedimientos de uso y de seguridad en la
red inalámbrica.
− Los planes de la organización, apuntan a seguir creciendo en las
implementaciones de redes inalámbricas en toda la organización que
sean seguras.
Las situaciones planteadas anteriormente, conducen a la realización
de un proyecto de evaluación de seguridad de la red inalámbrica que se
desarrolla en la Compañía WiNet, cuyo resultado es llevar a cabo el diseño
y plan de estrategias a seguir para mejorar la seguridad de las redes, así
como promover una cultura de seguridad dentro de la Compañía.
3. Justificación del Trabajo
La Compañía WiNet ha invertido como estrategia de negocio en la
implementación de redes inalámbricas, principalmente para dar acceso a
Internet a los ejecutivos y proveedores de forma sencilla sin necesidad de
cableado; maximizando la gestión de la información, así como en pro del
mejoramiento de los servicios de cara a los proveedores y clientes
haciéndolos aún más competitivos.
7
Debido a su facilidad de instalación y conexión se ha convertido en
una excelente alternativa para ofrecer conectividad en lugares donde
resulta inconveniente o imposible brindar servicio con una red alambrada,
de ahí el acceso sin necesidad de cables donde cualquier persona que
desde el exterior capte la señal del punto de acceso, tendrá acceso a la red
de la compañía, con la posibilidad de navegar gratis en la Internet, robar
software y/o información, introducir virus o software maligno, entre otros.
Un punto de acceso inalámbrico mal configurado se convierte en una puerta
trasera que vulnera por completo la seguridad informática de la compañía.
Dado el planteamiento del problema y a la falta de seguridad en las
redes inalámbricas que a pesar de su gravedad, no ha recibido la atención
debida por parte de los administradores de redes y los responsables de la
información, se hace necesario la identificación y corrección oportuna de las
brechas de seguridad con riesgos significativos en la Compañía WiNet con
relación a la red inalámbrica que dicha compañía implanta, así como el
planteamiento de mecanismos y recomendaciones para fortalecer el
esquema de seguridad.
El principal beneficio que la compañía WiNet alcanzaría con la
realización de este proyecto es el establecimiento de restricciones a los
posibles ataques internos o externos, que puedan originar interrupción de la
continuidad de las operaciones del negocio, en consecuencia pérdidas que
afecten los estados financieros y la imagen de cara al cliente.
8
4. Objetivos
4.1. Objetivo General
− Identificar, evaluar y proponer soluciones para la reducción de riesgos
en las posibles vulnerabilidades en el acceso externo no autorizado a la
información de la Compañía.
4.2. Objetivos Específicos
− Realizar un levantamiento de información exhaustivo en conjunto con la
Gerencia de Soporte a Redes sobre la arquitectura y diseño de la red
inalámbrica y la Gerencia de Seguridad de Información, con la finalidad de
alcanzar la familiarización necesaria con la arquitectura de la WLAN, los
mecanismos de seguridad y procesos generales.
− Evaluar los controles, políticas y procedimientos de seguridad en la red
inalámbrica de la empresa.
− Validar los resultados de la evaluación con el personal responsable de
cada área.
− Elaborar los planes de acción para corregir y sugerir mejoras al esquema
de seguridad de la red inalámbrica.
5. Metodología
En función de lograr con los objetivos propuestos para la realización
de este trabajo, la metodología contempla las siguientes actividades:
− Levantamiento de información sobre la arquitectura y diseño de la red
inalámbrica, estándar usado y procesos generales.
− Evaluación de seguridad de la red inalámbrica en cuanto a:
9
Evaluación de los mecanismos de seguridad configurados: Filtrado de
direcciones MAC, Wired Equivalent Protocol (WEP), SSID
(identificador de red).
Evaluación de los mecanismos de autenticación de usuarios.
Evaluación de los mecanismos de monitoreo usados para la
exploración de puntos de accesos.
Evaluación de políticas y procedimientos de seguridad.
− Elaboración del plan de acción recomendado para mitigar los riesgos de
negocio existentes.
− Discusión de resultados obtenidos con diferentes niveles gerenciales de la
Compañía.
10
CAPITULO II
MARCO TEORICO
1. Redes inalámbricas
La red inalámbrica es un sistema de comunicación de datos
inalámbrico flexible muy utilizado como alternativa a la LAN cableada o
como una extensión de esta, utiliza tecnología de radiofrecuencia que
permite mayor movilidad a los usuarios al minimizarse las conexiones
cableadas.
La tecnología inalámbrica es una nueva forma de conectar
ordenadores en red sin las limitaciones y costos de una red cableada. Con
la tecnología inalámbrica, se tiene libertad para acceder al correo
electrónico, a Internet, a la red de la empresa desde cualquier lugar donde
tenga acceso a una red inalámbrica.
Las redes inalámbricas ofrecen los siguientes beneficios:
Movilidad de los usuarios: Los usuarios pueden acceder a la
información, recursos de la red, e Internet sin tener que estar
físicamente conectados a la red cableada. Permite transmitir
información en tiempo real en cualquier lugar de la organización a
cualquier usuario.
Rápida instalación: al no usar cables, se evitan obras para tirar cable
por muros y techos, reduciendo el tiempo de instalación.
Flexibilidad: Puede llegar donde el cable no puede, superando mayor
número de obstáculos, llegando a atravesar paredes. Permite el
acceso instantáneo a usuarios temporales de la red.
11
1.1. Tipos de redes inalámbricas
Existen 4 tipos de redes inalámbricas: la basada en tecnología
BlueTooth, la IrDa (Infrared Data Association), la Homero y la WLAN
(Wíreless local area network). La primera de ellas no permite la transmisión
de grandes cantidades de datos entre ordenadores de forma continua y la
segunda tecnología, es un estándar utilizado por los dispositivos de ondas
infrarrojas, y debe permitir la visión directa entre los dos elementos
comunicantes. Las tecnologías Homero y WLAN están basados en las
especificaciones 802.11 (Ethernet Inalámbrica) y son las que utilizan
actualmente las tarjetas de red inalámbricas.
1.2. Descripción de 802.11 WLAN
Las WLANs permiten una mayor flexibilidad y portabilidad que las
tradicionales redes de área local (LAN), una WLAN conecta computadores y
otros componentes a la red usando un dispositivo llamado punto de acceso.
La WLAN consta de dos elementos claves, las estaciones cliente (STA) y
los puntos de acceso (AP). La comunicación puede realizarse directamente
entre estaciones cliente o a través del AP. El intercambio de datos sólo es
posible cuando existe una autenticación entre el STA y el AP y se produce
la asociación entre ellos (un STA pertenece a un AP). Por defecto, el AP
transmite señales de gestión periódicas, el STA las recibe e inicia la
autenticación mediante el envío de una trama de autenticación. Una vez
realizada esta, la estación cliente envía una trama asociada y el AP
responde con otra. En la figura 3 se muestra una 802.11 WLAN.
12
Figura 3. Esquema gráfico de una 802.11 WLAN
A continuación se muestra en la tabla 1 las principales características de una WLAN:
Tabla 1. Características de una WLAN
Característica Descripción
Capa Física Direct Sequence Spread Spectrum (DSSS), Frequency Hopping Spread Spectrum (FHSS), Orthogonal Frequency Division Multiplexing (OFDM), infrared (IR).
Banda de Frecuencia 2.4 GHz y 5 GHz.
Velocidades 1 Mbps, 2 Mbps, 5.5 Mbps (11b), 54 Mbps (11a)
Seguridad Algoritmo de encriptación basado en RC-4 para la confidencialidad, autenticación e integridad. Manejo de claves limitadas.
Rango de operación Hasta 50 metros dentro y 400 metros afuera.
Aspectos positivos Existen muchos productos diferentes de muchas compañías diferentes. Los costos de las tarjetas inalámbricas y los puntos de acceso están disminuyendo.
Aspectos negativos Seguridad pobre en modo nativo. Disminución del rendimiento del procesamiento con distancia y carga.
13
1.3. Estándares Inalámbricos
Las WLANs están basadas en el estándar IEEE 802.11 ó también
conocido como WiFi, desarrollado en 1997, por el Instituto de Ingenieros
Eléctricos y Electrónicos (IEEE). Estos estándares permiten transmisiones
de datos de hasta 2 Mbps, transferencias que han sido mejoradas con el
paso del tiempo.
Las extensiones a estas reglas se reconocen con la adición de una
letra al estándar original, incluyendo 802.11a y 802.11b. La siguiente tabla
contiene las variantes relacionadas al estándar 802.11.
Tabla 2. Estándares para redes inalámbricas
Estándar Descripción
802.11 Estándar WLAN original. Soporta de 1 a 2 Mbps.
802.11a Estándar WLAN de alta velocidad en la banda de los 5 GHz. Soporta hasta 54 Mbps.
802.11b Estándar WLAN para la banda de 2.4 GHz. Soporta 11 Mbps.
802.11e Está dirigido a los requerimientos de calidad de servicio para todas las interfaces IEEE WLAN de radio.
802.11f Define la comunicación entre puntos de acceso para facilitar redes WLAN de diferentes proveedores.
802.11g Establece una técnica de modulación adicional para la banda de los 2.4 GHz. Dirigido a proporcionar velocidades de hasta 54 Mbps.
802.11h Define la administración del espectro de la banda de los 5 GHz para su uso en Europa y en Asia Pacífico.
802.11i Está dirigido a abatir la vulnerabilidad actual en la seguridad para protocolos de autenticación y de codificación. El estándar abarca los protocolos 802.1X, TKIP (Protocolo de Llaves Integras – Seguras – Temporales), y AES (Estándar de Encriptación Avanzado).
14
La especificación 802.11b fue ratificada por el IEEE en julio de 1999,
y opera en una banda que abarca las frecuencias dentro del rango de 2.4 a
2.497 GHz del espectro de radio. El método de modulación seleccionado
fue DSSS (Modulación de Secuencia Directa de Espectro Extendido)
usando CCK (Modulación por Cambios de Código Complementarios), que
permite una velocidad máxima de 11 Mbps. La especificación 802.11a
también fue ratificada en esa fecha, pero los productos se hicieron
disponibles en el mercado en el año 2001, opera en frecuencias entre 5.15
y 5.875 GHz y utiliza el método de modulación OFDM (Multiplexación por
División de Frecuencias Ortogonales), el cual hace posible velocidades de
hasta 54 Mbps.
1.4. Arquitectura ó topología 802.11 WLAN
Los estándares IEEE 802.11 especifican dos topologías básicas de
la red: Infraestructura y Ad-Hoc.
− Redes en modo infraestructura: Como mínimo se dispone de un punto
de acceso (AP), las estaciones “Wireless” no se pueden comunicar
directamente, todos los datos deben pasar a través del AP. Todas las
estaciones deben ser capaces de ver al AP. En la figura 4 se muestra
una red inalámbrica en modo infraestructura.
15
Figura 4. Topología infraestructura 802.11 WLAN
− Redes en modo Ad-Hoc: El modo ad-hoc se utiliza para conectar
clientes inalámbricos directamente entre sí, sin necesidad de un punto
de acceso inalámbrico o una conexión a una red con cables existente.
Una red ad-hoc consta de máximo de 9 clientes inalámbricos, que se
envían los datos directamente entre sí. En la figura 5 se muestra una red
inalámbrica en modo ad-hoc.
Figura 5. Topología ad-hoc 802.11 WLAN
2. Conexión a una WLAN
El siguiente gráfico muestra los pasos que debe realizar una estación
cliente para asociarse con un AP:
16
Figura 6. Diagrama de estados para la conexión a una WLAN
El proceso de asociación tiene dos pasos, envueltos en 3 estados:
No autenticado y no asociado
Autenticado y no asociado
Autenticado y asociado
En la transición por los diferentes estados, ambas partes (estación
cliente y AP) intercambian mensajes llamados “management frames”.
El proceso que realiza un cliente “Wireless” para encontrar y
asociarse con un punto de acceso es el siguiente: Los AP transmiten
“BEACON FRAMES” cada cierto intervalo de tiempo fijo. Para asociarse
con un AP y unirse a una red en modo infraestructura, un cliente escucha
en busca de “BEACON FRAMES” para identificar Puntos de Acceso. El
cliente también puede enviar una trama “PROVE REQUEST” que contenga
un SSID determinado para ver si le responde un AP que tenga el mismo
SSID.
17
Después de identificar al AP, el cliente y el AP realizan autenticación
mutua intercambiando varios “management frames” como parte del
proceso. Hay varios mecanismos de autenticación posibles que veremos
con más detalle un poco más adelante.
