REDES INALÁMBRICAS: IMPLEMENTACIÓN EXITOSA DE REDES WIRELESS - BUSINESS CASE (Primera Parte) - Septiembre 2003

Antoni Roure aroure@uoc.edu

La Universitat Oberta de Catalunya fue creada en 1995 por iniciativa del Gobierno de la Generalitat de Catalunya y se integra en el sistema universitario de financiación pública de Catalunya bajo una fórmula jurídica de derecho privado: la Fundación para la Universitat Oberta de Catalunya (FUOC). Conjuntamente con el Grupo Planeta (grupo editorial español) la UOC mantiene una fuerte proyección en España y en América Latina con la oferta de sus estudios en español. leer más sobre la UOC , sus cursos y carreras de grado y posgrado y su modelo educativo...

Redes Inalámbricas: Business Case sobre el Diseño de una Red Wireless / WIFI implementando las Mejores Prácticas de Seguridad Informática para WIFI

Diseño de una Red Inalámbrica WIFI - Introducción

Ramon Bayán rbayan@uoc.edu

Hoy en día estamos viviendo una evolución  acelerada de las tecnologías inalámbricas -WIRELESS con el fin de facilitar la movilidad manteniendo la conectividad a la red. En este sentido la “Universitat Oberta de Catalunya” el mes de Octubre pasado decidió iniciar un proyecto para dotar a sus centros de gestión de conexión por wireless con el objetivo de mejorar la flexibilidad de la red y aumentar la productividad de su personal.  La universidad apostó en dicho momento por utilizar dicha tecnología para ofrecer servicios de conexión a la red  alámbrica en determinadas situaciones o ubicaciones donde dicha solución no daba una respuesta satisfactoria.

La tipología de usuario final define las características de la red wireless  

El servicio wireless de la UOC permite la conectividad a la red por un lado del personal externo a la universidad que nos visita puntualmente  y por otro lado al personal de gestión de la propia Universidad, que por diversos motivos hace uso frecuente de un mismo portátil como estación de trabajo permanente o bien aquel personal que  se desplaza por las diferentes ubicaciones de la universidad ya sea para mantener una reunión, etc..., y necesita conexión a la intranet de la Universidad.

En respuesta a estos dos perfiles de usuarios, se decidió montar una doble infraestructura tanto de red inalámbrica como alámbrica para suministrar los servicios demandados por cada uno de los perfiles sin comprometer la seguridad en ninguno de los casos.

Actualmente los espacios de la Universidad en donde está operativo cada uno de los dos perfiles definidos, están oportunamente indicados.

El perfil externo permite acceder a Internet para navegar o leer el correo electrónico... o navegar por el campus virtual de la universidad y esta pensado para personas que nos visitan puntualmente con motivo de una reunión, conferencia o visita.

El acceso a la red wireless es inmediato por parte del usuario ya que no se requiere de autenticación alguna aunque sí sé requiere del uso de la clave WEP de 40 bits  que esté vigente en cada momento y que se le suministrará a la entrada, en la recepción.

El objetivo es facilitar el acceso a la red mediante el broadcast del identificador de la red wireless y utilizando el método “open authentication” para asociarse al punto de acceso pero evitando, mediante el uso de la clave WEP que cualquiera pueda hacer uso de dicha conexión para navegar por internet ubicándose en el exterior de los edificios, a la vez que se suministra un mínimo de confidencialidad a la navegación de dichos usuarios.

Las ubicaciones físicas que a día de hoy dan servicio al perfil externo son básicamente dos: la recepción, salas de reuniones y la biblioteca.

Otras de las situaciones para la cual, el cableado tradicional no ofrecía una buena respuesta, son las ferias o eventos puntuales en los que hay que dotar de infraestructura de red para acceder a internet de forma rápida, barata y flexible a una pequeña red de ordenadores. En este caso el uso de la tecnología wireless es perfecta puesto que abarata enormemente los costes de instalación a la vez que mejora la movilidad del personal de la universidad, reduce el tiempo de entrada en servicio de la instalación y mejora la imagen.

El perfil interno, que permite acceso  a la intranet a la vez que a internet, consta de una cobertura mayor que incluye  todas las salas de reuniones, la sala de formación y todo el edificio principal de la Universidad así como parte de otras dependencias. Como hemos mencionado anteriormente este perfil permite trabajar con todas las aplicaciones tal y como se realiza des del punto de trabajo conectado a la red física.

