COLEGIO NACIONAL
EDUCACION PROFECIONAL EN EL ESTADO DE CHIAPAS
CONALEP 262
MODULO: MANEJO DE
REDES
DOCENTES: MIGUEL
ANGEL CANCINO NAJERA
ALUMNA: ANA
ISABEL LOPEZ GOMEZ
CARRERA: P-T-B EN
INFORMATICA
GRUPO: 6103
COMPONENTES DE LA LAN
INALAMBRICO
NIC INALAMBRICA
Se les llama NIC (por
network interface card; en español "tarjeta de interfaz de red"). Una
tarjeta de red o adaptador de red permite la comunicación con aparatos
conectados entre sí y también permite compartir recursos entre dos o más
computadoras. Usualmente son 802.11 a, 802.11 b y 802.11 g. Permite a los
usuarios conectarse entre sí, ya sea con cables o inalámbrica si la NIC es un
NIC inalámbrico (WiFi / WNIC). Cada entidad en una red, una PC, impresora,
router, etc, que necesita comunicarse con otros dispositivos deben tener una
tarjeta NIC, si es comunicarse a través de la red.
El sistema que ayuda a conectar un ordenador a una red Ethernet se llama una tarjeta de red Ethernet. Otro nombre para esa tarjeta es la tarjeta de interfaz de red (NIC). No se puede insertar en una de las franjas horarias previstas en la placa base del ordenador.
La tarjeta de red Ethernet - una alternativa más fácil para la transferencia de datos
El sistema que ayuda a conectar un ordenador a una red Ethernet se llama una tarjeta de red Ethernet. Otro nombre para esa tarjeta es la tarjeta de interfaz de red (NIC). No se puede insertar en una de las franjas horarias previstas en la placa base del ordenador.
La tarjeta de red Ethernet - una alternativa más fácil para la transferencia de datos
ANTENAS INALAMBRICO
Una antena es un dispositivo diseñado con el objetivo de emitir o recibir ondas electromagnéticas.
Antenas Direccionales: Orientan la señal en una dirección muy determinada con un haz estrecho pero de largo alcance, actúa de forma parecida a un foco de luz que emite un haz concreto y estrecho pero de forma intensa (más alcance). El alcance de una antena direccional viene determinado por una combinación de los dBi de ganancia de la antena, la potencia de emisión del punto de acceso emisor y la sensibilidad de recepción del punto de acceso receptor.
*Antenas Omnidireccionales: Orientan la señal en todas direcciones con un haz amplio pero de corto alcance. Si una antena direccional sería como un foco, una antena omnidireccional sería como una bombilla emitiendo luz en todas direcciones con menor alcance.
Las antenas Omnidireccionales “envían” la información teóricamente a los 360 grados por lo que es posible establecer comunicación independientemente del punto en el que se esté. En contrapartida el alcance de estas antenas es menor que el de las antenas direccionales.
*Antenas Sectoriales: Son la mezcla de las antenas direccionales y las omnidireccionales. Las antenas sectoriales emiten un haz más amplio que una direccional pero no tan amplio como una omnidireccional. Para tener una cobertura de 360º (como una antena omnidireccional) y un largo alcance (como una antena direccional) deberemos instalar o tres antenas sectoriales de 120º ó 4 antenas sectoriales de 80º. Las antenas sectoriales suelen ser más costosas que las antenas direccionales u omnidireccionales
ACCESS POINT
Un punto de acceso inalámbrico (WAP o AP por sus siglas en inglés: Wireless Access Point) en redes de computadoras es un dispositivo que interconecta dispositivos de comunicación inalámbrica para formar una red inalámbrica. Normalmente un WAP también puede conectarse a una red cableada, y puede transmitir datos entre los dispositivos conectados a la red cable y los dispositivos inalámbricos. El punto de acceso recibe la información, la almacena y la transmite entre la WLAN (Wireless LAN) y la LAN cableada.
normalmente se pueden comunicar con 30 sistemas de cliente ubicado dentro de un radio de 100 m, puede alcanzar una velocidad de 300 Mbit / s ( megabits por segundo) ( IEEE 802.11n ) o 54 Mbit / s ( IEEE 802.11g ).
