INSTITUTO POLITÉCNICO NACIONAL

ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA Y ELÉCTRICA

SECCIÓN DE ESTUDIOS DE POSGRADO E INVESTIGACIÓN

UNIDAD CULHUACÁN

TESINA

Aseguramiento de la Red de Área Local Inalámbrica de un Campus

Universitario

TRABAJO QUE PARA OBTENER EL GRADO DE

ESPECIALIDAD EN SEGURIDAD INFORMÁTICA Y TECNOLOGÍAS DE LA INFORMACIÓN

PRESENTA:

Ing. José Félix Guerrero Cantarell

DIRECTOR DE TESINA: Dr. Antonio Castañeda Solís

México, D.F. Junio 2010

Agradecimientos

A mis padres, quienes en todo momento me han dado su cariño y los medios necesarios para construir por mí mismo una carrera. Sin su ayuda no hubiera conseguido ninguna de las metas que hasta ahora he logrado. Agradezco a quienes fueron mis profesores de la Sección de Estudios de Posgrado e Investigación (SEPI) de ESIME Culhuacán, ya que de ellos siempre recibí apoyo y me hicieron sentir como en casa.

Índice Introducción ................................................................................................................................................... 4 1. Las redes de área local inalámbricas ................................................................................................... 5

1.1 Estándar IEEE para redes de área local inalámbricas ............................................................... 5 1.2 Topologías de red de área local inalámbricas ............................................................................ 6

1.2.1 IBSS (Independent Basic Service Set) .............................................................................. 7 1.2.2 BSS (Basic Service Set) ..................................................................................................... 7 1.2.3 ESS (Extended Service Set)............................................................................................... 7 1.2.4 Topología híbrida ............................................................................................................... 8 1.2.5 Topología de malla............................................................................................................. 8

1.3 Mecanismos de control de acceso al medio............................................................................... 9 1.4 Formato de Tramas....................................................................................................................10 1.5 Descubrimiento, autenticación y asociación............................................................................11 1.6 Movilidad y roaming.................................................................................................................12

2 Vulnerabilidades y amenazas de seguridad en redes inalámbricas .................................................14

2.1 Ataques de Reconocimiento .....................................................................................................14 2.2 Ataques de hombre-en-medio...................................................................................................15 2.3 Ataques de repetición ................................................................................................................15 2.4 Ataques de denegación de servicio (DoS) ...............................................................................15 2.5 Apropiación de un AP ...............................................................................................................15 2.6 AP ilegítimo (Rogue AP) ..........................................................................................................16 2.7 Falseo (Spoofing) de MAC Address.........................................................................................16 2.8 Ataque a la autenticación de llave compartida ........................................................................17 2.9 Vulnerabilidades en WEP (Wired Equivalent Privacy) ..........................................................17 2.10 Ataques a WPA..........................................................................................................................19 2.11 Ataque a la autenticación 802.1X.............................................................................................20

3 Arquitectura de seguridad ..................................................................................................................21

3.1 Cisco SAFE................................................................................................................................21 3.2 Arquitectura de Campus............................................................................................................23 3.3 Planeación y diseño de la red inalámbrica ...............................................................................26 3.4 Requerimientos del negocio......................................................................................................27 3.5 Requerimientos técnicos ...........................................................................................................27 3.6 Análisis de riesgos.....................................................................................................................28

3.6.1 Conducción de un análisis de vulnerabilidades..............................................................28 3.7 Definición de políticas de seguridad ........................................................................................29

4 Controles de seguridad inalámbrica ..................................................................................................31

4.1 Identificación y Autenticación..................................................................................................31 4.2 Confidencialidad........................................................................................................................32 4.3 El controlador de WLAN..........................................................................................................33 4.4 Sistema de Detección y/o Prevención de Intrusos Inalámbrico .............................................34 4.5 Detección y mitigación de ataques de denegación de servicio...............................................36

4.5.1 Ataques DoS a la capa física ...........................................................................................36 4.5.2 Ataques DoS a la capa MAC ...........................................................................................36

4.6 Seguridad en Access Points ......................................................................................................36 4.7 VPN para redes inalámbricas....................................................................................................37 4.8 Firewalls .....................................................................................................................................38

4.9 Seguridad de host.......................................................................................................................38 4.10 Medidas administrativas............................................................................................................38

5 Caso de estudio ...................................................................................................................................39

5.1 Ficha técnica ..............................................................................................................................39 5.2 Necesidades del negocio ...........................................................................................................39

5.2.1 Meta:..................................................................................................................................40 5.2.2 Objetivos estratégicos: .....................................................................................................40

5.3 Situación actual..........................................................................................................................40 5.4 Requerimientos del negocio......................................................................................................41

5.4.1 Comunidad a la que se da servicio ..................................................................................41 5.4.2 Servicios de red ofrecidos en la Universidad .................................................................42

5.5 Identificación y evaluación del riesgo......................................................................................42 5.6 Políticas de la Red Inalámbrica ................................................................................................44 5.7 Requerimientos técnicos e implementación.............................................................................47

6 Conclusiones .......................................................................................................................................49 7 Referencias ..........................................................................................................................................50

Resumen Este trabajo de tesina muestra cómo las universidades pueden utilizar una arquitectura de seguridad de red para el diseño e implementación de su red de área local inalámbrica. Se abarcan las vulnerabilidades conocidas que más frecuentemente las afectan y los controles de seguridad necesarios para mitigarlas. Se toman los axiomas y los principios de visibilidad y control de Cisco SAFE y se extraen elementos comunes a considerarse en el diseño de la arquitectura, los cuales incluyen: la identificación, autenticación y autorización de los usuarios, la protección de recursos, aplicaciones e infraestructura basada en políticas, confidencialidad en la transmisión de datos, disponibilidad. La seguridad de la red inalámbrica debe formar parte de un plan que abarque toda la infraestructura de TI del campus y que esté respaldada por los objetivos de negocio que persigue la institución. Finalmente se trata un caso de estudio sobre una institución de educación superior ficticia pero representativa y se aplican los conceptos estudiados en el aseguramiento de su red inalámbrica. Abstract This thesis project shows how universities can use network security architecture for the design and implementation of their wireless local area network. It covers vulnerabilities most commonly found in this type of wireless networks and the security controls needed to address them. Cisco SAFE security axioms and design principles of visibility and control are translated into basic element blocks for building the architecture solution. These elements include: identification, authentication and authorization of users, protecting resources, applications and infrastructure based on policies, data confidentiality and availability. WLAN security is found to be part of larger IT deployment planning for the whole campus infrastructure, driven by the institution’s business objectives. Lastly, a case study for an institution in higher education serves as an example for using the architecture for securing its wireless local area network.

4

Introducción Las instituciones de educación superior, pioneras siempre en el uso de las tecnologías de la información y las comunicaciones, han promovido de manera entusiasta el uso de las redes inalámbricas en sus campus. Impulsadas por la búsqueda de nuevas y más efectivas formas de prestar servicios educativos, las universidades implementaron redes inalámbricas mucho tiempo antes de que éstas tomaran auge en los hogares y las oficinas, otorgándoles ventajas competitivas al reducir costos, facilitar los métodos educativos y hacerlas más atractivas a nuevos estudiantes. Al tomar las computadoras y las redes informáticas un papel protagónico en el proceso de enseñanza-aprendizaje, se ha vuelto esencial que estudiantes y profesores tengan acceso a los servicios de red de la universidad siempre que lo necesiten. Una red de área local inalámbrica (WLAN) permite cubrir esta necesidad eliminando las restricciones de movilidad comunes en la red cableada, proporcionándoles acceso continuo a Internet, al correo institucional, a las aplicaciones escolares o a la biblioteca digital desde cualquier parte del campus o cuando no esté disponible un laboratorio de cómputo. Los centros de investigación y el personal administrativo también pueden obtener los beneficios de la computación móvil en sus actividades. Todo esto con un importante ahorro en tiempo y costos de implementación, en comparación con los requeridos para extender la capacidad de una red cableada tradicional. Sin embargo, la tecnología de redes de área local inalámbricas ha tenido problemas serios en el aspecto de la seguridad, lo cual por ejemplo, detuvo por mucho tiempo su penetración generalizada en el ámbito corporativo. Las primeras especificaciones del protocolo IEEE 802.11 proporcionaban un esquema de autenticación y cifrado de datos notablemente fallido que fue vulnerado a los pocos meses de haberse publicado. A pesar de estos inconvenientes, las redes inalámbricas se siguieron utilizando en las universidades, aunque eran consideradas la mayoría de las veces como una simple extensión a la red cableada sin integrarse realmente a la arquitectura de red existente y fueron ganando fama de ser poco confiables y poco seguras. De acuerdo con la encuesta sobre los 10 asuntos de TI (Tecnologías de la Información) de mayor importancia estratégica para la educación superior, realizado por EDUCAUSE [� 19], la seguridad se encuentra dentro de las tres principales preocupaciones de las instituciones educativas, sólo por debajo del problema del financiamiento al desarrollo de las TI y el mantenimiento de los sistemas administrativos y de planeación de recursos. Este fenómeno también puede observarse en todos los sectores productivos y de servicios, como lo muestra la encuesta del Computer Security Institute (CSI) sobre Seguridad y Crimen Informático realizada en 2009 [� 10], la cual reveló que cada organización pierde en promedio 289 mil dólares al año en incidentes de seguridad informática. Este mismo estudio reportó que, en particular, la explotación de vulnerabilidades inalámbricas es el tipo de incidente de seguridad que mayores pérdidas provoca con 710 mil dólares en promedio, a pesar de que es de los menos comunes e incluso, que el número de casos disminuyó un 50% en comparación con el año anterior. El objetivo de este trabajo es el de mostrar cómo las instituciones educativas pueden utilizar una arquitectura de seguridad de red para el diseño e implementación de su red de área local inalámbrica, lo cual le permitirá protegerla del abuso y estar a la vanguardia en el uso de tecnologías de la información para la educación. Es importante mencionar que dada la infinita variedad de condiciones en las que cada universidad se encuentra, no podemos hablar de una solución única que logre el objetivo, ni siquiera una sola arquitectura de seguridad que se pueda aplicar. Sin embargo encontramos que existen elementos comunes que deberán considerarse para el éxito en su implementación. Estos elementos incluyen: la identificación, autenticación y autorización de los usuarios, la protección de recursos, aplicaciones e infraestructura basada en políticas, confidencialidad en la transmisión de datos, disponibilidad, visibilidad y control. La seguridad de la red inalámbrica debe estar considerada dentro de un plan de seguridad mayor que abarque toda la infraestructura de TI del campus y que esté respaldada por los objetivos de desarrollo tecnológico que persigue la institución. Es importante darse cuenta también que todo alrededor de las TI se encuentra en constante evolución, incluyendo las amenazas que enfrenta. Por esta razón, la arquitectura de seguridad cuenta con un ciclo de vida que permite su adaptación para mantenerse al corriente y con la misma efectividad.

5

1. Las redes de área local inalámbricas El auge que han tenido las redes inalámbricas en los últimos años no es fortuito. La idea de un mundo interconectado sin necesidad de cables es bastante atractiva en muchos aspectos. La ventaja y comodidad que proporciona la movilidad y el ahorro en instalación y mantenimiento, son algunos de los motivos que han propiciado que hoy en día cada vez más dispositivos electrónicos cuenten con algún tipo de tecnología de comunicación inalámbrica. Esta capacidad de comunicarse entre sí, da lugar a la creación de redes de distintos tamaños y propósitos, desde redes personales PAN (Personal Area Network) donde la principal aplicación puede ser la conexión inalámbrica de periféricos, hasta redes globales inalámbricas como la red celular con sus distintos estándares o incluso los enlaces satelitales y de microondas con rangos de alcance de cientos de kilómetros. De entre toda esta gama, aquellas que nos ocupan, son las redes de área local inalámbricas WLAN (Wíreles Area Network), también denominadas WiFi de manera comercial, cuyo ámbito puede ubicarse en los siguientes escenarios:

Hogar: generalmente se utiliza una WLAN para compartir el acceso de Internet de banda ancha de manera inalámbrica entre los equipos que se tengan en casa.

Oficina pequeña: para pequeños negocios o profesionistas que trabajan en casa, la WLAN permite satisfacer sus necesidades de conectividad sin invertir en infraestructura de cableado.

Empresa pequeña o sucursal: varias oficinas se pueden interconectar con una WLAN dando acceso a los recursos en la red de la empresa o expandiendo el alcance de la infraestructura LAN existente.

Edificio corporativo: la WLAN puede proveer servicio de conectividad a la red corporativa en salas de juntas, oficinas y sitios donde el cableado de LAN sea costoso o inapropiado, al tiempo que da movilidad a los usuarios en aplicaciones de datos, voz y video.

Institución educativa: alumnos y profesores encuentran grandes ventajas en poder utilizar equipo de cómputo móvil en salones de clase, espacios de estudio y áreas abiertas, donde además el número de usuarios puede ser mucho mayor a la capacidad de la infraestructura cableada existente.

Hotspots públicos: muchos proveedores de servicios de Internet o ISP (Internet Service Provider) y negocios como cafés o restaurantes, mantienen redes WLAN públicas para sus clientes, como un servicio de valor agregado.

Conectividad entre edificios cercanos: Una WLAN también puede utilizarse para establecer un enlace punto a punto o punto a multipunto de manera inalámbrica entre dos o más edificios. Para esto son necesarias antenas direccionales de alta potencia.

En sus inicios, la tecnología inalámbrica para redes de datos no era una opción factible de utilizarse en todos estos escenarios. Además de ser cara, su rendimiento era mucho menor que el de las redes cableadas y cada fabricante implementaba sus propias tecnologías de radio frecuencia (RF), impidiendo la interoperabilidad. Sin embargo, el gran potencial que se vislumbraba dio pie a que se trabajara sobre un estándar que permitiera extender la tecnología de redes LAN existente a medios no guiados.

1.1 Estándar IEEE para redes de área local inalámbricas La IEEE (Institute of Electrical and Electronic Engineers) es una organización que, entre otras cosas, se encarga de coordinar los esfuerzos en distintos grupos de trabajo, para la estandarización de procedimientos, protocolos, especificaciones y la generación de recomendaciones sobre un amplio rango de sistemas y aplicaciones tecnológicas. Su labor en el campo de las tecnologías de la información y la transmisión de datos es ampliamente reconocida y muchos de sus estándares concernientes a tecnologías de red son los más difundidos y aceptados en la industria. Es el caso del estándar IEEE 802.11, que define el funcionamiento de las redes de área local inalámbricas, detallando las especificaciones de la capa física (PHY) y la subcapa de acceso al medio (MAC) para estaciones (STAs) fijas, portátiles y móviles. Fue publicado inicialmente en 1997 y desde entonces ha ido experimentando diversas adiciones y revisiones. La última modificación e integración de enmiendas al estándar se realizó en 2007 y es la versión vigente actualmente [� 17]. 802.11 forma parte de la familia de estándares IEEE 802 que en conjunto forman una arquitectura de referencia para la comunicación basada en paquetes sobre medios compartidos.

6

A pesar de que la última versión del estándar integra todas las enmiendas hechas a la edición reafirmada del 2003, las características a las que cada una se refiere siguen llamándose por el nombre del documento correspondiente debido a que su letra hace referencia al grupo de trabajo de la IEEE encargado de su desarrollo. En la siguiente tabla se resumen las características más importantes de algunos de ellos. Estándar Finalidad Características principales

802.11 Estándar original publicado en 1999 Banda de frecuencia: 2.4 GHz (ISM) Modulación: FHSS, DSSS Tasas de transferencia: 1 y 2 Mbps

802.11b Mejorar la velocidad de datos sobre la misma banda que el estándar original

Banda de frecuencia: 2.4-2.5 GHz (ISM) Modulación: HR/DSSS Tasas de transferencia: 5.5 y 11 Mbps

802.11a Operación en la banda de 5GHz, mejorando la tasa de transferencia

Banda de frecuencia: 5 GHz (UNII) Modulación: OFDM Tasas de transferencia: 6, 8, 9, 12, 24, 36, 48, 54 Mbps

802.11g Mejorar aún más la tasa de transferencia de 802.11b manteniendo compatibilidad.

Banda de frecuencia: 2.4 GHz (ISM) Modulación: DSSS, HR/DSSS, ERP-OFDM Tasas de transferencia: 1 - 54 Mbps

802.11n Proporcionar una mejora significativa a la velocidad de datos, mayor a 100Mbits/s

Múltiples antenas (MIMO), multiplexación espacial (SDM), canales más anchos (40MHz), beamforming Banda de frecuencia: 5 GHz (UNII) y 2.4 GHz Modulación: BPSK, QPSK, 16/64 QAM Tasas de transferencia: 15 - 150 Mbps x 1,2,4

802.11i Proveer mejores mecanismos de seguridad de datos.

Reemplaza el método original de seguridad WEP por uno más robusto basado un protocolo extensible de autenticación y cifrado AES, denominado WPA/WPA2.

802.11r Disminuir el tiempo de transición de un BSS a otro de un STA móvil dentro del mismo ESS.

Define un protocolo de transición rápida y segura en ESSs que soporten roaming, para mantener (prácticamente) sin interrupción la comunicación con el DS, reduciendo el proceso de reasociación a 4 mensajes (4-way handshake).

802.11w Mejorar la seguridad de las tramas de control de la subcapa MAC

Proporciona mecanismos de integridad, autenticidad y confidencialidad de datos a tramas de control. Añade protección criptográfica para evitar su falsificación.

Algunas de las características definidas en el estándar son opcionales y otras son consideradas obsoletas pero aún son soportadas por razones de compatibilidad. Es por ello que al seleccionar los equipos que se utilizarán en una instalación, se debe tener cuidado en que éstos implementen todas las funciones requeridas. Además, existen dispositivos que fueron diseñados con una versión preliminar del estándar y que pueden no ser compatibles con otros basados en la versión final del mismo.

