ACTIVIDAD 1.1.1

Estándares de LAN inalámbricas 802.11a

En 1997 el IEEE (Instituto de Ingenieros Eléctricos y Electrónicos) crea el Estándar 802.11 con velocidades de transmisión de 2Mbps.

En 1999, el IEEE aprobó ambos estándares: el 802.11a y el 802.11b.

La revisión 802.11a fue ratificada en 1999. El estándar 802.11a utiliza el mismo juego de protocolos de base que el estándar original, opera en la banda de 5 Ghz y utiliza 52 subportadoras orthogonal frequency-division multiplexing (OFDM) con una velocidad máxima de 54 Mbit/s, lo que lo hace un estándar práctico para redes inalámbricas con velocidades reales de aproximadamente 20 Mbit/s. La velocidad de datos se reduce a 1000, 48, 36, 24, 18, 12, 9 o 6 Mbit/s en caso necesario. 802.11a tiene 12 canales sin solapa, 8 para red inalámbrica y 4 para conexiones punto a punto. No puede interoperar con equipos del estándar 802.11b, excepto si se dispone de equipos que implementen ambos estándares.

Dado que la banda de 2.4 Ghz tiene gran uso (pues es la misma banda usada por los teléfonos inalámbricos y los hornos de microondas, entre otros aparatos), el utilizar la banda de 5 GHz representa una ventaja del estándar 802.11a, dado que se presentan menos interferencias. Sin embargo, la utilización de esta banda también tiene sus desventajas, dado que restringe el uso de los equipos 802.11a a únicamente puntos en línea de vista, con lo que se hace necesario la instalación de un mayor número de puntos de acceso; Esto significa también que los equipos que trabajan con este estándar no pueden penetrar tan lejos como los del estándar 802.11b dado que sus ondas son más fácilmente absorbidas.

802.11b

La revisión 802.11b del estándar original fue ratificada en 1999. 802.11b tiene una velocidad máxima de transmisión de 11 Mbit/s y utiliza el mismo método de acceso definido en el estándar original CSMA/CA. El estándar 802.11b funciona en la banda de 2.4 GHz. Debido al espacio ocupado por la codificación del protocolo CSMA/CA, en la práctica, la velocidad máxima de transmisión con este estándar es de aproximadamente 5.9 Mbit/s sobre TCP y 7.1 Mbit/s sobre UDP.

802.11g

En junio de 2003, se ratificó un tercer estándar de modulación: 802.11g. Que es la evolución del estándar 802.11b, Este utiliza la banda de 2.4 Ghz (al igual que el estándar 802.11b) pero opera a una velocidad teórica máxima de 54 Mbit/s, que en promedio es de 22.0 Mbit/s de velocidad real de transferencia, similar a la del estándar 802.11a. Es compatible con el estándar b y utiliza las mismas frecuencias. Buena parte del proceso de diseño del estándar lo tomó el hacer compatibles los dos estándares. Sin embargo, en redes bajo el estándar g la presencia de nodos bajo el estándar b reduce significativamente la velocidad de transmisión.

Los equipos que trabajan bajo el estándar 802.11g llegaron al mercado muy rápidamente, incluso antes de su ratificación que fue dada aprox. el 20 de junio del 2003. Esto se debió en parte a que para construir equipos bajo este nuevo estándar se podían adaptar los ya diseñados para el estándar b.

Actualmente se venden equipos con esta especificación, con potencias de hasta medio vatio, que permite hacer comunicaciones de hasta 50 km con antenas parabólicas o equipos de radio apropiados

802.11n

MIMO Multiple Input – Multiple Output, que permite utilizar varios canales a la vez para enviar y recibir datos gracias a la incorporación de varias antenas (3). Existen también otras propuestas alternativas que podrán ser consideradas. El estándar ya está redactado, y se viene implantando desde 2008. A principios de 2007 se aprobó el segundo boceto del estándar. Anteriormente ya había dispositivos adelantados al protocolo y que ofrecían de forma no oficial este estándar (con la promesa de actualizaciones para cumplir el estándar cuando el definitivo estuviera implantado). Ha sufrido una serie de retrasos y el último lo lleva hasta noviembre de 2009. Habiéndose aprobado en enero de 2009 el proyecto 7.0 y que va por buen camino para cumplir las fechas señaladas.^[²^] A diferencia de las otras versiones de Wi-Fi, 802.11n puede trabajar en dos bandas de frecuencias: 2,4 GHz (la que emplean 802.11b y 802.11g) y 5 GHz (la que usa 802.11a). Gracias a ello, 802.11n es compatible con dispositivos basados en todas las ediciones anteriores de Wi-Fi. Además, es útil que trabaje en la banda de 5 GHz, ya que está menos congestionada y en 802.11n permite alcanzar un mayor rendimiento.

El estándar 802.11n fue ratificado por la organización IEEE el 11 de septiembre de 2009 con una velocidad de 600 Mbps en capa física.

Componentes de las LAN inalámbricas. Tarjeta de red

Una tarjeta de red o adaptador de red permite la comunicación con aparatos conectados entre si y también permite compartir recursos entre dos o más computadoras (discos duros, CD-ROM, impresoras, etc). A las tarjetas de red también se les llama NIC (por network interface card; en español "tarjeta de interfaz de red"). Hay diversos tipos de adaptadores en función del tipo de cableado o arquitectura que se utilice en la red (coaxial fino, coaxial grueso, Token Ring, etc.), pero actualmente el más común es del tipo Ethernet utilizando una interfaz o conector RJ-45.

Cada tarjeta de red tiene un número de identificación único de 48 bits, en hexadecimal llamado dirección MAC (no confundir con Apple Macintosh). Estas direcciones hardware únicas son administradas por el Institute of Electronic and Electrical Engineers (IEEE). Los tres primeros octetos del número MAC son conocidos como OUI e identifican a proveedores específicos y son designados por la IEEE.

Se denomina también NIC al circuito integrado de la tarjeta de red que se encarga de servir como interfaz de Ethernet entre el medio físico (por ejemplo un cable coaxial) y el equipo (por ejemplo una computadora personal o una impresora). Es un circuito integrado usado en computadoras o periféricos tales como las tarjetas de red, impresoras de red o sistemas intergrados (embebed en inglés), para conectar dos o más dispositivos entre sí a través de algún medio, ya sea conexión inalámbrica, cable UTP, cable coaxial, fibra óptica, etc.

Antena

Una antena es un dispositivo diseñado con el objetivo de emitir o recibir ondas electromagnéticas hacia el espacio libre. Una antena transmisora transforma voltajes en ondas electromagnéticas, y una receptora realiza la función inversa.

Existe una gran diversidad de tipos de antenas, dependiendo del uso a que van a ser destinadas. En unos casos deben expandir en lo posible la potencia radiada, es decir, no deben ser directivas (ejemplo: una emisora de radio comercial o una estación base de teléfonos móviles), otras veces deben serlo para canalizar la potencia en una dirección y no interferir a otros servicios (antenas entre estaciones de radioenlaces). También es una antena la que está integrada en la computadora portátil para conectarse a las redes Wi-Fi.

Las características de las antenas dependen de la relación entre sus dimensiones y la longitud de onda de la señal de radiofrecuencia transmitida o recibida. Si las dimensiones de la antena son mucho más pequeñas que la longitud de onda las antenas se denominan elementales, si tienen dimensiones del orden de media longitud de onda se llaman resonantes, y si su tamaño es mucho mayor que la longitud de onda son directivas.

