Manejo De REDES Unidad 1

MÓDULO: MANEJO DE REDES

U N I D A D I

R.A. 1.2

Configura los parámetros de seguridad en los dispositivos de red inalámbricos por medio de las herramientas que proveen los dispositivos de red.

A. Identificación de amenazas comunes a la seguridad inalámbrica.

 Acceso no autorizado

En este tipo de amenaza un intruso puede introducirse en el sistema de una red WLAN, donde puede violar la confidencialidad e integridad del tráfico de red haciéndose pasar como un usuario autorizado, de manera que puede enviar, recibir, alterar o falsificar mensajes. Este es un ataque activo, que necesita de equipamiento compatible y estar conectado a la red. Una forma de defensa frente a esta amenaza son los mecanismos de autenticación los cuales aseguran el acceso a la red solo a usuarios autorizados.

Puede presentarse también el caso en que se instale un punto de acceso clandestino dentro de la red con suficiente potencia de modo que engañe a una estación legal haciéndola parte de la red del intruso y éste pueda capturar las claves secretas y contraseñas de inicio de sesión. Este ataque es más difícil de detectar, puesto que los intentos fallidos de inicio de sesión son relativamente frecuentes en las comunicaciones a través de una red WLAN.

 Puntos de acceso no autorizado

Esto se refiere a la encriptación de una red inalámbrica como todos conocemos en la actualidad. Se encripta una red para evitar el ingreso de personas que no pertenecen a la comunidad de trabajo. Se conoce que se le asigna una clave para tener seguridad en nuestra red y poder tener la certeza que solo está siendo utilizada por nuestro grupo de trabajo.

 Ataques MAN IN THE MIDDLE

En criptografía, un ataque man-in-the-middle (MitM o intermediario, en español) es un ataque en el que el enemigo adquiere la capacidad de leer, insertar y modificar a voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado. El atacante debe ser capaz de observar e interceptar mensajes entre las dos víctimas. El ataque MitM es particularmente significativo en el protocolo original de intercambio de claves de Diffie-Hellman, cuando éste se emplea sin autenticación. La mayoría de estos ataques supervisan la red con una herramienta llamada rastreador de puertos.

 Posibles sub ataques

El ataque MitM puede incluir algunos de los siguientes subataques:

o Intercepción de la comunicación (eavesdropping), incluyendo análisis del tráfico y posiblemente un ataque a partir de textos planos (plaintext) conocidos.

o Ataques a partir de textos cifrados escogidos, en función de lo que el receptor haga con el mensaje descifrado.

o Ataques de sustitución.

o Ataques de repetición.

o Ataque por denegación de servicio (denial of service). El atacante podría, por ejemplo, bloquear las comunicaciones antes de atacar una de las partes. La defensa en ese caso pasa por el envío periódico de mensajes de status autenticados.

MitM se emplea típicamente para referirse a manipulaciones activas de los mensajes, más que para denotar intercepción pasiva de la comunicación.

 Defensas contra el ataque

La posibilidad de un ataque de intermediario sigue siendo un problema potencial de seguridad serio, incluso para muchos criptosistemas basados en clave pública. Existen varios tipos de defensa contra estos ataques MitM que emplean técnicas de autenticación basadas en:

o Claves públicas

o Autenticación mutua fuerte

o Claves secretas (secretos con alta entropía)

o Passwords (secretos con baja entropía)

o Otros criterios, como el reconocimiento de voz u otras características biométricas

La integridad de las claves públicas debe asegurarse de alguna manera, pero éstas no exigen ser secretas, mientras que los passwords y las claves de secreto compartido tienen el requerimiento adicional de la confidencialidad. Las claves públicas pueden ser verificadas por una autoridad de certificación (CA), cuya clave pública sea distribuida a través de un canal seguro (por ejemplo, integrada en el navegador web o en la instalación del sistema operativo).

 Denegación del servicio

Se genera mediante la saturación de los puertos con flujo de información, haciendo que el servidor se sobrecargue y no pueda seguir prestando servicios, por eso se le dice "denegación", pues hace que el servidor no dé abasto a la cantidad de usuarios. Esta técnica es usada por los llamados Crackers para dejar fuera de servicio a servidores objetivo. Una ampliación del ataque Dos es el llamado ataque distribuido de denegación de servicio, también llamado ataque DDoS (de las siglas en inglés Distributed Denial of Service) el cual lleva a cabo generando un gran flujo de información desde varios puntos de conexión.