El montaje para dicho perfil consta de dos infraestructuras separadas.

Una infraestructura radio basada en el protocolo 802.11b y en 802.1X/EAP-TTLS y otra segunda infraestructura física de red que interconecta los puntos de acceso wireless a la intranet.

Esta segunda infraestructura consta de medidas complementarias de seguridad, como son estructuración en vlans, direccionamiento privado, firewall, access-list... y que permiten extender la seguridad dentro del entorno de red física.

El acceso a la red para los usuarios de este perfil es totalmente transparente, puesto que tras la correspondiente instalación del cliente Odyssey en el portátil y una vez configurado, la autenticación del usuario para acceder a la red wireless reutiliza el usuario y contraseña de windows utilizado para entrar en el dominio de red windows.

El proceso de transferencia de credenciales es totalmente seguro.

Requisitos considerados durante la fase de análisis (Octubre 2002)

En el ámbito de seguridad se estudiaron las siguientes alternativas: WEP, establecimiento de VPNs basadas en Ipsec y finalmente soluciones basadas en  802.1X/EAP. De estas distintas alternativas se valoraron los siguientes puntos: la robustez y confidencialidad del proceso de autenticación,  la centralización del proceso de autenticación, la integración con las bases de datos de Windows NT y Active directory, la robustez de la encriptación, la capacidad de evitar la suplantación de puntos de accesos a red y sobretodo que la solución estuviese basada en estándares.

A sí mismo, dicho análisis incluyo aspectos  funcionales como que la solución adoptada fuese lo más transparente posible para el usuario final así como compatible con el sistema operativo de usuario windows 98 utilizado en aquel momento y también con el sistema windows XP al que hemos migrado recientemente. También aspectos operativos como que se pudiese realizar una administración y mantenimiento centralizado de usuarios integrado con las bases de datos existentes y futuras y que la solución fuese fácilmente escalable para poder ser utilizada por un número creciente de usuarios.

A tal efecto en el laboratorio se validó toda la solución escogida montando una maqueta donde se reprodujo a pequeña escala una red wireless completa para dar servicio al perfil interno.

Todos estos requisitos a día de hoy continúan siendo totalmente válidos.

Previamente al análisis sobre los diferentes productos wireless se realizó un filtrado de marcas tras el cual se escogieron las soluciones de Enterasys ,Cisco y Avaya, puesto que ofrecían las soluciones más potentes y completas  disponibles en el mercado Español a fecha de dicho estudio.

Se tuvieron en cuenta los siguientes puntos:  capacidad para evolucionar hacia futuros estándares wireless en aquel momento en elaboración (802.11g ...), la capacidad de disponer de varios canales radio por equipo, la sensibilidad de los equipos, relación prestaciones/precio, que fuesen equipos Wi-Fi, la integración de la solución wireless con la red cableada de datos, evolución del producto, nuevas funcionalidades previstas de ser incorporadas, que la administración de estos pudiese realizarse remotamente, la calidad del soporte técnico ofrecido, gama de accesorios... adicionalmente, a través de una maqueta, se realizaron pruebas de campo para determinar el throughput efectivo de los distintos equipos sometidos a test. 

Y finalmente se validó la compatibilidad de la solución de Funk Software para securizar las comunicaciones con cada uno de los productos sometidos a test, con un resultado satisfactorio gracias a que todos ellos soportan el estándar 802.1X

Resultados del análisis de Seguridad

A continuación figuran las ventajas y desventajas para cada una de las posibles soluciones barajadas para proteger las comunicaciones wireless:

a)  Solución basada en el uso de claves WEP (Wired Equivalent Privacy) para autenticar y encriptar dichas comunicaciones.

Ventajas: 

• Solución estándar incorporada por todos los fabricantes de productos Wi-Fi.

• No necesita de software cliente adicional.

• Encriptación con claves de 40 o 104 bits.

¿Quieres aprender mucho más sobre REDES INALÁMBRICAS WIFI? ¡ASÍ NOOOOO!

Capacitación "In-Company"

Cursos especiales para Universidades

Consúltanos YA !!!