Después de una autenticación realizada con éxito, el cliente pasa a
estar en el segundo estado (autenticado y no asociado). Para llegar al
tercer estado (autenticado y asociado) el cliente debe mandar una trama
“ASSOCIATION REQUEST” y el AP debe contestar con una trama
“ASSOCIATION RESPONSE”, entonces el cliente se convierte en un
“host” más de la red “Wireless” y ya está listo para enviar y recibir datos
de la red.
3. Técnicas de autenticación en 802.11 WLAN
Antes de que una estación Terminal (STA) pueda asociarse con un
(AP) y conseguir acceso a la WLAN, debe llevarse a cabo la autenticación.
Existen dos tipos de autenticación de clientes definidos en el estándar
802.11.
3.1. Sistema abierto
Es el protocolo de autenticación por defecto para 802.11b. Como su
nombre indica, este método autentica a cualquier cliente que pide ser
autenticado. Es un proceso de autenticación NULO, las tramas se mandan
en texto plano aunque esté activado el cifrado WEP.
Figura 7. Sistema de autenticación abierta
AP
Cliente Inalámbrico Solicitud de autenticación
Respuesta de autenticación
18
3.2. Llave Compartida
En él se utiliza una clave secreta compartida entre todas las
estaciones y puntos de acceso del sistema WLAN. Cuando una estación
trata de conectarse con un punto de acceso, éste replica con un texto
aleatorio, que constituye el desafío. La estación debe utilizar la copia de su
clave secreta compartida para cifrar el texto de desafío y devolverlo al punto
de acceso, con el fin de autenticarse. El punto de acceso descifra la
respuesta utilizando la misma clave compartida y compara con el texto de
desafío enviado anteriormente. Si los dos textos son idénticos, el punto de
acceso envía un mensaje de confirmación a la estación y la acepta dentro
de la red. Si la estación no dispone de una clave, o si envía una respuesta
incorrecta, el punto de acceso la rechaza, evitando que la estación acceda
a la red.
Figura 8. Sistema de autenticación de llave compartida
4. Mecanismos de seguridad para redes WLAN
La seguridad en redes de tipo inalámbricas, es un factor muy
importante debido a la naturaleza del medio de transmisión: el aire. Las
características de seguridad en la WLAN, se basan especialmente en la
protección a la comunicación entre el punto de acceso y los clientes
AP
Respuesta de autenticación
Solicitud de autenticación
Cliente Inalámbrico
AP Texto desafío Texto desafío encriptado
19
inalámbricos, controlar el ingreso a la red, y proteger al sistema de
administración de acceso no autorizado.
La seguridad WLAN abarca dos elementos: el acceso a la red y la
protección de los datos (autenticación y encriptación). Las violaciones a la
seguridad de la red inalámbrica, generalmente, vienen de los puntos de
acceso no autorizados, aquellos instalados sin el conocimiento de los
administradores de la red, o que operan con las funcionalidades de
protección deshabilitadas (que es la configuración por omisión en los
dispositivos inalámbricos).
Los tres servicios básicos de seguridad definido por IEEE para
ambientes WLAN son las siguientes:
− Autenticación: Identificación con un grado aceptable de confianza de los
usuarios autorizados. Para el estándar 802.11 se utiliza la autenticación
de sistema abierto o autenticación de llave compartida explicado en el
punto anterior.
− Confidencialidad: La información debe ser accesible únicamente a las
personas autorizadas. El estándar 802.11 soporta la confidencialidad a
través del uso de técnicas de cifrado proporcionada por WEP, el cual
será explicado posteriormente.
− Integridad: La información debe mantenerse completa y libre de
manipulaciones fortuitas o deliberadas, de manera que siempre se
pueda confiar en ella. El IEEE 802.11 provee la integridad de la data por
los mensajes transmitidos entre estaciones clientes y puntos de acceso.
El estándar 802.11 utiliza dos mecanismos para proteger las redes
WLAN. Los mecanismos utilizados son:
20
− Filtrado de direcciones MAC: Este método consiste en la creación de
una tabla de datos en cada uno de los puntos de acceso a la red
inalámbrica. Dicha tabla contiene las direcciones MAC de las tarjetas de
red inalámbricas que se pueden conectar al punto de acceso. Como
toda tarjeta de red posee una dirección MAC única y se logra autenticar
el equipo.
Este método tiene como ventaja su sencillez, por lo cual se puede
usar para redes caseras o pequeñas; sin embargo posee muchas
desventajas que lo hacen impráctico para uso en redes medianas o
grandes no garantizando la confidencialidad de la información
transmitida, ya que no provee ningún mecanismo de cifrado, a
continuación se explican dichas desventajas:
No escala bien, porque cada vez que se desee autorizar o dar de baja
un equipo, es necesario editar las tablas de direcciones de todos los
puntos de acceso. Después de cierto número de equipos o de puntos
de acceso, la situación se torna inmanejable.
El formato de una dirección MAC no es amigable (normalmente se
escriben como 6 bytes en hexadecimal), lo que puede llevar a cometer
errores en la manipulación de las listas.
Las direcciones MAC viajan sin cifrar por el aire. Un atacante podría
capturar direcciones MAC de tarjetas matriculadas en la red
empleando un “sniffer”, y luego asignarle una de estas direcciones
capturadas a la tarjeta de su computador, empleando programas tales
como AirJack o WellenReiter, entre otros. De este modo, el atacante
puede hacerse pasar por un cliente válido.
21
En caso de robo de un equipo inalámbrico, el ladrón dispondrá de un
dispositivo que la red reconoce como válido. En caso de que el
elemento robado sea un punto de acceso el problema es más serio,
porque el punto de acceso contiene toda la tabla de direcciones válidas
en su memoria de configuración.
− WEP: El algoritmo WEP forma parte de la especificación 802.11, y se
diseñó con el fin de proteger los datos que se transmiten en una
conexión inalámbrica mediante cifrado. WEP opera a nivel 2 del modelo
OSI y es soportado por la gran mayoría de fabricantes de soluciones
inalámbricas.
El algoritmo WEP cifra de la siguiente manera: (Ver figura 9)
A la trama en claro se le computa un código de integridad (Integrity
Check Value, ICV) mediante el algoritmo CRC-32. Dicho ICV se
concatena con la trama, y es empleado más tarde por el receptor para
comprobar si la trama ha sido alterada durante el transporte.
Se escoge una clave secreta compartida entre emisor y receptor. Esta
clave puede poseer 40 ó 128 bits.
Si se empleara siempre la misma clave secreta para cifrar todas las
tramas, dos tramas en claro iguales producirían tramas cifradas
similares. Para evitar esta eventualidad, se concatena la clave secreta
con un número aleatorio llamado vector de inicialización (IV) de 24 bits.
El IV cambia con cada trama.
La concatenación de la clave secreta y el IV (conocida como semilla)
se emplea como entrada de un generador RC4 de números seudo-
aleatorios. El generador RC4 es capaz de generar una secuencia
22
seudo-aleatoria (o cifra de flujo) tan larga como se desee a partir de la
semilla.
El generador RC4 genera una cifra de flujo, del mismo tamaño de la
trama a cifrar más de 32 bits (para cubrir la longitud de la trama y el
ICV).
Se hace un XOR bit por bit de la trama con la secuencia de clave,
obteniéndose como resultado la trama cifrada.
El IV y la trama se transmiten juntos.
Figura 9. Funcionamiento del algoritmo WEP en modalidad de cifrado
En el receptor se lleva a cabo el proceso de descifrado: (Ver figura 10)
Se emplean el IV recibido y la clave secreta compartida para generar la
semilla que se utilizó en el transmisor.
Un generador RC4 produce la cifra de flujo a partir de la semilla. Si la
semilla coincide con la empleada en la transmisión, la cifra de flujo
también será idéntica a la usada en la transmisión.
Se efectúa un XOR bit por bit de la cifra de flujo y la trama cifrada,
obteniéndose de esta manera la trama en claro y el ICV.
23
A la trama en claro se le aplica el algoritmo CRC-32 para obtener un
segundo ICV, que se compara con el recibido.
Si los dos ICV son iguales, la trama se acepta; en caso contrario se
rechaza.
Figura 10. Funcionamiento del algoritmo WEP en modalidad de descifrado
WEP proporciona dos tipos de autenticación: un sistema abierto, en el
que todos los usuarios tienen permiso para acceder a la WLAN, y una
autenticación mediante clave compartida, que controla el acceso a la
WLAN y evita accesos no autorizados a la red. De los dos niveles, la
autenticación mediante clave compartida es el modo seguro. Dicha
autenticación funciona sólo si está habilitado el cifrado WEP. Si no está
habilitado, el sistema revertirá de manera predeterminada al modo de
sistema abierto (inseguro), permitiendo en la práctica que cualquier
estación que esté situada dentro del rango de cobertura de un punto de
acceso pueda conectarse a la red.
La vulnerabilidad de WEP reside en que utiliza una misma clave
simétrica y estática en las estaciones y el punto de acceso. El estándar
no contempla ningún mecanismo de distribución automática de claves,
lo que obliga a escribir la clave manualmente en cada uno de los
elementos de la red; esto genera varios inconvenientes, por un lado, la
clave está almacenada en todas las estaciones, aumentando las
24
posibilidades de que sea comprometida, y por otro lado, la distribución
manual de claves provoca un aumento de mantenimiento por parte del
administrador de la red, que conlleva, a que la clave se cambie poco o
nunca. Adicionalmente, es insuficiente la longitud del vector de
inicialización (IV), si utilizamos solamente 24 bits, WEP utilizará el
mismo IV para paquetes diferentes, pudiéndose repetir a partir de un
cierto tiempo de transmisión continua. Es a partir de entonces cuando
un intruso puede, una vez recogido suficientes tramas, determinar
incluso la llave compartida.
Otros mecanismos de seguridad los cuales se explican a continuación:
− Las VPN: Una red privada virtual emplea tecnologías de cifrado para
crear un canal virtual privado sobre una red de uso público. Las VPN
resultan especialmente atractivas para proteger redes inalámbricas,
debido a que funcionan sobre cualquier tipo de hardware inalámbrico y
superan las limitaciones de WEP.
Para configurar una red inalámbrica utilizando VPN, debe comenzarse
por asumir que la red inalámbrica es insegura. Esto quiere decir que la
parte de la red que maneja el acceso inalámbrico debe estar aislada del
resto de la red, mediante el uso de una lista de acceso adecuada en un
enrutador, o agrupando todos los puertos de acceso inalámbrico en una
VLAN si se emplea “switching”. Dicha lista de acceso y/o VLAN
solamente debe permitir el acceso del cliente inalámbrico a los
servidores de autorización y autenticación de la VPN. Deberá permitirse
acceso completo al cliente, sólo cuando éste ha sido debidamente
autorizado y autenticado.
Los servidores de VPN se encargan de autenticar y autorizar a los
clientes inalámbricos, y de cifrar todo el tráfico desde y hacia dichos
25
clientes. Dado que los datos se cifran en un nivel superior del modelo
OSI, no es necesario emplear WEP en este esquema.
Figura 11. Estructura de una VPN para acceso inalámbrico seguro
− 802.1X: Para contrarrestar los defectos de la seguridad WEP, el IEEE
creó el estándar 802.1X. Se trata de un mecanismo de seguridad
diseñado para proporcionar acceso controlado entre dispositivos
inalámbricos clientes, puntos de acceso y servidores. Emplea llaves
dinámicas en lugar de llaves estáticas usadas en la autenticación WEP,
y requiere de un protocolo de autenticación para reconocimiento mutuo.
Es necesario un servidor que proporcione servicios de autenticación
remota de usuarios entrantes (RADIUS, Servicio Remoto de
Autenticación de Usuarios Entrantes).
Es un estándar de control de acceso a la red basado en puertos. El
sistema se compone de los siguientes elementos: una estación cliente,
un punto de acceso y un servidor de autenticación (AS).
El servidor de autenticación, es el que realiza la autenticación real de las
credenciales proporcionadas por el cliente. El AS es una entidad
separada situada en la zona cableada (red clásica), pero también
26
implementable en un punto de acceso. El tipo de servidor utilizado
puede ser RADIUS, u otro tipo de servidor que se crea conveniente.
El estándar 802.1X introduce un nuevo concepto, el concepto de puerto
habilitado/inhabilitado en el cual hasta que un cliente no se valide en el
servidor no tiene acceso a los servicios ofrecidos por la red. Dicho
esquema de este concepto lo podemos ver a continuación:
Figura 12. Esquema puerto habilitado/inhabilitado 802.1X
En sistemas con 802.1X activado, se generarán 2 llaves, la llave de
sesión y la llave de grupo. Las llaves de grupo se comparten por todas
las estaciones cliente conectadas a un mismo punto de acceso y se
utilizarán para el tráfico multicast, las llaves de sesión serán únicas para
cada asociación entre el cliente y el punto de acceso y se creará un
puerto privado virtual entre los dos.