1.2 Topologías de red de área local inalámbricas A diferencia de las redes de área local cableadas, donde la topología está determinada por la forma que toma la interconexión física entre los dispositivos, las redes inalámbricas son flexibles por naturaleza. El único límite lo imponen las características de potencia y alcance de cada dispositivo, por lo que en este sentido, se puede dar pie a topologías completamente dinámicas. Los elementos básicos de cualquier arquitectura de red inalámbrica según los estándares 802.11 son las estaciones (STA) y los puntos de acceso (AP). Un STA es un dispositivo de punto final o cliente, como puede ser una PC de escritorio, una computadora portátil, un PDA (Personal Digital Assistant) o un teléfono móvil. Esta diversidad se debe a que el estándar tiene como requisito el poder manejar estaciones fijas, portátiles (que pueden cambiar de lugar) y móviles (en constante movimiento). Los AP se consideran también como STAs, pero con la diferencia de que son elementos de infraestructura únicamente y pueden encontrarse de tres tipos: autónomos, ligeros o de malla. Un AP autónomo proporciona la funcionalidad completa para implementar un BSS independiente, los AP ligeros son aquellos administrados por un switch controlador que impone configuraciones y modos de operación de manera centralizada, los AP de malla son aquellos que forman parte de la estructura de una red inalámbrica de malla. El AP conecta a otras STAs con el resto la infraestructura de red, que en el estándar se denomina como sistema de distribución (DS). Así, el AP trabaja como puerta de entrada (gateway) entre dos tipos distintos de red: la

7

inalámbrica (802.11) y la cableada (802.3), tomando la decisión de dirigir un paquete hacia uno u otro extremo, dependiendo del destino. A la agrupación lógica de dos o más dispositivos inalámbricos se le denomina “Service Set” y debe estar distinguida de otras agrupaciones similares por un identificador o SSID (Service Set Identifier) que marca cada paquete de la comunicación entre sus integrantes, con el fin de que cada dispositivo seleccione sólo aquellos mensajes que desea o debe escuchar. El SSID puede considerarse simplemente como el nombre de la red y en cada AP está definido al menos uno. Existen tres tipos de agrupaciones que conforman las topologías básicas para una red inalámbrica. Algunas topologías adicionales se pueden derivar de la combinación de éstas. 1.2.1 IBSS (Independent Basic Service Set) En esta topología, la red inalámbrica se compone de relaciones directas o “peer-to-peer” entre dos o más STAs. También es denominada red ad hoc, ya que comúnmente este tipo de red se conforma de manera temporal y de acuerdo a una necesidad específica. En una red de este tipo no hay necesidad de un dispositivo central que les permita comunicarse ni de una interfase a la red cableada. Esta característica y la facilidad de configuración son sus principales ventajas. Los integrantes son únicamente dispositivos cliente que forman una red autónoma al compartir SSID y parámetros de radiofrecuencia.

Figura 1. IBSS

Una desventaja de este tipo de red es que no es escalable ni administrable centralmente. Típicamente carece de un esquema administrado de seguridad y esta responsabilidad viene a recaer en cada dispositivo. Muchas compañías prohíben expresamente en sus políticas la gestación de este tipo de redes, pues existe el riesgo de que, a través de un equipo parte de una red ad hoc insegura, se forme un puente entre ésta y la infraestructura de red cableada, lo cual facilitaría el acceso de un intruso a información confidencial. 1.2.2 BSS (Basic Service Set) El BSS se puede considerar como la unidad de construcción de una red inalámbrica y tiene como dispositivo central un AP autónomo, al cual se conectan otros dispositivos de red inalámbricos. Su tarea es la de conectarlos a su vez con el sistema de distribución (DS), que puede ser la LAN de una organización o el Internet. Al radio que cubre el AP se le denomina BSA (Basic Service Area) y por sí mismo se puede encontrar principalmente en implementaciones caseras y de oficina (SOHO, Small Office-Home Office) pues su alcance de cobertura es limitado. Es común en este tipo de escenarios que el AP desempeñe además funciones de enrutamiento, segmentación, calidad del servicio, seguridad, etc. 1.2.3 ESS (Extended Service Set) Cuando existen dos o más BSS funcionando en la misma red con el mismo SSID y parámetros de seguridad, se tiene un BSS extendido o ESS. Esta es la topología más adecuada para una implementación de campus ya que existe una infraestructura previa sobre la cual fundar la red inalámbrica, los AP que componen el ESS están interconectados por la capa de distribución de la red cableada y sus áreas de cobertura pueden estar traslapadas o disjuntas, formando un área de servicio extendida, ESA (Extended Service Area). Esta área comparte el mismo dominio de broadcast, siendo equivalente al tener un switch de capa 2.

8

Figura 2. ESS formado por 2 BSS

La escalabilidad de la red se beneficia mucho de esta configuración, pues para crecer la capacidad en rango o intensidad de señal, sólo es necesario agregar elementos de infraestructura como APs o repetidores en las áreas con deficiencias. Además, un ESS daría oportunidad de que las STAs transiten entre distintos APs sin perder conectividad de red, función a la que se denomina roaming y que trataremos un poco más adelante. 1.2.4 Topología híbrida Una topología adicional muy común en instalaciones al aire libre es la de utilizar una conexión inalámbrica ad hoc punto a punto para interconectar dos ESS, generalmente de dos edificios entre los cuales no se puede tender cable o fibra por limitaciones físicas o económicas. Para este fin se emplean antenas direccionales especiales de alta potencia.

Figura 3. Red inalámbrica punto a punto entre dos edificios.

Una topología punto-multipunto, por ejemplo entre varios edificios, puede desprenderse de éste concepto utilizando una combinación de antenas direccionales y omnidireccionales para establecer los enlaces. 1.2.5 Topología de malla Una red inalámbrica de malla es un tipo especial de red inalámbrica ad hoc, que forma un sistema de distribución inalámbrico utilizando combinaciones de puntos de acceso fijos y móviles o donde los mismos clientes pueden formar parte de la infraestructura. Esta configuración permite ofrecer movilidad en áreas más extensas y mejor adaptabilidad al entorno físico llegando a utilizarse en redes de área metropolitana (MAN). Actualmente, el grupo de trabajo “s” de la IEEE se encuentra desarrollando la enmienda 802.11s al estándar, la cual está dedicada a definir la manera en que debe operar este tipo de redes inalámbricas, los protocolos y consideraciones de seguridad [� 16]. Las redes MANET (Mobile Ad hoc Networks) y VANET (Vehicular Ad hoc Networks) son ejemplos de esta topología, y su operación mayor nivel de complejidad que las soluciones basadas en infraestructura fija.

BSS

BSS

9

Figura 4. Red inalámbrica de malla

1.3 Mecanismos de control de acceso al medio Para controlar el acceso a la red, el estándar 802.11 utiliza un método similar al de Ethernet, donde cada estación debe determinar si el medio se encuentra disponible antes de poder comenzar a transmitir. Sin embargo, a diferencia de las redes Ethernet, donde las estaciones pueden medir el nivel de la señal en el cable para detectar si existe una colisión, en el caso inalámbrico esto no es factible. Por ello se utiliza un procedimiento más conservador que en principio trata de evitar del todo las colisiones. El método que utiliza 802.11 es el de acceso múltiple con detección de portadora en su variante de evasión de colisiones (CSMA/CA), el cual es un mecanismo más estricto que CSMA/CD (utilizado por Ethernet) pero sencillo y adecuado para compartir el medio en una WLAN. La manera en que funciona es la siguiente:

Un STA deseando transmitir escucha primero el medio para determinar si está libre. En caso de que sea así, comenzará a transmitir y en caso contrario se abstendrá por un tiempo aleatorio antes

de volver a intentarlo. Después de haber transmitido, esperará una confirmación del AP (o de otro STA en caso estar operando en

modo ad hoc). Si la respuesta no llega, quiere decir que hubo un problema (por ejemplo, colisión) y esperará un tiempo

aleatorio antes de intentar retransmitir. Un intervalo de cierta duración debe existir entre cada transmisión de tramas contiguas.

El método fue pensado de esta manera porque el medio es “half-duplex” y sólo una estación puede estar transmitiendo a la vez sobre un canal específico. Tampoco se puede asumir que el percibir libre el medio, significa que también estará libre a una distancia más cercana al receptor, ni que éste se encuentre encendido o siga dentro de rango en todo momento. En una red ad hoc el problema es aún más notorio ya que cuando no todos los participantes en la red están dentro del alcance uno del otro, se da el fenómeno del “nodo escondido”. Éste ocurre, por ejemplo cuando un equipo C, es visible para otros dos: A y B, pero estos últimos no se ven entre sí, quizá por estar lados opuesto del rango de alcance de C. Si A y B intentan enviar información a C de manera simultánea, al escuchar el medio lo encontrarán disponible y transmitirán, pero el equipo destinatario recibirá dos señales que interfieren entre sí. Los problemas que acarrea CSMA/CA se pueden aminorar con la fragmentación/defragmentación de paquetes en unidades de protocolo MAC (MPDU) de menor longitud e implementando el mecanismo opcional de detección virtual de portadora. De esta manera, cuando un equipo desea transmitir envía una trama RTS (Request to Send) y si está disponible, el destino responde con un CTS (Clear to Send), cualquier otro equipo que vea un RTS o un CTS debe contenerse de transmitir y esperar el intervalo definido en dicha trama. La solución sin embargo no es óptima y la interferencia puede seguir ocurriendo.

10

1.4 Formato de Tramas

Para llevar a cabo el intercambio de información en la red inalámbrica, el estándar 802.11 define también un protocolo y su formato de trama. Cada trama 802.11 está conformada por un encabezado, un cuerpo de longitud variable y una secuencia de comprobación de trama (FCS), siendo ésta última un CRC (Cyclic Redundancy Check) de 32 bit. El formato general de la trama se puede ver en la figura siguiente. Los primeros 3 campos y el FCS son comunes a todas las tramas, mientras que el resto puede estar presente o no, dependiendo de su tipo o subtipo.

Figura 5. Formato General de Trama

Frame Control: El formato de este campo se muestra en la figura. Aquí se definen el tipo y el subtipo de la trama, junto con otros parámetros de control.

Figura 6. Formato del campo "Frame Control".

Duration: Este campo define cuánto tiempo va a estar reservado el medio para la transmisión de ésta trama y su correspondiente trama de reconocimiento (ACK) que espera como respuesta. Address 1, 2, 3, 4: Llama la atención que pueden existir hasta 4 direcciones distintas en una trama inalámbrica, cuando para Ethernet sólo se requiere fuente y destino. Cada dirección es una MAC Address de 48 bits y puede ser una de las siguientes: dirección origen (SA), dirección destino (DA), dirección del BSS que corresponde al AP en uso (BSSID), dirección de recepción (RA), dirección de transmisión (TA). Sequence control: Este campo se utiliza para fragmentación de tramas en el caso de que los tamaños de MTU del medio inalámbrico y el DS sean incompatibles. QoS Control: Este campo está presente sólo cuando se trate de tramas del subtipo QoS y definen varios parámetros para control de flujo y calidad de servicio. En la tabla siguiente se muestran los tipos de trama y los subtipos más comunes:

Tipo Administración Control Datos

Subtipos Association request Block Ack Request Data Association response Block Ack Data + CF-Ack Reassociation request PS-Poll Data + CF-Poll Reassociation response RTS Data + CF-Ack + CF-Poll Probe request CTS Null (no data) Probe response ACK CF-Ack (no data) Reserved CF-End CF-Poll (no data) Beacon CF-End + CF-Ack CF-Ack + CF-Poll (no data) ATIM QoS Data Disassociation QoS Data + CF-Ack Authentication QoS Data + CF-Poll Deauthentication QoS Data + CF-Ack + CF-Poll Action QoS Null (no data) QoS CF-Poll (no data) QoS CF-Ack + CF-Poll (no data)

11

Tabla 1. Tipos de tramas más comunes en el protocolo 802.11 Existen tres tipos básicos de tramas, de acuerdo con su función o el tipo de información que contienen: Tramas de Administración, Tramas de Control y Tramas de Datos. Las tramas de Administración se utilizan para establecer o terminar la conexión con un AP o BSS, existen por ejemplo, tramas de asociación, desasociación y reasociación. Las tramas de Control se utilizan para dar confirmación de recibido a otros tipos de tramas. Las tramas de Datos contienen la información encapsulada de la capa superior. Cada tipo de trama se subdivide en varios subtipos que realizan funciones específicas dentro de su correspondiente categoría.

1.5 Descubrimiento, autenticación y asociación Cuando una STA desea conectarse a un BSS (o a otros STA en un IBSS), necesita conocer los parámetros necesarios para sincronizarse con la red y poder intercambiar datos. Esta información la puede obtener de las tramas denominadas beacon, que son aquellas especialmente dedicadas a ayudar las a las estaciones a encontrar las redes inalámbricas disponibles. Dicha información incluye básicamente: el tiempo de referencia en el AP, las capacidades o configuraciones específicas del AP, los SSIDs que soporta, las tasas de transferencia de datos y el esquema de modulación. Esta trama la emite un BSS a intervalos determinados de tiempo, pero una estación no debe esperar a escuchar un beacon para poder conocer estos datos, también puede pedirlos mediante una trama de petición (probe request) si conoce de antemano el SSID del AP al que se desea conectar. Así, tenemos dos métodos para el descubrimiento de redes inalámbricas: Exploración pasiva: la estación espera recibir una trama de aviso (beacon) del AP. Exploración activa: la estación transmite una petición (probe) y espera a que sea respondida por cualquier AP

dentro del alcance. Generalmente, la estación enviará una trama de petición sobre cada canal dentro del espectro permitido.

Una vez que la estación conoce el SSID del AP y sus parámetros de configuración para poder sincronizarse e iniciar comunicación con él, el siguiente paso es la autenticación. En el estándar original se definen dos métodos de autenticación: la autenticación abierta y la autenticación de llave compartida, los cuales opcionalmente trabajarían junto con el método de cifrado WEP (Wired Equivalent Privacy). En el estándar actual esta autenticación es sólo un preámbulo a la autenticación de usuario que proporcionará confidencialidad a la comunicación mediante el cifrado de datos. La autenticación “real” se realiza mediante los mecanismos definidos en el estándar 802.1X [� 18].

La autenticación abierta (open systems authentication) es un saludo de dos vías (2-way handshake) donde simplemente se pide la autenticación y ésta se otorga. Si se desea usar cifrado con este método de autenticación, ambos dispositivos deben contar con la misma llave de cifrado pues de otra manera no podrán entenderse. La autenticación de llave compartida (shared key authentication) es un intercambio de 4 mensajes donde el AP pide al STA cifrar una cadena y si coincide con la respuesta esperada, entonces la autenticación es válida. Este método sólo se puede usar con WEP y presenta problemas serios de seguridad, que se verán más adelante, por lo que no se recomienda su uso en lo absoluto. Posterior al proceso de autenticación, se lleva a cabo el proceso de asociación, con el cual el STA pasará a formar parte del BSS y se le permitirá finalmente acceder a los recursos de la red. La asociación se da en dos pasos con el intercambio de una trama de petición y una de respuesta. El proceso se puede ver en la figura siguiente.

12

Figura 7. Autenticación y asociación.

Una estación puede solicitar su desasociación del AP manteniéndose autenticada, pudiendo regresar más tarde y restablecer su conexión enviando una trama de reasociación, con lo que evita volver a autenticarse de nuevo. Cuando la desconexión es definitiva puede enviar el mensaje de deautenticación al AP después de desasociarse.

1.6 Movilidad y roaming Movilidad es la cualidad que tiene un dispositivo de poder ser transportado, cambiando de lugar constantemente. Roaming es el término para señalar la capacidad de un dispositivo de red inalámbrico de desplazarse, dentro de un área amplia de cobertura, sin perder conectividad con la red. En un ambiente de red inalámbrico, el soporte a ésta característica es muy deseable. Una aplicación muy común es la de telefonía VoIP inalámbrica, asemejándose a la manera en que funcionan las redes de telefonía celular. El proceso de roaming ocurre cuando una estación sale del radio de alcance del AP al cual se encuentra asociado y se conecta con un AP distinto, estando ambos dentro del mismo ESS. La decisión del momento en el cual el STA va a desasociarse de un AP para asociarse con otro, se basa en una combinación de criterios como: intensidad de la señal, tasa de señal a ruido (SNR), conteo de errores, número de dispositivos asociados al AP actual. Varias implicaciones existen y deben tomarse en cuenta. El dispositivo debe romper primero la conexión con el AP anterior y posteriormente iniciar la asociación con el nuevo AP. Esto es así porque de otra manera debería mantener dos comunicaciones simultáneas, necesariamente sobre canales de radio distintos. Las NIC inalámbricas no están diseñadas para ello y hacerlo aumentaría el costo del dispositivo, además, se requeriría de una topología sin ciclos (loops) para evitar tormentas de broadcast al estar funcionando dos conexiones distintas con la misma dirección MAC dentro del mismo dominio de broadcast. Otra implicación es el impacto sobre la aplicación que se encuentre operando durante el roaming. Si utiliza un protocolo orientado a conexión, la pérdida de paquetes que pueda darse no afecta demasiado pues éstos serán retransmitidos por la capa de transporte. Sin embargo, para un protocolo sin conexión, mientras más tiempo dure el intervalo para completar el proceso de roaming, más paquetes se perderán y más afectación percibirá el usuario. Finalmente, se debe considerar el alcance del dominio de roaming, es decir, si éste abarca sólo la capa 2 (mismo ESS) o requiere cambio de dirección en capa 3 (distintas subredes). En el segundo caso, se hace necesario un mecanismo externo de movilidad de IP, puesto que el equipo terminaría todas las conexiones previamente establecidas al cambiar de dirección IP.