La forma más común de realizar un DDoS es a través de una botnet, siendo esta técnica el ciberataque más usual y eficaz. En ocasiones, esta herramienta ha sido utilizada como un notable método para comprobar la capacidad de tráfico que un ordenador puede soportar sin volverse inestable y perjudicar los servicios que desempeña. Un administrador de redes puede así conocer la capacidad real de cada máquina.

B. Configuración de parámetros para establecimiento de la seguridad y protección de dispositivos inalámbricos.

 Descripción general de protocolo de seguridad inalámbrica.

La seguridad es un aspecto que cobra especial relevancia cuando hablamos de redes inalámbricas. Para tener acceso a una red cableada es imprescindible una conexión física al cable de la red. Sin embargo, en una red inalámbrica desplegada en una oficina un tercero podría acceder a la red sin ni siquiera estar ubicado en las dependencias de la empresa, bastaría con que estuviese en un lugar próximo donde le llegase la señal. Es más, en el caso de un ataque pasivo, donde sólo se escucha la información, ni siquiera se dejan huellas que posibiliten una identificación posterior.

El canal de las redes inalámbricas, al contrario que en las redes cableadas privadas, debe considerarse inseguro. Cualquiera podría estar escuchando la información transmitida. Y no sólo eso, sino que también se pueden inyectar nuevos paquetes o modificar los ya existentes (ataques activos). Las mismas precauciones que tenemos para enviar datos a través de Internet deben tenerse también para las redes inalámbricas.

Conscientes de este problema, el IEEE [1] publicó un mecanismo opcional de seguridad, denominado WEP, en la norma de redes inalámbricas 802.11 [2]. Pero WEP, desplegado en numerosas redes WLAN, ha sido roto de distintas formas, lo que lo ha convertido en una protección inservible. Para solucionar sus deficiencias, el IEEE comenzó el desarrollo de una nueva norma de seguridad, conocida como 802.11i [3], que permitiera dotar de suficiente seguridad a las redes WLAN.

 Autentificación de una LAN inalámbrica

Hay varias formas de iniciar la configuración de cuenta para una red LAN inalámbrica; por ejemplo:

 Seleccione Herramientas > Panel de control > Conexiones > Cuentas de Internet y, a continuación, seleccione Cuenta nueva > WLAN en el menú Cuentas de Internet.

 Seleccione Herramientas > Panel de control > Conexiones > WLAN y, a continuación, seleccione Cuenta nueva en el menú WLAN.

 Conéctese a una red para la que no exista una cuenta y se iniciará la configuración automáticamente.

El menú WLAN, mencionado anteriormente, también es donde se encuentra la dirección MAC del teléfono. La configuración de cuenta incluye una serie de pasos, que se describen a continuación.

Primer paso: información básica

La primera pantalla de configuración define información básica para la cuenta:

 Nombre de cuenta: introduzca un nombre para la cuenta.

 Nombre de red (SSID): a menos que la red ya esté rellenada, introduzca un SSID o seleccione para explorar redes y seleccionar una de ellas.

 Autenticación: elija un modo de autenticación.

 Modo de red: al conectar a un punto de acceso inalámbrico, seleccione Infraestructura.

 Canal ad hoc: sólo para el modo de red Ad hoc, cuando un teléfono se conecta directamente a otro dispositivo.

Segundo paso: autenticación y cifrado

El siguiente paso depende del modo de autenticación seleccionado en el paso anterior. Determinados modos requieren la definición de parámetros adicionales para cifrado y autenticación.

Tercer paso: configuración de la configuración y cambio de los ajustes avanzados

En la última pantalla confirme los ajustes. Si es necesario, utilice el menú Configuración WLAN para ver y editar, por ejemplo, la dirección IP del teléfono y las direcciones DNS. Seleccione Avanzado en el mismo menú para activar el ahorro de energía y cambiar el valor de umbral RTS. Se recomienda activar el ahorro de energía, pero en determinada ocasiones el punto de acceso a red LAN inalámbrica disponible requiere que esté desactivado para garantizar un rendimiento fiable.

Sugerencia: estos ajustes avanzados están disponibles durante todo el proceso de configuración, no sólo desde esta pantalla.

o Edición de una cuenta de red LAN inalámbrica

Para modificar una cuenta de red LAN inalámbrica existente, seleccione Herramientas > Panel

...