El estándar 802.1X mejora la seguridad proporcionando las siguientes
mejoras sobre WEP:
Modelo de seguridad con administración centralizada
La llave de encriptación principal es única para cada estación, por lo
tanto, el tráfico de esta llave es reducido (no se repite en otros
clientes)
27
Existe una generación dinámica de llaves por parte del servidor de
autenticación, sin necesidad de administrarlo manualmente.
Se aplica una autenticación fuerte en la capa superior.
− WPA (Wi-Fi Protected Access): Es un estándar propuesto por los
miembros de la WiFi Alliance en colaboración con la IEEE. Este estándar
busca subsanar los problemas de WEP, mejorando el cifrado de los datos
y ofreciendo un mecanismo de autenticación. WPA es un subconjunto de
la especificación IEEE 802.11i, el estándar de la seguridad en las redes
WiFi, y aparece como una medida intermedia hasta que el estándar
802.11i estuviera preparado.
Para solucionar el problema de cifrado de los datos, WPA propone un
nuevo protocolo para cifrado, conocido como TKIP. Este protocolo se
encarga de cambiar la clave compartida entre punto de acceso y cliente
cada cierto tiempo, para evitar ataques que permitan revelar la clave.
Igualmente, WPA presenta características como la distribución dinámica
de claves, utilización más robusta del vector de inicialización (mejora de la
confidencialidad) y nuevas técnicas de integridad y autenticación.
El mecanismo de autenticación usado en WPA utiliza 802.1X EAP
explicado en el punto anterior.
Según la complejidad de la red, un punto de acceso compatible con WPA
puede operar en dos modalidades:
Modalidad de red empresarial: Para operar en esta modalidad se
requiere de la existencia de un servidor RADIUS en la red. El punto de
acceso emplea entonces 802.1X EAP para la autenticación, y el
servidor RADIUS suministra las claves compartidas que se usarán
para cifrar los datos.
28
Modalidad de red casera, o PSK: WPA opera en esta modalidad
cuando no se dispone de un servidor RADIUS en la red. Se requiere
entonces introducir una contraseña compartida en el punto de acceso y
en los dispositivos móviles. Solamente podrán acceder al punto de
acceso los dispositivos móviles cuya contraseña coincida con la del
punto de acceso. Una vez logrado el acceso, TKIP entra en
funcionamiento para garantizar la seguridad del acceso. Se
recomienda que las contraseñas empleadas sean largas (20 o más
caracteres), por que ya se ha comprobado que WPA es vulnerable a
ataques de diccionario si se utiliza una contraseña corta.
− WPA2: Se basa en su predecesor WPA, con las mismas características
pero aumentando el nivel de seguridad, es la implementación completa de
la especificación IEE 802.11i. Una de las principales mejoras es el cambio
del algoritmo de encriptado usado por WEP y WPA (el RC4) por otro más
avanzado, el Advanced Encryption Standard (AES), que trata de un
algoritmo de cifrado de bloque con claves de 128 bits. Para el
aseguramiento de la integridad y autenticidad de los mensajes WPA2
utiliza CCMP en lugar de los códigos MIC.
A continuación se enumeran algunos de los principales riesgos del
uso de redes inalámbricas:
− Intercepción y escucha del tráfico en tránsito, que afecta a la
confidencialidad de los datos. Permite al atacante espiar el tráfico de
red, capturar contraseñas, leer correo electrónico y conversaciones
realizadas a través de la red, y obtener información útil sobre la
organización interna y la infraestructura de sistemas para preparar un
ataque.
29
− Acceso no controlado a la red interna corporativa. Esto puede ser
utilizado por el atacante para acceder a sistemas internos normalmente
no accesibles desde el exterior.
− Denegación de servicio (DoS). Los servicios de red inalámbrica 802.11
son vulnerables a diferentes ataques de denegación de servicio (por
ejemplo, generación de tráfico aleatorio excesivo, generación de puntos
de acceso falsos, etc.)
− Un visitante a la empresa podría conectarse a la red con su portátil, de
forma inadvertida o conscientemente, sirviendo como punto de entrada
de virus, gusanos y troyanos.
5. Métodos de detección de redes inalámbricas
5.1. Wardriving
Es el método más conocido para detectar las redes inalámbricas
inseguras. Consiste en la utilización de una tarjeta de red inalámbrica WNIC
(Wireless Network Interface Card), un dispositivo portátil (ordenador portátil
o incluso un PDA) con un software para verificar puntos de acceso y
pasearse por centro de negocios o algún sitio donde nos conste la
utilización de una red inalámbrica y en el momento en que se detecta la
existencia de la red, se realiza un análisis de la misma. El ordenador
portátil puede estar equipado con un sistema GPS para marcar la posición
exacta donde la señal es más fuerte, o incluso una antena direccional para
recibir el tráfico de la red desde una distancia considerable.
5.2. Warchalking
Se trata de un lenguaje de símbolos utilizado para marcar sobre el
terreno la existencia de las redes inalámbricas. Una vez detectada la
30
existencia de una red abierta, se suele dibujar en el suelo una marca con la
anotación de sus características. La simbología se muestra a continuación:
Tabla 3. Simbología Warchalking
Símbolo Significado
SSID )(
Ancho de banda
Nodo Abierto
SSID ()
Nodo Cerrado
SSID Contacto (W)
Ancho de Banda
Nodo WEP
Por ejemplo, el símbolo
Retina
) (
1.5
Identifica a un nodo abierto, que utiliza el SSID “Retina” y dispone de un
ancho de banda de 1.5 Mbps.
Esta simbología permite disponer de un mapa donde constan los puntos de
acceso con sus datos (SSID, WEP, direcciones MAC,...). Si la red tiene
DHCP, el ordenador portátil se configura para preguntar continuamente por
una IP de un cierto rango, si la red no tiene DHCP activado podemos
analizar la IP que figure en algún paquete analizado. En la figura 13 se
muestra Warchalking y su simbología.
31
Figura 13. Warchalking y su simbología
Existen varias herramientas útiles para detectar redes inalámbricas, las más
conocidas son el AirSnort o Kismet para Linux y el NetStumbler para
sistemas Windows.
6. Ataques a redes inalámbricas
Los ataques a redes inalámbricas se dividen en ataques activos y
pasivos. Los ataques pasivos son aquellos donde un tercero no realiza
ningún ataque, simplemente escucha. Los ataques activos, en cambio,
buscan causar algún daño, como pérdida de confidencialidad, disponibilidad
e integridad de la información.
A continuación se mencionan algunos de los ataques más comunes:
6.1. Ataques Pasivos
− Eavesdropping: El atacante simplemente escucha (generalmente con
una notebook ó PDA) las comunicaciones entre un punto de acceso y
las estaciones inalámbricas. Con este ataque se busca obtener
32
información que es normalmente transmitida por la red. Este tipo de
ataque es el más peligroso, ya que abre las puertas a otros ataques.
6.2. Ataques Activos
− Romper ACL’s basados en MAC: Una de las medidas más comunes
que se utilizan para securizar una red wireless es restringir las máquinas
que podrán comunicarse con el Punto de Acceso haciendo filtrado por
dirección MAC en éste. Para esto se suele crear una tabla en el punto
de acceso que contiene todas las MACs de los clientes que están
autorizados para conectar.
Aunque esto pueda parecer una medida de seguridad efectiva, no
lo es, ya que es muy fácil cambiar la dirección MAC que aparece en los
paquetes que un cliente envía, y hacernos pasar por uno de los equipos
que si tienen acceso a la red.
Para llevar a cabo el ataque basta con esnifar durante un
momento el tráfico y fijarnos en la MAC de cualquiera de los clientes,
sólo hace falta que nos pongamos su misma MAC y ya habremos
saltado la restricción. Esto es sencillo de implementar, por ejemplo en el
sistema operativo Linux se puede realizar con el comando ifconfig
dependiendo del tipo de tarjeta que tengamos. También existen otras
utilidades para cambiar la MAC como por ejemplo setmac.
Hay que tener en cuenta que si hay dos máquinas en la red con la
misma dirección MAC podemos tener problemas, aunque generalmente
en las redes “Wireless” esto no suele ser un problema muy grave ya
que el punto de acceso no puede distinguir que verdaderamente hay dos
máquinas con la misma MAC. De todas formas, si queremos podemos
“anular” a la máquina que le hemos “robado” la dirección MAC. Para
33
hacer esto, debemos implementar un ataque de Denegación de Servicio,
como el que veremos seguidamente.
− Ataque de Denegación de Servicio (DoS): Para realizar este ataque
basta con escuchar durante un momento la red y ver cual es la dirección
MAC del punto de acceso. Una vez que conozcamos su MAC, nos la
ponemos y actuamos como si fuéramos nosotros mismos el AP. Lo
único que tenemos que hacer para denegarle el servicio a un cliente es
mandarle continuamente notificaciones (“management frames”) de
desasociación o desautenticación. Si en lugar de a un solo cliente
queremos denegar el servicio a todos los clientes de la WLAN,
mandamos estas tramas a la dirección MAC de broadcast.
− Descubrir SSID ocultos: Como hemos comentado anteriormente, para
que un cliente y un AP se puedan comunicar, ambos deben tener
configurado el mismo SSID, es decir, deben pertenecer a la misma red
wireless.
Una medida de seguridad bastante común es “ocultar” el SSID, es
decir, hacer que el AP no mande “BEACON FRAMES”, o en su defecto
no incluya el SSID en éstos.
En este caso, para descubrir el SSID deberíamos esnifar y
esperar a que un cliente se conectara, y veríamos el SSID en la trama
“PROVE REQUEST” del cliente (en el caso de que no se manden
“BEACON FRAMES”), o en la trama “PROVE RESPONSE” del AP.
Pero también podemos “provocar” la desconexión de un cliente,
utilizando el mismo método que en el ataque DoS, pero mandando sólo
una trama de desasociación o de desautenticación en lugar de
mandarlas repetidamente, es decir, nos ponemos la dirección física del
AP y mandamos una trama “DEAUTH” o “DISASSOC” a la dirección
34
MAC del cliente (o a la de broadcast), entonces el cliente intentará
volver a asociarse o autenticarse, con lo que podremos ver el SSID en
los “management frames”.
− Ataque Man in the middle: El ataque de Man in the middle, también
conocido como Monkey in the middle consiste en convencer al cliente (la
victima) de que el host que hay en el medio (el atacante) es el AP, y
hacer lo contrario con el AP, es decir, hacerle creer al AP que el
atacante es el cliente.
Figura 14. WLAN antes del ataque
Para realizar este ataque, primero debemos escuchar las
comunicaciones entre un AP y sus clientes, para obtener lo siguiente:
El SSID de la red (si esta ocultado, usaremos el método anterior)
La dirección MAC del AP
La dirección MAC de la victima
Una vez que conocemos estos datos, utilizamos el mismo método
que en el ataque DoS, para desautenticar a la victima del AP real, es
decir, el atacante spoofea su MAC haciéndose pasar por el AP y manda
35
tramas “DEAUTH” a la victima. La tarjeta “WiFi” de la victima
empezará entonces a escanear canales en busca de un AP para
poderse autenticar, y ahí es donde entra en juego el atacante.
El atacante hace creer a la victima que él es el AP real, utilizando
la misma MAC y el mismo SSID que el AP al que la victima estaba
autenticada anteriormente, pero operando por un canal distinto. Para
realizar esto la tarjeta “WiFi” del atacante debe estar en modo master.
Por otra parte, el atacante debe asociarse con el AP real,
utilizando la dirección MAC de la victima.
De esta manera hemos conseguido insertar al atacante entre la
victima y el AP, veamos como quedaría la WLAN después de realizar el
ataque.
Figura 15. WLAN después del ataque
De esta manera todos los datos que viajan entre la victima y el AP
pasan a través del atacante. Como el ataque ha sido realizado a nivel de
36
enlace (nivel 2), el atacante puede ver, capturar e incluso modificar las
tramas en los niveles superiores del modelo OSI.
− Ataque ARP Poisoning: El ARP cache poisoning es un ataque que sólo
se puede llevar cabo cuando el atacante está conectado a la misma LAN
lógica que las victimas, limitando su efectividad a redes conectadas con
“switches”, “hubs” y “bridges”, pero no “routers”. La mayoría de los
puntos de acceso 802.11b actúan como bridges transparentes de capa
2, lo que permite que los paquetes ARP pasen de la red “Wireless”
hacia la LAN donde está conectado el AP y viceversa. Esto permite que
se ejecuten ataques de ARP cache poisoning contra sistemas que están
situados detrás del Punto de Acceso, como por ejemplo servidores
conectados a un switch en una LAN a los que se pueda acceder a través
de la WLAN.