13

Figura 8. Roaming de capa 2 y 3

Para ofrecer servicios de roaming, los APs deben tener una manera de comunicarse entre sí, intercambiando información del cliente, pero manteniendo el proceso transparente para el usuario. El papel que juegan los controladores inalámbricos y los protocolos de comunicación entre APs es primordial. Asimismo, la información de autenticación y del manejo de llaves debe poder ser migrada de un AP a otro sin que sea necesario volver a iniciar una autenticación 802.1X, lo cual consumiría más tiempo del aceptable para una adecuada experiencia de movilidad. Durante el diseño de la red inalámbrica, si se piensa ofrecer esta prestación, es importante considerar que existen diferencias notables en los métodos y los requisitos de hardware de cada proveedor. Esto es derivado de que el concepto de roaming no fue abordado originalmente por el estándar 802.11, y cada fabricante ha decidido cómo implementar esta funcionalidad y determina sus propios criterios para llevarse a cabo. En 2003 se agregó al estándar una modificación denominada 802.11F, Inter-access point protocol, como una práctica recomendad para facilitar la interoperabilidad entre los AP fabricantes. Sin embargo, en la práctica, pocas veces era implementada y se decidió removerla en 2006. En octubre de 2009 se liberó la enmienda 802.11r al estándar, cuyo objetivo primordial es el de reducir lo más posible el tiempo necesario para el intercambio de mensajes durante el roaming, garantizando que sea menor o igual a 50 ms, que es el tiempo máximo tolerable de interrupción para una conversación telefónica. Este es un paso importante hacia la adopción de un estándar por parte de los fabricantes de equipo inalámbrico.

14

2 Vulnerabilidades y amenazas de seguridad en redes inalámbricas

Una vulnerabilidad es un aspecto de un sistema o protocolo que hace posible su utilización para fines distintos a los que originalmente fue diseñado. En términos generales, la vulnerabilidad permite: que una entidad no autorizada se haga pasar por una autorizada; que el sistema sea utilizado por una entidad no autorizada; que la información proveniente de entidades autorizadas sea interceptada por o revelada a entidades no autorizadas; o que el servicio que proporciona el sistema sea negado a usuarios autorizados. Las vulnerabilidades pueden encontrarse en el protocolo de red, en la implementación que el fabricante hace de dicho protocolo o en los medios e infraestructura que intervienen y afectan directamente a la red. Existen dos tipos de ataques a una red informática:

1. Ataques pasivos. Su objetivo es el de escuchar el tráfico de la red y monitorear el flujo de información, El atacante se enfoca en capturar aquella información que considera “interesante” y que puede servir a sus objetivos. 2. Ataques activos. Consiguen insertar tráfico o alterar de alguna manera la información que viaja en la red. En esta categoría entran todos aquellos ataques donde el atacante necesita inyectar paquetes o cuando los recibe y reenvía a otro destino, pues aunque no necesariamente cambie su contenido sí necesita modificar sus encabezados.

Las principales preocupaciones al proteger una red inalámbrica, no son muy distintas de aquellas que se consideran para una red cableada. Sin embargo, la gran diferencia es que no existe un obstáculo físico para que el posible atacante acceda al medio pues las señales de radio atraviesan paredes, pisos, muros y puertas. Esto le impone un nivel de dificultad mayor al ejercicio de protegerlas de ataques provenientes del exterior. A continuación se detalla una lista de vulnerabilidades de las redes inalámbricas, que no pretende ser exhaustiva, pero que dará una idea amplia de las posibilidades de ataque a las que se enfrentan.

2.1 Ataques de Reconocimiento De manera predeterminada, los AP están configurados para difundir su SSID, pero aún cuando no lo hagan de manera explícita en tramas de anuncio o “beacon frames”, éste dato se puede obtener de los paquetes de asociación donde el dato viaja también en claro. Otros parámetros útiles como las tasas de transferencia y el tipo de autenticación soportado o la dirección MAC del AP pueden obtenerse fácilmente escuchando tramas administrativas de la red inalámbrica sin llegar a levantar ninguna suspicacia, gracias al funcionamiento normal del protocolo. a) Monitoreo de tráfico: Denominado comúnmente “sniffing”, las redes inalámbricas son especialmente vulnerables a este ataque pasivo debido a que las ondas de radio que viajan por el aire difícilmente pueden ser protegidas. Capturarlas requiere únicamente de tener una tarjeta NIC inalámbrica dentro del rango de alcance de la red o, si se utiliza una antena especial, incluso desde varios cientos de metros de distancia. Cuando se realiza un análisis de vulnerabilidades de la red inalámbrica, se debe considerar que el atacante puede captar las señales de radiofrecuencia y potencialmente ver el tráfico en todo momento. El monitoreo también da paso al análisis de tráfico, que implica obtener información mediante el reconocimiento de patrones en la comunicación, aún y cuando estén cifrados los paquetes. b) Wardriving: Término utilizado para referirse a la práctica de conducir por las ciudades con un dispositivo habilitado para 802.11 con el fin de identificar redes inalámbricas en funcionamiento. Cuando además se localiza un punto de acceso sin seguridad habilitada éste se marca públicamente y a ese acto se le llama warchalking.

15

2.2 Ataques de hombre-en-medio En este tipo de ataque, el atacante logra posicionarse entre las dos partes participantes en una conversación, permitiéndole escuchar o intervenir en la comunicación entre ellas. Así, el atacante se hace pasar por el interlocutor del otro en cada extremo, permitiéndole ver, cambiar, borrar o añadir datos a la conversación sin que los participantes lo noten. El funcionamiento que tiene un AP como puente Ethernet, permite que se intercambien paquetes ARP entre el lado cableado y el lado inalámbrico de la red y dicho protocolo es vulnerable a los ataques de hombre-en-medio.

2.3 Ataques de repetición Un ataque de repetición consiste en la captura de uno o más paquetes para reenviarlos después. Si la duplicidad de los mismos no es detectada y se aceptan como válidos, entonces se puede decir que el ataque fue exitoso. El atacante no necesita conocer el contenido de los paquetes para que se lleve acabo, pero la técnica puede emplearse en ataques más sofisticados junto con la modificación o inyección de paquetes realizando spoofing, hijacking de sesiones o ataques de hombre en medio. Un uso común de este ataque, aplicado sobre las redes wifi, es generar repeticiones de paquetes que contienen peticiones ARP con el fin de generar tráfico adicional y de esta forma hacer más fácil, por ejemplo, la recuperación de la llave WEP.

2.4 Ataques de denegación de servicio (DoS) a) Ataque de disasociación y deautenticación: uno de los grandes problemas con el protocolo 802.11 es la falta de autenticación en los paquetes de administración (una enmienda que corrige esta deficiencia es estudiada actualmente en el grupo de trabajo 802.11w). A los mensajes de asociación y autenticación necesarios para iniciar una conexión cliente-AP corresponden mensajes de desasociación y deautenticación para el caso en que se requiera cambiar de BSS o simplemente desconectarse. Éstos pueden ser falseados por un atacante, provocando que la víctima tenga que iniciar de nuevo el proceso de asociación para seguir transmitiendo. Es posible enviar el mensaje de deautenticación o desasociación a una dirección de broadcast como destino, y que entonces todas las estaciones asociadas al AP pierdan la conectividad. Esta vulnerabilidad abre otras posibilidades de ataque pues obliga a la generación de tráfico administrativo o se puede llevar a cabo una denegación de servicio que deje a clientes fuera de la red por tiempo indefinido. Otra vía es la de desconectar a la víctima de su AP actual e intentar que ésta se asocie con un AP ilegítimo. b) Inundación de peticiones: La falta de autenticación de las tramas administrativas permite que un atacante falsifique peticiones de asociación e inunde con ellas al AP llenando su tabla de asociaciones y provocando que el AP deje de responder. c) Ataque al vector de reserva de red (NAV): Cuando está habilitada la función de detección virtual de portadora, las estaciones pueden establecer el tiempo de reserva del medio para transmitir en el campo de duración de la trama. Con este valor, otros STAs calculan un vector de reserva de la red (NAV) que no les permite transmitir hasta que haya llegado a cero. Sin embargo un atacante puede usar el valor de duración máximo de 32767 en una serie de tramas administrativas (enviadas a una tasa de 30 tramas por segundo) y bloquear completamente al resto de los dispositivos compartiendo el canal. d) Bloqueo de radiofrecuencia: En este caso, el atacante emplea un generador de señales de radiofrecuencia para emitir ruido sobre la banda de 2.4 o de 5 GHz y de esta manera saturar el medio de transmisión y disminuir notablemente el índice señal a ruido necesario para una comunicación efectiva. Otro vector de ataque, que en ocasiones puede no ser intencional, es cuando una WLAN utilizando 802.11n opera en modo “greenfield”, causando interferencia a equipos no compatibles con 802.11n dentro de su área de transmisión.

2.5 Apropiación de un AP

16

El punto de acceso es un blanco valioso pues es la puerta por donde pasa todo el tráfico de los clientes inalámbricos. Cuando llega a comprometerse en manos de un atacante, éste puede obtener acceso no autorizado a la red, provocar una denegación de servicio, robar contraseñas o información confidencial, etc. Existen diversas maneras de atacarlo, siendo lo más común aprovechar fallas en su configuración como el dejar la contraseña por defecto para su interfase de administración o si se logra acceso físico al mismo, entrar utilizando el puerto de consola, resetearlo a la configuración de fábrica o simplemente sustituirlo por otro.

2.6 AP ilegítimo (Rogue AP) Los AP ilegítimos es cualquier punto de acceso que no haya sido autorizado para su uso en la red. Éstos pueden causar una serie de problemas ya que al no existir control sobre ellos por parte del administrador de la red, abren vías de ataque de manera intencional o por descuido. a) Conexión de un AP externo a la red cableada. Algunos usuarios, por mera conveniencia y sin conocer las implicaciones de seguridad, ingresan sus propios APs a la red sin ninguna precaución. Esto abre un hueco de seguridad en la infraestructura de red y rompe con las políticas ya que puede sobrepasar mecanismos de seguridad que se hayan establecido previamente. Esto es algo que podría hacer un atacante que desea abrir una puerta trasera para uso futuro. Si logra introducir un AP (quizá con ayuda de un agente interno) y conectarlo al DS de la empresa o institución, tendrá acceso a la red desde las inmediaciones o, con el equipo adecuado, incluso a cientos de metros de distancia. b) Clonación de AP Otro tipo de AP ilegítimo es también conocido como “gemelo malvado”, ya que el atacante implementa su propio AP con el mismo SSID que el de la red inalámbrica objetivo pero con un nivel de potencia mayor que hará que los usuarios prefieran conectarse a él en lugar del AP real. Los clientes que están configurados para conectarse de manera automática a la red inalámbrica pueden asociarse, en ocasiones incluso sin saberlo, a la red ilegítima y quedaría comprometida toda la información que transmitan. El cliente puede estar aceptando una conexión no cifrada y comenzar a transmitir su tráfico en claro. El AP ilegítimo al ser la puerta de enlace, puede utilizarse para implementar ataques de hombre en medio o montar un portal para phishing. El atacante tiene control sobre la resolución de dominios y puede interceptar todo tipo de información como nombres de usuario y contraseñas, las cuales podrá usar después en otro ataque. Esto es posible puesto que la falsificación del SSID es bastante trivial, al igual que la del BSSID o MAC Address del AP. El estándar no define cómo debe decidir el cliente a qué BSS o ESS conectarse y los fabricantes de cada sistema operativo deciden cómo implementarlo. El método más común es tener una lista de redes inalámbricas preferidas, a las cuales se intenta conectarse una por una. Nuevas redes se aprenden al conectarse exitosamente a ellas y se toman también como preferidas. El nombre de cada una y el orden de preferencia se revelan a un tercero que se encuentre monitoreando el medio, pues la estación envía mensajes de petición a cada una. El atacante puede crear un AP con el SSID de una de las redes preferidas de la víctima. En este aspecto existe otro riesgo pues algunas implementaciones dejan la tarjeta en un estado “estacionado” con un SSID temporal, esperando a que éste no coincida con el de ninguna red inalámbrica real, sin embargo esta suposición da pie a que un atacante use dicho SSID en su AP y la estación se conectará a él sin ninguna interacción por parte del usuario.

2.7 Falseo (Spoofing) de MAC Address Algunos fabricantes de equipo inalámbrico proporcionan una funcionalidad conocida como filtrado de MAC Address. Esta característica permite que sólo aquellas estaciones cuya MAC Address es conocida puedan asociarse al

17

AP. Sin embargo un atacante puede sobrepasar esta medida mediante el falseo de dirección MAC, logrando ingresar en el campo de dirección origen (SA) de las tramas 802.11 que emita, una de las direcciones MAC conocidas por el AP. Este cambio lo puede realizar ya sea mediante software especial o cambiando directamente el parámetro en el sistema operativo ya que muchas tarjetas permiten cambiar la dirección universalmente administrada (UAA) por una dirección localmente administrada (LAA) [� 1]. Las direcciones válidas las puede obtener observando el tráfico normal de otros equipos mediante un analizador de protocolos, pues no se encuentran protegidas y viajan en claro.

2.8 Ataque a la autenticación de llave compartida El mecanismo de autenticación de llave compartida es la alternativa a la autenticación abierta, sin embargo su diseño es deficiente y permite la fuga de información de llave. La autenticación es mutua entre el AP y la STA, y cada uno debe demostrar que conoce la llave WEP. Un lado envía un texto en claro como desafío y el otro lado debe cifrarlo con su llave WEP. Si el criptograma coincide con el calculado localmente, la autenticación es exitosa. El problema con este esquema es que un atacante escuchando esta conversación conoce el texto en claro y el texto cifrado, con lo cual obtiene tanto el vector de inicialización (que siempre se envía en claro) como el flujo de llave para ese vector. El atacante puede autenticarse con estos 2 elementos sin necesidad de conocer la llave o puede construir un diccionario de flujos de llave tras capturar diversos intercambios de autenticación exitosos para descifrar paquetes de la conversación o finalmente derivar la llave utilizada. Este procedimiento sólo se usa para la autenticación, que es el paso previo a la asociación y no implica necesariamente la posterior protección del tráfico de datos de usuario.

2.9 Vulnerabilidades en WEP (Wired Equivalent Privacy) Tal como su nombre lo indica, WEP se definió como un mecanismo que daría a la red inalámbrica una protección equivalente a la de un medio cableado. WEP tiene el objetivo de proporcionar confidencialidad, integridad y autenticación al protocolo 802.11. Sin embargo, fallas importantes en su diseño lo hacen vulnerable a diversos tipos de ataques [� 21]. Además WEP requiere que todos los dispositivos en un mismo ESS compartan la misma llave, pero el estándar no define ningún método para el intercambio de llaves o su administración y por tanto hace difícil su mantenimiento en ambientes corporativos con gran cantidad de usuarios. Actualmente el uso de WEP ha sido descontinuado en el estándar pero aún se utiliza en muchas instalaciones existentes e incluso la especificación de seguridad de datos de la Industria de Tarjetas de Pago PCI (Payment Card Industry) sigue aceptándolo como una práctica permitida (al menos hasta finales del 2010). El algoritmo de cifrado utilizado por WEP es el cifrador de flujo RC4 cuya implementación fue rota en 2001 por Fluhrer, Mantin, y Shamir, demostrando cómo un atacante podía descifrar la llave secreta con un equipo de cómputo promedio en alrededor de 2 o 3 horas mediante técnicas estadísticas. En los primeros acercamientos a era que se debía contar con millones de paquetes lo cual podía alargar el proceso. Los métodos se han perfeccionado y actualmente, con herramientas y equipo más modernos, una llave WEP de 128 bits se puede conocer en cuestión de 1 o 2 minutos. a) Problemas con el vector de inicialización (IV) La mayoría de los ataques al cifrado de WEP se basan en las vulnerabilidades del vector de inicialización (IV), el cual es un número de 24 bits que alimenta al algoritmo RC4 junto con la llave privada para generar el flujo de llave para cifrar las tramas de datos. Este dato se anexa a cada paquete cifrado para que el receptor pueda reconstruir el flujo de llave y descifrar la trama. La función del vector de inicialización es la de evitar que los mismos datos sean cifrados con la misma llave más de una vez. Sin embargo, este objetivo no se cumple, principalmente porque el espacio de llave que ofrece este campo es muy limitado, abarcando poco más de 16 millones de combinaciones. Esto hace altamente probable que un AP a 11 Mbps con carga de tráfico moderada comience a repetir IVs tras apenas unas cuantas horas de funcionamiento.

18

Figura 9. Operación para el cifrado de datos en WEP.

El estándar no define cómo generar los vectores de inicialización y muchas veces se seleccionan de manera inapropiada. Una vez que son encontrados dos paquetes cifrados con el mismo flujo de llave, una operación de XOR entre ambos hace que se anule el flujo de llave y se obtiene un XOR de los textos en claro. Con esta información pueden emplear entonces varios métodos estadísticos para recuperar el texto claro, por ejemplo, aprovechando que los encabezados de IP y otros protocolos de capas superiores son bastante predecibles y contienen redundancia. Mientras más tramas con el mismo IV se tengan, mayores probabilidades existen de encontrar el texto claro. Descifrando un mensaje se obtiene también el flujo de llave que descifra todos los criptogramas para ese mismo IV. El atacante puede facilitarse este proceso enviando tráfico desde el DSS hacia un host en la red inalámbrica. Capturando las tramas correspondientes, cifradas por el AP, el atacante estaría empleando un ataque de texto claro conocido para obtener directamente el flujo de llave. Finalmente el atacante podría construir un diccionario de flujos de llave por IV para descifrar otros criptogramas o para fabricar los propios e inyectarlos a la red. b) Vulnerabilidad en el algoritmo de comprobación de integridad CRC32 Como método para comprobar integridad de datos durante el proceso de cifrado WEP, el dispositivo que transmite, calcula un valor de CRC-32 (Cyclic Redundancy Test, 32 bits) para el texto que se va a cifrar. Este valor, llamado ICV (Integrity Check Value), se adiciona al final del texto claro y ambos se operan con un XOR con el flujo de llave que produjo el algoritmo RC4. Al recibirse el paquete, se descifra y se calcula el calor de CRC-32 para el texto claro obtenido, comparándose con el ICV que contiene el paquete. Si coinciden, de esta manera se comprueba que el paquete fue recibido correctamente y se considera válido. La vulnerabilidad está en la posibilidad de que el texto cifrado sea operado con un patrón delta (pulso) de bits, lo cual logra cambiar bits individuales en el texto claro al invertir bits del texto cifrado. Sin embargo lo mismo se puede hacer con los bits del ICV cifrado, logrando que coincida con el valor de CRC calculado del texto claro modificado. Esto es posible debido a que el CRC es una función hash lineal, lo cual significa que existe una relación determinística entre los bits del mensaje en claro y los bits del CRC, y por lo tanto no es criptográficamente segura. El atacante puede cambiar bits del mensaje y del ICV para que el mensaje modificado pase la comprobación de integridad. Los bits cambiados, pueden corresponder por ejemplo al campo de dirección destino en el encabezado IP del paquete y con ello el atacante puede hacer que éste se dirija a cualquier host en Internet que él controla. c) El ataque de Fluhrer-Mantin-Shamir [� 12] Fluhrer, Mantin y Shamir en 2001 publicaron un trabajo titulado “Debilidades en el algoritmo de generación de llave de RC4” en donde describían la manera de atacar este cifrador de flujo, utilizado en el estándar 802.11 como base para WEP. Ellos se dieron cuenta de la existencia de una serie de llaves “débiles” cuyas características provocaban que una pequeña parte de dicha llave determinaba gran parte de los bits de la permutación inicial del algoritmo de generación de llaves (KSA, Key Scheduling Algoritnm) de RC4. Adicionalmente, los patrones de éste provocan también patrones en los primeros bytes de salida del algoritmo generador de números pseudoaleatorios (PRGA, Pseudo Random Number Generator). Esto significa que pocos bits de la llave pueden relacionarse con muchos bits de salida del cifrador, encontrándose que esto sucede con una probabilidad del 50% y que para este conjunto de llaves vulnerables los prefijos de la salida se pueden pronosticar con probabilidades variables dependiendo de la longitud. La implementación de este ataque para romper el cifrado que hace WEP, basa su factibilidad en el hecho de que una parte de la llave ya es conocida (el vector inicial) y si coincide con el patrón de una llave débil, puede emplearse para descifrar con alta probabilidad los primeros bytes de las tramas de WEP. Esto es independiente del tamaño de la llave, sea de 24 o de 128 bits, pero el ataque requiere por lo tanto, la captura de una gran cantidad de tramas (muestras) con vectores iniciales débiles, para incrementar la probabilidad de acierto. Una implementación

19

exitosa de este algoritmo se utiliza en herramientas como airsnort y aircrack para conocer las llaves de cifrado WEP mediante la escucha pasiva del tráfico en la red inalámbrica.