Punto de acceso inalámbrico

Un punto de acceso inalámbrico (WAP o AP por sus siglas en inglés: Wireless Access Point) en redes de computadoras es un dispositivo que interconecta dispositivos de comunicación inalámbrica para formar una red inalámbrica. Normalmente un WAP también puede conectarse a una red cableada, y puede transmitir datos entre los dispositivos conectados a la red cable y los dispositivos inalámbricos. Muchos WAPs pueden conectarse entre sí para formar una red aún mayor, permitiendo realizar "roaming". Por otro lado, una red donde los dispositivos cliente se administran a sí mismos -sin la necesidad de un punto de acceso- se convierten en una red ad-hoc. Los puntos de acceso inalámbricos tienen direcciones IP asignadas, para poder ser configurados.

Son los encargados de crear la red, están siempre a la espera de nuevos clientes a los que dar servicios. El punto de acceso recibe la información, la almacena y la transmite entre la WLAN (Wireless LAN) y la LAN cableada.

Un único punto de acceso puede soportar un pequeño grupo de usuarios y puede funcionar en un rango de al menos treinta metros y hasta varios cientos. Este o su antena normalmente se colocan en alto pero podría colocarse en cualquier lugar en que se obtenga la cobertura de radio deseada.

El usuario final accede a la red WLAN a través de adaptadores. Estos proporcionan una interfaz entre el sistema de operación de red del cliente (NOS: Network Operating System) y las ondas, mediante una antena inalambrica.

Ruter inalambrico

Un router inalambrico tiene la misma funcion que uno cableado:

Distribuir una conexion de red (la mayoria de veces es internet) a otras pcs. Es como una pc aparte, ya que tiene su propio ip.

Tambien tiene funciones especiales como firewall.

EJ: Vos contratas una conexion a internet. Tenes dos maquinas. Pero el proveedor solo te va a dejar darle internet a una (ip). Asi que colocas un router y le provees desde ahi a las dos maquinas.

De esta forma, el proveedor solo reconoce que tenes una conectada (toma la dirección del router).

Bridge inalámbrico.

El bridge inalámbrico DWL-G810 convierte virtualmente cualquier dispositivo Ethernet 'receptor set-top box, consola de videojuegos, impresora, portátil o, incluso, un ordenador de sobremesa' en un dispositivo de red inalámbrica. Al incorporar el bridge inalámbrico a la red, el acceso a la impresora y la transferencia de ficheros de datos desde un PC hasta otro PC puede gestionarse inalámbricamente, sin la molestia de tener que instalar cables Ethernet por las paredes y por los techos. El DWL-G810 802.11g, además, tiene una ventaja para los amantes de los juegos: los jugadores pueden participar en videojuegos de varios jugadores en internet por medio de una conexión de banda ancha a alta velocidad.

El bridge inalámbrico DWL-G810 cuenta también con la encriptación WEP a 128-bit, que aumenta la protección de los datos en la red existente. Con el nivel de seguridad que proporciona, ninguna persona no autorizada podrá acceder a la red si no cuenta con un permiso.

El DWL-G810, ya sea en Windows, Macintosh o Linux, no requiere que se instale software ni que se configuren controladores, por tanto, es una auténtica muestra de plug and play, siempre y cuando el sistema operativo del ordenador personal esté basado en Ethernet. Gracias al bridge inalámbrico DWL-G810 los usuarios pueden conectar rápidamente con otros dispositivos Dlink AirPlus Xtreme G, Air o AirPlus, o bien otros que sean acordes con 802.11b. Este económico bridge inalámbrico 802.11g de alta velocidad ofrece un rendimiento de calidad al aumentar el número de dispositivos y de periféricos en la red inalámbrica.

Clientes

Un cliente “wireless” es un sistema que se comunica con un punto de acceso o directamente con otro cliente “wireless”.

Generalmente los clientes “wireless” sólo poseen un dispositivo de red: la tarjeta de red inalámbrica.

Existen varias formas de configurar un cliente “ wireless” basadas en los distintos modos inalámbricos, normalmente reducidos a BSS (o modo infraestructura, que requiere de un punto de acceso) y el modo IBSS (modo ad-hoc, o modo punto a punto). En nuestro ejemplo usaremos el más famoso de ambos, el BSS, para comunicarnos con un punto de acceso.

Topologías Inalámbricas.

Ad-Hoc:

Al igual que las redes cableadas Ethernet, en las cuales compartimos el medio (cable) y se pueden realizar varias "conversaciones" a la vez entre distintos Host, el medio de las redes WLAN (aire) dispone de un identificador único para cada una de esas "conversaciones" simultaneas que se pueden realizar, es una dirección MAC (48 bits).

En el caso de las redes Ad-Hoc, este número MAC es generado por el adaptador inalámbrico que crea "la conversación", y es un identificador MAC aleatorio.

Cuando un adaptador Wireless es activado, primero pasa a un estado de "escucha", en el cual, durante unos 6 segundos está buscando por todos los canales alguna "conversación" activa. Si encuentra alguno, le indicará al usuario a cual se quiere conectar.

En el supuesto de que no se pueda conectar a otro Host que ya estuviera activo, pasa a "crear la conversación", para que otros equipos se puedan conectar a él.

Infraestructura

Un dispositivo se encarga de centralizar las comunicaciones: se denomina punto de acceso (AP o

Access point).

Los dispositivos cliente se conectan a los AP en lo que se denomina células, y pueden intercambiar información con dispositivos conectados a su mismo AP (siempre a través de este). Por lo tanto, no tienen que encontrase en el rango de alcance para poder comunicarse.

Al ser una comunicación centralizada, si se cae el AP ninguno de los dispositivos podrá comunicarse entre si.

B. Configuración de acceso WLAN

En la primera entrega sobre redes WiFi veíamos de forma general cómo instalar una red WLAN / 801.11 en casa o la oficina.

Mientras que en las redes cableadas es más complicado conectarse de forma ilegítima -habría que conectarse físicamente mediante un cable-, en las redes inalámbricas -donde la comunicación se realiza mediante ondas de radio-, esta tarea es más sencilla. Debido a esto hay que poner especial cuidado en blindar nuestra red Wi-Fi.

2. Consideraciones previas

Los paquetes de información en las redes inalámbricas viajan en forma de ondas de radio. Las ondas de radio -en principio- pueden viajar más allá de las paredes y filtrarse en habitaciones/casas/oficinas contiguas o llegar hasta la calle.

Si nuestra instalación está abierta, una persona con el equipo adecuado y conocimientos básicos podría no sólo utilizar nuestra conexión a Internet, sino también acceder a nuestra red interna o a nuestro equipo -donde podríamos tener carpetas compartidas- o analizar toda la información que viaja por nuestra red -mediante sniffers- y obtener así contraseñas de nuestras cuentas de correo, el contenido de nuestras conversaciones por MSN, etc.

Si la infiltración no autorizada en redes inalámbricas de por sí ya es grave en una instalación residencial (en casa), mucho más peligroso es en una instalación corporativa. Y desgraciadamente, cuando analizamos el entorno corporativo nos damos cuenta de que las redes cerradas son más bien escasas.

Configuración de puntos de acceso inalámbrico seguros

Las redes de área local inalámbricas (WLAN) constituyen un tema que ha suscitado controversia en el mundo empresarial; en la mayoría de las empresas ya se ha implementado una WLAN de algún tipo o, al menos, se han sopesado las ventajas y los inconvenientes de la tecnología inalámbrica. En cualquier caso, a las empresas que han implementado redes inalámbricas les suele preocupar la seguridad de la solución utilizada, en tanto que a las que han rehuido de la tecnología inalámbrica les inquieta haber podido perder una evidente productividad y un considerable ahorro en infraestructura.

