Seguridad en Redes Inalámbricas

UNIVERSIDAD NACIONAL DE CAJAMARCA– INGENIERÍA
DE SISTEMAS
“Seguridad en Redes Inalámbricas”
“SEGURIDAD EN REDES INALÁMBRICAS”
Curso:
“Redes y Conectividad”.
Alumnos:
• CUEVA MENDOZA, Cesar Blademir.

• ESPEJO IZQUIERDO, Johnny David.
• LLANOS AMAMBAL, Frank.
• ORELLANO VASQUEZ, Marlong.
• SALDAÑA HUARIPATA, Jaime.
Profesor:
Ing. José Micha Ortiz
Cajamarca, Febrero del 2010.
INTRODUCCIÓN
Seguridad en Redes Inalámbricas Página 1

DE SISTEMAS
El mundo de las comunicaciones está recibiendo una serie de

cambios en su base muy importantes. Los aparatos que hasta ahora
tenían una conexión a través de una frecuencia de propagación por el
aire, han pasado o pasaran a tener unas conexiones cableadas. Éste
seria el caso de la televisión doméstica que pasa de la conexión con
las antenas, a la fibra óptica. Por otro lado, las comunicaciones que
tenían un medio físico cableado, como el teléfono, están pasando y
pasaran en un porcentaje elevado a ser definitivamente de conexión
inalámbrica. La causa de este cambio de mentalidad en las
comunicaciones se debe encontrar en que los aparatos como el
televisor son fijos y que por lo tanto pueden estar conectados
permanentemente. De esta manera se deja libre el espacio de
radiofrecuencia que se ocupa, con tal de dejarlo a otros servicios
futuros móviles.
Las redes inalámbricas de área local (WLAN) tienen un papel
cada vez más importante en las comunicaciones del mundo de hoy.
Debido a su facilidad de instalación y conexión, se han convertido en
una excelente alternativa para ofrecer conectividad en lugares donde
resulta inconveniente o imposible brindar servicio con una red
alambrada. La popularidad de estas redes ha crecido a tal punto que
los fabricantes de computadores y motherboards están integrando
dispositivos para acceso a WLAN en sus equipos; tal es el caso de
Intel, que fabrica el chipset Centrino para computadores portátiles.
RESUMEN
La falta de seguridad en las redes inalámbricas es un problema

que, a pesar de su gravedad, no ha recibido la atención debida por
parte de los administradores de redes y los responsables de la
información. Este artículo presenta las tecnologías existentes para

DE SISTEMAS
mejorar el nivel de seguridad en las redes inalámbricas 802.11, con

sus ventajas, desventajas y escenarios de aplicación.
Son muchos los motivos para preocuparnos por la seguridad de
una red inalámbrica. Por ejemplo, queremos evitar compartir nuestro
ancho de banda públicamente. A nadie con algo de experiencia se le
escapa que las redes inalámbricas utilizan un medio inseguro para
sus comunicaciones y esto tiene sus repercusiones en la seguridad.
Tendremos situaciones en las que precisamente queramos compartir
públicamente el acceso a través de la red inalámbrica, pero también
tendremos que poder configurar una red inalámbrica para limitar el
acceso en función de unas credenciales. También tenemos que tener
en cuanta que las tramas circulan de forma pública y en consecuencia
cualquiera que estuviera en el espacio cubierto por la red, y con unos
medios simples, podría capturar las tramas y ver el tráfico de la red.
Aunque esto pueda sonar a película de Hollywood, está más cerca de
lo que podríamos pensar.
Para resolver los problemas de seguridad que presenta una red
inalámbrica tendremos que poder, por un lado, garantizar el acceso
mediante algún tipo de credencial a la red y por otro garantizar la
privacidad de las comunicaciones aunque se hagan a través de un
medio inseguro.
Una empresa no debería utilizar redes inalámbricas para sus
comunicaciones si tiene información valiosa en su red que desea
mantener segura y no ha tomado las medidas de protección
adecuadas. Cuando utilizamos una página web para enviar un
número de tarjeta de crédito deberemos, hacerlo siempre utilizando
una web segura porque eso garantiza que se transmite cifrada. Pues
en una red inalámbrica tendría que hacerse de una forma parecida
para toda la información que circula, para que proporcione al menos
la misma seguridad que un cable. Pensemos que en una red
inalámbrica abierta se podría llegar a acceder a los recursos de red
compartidos.
CONCEPTOS BÁSICOS
RED INALÁMBRICA
Las redes inalámbricas (en inglés wireless network) son

aquellas que se comunican por un medio de transmisión no guiado
(sin cables) mediante ondas electromagnéticas. La transmisión y la

DE SISTEMAS
recepción se realizan a través de antenas. Tienen ventajas como la

rápida instalación de la red sin la necesidad de usar cableado,
permiten la movilidad y tienen menos costos de mantenimiento que
una red convencional.
Otra de las ventajas de redes inalámbricas es la movilidad. Red
inalámbrica los usuarios puedan conectarse a las redes existentes y
se permite que circulen libremente. Un usuario de telefonía móvil
puede conducir millas en el curso de una única conversación, porque
el teléfono se conecta al usuario a través de torres de la célula.
Inicialmente, la telefonía móvil es cara. Costes de su uso restringido a
profesionales de gran movilidad, como directores de ventas y
ejecutivos encargados de adoptar decisiones importantes que
tendrían que ser alcanzados en un momento de aviso,
independientemente de su ubicación. La telefonía móvil ha
demostrado ser un servicio útil.
EL PROBLEMA DE LA SEGURIDAD
El acceso sin necesidad de cables, la razón que hace tan

populares a las redes inalámbricas, es a la vez el problema más
grande de este tipo de redes en cuanto a seguridad se refiere.
Cualquier equipo que se encuentre a 100 metros o menos de un
punto de acceso, podría tener acceso a la red inalámbrica. Por
ejemplo, si varias empresas tienen sede en un mismo edificio, y todas
ellas poseen red inalámbrica, el equipo de un empleado podría
encontrarse en cierto momento en el área de influencia de dos o más
redes diferentes, y dicho empleado podría conectarse
(intencionalmente o no) a la red de una compañía que no es la suya.
Aún peor, como las ondas de radio pueden salir del edificio, cualquier

DE SISTEMAS
persona que posea un equipo móvil y entre en el área de influencia

de la red, podría conectarse a la red de la empresa.
Lo grave de esta situación es que muchos administradores de
redes parecen no haberse dado cuenta de las implicaciones negativas
de poseer puntos de acceso inalámbrico en la red de una empresa. Es
muy común encontrar redes en las que el acceso a internet se
protege adecuadamente con un firewall bien configurado, pero al
interior de la red existen puntos de acceso inalámbrico totalmente
desprotegidos e irradiando señal hacia el exterior del edificio.
Cualquier persona que desde el exterior capte la señal del
punto de acceso, tendrá acceso a la red de la compañía, con la
posibilidad de navegar gratis en la internet, emplear la red de la
compañía como punto de ataque hacia otras redes y luego
desconectarse para no ser detectado, robar software y/o información,
introducir virus o software maligno, entre muchas otras cosas.
Un punto de acceso inalámbrico mal configurado se convierte
en una puerta trasera que vulnera por completo la seguridad
informática de la compañía. La mala configuración de un acceso
inalámbrico es, desgraciadamente, una cosa muy común.
Un estudio publicado en 2003 por RSA Security Inc.4 encontró
que de 328 puntos de acceso inalámbricos que se detectaron en el
centro de Londres, casi las dos terceras partes no tenían habilitado el
cifrado mediante WEP (Wired Equivalent Protocol). Además, cien de
estos puntos de acceso estaban divulgando información que permitía
identificar la empresa a la que pertenecían, y 208 tenían la
configuración con la que vienen de fábrica. Existen dos prácticas bien
conocidas para localizar redes inalámbricas:
• El warchalking
Consiste en caminar por la calle con un computador portátil
dotado de una tarjeta WLAN, buscando la señal de puntos de acceso.
Cuando se encuentra uno, se pinta con tiza un símbolo especial en la
acera o en un muro, indicando la presencia del punto de acceso y si
tiene configurado algún tipo de seguridad o no. De este modo, otras
personas pueden conocer la localización de la red.
• El wardriving
Propio para localizar puntos de acceso inalámbrico desde un
automóvil. Para este fin se necesita de un computador portátil con
una tarjeta WLAN, una antena adecuada (que se puede elaborar
fácilmente con una lata de conservas o de papas fritas, 5) un GPS
para localizar los puntos de acceso en un mapa, y software para
detección de redes inalámbricas, que se consigue libremente en la
internet.
Una vez localizada una red inalámbrica, una persona podría llevar a
cabo dos tipos de ataques:

DE SISTEMAS
• Ingresar a la red y hacer uso ilegítimo de sus recursos.

• Configurar un punto de acceso propio, orientando la antena de tal
modo que los computadores que son clientes legítimos de la red
atacada se conecten a la red del atacante. Una vez hecho esto, el
atacante podría robar la información de dichos computadores,
instalarles software maligno o dañar la información.
GARANTIZANDO LA SEGURIDAD DE UNA RED INALÁMBRICA

Para poder considerar una red inalámbrica como segura,
debería cumplir con los siguientes requisitos:
Las ondas de radio deben confinarse tanto como sea posible.
Esto es difícil de lograr totalmente, pero se puede hacer un buen
trabajo empleando antenas direccionales y configurando
adecuadamente la potencia de transmisión de los puntos de acceso.
• Debe existir algún mecanismo de autenticación en doble vía, que
permita al cliente verificar que se está conectando a la red correcta, y
a la red constatar que el cliente está autorizado para acceder a ella.
• Los datos deben viajar cifrados por el aire, para evitar que equipos
ajenos a la red puedan capturar datos mediante escucha pasiva.
Existen varios métodos para lograr la configuración segura de
una red inalámbrica; cada método logra un nivel diferente de
seguridad y presenta ciertas ventajas y desventajas. Se hará a
continuación una presentación de cada uno de ellos.
Método 1: Filtrado de direcciones MAC

Este método consiste en la creación de una tabla de datos en cada
uno de los puntos de acceso a la red inalámbrica. Dicha tabla
contiene las direcciones MAC (Media Access Control) de las tarjetas
de red inalámbricas que se pueden conectar al punto de acceso.
Como toda tarjeta de red posee una dirección MAC única, se logra
autenticar el equipo.
Este método tiene como ventaja su sencillez, por lo cual se puede
usar para redes caseras o pequeñas. Sin embargo, posee muchas
desventajas que lo hacen impráctico para uso en redes medianas o
grandes:
• No escala bien, porque cada vez que se desee autorizar o dar de
baja un equipo, es necesario editar las tablas de direcciones de todos
los puntos de acceso. Después de cierto número de equipos o de
puntos de acceso, la situación se torna inmanejable.

DE SISTEMAS
• El formato de una dirección MAC no es amigable (normalmente se

escriben como 6 bytes en hexadecimal), lo que puede llevar a
cometer errores en la manipulación de las listas.
• Las direcciones MAC viajan sin cifrar por el aire. Un atacante podría
capturar direcciones MAC de tarjetas matriculadas en la red
empleando un sniffer, y luego asignarle una de estas direcciones
capturadas a la tarjeta de su computador, empleando programas
tales como AirJack6 o WellenReiter, entre otros. De este modo, el
atacante puede hacerse pasar por un cliente válido.
• En caso de robo de un equipo inalámbrico, el ladrón dispondrá de
un dispositivo que la red reconoce como válido. En caso de que el
elemento robado sea un punto de acceso el problema es más serio,
porque el punto de acceso contiene toda la tabla de direcciones
válidas en su memoria de configuración.
Debe notarse además, que este método no garantiza la
confidencialidad de la información transmitida, ya que no prevé
ningún mecanismo de cifrado.
Método 2: Wired Equivalent Privacy (WEP)
WEP (Wired Equivalent Privacy), que viene a significar

“Privacidad Equivalente a Cable”, es un sistema que forma parte del
estándar 802.11 desde sus orígenes. Es el sistema más simple de
cifrado y lo admiten la totalidad de los adaptadores inalámbricos. El
cifrado WEP se realiza en la capa MAC del adaptador de red
inalámbrico o en el punto de acceso, utilizando claves compartidas de
64 o 128 bits. Cada clave consta de dos partes, una de las cuales la

DE SISTEMAS
tiene que configurar el usuario/administrador en cada uno de los

adaptadores o puntos de acceso de la red.
La otra parte se genera automáticamente y se denomina vector
de inicialización (IV). El objetivo del vector de inicialización es obtener
claves distintas para cada trama. Ahora vamos a ver una descripción
del funcionamiento del cifrado WEP.
Cuando tenemos activo el cifrado WEP en cualquier dispositivo
inalámbrico, bien sea una adaptador de red o un punto de acceso,
estamos forzando que el emisor cifre los datos y el CRC de la trama
802.11. El receptor recoge y la descifra. Para no incurrir en errores de
concepto, esto es sólo aplicable a comunicaciones estaciones 802.11,
cuando el punto de acceso recoge una trama y la envía a través del
cable, la envía sin cifrar.
El cifrado se lleva a cabo partiendo de la clave compartida entre
dispositivos que, como indicamos con anterioridad, previamente
hemos tenido que configurar en cada una de las estaciones. En
realidad un sistema WEP almacena cuatro contraseñas y mediante un
índice indicamos cual de ellas vamos a utilizar en las comunicaciones.
El proceso de cifrado WEP agrega un vector de inicialización (IV)
aleatorio de 24 bits concatenándolo con un la clave compartida para
generar la llave de cifrado. Observamos como al configurar WEP
tenemos que introducir un valor de 40 bits (cinco dígitos
hexadecimales), que junto con los 24 bits del IV obtenemos la clave
de 64 bits. El vector de inicialización podría cambiar en cada trama
trasmitida.
WEP usa la llave de cifrado para generar la salida de datos que
serán, los datos cifrados más 32 bits para la comprobación de la
integridad, denominada ICV (integrity check value). El valor ICV se
utiliza en la estación receptora donde se recalcula y se compara con
el del emisor para comprobar si ha habido alguna modificación y
tomar una decisión, que puede ser rechazar el paquete.
Para cifrar los datos WEP utiliza el algoritmo RC4, que
básicamente consiste en generar un flujo de bits a partir de la clave
generada, que utiliza como semilla, y realizar una operación XOR
entre este flujo de bits y los datos que tiene que cifrar. El valor IV
garantiza que el flujo de bits no sea siempre el mismo. WEP incluye el
IV en la parte no cifrada de la trama, lo que aumenta la inseguridad.
La estación receptora utiliza este IV con la clave compartida para
descifrar la parte cifrada de la trama.
Lo más habitual es utilizar IV diferentes para transmitir cada
trama aunque esto no es un requisito de 801.11. El cambio del valor
IV mejora la seguridad del cifrado WEP dificultando que se pueda
averiguar la contraseña capturando tramas, aunque a pesar de todo
sigue siendo inseguro.
El algoritmo de encriptación de WEP es el siguiente:

DE SISTEMAS
1. Se calcula un CRC de 32 bits de los datos. Este CRC-32 es el

método que propone WEP para garantizar la integridad de los
mensajes (ICV, Integrity Check Value).
2. Se concatena la clave secreta a continuación del IV formado el
seed.
3. El PRNG (Pseudo-Random Number Generator) de RC4 genera
una secuencia de caracteres pseudoaleatorios (keystream), a
partir del seed, de la misma longitud que los bits obtenidos en
el punto 1.
4. Se calcula la O exclusiva (XOR) de los caracteres del punto 1
con los del punto 3. El resultado es el mensaje cifrado.
5. Se envía el IV (sin cifrar) y el mensaje cifrado dentro del campo
de datos (frame body) de la trama IEEE 802.11.
El algoritmo para descifrar es similar al anterior. Debido a que el

otro extremo conocerá el IV y la clave secreta, tendrá entonces el
seed y con ello podrá generar el keystream. Realizando el XOR entre
los datos recibidos y el keystream se obtendrá el mensaje sin cifrar
(datos y CRC-32). A continuación se comprobara que el CRC-32 es
correcto.
Debilidades de WEP
Las debilidades de WEP se basan en que, por un lado, las claves
permanecen estáticas y por otro lado los 24 bits de IV son
insuficientes y se transmiten sin cifrar. Aunque el algoritmo RC4 no
esté considerado de los más seguros, en este caso la debilidad de
WEP no es culpa de RC4, sino de su propio diseño.
Si tenemos un vector de inicialización de 24 bits tendremos
2^24 posibles IV distintos y no es difícil encontrar distintos paquetes
generados con el mismo IV. Si la red tiene bastante tráfico estas
repeticiones se dan con cierta frecuencia. Un atacante puede
recopilar suficientes paquetes similares cifrados con el mismo IV y
utilizarlos para determinar el valor del flujo de bits y de la clave
compartida. El valor del IV se transmite sin cifrar por lo que es
público. Esto puede parecer muy complicado, pero hay programas
que lo hacen automáticamente y en horas o días averiguan la
contraseña compartida. No olvidemos que aunque la red tenga poco
tráfico el atacante puede generarlo mediante ciertas aplicaciones.
Una vez que alguien ha conseguido descifrar la contraseña WEP
tiene el mismo acceso a la red que si pudiera conectarse a ella
mediante cable. Si la red está configurada con un servidor DHCP,
entonces el acceso es inmediato, y si no tenemos servidor DHCP pues
al atacante le puede llevar cinco minutos más.

DE SISTEMAS
Vista la debilidad real de WEP lo ideal es que se utilizaran claves

WEP dinámicas, que cambiaran cada cierto tiempo lo que haría
materialmente imposible utilizar este sistema para asaltar una red
inalámbrica, pero 802.11 no establece ningún mecanismo que admita
el intercambio de claves entre estaciones. En una red puede ser
tedioso, simplemente inviable, ir estación por estación cambiando la
contraseña y en consecuencia es habitual que no se modifiquen, lo
que facilita su descifrado.
Algunos adaptadores sólo admiten cifrado WEP por lo que a
pesar de su inseguridad puede ser mejor que nada. Al menos
evitaremos conexiones en abierto incluso evitaremos conexiones y
desconexiones a la red si hay varias redes inalámbricas disponibles.
Método 3: Las VPN
Una red privada virtual (Virtual Private Network, VPN) emplea

tecnologías de cifrado para crear un canal virtual privado sobre una
red de uso público. Las VPN resultan especialmente atractivas para
proteger redes inalámbricas, debido a que funcionan sobre cualquier
tipo de hardware inalámbrico y superan las limitaciones de WEP.
Para configurar una red inalámbrica utilizando las VPN, debe

comenzarse por asumir que la red inalámbrica es insegura. Esto
quiere decir que la parte de la red que maneja el acceso inalámbrico
debe estar aislada del resto de la red, mediante el uso de una lista de
acceso adecuada en un enrutador, o agrupando todos los puertos de
acceso inalámbrico en una VLAN si se emplea switching. Dicha lista
de acceso y/o VLAN solamente debe permitir el acceso del cliente
inalámbrico a los servidores de autorización y autenticación de la
VPN.
Deberá permitirse acceso completo al cliente, sólo cuando éste ha

sido debidamente autorizado y autenticado.

DE SISTEMAS
Los servidores de VPN se encargan de autenticar y autorizar a los

clientes inalámbricos, y de cifrar todo el tráfico desde y hacia dichos
clientes. Dado que los datos se cifran en un nivel superior del modelo OSI,
no es necesario emplear WEP en este esquema.
Método 4: 802.1x
IEEE 802.11i: Con WEP utilizamos claves estáticas que son

relativamente fáciles de averiguar. La solución al problema que
plantea WEP consiste en establecer un sistema dinámico de claves sin
necesidad de intervención del administrador y con este propósito se
establece el estándar IEEE 802.11i. El estándar IEEE 802.11i incluye
protocolos de gestión de claves y mejoras de cifrado y autenticación
con IEEE 802.1X.
802.1x es un protocolo de control de acceso y autenticación
basado en la arquitectura cliente/servidor, que restringe la conexión
de equipos no autorizados a una red.11 El protocolo fue inicialmente
creado por la IEEE para uso en redes de área local alambradas, pero
se ha extendido también a las redes inalámbricas. Muchos de los
puntos de acceso que se fabrican en la actualidad ya son compatibles
con 802.1x.

DE SISTEMAS
El protocolo 802.1x involucra tres participantes:
• El suplicante, o equipo del cliente, que desea conectarse con la

red.
• El servidor de autorización/autenticación, que contiene toda la

información necesaria para saber cuáles equipos y/o usuarios están
autorizados para acceder a la red. 802.1x fue diseñado para emplear
servidores RADIUS (Remote Authentication Dial-In User Service), cuya
especificación se puede consultar en la RFC 2058. Estos servidores
fueron creados inicialmente para autenticar el acceso de usuarios
remotos por conexión vía telefónica; dada su popularidad se optó por
emplearlos también para autenticación en las LAN.
• El autenticador, que es el equipo de red (switch, enrutador,

servidor de acceso remoto...) que recibe a conexión del suplicante. El
autenticador actúa como intermediario entre el suplicante y el
servidor de autenticación, y solamente permite el acceso del
suplicante a la red cuando el servidor de autenticación así lo autoriza.
Para el control de admisión 802.1X utiliza un protocolo de

autenticación denominado EAP y para el cifrado de datos CCMP y esto
es lo que se conoce como RSN (Robust Secure Network) o también
WPA2. No todo el hardware admite CCMP.
MÉTODO 5: WPA (WI-FI Protected Access)