Desventajas

• Dicha encriptación es poco robusta, sobretodo cuando la clave se utiliza de forma estática.

• Todos los usuarios así como los puntos de acceso de una misma red wireless utilizan la misma clave WEP. Así pues, la pérdida o robo de una estación cliente fuerza al cambio de clave en todos los dispositivos de la red.

• La clave WEP utilizada puede ser descifrada fácilmente tras varias horas de recopilación de información encriptada con una misma clave WEP, como resultado de la  reutilización del vector de inicialización.

• La clave WEP se guarda en Windows en un registro que se puede copiar a otra computadora.

• El usuario tiene dos métodos para autenticarse dentro de la red wireless, el “Open Authentication” y el “Shared Key Authentication”, aunque ninguno de ellos permite identificar al usuario final de forma unipersonal y fiable. De hecho el primer método se basa en dejar acceder a la red a cualquier usuario y el segundo, a pesar de requerir la utilización de la clave WEP correcta por parte del usuario final, le facilita al hacker el poder descifrarla.

• Finalmente determinados equipos combinan el uso de la encriptación por WEP con un control de los usuarios por dirección hardware. Dicho control a pesar de ser más exhaustivo y recomendable en ciertos casos, es poco fiable puesto que dicha dirección puede ser interceptada y suplantada a posteriori, además de requerir una administración bastante engorrosa.

De todas formas, hay varias recomendaciones para cualquiera que desee implantar una red wireless con un mínimo de seguridad utilizando este método:

• Asignar un identificador de red wireless, SSID, nuevo.

• Deshabilitar el broadcast de dicho identificador. Así evitaremos que cualquiera que no sepa el nombre de dicha red wireless pueda asociarse a esta.

• Utilizar el método de autenticación Abierto.  Para evitar facilitar al hacker el descifrar la clave WEP durante el proceso de autenticación.

• Filtrar por MAC si deseamos tener controlado el acceso a la red.

• Encriptar utilizando una clave WEP de 104 o 40 bits. De esta manera a la vez que protegemos mínimamente la información, únicamente aquellos usuarios que sepan dicha clave podrán transmitir y recibir información por la red.

b) Otra alternativa se basaba en el establecimiento de túneles seguros, más conocidos como “Virtual Private Networks  o VPNs”,  entre el usuario wireless y el  servidor de túneles ubicado tras el punto de acceso a la red cableada, o bien integrado en dicho punto de acceso.

Ventajas

• Es la solución más segura a la hora de proteger la información que se transmite frente a posible intrusos que deseen descifrar la información transmitida...

Aquí tenemos 2 aspectos a considerar: el establecimiento del túnel y la encriptación de la información. Hay varias modalidades para autenticar a los socios del túnel y diferentes tipos de túneles según el nivel OSI en que trabajen. Por otro lado la información que se transmite puede encriptarse utilizando, por ejemplo, el protocolo IPSEC que permite diferentes algoritmos de cifrado, DES o 3DES con diferentes grados de robustez.

• El protocolo para la encriptación de la información puede ser IPSEC, que  es un estándar abierto, lo que permite la compatibilidad con muchos productos.

• Aquí si se puede realizar una  autenticación  unipersonal y fiable.

Desventajas 

• Se requiere de  hardware adicional para poder establecer los túneles. Es   decir, un equipo o servidor de túneles.

• No es una solución tan fácilmente escalable como la basada en 802.1X/EAP que veremos a continuación, puesto que normalmente  hay limitaciones en cuanto al número de túneles que se pueden establecer simultáneamente o bien por ancho de banda utilizado.

• No es una solución totalmente transparente para el usuario final.

• La encriptación se realiza por software en los clientes, lo que podría ralentizar las comunicaciones.

• Implica encapsular, toda la información transmitida, con un “overhead” adicional.

• En principio, es una solución más compleja de poner en marcha y de mantener.

• No soporta multicast.

c) Finalmente se valoró la opción de utilizar  una solución basada en el protocolo 802.1x/EAP

Ventajas

• 802.1x es un protocolo estándar. 

• Esta solución tiene un coste en cuanto a inversión inicial bajo, puesto que solo requiere de un servidor Radius del cual muchas organizaciones ya disponen ( Steel-Belted Radius o Radius de microsoft incluido en la plataforma Windows 2000 Server) y clientes 802.1x ( Ej: Windows XP).