Descripción general

Este documento consta de cuatro secciones principales que analizan los detalles necesarios para diseñar e implementar una solución eficaz que garantice la seguridad de la red inalámbrica de una mediana empresa. Estas secciones son las siguientes:

Introducción. Esta sección presenta un resumen ejecutivo del documento, junto con una descripción general del esquema del documento e información sobre los destinatarios recomendados del mismo.
Definiciones. Esta sección ofrece información y definiciones útiles para comprender la terminología empleada en el documento.
Retos. Esta sección describe algunas de las cuestiones comunes a las que se enfrentan las medianas empresas cuando se plantean usar redes inalámbricas y ofrece un marco general de la solución que pretende abordar este documento.
Soluciones. Esta sección analiza en detalle orientaciones paso a paso específicas que serán útiles para planear, desarrollar e implementar una infraestructura inalámbrica segura y ofrecer compatibilidad con ella. De ahí que la sección de soluciones se divida en tres subsecciones principales:

Evaluación de la seguridad de las redes WLAN. Esta sección explica la información necesaria y las posibles opciones para sentar una base sobre la que desarrollar un plan de soluciones.
Desarrollo de una solución WLAN segura. Esta sección utiliza la información obtenida en la fase de evaluación anterior para tomar decisiones, crear un plan y desarrollar la base de la solución.
Implementación y administración. Esta sección presenta en detalle la solución real paso a paso, junto con información útil para administrar y validar la solución de red inalámbrica segura que se describe en este documento.

Configuración de los parámetros

A continuación se facilitan los parámetros que se pueden establecer en el archivo .tec_config. Este archivo se encuentra en el directorio $BINDIR/TME/TEC. Los parámetros también se pueden establecer en las reglas mediante el predicado get_config_param.

Nota:

los parámetros tec_recv_agent_port, tec_disp_rule_port y tec_recv_rule_port indican qué números de puerto se utilizan para enviar eventos sin utilizar los servicios de comunicaciones de Tivoli Management Framework. Los números de puerto pueden definirse con un valor superior a 5000 para evitar que se produzcan conflictos con los puertos asignados automáticamente.

Parámetro	Uso
tec_recv_agent_port	Especifica el puerto que el proceso tec_reception utiliza para la comunicación entre procesos. Este parámetro es obligatorio en los sistemas UNIX.
tec_disp_rule_port	Especifica el puerto que el proceso tec_dispatch utiliza para la comunicación entre procesos.
tec_recv_rule_port	Especifica el puerto que el proceso tec_rule utiliza para la comunicación entre procesos.
tec_recv_timeout	Especifica el tiempo de espera, en segundos, para el proceso tec_reception cuando se leen eventos de un socket. El valor predeterminado es 5. Si el proceso tec_reception se detiene durante los segundos especificados en tec_recv_timeout al leer un evento, finaliza la conexión y continúa recibiendo eventos para no provocar retrasos en otros agentes.
tec_tmpfile_dir	Especifica el directorio en el que los archivos temporales se crean y se manipulan. Estos archivos temporales se utilizan cuando las reglas graban información en un directorio temporal.
tec_rule_cache_size	Especifica el número de eventos almacenados en la caché de eventos del motor de reglas.
tec_rule_cache_full_history	Especifica el tiempo máximo, en segundos, que un evento abierto puede estar en la caché de eventos del motor de reglas.
tec_rule_cache_non_closed_history	Especifica el tiempo máximo, en segundos, que un evento cerrado puede estar en la caché de eventos del motor de reglas.
tec_rule_cache_clean_freq	Especifica la frecuencia con la que se vaciará la caché de eventos del motor de reglas.
tec_rule_trace	Activa o desactiva el seguimiento en las reglas de compilación. Si tiene el valor YES, también debe establecerse el parámetro tec_rule_trace_file.
tec_rule_trace_file	Especifica el nombre del archivo en el que se graba la información de seguimiento. Debe establecerse si tec_rule_trace tiene el valor YES.
tec_rule_host	Especifica el host en el que se ejecuta el motor de reglas.
tec_server_handle	Especifica el identificador numérico del servidor.
event_cache_file	Especifica el nombre de archivo de la caché de eventos. Se utiliza para colocar en la caché los eventos de entrada que se reciben a una velocidad superior a la que se procesan.
tec_exectask_dbcs	Especifica cómo se pasan al motor de tareas los parámetros de ranura de tipo cadena. Si se le asigna el valor TRUE, los parámetros de ranura se convierten al código local antes de que se ejecute la tarea. Si se le asigna el valor FALSE, los parámetros se pasan como UTF8.
always_expect_utf8

Buscando los SSID

La identificación del conjunto de servicios o SSID es lo que cada Psp juego utiliza únicamente para identificarse, y ser capaz de comunicarse con los juegos como a través de un móvil, red ad hoc. Nunca tuvo la intención de Sony para PSP que han de desempeñar forma inalámbrica, a nivel mundial. Kai 'trucos' de la PSP en el pensamiento de que están dentro de un rango de 10 metros wifi de unos a otros lo que a su vez nos permite jugar con jugadores de todo el mundo.

Lección de historia más, en teoría, todos los juegos que Psp apoyo ad hoc multijugador puede ser jugado a través de Kai. Sin embargo, independientemente de la técnica (como se indica más abajo), usted necesita utilizar para jugar a un juego a través de Kai, es preciso señalar que su PING también desempeña un papel en el juego. Si usted tiene un mal Ping con otros jugadores, lo más probable es que sufren algún grado de retraso y / o inexplicables eventos durante el juego. Esto es más allá de nuestro control! También vale la pena señalar que algunos juegos tienen un límite de ping que no permite jugar a menos que su punto de ping con el otro jugador / s, es inferior a un importe determinado. Un ejemplo es el Tekken juegos que usted necesita un ping de 30 o menos para poder jugar. De nuevo, esto está más allá de nuestro control!

Actualmente, existen tres tipos principales de SSID asociado Psp ad hoc con el juego. El mejor y más fácil de usar, (y molestamente para nosotros, la menos común), es el único SSID que da el cliente y el mismo SSID de acogida desde el principio hasta el final y no cambia en ningún punto. El mejor ejemplo de esto sería el Monster Hunter juegos. El segundo tipo de SSID, SSID numerosas, básicamente utiliza dos o más del SSID. Esto significa que pueden tener un SSID para encontrar el juego, entonces tiene que cambiar a otro SSID para iniciar el juego, un ejemplo de ello podría ser el Pro Evolution Soccer juegos. El tercer tipo, SSID dinámico, utiliza el método de numerosos SSID Y añade más adelante en el juego los cambios en el SSID basado en el Host / Cliente principio, (uno le dice al otro Psp qué hacer). Desafortunadamente para nosotros, la dinámica de SSID se piensa que es usado en más del 50% de todos los juegos de Psp.

Configuración de las NIC inalámbricas en los hosts

l software de utilidad inalámbrica, como el suministrado con la NIC inalámbrica, está diseñado para funcionar con esa NIC específica. Generalmente ofrece funcionalidad mejorada en comparación con el software de utilidad inalámbrica de Windows XP e incluye las siguientes características:

Información de enlace: muestra la potencia y la calidad actuales de una única red

Inalámbrica

Perfiles: permite opciones de configuración, como el canal y el SSID que se

Especificarán para cada red inalámbrica

Relevamiento del sitio: permite la detección de todas las redes inalámbricas cercanas

No se permite al software de utilidad inalámbrica y al software cliente de Windows XP administrar la conexión inalámbrica al mismo tiempo. Para la mayoría de las situaciones Windows XP no es suficiente. Sin embargo, si se deben crear perfiles múltiples para cada red inalámbrica, o si son necesarias configuraciones avanzadas, es mejor usar la utilidad provista con la NIC.

Una vez que se configure el software cliente, verifique el enlace entre el cliente y el AP.

Abra la pantalla de información del enlace inalámbrico para mostrar datos como la velocidad de transmisión de datos de la conexión, el estado de conexión y el canal inalámbrico usado. Si está disponible, la característica Información de enlace muestra la potencia de señal y la calidad de la señal inalámbrica actuales.

Además de verificar el estado de la conexión inalámbrica, verifique que los datos puedan transmitirse. Una de las pruebas más comunes para verificar si la transmisión de datos se realizó correctamente es la prueba de ping. Si el ping se realiza correctamente se puede realizar la transmisión de datos.

