If you can't read please download the document
Upload
yuli2889
View
18
Download
1
Embed Size (px)
Citation preview
PONTIFICIA UNIVERSIDAD CATLICA DEL PER
FACULTAD DE CIENCIAS E INGENIERA Seccin de Electricidad y Electrnica
DISEO DE UNA RED LOCAL INALMBRICA UTILIZANDO UN
SISTEMA DE SEGURIDAD BASADO EN LOS PROTOCOLOS
WPA Y 802.1X PARA UN COMPLEJO HOTELERO
Tesis para optar el ttulo de Ingeniero Electrnico
Presentado por:
Ilich Hernn Liza Hernndez
Lima - PER 2007
2
Resumen
Las Redes Inalmbricas de rea Local pueden definirse como una red de
computadoras en un rea geogrfica limitada que utiliza la tecnologa de
radiofrecuencia para transmitir datos. Este tipo de red est siendo implementada en
numerosos lugares para poder ofrecer conexin hacia Internet, debido a sus
numerosas ventajas entre las que se encuentran movilidad del usuario, facilidad y
velocidad de desarrollo, flexibilidad, costo.
El uso del aire como medio de transmisin en lugar de cables, ha revolucionado las
redes de computadoras hoy en da, principalmente en lugares donde el tendido de
cables es bastante difcil o no est permitido porque no contribuye con la esttica del
ambiente. Por estas razones la eleccin de una Red Inalmbrica es mayormente
preferida en Hoteles, Aeropuertos o edificios antiguos.
Las Redes Inalmbricas corresponden a una tecnologa emergente y por esto no estn
exentos de problemas. Uno de los principales problemas que tiene que afrontar una
Red Inalmbrica es la seguridad de la informacin que se transmite, al no contar con
un medio guiado como el cable, los paquetes de informacin viajan libremente por el
aire, por lo cual usuarios no autorizados de la red pueden obtener dicha informacin y
tambin acceder a la misma para obtener los beneficios sin restriccin.
El presente documento se centra en el Diseo de una Red Inalmbrica de rea Local
para un Complejo Hotelero, el cual cuenta con una Red Inalmbrica ya instalada, la
cual no logra brindar cobertura a todas las instalaciones del Hotel y no cuenta con
ningn nivel de seguridad de red. Por lo cual se propone un diseo para la ampliacin
de la Red Inalmbrica y una solucin segura para la red, en base de un protocolo de
encriptacin de informacin y un mtodo de autenticacin de usuarios, de esta forma
solo las personas autorizadas podrn tener acceso a la Red Inalmbrica y su
informacin se ver protegida de posibles intrusos.
El siguiente documento se encuentra dividido en 4 captulos, donde el primero de ellos
se centra en el anlisis de los problemas de la red Inalmbrica en estudio y adems
los problemas de seguridad de las redes inalmbricas en general.
El segundo captulo corresponde a las tecnologas de diseo para las redes
inalmbricas, as como los distintos sistemas de seguridad que se pueden
implementar.
El tercer captulo consiste en el diseo propiamente dicho de la Red Inalmbrica para
el Complejo Hotelero y el sistema de seguridad para la misma red.
3
El cuarto captulo trata de las pruebas realizadas del sistema de seguridad propuesto
en una red de laboratorio. As tambin se detalla el presupuesto de la solucin final a
implementar.
En el final del documento se encuentran las conclusiones de todo el documento, as
como tambin las recomendaciones para futuros proyectos.
4
5
11
CAPTULO 1: ANLISIS DE LA RED INALMBRICA ACTUAL Y LOS SISTEMAS DE SEGURIDAD 1.1 Estado actual de las Redes Inalmbricas En un periodo muy corto, las Redes Inalmbricas de rea Local se han convertido en
una alternativa para la conexin a Internet, tanto en lugares empresariales como en
oficinas, centros de cmputo y residencias; convirtindose no slo en un complemento
a las redes cableadas tipo Ethernet, sino tambin en una alternativa para su
reemplazo.
Entre las ventajas ms sobresalientes de usar redes de este tipo podemos mencionar
la facilidad y rapidez de su instalacin, la movilidad del usuario con equipo porttil, la
Red Inalmbrica puede llegar a lugares donde el cableado sea quizs inaccesible. Por
estas razones, se convierte en una implementacin ms simple debido a que se evita
el cableado; adquiere una sencillez para aadir usuarios al sistema sin necesidad de
instalar un punto adicional de conexin, como es el caso de las redes cableadas.