• (NEW) La reciente especificación WPA,” Wi-Fi Protected Access” se basa en la recopilación de estándares y de mejoras en seguridad interoperables que incrementan el nivel de protección de los datos y el control de acceso a la red inalámbrica Wi-Fi. WPA ha sido diseñado para ser compatible con el futuro estándar IEEE 802.11i.  Dicha especificación utiliza el protocolo TKIP (Temporary Key Intergrity) así como el protocolo 802.1x/EAP para autenticar al usuario.

• No hay impacto sobre el rendimiento puesto que no hay encapsulación.

• Este protocolo lo están incorporando todos los principales fabricantes de equipos para redes tanto en sus equipos wireless como para sus soluciones para redes cableadas. Así pues, ello permite unificar el método de autenticación de los usuarios en toda la red, tanto wireless como cableada.

• Gestiona el intercambio de credenciales para la autenticación.

• Permite la autenticación por usuario.

• Permite la autenticación mutua entre el cliente y el servidor de validación Radius.

• Permite la reautenticación de forma periódica.

• Gestiona el intercambio de llaves para la encriptación. En nuestro caso llaves  WEP de 40 o 104 bits.

• Permite la renovación periódica de las llaves WEP.

• 802.1X es un protocolo que no concreta ningún protocolo específico para la encriptación, y por consiguiente está abierto a cualquiera de los protocolos actuales como  WEP, DES o AES.

• Como plataforma para la autenticación de los usuarios finales, 802.1x utiliza el protocolo abierto EAP, que a su vez permitirá la incorporación de nuevos protocolos que sumar a los hoy en día ya existentes como EAP-TTLS,EAP-TLS, LEAP, PEAP ...

• Permite la centralización de todo el proceso de validación de usuarios sobre un único servidor Radius, lo que a su vez permite añadir funcionalidades de autorización y accounting.

• Si por algún motivo se desea aumentar el grado de confidencialidad, dicha solución podría tunelizarse.

 Desventajas  

• Actualmente las llaves de encriptación son WEP con las vulnerabilidades ya conocidas de dicho sistema de encriptación.

• Dicha solución solo se puede implantar sobre un parque de equipos con determinados sistemas operativos que soporten 802.1x como por ejemplo Windows XP.

Soluciones a dichas desventajas:  

• Precisamente por ser conocidas las vulnerabilidades de WEP, tenemos que: Con el cambio frecuente y periódico de la clave de encriptación unipersonal minimizamos prácticamente los riesgos asociados al uso compartido y estático de las claves, tal y como se define en el estándar 802.11b.  

• En cuanto al otro punto conflictivo, la solución de Funk Software lo soluciona puesto que su cliente Odyssey está soportado por sistemas operativos que por defecto no soportan 802.1x, por ejemplo Windows 98/98SE

Conclusines del análisis de seguridad: (Noviembre 2002)

El  sistema de autenticación y encriptación escogido por la UOC para proteger las comunicaciones wireless utiliza una solución construida sobre el estándar 802.1x. 

Tal y como hemos mencionado anteriormente, el estándar 802.1x utiliza la plataforma de protocolos de autenticación EAP para validar los usuarios. Dentro del abanico de protocolos EAP existentes hoy en día  la UOC ha escogido el EAP-TTLS, que a pesar de ser hoy en día propietario y requerir de licencias de usuario, ofrecía la solución más segura a nivel de intercambio seguro de credenciales, protección  de las credenciales y, sobretodo,  simplificación a la hora de gestionar la solución.

A continuación se muestra una tabla comparativa de las características principales de los diferentes protocolos EAP.

Novedades en seguridad inalámbrica a corto y medio plazo (Noviembre 2002 )

(NEW) En cuanto a seguridad se trata, el IEEE, en espera del nuevo estándar  IEEE 802.11i que se está elaborando, ha elaborado conjuntamente con Wi-Fi la especificación WPA, “ Wi-Fi Protected Access”.

Dicha especificación se basa en la recopilación de estándares y mejoras en seguridad ínteroperables que incrementan el nivel de protección de los datos y el control de acceso a la red inalámbrica Wi-Fi. WPA ha sido diseñado para ser compatible con el futuro estándar IEEE 802.11i. Dicha especificación utiliza el protocolo TKIP (Temporay Key Intergrity) así como el protocolo 802.1x/EAP para autenticar al usuario.