DE SISTEMAS
WPA es un estándar propuesto por los miembros de la Wi-Fi Alliance

(que reúne a los grandes fabricantes de dispositivos para WLAN) en
colaboración con la IEEE. Este estándar busca subsanar los problemas de
WEP, mejorando el cifrado de los datos y ofreciendo un mecanismo de
autenticación.
Para solucionar el problema de cifrado de los datos, WPA propone un

nuevo protocolo para cifrado, conocido como TKIP (Temporary Key Integrity
Protocol). Este protocolo se encarga de cambiar la clave compartida entre
punto de acceso y cliente cada cierto tiempo, para evitar ataques que
permitan revelar la clave. Igualmente se mejoraron los algoritmos de cifrado
de trama y de generación de los IVs, con respecto a WEP. El mecanismo de
autenticación usado en WPA emplea 802.1x y EAP, que fueron discutidos en
la sección anterior.
Según la complejidad de la red, un punto de acceso compatible con WPA

puede operar en dos modalidades:
• Modalidad de red empresarial: Para operar en esta modalidad se requiere

de la existencia de un 26 SISTEMAS & TELEMÁTICA servidor RADIUS en la
red. El punto de acceso emplea entonces 802.1x y EAP para la
autenticación, y el servidor RADIUS suministra las claves compartidas que
se usarán para cifrar los datos.
• Modalidad de red casera, o PSK (Pre-Shared Key): WPA opera en esta

modalidad cuando no se dispone de un servidor RADIUS en la red. Se
requiere entonces introducir una contraseña compartida en el punto de
acceso y en los dispositivos móviles. Solamente podrán acceder al punto de
acceso los dispositivos móviles cuya contraseña coincida con la del punto de
acceso. Una vez logrado el acceso, TKIP entra en funcionamiento para
garantizar la seguridad del acceso. Se recomienda que las contraseñas
empleadas sean largas (20 o más caracteres), porque ya se ha comprobado
que WPA es vulnerable a ataques de diccionario si se utiliza una contraseña
corta.
La norma WPA data de abril de 2003, y es de obligatorio

cumplimiento para todos los miembros de la Wi-Fi Alliance a partir de finales
de 2003. Según la Wi-Fi Alliance, todo equipo de red inalámbrica que posea
el sello “Wi- Fi Certified” podrá ser actualizado por software para que
cumpla con la especificación WPA.
Mejoras de WPA respecto a WEP

WPA soluciona la debilidad del vector de inicialización (IV) de
WEP mediante la inclusión de vectores del doble de longitud (48 bits)
y especificando reglas de secuencia que los fabricantes deben
implementar. Los 48 bits permiten generar 2 elevado a 48
combinaciones de claves diferentes, lo cual parece un número

DE SISTEMAS
suficientemente elevado como para tener duplicados. El algoritmo

utilizado por WPA sigue siendo RC4. La secuencia de los IV, conocida
por ambos extremos de la comunicación, se puede utilizar para evitar
ataques de repetición de tramas (replay).
Para la integridad de los mensajes (ICV), se ha eliminado el
CRC-32 que se demostró inservible en WEP y se ha incluido un nuevo
código denominado MIC.
Las claves ahora son generadas dinámicamente y distribuidas
de forma automática por lo que se evita tener que modificarlas
manualmente en cada uno de los elementos de red cada cierto
tiempo, como ocurría en WEP.
Para la autentificación, se sustituye el mecanismo de
autentificación de secreto compartido de WEP así como la posibilidad
de verificar las direcciones MAC de las estaciones por la terna
802.1X / EAP / RADIUS. Su inconveniente es que requiere de una
mayor infraestructura: un servidor RADIUS funcionando en la red,
aunque también podría utilizarse un punto de acceso con esta
funcionalidad.
WPA-PSK
Es el sistema más simple de control de acceso tras WEP, a
efectos prácticos tiene la misma dificultad de configuración que WEP,
una clave común compartida, sin embargo, la gestión dinámica de
claves aumenta notoriamente su nivel de seguridad. PSK se
corresponde con las iniciales de PreShared Key y viene a significar
clave compartida previamente, es decir, a efectos del cliente basa su
seguridad en una contraseña compartida.
WPA-PSK usa una clave de acceso de una longitud entre 8 y 63
caracteres, que es la clave compartida. Al igual que ocurría con WEP,
esta clave hay que introducirla en cada una de las estaciones y
puntos de acceso de la red inalámbrica. Cualquier estación que se
identifique con esta contraseña, tiene acceso a la red.
Las características de WPA-PSK lo definen como el sistema,
actualmente, más adecuado para redes de pequeñas oficinas o
domésticas, la configuración es muy simple, la seguridad es
aceptable y no necesita ningún componente adicional.
DEBILIDADES DE WPA-PSK
La principal debilidad de WPA-PSK es la clave compartida entre
estaciones. Cuando un sistema basa su seguridad en un contraseña
siempre es susceptible de sufrir un ataque de fuera bruta, es decir ir
comprobando contraseñas, aunque dada la longitud de la contraseña
y si está bien elegida no debería plantear mayores problemas.
Debemos pensar que hay un momento de debilidad cuando la
estación establece el diálogo de autenticación. Este diálogo va cifrado

DE SISTEMAS
con las claves compartidas, y si se ?entienden? entonces se garantiza

el acceso y se inicia el uso de claves dinámicas. La debilidad consiste
en que conocemos el contenido del paquete de autenticación y
conocemos su valor cifrado. Ahora lo que queda es, mediante un
proceso de ataque de diccionario o de fuerza bruta, intentar
determinar la contraseña.
WPA empresarial
En redes corporativas resultan imprescindibles otros
mecanismos de control de acceso más versátiles y fáciles de
mantener como por ejemplo los usuario de un sistema identificados
con nombre/contraseña o la posesión de un certificado digital.
Evidentemente el hardware de un punto de acceso no tiene la
capacidad para almacenar y procesar toda esta información por lo
que es necesario recurrir a otros elementos de la red cableada para
que comprueben unas credenciales. Ahora bien, parece complicado
que un cliente se pueda validar ante un componente de la red por
cable si todavía no tenemos acceso a la red, parece el problema del
huevo y la gallina. En este punto es donde entra en juego el IEEE
802.1X, que describimos a continuación, para permitir el tráfico de
validación entre un cliente y una máquina de la de local. Una vez que
se ha validado a un cliente es cuando WPA inicia TKIP para utilizar
claves dinámicas.
Los clientes WPA tienen que estar configurados para utilizar un
sistema concreto de validación que es completamente independiente
del punto de acceso. Los sistemas de validación WPA pueden ser,
entre otros, EAP-TLS, PEAP, EAP-TTLS que describimos más adelante.
Protocolos y Otro Métodos de seguridad

TKIP
TKIP (Temporary Key Integrity Protocol) es un protocolo de
gestión de claves dinámicas admitido por cualquier adaptador que
permite utilizar una clave distinta para cada paquete transmitido. La
clave se construye a partir de la clave base, la dirección MAC de la
estación emisora y del número de serie del paquete como vector de
inicialización.
Cada paquete que se transmite utilizando TKIP incluye un
número de serie único de 48 bits que se incrementa en cada nueva
transmisión para asegurar que todas las claves son distintas. Esto
evita "ataques de colisión" que se basan en paquetes cifrados con la
misma clave.
Por otro lado al utilizar el número de serie del paquete como
vector de inicialización (IV), también evitamos IV duplicados. Además,
si se inyectara un paquete con una contraseña temporal que se

DE SISTEMAS
hubiese podido detectar, el paquetes estaría fuera de secuencia y

sería descartado.
En cuanto a la clave base, se genera a partir del identificador de
asociación, un valor que crea el punto de acceso cada vez que se
asocia una estación. Además del identificacador de asociación, para
generar la clave base se utilizan las direcciones MAC de la estación y
del punto de acceso, la clave de sesión y un valor aleatorio.
Como veremos más adelante, la clave de sesión puede ser
estática y compartida (PSK) por toda la red o bien, mediante 802.1X,
transmitirla por un canal seguro.
CCMP
CCMP (Counter Mode with Cipher Block Chaining Message
Authentication Code Protocol) es un nuevo protocolo que utiliza AES
como algoritmo criptográfico y proporciona integridad y
confidencialidad.
CCMP se basa en el modo CCM del algoritmo de cifrado AES y
utiliza llaves de 128 bits con vectores de inicialización de 48 bits.
CCMP consta del algoritmo de privacida que es el "Counter
Mode" (CM) y del algoritmo de integridad y autenticidad que es el
"Cipher Block Chaining Message Authentication Code" (CBC-MAC).
CCMP es obligatorio sobre RSN (Robust Secure Network).
WRAP
Existe un sistema de cifrado opcional denominado WRAP
(Wireless Robust Authentication Protocol) que puede sustituir a CCMP.
EAP
802.1X utiliza un protocolo de autenticación llamado EAP
(Extensible Authentication Protocol) que admite distintos métodos de
autenticación como certificados, tarjetas inteligentes, ntlm, Kerberos,
ldap, etc. En realidad EAP actúa como intermediario entre un
solicitante y un motor de validación permitiendo la comunicación
entre ambos.
El proceso de validación está conformado por tres elementos,
un solicitante que quiere ser validado mediante unas credenciales, un
punto de acceso y un sistema de validación situado en la parte
cableada de la red. Para conectarse a la red, el solicitante se
identifica mediante unas credenciales que pueden ser un certificado
digital, una pareja nombre/usuario u otros datos. Junto con las
credenciales, el cliente solicitante tiene que añadir también qué
sistema de validación tiene que utilizar. Evidentemente no podemos
pretender que el punto de acceso disponga del sistema de validación.
Por ejemplo, si queremos utilizar como credenciales los usuarios de
un sistema, será el punto de acceso el que tendrá que preguntar al