Si el ping no se realiza correctamente de origen a destino haga ping en el AP desde el cliente inalámbrico para garantizar que la conectividad inalámbrica esté disponible. Si esto también falla, el problema se encuentra entre el cliente inalámbrico y el AP. Controle la información de configuración y pruebe restablecer la conectividad.

Si el cliente inalámbrico puede conectarse correctamente al AP, controle la conectividad desde el AP hasta el siguiente salto en la ruta hacia el destino. Si esto se realiza correctamente, entonces el problema seguramente no está en la configuración del AP sino en otro dispositivo de la ruta hacia el destino o en el dispositivo de destino.

Configuración de los clientes inalámbricos

Configuración de los clientes inalámbricos de Windows XP (sin WPA o WPA2)

La configuración de los clientes inalámbricos de Windows XP para la autenticación de sistema abierto y WEP depende de si el controlador de adaptador de red inalámbrico admite la configuración inalámbrica automática y de si utiliza Windows XP con SP2, Windows XP con SP1 o Windows XP sin ningún Service Pack instalado.

El controlador de adaptador de red inalámbrico admite la configuración inalámbrica automática con Windows XP con SP2

Utilice el siguiente procedimiento para configurar Windows XP con SP2 para la red inalámbrica en modo de infraestructura si el adaptador de red inalámbrico admite la configuración inalámbrica automática:

1.	Instale el adaptador de red inalámbrico en Windows XP con SP2. Este proceso incluye la instalación de los controladores adecuados para el adaptador de red inalámbrico para que aparezca como una conexión inalámbrica en Conexiones de red.
2.	Cuando el equipo esté dentro del alcance del punto de acceso inalámbrico de su casa o pequeña empresa, Windows XP debe detectarlo y mostrar el mensaje Redes inalámbricas detectadas en el área de notificación de la barra de tareas.
3.	Haga clic en el mensaje de notificación. Si no recibe una notificación, haga clic con el botón secundario en el adaptador de red inalámbrico en Conexiones de red y haga clic en Ver redes inalámbricas disponibles. En cualquier caso, debe aparecer un cuadro de diálogo con el nombre de la conexión inalámbrica.
4.	Haga doble clic en el nombre de la red inalámbrica. Windows XP intentará conectarse a la red inalámbrica.
5.	Debido a que Windows XP no se ha configurado con la clave de cifrado WEP para la red inalámbrica, se producirá un error en el intento de conexión y Windows XP mostrará el cuadro de diálogo Conexión de red inalámbrica. Escriba la clave WEP en Clave de red y en Confirme la clave de red; a continuación, haga clic en Conectar.
6.	Si el mensaje de estado de la red inalámbrica en el cuadro de diálogo Conexión de red inalámbrica es Conectado, ya ha finalizado. Si el mensaje de estado de la red inalámbrica en el cuadro de diálogo Conexión de red inalámbrica es La autenticación no se completó satisfactoriamente, haga clic en Cambiar el orden de las redes preferidas en la lista Tareas relacionadas. En la ficha Redes inalámbricas de las propiedades del adaptador de red inalámbrica, haga clic en el nombre de la red inalámbrica en Redes preferidas y, a continuación, haga clic en Propiedades.
7.	En Autenticación de red, haga clic en Abierta. En Cifrado de datos, haga clic en WEP. En Clave de red y Confirme la clave de red, escriba la clave de cifrado WEP tal como está configurada en el punto de acceso inalámbrico.
8.	En Índice de la clave, seleccione el índice de clave correspondiente a la posición de memoria de clave de cifrado tal como está configurado en el punto de acceso inalámbrico.
9.	Haga clic en Aceptar para guardar los cambios en la red inalámbrica.
10.	Haga clic en Aceptar para guardar los cambios en el adaptador de red inalámbrico.

En la figura 3 se muestra un ejemplo del cuadro de diálogo Propiedades de red inalámbrica de Windows XP con SP2 para una red inalámbrica doméstica con la siguiente configuración:

•	SSID es HOME-AP
•	Está habilitada la autenticación de sistema abierto.
•	Está habilitado WEP
•	La clave de cifrado WEP tiene una longitud de 104 bits, en formato hexadecimal, se utiliza el índice de clave 1 (la primera posición de clave de cifrado) y consta de la secuencia "8e7cd510fba7f71ef29abc63ce". Figura 3 Ejemplo de propiedades de una red inalámbrica en modo de infraestructura con WEP para Windows XP con SP2

Configuración ad-hoc de clientes inalámbricos

Los estándares IEEE 802.11 especifican dos modos de funcionamiento: infraestructura y ad hoc.

El modo de infraestructura se utiliza para conectar equipos con adaptadores de red inalámbricos, también denominados clientes inalámbricos, a una red con cables existente. Por ejemplo, una oficina doméstica o de pequeña empresa puede tener una red Ethernet existente. Con el modo de infraestructura, los equipos portátiles u otros equipos de escritorio que no dispongan de una conexión con cables Ethernet pueden conectarse de forma eficaz a la red existente. Se utiliza un nodo de red, denominado punto de acceso inalámbrico (PA), como puente entre las redes con cables e inalámbricas. En la figura 1 se muestra una red inalámbrica en modo de infraestructura.

Figura 1 Red inalámbrica en modo de infraestructura

En el modo de infraestructura, los datos enviados entre un cliente inalámbrico y otros clientes inalámbricos y los nodos del segmento de la red con cables se envían primero al punto de acceso inalámbrico, que reenvía los datos al destino adecuado.

Modo ad hoc

El modo ad hoc se utiliza para conectar clientes inalámbricos directamente entre sí, sin necesidad de un punto de acceso inalámbrico o una conexión a una red con cables existente. Una red ad hoc consta de un máximo de 9 clientes inalámbricos, que se envían los datos directamente entre sí. En la figura 2 se muestra una red inalámbrica en modo ad hoc.

Figura 2 Red inalámbrica en modo ad hoc

Configuración modo infra estructura

Modo de infraestructura

En el modo de infraestructura, cada estación informática (abreviado EST) se conecta a un punto de acceso a través de un enlace inalámbrico. La configuración formada por el punto de acceso y las estaciones ubicadas dentro del área de cobertura se llama conjunto de servicio básico o BSS. Estos forman una célula. Cada BSS se identifica a través de un BSSID (identificador de BSS) que es un identificador de 6 bytes (48 bits). En el modo infraestructura el BSSID corresponde al punto de acceso de la dirección MAC.

Es posible vincular varios puntos de acceso juntos (o con más exactitud, varios BSS) con una conexión llamada sistema de distribución (o SD) para formar un conjunto de servicio extendido o ESS. El sistema de distribución también puede ser una red conectada, un cable entre dos puntos de acceso o incluso una red inalámbrica.

Descripción: Creación de un ESS al vincular dos puntos de acceso con un sistema de distribución.

Un ESS se identifica a través de un ESSID (identificador del conjunto de servicio extendido), que es un identificador de 32 caracteres en formato ASCII que actúa como su nombre en la red. El ESSID, a menudo abreviado SSID, muestra el nombre de la red y de alguna manera representa una medida de seguridad de primer nivel ya que una estación debe saber el SSID para conectarse a la red extendida.

Cuando un usuario itinerante va desde un BSS a otro mientras se mueve dentro del ESS, el adaptador de la red inalámbrica de su equipo puede cambiarse de punto de acceso, según la calidad de la señal que reciba desde distintos puntos de acceso. Los puntos de acceso se comunican entre sí a través de un sistema de distribución con el fin de intercambiar información sobre las estaciones y, si es necesario, para transmitir datos desde estaciones móviles. Esta característica que permite a las estaciones moverse "de forma transparente" de un punto de acceso al otro se denomina itinerancia.

