T Utc 1024
T Utc 1024
T Utc 1024
AUTOR:
RAMIRO MENA.
DIRECTOR DE TESIS:
2007
AUTORIA
______________________________
C.I. 050258952-6
II
CERTIFICACION DIRECTOR DE TESIS
dirigido el presente proyecto de tesis dirigido por el Sr. Ramiro Mena con el tema
FRANCISCO.
Atentamente
_________________
Ing. Juan Carlos Calloni
III
PAGINA DE APROBACION DEL TUTOR
DIRECTOR DE TESIS
Nmero Letras
IV
PAGINA DE APROBACION DEL TRIBUNAL DE GRADO
FECHA _______________
_________________________ ____________________
_________________________ ____________________
_________________________ ____________________
V
DEDICATORIA
En especial quiero dedicar este trabajo a mi adorada madre una gran mujer, a mi familia
y amigos. A mis seres queridos que ya no se encuentran entre nosotros que me dan
Ramiro.
VI
AGRADECIMIENTOS
Doy gracias a Dios por haberme permitido culminar una de mis metas en la vida.
acadmicos.
por abrirme sus puertas, de igual manera a toda la gente de esta hermosa ciudad en
por haberme permitido ser parte del equipo de trabajo, por darme la experiencia, por su
Agradezco a mi familia, a todos mis amigos que siempre estuvieron pendientes en todo
Ramiro Mena.
VII
INDICE GENERAL
CAPITULO I
MARCO TEORICO
1.1 Introduccin 4
1.2 Definicin 5
1.3.6 HiperLAN 8
1.5.1.5 Repetidor 26
VIII
1.6.2 Antenas omni-direccionales 27
1.9.1 Radius 43
1.9.5 Amenazas 61
1.9.6 Spoofing 67
1.9.7 Suplantacin 74
1.9.10 VPN 84
CAPITULO II
IX
2.2.2.2 Direccionamiento y Ruteo. 115
CAPITULO III
BIBLIOGRAFA 121
ANEXOS 124
X
INDICE DE GRAFICOS
XI
FIGURA 24 Listado direcciones MAC 78
XII
RESUMEN
una solucin para agilizar una parte del trmite burocrtico en beneficio de todas
del proyecto y todos los beneficios que generara el tener dicho enlace.
XIII
INTRODUCCION
del hombre cada vez son mayores, esto ha obligado a buscar nuevas y mejores formas
datos, tanto para el uso educativo, as como en el uso industrial, ya que facilitan y
Por esta razn con esta tesis he previsto un Anlisis y Diseo de una Wireless Lan
El proyecto est estructurado en tres captulos, el cul consta de un terico uno prctico
1
En el primer captulo doy conceptos bsicos de red, estndares inalmbricos, topologas,
OBJETIVOS
GENERALES.
Analizar y disear una Wireless LAN segura para el enlace entre dos o ms
compartir informacin.
2
ESPECFICOS.
de la municipalidad.
funcionamiento confiable.
HIPOTESIS
nos garantizar que la produccin de informacin generada sea mas eficiente, eficaz,
3
CAPITULO I
1.1 INTRODUCCION
Cada uno de los tres siglos pasados ha estado dominado por una sola tecnologa. El
siglo XVIII fue la etapa de los grandes sistemas mecnicos que acompaaron a la
A medida que avanzamos hacia los ltimos aos de este siglo, se ha dado una rpida
ellas, simplemente oprimiendo una tecla. A medida que crece nuestra habilidad para
4
1.2 DEFINICION
flexible implementado como una extensin o alternativa para las redes cableadas. Usan
Hay dos componentes bsicos en una red inalmbrica un punto de acceso y un cliente
para realizar la comunicacin inalmbrica con el punto de acceso o con otra tarjeta de
Punto de acceso (Access Point o AP).- Es el que crea la red de radio y la comunica con
la red local almbrica, el AP contiene un puerto 10BaseT con el cual se puede conectar
a la red almbrica por medio de un dispositivo de conexin LAN el cual puede ser un
swith o un hub
5
Wireless Local Area Network.
Abreviatura de una red local que utiliza ondas de radio. A ella se pueden conectar
son los que se conectan sin cables (wireless) a la red de Internet. Estos puntos de acceso
Principales ventajas:
x Permiten la movilidad.
tirar cableado.
x Rapidez en la instalacin.
1
Diccionario de Wi Fi http://wifi.lycos.es/info/lexicon
6
1.3 ESTANDARES INLAMBRICOS
que el estndar 802.3 que define Ethernet en el entorno cableado, el IEEE ha definido
denominacin 802.112
2
Wikipedia estndares inalmbricos
http://es.wikipedia.org/wiki/Est%C3%A1ndares_inal%C3%A1mbricos#802.11
7
Compatible con los equipos DSSS del estndar 802.11.
Modulacin de OFDM.
1.3.6 HIPERLAN
Es un estndar global para anchos de banda inalmbricos LAN que operan con un rango
estndar para un rango de comunicacin corto que permite una alta transferencia de
datos y Calidad de Servicio del trfico entre estaciones base WLAN y terminales de
8
usuarios. La seguridad esta provista por lo ltimo en tcnicas de cifrado y protocolos de
autenticacin.
HIPERLAN/1
Hiper Lan es similar a 802.11a (5 GHz) y es diferente de 802.11b/g (2,4 GHz).
El estndar cubre las capas fsica y MAC como el 802.11. Hay una nueva subcapa
llamada Channel Access and Control sublayer (CAC). Esta subcapa maneja las
peticiones de acceso a los canales. La aceptacin de la peticin depende del uso del
EY-NPMA permite trabajar a la red con pocas colisiones aunque halla un gran nmero
Caractersticas de HIPERLAN :
9
x rango 50 m
x datos a 10 Mbps
HIPERLAN no interfiere con hornos microondas y otros aparatos del hogar, que
HIPERLAN/2
Las especificaciones funcionales de HIPERLAN/2 se completaron en el mes de Febrero
de 2000. La versin 2 fue diseada como una conexin inalmbrica rpida para muchos
tipos de redes. Por ejemplo: red back bone UMTS, redes ATM e IP. Tambin funciona
como una red domstica como HIPERLAN/1. HIPERLAN/2 usa la banda de 5 GHz y
Los servicios bsicos son transmisin de datos, sonido, y vdeo. Se hace nfasis en la
El estndar cubre las capas Fsica, Data Link Control y Convergencia. La capa de
capas DLC y Red (OSI 3). Las subcapas de Convergencia se pueden usar tambin en la
capa fsica para conectar las redes IP, ATM o UMTS. Esta caracterstica hace
10
En la capa fsica se emplean modulaciones BPSK, QPSK, 16QAM o 64QAM.
HIPERLAN/2 ofrece unas medidas de seguridad aceptables. Los datos son codificados
Las redes LAN inalmbricas se construyen utilizando dos topologas bsicas. Para estas
alojadas y par a par, e infraestructura y "ad hoc". En este sitio web se utilizarn los
extensas tales como redes de rea personal, entornos militares, entornos ciudadanos y
debido a la hostilidad del medio inalmbrico. Estas redes fueron inicialmente diseadas
antenas direccionales pueden ser beneficiosas para este tipo de redes. Al direccionar las
transmisiones se puede incrementar el rehso espacial ya que dos nodos vecinos podran
11
de los nodos vecinos. De esta manera, para utilizar las antenas direccionales se debe
disear un protocolo especfico ya que el protocolo MAC 802.11 fue diseado para
MAC 802.11 con antenas direccionales de cara a disear uno nuevo que mejore el
los protocolos MAC 802.11 para antenas direccionales se explican las diferentes
propuestas que existen hasta ahora para solucionar problemas relacionados con
Para ello se disea un simulador escalable y se obtienen resultados del rendimiento dado
En una topologa ad hoc, los propios dispositivos inalmbricos crean la red LAN y no
directamente con los dems dispositivos de la red, en lugar de pasar por un controlador
central. Esta topologa es prctica en lugares en los que pueden reunirse pequeos
grupos de equipos que no necesitan acceso a otra red. Ejemplos de entornos en los que
podran utilizarse redes inalmbricas ad hoc seran un domicilio sin red con cable o una
sala de conferencias donde los equipos se renen con regularidad para intercambiar
ideas.
3
Biblioteca Universitaria Redes Ad-hoc http://bibliotecnica.upc.es/pfc/mostrar_dades_PFC.asp?id=4079
12
Fig 1. Red ad hoc
Por ejemplo, cuando se combinan con la nueva generacin de software y soluciones par
a par inteligentes actuales, estas redes inalmbricas ad hoc pueden permitir a los
comunicarse de algn otro modo mediante sus PC o dispositivos inteligentes sin cables.
modo ad hoc se puede decir que no tiene punto de acceso. En esta red slo hay
La red ad hoc no disfruta todava de algunos avances como retransmitir tramas entre dos
13
1.4.2 Redes de infraestructura
Una topologa de infraestructura es aquella que extiende una red LAN con cable
denominada punto de acceso. El punto de acceso une la red LAN inalmbrica y la red
LAN con cable y sirve de controlador central de la red LAN inalmbrica. El punto de
infraestructura, puede haber varios puntos de acceso para dar cobertura a una zona
grande o un nico punto de acceso para una zona pequea, ya sea un hogar o un edificio
pequeo.