DE SISTEMAS
sistema si las credenciales son correctas. En general EAP actúa de

esta forma, recibe una solicitud de validación y la remite a otro
sistema que sepa como resolverla y que formará parte de la red
cableada. De esta forma vemos como el sistema EAP permite un
cierto tráfico de datos con la red local para permitir la validación de
un solicitante. El punto de acceso rechaza todas las tramas que no
estén validadas, que provengan de un cliente que no se he
identificado, salvo aquéllas que sean una solicitud de validación.
Estos paquetes EAP que circulan por la red local se denominan EAPOL
(EAP over LAN). Una vez validado, el punto de acceso admite todo el
tráfico del cliente.
El sistema de autenticación puede ser un servidor RADIUS
situado en la red local.
Los pasos que sigue el sistema de autenticación 802.1X son:
• El cliente envía un mensaje de inicio EAP que inicia un
intercambio de mensajes para permitir autenticar al cliente.
• El punto de acceso responde con un mensaje de solicitud de
identidad EAP para solicitar las credenciales del cliente.
• El cliente envía un paquete respuesta EAP que contiene las
credenciales de validación y que es remitido al servidor de
validación en la red local, ajeno al punto de acceso.
• El servidor de validación analiza las credenciales y el sistema de
validación solicitado y determina si autoriza o no el acceso. En
este punto tendrán que coincidir las configuraciones del cliente
y del servidor, las credenciales tienen que coincidir con el tipo
de datos que espera el servidor.
• El servidor pude aceptar o rechazar la validación y le envía la
respuesta al punto de acceso.
• El punto de acceso devuelve un paquete EAP de acceso o de
rechazo al cliente.
• Si el servidor de autenticación acepta al cliente, el punto de
acceso modifica el estado del puerto de ese cliente como
autorizado para permitir las comunicaciones.
De lo que hemos visto, el protocolo 802.1X tiene un mecanismo
de autenticación independiente del sistema de cifrado. Si el servidor
de validación 802.1X está configurado adecuadamente, se puede
utilizar para gestionar el intercambio dinámico de claves, e incluir la
clave de sesión con el mensaje de aceptación. El punto de acceso
utiliza las claves de sesión para construir, firmar y cifrar el mensaje
de clave EAP que se manda tras el mensaje de aceptación. El cliente
puede utilizar el contenido del mensaje de clave para definir las
claves de cifrado aplicables. En los casos prácticos de aplicación del
protocolo 802.1X, el cliente puede cambiar automáticamente las

DE SISTEMAS
claves de cifrado con la frecuencia necesaria para evitar que haya

tiempo suficiente como para poder averiguarla.
Existen múltiples tipos de EAP, algunos son estándares y otros
son soluciones propietarias de empresas. Entre los tipos de EAP
podemos citar:
EAP-TLS
Es un sistema de autenticación fuerte basado en certificados
digitales, tanto del cliente como del servidor, es decir, requiere una
configuración PKI (Public Key Infraestructure) en ambos extremos.
TLS (transport Layer Security) es el nuevo estándar que sustituye a
SSL (Secure Socket Layer).
EAP-TTLS
El sistema de autenticación se basa en una identificación de un
usuario y contraseña que se transmiten cifrados mediante TLS, para
evitar su transmisión en texto limpio. Es decir se crea un túnel
mediante TLS para transmitir el nombre de usuario y la contraseña. A
diferencia de EAP-TLS sólo requiere un certificado de servidor.
PEAP
El significado de PEAP se corresponde con Protected EAP y
consiste en un mecanismo de validación similar a EAP-TTLS, basado
en usuario y contraseña también protegidos.
La capa MAC
El estándar 802.11 define en su capa ce control de acceso al
medio (MAC, medium access control) una serie de funciones para
realizar las operaciones propias de las redes inalámbricas. La capa
MAC se encarga, en general, de gestionar y mantener las
comunicaciones entre estaciones 801.11, bien sean puntos de acceso
a adaptadores de red. La capa MAC tiene que coordinar el acceso a
un canal de radio compartido y utilizar su capa Física (PHY) 802.11b o
802.11g para detectar la portadora y transmisión y recepción de
tramas.
Un adaptador de red cliente tiene que obtener primero el acceso al
medio antes de poder transmitir tramas. El medio es una canal de
radio compartido. El estándar 802.11 define dos formas de acceso al
medio, función de coordinación distribuida (DCF) y función de
coordinación de punto (PCF) que no vamos a tratar.
DCF es obligatorio en todas las estaciones inalámbricas y se basa en
el protocolo CSMA/CA (carrier sense multiple access/collision
avoidance). Una estación sólo puede transmitir cuando el canal está
libre, si otra estación envía una trama debe esperar a que el canal
esté libre para poder transmitir. Observamos como ethernet utiliza

DE SISTEMAS
CSMA/CD (carrier sense multiple access/collision detection)

ligeramente diferente del caso inalámbrico.
En CSMA/CA cuando estación que quiere transmitir realiza una serie
de pasos:
• Escuchar en el canal correspondiente.
• Si el canal está libre envía la trama.
• Si el canal está ocupado espera un tiempo aleatorio
denominado contención y vuelve a intentarlo.
• Transcurrido el tiempo de contención vuelve a repetir todo el
proceso hasta que pueda enviar la trama.
En las estaciones inalámbricas una estación emisora no puede
escuchar las colisiones mientras envía datos, básicamente porque no
pueden activar el receptor mientras transmiten una trama. Como
consecuencia, la estación receptora debe enviar un ACK si no hubo
errores en la recepción. Si la estación emisora no recibe el ACK tras
un periodo de tiempo establecido supone que ha habido una colisión
o una interferencia de radiofrecuencia y reenvía la trama.
Observamos que las colisiones pueden deteriorar seriamente el
tráfico de la red, porque implica que el emisor, por un lado tenga que
espere a recibir el ACK que no va a llegar y por otro, volver a intentar
enviar la trama. Por este motivo el control de acceso al medio debería
establecer algún tipo de mecanismo que paliara esta deficiencia.
La capa MAC comprueba, como condición para permitir el acceso al
medio, una forma de evitar colisiones, el valor del vector de ubicación
de red (network allocation vector, NAV), que es un contador residente
en cada estación y que representa la cantidad de tiempo que tardó en
transmitirse la anterior trama de cualquier estación. El valor de NAV
tiene que ser cero antes de que una estación intente enviar una
trama, porque sabe que durante ese tiempo ya hay otra estación
emitiendo y si trata de emitir entrará en estado de contención, cosa
que se trata de evitar. Antes de transmitir una trama la estación
calcula el tiempo necesario para la transmisión basándose en su
longitud y en la tasa de transmisión y lo sitúa en el campo de
duración en la cabecera de la trama. Cuando cualquier estación
recibe la trama, toma el campo de duración y lo utiliza para
establecer su correspondiente NAV. Este proceso reserva el medio
para la estación emisora y evita que otras estaciones comiencen a
transmitir mientras no haya acabado.
Como hemos visto, un aspecto importante de DCF es un temporizador
aleatorio que la estación utiliza cuando detecta una colisión por estar
el medio ocupado. Si el canal está en uso la estación tendrá que
esperar un tiempo aleatorio antes de volver a intentar tener acceso
al medio y de esta forma garantizamos que dos estaciones no van a
transmitir al mismo tiempo. Este tiempo se conoce como contención.