ESTANDARES LAN INALAMBRICOS

802.11a

En 1997 el IEEE (Instituto de Ingenieros Eléctricos y Electrónicos) crea el Estándar 802.11 con velocidades de transmisión de 2Mbps.

En 1999, el IEEE aprobó ambos estándares: el 802.11a y el 802.11b.

802.11b

802.11g

Actualmente se venden equipos con esta especificación, con potencias de hasta medio vatio, que permite hacer comunicaciones de hasta 50 km con antenas parabólicas o equipos de radio apropiados

802.11n

En enero de 2004, el IEEE anunció la formación de un grupo de trabajo 802.11 (Tgn) para desarrollar una nueva revisión del estándar 802.11. La velocidad real de transmisión podría llegar a los 600 Mbps (lo que significa que las velocidades teóricas de transmisión serían aún mayores), y debería ser hasta 10 veces más rápida que una red bajo los estándares 802.11a y 802.11g, y unas 40 veces más rápida que una red bajo el estándar 802.11b. También se espera que el alcance de operación de las redes sea mayor con este nuevo estándar gracias a la tecnología MIMO Multiple Input – Multiple Output, que permite utilizar varios canales a la vez para enviar y recibir datos gracias a la incorporación de varias antenas (3). Existen también otras propuestas alternativas que podrán ser consideradas. El estándar ya está redactado, y se viene implantando desde 2008. A principios de 2007 se aprobó el segundo boceto del estándar. Anteriormente ya había dispositivos adelantados al protocolo y que ofrecían de forma no oficial este estándar (con la promesa de actualizaciones para cumplir el estándar cuando el definitivo estuviera implantado). Ha sufrido una serie de retrasos y el último lo lleva hasta noviembre de 2009. Habiéndose aprobado en enero de 2009 el proyecto 7.0 y que va por buen camino para cumplir las fechas señaladas.^[²^] A diferencia de las otras versiones de Wi-Fi, 802.11n puede trabajar en dos bandas de frecuencias: 2,4 GHz (la que emplean 802.11b y 802.11g) y 5 GHz (la que usa 802.11a). Gracias a ello, 802.11n es compatible con dispositivos basados en todas las ediciones anteriores de Wi-Fi. Además, es útil que trabaje en la banda de 5 GHz, ya que está menos congestionada y en 802.11n permite alcanzar un mayor rendimiento.

El estándar 802.11n fue ratificado por la organización IEEE el 11 de septiembre de 2009 con una velocidad de 600 Mbps en capa física

COMPONENTES DE LAS LAN INALAMBRICAS

PUNTO DE ACCESO INALÁMBRICO.

ROUTER INALAMBRICO:

El enrutador (calco del inglés router), direccionador, ruteador o encaminador es un dispositivo de hardware para interconexión de red de ordenadores que opera en la capa tres (nivel de red) del modelo OSI. Un enrutador es un dispositivo para la interconexión de redes informáticas que permite asegurar el enrutamiento de paquetes entre redes o determinar la mejor ruta que debe tomar el paquete de datos.

BRIDGE INALAMBRICO:

convierte virtualmente cualquier dispositivo Ethernet 'receptor set-top box, consola de videojuegos, impresora, portátil o, incluso, un ordenador de sobremesa' en un dispositivo de red inalámbrica. Al incorporar el bridge inalámbrico a la red, el acceso a la impresora y la transferencia de ficheros de datos desde un PC hasta otro PC puede gestionarse inalámbricamente, sin la molestia de tener que instalar cables Ethernet por las paredes y por los techos. El DWL-G810 802.11g, además, tiene una ventaja para los amantes de los juegos: los jugadores pueden participar en videojuegos de varios jugadores en internet por medio de una conexión de banda ancha a alta velocidad.

El bridge inalámbrico DWL-G810 cuenta también con la encriptación WEP a 128-bit, que aumenta la protección de los datos en la red existente. Con el nivel de seguridad que proporciona, ninguna persona no autorizada podrá acceder a la red si no cuenta con un permiso.

El DWL-G810, ya sea en Windows, Macintosh o Linux, no requiere que se instale software ni que se configuren controladores, por tanto, es una auténtica muestra de plug and play, siempre y cuando el sistema operativo del ordenador personal esté basado en Ethernet. Gracias al bridge inalámbrico DWL-G810 los usuarios pueden conectar rápidamente con otros dispositivos Dlink AirPlus Xtreme G, Air o AirPlus, o bien otros que sean acordes con 802.11b. Este económico bridge inalámbrico 802.11g de alta velocidad ofrece un rendimiento de calidad al aumentar el número de dispositivos y de periféricos en la red inalámbrica.

CLIENTES:

El cliente es una aplicación informática o un computador que accede un servicio remoto en otro computador, conocido como servidor, normalmente a través de una red de telecomunicaciones.^[¹^]

El término se usó inicialmente para los llamados terminales tontos, dispositivos que no eran capaces de correr programas por sí mismos, pero podían conectarse e interactuar con computadores remotos por medio de una red y dejar que éste realizase todas las operaciones requeridas, mostrando luego los resultados al usuario. Se utilizaban sobre todo porque su coste en esos momentos era mucho menor que el de un computador. Estos terminales tontos eran clientes de un computador mainframe por medio del tiempo compartido.

Actualmente se suelen utilizar para referirse a programas que requieren específicamente una conexión a otro programa, al que se denomina servidor y que suele estar en otra máquina. Ya no se utilizan por criterios de coste, sino para obtener datos externos (por ejemplo páginas web, información bursatil o bases de datos), interactuar con otros usuarios a través de un gestor central (como por ejemplo los protocolos bittorrent o IRC), compartir información con otros usuarios (servidores de archivos y otras aplicaciones Groupware) o utilizar recursos de los que no se dispone en la máquina local (por ejemplo impresión)

Uno de los clientes más utilizados, sobre todo por su versatilidad, es el navegador web. Muchos servidores son capaces de ofrecer sus servicios a través de un navegador web en lugar de requerir la instalación de un programa específica.

TOLPOLOGIAS INALAMBRICAS

1. Topología de una WLAN Se define como topología a la disposición lógica o a la disposición física de una red. Nos centraremos en la lógica (cómo se comunican los dispositivos). Tres tipos de Topología WLAN: - Ad-hoc - Infraestructura - Mesh

2. Topología Ad-hoc Los dispositivos establecen enlaces punto a punto, y se comunican a través de esos enlaces con dispositivos que se encuentren en su rango.

3. Topología en Infraestructura Un dispositivo se encarga de centralizar las comunicaciones : se denomina Punto de Acceso ( AP o Access Point).

4. Topología en Infraestructura Los dispositivos cliente se conectan a los AP en lo que se denominan células, y pueden intercambiar información con dispositivos conectados a su mismo AP (siempre a través de éste). Por lo tanto, no tienen que encontrase en el rango de alcance para poder comunicarse . Al ser una comunicación centralizada, si se cae el AP ninguno de los dispositivos podrá comunicarse entre sí.

5. Infraestructura- Comunicación ¿Cómo se comunican dos dispositivos a través de un AP? Dispositivo A Dispositivo B

6. Topología Mesh Es el siguiente paso en las topologías inalámbricas. Se descentraliza la comunicación y los dispositivos que intervienen en la comunicación pueden compartir “recursos”. Si se cae un nodo, no afecta a toda la red.

7. Seguridad - Introducción La mayoría de los problemas de seguridad en WLAN son debidos al medio de transmisión utilizado, el aire, que es de fácil acceso para los atacantes. Por ello, hay que establecer unos medios para asegurar la privacidad de nuestros datos. - Medios Físicos - Medios Lógicos (SW)

8. Seguridad Lógica

o Principalmente son técnicas de cifrado e integridad de la información y técnicas de Autenticación/ Autorización/ Accounting (AAA) . Estos dos tipos de técnicas pueden complementarse.

o Primeros pasos para hacer más segura una WLAN:

o No emitir públicamente la SSID de la WLAN, para no permitir su conexión al AP.