Paralelamente se trabaja para disponer de algoritmos de encriptación mucho más robustos basados en AES “Advanced Encryption Standard”, aunque con el inconveniente de que requieren  un coprocesador lo que dificultaría su implantación.

Así mismo, Windows en colaboración con otros fabricantes como Cisco, han desarrollado el Protected EAP Protocol (PEAP),  de características y prestaciones muy similares al EAP-TTLS, y que los dispositivos con sistema operativo Windows XP podrán incorporar próximamente a través de un “service pack”.

También se estaba trabajando en una modificación del 802.1x para que el proceso de autenticación e intercambio de claves fuese anterior a la asociación  con la estación base y por lo tanto anterior al intercambio  de las tramas de negociación. De esta manera se protege el punto de acceso frente a diversos tipos de ataques de denegación de servicio y se acelera el proceso de roaming.

En cuanto al roaming entre puntos de acceso wireless, se esperan futuras mejoras,  cuando por ejemplo se utiliza autenticación por 802.1x/EAP, puesto que actualmente dicho proceso  es lento debido a la necesidad de autenticarse de nuevo al cambiar de punto de acceso wireless, y de renegociar una nueva clave de sesión. Así mismo, también mejoras en cuanto a  mantener la dirección ip durante dicho proceso de roaming.

Resultados del análisis sobre productos Wireless  (Noviembre 2002)

Para ello se elaboró la siguiente tabla comparativa. 

Conclusión del análisis de productos. (Noviembre 2002)

Se escogió la solución basada en Enterasys por varios motivos:

1. En aquellos momentos era el único producto que aseguraba poder usar dos slots trabajando con una combinación de cualquiera de las tecnologías emergentes en el mercado cambiando la pcmcia wireless en el punto de acceso.

2. Rendimiento radio suficiente para nuestras necesidades, puesto que el acceso esta básicamente restringido a un número limitado y controlado de usuarios.

3. Gama de producto que permitía cubrir los requisitos de los distintos perfiles de la universidad ( interno, externo y para montajes eventuales).

4. Integración total de las prestaciones de la gama de productos Wireless con los equipos de la red cableada a fin de mejorar la seguridad en su conjunto a través de la creación de una red personalizada “UPN”.

5. Se requerían dos slots radio 802.11b  en un mismo punto de acceso para permitir el acceso a la red a clientes windows 98 trabajando dentro de un dominio de Windows NT. Esto era solo posible con el equipo de Enterasys.

Novedades en capacidad y prestaciones de red inalámbrica a corto y medio plazo (Noviembre 2002 )

(NEW) 802.11g es oficial y el consorcio Wi-Fi empezará a realizar pruebas de interoperabilidad entre productos durante este verano. Dicho estándar utiliza tecnología wireless que permite trabajar a 54Mbps pero manteniendo la compatibilidad con la tecnología actual del estándar 802.11b, puesto que ambas utilizan la misma banda de frecuencias a 2,4 Ghz. Sin embargo, 802.11g extiende la capa física de 802.11b des de los 11 Mbps usando modulación DSSS a los 54 Mbps que se obtienen usando modulación OFDM.

De todos modos, esta velocidad de transferencia se reduce hasta una velocidad efectiva de  más o menos la mitad tras eliminar las cabeceras...

Así mismo, en otros países como Estados Unidos, la disponibilidad de la banda libre para uso público de servicios Wireless LAN en los 5GHz ha permitido la proliferación de equipos Wi-Fi que operan en dicha banda bajo las especificaciones del estándar 802.11a. Dicho estándar ya permite trabajar actualmente a 54 Mbps  aunque los radios de cobertura son más pequeños que para el caso de trabajar a 2,4 Ghz.

En España, sin embargo, no está permitido el uso de dicha tecnología puesto que el uso de esta banda está reservado, por lo cual la aprobación del nuevo estándar a 2,4 Ghz resulta de especial interés en países como el nuestro.

	Web virusprot.com

BUSINESS CASE, IMPLEMENTACIÓN EXITOSA DE REDES WIRELESS (2) - continuar leyendo