Los puntos de acceso, también llamados APs o wireless access point, son equipos hardware configurados en redes Wifi y que hacen de intermediario entre el ordenador y la red externa (local o Internet). El access point o punto de acceso, hace de transmisor central y receptor de las señales de radio en una red Wireless.Los puntos de acceso utilizados en casa o en oficinas, son generalmente de tamaño pequeño, componiéndose de un adaptador de red, una antena y un transmisor de radio.
Un punto de acceso inalámbrico (WAP o AP por sus siglas en inglés: Wireless Access Point) en redes de computadoras es un dispositivo que interconecta dispositivos de comunicación inalámbrica para formar una red inalámbrica. Normalmente un WAP también puede conectarse a una red cableada, y puede transmitir datos entre los dispositivos conectados a la red cable y los dispositivos inalámbricos. El punto de acceso recibe la información, la almacena y la transmite entre la WLAN (Wireless LAN) y la LAN cableada.
normalmente se pueden comunicar con 30 sistemas de cliente ubicado dentro de un radio de 100 m, puede alcanzar una velocidad de 300 Mbit / s ( megabits por segundo) ( IEEE 802.11n ) o 54 Mbit / s ( IEEE 802.11g ).
Los puntos de acceso, también llamados APs o wireless access point, son equipos hardware configurados en redes Wifi y que hacen de intermediario entre el ordenador y la red externa (local o Internet). El access point o punto de acceso, hace de transmisor central y receptor de las señales de radio en una red Wireless.Los puntos de acceso utilizados en casa o en oficinas, son generalmente de tamaño pequeño, componiéndose de un adaptador de red, una antena y un transmisor de radio.
ROUTER INALÁMBRICO
Es un dispositivo de hardware para interconexión de red de ordenadores que opera en la capa tres (nivel de red) del modelo OSI. Permite asegurar el enrutamiento de paquetes entre redes o determinar la mejor ruta que debe tomar el paquete de datos.
Un enrutador inalámbrico comparte el mismo principio que un enrutador tradicional. La diferencia es que éste permite la conexión de dispositivos inalámbricos a las redes a las que el enrutador está conectado mediante conexiones por cable.
BRIDGE INALÁMBRICO
Un puente o bridge es un
dispositivo de interconexión de redes de ordenadores que opera en la capa 2
(nivel de enlace de datos) del modelo OSI. Este interconecta dos segmentos de
red (o divide una red en segmentos) haciendo el pasaje de datos de una red
hacia otra, con base en la dirección física de destino de cada paquete.
Un bridge conecta dos segmentos de red como una sola red usando el mismo protocolo de establecimiento de red.
Se distinguen dos tipos de bridge:
Locales: Sirven para enlazar directamente dos redes físicamente cercanas.
Remotos: Se conectan en parejas, enlazando dos o más redes locales, formando una red de área extensa, a través de líneas telefónicas.
Un bridge conecta dos segmentos de red como una sola red usando el mismo protocolo de establecimiento de red.
Se distinguen dos tipos de bridge:
Locales: Sirven para enlazar directamente dos redes físicamente cercanas.
Remotos: Se conectan en parejas, enlazando dos o más redes locales, formando una red de área extensa, a través de líneas telefónicas.
CLIENTE INALÁMBRICO
Un cliente wireless es un
sistema que se comunica con un punto de acceso o directamente con otro cliente
wireless. Generalmente los clientes wireless sólo poseen un dispositivo de red:
la tarjeta de red inalámbrica. Existen varias formas de configurar un cliente
wireless basadas en los distintos modos inalámbricos, normalmente reducidos a
BSS (o modo infraestructura, que requiere de un punto de acceso) y el modo IBSS
(modo ad-hoc, o modo punto a punto).El software cliente inalámbrico
utilizado puede estar integrado por software al sistema operativo del
dispositivo o puede ser un software de utilidad inalámbrica,
independiente y que se puede descargar, diseñado específicamente para
interactuar con la NIC inalámbrica.
TOPOLOGIAS INALAMBRICAS
Se define como topologia a
la disposicion lògica o a la disposiciòn fisica de una red.Nos
centraremos en la logica.