DE SISTEMAS
Identificación de un nodo
Cada nodo se identifica mediante los 6 bytes de su dirección MAC.
Cada nodo receptor reconoce su propia dirección MAC.
Funciones de la capa MAC 802.11

Vemos a continuación un resumen significativo de las funciones de la
capa MAC para redes en modo infraestructura:
Búsqueda (Scanning)
El estándar 802.11 define tanto la búsqueda activa como pasiva,
sistemas que utiliza un adaptador de red para localizar puntos de
acceso. La búsqueda pasiva es obligatoria donde cada adaptador de
red busca canales individuales para encontrar la mejor señal del
punto de acceso. Periódicamente, cada punto de acceso difunde
señales como si fuera un faro, y el adaptador de red recibe estas
señales (beacon) mientras busca tomando nota de sus datos. Estas
beacon (señales de faro) contienen datos sobre el punto de acceso
incluyendo por ejemplo el SSID, tasas de transmisión admitidas, etc.
El adaptador de red puede usar esta información para compararla y
determinar junto con otras características, como la fuerza de la señal,
qué punto de acceso utilizar.
La búsqueda activa es similar salvo que la propia tarjeta inicia el
proceso difundiendo una trama de prueba a la que responden todos
los puntos de acceso que estén al alcance con otra trama de prueba.
En la búsqueda activa se permite que un adaptador de red reciba
respuesta inmediata del punto de acceso sin necesidad de esperar a
una transmisión beacon. En la práctica la búsqueda activa impone un
carga adicional en la red debido a las tramas de prueba y sus
respuestas.
Autenticación (Authentication)
La autenticación es el proceso para comprobar la identidad de un
adaptador en la red para aceptarlo o rechazarlo. El estándar 802.11
especifica dos formas de autenticación, el sistema abierto y el
sistema basado en una clave compartida.
El sistema abierto es obligatorio y consta de dos pasos.
• El adaptador de red inicia el proceso enviando una trama de
solicitud de autenticación al punto de acceso.
• El punto de acceso responde con una trama de autenticación
que indica si acepta o rechaza la autenticación en el campo de
código de estado de la trama.
La autenticación de clave compartida es opcional y básicamente
comprueba si la clave WEP es la correcta. El hecho de ser opcional
para el protocolo no impide que esté en la práctica totalidad de los

DE SISTEMAS
adaptadores y puntos de acceso. Este proceso consta de cuatro

pasos:
• El adaptador de red inicia el proceso enviando una trama de
solicitud de autenticación al punto de acceso.
• El punto de acceso responde con una trama de autenticación
que contiene un texto de desafío.
• El adaptador de red utiliza su clave WEP para cifrar el texto de
desafío y lo devuelve al punto de acceso en otra trama de
autenticación.
• El punto de acceso descifra el valor cifrado, lo compara con el
original y responde con una trama de autenticación que indica
si acepta o rechaza la autenticación. Si coinciden el valor
original y el de la respuesta el punto de acceso supone que el
solicitante tiene la clave correcta.
Asociación
La asociación es un proceso por el cual el punto de acceso reserva
recursos y sincroniza con una estación cliente.
Una vez que el adaptador de red se ha autenticado, también tiene
que asociarse al punto de acceso antes poder transmitir tramas de
datos. La asociación es importante para sincronizar a ambos
elementos con información importante como por ejemplo las tasas de
transmisión admitidas.
El adaptador de de inicia la asociación enviando una trama de
solicitud de asociación que contiene elementos como el SSID y tasas
de transferencia admitidas. El punto de acceso reserva memoria para
ese cliente, le asigna un ID de asociación y le responde con una
trama de respuesta de asociación que contiene el ID de asociación
junto con otra información referente al punto de acceso. Una vez que
el adaptador de red y el punto de acceso hayan completado el
proceso de asociación pueden comenzar a transmitir tramas de datos
entre ellos, es decir el cliente puede utilizar el punto de de acceso
para comunicar con otros clientes de la red.
RTS/CTS
Se puede presentar un problema en una red inalámbrica cuando dos
estaciones asociadas al mismo punto de acceso no se ven entre sí.
Cuando intenten transmitir ninguna de ellas detectará a la otra por lo
que pueden transmitir simultáneamente, lo que origina una
corrupción de datos en el resto de las estaciones. Para solucionar este
problema se puede establecer un mecanismo para que cada estación
notifique al punto de acceso que va a transmitir.
Las funciones request-to send y clear-to-send (RTS/CTS) permiten al
punto de acceso controlar el uso del medio de las estaciones
activando RTS/CTS. Si el adaptador activa RTS/CTS, entonces primero
enviará una trama RTS al punto de acceso antes de enviar una trama

DE SISTEMAS
de datos. El punto de acceso responde con una trama CTS indicando

que el adaptador puede enviar la trama de datos. Con la trama CTS el
punto de acceso envía un valor en el campo de duración de la
cabecera de la trama que evita que otras estaciones transmitan hasta
que el adaptador que haya iniciado RTS pueda enviar su trama de
datos.
Este proceso de solicitud de envío evita colisiones entre nodos
ocultos. El saludo RTS/CTS continúa en cada trama mientras que el
tamaño de la trama exceda del umbral establecido en el adaptador
correspondiente. En la mayoría de adaptadores de red los usuario
pueden fijar un umbral máximo de tamaño de trama para que el
adaptador de red active RTS/CTS. Por ejemplo, si establecemos un
tamaño de trama de 1.000 bytes, cualquier trama de una tamaño
superior a 1.000 bytes disparará RTS/CTS. De esta forma el proceso
sólo afectaría a las tramas más grandes y más costosas de
retransmitir pero las más pequeñas es mejor arriesgarse.
Como hemos visto, el uso de RTS/CTS puede solucionar el problemas
que se presentaba cuando dos nodos asociados al mismo punto de
acceso no se ven entre sí.
MODO AHORRO ENERGÍA (POWER SAVE MODE)
El funcionamiento normal de las redes inalámbricas supone un acceso
constante al medio (CAM, Constant Access Mode), es decir, escucha
de forma constante la red con el consiguiente consumo de energía.
En dispositivos móviles puede representar un serio inconveniente el
excesivo consumo de batería, por lo que 802.11 establece unos
mecanismos para intentar evitarlo. El mecanismo consiste en apagar
el adaptador y hacer que se active en periodos regulares en todos los
adapadores de la red en busca de un paquete beacon especial
denominado TIM. Durante el tiempo que transcurre entre paquetes
TIM el adaptador se desactiva para ahorrar energía. Todos los
adaptadores de una red tienen que activarse simultáneamente para
escuchar el TIM del punto de acceso.
El TIM informa a los clientes que tienen datos pendientes en el punto
de acceso. Cuando un adaptador sabe mediante el TIM que tiene
datos pendientes permanece activo el tiempo necesario para
recibirlos. El punto de acceso dispone de un buffer para almacenar los
datos hasta que los envía al adaptador. Una vez que el adaptador ha
recibido sus datos, entonces vuelve al modo inactivo.
Un punto de acceso indica la presencia de tráfico de difusión
mediante paquetes DTIM (delivery traffic information map). DTIM es
un temporizador múltiplo de TIM. Gracias a este valor, que podemos
configurar en el punto de acceso, podemos especificar cuanto tiempo
tiene que permanecer una estación activa para buscar tráfico de
difusión.