14
Descripcin general del funcionamiento de la modalidad de infraestructura
LAN inalmbricas, primero debe identificar los puntos de acceso y las redes
La estacin elige una red entre las que estn disponibles e inicia un proceso de
autenticacin con el punto de acceso. Una vez que el punto de acceso y la estacin se
inalmbricas pasa por un punto de acceso para poder llegar a su destino en la red LAN
El acceso a la red se administra mediante un protocolo que detecta las portadoras y evita
del protocolo que detecta las portadoras). Antes de transmitir, la estacin debe esperar
durante un perodo de tiempo especfico despus de que la red est despejada. Esta
15
demora, junto con la transmisin por parte de la estacin receptora de una confirmacin
de recepcin correcta, representan la parte del protocolo que evita las colisiones.
punto de acceso.
Dado que es posible que algunas estaciones no se escuchen mutuamente, aunque ambas
estn dentro del alcance del punto de acceso, se toman medidas especiales para evitar
las colisiones. Entre ellas, se incluye una clase de intercambio de reserva que puede
para emitir" y "listo para emitir", y un vector de asignacin de red que se mantiene en
otra estacin, oir la transmisin de "listo para emitir" desde el punto de acceso y puede
punto de acceso diferente, junto con protocolos especficos de otros fabricantes entre
sealizacin peridicas enviadas por el punto de acceso. Estas tramas contienen el valor
de reloj del punto de acceso en el momento de la transmisin, por lo que sirve para
conexiones inalmbricas.
16
1.5 CONFIGURACION DE ACCESS POINTS.
operacin: Access Point, Sistema de Distribucin Inalmbrica (WDS) con Access Point,
y WDS (Sin difusin de AP). Con soporte WDS, los administradores de la red pueden
para hacer un puente entre ellos para distribuir de manera efectiva el trfico entre la red
Un punto de acceso inalmbrico (WAP o AP por sus siglas en ingls: Wireless Access
tambin puede conectarse a una red cableada, y puede transmitir datos entre los
pueden conectarse entre s para formar una red an mayor, permitiendo realizar
"roaming". (Por otro lado, una red donde los dispositivos cliente se administran a s
mismos - sin la necesidad de un punto de acceso - se convierten en una red ad-hoc). Los
17
puntos de acceso inalmbricos tienen direcciones IP asignadas, para poder ser
configurados.
Son los encargados de crear la red, estn siempre a la espera de nuevos clientes a los
funcionar en un rango de al menos treinta metros y hasta varios cientos. Este o su antena
son normalmente colocados en alto pero podra colocarse en cualquier lugar en que se
El usuario final accede a la red WLAN a travs de adaptadores. Estos proporcionan una
interfaz entre el sistema de operacin de red del cliente (NOS: Network Operating
Una red local (LAN) es una red ubicada en un lugar. Los usuarios en dicho lugar puede
conectado a la red que solicita servicios se denomina cliente. Una red local inalmbrica
(WLAN) es un tipo de LAN que utiliza ondas de radiofrecuencia alta en vez de cables
para comunicar y transmitir datos entre los clientes y dispositivos de la red. Se trata de
18
En una WLAN, los adaptadores inalmbricos se instalan en los clientes, tambin
comunicarse con la WLAN sin necesidad de cables. En vez de ello, los clientes
canal.
peer).
travs de uno o ms routers de banda ancha inalmbricos. Los routers de banda ancha
proporcionar una cobertura ptima a los clientes inalmbricos. Los routers de banda
Los routers de banda ancha inalmbricos pueden conectarse a una red local de clientes
los clientes inalmbricos y los routers de banda ancha inalmbricos en una WLAN.
Todos los clientes inalmbricos y los routers de banda ancha inalmbricos conectados
en una WLAN deben tener el misma ESSID. Se utiliza un BSSID (Identificador del
conjunto de servicios bsico) para definir de forma exclusiva cada uno de los clientes
19
Modo distribuido (Peer-to-Peer o modo Ad Hoc): WLAN sin routers de banda
ancha inalmbricos
inalmbricos.
SSID se conoce a veces como el nombre de red. El SSID indica a qu WLAN se est
Todos los clientes inalmbricos y los routers de banda ancha inalmbricos de una
"Bridge" y supone importantes ahorros respecto a sistemas alternativos como las lneas
transmisiones efectivas (throughoutput) entre las dos redes de entre 7Mbps y 9 Mbps,
20
que en trminos prctico es una velocidad de red normal, y es una 36 veces ms rpido
que una unin por ADSL de 256 Kbps. El nico requisito es que los edificios/redes a
unir tengan lnea visual entre si y distancias inferiores a los 40 km. Si las distancias son
mayores de 40 km. harn falta dispositivos adicionales y si no hay lnea visual entre los
puntos podramos tambin recurrir a poner dispositivos intermedios que fuesen visible
Para la unin inalmbrica de dos PCs en modo punto-a-punto, es decir, conectados entre
"Bridge Ad-Hoc" de smartBridges. Tan solo hacen falta dos airBridge Total, ni un solo
accesorio ni elemento ms, y los dos PCs quedan unidos como si lo estuviesen por
cable.
21
Union estandar bridge con visibilidad
Para la unin inalmbrica de dos redes de PCs, o de una red de PCs con un PC, se
utilizar una configuracin Bridge estndar, en la que deberemos situar un airPoint Pro
Total en un extremo (puede ser cualquiera de los dos extremos) y un airBridge Total en
el otro. Las dos redes quedarn unidas como si fuesen una sola con visibilidad total
22
Union bridge estandar sin visibilidad
Si entre las dos redes a unir no hay visibilidad porque hay un obstculo podemos
solucionar la conexin instalando un airPoint en algn punto que sea visible por las dos
redes a unir, y, al ser el punto intermedio un airPoint podremos reducir costes instalando
airBridges en las dos redes. El nico requisito del punto intermedio es que tenga
corriente elctrica.
23
Union multi bridge con visibilidad
deberemos situar el airPoint en un punto visible por las dems redes. Las dos redes
quedarn unidas como si fuesen una sola con visibilidad total entre los PCs.
24
Union multi bridge sin visibilidad
Si entre las diversas redes a unir no hay visibilidad directa, tambin podemos hacer un
MultiBridge instalando un airPoint en algn punto visible por todas las redes a unir. El
nico requisito para instalar este "Hub inalmbrico" es una toma de corriente, es decir,
podremos poner ese airBridge en cualquier lugar que se vea por todos los puntos a unir
25
1.5.1.4 Puente multi-punto
1.5.1.5 Repetidor
Un repetidor es un dispositivo electrnico que recibe una seal dbil o de bajo nivel y la
retransmite a una potencia o nivel ms alto, de tal modo que se puedan cubrir distancias
Capa Fsica del modelo OSI (capa 1). Un repetidor permite slo extender la cobertura
una seal a niveles ms ptimos. Es decir, cuando un repetidor recibe una seal muy
debil o corrompida, crea una copia bit por bit de la seal original. La posicin de un
repetidor es vital, ste debe poner antes de que la seal se debilite. En el caso de una red
local (LAN) la cobertura mxima del cable UTP es 100 metros; pues el repetidor debe
ponerse unos metros antes de esta distancia y poner extender la distancia otros 100
metros o mas.
Amplifier) los cuales permiten extender la distancia de un haz de luz sobre una fibra
26
1.6 TIPOS DE ANTENAS Y SU ESTANDARES DE INSTALACIN
Orientan la seal en una direccin muy determinada con un haz estrecho pero de largo
alcance. Una antena direccional acta de forma parecida a un foco que emite un haz
ngulo determinado, por lo cual su alcance es mayor, sin embargo fuera de la zona de
interlocutores.
El alcance de una antena direccional viene determinado por una combinacin de los dBi
Orientan la seal en todas direcciones con un haz amplio pero de corto alcance. Si una
antena direccional sera como un foco, una antena omnidireccional sera como una
bombilla emitiendo luz en todas direcciones pero con una intensidad menor que la de un
27
se est. En contrapartida el alcance de estas antenas es menor que el de las antenas
direccionales.
los dBi de ganancia de la antena, la potencia de emisin del punto de acceso emisor y la
sensibilidad de recepcin del punto de acceso receptor. A mismos dBi, una antena
sectoriales emiten un haz ms amplio que una direccional pero no tan amplio como una
omnidireccional pero algo menor que la direccional. Siguiendo con el ejemplo de la luz,
una antena sectorial sera como un foco de gran apertura, es decir, con un haz de luz
ms ancho de lo normal.
Para tener una cobertura de 360 (como una antena omnidireccional) y un largo alcance
(como una antena direccional) deberemos instalar o tres antenas sectoriales de 120 4
antenas sectoriales de 80. Las antenas sectoriales suelen ser ms costosas que las
28
Seleccin de antenas a utilizarse.