2.10 Ataques a WPA WPA fue introducido en 2003 por la WiFi Alliance como un reemplazo para WEP, intentando subsanar las deficiencias de éste cuando aún no era publicada la especificación 802.11i. WPA utiliza el mismo protocolo de cifrado que WEP, el RC4 con el fin de poder utilizar el mismo hardware con sólo pequeñas actualizaciones al software o al firmware. Sus prestaciones más importantes son:

• Un mejor manejo de llave con el protocolo TKIP, que realiza la mezcla del vector de inicialización con la llave de cifrado y la intercambia constantemente.

• Un contador de secuencia para evitar ataques de repetición. • Un algoritmo de control de integridad de mensaje (Message Integrity Check) de 64 bits.

WPA ofrece dos modos de autenticación: El modo “Enterprise” que requiere autenticación externa mediante el protocolo 802.1X y el modo “Personal” que utiliza una frase de contraseña preestablecida o “llave compartida” (PSK, Pre Shared Key). Para el cifrado de datos, WPA necesita de una llave de 256 bits denominada PMK (Pairwise Master Key) que se empleará durante el tiempo de sesión. Cuando se utiliza 802.1X, el cliente y el servidor de autenticación derivan la PMK mediante el proceso definido en el tipo de protocolo EAP seleccionado. Si se utiliza una llave compartida, la PMK se deriva a partir de la PSK, que tiene una longitud de entre 8 y 63 bytes, ya sean dígitos hexadecimales o caracteres ASCII. La PSK se ingresa a una función que la mezcla con el SSID de la red y la longitud del SSID. Al ser estos últimos dos datos públicos, la única tarea para el atacante es determinar cómo vulnerar la PSK. a) Ataque de diccionario sobre la llave compartida Mediante la observación de un intercambio de llaves (4-way handshake) durante el proceso de autenticación y asociación de una estación con el AP, un atacante puede obtener información suficiente para armar un ataque de fuerza bruta o diccionario para encontrar la llave PSK y por consiguiente la PMK que le permitirá descifrar todos los paquetes transmitidos en el ESS.

Figura 10. WPA 4-way handshake

Como se puede observar en la figura, el proceso de handshake inicia con el AP enviando un número aleatorio al cliente para que éste lo cifre. Luego el cliente envía un número como desafió para el AP. Cuando ambos confirman que se ha cifrado correctamente el desafío, la PTK queda establecida. Cualquier dispositivo puede escuchar pasivamente esta conversación y obtener el par texto claro – texto cifrado para montar un ataque fuera de línea. La naturaleza de la llave compartida la hace susceptible a un ataque de diccionario que puede ser bastante efectivo. Los usuarios pocas veces usan frases muy largas o cadenas de caracteres aleatorios, pues su manejo y distribución son difíciles. Una buena práctica sería generar una llave compartida de al menos 20 caracteres de longitud y palabras que no formen parte de diccionarios en cualquier idioma, para prevenir ataques casuales.

20

2.11 Ataque a la autenticación 802.1X Las vulnerabilidades del protocolo 802.1X y los métodos EAP no son exclusivas de las redes inalámbricas, pero a continuación se listan los ataques más comunes que pueden darse: • Recuperación mediante ataque de fuerza bruta de la llave RADIUS utilizada para la comunicación entre el AP o

el controlador y el servidor de autenticación. • Ataque de repetición en EAP. El atacante puede capturar paquetes de petición o respuesta EAP-Identity, EAP-

Success, o EAP-Failure para su repetición posterior. • Ataque de repetición en RADIUS. El atacante puede capturar paquetes RADIUS-Access-Accept o RADIUS-

Access-Reject para su repetición posterior. • Forzar al autenticador a utilizar un método EAP más débil el cual sea susceptible a ataques. • Inundación con mensajes EAP-Start que consumen los recursos de la víctima. • Envío de paquetes EAP malformados derivando en consecuencias imprevistas.

21

3 Arquitectura de seguridad La arquitectura de seguridad de red comprende la planeación, despliegue, configuración y mantenimiento de todos los elementos de seguridad que protegen la infraestructura de red. Las características y necesidades de cada institución o empresa en particular, definen la forma en que finalmente se tomarán las decisiones de diseño, sin embargo la arquitectura de seguridad es un marco de referencia con guías prácticas y recomendaciones para que, en concordancia con los requerimientos del negocio, se logre la disminución del riesgo asociado a su operación. La inversión que se realice en este rubro debe ser recompensada con la mejora en la protección de su infraestructura y sus activos de información, así como en el cumplimiento de las regulaciones y estándares a los cuales se esté sujeto. En muchas ocasiones se busca además un incremento en la productividad mediante el control y racionalización de los recursos, todo lo cual deriva en mayor rentabilidad para la organización.

3.1 Cisco SAFE SAFE es una arquitectura de red orientada a preservar la seguridad de la información, la disponibilidad de servicios y la continuidad del negocio, fue desarrollada por Cisco Systems y cuenta hoy en día con gran aceptación dentro de la industria y popularidad entre los ingenieros de TI. Se trata de una referencia completa de mejores prácticas, guías de diseño y configuraciones para construir una infraestructura de red segura desde cero. Está basada obviamente en productos y tecnologías de Cisco, pero al ser una arquitectura de referencia, permite aplicar los mismos conceptos indistintamente sobre otras plataformas y equipos. Asimismo, su naturaleza modular hace que sea escalable y fácilmente adaptable al entorno de red de cada organización sin importar su tamaño, al tiempo que le permite crecimiento y evolución tecnológica. La arquitectura SAFE, toma como base estructural el esquema Security Control Framework (SCF), también ideado por Cisco, el cual define el modelo y la metodología para determinar el conjunto de controles requeridos para contrarrestar las amenazas que ponen en riesgo la infraestructura de red y su información. Los conceptos clave del SCF son la visibilidad y el control; el nivel de la seguridad en general depende de qué tan cerca se encuentra cada uno de ser completo o total. A continuación se muestra el modelo con las seis acciones fundamentales de seguridad que propone Cisco para conseguirlo.

Visibilidad Total Control Total

Identificar Monitorear Correlacionar Reforzar Aislar Aplicar Identificar y clasificar usuarios, servicios, tráfico y equipos.

Monitorear rendimiento, comportamientos, patrones de uso, eventos y apego a las políticas.

Recolectar, analizar y correlacionar eventos en toda la red.

Reforzar la seguridad en equipos, servicios, servidores, aplicaciones e infraestructura.

Aislar usuarios, sistemas y servicios cuando se requiera contención.

Aplicar controles de acceso y políticas de seguridad mitigando eventos de seguridad.

Tabla 2. Principios del SCF. La figura 9 ilustra y resume la manera en que SAFE aborda el diseño de la arquitectura de seguridad, a través de cuatro fases. En primer lugar, hay que asegurarse de que los procesos de negocio están siendo bien entendidos y se han identificado sus objetivos y metas, así como también aquellas amenazas que obstaculizan su cumplimiento y que pueden representar un peligro a la integridad de la información y los recursos estratégicos de la organización. La segunda fase se preocupa por dar una solución administrativa al problema que plantea el proteger al negocio de las posibles amenazas. Para ello, necesita conocer primero exactamente qué tanto puede afectarle el que una amenaza se convierta en un ataque real y las consecuencias que esto traería. Un análisis de riesgos genera esta información y la presenta de una forma adecuada para, a partir de ella, elaborar la política de seguridad, un documento normativo que dicta la manera en que deben funcionar los sistemas de información y la manera en que deben ser utilizados. La tercera y cuarta fases, desarrollan una serie de acciones para hacer cumplir la política con base en los principios de visibilidad y control mostrados en la tabla 2.

22

Figura 11. Relación entre los elementos y principios de la arquitectura SAFE [� 7]

Partiendo de que la seguridad es un proceso continuo, vemos la necesidad de que esta arquitectura tenga un ciclo de vida repetible que le permita adaptarse a la constante evolución tanto de los objetivos de negocio como de las nuevas amenazas de seguridad. La arquitectura SAFE utiliza el ciclo mostrado en la figura 10 y tiene los siguientes componentes (denominados en conjunto PDIOO): Planeación: Es el primer paso en el ciclo de vida e incluye la realización de una evaluación y análisis de riesgos así como la identificación de las principales amenazas y huecos de seguridad en el estado actual de la arquitectura de red. Diseño: Crear una solución que llene las deficiencias encontradas y cubra los riesgos no aceptables que obstruyen los objetivos del negocio, tomando en cuenta requerimientos técnicos y seleccionando los controles necesarios para ello. Implementación: Consiste en la colocación y configuración de los elementos de red de acuerdo con el diseño y generalmente por fases. Operación: Es la puesta en marcha de la nueva arquitectura, que será manejada y monitoreada, tanto en su funcionamiento normal como en su respuesta ante ataques u otro tipo de eventos anómalos. Optimización: La información recolectada en la fase de operación servirá para detectar la necesidad de corregir fallas en el diseño que no fueron consideradas o no resultaron correctamente implementadas, detonando nuevamente el ciclo.

Figura 12. Ciclo de vida de la arquitectura SAFE [� 4]

Cada uno de estos pasos está documentado por Cisco a través de diseños detallados, recomendaciones, guías, etc. que se encuentran disponibles gratuitamente desde su sitio Web. Para este trabajo, lo que tomaremos serán estos principios.

23

3.2 Arquitectura de Campus Se conoce como red de “campus” a la infraestructura de red que proporciona servicios de comunicación, transmisión de datos y acceso a recursos informáticos a usuarios y dispositivos distribuidos dentro de un lugar geográfico definido. Este lugar puede abarcar ya sea un piso, un edificio o un complejo de varios edificios y espacios al aire libre. Para SAFE, la red de campus consiste en el conjunto de elementos dedicados a proporcionar los servicios que utilizarán usuarios y dispositivos, todo sobre una base de comunicaciones conmutadas de alta velocidad. Tales servicios son: el transporte de paquetes, identificación y control de tráfico, monitoreo y administración del tráfico, y el aprovisionamiento de sistemas [� 3]. Como todo sistema grande y complejo, la arquitectura de red debe estar basada en principios sólidos de diseño que sirvan de guía para asegurar que la red de campus cumpla con su objetivo primordial: proporcionar servicios de comunicación y procesamiento de datos de acuerdo con las necesidades del negocio. Cisco SAFE basa todas sus especificaciones en una serie de principios básicos, que permiten enfocar los esfuerzos durante todo el ciclo de vida de la arquitectura. Estos principios son: defensa a fondo, jerarquía y modularidad, flexibilidad, disponibilidad y resistencia, cumplir con el marco regulatorio, lograr la eficiencia operacional, implementaciones auditables, colaborar y compartir información de manera global. Defensa a fondo: Es el concepto que desarrolla Cisco SAFE como el principio a seguir para garantizar la confidencialidad, integridad y disponibilidad de los datos, aplicaciones, dispositivos y la red en su conjunto [� 9]. La defensa a fondo significa contar con mecanismos de protección en puntos adecuados de la infraestructura de red abarcándola por completo, donde cada dispositivo cumple un papel ya sea en la prevención o en la detección de incidentes de seguridad y en el reporteo de información. Jerarquía y Modularidad: Son los principios fundamentales, complementarios entre sí, en que debe basarse un sistema estructurado. Para facilitar su composición, manejo y operación, un sistema debe construirse como un conjunto de componentes modulares, estructurados de manera jerárquica. De esta manera cada parte del sistema puede ser tratada de manera independiente, cumpliendo una función específica en el esquema general. Una ventaja es que en caso de existir un problema en el sistema, éste puede ser localizado y contenido únicamente dentro del módulo correspondiente, mientras que el resto sigue funcionando. La jerarquía a su vez, proporciona orden y prioridad a los diversos módulos, además de categorizarlos y subdividirlos.

SAFE considera un esquema de tres capas para el diseño de red: Núcleo, Distribución y Acceso. Cada una de las capas está dedicada a proporcionar cierto tipo de servicios, cumpliendo un papel específico en la arquitectura general de red. Las capas son agrupaciones lógicas de elementos y no representan necesariamente la forma en que están distribuidos físicamente, aunque muchas veces se asemejan. A menudo, y sobre todo en implementaciones pequeñas, las funciones de dos o más capas pueden ser efectuadas por un mismo equipo.

24

Figura 13. Jerarquía de tres capas utilizada por SAFE

Capa de Acceso: Es el primer nivel o perímetro de la red, donde se conectan a la red cableada los dispositivos finales o los dispositivos que la extienden sobre otro medio, como los APs inalámbricos. Es además la primera línea de defensa en la arquitectura de seguridad de la red y donde se lleva a cabo la negociación del ingreso a ésta. Capa de Distribución: Funge como división entre la capa de acceso y el núcleo, proporcionando agregación, conectividad y aplicación de políticas al tráfico, participa en el ruteo del núcleo y traza los límites para la actuación de los distintos protocolos de control en la red. Núcleo: Es la parte más crítica de la red del campus ya que une todos los elementos de la arquitectura. Sus componentes proporcionan conectividad central con alta disponibilidad, redundancia y recuperación inmediata del flujo de datos en caso de falla. Es deseable que el núcleo trabaje con el mínimo de políticas de control y que no existan conexiones directas de usuario, para permitirle un funcionamiento óptimo y sin interrupciones. Contar con un núcleo por separado otorga flexibilidad al diseño, ya que permite crecer a la red sin limitaciones en el tipo de hardware, los protocolos de ruteo utilizados o el cableado necesario de acuerdo con la distribución física del campus. Además, minimiza la complejidad al reducir el número total de conexiones entre los módulos manteniendo la estructura general de la red. El núcleo puede mantenerse de forma separada o formar un solo bloque en conjunto con la capa de distribución, con los mismos equipos ejecutando ambas funciones. Esto dependerá de qué tan compleja o amplia es la red del campus, siendo común que mientras mayor sea, mayor la necesidad de que estén separadas para evitar que cambios en una capa afecten a la otra. Los tres elementos a considerar en el diseño jerárquico de la red son la conectividad física, el plano de control lógico y el flujo del tráfico. Estos tres elementos comparten los mismos principios de diseño y deben mantener una estrecha relación. La jerarquía de tres capas indica que el tráfico fluye únicamente de la capa de acceso a la capa de distribución y de ahí al núcleo y viceversa, por lo tanto deberá estar soportada por conexiones físicas redundantes que permitan el direccionamiento del flujo de manera óptima y por un esquema de control que mantendrá flujos constantes y balanceados sobre dichas conexiones. En caso de una eventualidad, como por ejemplo un enlace caído, la jerarquía no se pierde pues cada capa es capaz de contener el problema y resolver una nueva ruta sin tener que regresar a una capa anterior.

Resistencia: Tiene que ver con la capacidad de la red para resistir fallas en la infraestructura o ataques puntuales, sin importar que tan crítico sea el componente dañado. Esto se logra añadiendo capas de redundancia en las interfases, agregando módulos y dispositivos de respaldo y permitiendo múltiples trayectorias en conexiones y enlaces.

25

Cumplimiento normativo: SAFE incorpora prácticas y recomendaciones de seguridad basándose en estándares internacionales y buenas prácticas con probada efectividad, las cuales son comúnmente requeridas por las regulaciones en materia de IT, haciendo más fácil para la organización cumplir con ellas. Eficiencia operacional: La arquitectura SAFE está diseñada para facilitar la administración y la operación centralizada al mantener visibilidad y control sobre todos los elementos de la arquitectura de red, lo que permite una respuesta rápida a incidentes y a contar siempre con un panorama general del estado de la red. Implementaciones auditables: SAFE integra herramientas de verificación y medición del nivel de cumplimiento de políticas, lo que ayuda a comprobar el cumplimiento normativo y a tener un reporte concreto del estado que guarda la seguridad en la red.

