1

Arquitecturas seguras en redes inalámbricas

Jessica Flores Reyes e-mail: jess.fr7@gmail.com

Facultad de Sistemas y Telecomunicaciones Universidad Estatal Península de Santa Elena

La Libertad - Ecuador dquirumbay@upse.edu.ec

Comunicaciones II

RESUMEN: el presente documento da a conocer las arquitecturas seguras de las redes inalámbricas,

además del estándar 802.11i para la autenticación de usuarios que acceden a la red. Se especifica los

modos de funcionamiento de los equipos inalámbricos, así como también, el diseño lógico de la WLAN

segura.

INTRODUCCION

Las redes inalámbricas, son redes a las que se

tiene fácil acceso sin la necesidad de la conexión por

cables. Permiten a los usuarios engancharse a la red y

poder desplazarse dentro del área de cobertura sin

perder la conexión.

Estas redes utilizan ondas electromagnéticas para

la transmisión de datos entre uno o varios dispositivos

receptores y trasmisores de señales, por tal motivo la

tecnología inalámbrica varía constantemente por

parámetros con frecuencia, canal, radio de cobertura,

velocidad de transmisión, entre otros.

Cabe mencionar, que son vulnerables a ataques

como el acceso a la información sensible por lo que el

atacante logra captar la señal e intentar acceder y

conectarse fácilmente a la red en caso de que la

información que se transmite no está codificada, siendo

esto una acción desfavorable para la entidad u

organización poseedora de la red.

El administrador de la red, tiene la obligación de

verificar y disminuir las vulnerabilidades a la que está

expuesta la red inalámbrica para aplicar métodos de

seguridad que logre contrarrestar los riesgos de filtrado

de información.

El punto clave y eje de esta consulta, es analizar la

arquitectura que deben tener las redes inalámbricas

para dar a conocer mejoras.

MODOS DE FUNCIONAMIENTO EN

WiFi [1]

Los dispositivos inalámbricos pueden operar en

varios modos como:

Master

Este modo es también llamado AP (Access

Point) o de infraestructura, usado para la

instalación de una red con un AP que conecta

a diferentes clientes.

Los dispositivos WiFi en este modo, solo se

pueden comunicar con dispositivos asociados a

ellos que estén en el modo Managed.

Managed

También llamado modo cliente, estación o

CPE. Los dispositivos configurados en este

modo, se unirán a una red creada por el Master

y automáticamente cambiarán su canal para

ajustarse con el del Master. Su comunicación

2

será solo con el equipo Master, mas no entre sí

mismos.

Ad-hoc

Usado en redes mesh, la comunicación se

realiza únicamente entre los nodos y los

dispositivos deberán estar dentro del mismo

rango de cobertura para escoger el nombre de

red y un canal común.

Monitor

Este modo no es usado normalmente para

comunicaciones, sino para escuchar

parcialmente todo el tráfico en un canal dado.

Es útil para el análisis de los problemas de un

enlace inalámbrico, observar el uso del

espectro en una zona específica, efectuar

tareas de mantenimiento y de seguridad, entre

otros.

Cada uno de estos modos, poseen restricciones

específicas de operación indicando que solo se puede

operar en un modo determinado a la vez, es decir, si el

equipo opera como AP ya o puede operar como cliente.

Cabe mencionar, que existen casos en que los

equipos aceptan más de un modo como en el caso de

las redes mesh para el aumento del rendimiento.

A continuación se puede observar las posibles

comunicaciones con los equipos establecidos en

diferentes modos.

Figura 1. Modos de funcionamiento de equipos inalámbricos

PROTOCOLO 802.11i [2]

Este protocolo está dirigido a disminuir la

vulnerabilidad actual en la seguridad para protocolos de

autenticación y de codificación.

El estándar abarca los protocolos

802.1x, TKIP (Protocolo de Claves Integra – Seguras –

Temporales), y AES (Advanced Encryption Standard,

Estándar de Cifrado Avanzado).

Se implementa en Wi-Fi Protected Access (WPA2).

3

Figura 2. Arquitectura de una red inalámbrica segura

Descripción del proceso de

conexión de un cliente

1. El equipo cliente debe poseer los

certificados instalados, puede copiarlos

manualmente o puede conectarse al

dominio a través de un canal seguro.

2. El equipo cliente detecta el SSID de la

WLAN, es usado para determinar la

configuración correcta y el tipo de

credencial que va a utilizarse en la WLAN.

La configuración del AP permite

conexiones seguras a través de 802.1x.

2.1. Cuando el equipo cliente intenta

conectarse, el AP abre un canal

restringido para la comunicación

con el servidor de autenticación

(RADIUS).

2.2. RADIUS solo acepta conexiones

de puntos de acceso de

confianza o de otro equipo que

se haya configurado como cliente

RADIUS en el IAS (Servicio de

Autenticación de Internet)

2.3. El equipo cliente establece una

sesión segura en la capa de

transporte permitiendo la

autenticación entre el RADIUS y

el cliente. El tráfico es cifrado.