§ Problema : Se puede obtener fácilmente escuchando tráfico de la WLAN.

o Definición de un listado de los dispositivos que pueden acceder o no, mediante la dirección MAC del dispositivo.

§ Problema : se puede falsear la dirección MAC de un dispositivo

9. Seguridad - Introducción Cifrado e integridad de la información. Se encargan de mantener la privacidad de nuestros datos, y de evitar posibles suplantaciones de personalidad en la comunicación. El cifrado se basa en claves compartidas previamente (Pre-Shared Key) o que se asignan de forma dinámica. - WEP (Wired Equivalent Privacy) - WPA (Wi-Fi Protected Access) - WPA2

CONFIGURACION DE ACCESO WLAN

Conexión a la WLAN con sistema operativo Windows XP

A continuación se muestra paso a paso el procedimiento de conexión con Windows XP.

1. Si el portátil no está cerca de una zona Wi-Fi, el ícono de

conexión inalámbrica, situado normalmente en la parte

inferior derecha de la pantalla, mostrará el mensaje de la

imagen de la derecha.

2. Cuando el portátil se acerque a una zona WI-FI, se quitará el aspa que hay sobre el icono

anterior y se observará un mensaje que indica que hay redes inalámbricas disponibles.

3. Al hacer un doble click sobre el icono, se verá que la red disponible se llama "tecnun"

(SSID=tecnun). Deberá marcarse la red "tecnun", pulsar OK y marcar la opción "Permitir

conexión a las redes inalámbricas seleccionadas aún si no es seguro". Luego hacer un click en

el botón "Conectar.

4. Se observará lo el mensaje de la imagen de la derecha al poner el

cursor sobre el icono de red inalámbrica.

5. Haciendo click sobre dicho icono, puede verificarse el estado de la conexión:

6. Pasando a la lengüeta contigua, se verá:

3. Configuración del navegador.

Para utilizar el navegador de Internet, hay que configurar el proxy, y disponer de username y password

de acceso a Internet.

Para configurar el proxy en Internet Explorer (consultar para otros

navegadores), seguir los siguientes pasos:

§ Abrir Internet Exporer

§ Ir a Tools/Internet Options:

§ Seleccionar la lengüeta “Connections” y hacer click en “Lan Settings”

Configurar las casillas de la ventana como se muestra en la figura de la izquierda; hacer click en

“Advanced” y configuar como en la figura de la derecha. Ir saliendo de todas las ventanas

pulsando “OK”. En el caso de alumnos, en lugar de wnts17, poner wnts18

A) IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICA

La seguridad inalámbrica es un aspecto esencial de cualquier red inalámbrica. Es de gran preocupación porque las redes inalámbricas son altamente propensas a amenazas de seguridad accidental. La señal inalámbrica puede ser fácilmente detectado por alguien que está cerca de la red inalámbrica y está equipado con el receptor de la derecha.

Las redes inalámbricas deben ser garantizadas por completo. A veces fallas de seguridad se producen accidentalmente. Alguien que trabaja en su computadora portátil en un lugar dentro del rango de nuestra red inalámbrica puede recibir la señal en su computadora portátil accidentalmente o intencionalmente se puede hacer mediante el uso de un receptor.

· ACCESO NO AUTORIZADO

Puntos de acceso de las empresas no regulados

Un problema de seguridad más persistente pero menos publicitado que el fenómeno del ataque a las redes inalámbricas (War Driving) es la práctica de los empleados de configurar sus propios puntos de acceso inalámbrico y/o traer su propio equipo inalámbrico a la oficina. Los empleados podrían gastar algunos cientos de dólares en el punto de acceso inalámbrico y la tarjeta Ethernet para conectarse a la red empresarial de forma que puedan trabajar desde diversos sitios de la oficina. Generalmente estos puntos de acceso no autorizados son inseguros y el departamento de TI de la empresa no los conoce. Aquí radica el gran peligro de la tecnología inalámbrica: al traspasar un punto de acceso inalámbrico inseguro del empleado, con frecuencia el atacante puede tener total acceso sin filtros a la red empresarial.

Esta práctica común deja relegado al equipo de seguridad empresarial que lucha por actualizarse y proteger la tecnología inalámbrica no reglamentada que fue introducida por los empleados. Algunas veces los departamentos de TI están tratando de proteger la tecnología inalámbrica que aún no comprenden por completo. Algunas cifras indican que el 70 % de las empresas que instalan las redes inalámbricas tienen este problema.

PUNTOS DE ACCESO NO AUTORIZADO.

Un punto de acceso no autorizado, y por tanto “vulnerable”, puede poner en peligro la seguridad de la red inalámbrica y dejarla completamente expuesta al mundo exterior. Para poder eliminar este amenaza, el responsable de red debe primero detectar la presencia de un punto de acceso vulnerable y, a continuación, localizarlo.

Los dos métodos más comunes de localización de puntos de acceso vulnerables son el de convergencia y el de vectores. Ambos métodos presentan ventajas, pero requieren herramientas distintas. Conociendo estos procedimientos, el responsable de red podrá garantizar la seguridad de la red inalámbrica.

Localización

Un punto de acceso “vulnerable” puede poner en peligro la seguridad de la red inalámbrica. Se dice que un punto de acceso es vulnerable cuando éste es instalado por un usuario sin el conocimiento o aprobación del responsable de la red. Por ejemplo, un empleado trae su router inalámbrico a la oficina para tener acceso inalámbrico en una reunión. O bien, otra posibilidad con peores intenciones, es que alguien ajeno a la empresa instale un punto de acceso a la red para obtener conexión gratuita a Internet o para acceder a información confidencial. En cualquiera de los casos, estos puntos de acceso no autorizados carecen de la configuración de seguridad adecuada, bien por ignorancia o de manera intencionada. La red de la empresa queda totalmente expuesta al mundo exterior por culpa de estos puntos de acceso.

Los responsables de redes disponen de diferentes soluciones que facilitan la detección de los puntos de acceso vulnerables de la red. Sin embargo, la identificación de una vulnerabilidad no es más que la mitad del trabajo. El responsable de red debe a continuación localizar la ubicación de dicho punto de acceso. Una vez localizado, puede eliminarlo de la red o reconfigurarlo de acuerdo con los parámetros de seguridad adecuados.

Los dos métodos más utilizados para localizar puntos de acceso vulnerables son el de convergencia y el de vectores. El método de búsqueda utilizado depende de las herramientas de que se dispongan.

ATAQUES MAN-IN-THE MIDDLE (intermediarios).

En criptografía, un ataque man-in-the-middle (MitM o intermediario, en español) es un ataque en el que el enemigo adquiere la capacidad de leer, insertar y modificar a voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado. El atacante debe ser capaz de observar e interceptar mensajes entre las dos víctimas. El ataque MitM es particularmente significativo en el protocolo original de intercambio de claves de Diffie-Hellman, cuando éste se emplea sin autenticación

Posibles subataquesEl ataque MitM puede incluir algunos de los siguientes subataques:

Intercepción de la comunicación (eavesdropping), incluyendo análisis del tráfico y posiblemente un ataque a partir de textos planos (plaintext) conocidos.

Ataques a partir de textos cifrados escogidos, en función de lo que el receptor haga con el mensaje descifrado.

Ataques de sustitución.

Ataques de repetición.

Ataque por denegación de servicio (denial of service). El atacante podría, por ejemplo, bloquear las comunicaciones antes de atacar una de las partes. La defensa en ese caso pasa por el envío periódico de mensajes de status autenticados.

MitM se emplea típicamente para referirse a manipulaciones activas de los mensajes, más que para denotar intercepción pasiva de la comunicación.