A continuación se muestra un ejemplo:
Figura 16. Servidores de una LAN que puede ser accedidos por la WLAN
37
El servidor PC 1 se comunica con PC 3 a través del switch, si un
atacante desde la WLAN envenena la tabla de ARP’s de PC 1 y de PC 3
podrá realizar un ataque del tipo Man in the Middle situándose entre los dos
hosts de la red con cables.
Así es como se efectuaría la comunicación después del ataque:
Figura 17. Ataque ARP Poisoning
El atacante manda paquetes “ARP REPLY” a PC 2 diciendo que la
dirección IP de PC 1 la tiene la MAC del atacante, de esta manera consigue
“envenenar” la caché de ARP’s de PC 2. Luego realiza la misma operación
atacando a PC 1 y haciéndole creer que la dirección IP de PC 2 la tiene
también su propia MAC.
38
Como ARP es un protocolo stateless, PC 1 y PC 2 actualizan su
caché de acuerdo a la información que el atacante ha inyectado a la red.
Como el “switch” y el AP forman parte del mismo dominio de
“broadcast”, los paquetes ARP pasan de la red “Wireless” a la red con
cables sin ningún problema.
Se podría frenar este ataque creando dos VLAN’s en el “switch”,
una para la boca a la que está conectado el AP y la otra para el resto de
máquinas. Otra forma de frenarlo sería utilizando tablas de ARP estáticas.
7. Políticas de seguridad
Las políticas de seguridad representan los documentos en donde se
establecen las normas a seguir para realizar conexiones a la red
inalámbrica de la empresa. Asimismo, las políticas de seguridad tendrán un
alcance desde el punto de vista de seguridad de los datos que viajan a
través de una WLAN, describiendo las responsabilidades y derechos de
usuarios que operen y utilicen las redes inalámbricas de la empresa; éstos
documentos son el primer paso en la construcción de arquitecturas de
seguridad efectivas y son considerados parte fundamental del esquema de
seguridad efectivo.
El diseño de políticas de seguridad debe realizarse considerando que
no disminuya la capacidad operativa de la organización. La existencia de
políticas que impidan que usuarios cumplan sus tareas efectivamente,
puede tener consecuencias indeseables ya que usuarios podrán encontrar
formas de ignorarla y convertirla en algo inútil. Para que las políticas de
seguridad de redes inalámbricas sean efectivas, los usuarios deben
aceptarlas y estar dispuestos a reforzarlas. En términos generales, se tiene
que lograr que las políticas de seguridad cumplan con todos los servicios de
39
seguridad: autenticación, confidencialidad, integridad, no repudiación,
disponibilidad de los recursos a personas autorizadas y control de acceso.
40
CAPITULO III
MARCO METODOLÓGICO
1. Método de Investigación
El método de investigación utilizado fue la investigación proyectiva,
también conocida como proyecto factible. Este método define el enfoque de
la investigación, y por ende la forma de presentar el cumplimiento de los
objetivos y resultados finales del trabajo.
A continuación se refieren algunas citas bibliográficas que describen
las características relevantes de un proyecto factible:
− Según la Universidad Pedagógica Experimental Libertador (UPEL) (1990), "El proyecto factible consiste en la elaboración de una propuesta
de un modelo operativo viable, o una solución posible a un problema de
tipo práctico, para satisfacer necesidades de una institución o grupo social"
(p.7).
− La Universidad Metropolitana, en su “Resumen del Libro de Metodología de la Investigación Holística de Jacqueline Hurtado de Barrera” [1], establece que la investigación proyectiva o proyecto
factible “Tiene por objeto, el diseño, la propuesta o creación de un
modelo que permita solucionar una necesidad de tipo práctico”.
− Fidias Arias [2], establece en su libro “Mitos y errores en la elaboración de tesis y proyectos de investigación” (1999) las
diferencias entre proyecto de investigación y proyecto factible:
41
Tabla 4. Diferencias entre "proyecto de investigación" y "proyecto factible"
Proyecto de Investigación Proyecto Factible
Plantea un problema de conocimiento (algo que se desconoce).
Plantea un problema de tipo práctico, generalmente determinado por una necesidad.
Se plantea objetivos de investigación, lo que refleja los aspectos a conocer.
Se traza objetivos de acción: tareas, actividades, procesos.
Requiere un marco teórico que fundamente la investigación a realizar.
No necesariamente requiere de postura teórica. Hace mucho énfasis en la justificación de proyecto
Puede formular hipótesis. Formula propuestas de acción y/o modelos operativos como alternativa de solución.
La metodología utiliza técnicas, instrumentos y procedimientos propios de la investigación científica.
La metodología varía según la fase y naturaleza del proyecto.
Los elementos básicos que se incluyen en un proyecto de investigación son: − Planteamiento del problema − Objetivos − Justificación − Marco Teórico − Metodología
Los elementos básicos que se incluyen en un proyecto factible son: − Objetivos − Justificación − Diagnóstico de necesidades − Formulación del modelo o propuesta − Análisis de su factibilidad
En un proyecto de este tipo se investiga. En un proyecto de este tipo se planifica.
2. Área de Investigación
El desarrollo de la investigación se llevó a cabo en la Gerencia de
Seguridad de Información, en la Coordinación de Control de Acceso, y
Coordinación de Soporte a Redes, de la oficina administrativa (sede
principal), lugar donde se administra la seguridad en la red inalámbrica.
42
3. Descripción de la Metodología
Para el desarrollo de este proyecto, se consideró el estándar de
seguridad ISO 17799 publicado por la Organización Internacional de
Normas en diciembre de 2000, el cual establece lineamientos para certificar
la mejora continua en la identificación y control de riesgos de seguridad
tecnológica para asegurar la confidencialidad, integridad y disponibilidad de
información. ISO 17799 surge como la norma técnica de seguridad de
información reconocida mundialmente, la cual define un completo conjunto
de controles que incluyen las prácticas exitosas de seguridad de
información. En el año 2005 hubo cambios en la norma ISO 17799 en cual
se incluyeron controles sobre redes inalámbricas.
3.1. El origen de ISO 17799
Durante más de un siglo, el Instituto Británico de Normas Técnicas
(BSI) y la Organización Internacional de Normas Técnicas (ISO) han
brindado parámetros globales a normas técnicas de operación, fabricación y
desempeño. Solo faltaba que BSI e ISO propusieran una norma técnica
para la seguridad de información.
Finalmente en 1995, el BSI publicó la primera norma técnica de
seguridad, BS 7799, la cual se redacta para abarcar los asuntos de
seguridad relacionados con el “e-commerce”, sin embargo no tuvo la
aceptación esperada debido a que no despertó interés de la comunidad.
Cuatro años después, en mayo de 1999, el BSI intentó nuevamente publicar
su segunda versión de la norma BS 7799, siendo una revisión más amplia y
mejorada de la primera publicación. En este momento, la ISO se percató de
cambios y comenzó a trabajar en la revisión de la norma técnica BS 7799.
43
En diciembre de 2000, la ISO adoptó y publicó la primera parte de la
norma BS 7799 bajo el nombre de ISO 17799. Alrededor de la misma
época, se adoptó un medio formal de acreditación y certificación para
cumplir con la norma técnica. Los problemas Y2K, EMU y otros similares se
habían solucionado o reducido a 2000 y la calidad total de la norma técnica
había mejorado considerablemente. La adopción por parte de ISO de la
Parte 1 - los criterios de la norma técnica de BS 7799 recibió gran
aceptación por parte del sector internacional y fue en este momento que un
grupo de normas técnicas de seguridad tuvo amplio reconocimiento.
3.2. Marco de las recomendaciones
La norma ISO 17799 no incluye la segunda parte de BS 7799, que se
refiere a la implementación. ISO 17799 hoy día es una compilación de
recomendaciones de las prácticas exitosas de seguridad que toda
organización puede aplicar independientemente de su tamaño o sector. La
norma técnica fue redactada intencionalmente para que fuese flexible y
nunca indujo a cumplir soluciones de seguridad específicas. Las
recomendaciones de la norma técnica ISO 17799 son neutrales en cuanto a
tecnología y no ayudan a evaluar y entender las medidas de seguridad
existentes. Por ejemplo, la norma discute la necesidad de contar con
firewall, pero no profundiza sobre los 3 tipos de firewall y cómo se utilizan,
lo que conlleva a que contrarios de la norma opinen que ISO 17799 es
general y tiene una estructura muy imprecisa y sin valor real.
La flexibilidad e imprecisión de ISO 17799 es intencional, por cuanto
es difícil encontrar una norma que funcione sobre una variedad de entornos
de tecnología de información y sea capaz de desarrollarse con el cambiante
mundo de la tecnología. ISO 17799 simplemente ofrece un conjunto de
reglas a un sector donde no existían.
44
3.3. Las diez áreas de control de ISO 17799
− Política de seguridad: Las políticas reflejan las expectativas de la
organización en materia de seguridad, a fin de suministrar administración
con dirección y soporte. Las políticas también se puede utilizar como base
para el estudio y evaluación.
− Organización de la seguridad: Sugiere diseñar una estructura de gestión
para iniciar y controlar la implantación de la seguridad de la información
dentro la organización, que establezca la responsabilidad de los grupos en
áreas de seguridad y procesos para el manejo de respuesta a incidentes.
− Control y clasificación de recursos de información: Su objetivo es
mantener una protección adecuada sobre los activos de la organización.
Sugiere asignar un propietario de todos los activos de información
importantes; la responsabilidad sobre los activos ayuda a asegurar que se
mantenga la protección adecuada.
− Seguridad del personal: Establece la necesidad de educar e informar a los
empleados sobre lo esperado de su parte en materia de seguridad y
confidencialidad. Sugiere que todos los empleados y los terceros, usuarios
de aplicaciones de tratamiento de información, deberían firmar una
cláusula de confidencialidad (no divulgación).
− Seguridad física y ambiental: Responde a la necesidad de proteger las
áreas, equipo y controles generales.
− Gestión de las comunicaciones y operaciones: Los objetivos de esta
sección son:
Asegurar el funcionamiento correcto y seguro de las instalaciones de
procesamiento de información.
45
Minimizar los riesgos de fallas en los sistemas.
Proteger la integridad del software y la información.
Conservar la integridad y disponibilidad del procesamiento y la
comunicación de información.
Garantizar la protección de la información en redes e infraestructura de
soporte.
Evitar daños a recursos de información e interrupciones en las
actividades de la compañía.
Evitar la pérdida, modificación o uso indebido de la información que
intercambian las organizaciones.
− Control de acceso: Establece la importancia de monitorear y controlar el
acceso a la red y recursos de aplicación para proteger contra abusos
internos e intrusos externos.
− Desarrollo y mantenimiento de sistemas: Recuerda que en la tecnología
de información, debe implementarse y mantenerse la seguridad con el uso
de controles de seguridad en todas las etapas del proceso.
− Manejo de la continuidad de la empresa: Aconseja estar preparado para
contrarrestar la interrupción de actividades de la empresa y protección de
procesos importantes de la empresa en caso de fallas graves o desastres.
− Cumplimiento: Imparte instrucciones a las organizaciones para que
verifiquen si el cumplimiento con la norma técnica ISO 17799 concuerda
con otros requisitos jurídicos, como la Directiva de la Unión Europea que
concierne la Privacidad, la Ley de Responsabilidad y Transferibilidad del
Seguro Médico (HIPAA por su sigla en Inglés) y la Ley Gramm-Leach-
46
Billey (GLBA por su sigla en inglés). Esta sección también requiere una
revisión a las políticas de seguridad, al cumplimiento y consideraciones
técnicas que deben hacer en relación con el proceso de auditoría del
sistema y garantizar que las empresas obtengan el máximo beneficio.
3.4. La norma técnica ISO 17799
Actualmente ISO revisa la norma técnica 17799 para adaptarla mejor
al amplio público. ISO 17799 es la primera norma técnica y se elaborará y
ampliará sus recomendaciones y sugerencias básicas en la medida en que
sea necesario. Por ahora, ISO 17799 es la norma técnica a seguir.
Para una organización que no ha adoptado un programa de
protección definido de información, ISO 17799 puede servir de parámetro
para definirlo.
47
CAPITULO IV
EVALUACIÓN, DIAGNÓSTICO DE SEGURIDAD y PROPUESTA DE
SOLUCIÓN PARA LA RED INALÁMBRICA DE LA COMPAÑÍA WiNet
1. Arquitectura y diseño de la red inalámbrica.
El objetivo de la revisión estuvo orientado al diagnóstico del esquema
de seguridad usado en la red inalámbrica implantada en la Compañía
WiNet.