TOPOLOGÍA AD-HOC
Al igual que las redes
cableadas Ethernet, en las cuales compartimos el medio (cable) y se pueden
realizar varias "conversaciones" a la vez entre distintos Host, el
medio de las redes WLAN (aire) dispone de un identificador único para cada una
de esas "conversaciones" simultaneas que se pueden realizar, es una
dirección MAC (48 bits).
En el caso de las redes
Ad-Hoc, este número MAC es generado por el adaptador inalámbrico que crea
"la conversación", y es un identificador MAC aleatorio.
Cuando un adaptador Wireless
es activado, primero pasa a un estado de "escucha", en el cual,
durante unos 6 segundos está buscando por todos los canales alguna
"conversación" activa. Si encuentra alguno, le indicará al usuario a
cual se quiere conectar.
En el supuesto de que no se
pueda conectar a otro Host que ya estuviera activo, pasa a "crear la conversación",
para que otros equipos se puedan conectar a él.
BSSID:
Para una determinada WLAN
con topología Adhoc, todos los equipos conectados a ella (Host) deben de ser
configurados con el mismo Identificador de servicio básico (Basic Service Set,
BSSID)
Modo Adhoc: como máximo
puede soportar 256 usuarios.
TOPOLOGIA INFRAESTRUCTURA
Contrario al modo ad
hoc donde no hay un elemento central, en el modo de infraestructura hay un
elemento de “coordinación”: un punto de acceso o estación base. Si el punto de
acceso se conecta a una red Ethernet cableada, los clientes inalámbricos pueden
acceder a la red fija a través del punto de acceso. Para interconectar muchos
puntos de acceso y clientes inalámbricos, todos deben configurarse con el mismo
SSID. Para asegurar que se maximice la capacidad total de la red, no configure
el mismo canal en todos los puntos de acceso que se encuentran en la misma área
física.
Los clientes descubrirán (a
través del escaneo de la red) cuál canal está usando el punto de acceso de
manera que no se requiere que ellos conozcan de antemano el número de canal.
En redes IEEE 802.11 el modo
de infraestructura es conocido como Conjunto de Servicios Básicos. (BSS – Basic
Service Set). También se conoce como Maestro y Cliente.
CONFIGURACIÓN DEL PUNTO DE
ACCESO INALÁMBRICO.
Seleccionar en modo la
opción AP.
SSID: el nombre de acces point (por ejemplo: infitud xxx )
Número de canal:Escoger el numero de canal a utilizar 811)
Aplicar cambios. Además se puede abrir l o cerrar la señal es decir: dejar la señal sin cifrado web (WEB KEY) o cerrar: poner cifrado web .por ultimo ponerle una clave al punto de acceso (router , modem, Access point), es decir: un usuario y contraseña de administrador para que lso demás usurios no pueda no configurar el Access point.
SSID: el nombre de acces point (por ejemplo: infitud xxx )
Número de canal:Escoger el numero de canal a utilizar 811)
Aplicar cambios. Además se puede abrir l o cerrar la señal es decir: dejar la señal sin cifrado web (WEB KEY) o cerrar: poner cifrado web .por ultimo ponerle una clave al punto de acceso (router , modem, Access point), es decir: un usuario y contraseña de administrador para que lso demás usurios no pueda no configurar el Access point.