26

3.3 Planeación y diseño de la red inalámbrica Los primeros dos pasos en el ciclo de vida de la arquitectura de seguridad son la planeación y el diseño, y la tarea inicial para poder llevarlos a cabo es la recopilación de toda la información relevante respecto de las características y necesidades de los usuarios, los recursos disponibles, así como de las posibilidades o limitaciones del entorno. El acercamiento que debe tomarse para el diseño de seguridad de la red de área local en un campus universitario es evidentemente distinto al que tradicionalmente se utiliza en un campus corporativo. Tradicionalmente, las redes universitarias han tenido la necesidad de ser más abiertas para permitir la colaboración entre alumnos y profesores, facilitándoles el acceso a recursos informáticos de carácter heterogéneo con fines académicos. Al mismo tiempo, deben otorgar servicios al personal administrativo cuyas necesidades son distintas y se asemejan más a las que se tienen en un ámbito corporativo. Este escenario mixto hace obligatoria una planeación cuidadosa de la seguridad de la red, pues gran parte de los equipos que ingresarán a la red no son propiedad de la institución, sino de los usuarios y por lo tanto no se tiene sobre ellos un control completo. Por tanto, la red deberá ser capaz de aceptar el rango más amplio posible de tecnologías y plataformas de cómputo, sin comprometer su seguridad con métodos de protección obsoletos. En términos generales, podemos hablar de dos tipos de arquitectura de seguridad: distribuida o centralizada. Una arquitectura distribuida, es aquella en que la responsabilidad sobre los procesos que otorgan seguridad a los flujos de datos se reparte entre múltiples componentes y a varios niveles de la jerarquía de red, donde cada uno es administrado y configurado de manera individual e implementa sus propias políticas. En una arquitectura centralizada, la aplicación y el control de todas las funciones de seguridad se llevan a cabo desde un mismo punto, lo cual hace más sencilla su administración. Las arquitecturas de red inalámbricas que utilizan APs “inteligentes”, es decir, con funciones de autenticación, cifrado y filtrado de tráfico, obligan a un diseño distribuido. Sin embargo, existen grandes ventajas en optar por una arquitectura centralizada, donde existen APs “delgados” o “ligeros” manejados por un controlador que concentra las prestaciones de seguridad, como se verá a continuación. El número de APs en una WLAN mediana a grande como la de un campus universitario, llega a ser de varias decenas. El trabajo que implicaría la configuración y la instalación de políticas en cada uno de ellos puede evitarse si se tiene una arquitectura centralizada. De esta manera, la configuración se realiza en el controlador y ésta se propaga a todos los APs administrados, lo mismo que actualizaciones de firmware, y cualquier cambio en las políticas de seguridad. Los beneficios de la arquitectura centralizada son: • La administración de toda la infraestructura se realiza desde una misma consola. • Las políticas de seguridad se administran centralmente y se replican de manera homogénea a todos los APs de la

red. • Permite recibir reportes de violaciones a la política también de manera centralizada, como podría ser la

detección de puntos de acceso ilegítimos. • Facilita la implementación de soluciones de roaming al no ser necesario que el usuario deba reautenticarse al

cambiar de AP. • El controlador central puede detectar la falla de un AP y acomodar los parámetros de radio en los APs cercanos

para cubrir la deficiencia en la cobertura. • El servidor de autenticación sólo necesita mantener una conexión de confianza hacia el controlador y no hacia

cada AP. Todas las peticiones de autenticación pasan necesariamente a través del controlador. La principal desventaja de esta arquitectura es que todo el tráfico administrativo y en ocasiones también el tráfico de datos, debe viajar del AP al controlador a través de la red cableada. Aunque ciertamente, la velocidad de datos de una red inalámbrica basada en 802.11 a/b/g no representa mucha carga en comparación con la capacidad de la LAN cableada, sí puede llegar a ser un problema en instalaciones muy saturadas o que manejan 802.11 n.

27

3.4 Requerimientos del negocio A grandes rasgos, los objetivos de negocio se encuentran condensados en los enunciados que forman la misión y visión de la institución. La misión define la razón de ser de la organización, mientras que la visión enmarca los esfuerzos de planeación estratégica mostrando hacia dónde se quiere llegar. Estos objetivos de alto nivel son la base para definir las acciones que llevará a cabo la institución día a día y los proyectos que emprenderá para cumplir sus metas. Los requerimientos de negocio, por su parte, son aquellos puntos específicos que define la alta dirección como requisitos a cumplir por el sistema que se va a adquirir e implementar. Estos requerimientos están planteados típicamente de forma general y cualitativa. Responden a la pregunta de quienes necesitan acceso inalámbrico, qué recursos podrán acceder, qué beneficios se esperan obtener. Todos los puntos deben ser cubiertos con el diseño planteado y de no ser así, entonces no podrá ser adoptada como una solución. Es importante mencionar que ante cualquier disyuntiva, los objetivos de negocio siempre tienen la prioridad pues básicamente son la razón de ser de la organización y no pueden pasarse por alto.

3.5 Requerimientos técnicos Los requerimientos técnicos toman como base los requerimientos de negocio, traduciéndolos en especificaciones que deben cumplir los equipos como: funciones soportadas, capacidad, rendimiento. Otra de sus fuentes son las guías y buenas prácticas que se recomiendan en la arquitectura de red seleccionada. Muy a menudo, los requerimientos técnicos representan limitaciones a los requerimientos de negocio, por lo que será necesario reconciliar ambas visiones antes poder comenzar el diseño. El planteamiento de los requerimientos técnicos para la red inalámbrica se basa en los siguientes aspectos:

Objetivos y alcance de la red inalámbrica. Se debe responder a la pregunta de ¿qué uso se le va a dar a la red inalámbrica?, es decir, cuál es la razón de tenerla en funcionamiento y a quiénes va a dar servicio. Esto dará una pauta a seguir al resto de los aspectos técnicos en el diseño de seguridad de la red.

Tipos de dispositivos cliente que serán soportados. La política puede indicar por ejemplo que se prohíbe la conexión de smartphones y consolas de videojuegos a la red inalámbrica del campus, o que la versión del sistema operativo de la PC deba ser Windows XP Service Pack 2 o mayor.

Opciones de autenticación y mecanismos de seguridad. Determinar los mecanismos válidos de autenticación, y la manera en que se distribuirán las credenciales de acceso a los usuarios.

Administración de la infraestructura, disponibilidad, desempeño y escalabilidad. Estos requerimientos corresponden a los compromisos en aprovisionamiento y calidad del servicio que se hace la institución para con sus clientes y para cumplir con ellos se deben instaurar medidas de protección de la infraestructura.

Aplicaciones y servicios de movilidad soportados. Mientras mayor sea el número de aplicaciones y servicios de red ofrecidos, mayor es la superficie susceptible de ataque que debe cubrirse. Asimismo, si se planea una red con soporte a movilidad, hay que verificar que la solución implementada considere medidas de protección ante robos de sesión y otras vulnerabilidades específicas de este servicio.

Áreas y niveles de cobertura. Cuáles son los lugares donde existirá cobertura de la red inalámbrica. Capacidad y número de usuarios. Desempeño esperado. Evitar que los controles implementados se conviertan en un cuello de botella para el

tráfico en la red inalámbrica, sobre todo en aplicaciones de altas tasas de transferencia. Relación señal a ruido (SNR) requerida. Calibrar los equipos para superar las interferencias provocadas por el

ruido electromagnético ambiental o de fuentes externas difíciles de eliminar. Bandas de frecuencia de operación. Básicamente consiste en determinar el tipo de tecnología inalámbrica que

se usará en la red: 802.11 a,b,g, y/o n.

28

3.6 Análisis de riesgos El análisis de riesgos es el único método para llegar a conocer por completo la infraestructura, y elaborar una arquitectura de seguridad acorde que considere todos los aspectos. La evaluación del riesgo trata básicamente comparar el costo de asumir cierto riesgo con el costo de ejecutar una acción para aminorarlo. Además del proceso de identificación y administración de riesgos que conlleva, también se preocupa por comunicar sus resultados poniéndolos en términos cuantitativos (por ejemplo monetarios) y cualitativos (probabilidad de ocurrencia, pérdida de reputación o confianza). Esta característica lo convierte en una herramienta esencial para coordinar los requerimientos de negocio y los requerimientos tecnológicos que se tomarán para el diseño, ya que para cada control implementado debe existir una razón de negocio que justifique el costo asociado. Debido a las limitaciones técnicas y del negocio, no existirá una solución perfecta, por lo que es necesario dar prioridad a las funciones críticas de la organización y a la información sensitiva. Un acercamiento general al análisis de riesgos consta de 5 fases:

1) Realizar un inventario y describir el papel de cada uno de los sistemas que soportan la operación básica de la organización. En esta fase se asigna un valor a cada activo del inventario con el fin de darle peso en términos de riesgo cuantitativo.

2) Efectuar un análisis de vulnerabilidades que examine los sistemas en busca de debilidades y la probabilidad de ser explotadas. Esto abarca seguridad lógica y física, en servidores y equipos de comunicaciones, considerando el mayor número de vectores de ataque.

3) Evaluar los controles, ya sea aquellos existentes en la arquitectura actual o los que se vayan a adquirir. Se calcula su costo de adquisición, implementación, mantenimiento y actualización. Además se pondera un riesgo remanente, el cual existe debido a que el control no es perfecto y no es capaz de llevar a cero las amenazas latentes.

4) La cuarta fase es la de gestión de riesgos. En este punto se tiene ya toda la información necesaria para la toma de decisiones, la cual implica escoger entre tres opciones: aceptar el riesgo (no hacer nada), mitigar el riesgo (implementar el control) o transferir el riesgo (comprar un seguro).

5) Comunicar las decisiones de implementación a los responsables de los procesos de negocio así como los usuarios finales con el fin de las nuevas políticas derivadas de este proceso sean comprendidas por todos los involucrados.

3.6.1 Conducción de un análisis de vulnerabilidades El análisis de vulnerabilidades, implica llevar a cabo de manera sistemática un estudio de pruebas de penetración y una observación cuidadosa del comportamiento de la red ante eventos inesperados, identificando y describiendo todas aquellas debilidades que pudieran ser explotadas. Los resultados obtenidos se evalúan para determinar qué tan grave es la vulnerabilidad, qué tan probable es que suceda y cuáles son los pasos necesarios para reducir lo más posible el riesgo que llevan asociado. Existen distintos métodos para la medición del riesgo y dependiendo de la metodología en particular que sea utilizada, la medida estará representada en términos cuantitativos, cualitativos, unidimensionales o multidimensionales. Independientemente de esto, la medida tendrá que estar representada en términos comprensibles para quienes llevan a cabo la selección de controles, la elaboración de políticas u otras acciones para la mitigación del riesgo. El primer paso en el análisis de vulnerabilidades es identificar todos los dispositivos inalámbricos que se encuentran operando dentro o cerca del sitio que se está evaluando. Esta tarea también se lleva a cabo en las primeras etapas del diseño e implementación de la red inalámbrica, pero también tiene una utilidad en el caso del análisis de vulnerabilidades. Es necesario documentar lo siguiente:

• Niveles de tráfico 802.11 en cada canal de la banda de 2.4GHz • Niveles de tráfico 802.11 en cada canal de la banda de 5 GHz • Fuentes de interferencia externa (señales distintas a 802.11) sobre ambas bandas • APs activos detectados

29

Dirección MAC ESSID Canal de operación SNR promedio y máximo Mecanismo de cifrado (WEP, TKIP, CCMP, etc.) Localización (aproximada)

• Estaciones activas detectadas Dirección MAC Modo de operación (ad hoc o infraestructura) ESSID, AP(s) o STA(s) a la(s) cual(es) se encuentra asociado Canal SNR promedio y máximo Localización (aproximada)

• Dueño o probable dueño de cada dispositivo marcando como sospechosos todos aquellos dispositivos desconocidos al final de la investigación.

Identificar todos los dispositivos inalámbricos en el campus puede ser una tarea complicada y que consume mucho tiempo, pues muchos de ellos tendrán actividad intermitente y a veces será necesario conducir la actividad a distintos horarios a lo largo del día. Para realizarla, existe software de detección, de paga o de código abierto, que puede instalarse en computadoras portátiles o en “handhelds” para llevar a cabo algunas funciones básicas de monitoreo y detección de actividad inalámbrica. Sin embargo pueden llegar a ser muy limitados en sus prestaciones, ya que están limitados a la capacidad del firmware y el controlador de la NIC inalámbrica. Para obtener mejores resultados, la herramienta adecuada es un analizador portátil de WLAN ya que este dispositivo puede escanear todos los canales de RF, y no sólo señales 802.11. Puede obtener información de posición para mapear los dispositivos descubiertos sobre un plano de las instalaciones, además que su sensibilidad puede ser calibrada y es de un tamaño ideal para ser llevado a cualquier punto de la red. El siguiente paso es llevar a cabo pruebas de penetración en la red y ataques controlados para encontrar aquellos a los que es vulnerable la red inalámbrica. Todo el arsenal de herramientas con que cuenta un atacante se encuentra también disponible para el evaluador, quien podrá apoyarse de una base de datos de vulnerabilidades comunes para llevar a cabo los ataques, los cuales siempre deben hacerse con el conocimiento y consentimiento del administrador de la red, quien debe considerar el impacto que éstas puedan tener. El objetivo de esto es recopilar información sobre: qué ataques fueron exitosos, qué tipo de daño pueden provocar, qué información y de qué criticidad se pudo obtener con el ataque.

3.7 Definición de políticas de seguridad De acuerdo con el RFC 2196, Manual de Seguridad de Sitio [� 13], “una política de seguridad es un documento formal que lista las reglas que deben acatar las personas a quienes se ha otorgado acceso a la tecnología y los recursos de información de una organización”. Este documento tiene como fin dejar claro cuáles son los objetivos de implementar una arquitectura de seguridad para la red, describiendo de manera general la forma en que debe protegerse todos los elementos que la componen y la información que viaja a través de ella. El contar con una política de seguridad trae consigo una serie de beneficios a la organización: en primer lugar sirve como una guía al encargado de la seguridad de la red para saber qué proteger y con qué prioridad de manera que pueda seleccionar los controles adecuados; es un parámetro contra el cual medir el estado general de seguridad que guardan la red y sus sistemas; permite que la organización en su conjunto siga los mismos criterios de seguridad evitando que cada departamento siga estándares propios que puedan ser incompatibles entre sí o entren en conflicto; y por último, la política ayuda a reducir la responsabilidad legal de la organización en el caso de afectaciones a terceros o siniestros, por lo que si se busca la protección de una compañía aseguradora, debe saberse que ésta no emitirá ninguna póliza si las prácticas que se siguen no están respaldadas por una correcta política de seguridad [� 15]. El proceso de creación de una política de seguridad comienza analizando sus dos fuentes principales: los requerimientos de negocio y el análisis de riesgos. Sin ellos, la política no tendría objetivos claros y puede acabar

30

causando mayores problemas de los que intenta resolver o provocar un daño a la organización al interferir en los procesos de negocio. Una vez que se ha realizado el estudio de todos los requerimientos y la determinación de los riesgos a cubrir, se procede a la redacción de la política. Esta política debe indicar claramente su propósito, cuáles son y cuál es el valor de los activos que intenta proteger, las responsabilidades que tiene cada actor, el compromiso de cada parte y el alcance, es decir, quienes estarán sujetos a ella. Si la política de seguridad se referirse específicamente al uso de la WLAN, ésta debe enmarcarse dentro de la política de uso de redes, la cual forma parte a su vez de las políticas de uso de los sistemas de información, es decir, cada política debe mantener una jerarquía y estar ubicada de acuerdo con su propósito y alcance Una lista de comprobación puede ayudar a realizar las actividades de revisión en la red, las cuales deben hacerse con el conocimiento el administrador de la red y bajo su consentimiento, considerando el impacto que éstas puedan tener. Cualquier política es inútil sin no existe un método de comprobar que realmente se cumple. Existen cuatro maneras en que puede imponerse el cumplimiento de las políticas:

Cumplimiento mediante controles tecnológicos en tiempo real Verificación pasiva del cumplimiento mediante controles tecnológicos Verificación del cumplimiento mediante controles no tecnológicos Obligación al cumplimiento mediante contrato

31

4 Controles de seguridad inalámbrica Un servicio de seguridad es una colección de mecanismos, procedimientos y otros controles que se implementan para disminuir el riesgo asociado con una vulnerabilidad específica. El documento guía FIPS191 identifica 5 servicios de seguridad que pueden implementarse para una red de área local, que son [� 11]: Identificación y autenticación – asegurar que sólo entidades autorizadas tienen acceso a la red. Control de acceso – proteger los recursos en la red de usos no autorizados. Confidencialidad de datos y mensajes – impedir que la información transmitida se de a conocer a entidades no autorizadas. Integridad de datos y mensajes – impedir que la información transmitida sea modificada por entidades no autorizadas. No repudio – mecanismo que impide que las partes involucradas en una comunicación nieguen haber participado en ella. Registro y monitoreo – que el acceso y el uso de los recursos pueda ser identificado y rastreado a lo largo de la red.

4.1 Identificación y Autenticación La autenticación consiste básicamente en la verificación de la identidad del usuario que intenta acceder a la red o hacer uso de algún servicio de la misma. En un esquema de seguridad AAA, ésta sirve como base para que otros controles en la red puedan diferenciar los privilegios de cada usuario (autorización) y puedan registrar información individualizada de uso (contabilidad). Generalmente se entiende como el proceso de solicitar el nombre de usuario y una contraseña u otro tipo de credencial y comparar esta información contra una base de datos. La contraseña demuestra “algo que el usuario conoce”, pero también puede tomarse como credencial válida “algo que el usuario tiene” como una tarjeta inteligente, o “algo que hace único al usuario”, como su huella digital. El proceso de autenticación asume que las credenciales están siendo proporcionadas realmente por la persona o entidad que dice ser, por lo que mientras más factores se consideren, menor es el riesgo de una falsificación o robo de identidad. El modo de autenticación más seguro para redes inalámbricas lo proporciona el estándar IEEE 802.1X, el cual basa la autenticación en el protocolo EAP, cuya principal ventaja es la de separar el mecanismo de autenticación utilizado del protocolo de transporte. La autenticación IEEE 802.1X consta de tres componentes: el suplicante (que es en este caso el dispositivo móvil que se va a conectar la red inalámbrica), el autenticador (el controlador inalámbrico que sirve únicamente de intermediario en el proceso) y el servidor de autenticación (servidor AAA o RADIUS). En la red inalámbrica es importante que la autenticación se realice en dos vías, tanto para autenticar al usuario, como para autenticar a la red, consiguiendo que sólo los usuarios autorizados ingresen a la WLAN y también que el usuario se asegure de que la WLAN sea la de la institución y no la de un atacante. El intercambio entre suplicante y el autenticador se hace bajo el protocolo EAPOL (EAP sobre LAN) mientras que la comunicación entre éste y el servidor de autenticación se hace con el protocolo RADIUS. Antes de iniciar el proceso, el cliente puede asociarse con el AP, pero no se permite ningún tipo de tráfico entre ellos que no sea EAPOL. A partir de ese punto, el proceso se da de la siguiente manera [� 8]: 1. El cliente inicia el proceso al mediante una petición de autenticación con una trama EAPOL-Start. 2. El autenticador envía petición EAP-Identity/Request al cliente 3. El cliente responde con EAP-Identity/Response la cual se remite al servidor de autenticación AAA

encapsulándola en un paquete RADIUS-Access-Request. 4. El servidor AAA responde con un paquete RADIUS-Access-Challenge, y se transmite al cliente en forma de un

EAP-Request. La información que se pide al cliente depende del tipo de mecanismo de autenticación utilizado.