Las antenas direccionales se suelen utilizar para unir dos puntos a largas distancias
mientras que las antenas omnidireccionales se suelen utilizar para dar seal extensa en
los alrededores. Las antenas sectoriales se suelen utilizan cuando se necesita un balance
de las dos cosas, es decir, llegar a largas distancias y a la vez, a un rea extensa.
Si necesita dar cobertura de red inalmbrica en toda un rea prxima (una planta de un
concreto (por ejemplo un PC que est bastante lejos) utilizar una antena direccional,
finalmente, si necesita dar cobertura amplia y a la vez a larga distancia, utilizar antenas
sectoriales.
La apertura es cuanto se "abre" el haz de la antena. El haz emitido o recibido por una
horizontalmente.
direccional oscilar entre los 4 y los 40 y una antena sectorial oscilar entre los 90 y
los 180.
La apertura vertical debe ser tenida en cuenta si existe mucho desnivel entre los puntos
apertura vertical. Por lo general las antenas, a ms ganancia (potencia por decirlo de
29
algn modo) menos apertura vertical. En las antenas direccionales, por lo general,
INALAMBRICA
En este paso se explica cmo instalar la tarjeta PCMCIA 3Com modelo "OfficeConnect
control ? Agregar hardware. En este caso lo que haremos ser elegir la tarjeta de red e
30
Asistente para la instalacin de nuevo hardware.
"Siguiente >":
31
Asistente para la instalacin de nuevo hardware.
"Continuar":
32
Pantalla del certificado de red.
33
Pantalla de finalizacin de instalacin de hardware.
Este paso slo es necesario si es la primera vez que accedemos a la red inalmbrica o si
En la barra de tareas de nuestro escritorio podemos pulsar con el botn derecho sobre el
34
A continuacin veremos las redes que ha detectado la tarjeta de red, en caso de no ser
alguna de las redes detectadas la que nos interesa o en caso de no haber detectado
de red inalmbrica.
35
Pantalla de configuracin y seleccin de nuestra red.
Si ninguna de las redes detectadas es la correcta lo que haremos ser quitar estas redes y
36
Pantalla de configuracin de red.
El resto de campos lo utilizaremos para asignar una clave WEP para no permitir que
37
Pantalla de configuracin de red.
38
Pantalla de configuracin de red.
habr que pulsar en el botn actualizar para que recargue la red y pueda detectar nuestra
red.
39
Pantalla de Autenticacin de la red inalmbrica.
de red o si queremos conectarnos a una red en particular. Estas opciones las dejaremos
40
Pantalla de opciones avanzadas de la red inalmbrica.
INALAMBRICAS.
Una de las desventajas que tiene el sistema Wi-Fi es la prdida de velocidad en relacin
paquetes, trabajando con su tarjeta Wi-Fi en modo promiscuo, de forma que puedan
41
calcular la contrasea de la red y de esta forma acceder a ella, las claves de tipo WEP
protegidas con WPA2 se consideran robustas dado que proporcionan muy buena
seguridad.
Los dispositivos Wi-Fi ofrecen gran comodidad en relacin a la movilidad que ofrece
esta tecnologa, sobre los contras que tiene Wi-Fi es la capacidad de terceras personas
para conectarse a redes ajenas si la red no est bien configurada y la falta de seguridad
Cabe aclarar que esta tecnologa no es compatible con otros tipos de conexiones sin
Ventajas: No hay que pasar cables por dentro de las paredes o por los pasillos; puede
distancia.
Movilidad: las redes inalmbricas proporcionan a los usuarios de una LAN acceso
4
http://es.wikipedia.org/wiki/Wi-Fi
42
WLAN es rpida y fcil y elimina la necesidad de tirar cables
Costo de propiedad reducido: mientras que la inversin inicial requerida para una red
inalmbrica puede
1.9.1 Radius
movilidad IP. Utiliza el puerto 1813 UDP para establecer sus conexiones.
43
Cuando se realiza la conexin con un ISP mediante mdem, DSL, cablemdem,
EAP. Si es aceptado, el servidor autorizar el acceso al sistema del ISP y le asigna los
recursos de red como una direccin IP, y otros parmetros como L2TP, etc.
RFC 2138 y RFC 2139. Actualmente existen muchos servidores RADIUS, tanto
comerciales como de cdigo abierto. Las prestaciones pueden variar, pero la mayora
pueden gestionar los usuarios en archivos de texto, servidores LDAP, bases de datos
varias, etc. A menudo se utiliza SNMP para monitorear remotamente el servicio. Los
44
1.9.2 Seguridad en WLAN
Las redes inalmbricas requieren nuevos conceptos de seguridad que se obvian en las
redes cableadas. Un intruso que busque acceso a una LAN cableada se enfrenta
conectar su cable al switch. En una WLAN el problema del intruso se torna etreo. Le
basta permanecer en el rea de cobertura que puede ser muy extensa- para estar en
seguridad de los usuarios. Vamos a procurar hacer una exposicin simple y rpida.
Qu es seguridad?
Primer intento. Fallido. WEP (Wired Equivalent Privacy) Privacidad equivalente a red
cableada. Es -o mejor dicho, era- el primer estndar de seguridad. Con este estndar el
usuario deba introducir un juego de claves, que podan ser de 40 o de 104 bits,
45
Primer problema. Todos los usuarios deben usar las mismas claves. No es necesario
inicializacin (IV) Una especie de clave de sesin que vara de manera peridica y
automtica y que se aade a las claves configuradas por el usuario. Este IV se transmite
en claro, sin encriptar y es muy pequeo. Un atacante puede sin demasiada dificultad
la red. Adems, el algoritmo que sirve para determinar estos 24 bits adolece de cierta
Ntese que el que logre romper la clave habr roto tambin los tres conceptos que
definamos como seguridad: Puede acceder como usuario legtmo y puede observar y
Este estndar desarrollado por la Wi-Fi alliance trata de ser el sustituto de WEP. A la
hora de disearlo se trat de que fuera compatible con la mayor cantidad de dispositivos
Al contrario que WEP, utiliza claves de sesin dinmicas de 128 bits, para cada usuario,
cada sesin y cada paquete. Los usuarios deben acceder a travs de un servidor de
46
servidor genera una clave master que transmite de manera segura al cliente y que ser
utilizada para enviar el resto de claves auxiliares que sern utilizadas durante esa sesin.
Con WPA desaparece el problema de las claves compartidas, ya que una clave master
distinta es recibida por cada usuario cada vez que RADIUS acepta sus credenciales. Con
este sistema el administrador puede aceptar o eliminar usuarios del sistema sin
Con WPA tenemos las tres cuestiones que definen la seguridad resueltas de manera
robusta:
TKIP la privacidad.
MIC la integridad.
En el GUI hemos conseguido establecer una WLAN con WPA utilizando FreeRADIUS
Los usuarios que no deseen usar un servidor de acceso pueden seguir utilizando el
47
Hasta la fecha la nica vulnerabilidad que se ha descrito referente a WPA se refiere a
sistemas que han sido establecidos con SOHO y claves PSK demasiado cortas y/o
Se pueden utilizar un conjunto de medidas que reducen las posibilidades de ver la red
comprometida:
Habilitar WEP.
Habilitar el filtrado por MAC: Es un mtodo de autentificacin muy dbil. Una vez roto
el WEP las MACs de los usuarios legtimos son visibles. Muchos adaptadores Wi-Fi
Utilizar encriptacin en capas superiores: HTTPS, POP3S, SSH siempre que sea
posible.
Sistema abierto:
Cualquier cliente puede asociarse a la red sin autentificarse. En este caso podra
establecerse un filtro que confinara el trfico a la red del GUI. El trfico va sin
cliente que no conoce el WEP puede asociarse pero no pasar trfico a travs del AP. El
WEP es un mtodo muy frgil. Existe software capaz de romper un WEP con facilidad.
48
- Autentificacin por MAC.
El AP comprueba la MAC del cliente antes de permitir el acceso. Las MAC pueden
un servidor RADIUS para autentificar las MAC de los clientes en los SSID'
s
legtimo puede ser capturada por un atacante. Las tarjetas Orinoco (y todas las que
-Autentificacin_EAP
siempre un ACS. EAP utiliza dos WEP comos claves de sesin que las partes
implicadas acuerdan durante la autentificacin y que se cambia con una frecuencia que
establece para cada cliente de manera que los clientes no pueden escucharse
EAP-MD5
Linux y WinXP pueden asociarse por este mtodo. Con WinXPSP1 desaparece la
49
autentificacin EAP-MD5 que es sustituida por EAP-MS-CHAPv2 que freeradius an
no soporta.