Figura 18. Arquitectura de la red inalámbrica de la Compañía WiNet
En la Tabla 5 se menciona el componente principal de la WLAN que estará
en el alcance de la evaluación, la cual guiará la presentación de resultados.
48
Tabla 5. Componente de la WLAN Puntos de Acesso (Cisco Aironet 1200 Series) Wireless Punto de acceso de la WLAN
2. Evaluación y diagnóstico de seguridad de la red inalámbrica.
Uno de los mayores retos para las organizaciones es identificar e
incorporar modelos efectivos y probados para la seguridad de la
información. El éxito de un programa de seguridad depende de una serie de
eventos, mezcla de diferentes personas, políticas y tecnología, que mejore
la protección y seguridad de la información. Cualquier vulnerabilidad
existente puede verse la seguridad de la información comprometida. Un
modelo de seguridad que mitigue estas vulnerabilidades, podrá reducir los
riesgos y proveer una base sólida que permita a las organizaciones
fortalecer la protección de la información.
Los resultados de la evaluación y diagnóstico de la seguridad en la
red inalámbrica implantada en la Compañía WiNet, se presentan a
continuación, en tablas de resultados que contienen la siguiente
información:
− Riesgo Específico. Esta sección describe los riesgos particulares de
cada una de las situaciones consideradas como parte de la
evaluación en la WLAN, y que en resumen conllevan a los
principales riesgos descritos anteriormente.
− Técnica de Control. Una vez descrito el riesgo específico, se
identifican las técnicas de control utilizadas por la Gerencia de
Seguridad de Información y la Coordinación de Soporte a Redes, de
la Compañía WiNet para mitigar dichos riesgos, las cuales serán
49
objeto de evaluación. Cabe destacar, que esta información fue
obtenida como parte del levantamiento de información realizado.
− Oportunidades de mejora. Presenta el diagnóstico de la evaluación.
− Plan de Acción. Resume los lineamientos técnicos y/o
procedimientos con relación a las deficiencias reportadas para el
fortalecimiento de los controles de seguridad al acceso de
información en la red inalámbrica de la Compañía WiNet.
La seguridad de la información se maneja en fases, sin embargo el
objetivo principal es proteger la confidencialidad, integridad y disponibilidad
de la información. La violación de alguno de estos componentes puede
colocar rápidamente a una organización en riesgo patrimonial, tecnológico,
legal o de reputación. En la presentación de resultados, se consideraron
áreas de evaluación, las cuales se describen en la Figura 19.
50
Figura 19. Áreas de evaluación
Los resultados de la evaluación y propuesta para mejora se
presentan a continuación.
Políticas y procedimientos
de Seguridad (5)
Autenticación de usuarios
(3)
Ubicación de puntos de
acceso (1)
AREAS DE EVALUACION
Seguridad de equipos
inalámbricos (2)
Monitoreo de puntos de
acceso (4)
51
Tabla 6. Evaluación de seguridad en la WLAN
Ubicación de los puntos de acceso Riesgo Específico: Posibilidad de conexión a la red desde zonas no deseadas o fuera del ámbito de la organización por parte de usuarios no autorizados. Trabajo Realizado Técnica de Control Actual Oportunidades de Mejora Plan de Acción (Propuesta) Usando el método de detección de redes inalámbricas “Wardriving” y el software Network Stumbler versión 4.0, verificar si se puede acceder a la red desde fuera del espacio físico de la misma y la intensidad de la señal.
La Coordinación de Soporte a Redes es la encargada de realizar un estudio de la localización de los puntos de acceso a través de herramientas de encuestas sobre el sitio (Site Survey), para determinar la mejor localización física para los puntos de acceso. La Coordinación de Soporte a Redes es responsable de hacer mediciones de señales de salida al instalar puntos de acceso, así como ajustes necesarios y estas actividades se deben incluir como un proceso en el mantenimiento normal de la red.
Se observó que dentro del proceso de mantenimiento normal de la red inalámbrica no estaba definida la revisión periódica de las señales de salida de los puntos de acceso instalados, así como ajustes de los mismos; a fin de reducir al mínimo el riesgo de acceso por fuerza bruta.
Incorporar en el proceso de mantenimiento normal de la red la revisión de las mediciones de señales y ajustes de forma periódica.
52
Seguridad de equipos inalámbricos (Configuración de puntos de acceso) Riesgo Específico: Configuración incorrecta o débil de los puntos de acceso, que facilite que información sensitiva sea interceptada por intrusos, la cual puede ser distorsionada o divulgada. Trabajo Realizado Técnica de Control Actual Oportunidades de Mejora Plan de Acción (Propuesta) Verificar que la red inalámbrica en evaluación se encuentre certificada en cuanto a la seguridad por la Coordinación de Control de Acceso.
La Coordinación de Control de Acceso de la Compañía WiNet certifica las redes inalámbricas implantadas, aplicando un checklist de seguridad de información en cuanto a la seguridad de los equipos (AP), autenticación y contraseñas. El checklist es llenado por el administrador de la red y posterior a esto, se aplica un test usando el software NMAP para la verificación de los datos suministrados por el administrador.
Se evidenció que para la fecha de revisión la red inalámbrica en evaluación no se encontraba certificada; es decir, aún no se había aplicado el checklist de seguridad; no garantizando tener una seguridad robusta o apropiada. Cabe mencionar que dicha red se encontraba implantada desde hace 1 año aproximadamente.
Establecer un procedimiento por parte de la Coordinación de Control de Acceso en donde se indique los pasos a seguir para la certificación de las redes inalámbricas implantadas en la Compañía; así mismo, dicho procedimiento debe ser divulgado al área responsable de la configuración de los equipos inalámbricos; a fin de garantizar que las redes implantadas cumplan con la seguridad requerida para su certificación de acuerdo a las políticas de seguridad establecidas en la Compañía.
Verificar la configuración de los puntos de acceso en cuanto a: − Localización de puntos
de acceso (AP) en lugares que cubran únicamente las áreas internas de la Compañía.
− Los puntos de acceso se
La Coordinación de Soporte a Redes es la encargada de la instalación y configuración de los puntos de acceso de las redes inalámbricas implantadas en la Compañía de acuerdo a lo establecido en la política de seguridad para redes inalámbricas.
De la verificación de los datos suministrados por el administrador de la red en el cheklist de seguridad y la configuración de los puntos de acceso a través del comando (show running- config) versus el test aplicado con el software NMAP , se detectó lo siguiente:
Aislar totalmente la parte inalámbrica de la parte cableada de la red, utilizando firewall que establezca unas reglas adecuadas para permitir la unión de una forma segura. Definir listas de control de acceso basado en direcciones MAC lo cual proporciona una capa de
53
encuentren colocados en áreas seguras.
− El modo ad-hoc esté deshabilitado
− Sólo los administradores de red tienen el privilegio de ejecutar la opción ”reset” de los equipos.
− Cambio del SSID default de los puntos de acceso.
− Cambio de los valores default de configuración de los equipos.
− La opción “SSID broadcast” se encuentre desactivada.
− Existencia de listas de direcciones MAC
− Bloqueo de los puertos TCP/UDP.
− Opciones de seguridad de los equipos WLAN se encuentren activas. (WEP)
− Las Llaves de encriptamiento manejada por WEP son de al menos de 128 bits o tan grandes como sea posible.
− Acceso a la red protegida se realice mediante un canal encriptado y utilizando
− No existía un firewall entre la red cableada (protegida) y la red inalámbrica.
− No se encontraba definida listas de direcciones MAC.
− Las estaciones inalámbricas no tenían instalados antivirus.
− Las estaciones inalámbricas no tenían instalados firewalls personales.
Adicionalmente, se observó que el único mecanismo de seguridad usado en los puntos de acceso es WEP, el mismo no proporciona una seguridad robusta que garantice la confidencialidad e integridad de los datos.
seguridad que asegura de que solamente los dispositivos inalámbricos autorizados estén permitidos a conectarse con la red cableada. Instalar software de antivirus en los clientes inalámbricos para asegurar que el cliente inalámbrico no introduzca virus a la red cableada; así mismo, protege al cliente inalámbrico contra los virus que se originan en la red cableada. Evaluar la posibilidad de la instalación de firewalls personales que ayuden a proteger contra ataques de la red inalámbrica, ofreciendo una protección adicional de los puntos de acceso contra los intrusos que se pueden instalar en cualquier lugar. Considerar cambiar el mecanismo de seguridad usado WEP por Wi-Fi Protected Access (WPA) con autenticación 802.1X EAP y cifrado TKIP (Protocolo de integridad de claves temporales), por considerarse una red empresarial.
54
mecanismos de autenticación (VPN basado en IPSec).
− Existencia de un firewall entre la red cableada y la inalámbrica.
− Actualización del firmware/software de los equipos que implementan la red inalámbrica.
− Instalación en los clientes inalámbricos de un firewall personal.
− Instalación en los clientes inalámbricos de un software antivirus.
− Instalación de switches en lugar de hubs para la conectividad del punto de acceso.
− Servicio Telnet deshabilitado.
− El acceso remoto a los equipos por parte de usuarios administradores está encriptado, usando Secure Shell (ssh).
− Implementación de SNMPv2 como mínimo.
− Tiempo de sesión inactiva en un terminal para los usuarios.
− Asignación automática
55
de direcciones (DHCP) deshabilitado.
Autenticación en la WLAN Riesgo Específico: Acceso indebido o no controlado de usuarios no autorizados en la red inalámbrica. Trabajo Realizado Técnica de Control Actual Oportunidades de Mejora Plan de Acción (Propuesta) Verificar: – Sistema de autenticación
abierto habilitado – Que los equipos utilicen
mecanismos AAA para autenticar usuarios.
– Existencia de bitácoras (logs) que permita registrar las actividades relevantes de los usuarios de los equipos.
– Que se exporten automáticamente las bitácoras de la plataforma hacia los servidores de análisis de bitácoras de seguridad de información.
– Que los distintos perfiles de usuarios estén definidos en el servicio AAA.
– Si el acceso de todos los usuarios del sistema
Para la autenticación de los usuarios y manejo de contraseñas en la red inalámbrica, se utiliza el protoclo TACACS+ (Sistema Avanzado de Control de Acceso mediante Controladora de Acceso a Terminal), el cual proporciona una seguridad centralizada para la validación de los usuarios que acceden a la red. Asimismo, proporciona los servicios de autenticación y autorización.
Se observó que los equipos inalámbricos no utilizan mecanismos AAA para la autenticación de usuarios, ya que el protocolo TACACS+ no proporciona el servicio de auditoría impidiendo poder realizar auditoría de las actividades de los usuarios mientras acceden a la red. Asimismo, no se encontraba definido los distintos perfiles de usuarios.
Evaluar la posibilidad de cambiar de protocolo de autenticación por un servidor RADIUS que proporciona los servicios de auditoría, autorización y accounting, permitiendo rastrear las actividades del usuario mientras accede a la red. Adicionalmente, definir los diferentes perfiles de usuarios en la red.
56
requiere autenticación. – Que las contraseñas
acepten como mínimo siete (7) caracteres.
– Colocación de una contraseña válida a todas las cuentas que tenían contraseña vacía.
– Si se fuerza a que las contraseñas se conformen con todos los siguientes tipos de caracteres: numéricos, alfabéticos en minúscula y mayúscula y símbolos.
– Existencia de un proceso automatizado que permita a los usuarios realizar cambios de sus contraseñas.
– Que las contraseñas iniciales emitidas a nuevos usuarios sólo son validas para una sesión, en la cual se pide al usuario que la actualice.
– Que las contraseñas tengan un período de expiración mínimo de 30 días.
– Que las contraseñas tienen un período de expiración máximo de 60 días, obligando a los
57
usuarios a cambiarlas al transcurrir este tiempo.
– Utilización de archivos de diccionarios para validar los cambios de contraseña.
– Que se mantenga un histórico de 6 contraseñas para evitar que los usuarios rehúsen valores usados previamente.
Monitoreo de puntos de acceso Riesgo Específico: Ataque por inserción de usuarios o instalaciones de puntos de acceso no autorizados interceptando la red inalámbrica. Trabajo Realizado Técnica de Control Actual Oportunidades de Mejora Plan de Acción (Propuesta) Usando el método de detección de redes inalámbricas “Wardriving” y el software Network Stumbler versión 4.0, verificar puntos de acceso abiertos no autorizados.
La unidad encargada de la instalación de las WLAN’s debe monitorear regularmente todos los puntos de acceso y detectar aquellos que no hayan sido autorizados y desconectarlos.
De la exploración de puntos de acceso efectuado en el piso 2 de la Compañía WiNet, se detectó: – Existían 25 puntos de
acceso no autorizados de los cuales 20 (80%) presentaban buena señal lo que significa que cualquier usuario puede intentar conectarse y 5 (20%) presentaban señal débil.