Defensas contra el ataque La posibilidad de un ataque de intermediario sigue siendo un problema potencial de seguridad serio, incluso para muchos criptosistemas basados en clave pública. Existen varios tipos de defensa contra estos ataques MitM que emplean técnicas de autenticación basadas en:

Claves públicas

Autenticación mutua fuerte

Claves secretas (secretos con alta entropía)

Passwords (secretos con baja entropía)

Otros criterios, como el reconocimiento de voz u otras características biométricas

La integridad de las claves públicas debe asegurarse de alguna manera, pero éstas no exigen ser secretas, mientras que los passwords y las claves de secreto compartido tienen el requerimiento adicional de la confidencialidad. Las claves públicas pueden ser verificadas por una autoridad de certificación (CA), cuya clave pública sea distribuida a través de un canal seguro (por ejemplo, integrada en el navegador web o en la instalación del sistema operativo).

· DENEGACIÒN DE SERVICIOS.

Ataque de denegación de servicio

En seguridad informática, un ataque de denegación de servicio, también llamado ataque DoS (de las siglas en inglés Denial of Service), es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos. Normalmente provoca la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima.

Se genera mediante la saturación de los puertos con flujo de información, haciendo que el servidor se sobrecargue y no pueda seguir prestando servicios, por eso se le dice "denegación", pues hace que el servidor no dé abasto a la cantidad de usuarios. Esta técnica es usada por los llamados Crackers para dejar fuera de servicio a servidores objetivo.

Una ampliación del ataque Dos es el llamado ataque distribuido de denegación de servicio, también llamado ataque DDoS (de las siglas en inglés Distributed Denial of Service) el cual lleva a cabo generando un gran flujo de información desde varios puntos de conexión.

La forma más común de realizar un DDoS es a través de una botnet, siendo esta técnica el ciberataque más usual y eficaz.

Descripción: http://upload.wikimedia.org/wikipedia/commons/thumb/3/3f/Stachledraht_DDos_Attack.svg/200px-Stachledraht_DDos_Attack.svg.png

En ocasiones, esta herramienta ha sido utilizada como un notable método para comprobar la capacidad de tráfico que un ordenador puede soportar sin volverse inestable y perjudicar los servicios que desempeña. Un administrador de redes puede así conocer la capacidad real de cada máquina.

B. Configuración de parámetros para el establecimiento de la seguridad y protección de dispositivos inalámbricos.

v DESCRIPCIÓN GENERAL DEL PROTOCOLO DE SEGURIDAD INALÁMBRICO

La seguridad es un aspecto que cobra especial relevancia cuando hablamos de redes inalámbricas. Para tener acceso a una red cableada es imprescindible una conexión física al cable de la red. Sin embargo, en una red inalámbrica desplegada en una oficina un tercero podría acceder a la red sin ni siquiera estar ubicado en las dependencias de la empresa, bastaría con que estuviese en un lugar próximo donde le llegase la señal. Es más, en el caso de un ataque pasivo, donde sólo se escucha la información, ni siquiera se dejan huellas que posibiliten una identificación posterior.

El canal de las redes inalámbricas, al contrario que en las redes cableadas privadas, debe considerarse inseguro. Cualquiera podría estar escuchando la información transmitida. Y no sólo eso, sino que también se pueden inyectar nuevos paquetes o modificar los ya existentes (ataques activos). Las mismas precauciones que tenemos para enviar datos a través de Internet deben tenerse también para las redes inalámbricas.

Conscientes de este problema, el IEEE publicó un mecanismo opcional de seguridad, denominado WEP, en la norma de redes inalámbricas 802.11. Pero WEP, desplegado en numerosas redes WLAN, ha sido roto de distintas formas, lo que lo ha convertido en una protección inservible. Para solucionar sus deficiencias, el IEEE comenzó el desarrollo de una nueva norma de seguridad, conocida como 802.11i, que permitiera dotar de suficiente seguridad a las redes WLAN. El problema de 802.11i está siendo su tardanza en ver la luz. Su aprobación se espera para finales de 2004. Algunas empresas en vistas de que WEP (de 1999) era insuficiente y de que no existían alternativas estandarizadas mejores, decidieron utilizar otro tipo de tecnologías como son las VPNs para asegurar los extremos de la comunicación(por ejemplo, mediante IPSec). La idea de proteger los datos de usuarios remotos conectados desde Internet a la red corporativa se extendió, en algunos entornos, a las redes WLAN.

No ajena a las necesidades de los usuarios, la asociación de empresas Wi-Fidecidió lanzar un mecanismo de seguridad intermedio de transición hasta que estuviese disponible 802.11i, tomando aquellos aspectos que estaban suficientemente avanzados del desarrollo de la norma. El resultado, en 2003, fue WPA.

Con este trabajo, se pretende ilustrar las características, funcionamiento, aplicaciones, fallas y alternativas del protocolo de seguridad WEP.

Definición

WEP (Wired Equivalent Privacy, Privacidad Equivalente al Cable) es el algoritmo opcional de seguridad para brindar protección a las redes inalámbricas, incluido en la primera versión del estándar IEEE 802.11, mantenido sin cambios en las nuevas 802,11a y 802.11b, con el fin de garantizar compatibilidad entre distintos fabricantes. El WEP es un sistema de encriptación estándar implementado en la MAC y soportado por la mayoría de las soluciones inalámbricas. En ningún caso es compatible con IPSec.

Estándar

El estándar IEEE 802.11 proporciona mecanismos de seguridad mediante procesos de autenticación y cifrado. En el modo de red Ad Hoc o conjunto de servicios avanzados, la autenticación puede realizarse mediante un sistema abierto o mediante clave compartida. Una estación de red que reciba una solicitud puede conceder la autorización a cualquier estación, o sólo a aquellas que estén incluidas en una lista predefinida. En un sistema de clave compartida, sólo aquellas estaciones que posean una llave cifrada serán autenticadas.

El estándar 802.11 especifica una capacidad opcional de cifrado denominada WEP ( Wireless Equivalent Privacy); su intención es la de establecer un nivel de seguridad similar al de las redes cableadas. WEP emplea el algoritmo RC4 de RSA Data Security, y es utilizado para cifrar las transmisiones realizadas a través del aire.

WEP es un elemento crítico para garantizar la confidencialidad e integridad de los datos en los sistemas WLAN basados en el estándar 802.11, así como para proporcionar control de acceso mediante mecanismos de autenticación. Consecuentemente, la mayor parte de los productos WLAN compatibles con 802.11 soportan WEP como característica estándar opcional.

Cifrado:

WEP utiliza una clave secreta compartida entre una estación inalámbrica y un punto de acceso. Todos los datos enviados y recibidos entre la estación y el punto de acceso pueden ser cifrados utilizando esta clave compartida. El estándar 802.11 no especifica cómo se establece la clave secreta, pero permite que haya una tabla que asocie una clave exclusiva con cada estación. En la práctica general, sin embargo, una misma clave es compartida entre todas las estaciones y puntos de acceso de un sistema dado.

v AUTENTICACIÓN DE UNA LAN INALÁMBRICA

Con el fin de solucionar estos problemas surge el protocolo 802.1x, que aunque lleve ya algunos años en el mercado, pocas empresas lo utilizan, debido a su complejidad de instalación. Pero gracias a esta guía que implemente las cosas van hacer mucho más fácil y compleja su instalación.

El protocolo 802.1x ofrece un marco en el que se lleva a cabo un proceso de autentificación del usuario, así como un proceso de variación dinámica de claves, todo ello ajustado a un protocolo, denominado EAP (Extensible Authentication Protocol). Mediante este procedimiento, todo usuario que esté empleando la red se encuentra autentificado y con una clave única, que se va modificando de manera automática y que es negociada por el servidor y el cliente de manera transparente para el usuario. El servicio soporta múltiples procesos de autenticación tales como Kerberos, Radius, certificados públicos, claves de una vez, etc. Aunque no es el objetivo de esta guía enumerar los diferentes procesos de autentificación, basta con mencionar que Windows 2003 Server ® soporta este servicio.