EAP-TLS
mediante certificados. Con este sistema tanto el ACS como el cliente deben demostrar
estas configuraciones sin mas requerimientos que asociar correctamente los puntos de
opcional de seguridad incluido en la norma IEEE 802.11 . Los objetivos de WEP, segn
WEP utiliza una misma clave simtrica y esttica en las estaciones y el punto de acceso.
que obliga a escribir la clave manualmente en cada uno de los elementos de red. Esto
genera varios inconvenientes. Por un lado, la clave est almacenada en todas las
50
El algoritmo de encriptacin utilizado es RC4 con claves (seed), segn el estndar, de
inicializacin ms 40 bits de la clave secreta. Los 40 bits son los que se deben distribuir
debera ser diferente para cada trama. El objetivo perseguido con el IV es cifrar con
claves diferentes para impedir que un posible atacante pueda capturar suficiente trfico
cifrado con la misma clave y terminar finalmente deduciendo la clave. Como es lgico,
ambos extremos deben conocer tanto la clave secreta como el IV. Lo primero sabemos
extremo, por lo que tambin ser conocido. Observemos que al viajar el IV en cada
Check Value).
4. Se calcula la O exclusiva (XOR) de los caracteres del punto 1 con los del punto
51
5. Se enva el IV (sin cifrar) y el mensaje cifrado dentro del campo de datos (frame
El algoritmo para descifrar es similar al anterior. Debido a que el otro extremo conocer
el IV y la clave secreta, tendr entonces el seed y con ello podr generar el keystream.
Realizando el XOR entre los datos recibidos y el keystream se obtendr el mensaje sin
para impedir que un posible atacante recopile suficiente informacin cifrada con una
misma clave.
Sin embargo, el estndar 802.11 no especifica cmo manejar el IV. Segn se indica que
debera cambiarse en cada trama para mejorar la privacidad, pero no obliga a ello.
consecuencia de esto es que buena parte de las implementaciones optan por una
solucin sencilla: cada vez que arranca la tarjeta de red, se fija el IV a 0 y se incrementa
en 1 para cada trama. Y esto ocasiona que los primeras combinaciones de IVs y clave
utiliza la misma clave secreta, por lo que las tramas con igual clave se multiplican en el
medio.
Por otro lado, el nmero de IVs diferentes no es demasiado elevado (2^24=16 millones
tiempo ser menor cuanto mayor sea la carga de la red. Lo ideal sera que el IV no se
52
repitiese nunca, pero como vemos, esto es imposible en WEP. La cantidad de veces que
saber si dos tramas han sido cifradas con la misma clave, puesto que el IV se enva sin
La longitud de 24 bits para el IV forma parte del estndar y no puede cambiarse. Bien es
cierto que existen implementaciones con claves de 128 bits (lo que se conoce como
WEP2), sin embargo, en realidad lo nico que se aumenta es la clave secreta (104 bits)
Qu podemos hacer una vez hemos capturado varias tramas con igual IV, es decir, con
igual keystream? Necesitamos conocer el mensaje sin cifrar de una de ellas. Haciendo el
XOR entre un mensaje sin cifrar y el mismo cifrado, nos dar el keystream para ese IV.
Conociendo el keystream asociado a un IV, podremos descifrar todas las tramas que
usen el mismo IV. El problema es entonces conocer un mensaje sin cifrar, aunque esto
Con lo que hemos descrito no podemos deducir la clave secreta, aunque s es posible
generar una tabla con los IVs de los que sabemos su keystream, la cual permitir
vulnerabilidad del protocolo WEP permite deducir la clave total conociendo parte de la
53
Otras debilidades de WEP
WEP tambin adolece de otros problemas adems de los relacionados con el vector de
un mecanismo que garantice la integridad de los mensajes. Con este fin, WEP incluye
un CRC-32 que viaja cifrado. Sin embargo, se ha demostrado que este mecanismo no es
vlido y es posible modificar una parte del mensaje y a su vez el CRC, sin necesidad de
conocer el resto. Esto permitira, por ejemplo, modificar algn nmero de la trama sin
que el destino se percatara de ello. En lugar del algoritmo de CRC se recomienda como
ICV (Integrity Check Value) un algoritmo diseado para tal fin como SHA1-HMAC
forma que describimos a continuacin. Una estacin que quiere unirse a una red, solicita
mensaje recibido, comprueba que su ICV es correcto y lo compara con el texto que
envi.
enviar por la red el mismo texto sin cifrar y cifrado con la clave WEP (esta clave
embargo, tanto si las implementaciones repiten ese IV como sino, el mecanismo ofrece
54
informacin que podra ser aprovechada para romper la clave WEP utilizando las
mejor consejo sera no utilizarlo para no ofrecer informacin extra a un posible atacante.
autentificacin.
podra ser, por ejemplo, el que contiene la contrasea de un usuario para utilizar un
determinado servicio.
Todos los problemas comentados unidos a las caractersticas propias de WEP como es
Alternativas a WEP
Las vulnerabilidades explicadas de WEP son motivos ms que suficientes para utilizar
Aunque no forma parte del estndar, los fabricantes de productos Wi-Fi decidieron
ofrecer la posibilidad de utilizar claves del doble de longitud (de 64 bits a 128 bits).
WEP utilizado con claves de 128 bits es lo que se conoce generalmente como WEP2.
Sin embargo, debemos observar que la longitud del vector de inicializacin sigue siendo
de 24 bits (las tramas IEEE 802.11 no contemplan un mayor nmero de bits para enviar
55
el IV), por lo que lo nico que se ha aumentado es la clave secreta (de 40 bits a 104
bits). Debido a que la longitud del IV y su forma de utilizarlo no varan, las debilidades
del IV pueden seguir siendo aprovechadas de la misma manera. WEP2 no resuelve los
problemas de WEP.
misma clave (clave secreta + WEP) no se utilice en ms de una trama, este mecanismo
Sin embargo, la solucin preferida por las empresas como alternativa a WEP ha sido la
fabricantes.
Los mecanismos diseados especficamente para redes WLAN para ser los sucesores de
WEP son WPA y WPA2 (IEEE 802.11i). El primero es de 2003 y el segundo se espera
56
.9.4 Mecanismo WAP (Wi-Fi Protected Access)
de empresas Wi-Fi a la seguridad que demandan los usuarios y que WEP no puede
proporcionar.
El IEEE tiene casi terminados los trabajos de un nuevo estndar para reemplazar a
partes del futuro estndar que ya estaban suficientemente maduras y publicar as WPA.
WPA es, por tanto, un subconjunto de lo que ser IEEE 802.11i. WPA (2003) se est
seguro. Puede ocurrir incluso que usuarios que utilizan WPA no vean necesidad de
Caractersticas de WPA
pensado para las ramas de un switch, tambin se puede aplicar a las distintas
mantendr el puerto bloqueado hasta que el usuario se autentifique. Con este fin
puerto. El servidor RADIUS puede contener polticas para ese usuario concreto
que podra aplicar el punto de acceso (como priorizar ciertos trficos o descartar
otros).
inclusin de vectores del doble de longitud (48 bits) y especificando reglas de secuencia
que los fabricantes deben implementar. Los 48 bits permiten generar 2 elevado a 48
58
combinaciones de claves diferentes, lo cual parece un nmero suficientemente elevado
como para tener duplicados. El algoritmo utilizado por WPA sigue siendo RC4. La
secuencia de los IV, conocida por ambos extremos de la comunicacin, se puede utilizar
Las claves ahora son generadas dinmicamente y distribuidas de forma automtica por
lo que se evita tener que modificarlas manualmente en cada uno de los elementos de red
o Con servidor AAA, RADIUS normalmente. Este es el modo indicado para las
o Con clave inicial compartida (PSK). Este modo est orientado para usuarios
59
WEP, esta clave slo se utiliza como punto de inicio para la autentificacin, pero
WPA2.
con claves de 128 bits. Requerir un hardware potente para realizar sus algoritmos. Este
aspecto es importante puesto que significa que dispositivos antiguos sin suficientes
Otra mejora respecto a WPA es que WPA2 incluir soporte no slo para el modo BSS
5
http://www.saulo.net/pub/inv/SegWiFi-art.htm
60
1.9.5 Amenazas
Una diferencia esencial entre las redes Ehernet y las inalmbricas es que estas ltimas se
que a los conmutadores modernos, en ellas cada computadora conectada a la red puede
ver el trfico de todos los otros usuarios. Para monitorear todo el trfico de la red en
un punto de acceso, uno puede simplemente sintonizar el canal que se est utilizando,
colocar la tarjeta de red en el modo de monitoreo, y registrar cada paquete. Estos datos
pueden ser de mucho valor para alguien que los escucha a escondidas (incluyendo datos
tambin puede proveer contraseas y otros datos de gran valor, posibilitando que la red
Otro problema serio de las redes inalmbricas es que los usuarios son relativamente
annimos. Todos los dispositivos inalmbricos incluyen una direccin MAC nica, la
cual es asignada por el fabricante, pero esas direcciones a menudo pueden ser
modificadas con ciertos programas. An teniendo la direccin MAC, puede ser muy
difcil identificar donde est localizado fsicamente un usuario inalmbrico. Los efectos
del eco, las antenas de gran ganancia, y una amplia variedad de caractersticas de los
usuario, por otro lado tiene el desafortunado efecto colateral de que los ataques de
denegacin del servicio (DoS por su sigla en ingls) son extremadamente simples.