DE SISTEMAS
El sistema de ahorro de energía es también opcional en el protocolo

802.11, y permite activar o desactivar el adaptador de forma
inteligente para que ahorre energía cuando no tiene que transmitir
datos. Cuando el ahorro de energía está activado el adaptador indica
al punto de acceso su deseo de entrar al estado "dormido" mediante
un bit de estado de la cabecera de la trama. El punto de acceso toma
nota de todos los adaptadores que quieren entrar en el modo de
ahorro de energía y utiliza un buffer para los paquetes
correspondientes a estas estaciones.
Para poder todavía recibir tramas de datos el adaptador dormido
tiene que despertar periódicamente, en el instante adecuado, para
recibir las transmisiones beacon TIM del punto de acceso. Estos
beacon identifican si las estaciones dormidas tienen tramas en el
buffer en el punto de acceso y esperando para su entrega a los
respectivos destinos. Los adaptadores con tramas a la espera las
solicitan al punto de acceso y una vez recibidas puede volver al
estado de dormido.
Fragmentación
La función de fragmentación permite que una estación divida los
paquetes de datos en tramas más pequeñas para evitar la necesidad
de retransmitir tramas grandes en un ambiente de interferencias de
radiofrecuencia. Los bits erróneos ocasionados por las interferencias
es más probable que afecten a una simple trama y disminuimos la
carga si sólo retransmitimos tramas pequeñas. como en el caso de
RTS/CTS, los usuarios normalmente pueden establecer un umbral de
tamaño de trama máximo para que el adaptador active la
fragmentación. El el tamaño de la trama es mayor que el umbral
fijado, el adaptador lo divide en múltiples tramas adaptadas a ese
tamaño.
Tramas 802.11
El estándar 802.11 define varios tipos de tramas cada de las cuales
tiene un objeto específico. Hemos visto anteriormente que tenemos
que anunciar los puntos de acceso, asociar estaciones, autenticar
clientes y otras funciones. Todas estas funciones normalmente se
gestionan mediante unas tramas especiales, a parte de las tramas
propias de transmisión de datos. Podemos clasificar las tramas
dependiendo de la función que desempeñan. Tenemos tramas de
datos, las que transportan la información de capas superiores, tramas
de gestión que permiten mantener las comunicaciones y tramas de
control para, como su nombre indica, controlar el medio.
Cada trama contiene distintos campos de control, que incluyen por
ejemplo el tipo de trama, si WEP está activo, si está activo el ahorro
de energía, la versión del protocolo 802.11. Una trama 802.11

DE SISTEMAS
también incluye las direcciones MAC de origen y destino, un número

de secuencia, un campo de control y el campo de datos.
Tramas de gestión
Las tramas 802.11 de gestión son las que permiten mantener
comunicaciones a las estaciones inalámbricas y tenemos distintos
tipos:
TRAMA DE AUTENTICACIÓN
Ya habíamos visto que la autenticación es el proceso para comprobar
la identidad de un adaptador en la red para aceptarlo o rechazarlo. El
adaptador cliente inicia el proceso enviando al punto de acceso una
trama de autenticación que contiene su identidad en el campo de
datos.
El diálogo que se establece con las tramas de autenticación depende
del sistema de autenticación que use el punto de acceso, si es abierto
o con clave compartida. Cuando se trata de sistemas abiertos, el
cliente sólo envía la trama de autenticación y el punto de acceso
responde con otra trama de autenticación que indica si acepta o
rechaza la conexión. En el caso de la autenticación de clave
compartida, el punto de acceso tiene que comprobar que la estación
tiene la llave correcta por lo que tenemos dos tramas de
autenticación más en el diálogo, una que envía el punto de acceso
con un texto para que lo cifre la estación con su clave y otra de
respuesta de la estación cliente con el desafío cifrado.
TRAMA DE DESAUTENTICACIÓN
Es una trama que envía una estación a otra cuando quiere terminar
las comunicaciones.
TRAMA DE SOLICITUD DE ASOCIACIÓN
Este tipo de trama la utiliza la estación cliente para iniciar el proceso
de asociación. Ya hemos visto que la asociación es un proceso por el
cual el punto de acceso reserva recursos y sincroniza con una
estación cliente. La asociación la inicia el cliente enviado al punto de
acceso una trama de solicitud de asociación y el punto de acceso
establece un ID de asociación para identificar al cliente y le reserva
memoria.
Las tramas de asociación contienen los datos necesarios para esta
función como son el SSID de la red, las tasas de transferencia, etc. En
la función de asociación se define con más detalle el mecanismo de
asociación.
TRAMA DE RESPUESTA DE ASOCIACIÓN
Este tipo de trama la utilizan los puntos de acceso para responder
una solicitud de asociación. Esta trama puede contener si se acepta o
rechaza la asociación. Si se acepta la asociación la trama también
incluye el ID de asociación y las tasas de transferencia admitidas.

DE SISTEMAS
TRAMA DE SOLICITUD DE REASOCIACIÓN

Cuando un cliente asociado con un punto de acceso se desplaza al
radio de cobertura de otro punto de acceso de la misma red con
mejor señal intenta establecer una reasociación. La reasociación
implica que los puntos de acceso coordinen los buffer. Como era de
esperar, para establecer una reasociación con un nuevo punto de
acceso, el cliente le envía una trama de reasociación.
TRAMA DE RESPUESTA DE REASOCIACIÓN
La trama de respuesta de reasociación es similar a la trama de
respuesta de asociación, al fin y al cabo, lo que hacer es asociar con
un nuevo punto de acceso.
TRAMA DE DESASOCIACIÓN
Es una trama que puede enviar un estación cuando va a cerrar sus
conexiones de red. Esta trama permite que el punto de acceso pueda
liberar los recursos que tiene asignado a la estación durante el
proceso de asociación.
TRAMA BEACON (BALIZA)
Un punto de acceso envía tramas beacon periódicamente para
difundir su presencia y la información de la red, el SSID, etc. a las
estaciones clientes en su radio de cobertura. Las estaciones pueden
obtener lista de puntos de acceso disponibles buscando tramas
beacon continuamente en todos canales 802.11. Las tramas beacon
contienen la información necesaria para identificar las características
de la red y poder conectar con el punto de acceso deseado.
TRAMA DE SOLICITUD DE PRUEBA
Las estaciones utilizan tramas de solicitud de prueba cuando
necesitan obtener información de otra estación, por ejemplo obtener
una lista de puntos de acceso disponibles.
TRAMA DE RESPUESTA DE PRUEBA
Esta trama es la respuesta de una estación a una solicitud. Esta
trama contiene la información necesaria como por ejemplo las tasas
de transmisión.
Tramas de Control
Las tramas 802.11 de control se utilizan para colaborar en la entrega
de tramas de datos entre estaciones.
TRAMA REQUEST TO SEND (RTS)
Se utilizan para reducir las colisiones en el caso de dos estaciones
asociadas a un mismo punto de acceso pero mutuamente fuera de
rango de cobertura. La estación envía una trama RTS para iniciar el
diálogo de comienzo de transmisión de una trama.
TRAMA CLEAR TO SEND (CTS)

DE SISTEMAS
Las estaciones utilizan las tramas CTS para responder a una trama
RTS para dejar el canal libre de transmisiones. Las tramas CTS
contienen un valor de tiempo durante el cual el resto de las
estaciones dejan de transmitir el tiempo necesario para transmitir la
trama.
TRAMAS ACKNOWLEDGEMENT (ACK)
Las tramas ACK tienen como objetivo confirmar la recepción de una
trama. En caso de no llegar la trama ACK el emisor vuelve a enviar la
trama de datos.
Tramas de datos
Evidentemente existen tramas de datos que son las encargadas de
transportar la información de las capas superiores.
Conclusiones
La seguridad en las redes inalámbricas es un aspecto crítico que no
se puede descuidar. Debido a que las transmisiones viajan por un
medio no seguro, se requieren mecanismos que aseguren la
confidencialidad de los datos así como su integridad y autenticidad.
Existen diversas soluciones para mejorar la seguridad en las redes
inalámbricas. Su implementación depende del uso que se vaya a dar
a la red (casera o empresarial), de si es una red ya existente o una
nueva, y del presupuesto del que se disponga para implantarla, entre
otros factores.