3. En esta fase, el RADIUS valida las

credenciales del cliente con el Directorio

Activo para que se transmita la decisión al

AP.

3.1. Si la decisión es positiva, el

RADIUS transmite la clave

maestra al AP, con esta

información se crea un canal

seguro de transmisión.

4. Por último, el AP conecta al cliente con la

red interna a través de un canal cifrado.

Descripción de los elementos de la

arquitectura

Infraestructura PKI (Infraestructura de

Clave Pública)

o Definir cómo será la emisión

y uso de los certificados

dentro de la organización.

o Decidir que aplicaciones van

a necesitar certificados

dentro de la organización.

o Definir el nivel de seguridad

de los certificados

4

Servidor RADIUS

Su implementación se realiza a través

del Servicio de Autenticación de

Internet (IAS) de Microsoft, en este

caso se hará uso del servicio AAA

(Authentication, Authorization and

Accounting) y no del Proxy debido a

que solo se cuenta con un servidor

RADIUS.

Directorio Activo

Importante para la importación

automática de los certificados de los

clientes

PROTOCOLO 802.1x: COMPONENTES

BÁSICOS [3]

Es un protocolo de control de acceso y

autenticación basado en la arquitectura cliente/servidor,

que restringe la conexión de equipos sin autorización en

una red, además, está diseñado para emplear

servidores RADIUS (Remote Authentication Dial-In User

Service). Este protocolo involucra 3 componentes:

Equipo cliente.

Autenticador: switch, router, etc.

Servidor de autenticación (RADIUS)

DISEÑO LÓGICO DE LA SOLUCIÓN DE

WLAN SEGURA [5]

La agrupación de componentes elegida, permite

una visualización modular del diseño completo que

permite una máxima reutilización de estos

componentes. Los servicios de TI del diseño se

agruparán en los siguientes grupos lógicos:

Componentes WLAN: clientes y puntos de

acceso inalámbricos

Componente RADIUS

Componente PKI: entidades emisoras de

certificados

Componente Servicios de infraestructura

Este último componente incluye un directorio y

servicios de red auxiliares. Éstos se componen de

servicios de TI que generalmente ya existían en la

organización y con los que la solución interactúa de

algún modo.

Figura 3. Diseño lógico de la solución de una WLAN segura

5

EJEMPLOS

El enrutador hace la función de

firewall [4]

Figura 4. WLAN

Arquitectura de un VPN para el

acceso inalámbrico seguro [3]

Figura 5. VPN

Los servidores de VPN son los encargados de

autenticar y autorizar a los clientes inalámbricos, y de

cifrar todo el tráfico desde y hacia dichos clientes.

GLOSARIO

AAA (Authentication, Authorization and

Accounting)

Permite definir a que recursos tiene acceso el

usuario, y al mismo tiempo, rastrea l actividad

del usuario en la red. Requiere de un servidor

dedicado, por ejemplo RADIUS

AES (Advanced Encryption Standard)

Algoritmo de encriptación simétrica de 128 bits.

Firewall

Software y hardware de seguridad encargado

de bloquear y chequear el tráfico de la red.

RADIUS (Remote Authentication Dial-In User

Service)

Sistema de autenticación y contabilización

empleado por la mayoría de ISP.

CONCLUSIONES

Las redes inalámbricas se exponen

constantemente a una serie de ataques, los cuales, con

una buena administración de red se pueden disminuir

pero no desaparecer del todo.

La arquitectura de estas redes está guiada por el

protocolo 802.11i para la autenticación de clientes que

deseen acceder a la red, siendo uno de los métodos

más seguros para grandes entidades.

RECOMENDACIONES

Vulnerar la red por parte del administrador de red o

de una persona especializada en vulnerabilidades de

redes contrata por la entidad, para la disminución de

amenazas de la red.

Poseer servidores de autenticación, sistemas

adicionales de seguridad, actualizar periódicamente el

firmware y software de los AP.

6

BIBLIOGRAFÍA

[1] WALC. (18 de Marzo de 2011). Recuperado el 1 de

Agosto de 2015, de

http://www.eslared.org.ve/walc2012/material/tra

ck1/05-Introduccion_a_las_redes_WiFi-es-

v2.3-notes.pdf

[2] Contribuciones. (6 de Diciembre de 2011).

SECURITYBYDEFAULT. Recuperado el 1 de

Agosto de 2015, de

http://www.securitybydefault.com/2011/12/ejem

plo-de-arquitectura-wireless-con.html

[3] bibdigital. (s.f.). Recuperado el 1 de Agosto de 2015,

de

http://bibdigital.epn.edu.ec/bitstream/15000/242

9/1/CD-0117.pdf

[4] Hernando, R. (9 de Julio de 2007). rhernando.net.

Recuperado el 1 de Agosto de 2015, de

http://www2.rhernando.net/modules/tutorials/do

c/redes/seg-wifi.pdf

[5] MICROSOFT. (24 de Noviembre de 2004).

Recuperado el 1 de Agosto de 2015, de

https://www.microsoft.com/latam/technet/articul

os/wireless/pgch03.mspx