61
de alta potencia, un telfono inalmbrico, un transmisor de video, o cualquier otro
dispositivo de 2.4 GHz, una persona con malas intenciones puede causar problemas
Les presentamos varias categoras de personas que pueden causar problemas a una red
inalmbrica:
usuarios pueden hacer uso de esta red como lo hacen habitualmente, ignorando
desprevenidos y capturar sus datos. El primer paso para evitar este problema es
incorporarse a una nueva red. Como veremos ms adelante en este captulo los
62
x War drivers. El fenmeno de los war drivers (buscadores de redes) basa su
las redes inalmbricas. En general se mueven por la ciudad equipados con una
pero los datos que recolectan pueden ser de inters para aquellos que se dedican
gobierno o de una empresa. Una persona con malas intenciones puede utilizar
nunca debi haber sucedido en primer lugar, pero los buscadores de redes hacen
63
corporativa. Al instalar un punto de acceso sin autorizacin, el usuario abre la
importante tener una poltica clara que los prohba. Puede que sea muy difcil
mismo ESSID de la red, una persona puede engaar a la gente para que use este
equipo y registrar o manipular todos los datos que pasan por l. Repetimos, si
sus usuarios estn entrenados para usar una fuerte encriptacin, este problema se
monitoreo pasiva (como Kismet), un fisgn puede registrar todos los datos de la
red desde lejos sin que ni siquiera se note su presencia. Los datos encriptados
los datos sin encriptacin se pueden leer fcilmente en tiempo real. Si a usted le
grficos en redes inalmbricas, tales como archivos GIF y JPEG. Mientras que
los usuarios estn navegando en Internet, estas herramientas despliegan todos los
nada les hace llegar mejor el mensaje que mostrarles las imgenes que estn
64
buscando en su navegador web. Si bien no puede ser prevenido por completo, el
x ORIGEN
inalmbrica, aquellas que las siguieron lo hicieron guiadas por los grandes
donde era costoso o difcil mantener o instalar el cableado para una red.
Pero sucedi que entre el frenes por implementarlas se pasaron por alto los
internacional.
6
http://www.montevideolibre.org/manuales:libros:wndw:capitulo_6:amenazas
65
Que sn?
Wi-Fi Tretas son las amenazas que afectan a una red inalmbrica, como: acceso fcil y
Otra es que una persona puede fcilmente conectar un dispositivo GPS a su laptop,
tipo de seguridad de cada una junto con las coordenadas que indica el GPS al momento
ARMAS DE PROTECCIN
encripcin de datos, el Wired Equivalent Privacy (WEP) que soporta 64 y 128 bits
como llave para el cifrado, aunque algunos fabricantes ofrecen 256 bits.
No obstante, cuando se mencion por primera vez de forma oficial las vulnerabilidades
66
mtodos de proteccin para la autenticacin, los ms significativos y sencillos de
Protocol (CCMP).
Adems de estos estndares existen una serie de mejores prcticas que pueden aplicarse
para robustecer la seguridad de una red inalmbrica, entre stas: evaluar bien las
Aunque tambin conviene utilizar access points con firewall integrado, implementar
1.9.6 Spoofing
falseada; la idea de este ataque - al menos la idea - es muy sencilla: desde su equipo, un
pirata simula la identidad de otra mquina de la red para conseguir acceso a recursos de
direccin IP del host suplantado. Y como los anillos de confianza basados en estas
67
caractersticas tan fcilmente falsificables son an demasiado abundantes (no tenemos
ms que pensar en los comandos r-, los accesos NFS, o la proteccin de servicios de red
atacado, y un sistema suplantado que tiene cierta relacin con el atacado; para que el
pirata pueda conseguir su objetivo necesita por un lado establecer una comunicacin
falseada con su objetivo, y por otro evitar que el equipo suplantado interfiera en el
ataque ([HB96]). Probablemente esto ltimo no le sea muy difcil de conseguir: a pesar
de que existen mltiples formas de dejar fuera de juego al sistema suplantado - al menos
a los ojos del atacado - que no son triviales (modificar rutas de red, ubicar un filtrado de
el punto siguiente hablaremos con ms detalle de estos ataques, no suele ser difcil
`tumbar'
, o al menos bloquear parcialmente, un sistema medio; si a pesar de todo el
mquina a la que desea suplantar (por ejemplo, por cuestiones de puro mantenimiento).
El otro punto importante del ataque, la comunicacin falseada entre dos equipos, no es
tan inmediato como el anterior y es donde reside la principal dificultad del spoofing. En
un escenario tpico del ataque, un pirata enva una trama SYN a su objetivo indicando
como direccin origen la de esa tercera mquina que est fuera de servicio y que
mantiene algn tipo de relacin de confianza con la atacada. El host objetivo responde
68
con un SYN+ACK a la tercera mquina, que simplemente lo ignorar por estar fuera de
atacante enviar ahora una trama ACK a su objetivo, tambin con la direccin origen de
la tercera mquina. Para que la conexin llegue a establecerse, esta ltima trama deber
insertar una puerta trasera que permita una conexin normal entre las dos mquinas.
hacerse una idea de cmo son generados e incrementados los nmeros de secuencia
TCP, y una vez que lo sepa ha de conseguir `engaar'a su objetivo utilizando estos
nmeros para establecer la comunicacin; cuanto ms robusta sea esta generacin por
parte del objetivo, ms difcil lo tendr el pirata para realizar el ataque con xito.
ningn momento las respuestas que emite su objetivo, ya que estas van dirigidas a la
mquina que previamente ha sido deshabilitada, por lo que debe presuponer qu est
suposiciones. Sera imposible tratar con el detenimiento que merecen todos los detalles
relativos al spoofing por lo que para obtener informacin adicional es necesario dirigirse
a excelentes artculos que estudian todos los pormenores del ataque, como [Dae96] o
[HB96]; de la misma forma, para conocer con detalle el funcionamiento del protocolo
69
Para evitar ataques de spoofing exitosos contra nuestros sistemas podemos tomar
diferentes medidas preventivas; en primer lugar, parece evidente que una gran ayuda es
generacin robusto puede ser el basado en [Bel96], que la mayora de Unices son
capaces de implantar (aunque muchos de ellos no lo hagan por defecto). Otra medida
cifrado y el filtrado de las conexiones que pueden aceptar nuestras mquinas tambin
Hasta ahora hemos hablado del ataque genrico contra un host denominado spoofing o,
en mayor o menor medida con este, entre los que destacan el DNS Spoofing, el ARP
conocido), ARP spoofing, DNS spoofing, Web spoofing o e-mail spoofing, aunque en
70
TIPOS DE SPOOFING
puede ser usado para cualquier protocolo dentro de TCP/IP como ICMP, UDP o
TCP. Hay que tener en cuenta que las respuestas del host que reciba los paquetes
"echo request") spoofeado, la respuesta ser recibida por el host al que pertenece
momento al recibir paquetes sin haberlos solicitado. Tambin hay que tener en
cuenta que los routers actuales no admiten el envo de paquetes con IP origen no
sobrepasarn el router).
71
trabaja mediante direcciones MAC, no mediante direcciones IP. ARP es el
la MAC del host poseedor la IP con la que desea comunicarse. El ordenador con
los hosts guardan una tabla local con la relacin IP-MAC llamada "tabla ARP".
Dicha tabla ARP puede ser falseada por un ordenador atacante que emita tramas
OSI, por lo que esta tcnica slo puede ser utilizada en redes LAN o en
cualquier caso en la parte de la red que queda antes del primer Router. Una
que las ips de red sean fijas), lo cual puede ser difcil en redes grandes. Para
tablas ARP (como Arpwatch) y el usar la seguridad de puerto de los switches para evitar
72
x DNS SPOOFING: Suplantacin de identidad por nombre de dominio. Se trata
x WEB SPOOFING: Suplantacin de una pgina web real (no confundir con
phising). Enruta la conexin de una vctima a travs de una pgina falsa hacia
que la vctima visite. La vctima puede abrir la pgina web falsa mediante
otras personas o entidades. Esta tcnica es usada con asiduidad para el envo de
73
e-mails hoax como suplemento perfecto para el uso de phising y para SPAM, es
tan sencilla como el uso de un servidor SMTP configurado para tal fin. Para
1.9.7 Suplantacin
Uno de los delitos que est obteniendo importantes ndices de crecimiento en la red, es
identidades, con el nimo de obtener datos sensibles, tales como nmeros de tarjetas de
nuestra cuenta o usuario est por ser deshabilitado y se deben reingresar los datos, o en
caso contrario se dar de baja o alguna excusa similar. Se nos facilita un enlace
de identificacin, etc., que luego sern usados en forma fraudulenta, suplantando a los
verdaderos usuarios.
7
http://es.wikipedia.org/wiki/Spoofing
74
Esta clase de delitos se ven beneficiados tambin, por fallas en los navegadores, que
permiten visualizar cierta URL, cuando en realidad se esta visitando un sitio diferente.