– 25 (100%) puntos de
Realizar un escaneo de red periódico, por ejemplo 1 vez al mes, mediante el uso de una herramienta de exploración inalámbrica, con el fin de detectar puntos de acceso no autorizados o equipos que están ejerciendo de intrusos y desconectarlos. Definir el área responsable de realizar el monitoreo de puntos de acceso. Evaluar la posibilidad del uso de
58
acceso estaban localizados en áreas no seguras.
– 17 de 25 (68%) puntos de acceso no tenían habilitado el mecanismo de seguridad WEP.
– 8 de 25 (32%) puntos de acceso tenían el mecanismo de seguridad WEP activado pero con el SSID utilizado por defecto. Por ejemplo: linksys, default, default_SSID.
Se observó que no se estaba realizando periódicamente un monitoreo de puntos de acceso.
un sistema de detección de intrusos (IDS) que permita determinar si usuarios no autorizados están intentando tener acceso o haber tenido acceso a la red.
Solicitar a la Gerencia de Seguridad de Información un listado a la fecha de revisión del inventario de puntos de acceso instalados en la Compañía.
La unidad encargada de la instalación de los puntos de acceso debe mantener actualizado e informar a la Gerencia de Seguridad de Información del inventario de los puntos de acceso con la información completa de su ubicación y configuración.
Se evidenció que la Gerencia de Seguridad de Información no tenía un inventario de los puntos de acceso instalados que le permitiese llevar el control de los mismos.
La Coordinación de Soporte a Redes informar y mantener actualizado a la Gerencia de Seguridad de Información de los puntos de acceso instalados.
59
Políticas y procedimientos. Riesgo Específico: Dificultad en la aplicación de normas y políticas para el control y manejo de seguridad en la WLAN que ayuden a mantener una red segura. Trabajo Realizado Técnica de Control Actual Oportunidades de Mejora Plan de Acción (Propuesta) Revisar en el procedimiento o política de seguridad para redes inalámbricas que contenga lo siguiente: – Identificación de quien
puede utilizar tecnología inalámbrica en la Compañía.
– Si el acceso a Internet es requerido
– Personal quien puede instalar puntos de acceso y otros equipos inalámbricos.
– Ubicación de los puntos de acceso
– Identificación del tipo de información que se puede enviar sobre la red inalámbrica.
– La condiciones sobre las cuales se permiten dispositivos inalámbricos.
– Definición de estándares para la configuración de seguridad de los puntos de acceso.
La Gerencia de Seguridad de Información es la encargada de la elaboración, actualización y aprobación del procedimiento de seguridad para redes inalámbricas, en donde se establece las normas a seguir para realizar conexiones a las redes inalámbricas existentes. La Gerencia de Seguridad de Información se encarga de la difusión y publicación del procedimiento a través de medios de comunicación interna a toda la Compañía, para el conocimiento de todos los trabajadores y contratados.
De la revisión al procedimiento de seguridad para redes inalámbricas se observó: – En el procedimiento no
indica si el acceso a Internet es requerido.
– No especifica la coordinación responsable de la instalación y configuración de los puntos de acceso.
– No indica el tipo de información que se puede enviar sobre la red inalámbrica.
– No describe la configuración de hardware y software de los equipos inalámbricos.
– No indica lineamientos para la divulgación de pérdidas de dispositivos y de incidencia de seguridad.
– No especifica con que frecuencia se debe monitorear los puntos de acceso y que unidad es la responsable de realizar
Integrar las políticas inalámbricas a las actuales políticas de seguridad de la red cableada; Asimismo, incluir en las políticas lo siguiente: – Si el acceso a Internet es
requerido. – Unidad responsable de la
instalación y configuración de los puntos de acceso.
– Tipo de información que se puede enviar sobre la red inalámbrica.
– Descripción de la configuración de hardware y software de los equipos inalámbricos.
– Lineamientos para la divulgación de pérdidas de dispositivos y de incidencia de seguridad.
– Frecuencia de monitoreo de puntos de acceso y la unidad responsable de realizar dicha tarea.
– Actualización de software de mejoras de la seguridad.
60
– Descripción de la configuración de hardware y software de los equipos inalámbricos.
– Lineamientos para la divulgación de pérdida de dispositivos y de incidentes de seguridad.
– Lineamientos para el uso de cifrado y manejo de claves.
– Definición de la frecuencia de la realización de exploración de puntos de acceso no autorizados.
– Considerar actualizaciones del software.
dicha tarea. – No indica que el
administrador de la red realice actualizaciones del software de mejoras en la seguridad.
61
CAPITULO V
ESTRATEGIA DE IMPLANTACION
1. Propuesta de acción como alternativa de solución
Continuamente aparecen brechas de seguridad y se acrecienta el
ingenio para identificarlas y utilizarlas por parte de personal no autorizado.
Queda entonces claro que esperar la ocurrencia de fallas para proceder a
corregirlas es precisamente en lo que se apoyan posibles intrusos para
penetrar las redes. Por otro lado, pretender detectar las debilidades antes
de que ocurran, puede ser una labor costosa en personal y tiempo.
Para cumplir con los objetivos planteados, se realizó un diagnóstico
y evaluación del ambiente de seguridad de la tecnología inalámbrica
existente. En el Capitulo IV se presentaron los hallazgos de la evaluación
realizada, conjuntamente a las recomendaciones propuestas para cada
situación, las cuales fueron analizadas y discutida con el personal de
seguridad de información, soporte a redes y la directiva de la Compañía
WiNet. La propuesta de acción busca definir estrategias técnicas basadas
en las mejores prácticas de seguridad para redes inalámbricas, que
solventaran las situaciones identificadas, sin incurrir en inversiones
mayores.
En términos generales, los principales hallazgos identificados son:
− La red inalámbrica en evaluación no se encontraba certificada en cuanto
a seguridad de los equipos inalámbricos y autenticación y contraseña; lo
que significa que no se le había aplicado el checklist de seguridad que
garantiza que la red tenga una seguridad básica. De la aplicación del
checklist se detectó que no se había colocado un “firewall” entre la red
62
cableada y la red inalámbrica, no existiendo reglas que permitan la unión
de forma segura, y que gestione los accesos desde la red inalámbrica a
la cableada (aplicando políticas de seguridad adecuadas), y de forma
recíproca (de la cableada a la inalámbrica).
− Se detectó que no se habían definido listas de control de acceso basado
en direcciones MAC, es conveniente el uso de las mismas ya que
utilizando esta técnica se consigue que únicamente se le dé el acceso a
los equipos que tengan una dirección MAC registrada en la lista, hasta
tanto se considere el cambio del mecanismo de seguridad por uno más
robusto, ya que hay que estar claros que este mecanismo es vulnerable.
− En los clientes inalámbricos no se encontraba instalado software de
antivirus, no garantizando que el cliente inalámbrico no introduzca virus
a la red cableada y viceversa.
− Se observó que la red en evaluación tiene habilitado WEP como único
mecanismo de seguridad y el uso del WEP básico no proporciona altos
niveles de seguridad debido a las vulnerabilidades existentes en él. En
una organización con tendencia a seguir creciendo en las
implementaciones de redes inalámbricas, no se puede mantener WEP
como única estrategia de seguridad, ya que no es del todo seguro. La
alternativa de WPA que utiliza autenticación 802.1X EAP con cifrado
TKIP, proporciona una autenticación más segura que el sistema abierto
o la clave compartida.
− Se observó que los equipos inalámbricos no tienen el servicio
accounting, el cual permite rastrear la actividad del usuario mientras
accede a la red y poder realizar auditorías que permita conocer el
tiempo que permanece conectado, servicios a los que accede, datos
transferidos durante la sesión, entre otros.
63
− Se observó que no se estaba realizando periódicamente un monitoreo
de puntos de acceso, y se identificaron puntos de accesos no
autorizados, ubicados en áreas no seguras, deshabilitado el mecanismo
de seguridad WEP y algunos puntos de acceso tenían activado WEP
pero con el SSID por defecto. Esta situación puede originar que intrusos
puedan tener acceso a información confidencial, que la red sea más
vulnerable a ataques de virus y que estos puntos de acceso pueden
interferir con los puntos de acceso instalados por la Coordinación de
Soporte a Redes, lo cual reduciría la calidad del servicio de la red.
− En cuanto a las políticas de seguridad se observó ausencia de las
políticas si el acceso a Internet es requerido, definición de la unidad
responsable de la instalación y configuración de los puntos de acceso,
tipo de información que se puede enviar sobre la red inalámbrica,
descripción y configuración de hardware y software de los equipos
inalámbricos, lineamientos para la divulgación de pérdidas de
dispositivos, actualización de las mejoras del software en la seguridad.
Todas estas políticas mencionadas ayudan a mitigar riesgos de
seguridad existente.
A tales efectos, la propuesta de acción como alternativa de solución
está en reforzar los esquemas de seguridad en cuanto al control de acceso
de los dispositivos a la red, la seguridad en los datos que circulan a través
de la misma, la seguridad de los elementos físicos y políticas de seguridad
integradas. De igual manera se recomienda el establecimiento de
estrategias de educación y concientización al personal, en los cuales se
informe a los empleados sobre las políticas de seguridad, explicar los
riesgos que conlleva la instalación de puntos de acceso no autorizados y
enfatizar las consecuencias de la violación de la seguridad, normando con
esta práctica la cultura de seguridad de los usuarios en procura de una
64
participación activa de los mismos sobre la seguridad de la información que
viaja sobre las redes inalámbricas.
2. Planificación estratégica de implantación
La planificación estratégica de seguridad involucra un conjunto de
actividades complementarias una de otra, que se apoyan mutuamente para
la creación de un entorno seguro. Para implantar el esquema de
recomendaciones, es necesario medir el impacto de cada oportunidad de
mejora y posteriormente definir el tiempo de implantación. En este sentido,
se elaboró un esquema gráfico que permite clasificar las oportunidades de
mejora en relación a su impacto y su probabilidad de ocurrencia, siendo
ambos parámetros medidos cualitativamente en alto, medio o bajos; este
esquema nos induce posteriormente a definir las estrategias de
implantación, las cuales pudieran ser a corto, mediano o largo plazo, y se
presentan a continuación en los cuadros anexos.
65
2.1. Ubicación de los puntos de acceso
Figura 20. Matriz de riesgos: Ubicación de los puntos de acceso
Tabla 7. Estrategia de Implantación: Ubicación de los puntos de acceso
Número Resumen de Oportunidad de Mejora Estrategia de Implantación
Recomendada
1 Se observó que dentro del proceso de mantenimiento normal de la red inalámbrica no estaba definida la revisión periódica de las señales de salida de los puntos de acceso instalados; a fin de reducir al mínimo el riesgo de acceso por fuerza bruta.
Mediano Plazo
Explicación de la matriz de riesgos: Para la ubicación en el gráfico de la
oportunidad de mejora (Nro.1) se tomó en cuenta, cual es el impacto de no
realizar de forma periódica una revisión de las señales de salida de los
puntos de acceso instalados en la red, la cual es alta ya que aumenta el
riesgo de acceso por fuerza bruta y la probabilidad de ocurrencia de la
oportunidad de mejora es alta; teniendo en cuenta que la revisión de las
señales es periódica; es decir, con alta probabilidad de ocurrencia .
4 1
7
5,6
112 3
8,910
12 13
14
1516
1718
1920 23
22
24
25
2126
PROBABILIDAD Alto
Alto
Bajo PROBABILIDAD Alto
Alto
Bajo
1
IMPACTO
66
2.2. Seguridad de los equipos inalámbricos
Figura 21. Matriz de riesgos: Seguridad de los equipos inalámbricos
Tabla 8. Estrategia de Implantación: Seguridad de los equipos inalámbricos
Número Resumen de Oportunidad de Mejora Estrategia de Implantación
Recomendada
1 No se encontraba certificada la red inalámbrica en evaluación. Corto Plazo 2 No existía un firewall entre la red cableada y la red inalámbrica Mediano Plazo3 No se encontraba definida listas de direcciones MAC. Mediano Plazo4 Las estaciones inalámbricas no tenían instalados antivirus Mediano Plazo5 Las estaciones inalámbricas no tenían instalados firewalls
personales. Largo Plazo
6 El único mecanismo de seguridad usado en los puntos de acceso es WEP no proporcionando una seguridad robusta.
Mediano Plazo
4
1
7
5,6
112 3
8,910
12 13
14
1516
1718
1920 23
22
24
25
21 26
PROBABILIDAD Alto
Alto
Bajo PROBABILIDAD Alto
Alto
Bajo
1
2
3 4
5
6
IMPACTO
67
2.3. Autenticación en la WLAN
Figura 22. Matriz de riesgos: Autenticación en la WLAN
Tabla 9. Estrategia de Implantación: Autenticación en la WLAN
Número Resumen de Oportunidad de Mejora Estrategia de Implantación
Recomendada
1 Se observó que los equipos inalámbricos no utilizan mecanismos AAA para la autenticación de usuarios, ya que el protocolo TACACS+ no proporciona el servicio de auditoría, impidiendo poder realizar auditoría de las actividades de los usuarios mientras acceden a la red.