32

5. El cliente proporciona su respuesta al desafío de autenticación y la envía al autenticador en un paquete EAP-Response, la cual se traduce en un RADIUS-Access Request hacia el servidor AAA.

6. Los pasos 4 y 5 se repiten para la autenticación del servidor AAA con el cliente y tantas veces sea necesario dependiendo del método EAP que se esté utilizando, para intercambiar toda la información de autenticación.

7. El servidor de autenticación concede el acceso con un paquete RADIUS-Access-Accept con el cual el autenticador emite una trama EAP-Success para el cliente. En este momento el puerto pasa a estado “autorizado” y se permite al usuario acceso a la red.

8. Un mensaje EAPOL-Logoff puede ser emitido por el cliente para indicar que ha terminado de utilizar la red y restablecer el puerto a un estado no-autorizado.

Figura 14. Proceso de autenticación EAP

Existen numerosos mecanismos o tipos EAP para llevar a cabo la autenticación, aquellos que utilizan túneles cifrados y autenticación de servidor por medio de certificados, como EAP-PEAP, EAP-TLS o EAP-TTLS son los más convenientes para utilización con redes inalámbricas, dada la facilidad que tendría un atacante de monitorear la comunicación en este medio. El manejo de certificados es parte fundamental de la seguridad en el proceso de autenticación. El cliente debe siempre validar que el certificado haya sido emitido por la autoridad certificadora establecida por la institución y que identifique correctamente a los servidores de autenticación reales. Otra de las recomendaciones es la de implantar una política de contraseñas que impida el uso de contraseñas débiles o si es posible, obligue a la utilización de OTP o la autenticación de dos factores.

4.2 Confidencialidad El tipo de cifrado utilizado es clave para la seguridad de la red inalámbrica. El estándar 802.11i introduce el concepto de RSNA (Robust Security Network Association) para designar a una red inalámbrica segura con mecanismos de autenticación mejorados, algoritmos de manejo y establecimiento de llaves criptográficas, así como un mecanismo de encapsulamiento cifrado de datos llamado CCMP (Counter mode with Cipher-block chaining Message authentication code Protocol) el cual es obligatorio para las implementaciones compatibles con el estándar y opcionalmente el mecanismo TKIP (Temporal Key Integrity Protocol) para equipos anteriores no compatibles [� 22]. TKIP Este protocolo es una mejora a WEP, que trabaja sobre el mismo tipo de hardware incrementando la seguridad sin causar una degradación notable en su desempeño. Fue desarrollado por la WiFi Alliance antes de que fuera liberada la especificación final de 802.11i, y se le denominó WPA. Sus características de seguridad principales son:

Uso del algoritmo de cifrado RC4. Protección a la integridad de mensaje. Implementa medidas de reacción cuando encuentra errores de integridad del mensaje.

33

Prevención de repeticiones mediante secuenciado de tramas. Utiliza una llave completamente distinta con cada paquete.

CCMP Este es un protocolo robusto de confidencialidad e integridad de datos que utiliza el algoritmo de cifrado AES para confidencialidad y el modo de cifrado Cipher Block Chaining MAC (CBC-MAC) para autenticación e integridad. CCMP fue llamado WPA2 por la WiFi Alliance y sus principales características son:

Algoritmo criptográfico AES con una llave de 128 bits. No necesita llaves por paquete ya que la llave temporal de sesión es lo suficientemente fuerte. Protege las partes no cifradas de la trama 802.11 en contra de ataques de modificación (mediante CCM) y

repetición de paquetes (mediante el secuenciado de paquetes).

En una arquitectura centralizada, el cifrado de datos se negocia entre el controlador y el cliente, por lo que no existe en los APs ninguna información de llave que un atacante pueda utilizar en caso de que haya sido comprometido.

4.3 El controlador de WLAN Un controlador de WLAN o WLC (Wireless LAN Controller) o controlador inalámbrico es un dispositivo que centraliza la administración de una red de área local inalámbrica, automatizando la configuración y el manejo de los APs ligeros (LAP, Lightweight Access Point) o de malla (MAP, Mesh Access Point) que conforman la WLAN y llevando a cabo todas las funciones de control como son la asociación y autenticación de clientes inalámbricos, cifrado de datos, etc. que normalmente son realizadas por los APs autónomos. Además proporciona diversas ventajas que hacen más fácil la administración y el escalamiento de la red inalámbrica. El WLC mantiene comunicación con los APs administrados a través de un protocolo como LWAPP (Lightweight Access Point Protocol) o el más reciente CAPWAP (Control And Provisioning of Wireless Access Points), definidos en los RFC5412 y RFC5416 respectivamente. Esta comunicación se encuentra protegida mediante cifrado con un esquema de llave pública. Cada AP se autentica con el WLC de manera mutua y establecen un túnel para la comunicación de mensajes de control y la transferencia de datos. Las principales ventajas de utilizar un controlador en la WLAN son:

Se elimina la necesidad de acceder directamente a cada AP para realizar su configuración y todos los parámetros se establecen desde una misma consola en el WLC.

Visibilidad y control sobre los APs en la red. Distribución de parches y actualizaciones de firmware a todos los APs. La configuración sensible no se almacena en el AP sino en el controlador. Capacidad de responder ante la falla de un AP ajustando los parámetros de potencia y canal de los APs

adyacentes para compensarlo. Manejo de distintas VLANs en un mismo AP, sin necesidad de configurar dot1Q en el switch, ya que el

tráfico de cada una es marcado por el mismo protocolo que utiliza el controlador y viaja encapsulado en él. Unifica la configuración y aplicación de políticas a lo largo de la infraestructura. Integración con IDS y WIDS. Facilita la implementación de roaming de capa 2 y capa 3. Manejo dinámico de canales de radiofrecuencia para evitar interferencias.

34

Figura 15. Ubicación del WLC dentro de una arquitectura centralizada.

4.4 Sistema de Detección y/o Prevención de Intrusos Inalámbrico Un sistema de detección y/o prevención de intrusos inlámbrico (WIDS/WIPS) cumple con una serie de funciones que lo hacen un componente esencial en la protección de una red inalámbrica. Es un componente análogo al IDS/IPS que alerta y protege del tráfico malicioso en la red cableada, pero enfocado a las vulnerabilidades que se encuentran en una WLAN. En este sentido, el análisis de tráfico realizado por el WIDS es complementario al del IDS y su utilización permite a la organización tener conocimiento pleno de su propio entorno de RF [� 23]. Esta herramienta puede existir integrada a la infraestructura de la WLAN, utilizando como sensores los mismos APs que dan conectividad o puede contar con sensores dedicados (solución sobrepuesta) o quizá una mezcla de ambos. Tales sensores monitorean la actividad inalámbrica sobre los distintos canales del rango de frecuencias y envían esta información a un servidor central que correlaciona y analiza el tráfico inalámbrico, alertando sobre los ataques o intentos de ataque detectados, comportamientos atípicos y violaciones a las políticas. Las prestaciones que pueden encontrarse en un WIDS son de detección e identificación, como las siguientes [� 6]:

Detección y localización de APs ilegítimos. Detección y localización de redes ad hoc no autorizadas. Visibilidad y localización geográfica de dispositivos inalámbricos. Detección de ataques de denegación del servicio. Identificar violaciones a políticas

Exceso de fallas de autenticación 802.11 Exceso de fallas de asociación 802.11 Exceso de fallas de autenticación 802.1X Robo o duplicidad de dirección IP Robo o falsificación de direcciones MAC Tramas 802.11 malformadas

Reconocer problemas de configuración, tanto en parámetros de radio como de seguridad, en APs y dispositivos cliente.

Monitoreo de la operación, carga y desempeño de la red inalámbrica. Almacenamiento de datos estadísticos del comportamiento de la red para investigación de incidentes, análisis

forense, auditoría y revisión del cumplimiento de las políticas.

35

Un WIPS, adicionalmente a esto, tiene la capacidad de responder ante los eventos detectados mediante: Terminación de conexiones de dispositivos inalámbricos que violen la política. Contención de APs ilegítimos, diferenciándolos antes de los APs de establecimientos vecinos. Reconfiguración automática de APs para cumplir con las políticas. Instalación de actualizaciones críticas de seguridad del firmware de los APs. Ubicación de APs ilegítimos conectados a puertos de la red cableada y su desactivación.

Un control de este tipo debe ser cuidadosamente calibrado para contar con una cobertura y sensibilidad adecuadas y ser planeado expresamente para el entorno que se trate, de otra manera no será capaz de detectar satisfactoriamente los ataques e intentos de acceso no autorizado. Para esto es fundamental comparar las ventajas y desventajas que ofrecen las soluciones WIDS/WIPS integradas o sobrepuestas. A continuación se verán las diferencias entre ambos [25]: WIDS/WIPS Integrado WIDS/WIPS Sobrepuesto Mixto Costo Reducido

No es necesario adquirir más AP de los que ya forman la infraestructura. El mismo controlador inalámbrico también puede contar con funciones de WIDS pero puede ser necesario incrementar sus capacidades.

Alto Implica el despliegue de APs o sensores especialmente dedicados al monitoreo que requiere el WIDS, y por consiguiente inversión en cableado, energía y utilización de puertos de switch,

Moderado Algunos dispositivos pueden configurarse para monitoreo de tiempo completo, otros parte del tiempo y otros sólo como APs, optimizando costos de acuerdo con las necesidades específicas de la instalación.

Cobertura Igual a la cobertura de la WLAN. La cobertura de monitoreo debe ser mayor que la del servicio de WLAN para ser óptima. Un solo sensor dedicado puede tener un área de cobertura de 4 a 7 veces mayor que un AP para datos.

Un ambiente mixto podrá abarcar el área necesaria dependiendo de las condiciones del entorno y los requerimientos de seguridad, pero es necesario un diseño cuidadoso.

Probabilidad de Detección

Menor El AP debe dividir su tiempo entre dar servicio a los clientes y escanear los canales para monitoreo. El tiempo dedicado a cada canal es poco relativamente y de igual forma la oportunidad que tiene de detectar una amenaza

Mayor Cada sensor está dedicado 100% al monitoreo, sin embargo debe compartir su tiempo entre los diversos canales en la(s) banda(s) seleccionada(s) y puede dejar pasar paquetes cortos, con baja intensidad de señal o que hayan sufrido interferencias.

Variable Dependiendo de la distribución, se puede lograr una detección, si no óptima, sí acorde a los estándares que dictan la política y los niveles de riesgo aceptables para este tipo de amenazas.

Capacidad Baja Soporte para instalaciones pequeñas y de bajos niveles de tráfico. Funciones de WIPS limitadas, ya que necesitaría dar mayor atención al canal donde se detectó la amenaza.

Alta Soporta cualquier tamaño de WLAN ya que su función no depende de otros factores. La información capturada se dirige a un puerto de monitoreo (SPAN) de alta velocidad en el switch para su completo análisis.

Variable El tamaño específico de la WLAN dictará la capacidad de detección necesaria en el WIDS y la capacidad de respuesta requerida en el WIPS.

Dificultad de implementación

Sencilla Prácticamente no requiere mayor configuración que habilitar los servicios de WIDS en el controlador inalámbrico

Media Necesidad de instalar nuevos equipos y añadir un módulo de detección de intrusos a la infraestructura de red.

Difícil Requiere trabajo de instalación, configuración y optimización, mayor preparación técnica y mayor tiempo disponible para la implementación.

Afectación en desempeño de la WLAN

Alta Dependiendo de la carga de tráfico que deberá manejar un AP además de su labor de monitoreo.

Ninguna La información recolectada por el WIDS puede ayudar incluso a diagnosticar problemas de desempeño.

Moderada Potencialmente existe un impacto sobre el desempeño de la WLAN sin embargo también le permite recuperarse ante fallas en la infraestructura reconfigurando otros sensores como APs para datos.

Funcionalidad No es capaz de proporcionar funciones de seguridad que requieran mayor tiempo de atención o sobre espectros y protocolos distintos a los que se utiliza para proporcionar

Sensores dedicados pueden expandir sus prestaciones y detectar un mayor rango de dispositivos de RF dentro del área de cobertura, lo cual puede ser o no de valor para la administración

La funcionalidad en un ambiente mixto es “adaptiva” en el sentido de que los APs pueden cambiar su nivel de atención o tomar parte de una acción contra intrusiones inalámbricas dependiendo de los

36

conectividad. de seguridad de la red. Además un WIPS puede realizar acciones más allá de la detección para ubicar y desactivar un AP o una red ad hoc ilegítima, lo que requiere completa atención y quizá también comportarse como cliente de dichas redes.

eventos detectados o necesidades temporales específicas.

Tabla 3. Comparación de las características de los WIDS/WIPS integrado, sobrepuesto y mixto. La tabla resume los factores a considerar para la selección de un control de detección y prevención de intrusos inalámbricos.

4.5 Detección y mitigación de ataques de denegación de servicio Las redes inalámbricas son muy susceptibles a ser perjudicadas por ataques de denegación de servicio (DoS). Los ataques DoS a las redes inalámbricas pueden ser clasificados en ataques a la capa física y ataques a la capa de control de acceso al medio (capa MAC). Los primeros son todos aquellos que provocan, intencionalmente o no, interferencia con las señales de radiofrecuencia de la red inalámbrica, disminuyendo notablemente su rendimiento o dejándola prácticamente inhabilitada. Los segundos son aquellos que mediante la fabricación de tramas de control falsas, interrumpen o provocan errores en la comunicación de las estaciones con el AP al que se encuentran asociados. 4.5.1 Ataques DoS a la capa física Todas las redes inalámbricas están sujetas a problemas de interferencia provocada intencional o accidentalmente, o producto de las condiciones del medio ambiente. Las bandas de radiofrecuencia sobre las que trabajan las WLAN, son compartidas con otros aparatos como teléfonos inalámbricos, hornos de microondas o dispositivos bluetooth, los cuales muy comúnmente interfieren entre sí. Por otro lado, un atacante podría estar provocando la interferencia con un generador de señales de radiofrecuencia de alta potencia, lo que dejaría inutilizada la red inalámbrica. Sin embargo esa posibilidad es remota puesto que tal equipo es costoso y fácil de detectar. La defensa ante este tipo de ataques puede integrarse directamente en la infraestructura, por medio de un WIPS. Este control, además de alertar, puede tomar algunas acciones para intentar evitar el ataque, por ejemplo en el momento en que detecta demasiada interferencia sobre un canal en específico, indicar al AP afectado que cambie de canal de forma dinámica. 4.5.2 Ataques DoS a la capa MAC Al igual que con los problemas de interferencia, un WIPS constituye una herramienta muy valiosa en la detección y mitigación de ataques de DoS que aprovechan vulnerabilidades del protocolo 802.11 y otros protocolos como 802.1X, afectando la capa de control y acceso al medio de una red inalámbrica. Los ataques de inundación, por ejemplo, pueden ser detectados en el WIPS cuando se superan umbrales de cierto número de paquetes por segundo. Esto dispara una alerta y se ejecuta una acción preventiva como sería desasociar del AP al atacante y triangular su posición.

4.6 Seguridad en Access Points Cuando se utilizan APs autónomos en la arquitectura de red inalámbrica, las implicaciones de seguridad son mayores y deben protegerse aún más que los APs ligeros de una arquitectura centralizada, tanto en el aspecto de seguridad física como administrativamente. Antes de ponerlos en operación será necesario sustituir la configuración de fábrica que generalmente tiene debilidades, por una acorde con las políticas de seguridad establecidas. Este proceso de hardening del AP incluye los siguientes aspectos:

37

Cambiar la contraseña administrativa por defecto, usualmente en blanco, colocando una lo suficientemente fuerte, la cual debe ser rotada de manera periódica, de acuerdo con las políticas de contraseña establecidas.

Deshabilitar acceso administrativo desde la interfase inalámbrica. Separar el tráfico administrativo del tráfico de usuario, colocándolos en subredes distintas y protegiéndolo

mediante métodos criptográficos. Deshabilitar servicios y funciones innecesarias en el AP. Proteger la función de Reinicio y Restablecimiento a configuración de fábrica del AP. Esta función

generalmente se accede al presionar un botón en el AP por determinado tiempo. Se debe asegurar que ésta sea inaccesible para un atacante que logre acceso físico al dispositivo.

Si el AP se administra mediante SNMP, utilizar la versión 3 de este protocolo, la cual cuenta con mecanismos de autenticación segura de mensajes.

Mantener actualizado el firmware del AP. Habilitar el registro de eventos y la emisión de alertas. Optimizar umbrales de DoS.