Un filtrado MAC hace que solo se conecten al router las direcciones MAC que se desea,
una MAC es una direccin fsica de una tarjeta de red, con lo cual con el filtrado mas
IPCONFIG
75
Para usuarios con Win 98 dirigiros a inicio/ejecutar/winipcfg sealad vuestro
adaptador (NO PPP adapter) y all veris vuestra IP privada y puerta de enlace.
Una vez que conocemos estos datos estamos en disposicin de entrar por web a la
76
En esta pantalla activaremos el filtro Mac y para eso marcamos en Wireless MAC Filter
enable y luego marcamos Permit only para as aadir nosotros el listado de direcciones
El siguiente paso ser pulsar sobre el botn Edit MAC Filter List y nos saldr lo
77
Fig.24 Listado direcciones MAC
Para saber nuestra direccin MAC iremos a Inicio/ejecutar y pulsaremos cmd y se nos
78
Fig.25 Pantalla IP config all
Ahora para guardar los vcambios pulsamos sobre "save settings" y se nos reiniciara la
red y despus para guardar y resetear volvemos a pulsar en save settings. Si todo ha ido
Si bien este protocolo ha sido vulnerado, muchos dispositivos y placas slo admiten este
activacin se vuelve obligatoria. Para redes hogareas puede ser suficiente, ya que
vulnerar WEP no est al alcance de cualquier persona active la WEP: Los protocolos
Inalmbrica Equivalente (Wireless Equivalent Privacy o WEP) que autentica a todos los
que quieran entrar a la red inalmbrica y que cifra todo el trfico. La WEP tiene
79
reunido evidencia irrefutable en find.pcworld.com/ 30332). Pese a esto, tener un poco
activar la WEP.
Use la WEP de 128 bits: Los equipos de Wi-Fi son capaces de funcionar con un cifrado
WEP de 40 o de 128 bits. El cifrado WEP ms dbil de 40 bits, combinado con los otros
defectos documentados de la WEP, hacen que un sistema sea fcil de penetrar. Pero
debemos mencionar que para usar la WEP de 128 bits, primero hay que asegurarse de
que todos los dispositivos inalmbricos en la red sean compatibles con esa tecnologa.
reemplazar aquellas tarjetas que son incompatibles con esta seguridad ms estricta.
Escoja buenas frases de contrasea, o use nmeros hexadecimales: Parte del proceso de
ms ineficaz si se utiliza una frase fcil de adivinar. Mezcle las letras maysculas y
minsculas con caracteres que no sean alfanumricos, no use palabras reales (aunque se
trate de otro idioma) y evite aquellos trucos demasiado transparentes como los de
desplazar sus dedos una tecla hacia arriba, hacia abajo o lateralmente antes de escribir
Por suerte, la frase de contrasea es una conveniencia que usted puede pasar por alto si
lo desea. Simplemente cree su clave WEP hexadecimal (una serie de nmeros decimales
80
inalmbrica (vea la Figura 1). Los nmeros hexadecimales (de base 16) comienzan con
el cero y usan las letras de la A a la F para reemplazar con un solo dgito los nmeros
decimales (de base 10) del 10 al 15. As se pueden producir cantidades de dos dgitos
como 0B (decimal 11) y FF (decimal 255). Evite las claves memorizables con
homnimos hexadecimales como A1, 3D, 4F, 2B, B4 porque los piratas ya pensaron en
de bits ms alto). Cuando se activa el mtodo WEP, se utiliza una clave para cifrar los
datos, lo que significa que adquieren un formato especfico que slo puede interpretar
otro dispositivo inalmbrico que conozca esa clave. Dado que en los dos extremos se
utiliza la misma clave, los usuarios que no la conozcan no podrn conectarse a la red ni
81
(Seguridad) que se encuentra en las pginas de interfaz Web del usuario para programar
Es importante que las claves de red coincidan con las de los routers inalmbricos. Si
Nota: Para las claves de red se distingue entre maysculas y minsculas. Cuando
introduzca una clave de red, escrbala tal como aparece en el router o punto de acceso
inalmbricos.
router o punto de acceso inalmbricos y cambiar el criterio del campo Wireless MAC
82
Fig. 26 Seguridad WEP
83
1.9.10 VPN
La Red Privada Virtual (RPV), en ingls Virtual Private Network (VPN), es una
tecnologa de red que permite una extensin de la red local sobre una red pblica o no
empresa utilizando como vnculo Internet, permitir a los miembros del equipo de
soporte tcnico la conexin desde su casa al centro de cmputo, o que un usuario pueda
acceder a su equipo domstico desde un sitio remoto, como por ejemplo un hotel. Todo
En pocas palabras una VPN es una red virtual que se crea "dentro" de otra red, como
por ejemplo Internet. Generalmente las redes privadas se crean en redes pblicas, en las
que se quiere crear un entorno confidencial y privado. La VPN nos permitir trabajar
Una vez establecida la conexin de la red privada virtual los datos viajan encriptados de
Para poder realizar una VPN se necesita un servidor (o host) que espera conexiones
entrantes, y uno o varios clientes, que se conectan al servidor para formar la red privada.
84
Qu podemos hacer con una VPN?
los recursos del otro equipo de forma segura y confidencial, por ejemplo a impresoras,
cualquier otra conexin de red, es decir, dentro de la VPN cada equipo tendr una IP,
todas las conexiones usando esa IP estarn funcionando dentro de la VPN y sern
encriptadas, el usuario simplemente tendr que usar las IPs de la VPN, y no preocuparse
Windows. Es sencillo y fcil de implementar pero ofrece menor seguridad que L2TP.
En este artculo implementaremos una conexin VPN mediante PPTP usando MS-
CHAP v2. Tambin es posible usar PPTP con EAP-TLS para soportar certificados de
85
seguridad.
Linux, Mac, etc. Se implementa sobre IPSec y proporciona altos niveles de seguridad.
Se pueden usar certificados de seguridad de clave pblica para cifrar los datos y
seguridad IPSec.
128 bits. Las conexiones L2TP/IPSec usan Data Encryption Standard (DES),
con llaves de 56 bits para DES o tres llaves de 56 bits para 3-DES. Los datos se
86
Existen ms diferencias, pero hacer un estudio ms pormenorizado se saldra de
la idea inicial de este artculo por lo que lo dejaremos en estas tres diferencias
fundamentales.
Caso prctico
haremos a continuacin.
compartir sus recursos (ficheros, impresoras, etc.) entre ellos de forma privada y
sencilla.
web de Microsoft.
Servidor VPN
87
Fig. 28 Conexin VPN
88
Entre las opciones disponibles seleccionamos "Configurar una conexin
para continuar.
89
Fig. 31 Asistente para conexcin VPN (1)
ninguno, pues no queremos que se conecten a este equipo haciendo una llamada
90
En la pantalla "Conexin de red privada virtual (VPN) entrante" debemos
91
Fig. 34 Seleccin de los usuarios de la VPN
92
Fig. 35 Asistente para conexin
que los clientes que se conectan a nosotros puedan acceder a la red local en la
podemos dejar que el servidor asigne las IPs de los clientes o establecer un
93
Fig. 36 Propiedades TCP de la VPN
podremos ver el estado de sta, los clientes conectados, cambiar las opciones de
configuracin, etc.
Ahora ya tenemos configurado el servidor VPN y ya est listo para aceptar clientes
VPN.
94
Cliente VPN
95
Fig. 38 Conexin VPN
En la siguiente ventana, marcaremos la opcin "no usar conexion inicial" a menos que
queramos que con la vpn se utilice otra de nuestras conexiones a internet, si indicamos
que al activar esta conexin se active antes otra conexin, por ejemplo una conexin
sta marque ninguna conexin. Por ltimo indicamos la direccin IP del servidor VPN,
96
Fig. 39 Conexin al Servidor
cambiar (IPs dinmicas) por lo que ser necesario indicarle la IP que tiene en
cada momento.
97
Fig. 40 Acceso al Servidor
Para realizar las comunicaciones usando la VPN deberemos usar las IPs de la VPN. Es
decir, adems de la IP de Internet que tiene el servidor y los clientes se han generado
otras IPs internas de la VPN, pues esas deberemos usar para comunicarnos con los
equipos de la VPN, estas se obtendrn como las habituales, pero en el icono de la nueva
98
equipos de la red, o le llevar mucho tiempo, en ese caso, podremos acceder a ellos
Para usar otros recursos, como servidores de base de datos, etc. simplemente usamos la
tienen mal asignados los permisos puede ocurrir que no se pueda acceder a recursos.
8
http://www.elrincondelprogramador.com/default.asp?pag=articulos/leer.asp&id=55
99
CAPITULO II
FRANCISCO
San Francisco fue fundada el 9 de septiembre de 1886 por Jos Bernardo Iturraspe, en el
marco de un plan de colonizacin que haba puesto en marcha en esa poca el gobierno
de la provincia de Crdoba.