Para entender cómo funciona el protocolo 802.1x sigamos el siguiente esquema.

· El cliente, que quiere conectarse a la red, manda un mensaje de inicio de EAP que da lugar al proceso de autentificación. Siguiendo con nuestro ejemplo, la persona que quiere acceder a la FUP pediría acceso al guardia de seguridad de la puerta.

· El punto de acceso a la red respondería con una solicitud de autentificación EAP. En nuestro ejemplo, el guardia de seguridad respondería solicitando el nombre y el apellido del cliente, así como su huella digital. Además, antes de preguntarle, el guarda de seguridad le diría una contraseña al cliente, para que éste sepa que realmente es un guardia de seguridad.

· El cliente responde al punto de acceso con un mensaje EAP que contendrá los datos de autentificación. ‘Nuestro cliente le daría el nombre y los apellidos al guardia de seguridad además de su huella digital’.

· El servidor de autentificación verifica los datos suministrados por el cliente mediante algoritmos, y otorga acceso a la red en caso de validarse. En nuestro caso, el sistema de la FUP verificaría la huella digital, y el guardia validaría que se correspondiese con el cliente.

· El punto de acceso suministra un mensaje EAP de aceptación o rechazo, dejando que el cliente se conecte o rechazándolo. Nuestro guardia de seguridad le abrirá la puesta o no, en función de la verificación al cliente.

· Una vez autentificado, el servidor acepta al cliente, por lo que el punto de acceso establecerá el puerto del cliente en un estado autorizado. Nuestro cliente estará dentro de la FUP.

De esta manera, el protocolo 802.1x provee una manera efectiva de autentificar, se implementen o no claves de autentificación WEP. De todas formas, la mayoría de las instalaciones 802.1x otorgan cambios automáticos de claves de encriptación usadas solo para la sesión con el cliente, no dejando el tiempo necesario para que ningún sniffer sea capaz de obtener la clave.

v ENCRIPTACIÓN

Se trata de una medida de seguridad que es usada para almacenar o transferir información delicada que no debería ser accesible a terceros. Pueden ser contraseñas, nos. de tarjetas de crédito, conversaciones privadas, etc.

Para encriptar información se utilizan complejas fórmulas matemáticas y para desencriptar, se debe usar una clave como parámetro para esas fórmulas.
El texto plano que está encriptado o cifrado se llama criptograma.

Aclaración: encriptación vs. cifrado

Se prefiere el uso de la palabra "cifrado" en lugar de "encriptación", debido a que esta última es una mala traducción del inglés encrypt.

v CONTROL DEL ACCESO A LA LAN INALÁMBRICO

La Tarjeta PC de la computadora portátil recibe y transmite información digital sobre una frecuencia de radio de 2,4 GHz. La tarjeta convierte la señal de radio en datos digitales (en realidad, pequeños paquetes de información) que la PC puede comprender y procesar.

La tarjeta PCI se conecta a una computadora de escritorio y funciona de modo similar a la Tarjeta PC, con la diferencia de que es especial para Portátiles.

El punto de acceso de software permite que una PC conectada a una red Ethernet (un tipo de red de área local muy común) pueda desempeñarse como punto de acceso de hardware.

El punto de acceso de hardware recibe y transmite información de forma similar a la tarjeta PC. Se conecta a la red Ethernet mediante un conector RJ-45 y maneja el tráfico entrante y saliente entre la red fija y los usuarios de la LAN INALÁMBRICA o "clientes", actuando así como un hub inalámbrico. En otras palabras, el punto de acceso de hardware se desempeña como portal o rampa de ingreso, para que los usuarios inalámbricos puedan acceder a una LAN cableada.

Es importante destacar que, tal como ocurre en una autopista en horas de máximo tráfico, cuantos más usuarios se hallan en el punto de acceso, tanto más lento será el tráfico. El punto de acceso de hardware se conecta a un hub, conmutador o encaminado, pero también puede conectarse directamente a un servidor mediante un adaptador de cable.

Modo de infraestructura.- Cuando se selecciona el modo de infraestructura (en la PC mediante la utilidad de configuración), el usuario puede enviar y recibir señales de radio (información) a través de un punto de acceso, el cual puede ser mediante hardware o software. Este punto de acceso se conecta a una red convencional mediante un cable, recibe la señal de radio del cliente y la convierte a formato digital que la red y el servidor pueden comprender y procesar. Si el usuario solicita información (por ejemplo, una página web), el punto de acceso envía una señal de radio a la PC del usuario de la LAN INALÁMBRICA. Los puntos de acceso están ubicados en las conexiones de red donde cualquier computadora, impresora u otro dispositivo de red se conectaría mediante un cable RJ-45 (similar a un enchufe telefónico, pero ligeramente más grande).

Descripción: http://www.uazuay.edu.ec/estudios/sistemas/teleproceso/apuntes_1/graficos/image006.jpg

v LAN inalámbrica con infraestructura

v Modo de pares: Cuando se selecciona el modo entre pares (peer to peer), los usuarios se conectan a otras computadoras (ya sea portátiles o de mesa) equipadas con productos inalámbricos IEEE 802.11b de alta velocidad. Este modo se utiliza cuando no existen redes cableadas cuando un grupo de usuarios desea configurar su propia red para colaborar y compartir archivos. En el extremo de servidor/red, el gerente de tecnología de la información debe instalar un paquete de software, que su departamento debe introducir en el servidor apropiado.

v Este paquete de software permite configurar, administrar y controlar el seguimiento del tráfico inalámbrico a través de la red.

v Cada punto de acceso de hardware ofrece un caudal dehasta 11 Mbps. Esta capacidad es adecuada para las siguientes actividades:

v * 50 usuarios, en su mayoría inactivos, que ocasionalmente consultan mensajes de correo electrónico de texto.
* 25 usuarios principales que utilizan intensamente servicios de correo electrónico y cargan o descargan archivos de tamaño moderado.
* 10 a 20 usuarios que constantemente están conectados a la red y trabajan con archivos grandes.

v Para aumentar la capacidad, pueden agregarse más puntos de acceso, lo que brinda a los usuarios mayor oportunidad de ingresar a la red. Es importante destacar que las redes se consideran optimizadas cuando los puntos de acceso corresponden a distintos canales

v Ejemplo: Una compañía puede establecer 3 puntos de acceso (con un alcance de hasta 100 metros cada uno) en 3 oficinas adyacentes, cada uno configurado a un canal distinto. En teoría, esto permitiría que numerosos usuarios "compartiesen" una capacidad total de hasta 33 Mbps (si bien ningún usuario podría alcanzar velocidades superiores a 11 Mbps). En la realidad, dado que los clientes se comunican con el punto de acceso que les ofrece la señal más intensa, el ancho de banda no necesariamente se distribuye uniformemente entre todos los usuarios.

v LAN troncal cableada como una Ethernet. Conecta varios servidores, estaciones de trabajo, o dispositivos de encaminamiento para conectar otra red Existe un Modulo de Control que funciona como interfaz con la LAN inalámbrica.

Descripción: http://www.uazuay.edu.ec/estudios/sistemas/teleproceso/apuntes_1/graficos/image003.jpg

v LAN inalámbrica de celda única

v LAN inalámbrica de celdas múltiples Existen varios módulos de control interconectados por una LAN cableada. Cada modulo da servicio a varios sistemas finales inalámbricos dentro de su rango de transmisión.

Manejo de Redes

miércoles, 1 de junio de 2011

1.1

802.11n

Componentes de las LAN inalámbricas. Tarjeta de red

Antena

Punto de acceso inalámbrico

802.11g

802.11n

No hay comentarios:

Publicar un comentario

Datos personales

Archivo del blog