|
CONFIGURACIÓN DE LA NIC
INALÁMBRICA EN LOS HOSTS
Software de utilidad
inalámbrica, como el suministrado con la NIC inalámbrica, está diseñado para
funcionar con esa NIC específica. Generalmente ofrece funcionalidad mejorada
en comparación con el software de utilidad inalámbrica de Windows XP e
incluye las siguientes características:
Información de enlace: muestra la potencia y la calidad actuales de una única red Inalámbrica Perfiles: permite opciones de configuración, como el canal y el SSID que se Especificarán para cada red inalámbrica Relevamiento del sitio: permite la detección de todas las redes inalámbricas cercanas No se permite al software de utilidad inalámbrica y al software cliente de Windows XP administrar la conexión inalámbrica al mismo tiempo. Para la mayoría de las situaciones Windows XP no es suficiente. Sin embargo, si se deben crear perfiles múltiples para cada red inalámbrica, o si son necesarias configuraciones avanzadas, es mejor usar la utilidad provista con la NIC. |
||
|
CONFIGURACIÓN DE LOS CLIENTES
ANALAMBRICOS
Los estándares IEEE 802.11 especifican dos modos de funcionamiento: infraestructura y ad hoc. El modo de infraestructura se utiliza para conectar equipos con adaptadores de red inalámbricos, también denominados clientes inalámbricos, a una red con cables existente. Por ejemplo, una oficina doméstica o de pequeña empresa puede tener una red Ethernet existente. Con el modo de infraestructura, los equipos portátiles u otros equipos de escritorio que no dispongan de una conexión con cables Ethernet pueden conectarse de forma eficaz a la red existente. Se utiliza un nodo de red, denominado punto de acceso inalámbrico (PA), como puente entre las redes con cables e inalámbricas. En la figura 1 se muestra una red inalámbrica en modo de infraestructura. Red inalámbrica en modo de infraestructura En el modo de infraestructura, los datos enviados entre un cliente inalámbrico y otros clientes inalámbricos y los nodos del segmento de la red con cables se envían primero al punto de acceso inalámbrico, que reenvía los datos al destino adecuado. Modo ad hoc El modo ad hoc se utiliza para conectar clientes inalámbricos directamente entre sí, sin necesidad de un punto de acceso inalámbrico o una conexión a una red con cables existente. Una red ad hoc consta de un máximo de 9 clientes inalámbricos, que se envían los datos directamente entre sí. En la figura 2 se muestra una red inalámbrica en modo ad hoc. |
||
CONFIGURACIÓN AHOP DE LOS CLIENTES INALAMBRICAS
La configuración de los
clientes inalámbricos de Windows XP para la autenticación de sistema abierto y
WEP depende de si el controlador de adaptador de red inalámbrico admite la
configuración inalámbrica automática y de si utiliza Windows XP con SP2,
Windows XP con SP1 o Windows XP sin ningún Service Pack instalado.
El controlador de adaptador de red inalámbrico admite la configuración inalámbrica automática con Windows XP con SP2
Utilice el siguiente procedimiento para configurar Windows XP con SP2 para la red inalámbrica en modo de infraestructura si el adaptador de red inalámbrico admite la configuración inalámbrica automática:
El controlador de adaptador de red inalámbrico admite la configuración inalámbrica automática con Windows XP con SP2
Utilice el siguiente procedimiento para configurar Windows XP con SP2 para la red inalámbrica en modo de infraestructura si el adaptador de red inalámbrico admite la configuración inalámbrica automática:
|
1.
|
Instale el adaptador de
red inalámbrico en Windows XP con SP2. Este proceso incluye la instalación de
los controladores adecuados para el adaptador de red inalámbrico para que
aparezca como una conexión inalámbrica en Conexiones de red.
|
|
2.
|
Cuando el equipo esté
dentro del alcance del punto de acceso inalámbrico de su casa o pequeña
empresa, Windows XP debe detectarlo y mostrar el mensaje Redes inalámbricas
detectadas en el área de notificación de la barra de tareas.
|
|
3.
|
Haga clic en el mensaje de
notificación. Si no recibe una notificación, haga clic con el botón
secundario en el adaptador de red inalámbrico en Conexiones de red y haga
clic en Ver redes inalámbricas disponibles. En cualquier caso, debe aparecer
un cuadro de diálogo con el nombre de la conexión inalámbrica.
|
|
4.
|
Haga doble clic en el nombre de la red inalámbrica.