DE SISTEMAS
La restricción de acceso mediante direcciones MAC es insuficiente

para cualquier red, dado el gran número de herramientas disponibles
libremente para cambiar la dirección MAC de una tarjeta cualquiera.
El método mediante WEP con clave estática es el mínimo nivel de
protección que existe. En una red casera puede ser suficiente; en una
corporativa, el uso de WEP está formalmente desaconsejado, por la
facilidad con la que se pueden romper las claves WEP en un entorno
de alto tráfico.
El uso de las VPN es una alternativa interesante cuando ya se tiene
una red inalámbrica, y no se posee hardware inalámbrico que soporte
el protocolo 802.1x. Requiere de la instalación de software
especializado en los clientes inalámbricos, y de un servidor o una
serie de servidores que manejen las tareas de cifrado de datos,
autenticación y autorización de acceso.
La alternativa de 802.1x y EAP es la adecuada si los equipos de la red
inalámbrica se pueden actualizar, o si se va a montar una red nueva.
Puede usarse la solución de WEP con clave dinámica, o la de WPA;
ambas ofrecen un excelente grado de protección.
Finalmente, todo mecanismo de protección de información en una red
debe estar enmarcado dentro de una política de seguridad adecuada.
El seguimiento de una política consistente evita que las medidas de
protección se vuelvan un obstáculo para el trabajo habitual con los
sistemas de información, y garantiza la calidad y confidencialidad de
la información presente en los sistemas de la empresa.
Tanto la especificación WPA como IEEE 802.11i solucionan todos los
fallos conocidos de WEP y, en estos momentos, se consideran
soluciones fiables.
La ventaja de WPA es que no requiere de actualizaciones de hardware
en los equipos. Mientras no se descubran problemas de seguridad en
WPA, esta implementación puede ser suficiente en los dispositivos
para los próximos meses.
La apuesta de seguridad del IEEE para sustituir al desafortunado WEP,
802.11i, todavía está pendiente de ser estudiada en profundidad por
investigadores debido a que sus especificaciones no son públicas.
BIBLIOGRAFÍA
1. Intel Centrino Mobile Technology.

http://www.intel.com/products/mobiletechnology/
2. 802.11 standards: 802.11b, 802.11a, 802.11g: Which one is right
for you?
http://compnetworking.about.com/cs/wireless80211/a/aa80211standa
rd.htm
3. Warchalking. http://www.warchalking.org

DE SISTEMAS
4. Dennis Fisher. Study Exposes WLAN Security Risks. Marzo 12 de

2003. http://www.eweek.com/print_article/0,3048,a=38444,00.asp
5. Rob Flickenger. Antenna on the Cheap (er, Chip). Julio 5 de 2001.
http://www.oreillynet.com/pub/wlg/448
6. AirJack. http://802.11ninja.net/airjack/
7. Wellenreiter – WLAN Hacking. http://www.wellenreiter.net/
8. WEPCrack Project Info. http://sourceforge.net/projects/wepcrack

Seguridad en Redes Inalámbricas

Cargado por

Copyright:

Formatos disponibles

Seguridad en Redes Inalámbricas

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Seguridad en Redes Inalámbricas

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD NACIONAL DE CAJAMARCA– INGENIERÍA

“SEGURIDAD EN REDES INALÁMBRICAS”

• CUEVA MENDOZA, Cesar Blademir.

Ing. José Micha Ortiz

Cajamarca, Febrero del 2010.

Seguridad en Redes Inalámbricas Página 1

El mundo de las comunicaciones está recibiendo una serie de

La falta de seguridad en las redes inalámbricas es un problema

Seguridad en Redes Inalámbricas Página 2

mejorar el nivel de seguridad en las redes inalámbricas 802.11, con

Las redes inalámbricas (en inglés wireless network) son

Seguridad en Redes Inalámbricas Página 3

recepción se realizan a través de antenas. Tienen ventajas como la

El acceso sin necesidad de cables, la razón que hace tan

Seguridad en Redes Inalámbricas Página 4

persona que posea un equipo móvil y entre en el área de influencia

Seguridad en Redes Inalámbricas Página 5

• Ingresar a la red y hacer uso ilegítimo de sus recursos.

GARANTIZANDO LA SEGURIDAD DE UNA RED INALÁMBRICA

Método 1: Filtrado de direcciones MAC

Seguridad en Redes Inalámbricas Página 6

• El formato de una dirección MAC no es amigable (normalmente se

Método 2: Wired Equivalent Privacy (WEP)

WEP (Wired Equivalent Privacy), que viene a significar

Seguridad en Redes Inalámbricas Página 7

tiene que configurar el usuario/administrador en cada uno de los

Seguridad en Redes Inalámbricas Página 8

1. Se calcula un CRC de 32 bits de los datos. Este CRC-32 es el

El algoritmo para descifrar es similar al anterior. Debido a que el

Seguridad en Redes Inalámbricas Página 9

Vista la debilidad real de WEP lo ideal es que se utilizaran claves

Método 3: Las VPN

Una red privada virtual (Virtual Private Network, VPN) emplea

Para configurar una red inalámbrica utilizando las VPN, debe

Deberá permitirse acceso completo al cliente, sólo cuando éste ha

Seguridad en Redes Inalámbricas Página 10

Los servidores de VPN se encargan de autenticar y autorizar a los

IEEE 802.11i: Con WEP utilizamos claves estáticas que son

Seguridad en Redes Inalámbricas Página 11

El protocolo 802.1x involucra tres participantes:

• El suplicante, o equipo del cliente, que desea conectarse con la

• El servidor de autorización/autenticación, que contiene toda la

• El autenticador, que es el equipo de red (switch, enrutador,

Para el control de admisión 802.1X utiliza un protocolo de

MÉTODO 5: WPA (WI-FI Protected Access)

Seguridad en Redes Inalámbricas Página 12

WPA es un estándar propuesto por los miembros de la Wi-Fi Alliance

Para solucionar el problema de cifrado de los datos, WPA propone un

Según la complejidad de la red, un punto de acceso compatible con WPA

• Modalidad de red empresarial: Para operar en esta modalidad se requiere

• Modalidad de red casera, o PSK (Pre-Shared Key): WPA opera en esta

La norma WPA data de abril de 2003, y es de obligatorio

Mejoras de WPA respecto a WEP

Seguridad en Redes Inalámbricas Página 13

suficientemente elevado como para tener duplicados. El algoritmo

Seguridad en Redes Inalámbricas Página 14

con las claves compartidas, y si se ?entienden? entonces se garantiza

Protocolos y Otro Métodos de seguridad