DE DECISIONES EN LA MUNICIPALIDAD.
uno de ellos est ubicado a un kilmetro y medio de distancia de la matriz, es con este
este punto se concentra el rea de trnsito de la ciudad, es aqu donde llegan todas las
multas e infracciones recolectadas por los agentes de trnsito, una vez recolectadas se
las procesa ah mismo pero a la vez deben ser cargadas en la base de datos principal de
la municipalidad, la falta del enlace hace que a diario una persona se deba movilizar de
un punto al otro llevando consigo la informacin en medio magntico para ser cargada
y debe ser cargada con mayor retraso an, esto tambin hace sentir malestar a los
100
usuarios que se acercan a la municipalidad a pagar su multa al da siguiente de haber
cometido la infraccin y se encuentran con que no hay ningn reporte y por no regresar
Nuestra Visin:
estando al servicio de los clientes internos y externos para satisfacer toda sus
necesidades.
101
Nuestra Misin:
Confeccionar los mejores sistemas posibles, logrando no solo calidad, sino tambin
Atender a nuestros clientes internos con la mejor buena predisposicin respetando sus
Pensar cada trabajo no slo en los clientes internos, sino tambin en los clientes
Cumplir con nuestros objetivos respetando siempre las leyes, ordenanzas, decretos, y
necesarios y suficientes, haciendo los ahorros que las necesidades nos permitan.
FODA
Nuestras fortalezas:
i La buena relacin que existe con las dems reas para consensuar cambios sin que
haya resistencia.
i Los lineamientos polticos que produjo una necesidad de mostrar cambios para
mejorar.
Nuestras Debilidades:
direccin informtica.
Nuestras Amenazas:
i Terceras empresa que ofrecen sistemas modernos que seran difcil de aplicar.
103
Que Hacemos
Municipales:
3. Tesorera
4. Inmuebles
5. Cementerio
6. Comercio
7. Automotores
8. Guas de Hacienda.
9. Fiscalizacin.
11. Contadura.
13. Trnsito.
17. Librera.
18. Imprenta.
104
21. Bromatologa
24. Contrataciones.
i Inmuebles
i Comercio
i Automotores
i Iluminacin.
i Inmuebles
i Cementerio
i Comercio
i Automotores
105
i AMOS y Red Cloacas
impresoras, modem, teclados y mouses sobre 51 equipos 486, 386 y 286; 22 equipos
Pentium I; 7 equipos Pentium II; 40 equipos Pentium III. Totalizando unas 400
106
2.2 DISEO DEL SISTEMA DE RED.
Hay diversos puntos dbiles graves en la seguridad inherentes a las redes inalmbricas.
uso de la privacidad equivalente por cable (WEP, Wired Equivalent Privacy), como se
especifica en el estndar 802.11 del IEEE. La solucin propuesta en esta gua se ocupa
Autenticacin slida de cliente inalmbrico. Esto debe incluir la autenticacin mutua del
inalmbrica.
El estndar del protocolo 802.1X para control de acceso a la red, en combinacin con un
requisitos. La WEP de alta potencia brinda un cifrado seguro del trfico de red pero
claves de cifrado WEP inherentes a 802.1X y EAP son mucho ms seguros que lo
permitido por los estndares bsicos de 802.11. El estndar de acceso protegido WiFi
(WPA, WiFi Protected Access) es un grupo de normas basadas en el sector que incluye
107
802.1X y EAP (entre otras mejoras) y un protocolo estandarizado para la administracin
proveedores.
tan grave como los otros fallos de WEP, y la mayora de los ataques de denegacin de
Aunque la compatibilidad con WPA ya est bastante extendida, todava hay muchos
dispositivos y sistemas incapaces de acomodar este estndar. Por esta razn, la solucin
en esta gua est diseada para funcionar con WPA y WEP dinmica. La mayora de los
proveedores de hardware de red venden productos compatibles con 802.1X con claves
WEP dinmicas y WPA. La finalidad de esto ofrecer la posibilidad de tratar los dos
diseo.
802.1X EAP-TLS).
108
Figura 42 Concepto de la solucin basado en la autenticacin de 802.1X EAP-TLS
Para este enlace he credo conveniente utilizar antenas parablicas grilladas para enlace
via microonda con equipos ruteadores Linksys, a pesar que su costo es mayor la
que requiere acceso a los recursos de red. El cliente tiene la capacidad de cifrar su
claves o contraseas).
acceso a la red" (NAS, Network Access Service) pero en los estndares inalmbricos se
109
hace referencia a este componente como "AP" o "punto de acceso". El punto de acceso
con los medios para intercambiar claves de cifrado de manera segura con el cliente a fin
este servicio pero el directorio y la entidad emisora tambin contribuyen a esta funcin.
La red interna. Se trata de un rea segura de servicios conectados a la red a los que la
Los nmeros del diagrama ilustran el proceso de acceso a la red, que se describe con
red inalmbrica. (Esto podra realizarse con algunos medios fuera de banda como, por
WLAN cuenta con un identificador del conjunto de servicios (SSID, Service Set
110
configuracin correcta y el tipo de credencial que debe utilizarse para esta WLAN
especfica.
canal restringido que permite al cliente comunicarse slo con el servidor RADIUS. Este
canal bloquea el acceso al resto de la red. El servidor RADIUS solamente aceptar una
El cliente intenta realizar la autenticacin con el servidor RADIUS a travs del canal
Security) con el servidor RADIUS. El uso de una sesin de TLS tiene las finalidades
siguientes:
RADIUS.
111
x la negociacin de la sesin de TLS genera una clave que el cliente y el servidor
RADIUS pueden utilizar para establecer claves maestras comunes. Estas claves
cliente. Utiliza informacin del directorio (por ejemplo, sobre la pertenencia a grupos) y
tiempo en que se permite el acceso a la WLAN) para conceder o denegar el acceso del
4.- Si se concede acceso al cliente, RADIUS transmitir la clave maestra del cliente al
informacin de clave comn que pueden utilizar para cifrar y descifrar el trfico de
Cuando se utiliza WEP dinmica para cifrar el trfico, las claves maestras deben
servidor RADIUS realiza este proceso de forma regular, lo que obliga al cliente a repetir
usa para derivar las claves de cifrado de datos, que cambian para cada paquete
112
5.- A continuacin, el punto de acceso establece la conexin de WLAN del cliente con
la LAN interna, lo que ofrece al cliente un acceso sin restricciones a los sistemas de la
red interna. Ahora, el trfico transmitido entre el cliente y el punto de acceso est
cifrado.
servidores fsicos, cmo se vincularn y cmo se distribuirn entre los diferentes sitios
El diagrama ilustra los edificios los cuales hay que enlazar y la distancia entre ellos, en
y el Proxy Server para Internet y 120 equipos para usuarios por otro lado en el rea de
frecuencia de 2.4 a 2.8 Ghz, estas antenas estn diseadas para baja resistencia al viento,
(cablearemos mediante fibra ptica los tramos entre la antena ubicada en el exterior
hasta un transeiver esto nos brinda mayor seguridad en caso de algn rayo pegue la
antena, y desde el mismo hacia el router utilizaremos cable ethernet y hasta llegar a la
placa de red en el servidor. Del otro lado de igual manera pero hasta llegar al router
firewall.
TRANSITO
1500 metros
MUNICIPALIDAD
114
22.1 Diagramacin del diseo fsico.
El ruteo de los paquetes lo realizar directamente el servidor Proxy el mismo que tiene
instalado tres placas de red, la una para la entrada de Internet, otra para la conexin al
switch de la Lan y la otra para el enlace WLAN, de el otro lado est el Access Point
(AP) conectado al switch de la Lan de Trnsito los datos que provengan de los usuarios
de trnsito saldrn por el AP ubicado en la misma oficina cruzarn por la WLAN hasta
115
En la Municipalidad se utilizar desde la IP 192.168.0.2 con mscara 255.255.255.0 y
2.3.1 Costos.
Mano de obra:
torres, instalacin del cable de fibra ptica y pacheo de cables es algo que se debe
contratar por separado, para las torres he considerado el costo de 100 usd por torre el
meses.
116
2.3.2 Beneficios.
Los beneficios de tener un enlace inalmbrico entre estos dos edificios se hace cada vez
municipalidad permitira a los usuarios poder pagar sus faltas en forma oportuna es
correspondiente evitando tener que regresar otro da o peor el caso por no pagar ese
117
CAPITULO III
CONCLUSIONES Y RECOMENDACIONES
OBJETIVOS ESPECFICOS.
de la municipalidad.
funcionamiento confiable.
118
Tanto el software y hardware principalmente est diseado para ser ampliado en un
futuro, en el caso que se desee agregar un nuevo punto de acceso remoto la tecnologa
HIPOTESIS
cumple con la eficacia y eficiencia, cumple con la actualizacin en tiempo real, cumple
con la consistencia de los datos y desde luego con la seguridad de dicha informacin,
de herramientas muy completo, con un servidor Proxy y un Firewall muy robustos que
119
3.3 Conclusiones
sistemas.
comunidad.
3.4 Recomendaciones
Municipalidad.
equipos.
de seguridades.