4.7 VPN para redes inalámbricas Una red privada virtual (VPN) se presenta como una solución viable para la protección del tráfico inalámbrico, cuando se quiere dar soporte a clientes que no aceptan los mecanismos de autenticación y cifrado de datos recomendados por 802.11i, como por ejemplo, dispositivos handheld o computadoras con hardware o sistemas operativos habilitados sólo para WEP. Esta solución no requiere de WEP, el cual dependiendo de la política puede no ser admisible como mecanismo de cifrado. Sin embargo, algunas veces es necesaria la instalación de software de cliente o requiere que el dispositivo cliente pueda utilizar VPN de forma nativa. La VPN está basada en una técnica de encapsulamiento seguro como IPsec (Internet Protocol Security) o SSL/TLS (Secure Sockets Layer/Transport Layer Security), los cuales son protocolos dedicados a proporcionar confidencialidad en la conexión a redes privadas a través de redes IP públicas, IPsec funcionando a nivel de capa de red y SSL/TLS a nivel de capa de transporte. La red inalámbrica puede, por muchas razones, ser considerada una zona pública, a pesar de que los equipos que la componen sean privados. El procedimiento para establecer la conexión es básicamente la siguiente:

1. El cliente se asocia con el AP mediante el método tradicional abierto. 2. El cliente obtiene una dirección IP temporal vía DHCP que sólo puede ser utilizada para iniciar la conexión de

VPN. En este punto, el firewall y el switch tienen una función muy importante pues no deben dejar pasar hacia la red cableada otros protocolos que no sean los estrictamente necesarios para el establecimiento de la VPN.

3. Se inicia la autenticación, el intercambio de credenciales y el establecimiento del túnel via IPsec o SSL/TLS. El concentrador de VPN valida las credenciales proporcionadas con el servidor RADIUS.

4. Una vez establecido el túnel VPN, al cliente le es asignada una nueva dirección IP, ruteable dentro de la red cableada y todos los datos de usuario viajan cifrados a través de la red inalámbrica y hasta el concentrador VPN.

5. En el momento en que se finaliza la conexión, se deshace la interfase VPN y se vuelve a solicitar una dirección IP.

Para la implementación de esta solución es necesario contar con los siguientes componentes:

Software cliente de conexión a VPN, el cual genera un adaptador de red virtual de túnel. Punto de acceso inalámbrico, proporciona la conectividad y puede realizar un filtrado inicial de paquetes. Switch de capa 2, enlaza al AP con la red cableada, clasifica el tráfico en VLANs. Switch de capa 3, realiza el ruteo de paquetes basado en dirección IP, puede realizar filtrados adicionales. Firewall, componente dedicado al filtrado de paquetes. Servidor o concentrador VPN, tramita la autenticación de los usuarios de VPN y establece con los clientes el

túnel IPsec.

38

Servidor RADIUS, es el que autentica los usuarios que pasan a través del concentrador de VPN, comunicándose a su vez con directorios o servidores OTP para una autenticación multifactor.

Servidor DHCP, proporciona a los clientes la configuración IP antes después del establecimiento de la VPN, puede localizarse en el mismo concentrador VPN.

Figura 16. Diagrama de VPN para red inalámbrica

4.8 Firewalls El firewall es un dispositivo de red utilizado para restringir el acceso desde una red a otra o entre segmentos de red, realizando funciones de seguridad perimetral con base en políticas que permiten que únicamente cierto tipo de tráfico pase a través de él. No es por lo tanto un control relacionado con la seguridad de las redes inalámbricas en particular, pero que es bastante útil en el diseño de la arquitectura que la soporta. El firewall puede ser un ruteador, un servidor o un equipo dedicado que monitorea el tráfico que entra o sale de la red que está protegiendo y puede descartar, reencapsular o redireccionar paquetes de acuerdo con las políticas que tenga configuradas y basado en la información que obtiene de sus encabezados, tales como protocolo, direcciones y puertos de fuente y de destino, números de secuencia, opciones de QoS, etc. Algunos Existen diversos tipos de firewall, configuraciones y topologías, así como variaciones en el nivel de sofisticación de cada uno por lo que se deben considerar sus prestaciones al seleccionar el adecuado para cada escenario. Típicamente el firewall está localizado en la frontera de la red interna con la red pública sin embargo otro de sus usos más comunes es el de proteger servidores o segmentos de red cuyos servicios se encuentran bien diferenciados en cuanto a direccionamiento, protocolos y puertos.

4.9 Seguridad de host Casi como regla general, las computadoras conectadas a las redes universitarias son preferidas por sobre las de redes corporativas como blanco de hackers, crackers, spammers y otros grupos hostiles, que maliciosamente escanean en busca de equipos vulnerables . Es por eso recomendable una capa adicional de protección a nivel de host

4.10 Medidas administrativas La existencia de políticas de seguridad constituye un control de tipo administrativo para incrementar la seguridad de la red inalámbrica, favoreciendo buenas prácticas y desalentando su ataque implantando medidas coercitivas. Estas políticas también deben abarcar normas operativas y de seguridad física para reducir el riesgo de que personal no autorizado tenga acceso a los equipos de la infraestructura de red. Estas políticas pueden indicar por ejemplo el uso de credenciales de identificación para ingresar a sitios restringidos o la colocación de cámaras de circuito cerrado para la vigilancia de los equipos en el perímetro de la WLAN.

39

5 Caso de estudio

5.1 Ficha técnica Nombre de la institución

Universidad Tecnológica Latinoamericana (UTL) Campus Ciudad de México

Tipo Institución privada de educación superior

Ubicación México, D.F., zona poniente

Distribución del campus

5 edificios (comprendiendo aulas, oficinas, laboratorios, talleres, salones de usos múltiples, auditorio y biblioteca), explanada, áreas verdes, cafetería, cancha de futbol y estacionamiento.

Área total 33000 m2

Comunidad

40 empleados 80 académicos 1200 alumnos

Descripción

La Universidad Tecnológica Latinoamericana es una institución de educación superior de carácter privado fundada en 2005, a partir de la necesidad de cubrir la creciente demanda de educación tecnológica superior de calidad en la zona del Valle de México. Actualmente cuenta con sólo 2 campus, uno en la ciudad de Querétaro y otro en la Ciudad de México, éste último abierto en 2008. Existen en proyecto dos nuevos planteles para 2012. La universidad cuenta con una oferta académica con 10 licenciaturas, 8 ingenierías y 8 posgrados (6 maestrías y 2 Doctorados)

Figura 17. Universidad Tecnológica Latinoamericana, Campus Ciudad de México

5.2 Necesidades del negocio Proporcionar a estudiantes, profesores e investigadores las herramientas tecnológicas adecuadas para favorecer el desenvolvimiento de sus actividades académicas. Otorgarles un acceso generalizado y de alta disponibilidad a los recursos educativos con que cuenta la universidad sin importar la ubicación del usuario dentro del campus.

40

Ser una institución pionera en el uso de las tecnologías de la información para la mejora continua de los métodos de enseñanza-aprendizaje y expandir el alcance de sus servicios educativos de alta calidad hacia la comunidad en general. 5.2.1 Meta: Contar con una infraestructura de red confiable y segura que facilite el trabajo académico y la productividad en general. 5.2.2 Objetivos estratégicos: 1. Proporcionar un servicio unificado, simple, robusto y seguro de comunicaciones de datos y acceso a las tecnologías de la información a toda la comunidad del campus. 2. Mantener un monitoreo constante de la infraestructura que permita identificar y corregir afectaciones a los servicios de red de manera eficiente. 3. Definir las necesidades de infraestructura tecnológica de la institución e integrarlas en un plan de desarrollo, determinando prioridades. 4. Desarrollar e implementar una solución a largo plazo para administración de identidades y el control de accesos de manera que el acceso a los recursos de información se lleve a cabo de manera segura y de acuerdo al rol que tiene cada persona dentro de la universidad. 5. Utilizar una arquitectura de red segura basada en metodologías probadas y estándares, incorporando buenas prácticas aceptadas en la industria. 6. Identificar las amenazas de seguridad en cada unidad departamental mediante su análisis y emprender acciones correctivas y de mitigación del riesgo. 7. Proporcionar unificada servicios de voz, video y datos a través de la red del campus, aprovechando al máximo las prestaciones de una arquitectura convergente.

5.3 Situación actual El campus cuenta con una infraestructura de red cableada la cual ha funcionado adecuadamente desde sus inicios y que representó una fuerte inversión en equipo, cableado, instalación. Desde su fundación, la universidad ha fomentado el uso de equipos de cómputo portátiles entre los alumnos. Con el apoyo de empresas patrocinadoras ha emprendido un programa para facilitar a los estudiantes y profesores la adquisición de computadoras portátiles. El programa ha tenido buena aceptación y cada vez son más quienes cuentan con ese recurso. Sin embargo, la infraestructura parece ser insuficiente para la creciente demanda de servicios de red y la movilidad que desean los usuarios.

41

Figura 18. Vista aérea del campus

Cada aula cuenta con 12 nodos de red para el uso de profesor y alumnos, lo cual es insuficiente si se considera que las aulas tienen capacidades para 30, 40 o 60 alumnos, dependiendo del tamaño. Existen dos laboratorios de cómputo con una capacidad de 48 equipos cada uno otorgados por dos switches Gigabit Ethernet de 24 puertos, de los cuales, aproximadamente el 80% ya se encuentra utilizado por los equipos de cómputo, impresoras, etc. En la biblioteca también existe una barra de nodos de red para usuarios de computadoras portátiles y algunas de las mesas de estudio también tienen conexión. El único lugar donde existe red inalámbrica es en los pisos de cubículos de profesores ubicados en las dos primeras plantas del edificio de oficinas. En cada piso existen 3 APs los cuales están a cargo del Departamento de Informática y Apoyo Tecnológico (DIAT) quienes además manejan y dan mantenimiento al resto de la infraestructura de red. La red del campus fue diseñada e implementada por un proveedor certificado “Cisco partner”, por lo que su arquitectura está basada en Cisco SAFE y con equipos de esta marca. La universidad desea mantener una arquitectura similar con las mismas prestaciones puesto que ha dado resultados satisfactorios durante los 2 años en que ha estado en funcionamiento, sin embargo se encuentra abierta a la posibilidad de utilizar equipos de otros fabricantes siempre y cuando no existan problemas de compatibilidad y represente una ventaja con respecto a la solución del mismo proveedor.

5.4 Requerimientos del negocio

Cobertura de red inalámbrica en todo el campus. Movilidad transparente al usuario Capacidad para cubrir la demanda de conectividad sin afectación sensible al desempeño de red. Distinguir a usuarios internos (pertenecientes a la comunidad del campus) de los externos (invitados,

proveedores, padres de familia, etc.) Dar acceso a externos sólo a la página web del campus en la intranet (sin salida a Internet). Acceso autenticado a los recursos de red. Registro de actividad en la red para diagnóstico y solución de problemas, generación de alertas de seguridad,

afinamiento y mejora del servicio, etc. 5.4.1 Comunidad a la que se da servicio

Estudiantes Profesores Investigadores Invitados y visitantes: futuros estudiantes, proveedores, profesores visitantes, padres de familia, asistentes a

eventos.

42

a) b) Figura 19. a) Plano en las instalaciones de la UTL.

b) Cobertura (amarillo-verde) y capacidad de WIDS (línea azul) 5.4.2 Servicios de red ofrecidos en la Universidad

Internet Correo electrónico institucional Servicio de almacenamiento remoto Catálogo de Biblioteca en línea Colecciones digitalizadas de libros, revistas, tesis, mapas Suscripciones a bases de datos, recursos de información, libros, diarios, publicaciones, tesis y otros

documentos en texto completo en línea: Proquest, IEEEExplore, Enciclopaedia Británica, Infosel, NetLibrary, etc.

Sistema de administración de cursos y colaboración académica Blackboard © versión 9. Sistema de administración estudiantil y académica Banner © Sitio web del campus y de la universidad. Portal de alumnos y servicios escolares

Consulta de calificaciones e historial académico Consulta de horarios Consulta de plan de estudios Formatos en línea para solicitud de servicios escolares Inscripciones en línea Encuesta de evaluación de profesores y servicios del campus

Portal de profesores Captura y consulta de calificaciones Administración y programación de grupos Consulta de resultados de evaluación a profesores Consulta y seguimiento de asistencia de alumnos y profesores Administración de recursos humanos

5.5 Identificación y evaluación del riesgo

43

Riesgo: Ataques de reconocimiento Ejemplo: Captura de paquetes, monitoreo de tráfico, wardriving Análisis: Este ataque pasivo no puede ser evitado en sí mismo, pero se pueden tomar medidas para proteger la confidencialidad de la información y disminuir el riesgo de que la información obtenida mediante la captura de los paquetes sea de poca o nula utilidad al atacante Mitigación: Implementar confidencialidad utilizando los métodos de autenticación y cifrado de datos más robustos disponibles, por ejemplo, los recomendados en los estándares 802.11i y 802.1X. [Probabilidad de ocurrencia: 3] [ Pérdida: 1] [Riesgo: 3] [Costo de implementación: Bajo] Riesgo: Ataques de hombre en medio y de suplantación Ejemplo: MAC Spoofing, IP Spoofing, ARP Spoofing, DNS Spoofing, AP ilegítimo (SSID Spoofing) Análisis: Un atacante que pueda hacerse pasar por un componente legítimo de la red inalámbrica, como un AP, un controlador inalámbrico o un servidor de autenticación RADIUS y de esta manera colocarse en medio de la comunicación entre un usuario y el componente real o llegar a sustituirlo completamente. Esto le permitiría conocer y manipular toda la información que transmita la víctima hacia la red. Mitigación: Seguridad física en APs e infraestructura de red. Autenticación mutua y protocolos de autenticación robustos que soliciten certificado de servidor. Uso de un sistema de detección de intrusos inalámbrico para la detección y ubicación de AP ilegítimos. Autenticación mutua y cifrado de datos para los componentes de la infraestructura, por ejemplo utilización del protocolo LWAPP o CAPWAP para la comunicación entre AP y el controlador inalámbrico. Educación en seguridad, dando a conocer al usuario los riesgos de aceptar certificados de seguridad no válidos. [Probabilidad de ocurrencia: 2] [ Pérdida: 3] [Riesgo: 6] [Costo de implementación: Alto] Riesgo: Ataques de repetición Ejemplo: Suplantación de identidad, acceso no autorizado, hijacking de sesiones, cada etapa del proceso de establecimiento de la conexión (Handshake con el AP, EAPOL y RADIUS). Análisis: El atacante intentará inyectar en la red paquetes capturados con anterioridad, iguales o modificados de manera especial para intentar sobrepasar las medidas de seguridad y lograr que ingresen a la red. Comúnmente se aprovecha de la falta de autenticación en tramas administrativas y de control en el protocolo 802.11 previo a la especificación 802.11i. Mitigación: Uso de un protocolo de integridad de mensaje para las tramas administrativas. Implementar alertas en el WIPS/WIDS que informen de errores en el desencapsulamiento de tramas provocados por fallas de validación en la integridad del mensaje al superarse un umbral en el número de fallos por minuto. Utilizar un protocolo robusto de autenticación EAP (EAP-TLS, EAP-TTLS, EAP-PEAP, etc.). Implementar la seguridad en el protocolo RADIUS utilizado. [Probabilidad de ocurrencia: 1] [ Pérdida: 2] [Riesgo: 2] [Costo implementación: Medio] Riesgo: Ataques de denegación del servicio en capa física. Ejemplo: Un usuario ingresa un AP 802.11n sin autorización a la red y lo habilita para operación en modo “greenfield”, provocando interferencia a los dispositivos 802.11b/g. Análisis: Este tipo de denegación de servicio es fácil de detectar por un WIDS o en su caso, por el reporte de los usuarios que ven deteriorada la calidad de su conexión. La interferencia puede ser provocada intencionalmente o no, sin embargo en imprescindible ubicar la fuente. Mitigación: Realizar inspecciones regulares con un WIDS/WIPS para detectar APs ilegítimos o fuentes de interferencia. En caso de que sea detectado, ubicar la fuente y tomar las medidas necesarias para eliminarla o disminuirla lo más posible. [Probabilidad de ocurrencia: 3] [ Pérdida: 2] [Riesgo: 6] [Costo de implementación: Alto] Riesgo: Ataques de denegación del servicio en capa MAC. Ejemplo: El atacante envía constantemente una serie de tramas de desasociación o deautenticación al AP y a los clientes inalámbricos provocando que pierdan conectividad. Análisis: El atacante inyecta a la red inalámbrica tramas administrativas falsificadas. Comúnmente se aprovecha de la falta de autenticación en tramas administrativas y de control en el protocolo 802.11 previo a la especificación 802.11i.

44

Mitigación: Este tipo de denegación de servicio es fácil de detectar por un WIDS o en su caso, por el reporte de los usuarios que ven deteriorada la calidad de su conexión. Superado cierto umbral en el número de tramas de desconexión/desasociación por unidad de tiempo, se dispara una alerta y se ubica al responsable. [Probabilidad de ocurrencia: 2] [ Pérdida: 2] [Riesgo: 4] [ Costo de implementación: Alto] Riesgo: Puerta trasera abierta por la conexión de una red ad hoc inalámbrica a un puerto de la red cableada. Ejemplo: Un atacante se asocia desde fuera del campus a la red ad hoc de un usuario que se encuentra dentro de las instalaciones y conectado a la red mediante un cable, haciendo un puente entre ambas redes. Análisis: Este escenario es muy riesgoso puesto que deja totalmente vulnerable a la red al evitar los controles establecidos para la red inalámbrica. Es difícil para los WIDS detectar al atacante, sin embargo sí puede detectar al usuario que se encuentra dentro de las instalaciones. Mitigación: Implementar la política de no permitir redes ad hoc. Monitorear su cumplimiento con el WIDS y en el momento de detectar una activa, ubicarla y acudir a eliminarla de manera inmediata. Implementar 802.1X también para la red cableada. [Probabilidad de ocurrencia: 3] [ Pérdida: 3] [Riesgo: 9] [ Costo de implementación: Alto]

5.6 Políticas de la Red Inalámbrica

I. Propósito Informar a la comunidad de la Universidad Tecnológica Latinoamericana, Campus Ciudad de México (la Universidad), acerca del uso apropiado de su red de área local inalámbrica, proteger la infraestructura y los recursos informáticos accesibles a través de ella de los riesgos inherentes a esta tecnología y apoyar la misión de la universidad en proporcionar a sus estudiantes y cuerpo docente un servicio de calidad y los medios necesarios para desempeñar sus actividades académicas. II. Alcance La presente política concierne exclusivamente a la red de área local inalámbrica del campus (denominada RI) y debe leerse en conjunto con la Política General de Uso de Redes y Sistemas Informáticos. La política aplica a: • Todos los usuarios de la RI: estudiantes, personal docente y administrativo, visitantes o cualquier otra

persona a quien se haya otorgado acceso a la red. • Cualquier dispositivo con capacidad de comunicación inalámbrica, transmitiendo en las bandas de

radiofrecuencia designadas para la operación de la RI y dentro de los límites del campus universitario. • Todos los equipos de cómputo o de comunicaciones de datos, sean o no propiedad de la Universidad,

que se encuentren conectados a su red de área local cableada o inalámbrica y a las personas que hagan uso de ellos.