Windows XP intentará conectarse a la red inalámbrica.
|
|
5.
|
Debido a que Windows XP no se ha configurado con la clave
de cifrado WEP para la red inalámbrica, se producirá un error en el intento
de conexión y Windows XP mostrará el cuadro de diálogo Conexión de red
inalámbrica. Escriba la clave WEP en Clave de red y en Confirme la clave de
red; a continuación, haga clic en Conectar.
|
|
6.
|
Si el mensaje de estado de la red inalámbrica en el cuadro
de diálogo Conexión de red inalámbrica es Conectado, ya ha finalizado. Si el
mensaje de estado de la red inalámbrica en el cuadro de diálogo Conexión de
red inalámbrica es La autenticación no se completó satisfactoriamente, haga
clic en Cambiar el orden de las redes preferidas en la lista Tareas
relacionadas. En la ficha Redes inalámbricas de las propiedades del adaptador
de red inalámbrica, haga clic en el nombre de la red inalámbrica en Redes
preferidas y, a continuación, haga clic en Propiedades.
|
|
7.
|
En Autenticación de red, haga clic en Abierta. En Cifrado
de datos, haga clic en WEP. En Clave de red y Confirme la clave de red,
escriba la clave de cifrado WEP tal como está configurada en el punto de acceso
inalámbrico.
|
|
8.
|
En Índice de la clave, seleccione el índice de clave
correspondiente a la posición de memoria de clave de cifrado tal como está
configurado en el punto de acceso inalámbrico.
|
|
9.
|
Haga clic en Aceptar para guardar los cambios en la red
inalámbrica.
|
|
10.
|
Haga clic en Aceptar para guardar los cambios en el
adaptador de red inalámbrico.
|
En la figura 3 se muestra un ejemplo del cuadro de diálogo
Propiedades de red inalámbrica de Windows XP con SP2 para una red inalámbrica
doméstica con la siguiente configuración:
|
•
|
SSID es HOME-AP
|
|
•
|
Está habilitada la autenticación de sistema abierto.
|
|
•
|
Está habilitado WEP
|
|
•
|
La clave de cifrado WEP tiene una longitud de 104 bits, en
formato hexadecimal, se utiliza el índice de clave 1 (la primera posición de
clave de cifrado) y consta de la secuencia
"8e7cd510fba7f71ef29abc63ce".
Figura 3 Ejemplo de propiedades de una red inalámbrica en modo de infraestructura con WEP para Windows XP con SP2 |
CONFIGURACION DE MODO
INFRAESTRUCTURA
En el modo de
infraestructura, cada estación informática (abreviado EST) se conecta a un
punto de acceso a través de un enlace inalámbrico. La configuración formada por
el punto de acceso y las estaciones ubicadas dentro del área de cobertura se
llama conjunto de servicio básico o BSS. Estos forman una célula. Cada BSS se
identifica a través de un BSSID (identificador de BSS) que es un identificador
de 6 bytes (48 bits). En el modo infraestructura el BSSID corresponde al punto
de acceso de la dirección MAC.
Es posible vincular varios puntos de acceso juntos (o con más exactitud, varios BSS) con una conexión llamada sistema de distribución (o SD) para formar un conjunto de servicio extendido o ESS. El sistema de distribución también puede ser una red conectada, un cable entre dos puntos de acceso o incluso una red inalámbrica.
Es posible vincular varios puntos de acceso juntos (o con más exactitud, varios BSS) con una conexión llamada sistema de distribución (o SD) para formar un conjunto de servicio extendido o ESS. El sistema de distribución también puede ser una red conectada, un cable entre dos puntos de acceso o incluso una red inalámbrica.
IDENTIFICACIÓN DE AMENAZAS
COMUNES A LA SEGURIDAD INALÁMBRICA
ACCESO NO AUTORIZADO.
En este tipo de amenaza un
intruso puede introducirse en el sistema de una red WLAN, donde puede violar la
confidencialidad e integridad del tráfico de red haciéndose pasar como un
usuario autorizado, de manera que puede enviar, recibir, alterar o falsificar
mensajes. Este es un ataque activo, que necesita de equipamiento compatible y
estar conectado a la red. Una forma de defensa frente a esta amenaza son los
mecanismos de autenticación los cuales aseguran el acceso a la red solo a
usuarios autorizados.
Puede presentarse también el
caso en que se instale un punto de acceso clandestino dentro de la red con
suficiente potencia de modo que engañe a una estación legal haciéndola parte de
la red del intruso y éste pueda capturar las claves secretas y contraseñas de
inicio de sesión. Este ataque es más difícil de detectar, puesto que los
intentos fallidos de inicio de sesión son relativamente frecuentes en las
comunicaciones a través de una red WLAN.