Mediano Plazo
2 No se encontraba definido los distintos perfiles de usuarios. Mediano Plazo
4 1
7
5,6
112 3
8,910
12 13
14
1516
1718
1920 23
22
24
25
2126
PROBABILIDAD Alto
Alto
Bajo PROBABILIDAD Alto
Alto
Bajo
1
2
IMPACTO
68
2.4. Monitoreo de puntos de acceso
Figura 23. Matriz de riesgos: Monitoreo de puntos de acceso
Tabla 10. Estrategia de Implantación: Monitoreo de puntos de acceso
Número Resumen de Oportunidad de Mejora Estrategia de Implantación
Recomendada
1 Existían 25 puntos de acceso no autorizados de los cuales 20 (80%) presentaban buena señal, lo que significa que cualquier usuario puede intentar conectarse y 5 (20%) presentaban señal débil.
Corto Plazo
2 25 puntos de acceso estaban localizados en áreas no seguras. Corto Plazo 3 17 de 25 (68%) puntos de acceso no tenían habilitado el
mecanismo de seguridad WEP. Corto plazo
4 8 de 25 (32%) puntos de acceso tenían el mecanismo de seguridad WEP activado pero con el SSID utilizado por defecto. Por ejemplo: linksys, default, default_SSID.
Corto Plazo
5 No se estaba realizando periódicamente un monitoreo de puntos de acceso.
Mediano Plazo
6 La Gerencia de seguridad de Información no tenía un inventario de los puntos de acceso instalados que le permitiese llevar el control de los mismos.
Mediano Plazo
4 1
7
5,6
112 3
8,910
12 13
14
1516
1718
1920 23
22
24
25
2126
PROBABILIDAD Alto
Alto
Bajo PROBABILIDAD Alto
Alto
Bajo
1 2 3
4
5
6
IMPACTO
69
2.5. Políticas y Procedimiento de Seguridad
Figura 24. Matriz de riesgos: Políticas y Procedimiento de Seguridad
Tabla 11. Estrategia de Implantación: Políticas y Procedimiento de Seguridad
Número Resumen de Oportunidad de Mejora Estrategia de Implantación
Recomendada
1 Integrar las políticas inalámbricas a las actuales políticas de seguridad de la red cableada, e incluir lo siguiente: si el acceso a Internet es requerido, unidad responsable de la instalación y configuración de los puntos de acceso, tipo de información que se puede enviar sobre la red inalámbrica, descripción de la configuración de hardware y software de los equipos inalámbricos, lineamientos para la divulgación de pérdidas de dispositivos, frecuencia de monitoreo de puntos de acceso y la unidad responsable de realizar dicha tarea, actualización de del software de mejoras de seguridad.
Mediano Plazo
4 1
7
5,6
112 3
8,910
12 13
14
1516
1718
1920 23
22
24
25
2126
PROBABILIDAD Alto
Alto
Bajo PROBABILIDAD Alto
Alto
Bajo
1
IMPACTO
70
2.6. Resumen de la estrategia de implantación
La Figura 25 resume la estrategia de implantación de las
oportunidades de mejora identificadas, en función de aportar una visión
clara del resultado de la evaluación en conjunto con las matrices de riesgos
presentadas. Obsérvese que mayoritariamente las oportunidades de
mejoras se estiman sean solventadas a mediano plazo, objetivo a alcanzar
siempre que exista un compromiso de la Compañía por fortalecer el entorno
de control.
63%
31%
6%Mediano
Corto
largo
Figura 25. Resumen de la estrategia de implantación
71
CONCLUSIONES
Para las organizaciones invertir en seguridad de redes está muy lejos
de ser un gasto. Es una decisión que les permitirá prevenir posibles
pérdidas cuantiosas. La seguridad en las redes inalámbricas es una
necesidad dadas las características de la información que por ella se
transmite; sin embargo, las redes inalámbricas actualmente instaladas
poseen un nivel de seguridad muy débil, con lo cual se está poniendo en
peligro la confidencialidad e integridad de dicha información.
Cada vez son más las noticias de violaciones a la seguridad de las
redes inalámbricas, generalmente, vienen de los puntos de acceso no
autorizados, aquellos instalados sin el conocimiento de los administradores
de la red, o que operan con las funcionalidades de protección
deshabilitadas (que es la configuración por omisión en los dispositivos
inalámbricos). Estos “hoyos” en la seguridad, pueden ser aprovechados por
el personal no autorizado (hackers), que en caso de asociarse con el punto
de acceso, ponen en riesgo no únicamente la infraestructura inalámbrica,
sino también la red alámbrica a la cual se conecta.
Estas fallas en la seguridad de redes tienen un impacto económico
valorado en millones de dólares, no sólo por las pérdidas originadas debido
al uso ilegal de la información sino también por los efectos negativos en la
reputación de las empresas atacadas.
La seguridad de redes inalámbricas es hoy un elemento crítico para
las empresas; las redes son el vehículo de comunicación entre clientes,
empleados y proveedores. Y el que la red sea segura permitirá que la
72
información, el activo más importante de las empresas, se encuentre
segura.
Por esto, debido al valor estratégico de la red y su importancia para
los negocios y al valor de la información que circula por ella, la red se ha
convertido en objetivo de todo tipo de ataques por parte de personas
inescrupulosas o empleados resentidos. Por todas estas razones, las
empresas deben reforzar sus sistemas de seguridad de redes.
El plan de recomendaciones sugeridas a la Compañía WiNet, y
sustentada sobre una estrategia de implantación, definitivamente
dependerá de la disponibilidad y necesidades de la Gerencia de Seguridad
de Información en la aplicación de las mismas. No obstante, el esquema
planteado no busca la incorporación de componentes dentro de la red, sino
aprovechar las facilidades de seguridad de los sistemas existentes, lo cual
minimizaría los costos asociados al proyecto. El desarrollo de este tipo de
trabajos en términos generales mejora rápida y efectivamente los niveles de
calidad en la prestación de los servicios de tecnología ofrecidos por la
Compañía a los clientes internos y externos, no solamente desde el punto
de vista de mejora del rendimiento, sino también asegurando la información,
su integridad, y confiabilidad y dedicando los recursos para lo que están
realmente planificados.
73
RECOMENDACIONES
Indudablemente y dados los beneficios asociados a las redes
inalámbricas, se hace necesario iniciar la planificación de una estrategia de
seguridad en la Compañía WiNet, la cual iniciaría con la aplicación del
conjunto de recomendaciones descritas anteriormente, y cuyo seguimiento
y supervisión debería asignarse a una estructura organizacional creada
para la atención y control de la seguridad en las redes inalámbricas.
Adicionalmente, recomendamos definir un plan de revisión de las restantes
redes inalámbricas implantadas en la organización y que no formaron parte
de la revisión y que en definitiva permitiría minimizar el riesgo del acceso a
la información a través de las redes inalámbricas.
Las acciones recomendadas tendrán un efecto mínimo sobre los
usuarios finales, más sin embargo algunas políticas de seguridad definidas
podrán impactar, mientras se difunde la cultura de seguridad en la
organización, la cual traerá beneficios a la Compañía a mediano plazo.
74
GLOSARIO DE TÉRMINOS
A
AAA. Abreviatura de Autenticación, Autorización y Auditoría, sistemas en redes IP para a qué recursos informáticos tiene acceso el usuario y rastrear la actividad del usuario en la red.
Acceso. Con respecto a la privacidad, es la habilidad de un individuo para ver, modificar y refutar lo completa y precisa que pueda ser la información personal identificable reunida sobre él o ella.
AES – Estándar de Cifrado Avanzado. También conocido como “Rijndael”, algoritmo de encriptación simétrica de 128 bit.
Amenaza. Situación o evento con que puede provocar daños en un sistema.
Antivirus. Es el software diseñado específicamente para la detección y prevención de virus conocidos.
Ataque de negación de servicio (DoS, por sus siglas en inglés). Ataque a una red diseñada para deshabilitarla mediante congestionamientos inútiles de tráfico.
Ataque Activo. Ataque al sistema para insertar información falsa o corromper la ya existente.
Ataque de Fuerza Bruta. Método para romper la seguridad vía contraseña probando todas las combinaciones posibles de palabras. Un ataque de fuerza bruta teóricamente no puede ser resistido por ningún sistema, siempre y cuando se disponga del tiempo suficiente y del equipo adecuado. Así, las claves lo suficientemente largas (y mejor aún si combinan caracteres alfanuméricos) ponen una limitación física, pero no lógica, al éxito de este tipo de ataque.
Autenticación. Es el proceso de verificar que alguien o algo es quien o lo que dice ser.
75
Autorización. Con referencia a la computación, especialmente en los equipos remotos en una red, es el derecho otorgado a un individuo o proceso para utilizar el sistema y la información almacenada en éste.
B
C
Cliente inalámbrico. Todo dispositivo susceptible de integrarse en una red wireless.
Cifrado. Traducción de datos a un código secreto. El cifrado es la manera más eficaz de proteger datos, ya que para leer los archivos cifrados es necesario tener acceso a una clave secreta o contraseña que te permita descifrar la información. Los datos no cifrados se denominan texto sin formato, mientras que los cifrados se conocen como texto cifrado. Existen dos tipos principales de cifrado: cifrado asimétrico (también llamado cifrado por clave pública) y cifrado simétrico.
Clave de encriptación. Serie de números utilizados por un algoritmo de encriptación para transformar texto sin encriptar que se puede leer directamente en datos encriptados o cifrados y viceversa. Confidencialidad. Calidad de secreto, que no puede ser relevado a terceros o personas no autorizadas. Control de Accesos. Se utiliza para restringir el acceso a la red. El permiso o la denegación de acceso puede realizarse en función de la dirección IP, el nombre del dominio, nombre de usuario y password, certificados del cliente, protocolos de seguridad de redes, etc. Cortafuegos. Software y hardware de seguridad encargado de chequear y bloquear el tráfico de la red. Sistema que se coloca entre una red e Internet para asegurar que todas las comunicaciones se realicen conforme a las políticas de seguridad de la organización que lo instala.
D
76
DSSS – Espectro Amplio mediante Secuencia directa. A diferencia de la técnica de transmisión de Espectro Amplio (Spread Spectrum) FHSS, DSSS no precisa enviar la información a través de varias frecuencias sino mediante transmisiones; cada transmisor agrega bits adicionales a los paquetes de información y únicamente el receptor que conoce el algoritmo de estos bits adicionales es capaz de descifrar los datos. Es precisamente el uso de estos bits adicionales lo que permite a DSSS transmitir información a 10Mbps y una distancia máxima entre transmisores de 150 metros. Un estándar que utiliza DSSS es IEEE 802.11b.
E EAP – Protocolo de Autenticación Extensible. Al utilizar EAP, se pueden agregar varios esquemas de autenticación, entre los cuales se incluyen tarjetas de identificación, contraseñas de un solo uso, autenticación por clave pública mediante tarjetas inteligentes y otros. Junto con los métodos de autenticación EAP de alto nivel, es un componente tecnológico crítico para las conexiones seguras a través de una red privada virtual (VPN), puesto que ofrece mayor seguridad frente a ataques físicos o de diccionario y de investigación de contraseñas, que otros métodos de autenticación como CHAP. Estándar. Norma que se utiliza como punto de partida para el desarrollo de servicios, aplicaciones, protocolos, etc…
F FHSS – Espectro Amplio mediante Saltos de Frecuencia. Primer desarrollo de la técnica de transmisión del Espectro Amplio (Spread Spectrum) que, al igual que Ethernet, divide los datos en paquetes de información pero que, por motivos de seguridad, para dificultar su interceptación por terceros, los envía a través de varias frecuencias (Hopping Pattern) seleccionadas al azar y que no se superponen entre sí. Para llevar a cabo la transmisión además es necesario que tanto el aparato emisor como el receptor coordinen este “Hopping Pattern”. Firmware. Software escrito en la memoria de sólo lectura. El firmware es una combinación de software y hardware. ROMs, PROMs e EPROMs que tienen datos o programas grabados dentro son firmware.
77
G
Gateway. O compuerta es un programa o equipo que se encarga de traducir la información contenida en dos protocolos diferentes.