120
BIBLIOGRAFIA
http://www.monografias.com/trabajos12/quimi/quimi.shtml#def (Sep-2007)
http://es.wikipedia.org/wiki/Dise%C3%B1o (Sep-2007)
http://wifi.lycos.es/info/lexicon (Oct-2007)
http://es.wikipedia.org/wiki/Est%C3%A1ndares_inal%C3%A1mbricos#802.11 (Oct-
2007)
http://bibliotecnica.upc.es/pfc/mostrar_dades_PFC.asp?id=4079 (Dic-2007)
http://es.wikipedia.org/wiki/Wi-Fi (Dic-2007)
http://www.saulo.net/pub/inv/SegWiFi-art.htm (Oct-2007)
http://www.montevideolibre.org/manuales:libros:wndw:capitulo_6:amenazas (Nov-
2007)
http://es.wikipedia.org/wiki/Spoofing (Sep-2007)
http://www.elrincondelprogramador.com/default.asp?pag=articulos/leer.asp&id=55
(Dic-2007)
http://www.timagazine.net/magazine/0798/wireless.cfm (Dic-2007)
http://www.iec.uia.mx/proy/titulacion/proy14/vpnprin.htm (Nov-2007)
http://www.gobernabilidad.cl/modules.php?name=News&file=article&sid=419 (Nov-
2007)
http://www.ieee802.org/ (Sep-2007)
121
GLOSARIO DE TERMINOS
wireline).
red Ethernet con una red inalmbrica, se necesita de la direccin MAC del punto de
acceso.
REDES AD-HOC.- Son aquellas que estn formadas por estaciones que se comunican
cableadas.
122
RED PRIVADA.- Redes privadas son aquellas utilizadas por personas naturales o
Una red privada puede estar compuesta de uno o ms circuitos arrendados, lneas
pueden abarcar puntos en el territorio nacional y en el extranjero. Una red privada puede
combinacin de stos.
PUENTE INALAMBRICO.- Conecta inalmbricamente dos redes. Para este caso, los
a travs de un dispositivo.
123
124
Anexo 1 Modelos de antenas.
w im o
Ant ena plana de panel par a punt o a punto o puntos m ultiples. I ncluye el m ontaj e univer sal par a
abat ir , par a la pared o el m ont aj e del m st il, t odo el hardw ar e incluido.
PA- 3 5 0 0 - 1 2 PA- 3 5 0 0 - 1 8
Fr e cu e n cia 3400- 3600 3400- 3600 MHz
Ga n a n cia 12 18 dBi
SW R m a x . < 1: 2 < 1: 2
M a x . M a st dia m et r o 55 55 mm
Siz e 140x166 290x330 mm
Pe so Kg
http://www.wimo.com/cgi-bin/verteiler.pl?url=overview-wifi-antennas_s.html
125
W ifi solid Gr id D ish 5
New
18685.x
The Wifi gr id dishes are m ade from cast ed alum inium and com bine a high stabilit y and low w ind
load for a long endur ance of t he ant ennas. The carefully designed parabolic dish offer a gain of
26dBi on 2.4GHz and 31 dBi on 5GHz. I n contr ast t o ot her par abolic dishes these antennas are
designed for best perfor m ance also on 5GHz.
Due to t he split const r uct ion of the reflector ( 90x70cm ) t he shipping size is very sm all, very
facorable for t he shipping ost . A t ilt / sw ivel m ount for m ast m ount ing is included. Connector N
fem ale.
Technical dat a
126
Anexo 2 Modelos de Routers
Vendedor:
QUICK INFORMTICA (5287)
Puntaje del vendedor: 5287
99% calificaciones positivas (1%
negativas)
Miembro desde: 20/05/2004 | Ver reputacin
Ver artculos del vendedor | Ver eShop
[3 Fotos]
Haz clic en la foto para ampliarla
Tipo de producto: Nuevo
Cantidad: 1
de 4 disponibles Comprar
Tu Oferta: U$S 184.99 c/u
127
Descripcin
Garanta: Garantia directa por 3 aos con Quick Informtica S.A. presentando factura de
compra.
128
Cable/ DSL VPN Router
With 4-port 10/100 switch
-Full IPSec Virtual Private Model: BEFVP41
Network Standards: IEEE 802.3 (10BaseT), IEEE 802.3u (100BaseTX)
(VPN) Capability Ports: One 10/100 RJ-45 Port (Internet)
-Supports DES and 3DES Four 10/100 RJ-45 Ports (Ethernet)
Encryption Algorithms Cabling Type: 10BaseT, 100BaseTX: UTP Category 5 or better
-Supports MD5 and SHA LEDs: Power, Internet, Ethernet (1-4)
Authentications Algorithms Security Features: DES (56-bit), 3DES (168-bit), MD5, SHA
-Supports IKE Key Warranty:1 Years
Management
-Supports Up to 50 IPSec
Tunnels
Simultaneously
-Compatible with Other
IPSec
VPN Products
-Acts as a DHCP Server for
Your
Existing Network
-Hardware Security Co-
Processor
by Hifn Inside
-NAT, PPPoE, IP Filter,
and MAC
Filter Support
-Built-in 4-Port 10/100
Switch for
Sharing Broadband
129
Rou t e r Link sys BEFSR4 1 4 Por t Sw it ch
Publicacin # 16687486
Fot o 1
Precio fij o:
US$ 109.00
o 6 cuot as sin inters de $57.46con
Cant idad:
1
( 1 ar t culos disponibles)
Tipo de publicacin:
Tipo de producto:
Nuevo
Cant idad vendida:
1 Ver list ado de com pr adores
Cant idad de visit as:
222
Finaliza en:
26d 23h ( 09/ 01/ 2008 16: 22)
Vendedor :
a bey oglo
Calificaciones:
745 100% ( + )
Ot ros pr oduct os del vendedor | Reputacin | Pregunt as al vendedor
Ubicacin:
Par que Chacabuco, Capital Federal
Mtodos de envo | Mt odos de pago | Descr ipcin del producto Env iar a un am igo I m pr im ir Seguir
est e producto Repor tar al det ect ive deRem at e
Anexo 3 Modelos de Transceivers
130
Fot o 1
Precio fij o:
US$ 394.00
o 6 cuot as sin int ers de $207.70con
Cant idad:
1
( 10 ar t culos disponibles)
Tipo de publicacin:
Tipo de producto:
Nuevo
Finaliza en:
1d 4 h ( 14/ 12/ 2007 21: 29)
Vendedor :
EBa y e r
Calificaciones:
1293 97% ( + )
Ot ros pr oduct os del vendedor | Reputacin | Pregunt as al vendedor
Ubicacin:
Turder a, Gran Buenos Aires
Mtodos de envo | Mt odos de pago | Descr ipcin del producto
Enviar a un am igo I m pr im ir Seguir este pr oduct o Repor t ar al det ect ive deRem at e Com o com pr ar
en deRem ate
Caractersticas y ventajas
131
Flexibilidad en Conexiones Gigabit Ethernet
Este transceptor SFP (Pequeo Factor de Forma Enchufable) permite una conexin 1000BASE-SX. Los
SFPs tienen un factor de forma de la mitad del tamao de los estndares actuales de la industria.
Este transceptor SFP puede usarse en aquellos conmutadores y mdulos 3Com que soporten mdulos
SFP. Los SFPs pueden combinarse en un determinado conmutador para maximizar la flexibilidad. Sin
embargo, la conexin y el puerto asociado en el extremo remoto deben acoplarse con el tipo de conexin
elegido.
Encontrar una lista actual de estos productos en el apartado Especificaciones de producto, seccin Este
producto soporta...
La simplicidad del diseo del SFP crea una nueva definicin de la facilidad de uso con un excepcional
rendimiento mecnico y ptico
Especificaciones de producto
132
Fot o 1
Precio fij o:
US$ 549.00
o 6 cuot as sin int ers de $289.41con
Cant idad:
1
( 1 ar t culos disponibles)
Tipo de publicacin:
Vendedor :
a bey oglo
Calificaciones:
745 100% ( + )
Ot ros pr oduct os del vendedor | Reputacin | Pregunt as al vendedor
Ubicacin:
Par que Chacabuco, Capital Federal
Mtodos de envo | Mt odos de pago | Descr ipcin del producto Env iar a un am igo I m pr im ir Seguir
este product o Repor tar al det ect ive deRem ate Com o com pr ar en deRem ate
Con su lt a r St ock a n t e s de
ofe r t a r
----------------------------------------------------
------
El St ock e s Figu r a t ivo
SI EM PRE CON SULTAR STOCK AN TES D E
OFERTAR
3Com 1000BASE-SX
GBIC Transceiver
133
Caractersticas
y ventajas
Fle x ible Giga bit Et h e r n et
Con n e ct ions
Un Gigabit I nterface
Conver ter ( GBI C) es un
t r ansceptor m odular
est ndar que ofr ece una
m ayor flexibilidad par a
conex iones Gigabit
Et her net .
Especificaciones de
producto
Tipo de con e ct or: Fibra SC Con t en idos de l pa qu e t e
Tipo de fibra : Mult i- m odo GBI C
134
Anexo 4 Cronograma de Gantt para implementacin.