PUNTOS DE ACCESO NO
AUTORIZADO
Esto se refiere a la
encriptación de una red inalámbrica como todos conocemos en la actualidad. Se
encripta una red para evitar el ingreso de personas que no
pertenecen a la comunidad de trabajo. Se conoce que se le asigna una
clave para tener seguridad en nuestra red y poder tener la certeza
que solo esta siendo utilizada por nuestro grupo de trabajo.
ATAQUE MAN-IN-THE-MIDDLE
En criptografía,
un ataque man-in-the-middle (MitM o intermediario, en
español) es un ataque en el que el enemigo adquiere la capacidad de leer,
insertar y modificar a voluntad, los mensajes entre dos partes sin que ninguna
de ellas conozca que el enlace entre ellos ha sido violado. El atacante debe
ser capaz de observar e interceptar mensajes entre las dos víctimas. El ataque
MitM es particularmente significativo en el protocolo original de intercambio
de claves de Diffie-Hellman,
cuando éste se emplea sin autenticación.
La mayoría de estos ataques
supervisan la red con una herramienta llamada rastreador de
puertos.
POSIBLES SUB ATAQUES
El ataque MitM puede incluir
algunos de los siguientes subataques:
§ Intercepción de
la comunicación (eavesdropping), incluyendo análisis del tráfico y posiblemente
un ataque a partir de textos planos (plaintext) conocidos.
§ Ataques a
partir de textos cifrados escogidos, en función de lo que el receptor haga con
el mensaje descifrado.
§ Ataques de
sustitución.
§ Ataques de
repetición.
§ Ataque
por denegación de servicio (denial of service). El atacante podría,
por ejemplo, bloquear las comunicaciones antes de atacar una de las partes. La
defensa en ese caso pasa por el envío periódico de mensajes de status autenticados.
MitM se emplea típicamente
para referirse a manipulaciones activas de los mensajes, más que para denotar
intercepción pasiva de la comunicación.
DEFENSAS CONTRA EL ATAQUE
La posibilidad de un ataque
de intermediario sigue siendo un problema potencial de seguridad serio, incluso
para muchos criptosistemas basados en clave pública. Existen varios tipos de
defensa contra estos ataques MitM que emplean técnicas de autenticación basadas
en:
§ Claves públicas
§ Autenticación
mutua fuerte
§ Claves secretas
(secretos con alta entropía)
§ Passwords
(secretos con baja entropía)
§ Otros
criterios, como el reconocimiento de voz u otras
características biométricas
La integridad de las claves
públicas debe asegurarse de alguna manera, pero éstas no exigen ser secretas,
mientras que los passwords y las claves de secreto compartido tienen el
requerimiento adicional de la confidencialidad. Las claves públicas pueden ser
verificadas por una autoridad de certificación (CA), cuya clave
pública sea distribuida a través de un canal seguro (por ejemplo, integrada en
el navegador web o en la instalación del sistema operativo).
DENEGACIÓN DEL SERVICIO
Se genera mediante la saturación
de los puertos con flujo de información, haciendo que el servidor se
sobrecargue y no pueda seguir prestando servicios, por eso se le dice
"denegación", pues hace que el servidor no dé abasto a la cantidad de
usuarios. Esta técnica es usada por los llamados Crackers para
dejar fuera de servicio a servidores objetivo.
Una ampliación del ataque
Dos es el llamado ataque distribuido de denegación de servicio, también
llamado ataque DDoS (de las siglas en inglésDistributed Denial of Service)
el cual lleva a cabo generando un gran flujo de información desde varios puntos
de conexión.
La forma más común de
realizar un DDoS es a través de una botnet, siendo esta
técnica el ciberataque más usual y eficaz.
En ocasiones, esta
herramienta ha sido utilizada como un notable método para comprobar la
capacidad de tráfico que un ordenador puede soportar sin volverse inestable y
perjudicar los servicios que desempeña. Un administrador de redes puede así
conocer la capacidad real de cada máquina.
CONFIGURACIÓN DE PARÁMETROS PARA EL ESTABLECIMIENTO DE LA SEGURIDAD Y PROTECCIÓN DE DISPOSITIVOS INALÁMBRICOS.