H
Hash. Un valor hash, también conocido como “message digest”, es un número generado a partir de una cadena de texto. El hash es sustancialmente más pequeño que el texto en sí, y es generado por una fórmula de tal forma que sea poco probable que algún otro texto produzca el mismo valor. Los hashes juegan un papel crucial en la seguridad donde se emplean para asegurar que los mensajes transmitidos no han sido manipulados.
I
IEEE – Instituto de Ingenieros Eléctricos y Electrónicos. Formada a fecha de julio de 2003 por 377.000 miembros en 150 países. Cuenta con 900 estándares activos y 700 en desarrollo.
Internet (De inter, internacional y net, en inglés, red). Todas las computadoras del mundo conectadas entre si. Como si se tratara de una enredadera o red. En su primera etapa la conexión de las computadoras es a través de la red telefónica existente. En su última etapa la conexión será por medio de fibra óptica, si es que no aparecen tecnologías que le permitan hacerlo vía inalámbrica.
IPsec - IP Security. Conjunto de protocolos desarrollado por el IETF para soportar intercambio seguros de paquetes a nivel IP donde el emisor y receptor deben compartir una llave pública. Ampliamente extendido para la implementación de Redes Privadas Virtuales (VPNs), soporta dos modos de encriptación: Transporte y Túnel. El primero sólo encripta la parte relativa a los de datos (payload) de cada paquete, pero deja la cabecera intacta. Por su parte, el modo Túnel, más seguro, encripta todo.
ISO 17999. Estándar para la gestión de la seguridad de la información.
78
J, K
L LAN. Red de Área Local Red informática que cubre que área relativamente pequeña (generalmente un edificio o grupo de edificios). La mayoría conecta puestos de trabajo (workstations) y PCs. Cada nodo (ordenador individual) tiene su propia CPU y programas pero también puede acceder a los datos y dispositivos de otros nodos así como comunicarse con éstos (e-mail)... Sus características son: Topología en anillo o lineal, Arquitectura punto a punto o cliente/servidor, Conexión por fibra óptica, cable coaxial o entrelazado, ondas de radio. Listas de Control de Acceso. Una lista secuencial con condiciones permisivas y prohibitivas. La lista define las conexiones permitidas a pasar por un dispositivo, normalmente un ruteador. Las listas de control de acceso actúan como un método crudo de dar acceso a una red. Log (Log File). Archivo creado por un servidor que contiene toda la información relativa al acceso a un sitio.
M
N
O
OFDM – Orthogonal Frequency División Multiplexing. Técnica de modulación FDM (empleada por el 802.11 wi-fi) para transmitir grandes cantidades de datos digitales a través de ondas de radio. OFDM divide la señal de radio en múltiples subseñales más pequeñas que luego serán transmitidas de manera simultánea en diferentes frecuencias al receptor. OFDM reduce la cantidad de ruido en las transmisiones de la señal.
P Payload. Efectos destructivos, nocivos o molestos que cualquier virus puede producir cuando ya ha tenido lugar su infección, además de los efectos secundarios de dicha infección. (cambios en la configuración del
79
sistema, reenvío de e-mail, ejecución del virus en el arranque del sistema o de Windows,…) Perfil de usuario. Configuraciones que definen las preferencias de personalización de un usuario en particular, tales como las configuraciones de escritorio, conexiones de red persistentes, información personal identificable, utilización de un sitio Web y otros comportamientos y datos demográficos. PEAP – Protected Extensible Authentication Protocol. Protocolo del tipo EAP desarrollado conjuntamente por Microsoft, RSA Security y Cisco para la transmisión de datos autenticados, incluso claves, sobre redes inalámbricas 802.11. Autentica clientes de red wi-fi empleando sólo certificados del lado del servidor creando un túnel SSL/TLS encriptado entre el cliente y el servidor de autenticación. El túnel luego protege el resto de intercambios de autenticación de usuario. PKI – Infraestructura de Clave Pública. Sistema de certificados digitales, Autoridades Certificadores y otras entidades de registro que verifican y autentican la validez de cada una de las partes implicadas en una transacción vía Internet. Los estándares PKI siguen evolucionando, aunque se estén implementando de forma generalizada como elemento necesario del comercio electrónico. La infraestructura de claves públicas se llama también PKI. Plataforma (Platform). El sistema operativo de la máquina, tal como Windows 95, Windows NT, UNIX, LINUX, etc.) Política de seguridad: 1. Conjunto de estatutos que describen la filosofía de una organización respecto a la protección de su información y sistemas informáticos. 2. Conjunto de reglas que ponen en práctica los requisitos de seguridad del sistema. Protección. Término que se refiere a las técnicas usadas para evitar la lectura y el daño intencional de los datos guardados en un computador. La mayoría de las medidas de protección exigen el cifrado de los datos y el uso de contraseñas. Protocolo (Protocol). El conjunto de reglas que permite intercambiar datos entre dos máquinas. Puerto. Un punto para realizar una conexión lógica por medio de TCP/IP.
80
Punto de Acceso (AP). Dispositivo inalámbrico central de una WLAN que mediante un sistema de radio frecuencia (RF) se encarga de recibir información de diferentes estaciones móviles bien para su centralización, bien para su enrutamiento.
Q
QoS (s). Calidad de Servicio.
R RADIUS – Remote Authentication Dial –In User Service. Sistema de autenticación y accounting empleado por la mayoría de proveedores de servicios de Internet (ISPs) si bien no se trata de un estándar oficial. Cuando el usuario realiza una conexión a su ISP debe introducir su nombre de usuario y contraseña, información que pasa a un servidor RADIUS que chequeará que la información es correcta y autorizará el acceso al sistema del ISP si es así. Red Privada Virtual – VPN. Red de información privada que hace uso de una red pública, como Internet, al cifrar información en un nodo y utilizar procedimientos de seguridad que proporcionan un túnel a través del cual la información puede pasar a otro nodo.
S Seguridad. Es la disciplina, técnicas y herramientas diseñadas para ayudar a proteger la confidencialidad, integridad y disponibilidad de información y sistemas Servidor (Server). Máquina conectada a otras que ejecuta una acción a solicitud de las otras (clientes). SMTP (Simple Mail Transfer Protocol o Protocolo Sencillo de transferencia de correo). El protocolo con el que se transmite un mensaje de correo electrónico de una máquina a otra. Sniffer. Programa o dispositivo capaz de leer los datos transmitidos por una red. Los programas de espionaje informático se pueden usar con fines
81
legítimos de gestión de la red y para robar información de la red. En las redes TCP/IP en las que espían la información de los paquetes, suelen recibir el nombre de programas de espionaje informático de paquetes o packet sniffers. Spoofing. Técnica basada en la creación de tramas TCP/IP utilizando una dirección IP falseada; desde su equipo, un atacante simula la identidad de otra máquina de la red (que previamente ha obtenido por diversos métodos) para conseguir acceso a recursos de un tercer sistema que ha establecido algún tipo de confianza basada en el nombre o la dirección IP del host suplantado. SSID. Identificador de red inalámbrica, similar al nombre de la red pero a nivel WI-FI.
T TCP/IP. Tomado de la expresión en inglés Transmission Control Protocol/Internet Protocol (Protocolo de control de transmisiones y protocolo de la Internet). Es el conjunto de Protocolos que definen la comunicación Internet. TKIP – Protocolo de Integridad de Clave Temporal. Cifra las llaves utilizando un algoritmo Hash y, mediante una herramienta de chequeo de integridad, asegura que las llaves no han sido manipuladas. TLS – Transport Layer Security. Protocolo del tipo EAP que garantiza la privacidad y la seguridad de datos entre aplicaciones cliente/servidor que se comunican vía Internet
U
V Virus. Programa o parte de un código que se carga secretamente en tu computadora, por lo general a través de un documento adjunto a un mensaje de correo electrónico, y se ejecuta sin tu conocimiento.
82
Vulnerabilidades: Debilidades en un sistema que pueden ser utilizadas para violar las políticas de seguridad.
W WAN - Red de Área Amplia. Tipo de red compuesta por dos o más redes de área local (LANs) conectas entre si vía teléfono (generalmente digital). Warchalking. Es la práctica de dibujar en paredes o aceras una serie de símbolos para indicar a otros la proximidad de un acceso inalámbrico. WEP - Wired Equivalent Privacy. Protocolo para la transmisión de datos “segura”. La encriptación puede ser ajustada a 128 bits, 64 bits o deshabilitada. La configuración de 128 bits da el mayor nivel de seguridad. También hay que recordar que todas las estaciones que necesiten comunicarse deben usar la misma clave para generar la llave de encriptación. Wi-Fi. Abreviatura de Wireless Fidelity. Es el nombre comercial con que se conoce a todos los dispositivos que funcionan sobre la base del estándar 802.11 de transmisión inalámbrica. En lenguaje popular: Redes wifi. WLAN – Red de Área Local Inalámbrica. También conocida como red wireless. Permite a los usuarios comunicarse con una red local o a Internet si estar físicamente conectado. Opera a través de ondas y sin necesidad de una toma de red (cable) o teléfono. WPA – Acceso Wi-Fi Protegido. Estándar Wi-Fi, aprobado en abril 2003, desarrollado para mejorar las características de seguridad del estándar WEP y permitir su implementación en productos inalámbricos que actualmente soportan WEP, pero la tecnología incluye dos mejoras con respecto a este último: emplea el protocolo de integridad de claves TKIP y la autenticación de usuarios se realiza mediante el protocolo EAP.
X, Y, Z
83
REFERENCIAS BIBLIOGRAFICAS
ACUÑA BALESTRINI, Mirian. Como se elabora el proyecto de
investigación. Sexta Edición. BL Consultores Asociados, Caracas.
Venezuela, 2002.
HERNÁNDEZ SAMPIERI, Roberto, Carlos FERNÁNDEZ COLLADO y Pilar
BAPTISTA LUCIO. Metodología de la Investigación. Segunda Edición. Mc
Graw Hill. España, 1991.
FUENTES ELECTRONICAS
Tipos de Investigación [1]http://medusa.unimet.edu.ve/faces/fpag40/criterios.htm#TIPOS%20DE%2
0INVESTIGACIÓN
[2]http://www.une.edu.ve/inproasune/esquema_tesis.htm
http://www.train4you.com/UNY/programas/metodologia_de_la_investigacion.html
Cisco Wireless LAN Security Overview http://www.cisco.com/en/US/products/hw/wireless/ps430/prod_brochure091
86a00801f7d0b.html
Seguridad en redes inalámbricas 802.11
http://www.icesi.edu.co/es/publicaciones/publicaciones/contenidos/sistemas
_telematica/3/jamdrid-seguridad_redes_inalambricas.pdf
84
http://www.pdaexpertos.com/Tutoriales/Comunicaciones/Seguridad_en_red
es_inalambricas_WiFi.shtml
http://www.dsic.upv.es/docs/bib-dig/informes/etd-06242005-121243/DSIC-II-
04-05.TechReport.pdf
http://www.eslack.org/pof/In-Seguridad_802.11b.pdf
http://wifiepcc.unex.es/modules.php?op=modload&name=Textos&file=index
&serid=39
http://csrc.nist.gov/publications/nistpubs/800-48/NIST_SP_800-48.pdf
Seguridad de las redes inalámbricas: Wardriving y Warchalking http://www.hispasec.com/unaaldia/1486
WirelessSniffer
http://wiki.personaltelco.net/index.cgi/WirelessSniffer?action=show&redirect
=
Como reforzar la seguridad Inalámbrica LAN http://www.symantec.com/region/mx/enterprisesecurity/content/framework/L
AM_3245.html
Configuración de redes inalámbricas IEEE 802.11 http://www.netscum.dk/latam/technet/productos/windows/windowsxp/wifisoh
o.mspx
http://www.cnice.mec.es/Configuración de Redes Inalámbricas
Observatorio Tecnológico Ministerio de Educación y Ciencia.htm
Políticas de seguridad para Redes Inalámbricas http://contactodiario/seccion.asp?pid=1&sid=207¬id=2151
Principios básicos de la tecnología inalámbrica
85
http://www1.euro.dell.com/content/topics/global.aspx/solutions/truemobile?c
=es&cs=esdhs1&l=es&s=dhs&~tab=2
Glosarios de Seguridad inalámbrica
http://www.virusprot.com/Glosarioc.html Estándares Inalámbricos
http://www.enterate.unam.mx/Articulos/2004/agosto/redes.htm Wireless LAN Security: Best Practice
http://www.sec-consult.com/fileadmin/Newsletters/newsletter022004.pdf
86
ANEXOS
87
ANEXOS I. Herramientas de Auditoría
88
© Yelitza Pastora Álvarez Méndez, 2006 Hecho el Depósito de Ley Deposito Legal