III. Autoridad y responsabilidad en el servicio 3.1. El Departamento de Informática y Apoyo Tecnológico (DIAT) del campus es el único facultado para

la administración, instalación, mantenimiento y monitoreo de la RI y es como tal, responsable de mantener la seguridad e integridad de la misma, así como de evaluar, desarrollar e incorporar nuevas tecnologías de comunicación inalámbrica en beneficio de la comunidad universitaria.

45

3.2. La Universidad se esforzará en proporcionar un servicio homogéneo, confiable y sin interrupciones, al menos en los días y horarios en que oficialmente se lleven a cabo actividades académicas. Sin embargo el servicio podría ser interrumpido sin previo aviso por razones de seguridad, mantenimiento correctivo o por causas de fuerza mayor como fallas en el suministro eléctrico o con el proveedor de servicios de Internet.

3.3. El DIAT llevará a cabo suspensiones programadas del servicio de red inalámbrica con el fin de dar

mantenimiento preventivo a los equipos que forman parte de la infraestructura de la RI. Este tipo de suspensiones se realiza en días u horarios no laborales para no afectar a los usuarios, sin embargo se dará aviso a través de los medios de comunicación del campus con al menos 7 días de anticipación, para que se tomen las precauciones necesarias.

3.4. Todo tipo de mantenimiento, operación y configuración de los AP de la RI se deberá llevar a cabo de

manera centralizada, sobre un segmento administrativo independiente del resto de la red, por lo que no debe existir ninguna utilidad o interfase de configuración habilitada o accesible sobre las interfases de usuario.

3.5. Los AP deben estar físicamente protegidos y resguardados de manera apropiada en contra de su

desconexión, robo o vandalismo. Las funciones de reinicio del sistema y puertos de consola deben ser accesibles sólo a personal autorizado.

IV. Tecnología y equipo permitido 4.1. Las bandas de frecuencia utilizadas por la RI corresponden a los estándares 802.11b/g/n, que son los

únicos protocolos soportados por la infraestructura inalámbrica en el campus. Para poder acceder a la red inalámbrica del campus es necesario que el dispositivo cuente con un adaptador de red inalámbrico que trabaje con estos estándares. De preferencia que cuente con la certificación Wi-Fi b/g/n, pues de otra manera no se puede asegurar su interoperabilidad.

4.2. Sólo se permite el uso de los Puntos de Acceso Inalámbricos (AP) instalados administrados por el

DIAT. No está permitido que estudiantes, profesores u otras personas instalen sus propios AP y los conecten de alguna manera a la red de la institución. Si por razones académicas o de investigación es necesario trabajar con estos equipos, debe informarse al DIAT quien evaluará la factibilidad, autorizando o no su uso bajo ciertas condiciones y tomando las medidas necesarias para no perturbar a otros usuarios de la red inalámbrica y que no represente un peligro para la seguridad de ésta.

4.3. Algunos dispositivos electrónicos utilizan señales dentro del mismo espectro de radiofrecuencia que

las redes inalámbricas 802.11b/g/n (2.4 y 5 GHz), los cuales pueden causar interferencia con la comunicación de datos sobre la RI. El DIAT cuenta con la autoridad necesaria y se reserva el derecho de remover o restringir el uso de tales dispositivos, si interfieren de manera excesiva con el funcionamiento óptimo de la RI.

4.4. El cifrado de los datos que se transmitan a través de la RI es imperativo, utilizando siempre el mejor

algoritmo y tamaño de llave soportados por el tipo de hardware utilizado y tomando como base las recomendaciones del estándar 802.11i. No es aceptable el uso de WEP ni de cifrado de llave simétrica mediante el método de llave compartida.

V. Autenticación y control de acceso 5.1. Todo acceso a la red inalámbrica deberá ser autenticado. El identificador que fue proporcionado al

usuario por la Universidad para la autenticación a los sistemas institucionales tales como correo electrónico o al Portal de Alumnos y Servicios Escolares, será utilizado también para la autenticación a la red inalámbrica. Su contraseña debe cumplir por lo tanto con las políticas establecidas en la

46

Política General de Uso de Redes y Sistemas Informáticos, quedando totalmente prohibido el ceder o prestar esta contraseña a terceras personas.

5.2. Los servidores de autenticación también deberán ser autenticados por el usuario mediante la validación

de su certificado digital, verificando que el nombre, la fecha de expiración y la firma digital sean los correctos. Bajo ninguna circunstancia el usuario deberá deshabilitar la validación del certificado o activar la aceptación automática del mismo puesto que puede ser víctima de un atacante suplantando al servidor de autenticación real.

5.3. El identificador de usuario otorgado en un campus de la Universidad, puede ser utilizado en otro

campus de la misma Universidad o en instituciones afiliadas donde exista el servicio de RI, sin embargo estará sujeto a los términos, condiciones y políticas de uso de ese lugar.

5.4. El control de acceso a los recursos de la RI está basado en la identidad del usuario y éste puede

pertenecer a una de las siguientes categorías, cada una con distintas limitaciones o privilegios de acceso: Estudiante, Profesor, Investigador, Administrativo, Directivo, Visitante. En el caso de los visitantes, el usuario y contraseña de acceso deberán ser tramitados a través del departamento o persona que los recibe.

VI. Uso aceptable 6.1. La comunidad del campus tiene derecho al uso de la RI como una manera conveniente de acceder a

los recursos de información y medios de comunicación electrónicos que ofrece la Universidad y que enriquecen el aprendizaje, la enseñanza y la investigación, favoreciendo también la cultura y la convivencia entre todos sus miembros.

6.2. Los usuarios de la RI tienen permitido su uso con fines principalmente académicos bajo la premisa de

que se trata de un recurso limitado y compartido, por lo cual su uso debe ser razonable y siempre en cumplimiento con los reglamentos de la Universidad y las leyes nacionales e internacionales.

6.3. La red inalámbrica no debe ser utilizada de manera inapropiada, en particular, no está permitido que

se use para: • Enviar, recibir o publicar material considerado ofensivo, obsceno o indecente. • Enviar, recibir o publicar material que infrinja de alguna manera los derechos de autor y de la

propiedad intelectual • Utilizar software de intercambio de archivos “peer-to-peer”. • Enviar o distribuir software dañino, conocido como “malware” que incluye vírus, gusanos, “spyware”,

etc. • Interceptar o intentar escuchar las transmisiones inalámbricas de otros usuarios o equipos conectados a

la RI. • Compartir el acceso a la RI con un equipo autenticado fungiendo como puente o puerta de enlace para

otros equipos. • Aplicaciones que exigen un uso intensivo del ancho de banda, a excepción de aquellas relacionadas

con fines académicos y de las cuales deberá tener conocimiento el DIAT con al menos 24 horas hábiles de anticipación a través del profesor o investigador responsable.

• Aplicaciones o servicios de misión crítica para la institución, dada la susceptibilidad que tiene la tecnología inalámbrica a interferencias y otro tipo de ataques de denegación de servicio.

• Obtener información de configuración u operación de los sistemas, equipos o computadoras conectadas a la RI o a la red cableada del campus fuera de la estrictamente necesaria para la utilización de los servicios ofrecidos por la Universidad, mediante actividades de escaneo de puertos y direcciones, técnicas de enumeración, “fingerprinting”, pruebas de penetración, “wardriving”, etc.

Asimismo, para poder ofrecer un servicio de calidad y mantener la seguridad en la RI, queda terminantemente prohibido:

47

• Dañar, vandalizar, desmontar o sustituir los AP que forman parte de la infraestructura de la RI. • Utilizar o intentar utilizar programas computacionales u otros mecanismos con el fin de burlar o

romper los controles de seguridad impuestos por la administración para la protección de la red y sus usuarios.

• Utilizar una dirección IP estática dentro del rango de direcciones privadas utilizada por la red del campus (cableada e inalámbrica), que no haya sido otorgada expresamente al usuario por el DIAT.

• Ingresar AP no autorizados o utilizar software que virtualiza APs dentro de las instalaciones del campus, ni utilizar el mismo SSID que la RI en otros servicios de comunicación inalámbrica.

Con el fin de mitigar los riesgos y la exposición del usuario a ataques informáticos, se le insta a: • Utilizar software antivirus y antispyware actualizado al día. • Utilizar un firewall de host, algunos sistemas cuentan con este tipo de protección construida en el

sistema operativo, aunque por lo regular requieren ser habilitados y configurados por el usuario. • Mantener el sistema operativo de su equipo o dispositivo inalámbrico, así como el firmware del

adaptador de red actualizado y con los parches de seguridad más recientes liberados por el fabricante. • Reportar cualquier defecto en la RI o cualquier incidente de seguridad informática a la oficina de

atención del DIAT de manera que se pueda investigar y solventar el problema. VII. Violaciones a la política Cualquier violación a la política, intento de acceso no autorizado o actividad sospechosa que sea detectada por los sistemas de monitoreo de la RI o reportada al DIAT y comprobada por el administrador de la red, tendrá como consecuencia inmediata la desconexión preventiva del dispositivo o dispositivos en cuestión y estará sujeto a las medidas y acciones que el administrador considere necesarias para salvaguardar la integridad de la RI y los sistemas informáticos de la Universidad. El uso inadecuado del servicio proporcionado por la RI o el incumplimiento de las políticas expresadas en el presente documento, tendrán como consecuencia acciones disciplinarias, que pueden consistir en o incluir: la suspensión temporal o definitiva de la cuenta de acceso del usuario, suspensión o baja del estudiante, terminación de cualquier relación contractual o laboral, llegando a tomar acción legal ante las autoridades competentes. Cualquier aspecto de esta política que se encuentre en contradicción con otras políticas y reglamentos internos, será resuelto por la Dirección del DIAT.

5.7 Requerimientos técnicos e implementación

A continuación se muestra el diagrama de la arquitectura de red inalámbrica que se propone para el campus:

48

Figura 20. Diagrama de la arquitectura red para el campus

La capa de acceso está formada por AP ligeros administrados centralmente desde el WLC. El WLC cuenta con un módulo integrado de WIDS que utiliza algunos de los APs como sensores 24/7 y otros APs en modo mixto que sólo se dedican a escaneo de espectro El servidor RADIUS debe soportar los RFC 2865 y 2866. Debe utilizar una base de datos o un directorio LDAP ara el almacenamiento de credenciales y datos de autorización. La universidad debe contar con un certificado emitido por una entidad certificadora confiable o contar con su propio servidor CA y aprovisionar de certificados válidos a todos los servidores productivos. Los métodos de autenticación permitidos son WPA-TKIP o WPA2-CCMP con 802.1X/EAP-PEAP. El dispositivo que se conecte a la red debe emplear el método de autenticación y cifrado de datos más seguro que pueda utilizar. PEAP emplea TLS para establecer un túnel y posteriormente puede utilizar EAP o cualquier otro método de autenticación y por lo tanto no requiere de un certificado de cliente. TLS se considera como un estándar de facto para el establecimiento de túneles entre el cliente y el servidor EAP [20]. Habilitar la asignación dinámica de VLAN, dependiendo de la autenticación del usuario el servidor RADIUS proporcionará la VLAN que corresponda al tipo de usuario que se trate. Ningún AP debe ser administrado desde su propia interfase, sino que debe ser controlado de manera central desde el WLC.

49

6 Conclusiones Las redes de área local inalámbricas han probado ser convenientes en muchos ámbitos, proporcionando gran flexibilidad de uso, un incremento la productividad y ahorros en infraestructura. En el aspecto de la seguridad, hemos visto que es posible llevar a cabo su implementación de manera que no se pongan en riesgo la integridad, confidencialidad y disponibilidad de la información. Sin embargo, el aseguramiento de una WLAN no es una tarea que pueda resolverse con un solo control o una configuración específica, sino que son muchos los actores y tecnologías de seguridad que deben trabajar en conjunto para dar la mejor protección a la red. Por esto es necesario el desarrollo de una arquitectura de seguridad para redes inalámbricas que tome en consideración los aspectos necesarios a través de un análisis de riesgos identificando vulnerabilidades. Es además importante notar que este esfuerzo implica también una inversión importante que muchas veces no está al alcance de todos los individuos ni todas las instituciones. El escenario que envuelve a las instituciones de educación superior, les hace enfrentar decisiones importantes en el momento de implementar una WLAN segura. En un campus universitario, la infraestructura de red se asemeja mucho a la de un campus corporativo, no así el tipo de servicios que debe prestar y el tipo de usuarios que deben contar con acceso a ella. La principal diferencia se da en el hecho de que en el campus universitario las computadoras que se conectan desde el interior de la red no son confiables y representan también una amenaza. Una red corporativa no teme tanto a los ataques internos pues tiene el control, en teoría, sobre todos los dispositivos se conectan a ella. El enfoque durante el diseño toma entonces a consideración este hecho y es en sí un reto para las Universidades pues no les es posible obligar por ejemplo a que cada alumno mantenga siempre su antivirus actualizado o su firewall de host funcionando. Logramos ver que las redes inalámbricas están expuestas a un número bastante amplio de vulnerabilidades, sin embargo, la mayoría de ellas puede ser mitigada de manera efectiva mediante controles, tanto técnicos como administrativos, y que algunos de los servicios de seguridad que ofrecen, pueden encontrarse en el mismo equipo. Por ejemplo el WIDS que permite evitar ataques de DoS y ubicar APs ilegítimos, al tiempo que ayuda al monitoreo del desempeño general de la red. Otro más que juega un papel central es el WLC pues habilita éste y todos los demás servicios de seguridad como autenticación y cifrado desde una conveniente posición central. También fue posible observar como las medidas existentes para la seguridad de la red cableada, así como las buenas prácticas y principios de diseño que se han utilizado en ellas con éxito, también pueden aplicar a la red inalámbrica. De hecho es notorio el soporte que ésta espera de la subyacente infraestructura cableada de la red. Finalmente, es imprescindible el mantenimiento del proceso de seguridad que ofrece el ciclo de vida de la arquitectura. Como ya hemos mencionado, el trabajo del administrador de seguridad de una red es interminable en el sentido de que diariamente se descubren nuevas vulnerabilidades en los sistemas y los requerimientos de negocio cambian constantemente. Es necesario entonces, que una correcta arquitectura para el aseguramiento de la WLAN provea el fundamento para que dicha tarea sea realizable.

50

7 Referencias 1. Bartz, R, “Certified Wireless Technology Specialist Official Study Guide”, Wiley Publishing, 2009. 2. Carroll, B. “CCNA Wireless Official Exam Certification Guide”, Cisco Press, 2008. 3. Cisco Systems, “Enterprise Campus 3.0 Architecture: Overview and Framework”, 2008 4. Cisco Systems, Cisco Validated Design: “Cisco SAFE Reference Guide”, 2009 5. Cisco Systems, Cisco Validated Design: “Secure Wireless Design Guide 1.0”, 2007 6. Cisco Systems, Cisco Validated Design: “Wireless and Network Security Integration Design Guide”, 2008 7. Cisco Systems, White Paper, “Cisco SAFE: A Security Reference Architecture”, 2009 8. Cisco Systems, White Paper: “A Comprehensive Review of 802.11 Wireless LAN Security and the Cisco

Wireless Security Suite”, 2002 9. Convery, S., Miller, D. et al. “Cisco SAFE: Wireless LAN Security in Depth”, Cisco Systems White Paper,

2003 10. CSI, “14th Annual CSI Computer Crime and Security Survey, Executive Summary”, 2009. 11. FIPS Standards Publication 191, “Guideline for The Analysis Local Area Network Security”, 1994 12. Flhurer S., Mantin I., Shamir, A., Paper, “Weaknesses in the Key Scheduling Algorithm of RC4”, 2001 13. Fraser, B., “RFC2196 - Site Security Handbook”, IETF, 1997. 14. Geier, J. “Wireless Networks First-Step”, Cisco Press, 2004 15. Green, J. “Building Global Security Policy for Wireless LANs”, Aruba Networks, 2008. 16. Hiertz, G., Denteneer, D. et al. “IEEE 802.11S: The WLAN Mesh Standard”, IEEE Wireless

communications, 2010. 17. IEEE Std. 802.11 2007, “IEEE Standard for Local and metropolitan area networks, Specific

requirements, Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications”

18. IEEE Std. 802.1X 2004, “IEEE Standard for Local and metropolitan area networks, Port-Based Network Access Control”

19. Ingerman, B., Yang C., “Top-10 IT Issues 2010”, EDUCAUSE review, 2010 20. NIST Special Publication 800-120, “Recommendation for EAP Methods Used in Wireless Network

Access Authentication”, 2009 21. NIST Special Publication 800-48, “Guide to Securing Legacy IEEE 802.11 Wireless Networks”, 2008 22. NIST Special Publication 800-97, “Establishing Wireless Robust Security Networks: A Guide to IEEE

802.11i”, 2007 23. Nwabude, S., Tesis, “Wireless Local Area Network (WLAN): Security Risk Assessment and

Countermeasures”, 2008. 24. Suess, J. , “Computer and Network Security in Higher Education”, EDUCAUSE, 2003 25. Web: “Wireless intrusion prevention systems: Overlay vs. embedded sensors”

SearchSecurity.com http://searchsecurity.techtarget.com/generic/0,295582,sid14_gci1173837,00.html

26. Web: “Network Security Policies” University of Denver. http://www.du.edu/uts/security/policies.html

27. Web: “Wireless Networking Policy” University of Birmingham http://www.wireless.bham.ac.uk/help/policy.shtml