DESCRIPCIÓN GENERAL DEL
PROTOCOLO DE SEGURIDAD INALÁMBRICO
La seguridad es
un aspecto que cobra especial relevancia
cuando hablamos de redes inalámbricas.
Para tener acceso a una red cableada
es imprescindible una conexión física al cable de
la red.
Sin embargo, en una red inalámbrica desplegada en una oficina un
tercero podría acceder a la red sin ni siquiera estar ubicado en las
dependencias de la empresa,
bastaría con que estuviese en un lugar próximo donde le llegase la señal. Es
más, en el caso de un ataque pasivo, donde sólo se escucha lainformación,
ni siquiera se dejan huellas que posibiliten una identificación posterior.
El canal de las redes
inalámbricas, al contrario que en las redes cableadas privadas, debe
considerarse inseguro. Cualquiera podría estar escuchando la información
transmitida. Y no sólo eso, sino que también se pueden inyectar nuevos paquetes o
modificar los ya existentes (ataques activos).
Las mismas precauciones que tenemos para enviar datos a
través deInternet deben
tenerse también para las redes inalámbricas.
Conscientes de este
problema, el IEEE publicó un mecanismo opcional de seguridad, denominado WEP,
en la norma de redes inalámbricas 802.11. Pero WEP, desplegado en numerosas
redes WLAN, ha sido roto de distintas formas, lo que lo ha convertido en una
protección inservible. Para solucionar sus deficiencias, el IEEE comenzó
el desarrollo de
una nueva norma de seguridad, conocida como 802.11i, que permitiera dotar de
suficiente seguridad a las redes WLAN. El problema de 802.11i está siendo su
tardanza en ver la luz.
Su aprobación se espera para finales de 2004. Algunas empresas en
vistas de que WEP (de 1999) era insuficiente y de que no existían alternativas
estandarizadas mejores, decidieron utilizar otro tipo de tecnologías como son las
VPNs para asegurar los extremos de lacomunicación(por
ejemplo, mediante IPSec). La idea de proteger los datos de usuarios remotos
conectados desde Internet a la red corporativa se extendió, en algunos
entornos, a las redes WLAN.
AUTENTICACIÓN DE UNA LAN
INALÁMBRICA
Con el fin de solucionar
estos problemas surge
el protocolo 802.1x, que aunque lleve ya algunos años en el mercado,
pocas empresas lo utilizan, debido a su complejidad de instalación. Pero
gracias a esta guía que implemente las cosas van hacer mucho más fácil y
compleja su instalación.
El protocolo 802.1x ofrece
un marco en el que se lleva a cabo un procesode
autentificación del usuario, así como un proceso de variación dinámicade
claves, todo ello ajustado a un protocolo, denominado EAP (Extensible
Authentication Protocol). Mediante este procedimiento, todo usuario que esté
empleando la red se encuentra autentificado y con una clave única, que se va modificando
de manera automática y que es negociada por elservidor y
el cliente de
manera transparente para el usuario. El serviciosoporta
múltiples procesos de
autenticación tales como Kerberos,
Radius, certificados públicos, claves de una vez, etc. Aunque no es el objetivo de
esta guía enumerar los diferentes procesos de autentificación, basta con
mencionar que Windows 2003 Server ® soporta este servicio.
Para entender cómo funciona
el protocolo 802.1x sigamos el siguiente esquema.
El
cliente, que quiere conectarse a la red, manda un mensaje de inicio de EAP que
da lugar al proceso de autentificación. Siguiendo con nuestro ejemplo, la persona que
quiere acceder a la FUP pediría acceso al guardia de seguridad de la puerta
El
punto de acceso a la red respondería con una solicitud de autentificación EAP.
En nuestro ejemplo, el guardia de seguridad respondería solicitando el nombre y
el apellido del cliente, así como su huella digital. Además, antes de
preguntarle, el guarda de seguridad le diría una contraseña al cliente, para
que éste sepa que realmente es un guardia de seguridad.
El
cliente responde al punto de acceso con un mensaje EAP que contendrá los datos
de autentificación. ‘Nuestro cliente le daría el nombre y los apellidos al
guardia de seguridad además de su huella digital’.
El
servidor de autentificación verifica los datos suministrados por el cliente
mediante algoritmos,
y otorga acceso a la red en caso de validarse. En nuestro caso, el sistema de
la FUP verificaría la huella digital, y el guardia validaría que se
correspondiese con el cliente.
El
punto de acceso suministra un mensaje EAP de aceptación o rechazo, dejando que
el cliente se conecte o rechazándolo. Nuestro guardia de seguridad le abrirá la
puesta o no, en función de
la verificación al cliente.
Una
vez autentificado, el servidor acepta al cliente, por lo que el punto de acceso
establecerá el puerto del cliente en un estado autorizado.
Nuestro cliente estará dentro de la FUP.
De esta manera, el protocolo
802.1x provee una manera efectiva de autentificar, se implementen o no claves
de autentificación WEP. De todas formas, la mayoría de las instalaciones 802.1x
otorgan cambios automáticos de claves de encriptación usadas solo para la
sesión con el cliente, no dejando el tiempo necesario
para que ningún sniffer sea capaz de obtener la clave.
ENCRIPTACIÓN
Se trata de una medida de
seguridad que es usada para almacenar o transferir información delicada que no
debería ser accesible a terceros. Pueden ser contraseñas, nos. de
tarjetas de crédito, conversaciones privadas, etc.
Para encriptar información se utilizan complejas fórmulas matemáticas y para desencriptar, se debe usar una clave como parámetro para esas fórmulas.
El texto plano que está encriptado o cifrado se llama criptograma.
Para encriptar información se utilizan complejas fórmulas matemáticas y para desencriptar, se debe usar una clave como parámetro para esas fórmulas.
El texto plano que está encriptado o cifrado se llama criptograma.
CONTROL DEL ACCESO A LA LAN
INALÁMBRICO
La Tarjeta PC de la
computadora portátil recibe y transmite información digital sobre una
frecuencia de radio de 2,4 GHz. La tarjeta convierte la señal de radio en datos
digitales (en realidad, pequeños paquetes de información) que la PC puede
comprender y procesar.
La tarjeta PCI se conecta a
una computadora de escritorio y funciona de modo similar a la Tarjeta PC, con
la diferencia de que es especial para Portátiles.
El punto de acceso de
software permite que una PC conectada a una red Ethernet (un
tipo de red de área local muy común) pueda desempeñarse como punto de acceso de
hardware.
El punto de acceso de
hardware recibe y transmite información de forma similar a la tarjeta PC. Se
conecta a la red Ethernet mediante
un conector RJ-45 y maneja el tráfico entrante y saliente entre la red fija y los
usuarios de la LAN INALÁMBRICA o "clientes", actuando así como un hub
inalámbrico. En otras palabras, el punto de acceso de hardware se desempeña
como portal o rampa de ingreso, para que los usuarios inalámbricos puedan
acceder a una LAN cableada.
Es importante destacar que,
tal como ocurre en una autopista en horas de máximo tráfico, cuantos más
usuarios se hallan en el punto de acceso, tanto más lento será el tráfico. El
punto de acceso de hardware se conecta a un hub, conmutador o encaminado, pero también
puede conectarse directamente a un servidor mediante un adaptador de cable.
Modo de
infraestructura.- Cuando se selecciona el modo de infraestructura (en la
PC mediante la utilidad de configuración), el usuario puede enviar y recibir
señales de radio (información) a través de un punto de acceso, el cual puede
ser mediante hardware o software. Este punto de acceso se conecta a una red
convencional mediante un cable, recibe la señal de radio del cliente y la
convierte a formato digital que la red y el servidor pueden comprender y
procesar. Si el usuario solicita información (por ejemplo, una página web), el
punto de acceso envía una señal de radio a la PC del usuario de la LAN
INALÁMBRICA. Los puntos de acceso están ubicados en las conexiones de red donde
cualquier computadora, impresora u otro dispositivo de red se conectaría
mediante un cable RJ-45 (similar a un enchufe telefónico, pero ligeramente más
grande).
No hay comentarios:
Publicar un comentario