Sin embargo se debe considerar algunas desventajas de la red inalmbrica, entre las
cuales se encuentran la relativa velocidad limitada, entre 1 a 54 Mbps y la inseguridad
en las redes inalmbricas.
La desventaja ms saltante en las Redes Inalmbricas de rea Local hoy en da es la
poca seguridad con la que se disean las mismas, pues es bastante sencillo como
personas no autorizadas pueden acceder a Redes Inalmbricas con pocas medidas de
seguridad, dando posibilidad a que estas personas accedan a nuestra informacin.
Pero gracias al resultado del gran esfuerzo por mejorar la seguridad e inalterabilidad
de los paquetes de informacin, nuevos protocolos y mtodos de proteccin han ido
sucedindose, comenzando con la restriccin de direcciones MAC (Media Access
Control), el protocolo WEP (Wired Equivalent Privacy), el mtodo de autenticacin
LEAP usado por la marca CISCO, y por ltimo una mezcla de estndares y protocolos
que involucra encriptacin, autenticacin y corresponde uno de los mtodos ms
seguros en la actualidad: WPA (Wi-Fi Protected Access) y el uso de un servidor
RADIUS para autenticacin de usuarios.
Es debido a las ventajas de implementacin de una Red Inalmbrica que los hoteles
consideran ms conveniente su eleccin que una red cableada Ethernet, lo cual
favorece tambin en la conservacin de la esttica y acabado, pues se evita el paso
de canaletas y cableado innecesario; favoreciendo de esta manera a los huspedes,
que en viajes de recreacin cuentan con un equipo porttil para el uso de Internet a
travs de una Red Inalmbrica.
1.2 Importancia de las redes inalmbricas en la actualidad El amplio uso de las redes inalmbricas ha ido creciendo vertiginosamente en la
actualidad. Segn datos estadsticos proporcionados por la compaa consultora In-
Stat/MDR [5], los equipos hardware para redes inalmbricas de tipo 802.11 crecieron
para el ao 2006, sobrepasando los 40 millones de unidades (Ver figura 1), y su precio
ir disminuyendo considerablemente en la medida de que se sigan utilizando como
alternativa para implementacin de redes.
Comentario [ihlh1]: SE AGREGO FUENTE BIBLIOGRAFICA Y SE MEJORO LA REDACCIN
Las redes inalmbricas actualmente se encuentran instaladas en distintos lugares,
incluso se prefiere en compaas grandes, como complemento a sus redes tipo
Ethernet. Una de las ms importantes razones del crecimiento de redes inalmbricas,
es el mercado sorprendente de equipos inalmbricos como laptop, PDA, tarjetas
inalmbricas para computadoras, celulares con conexin wi-fi, entre muchos otros.
12
Figura 1: Crecimiento de las Redes Inalmbricas de rea Local
http://www.instat.com
1.3 Inseguridad en redes inalmbricas
En gran parte de los casos en implementaciones inalmbricas, el intruso no tiene
mucho que hacer para poder vencer las distintas barreras para ingresar a una red
inalmbrica.
En un evento internacional llamado DefCon [5], mostr en el ao 2002 un anlisis de
las Redes inalmbricas, donde solo el 29.8% de 580 Puntos de Acceso tena
habilitado el protocolo WEP como seguridad, 19.3 por ciento posea el valor
predeterminado del SSID y un 18.6 por ciento no posean ningn tipo de seguridad.
Muchas de las redes las cuales fueron analizadas no solo eran redes de casa, tambin
existan redes gubernamentales o redes de grandes compaas.
13
Segn el reciente estudio de la compaa investigadora Computer Economics [4]
realizado el ao 2006, revela cuantas organizaciones descuidan el aspecto de
seguridad en sus redes inalmbricas. Como se puede apreciar en la figura 2, 39% de
las compaas confa en el protocolo WEP como medida de seguridad en redes
inalmbricas, un 27% se encuentra en proceso por recin colocar esta medida de
seguridad e increblemente ms de la tercera parte de las redes inalmbricas no
cuentan con ninguna medida de seguridad.
Comentario [ihlh2]: SE AGREGO FUENTE BIBLIOGRFICA Y SE AGREGO DATOS ESTADSTICOS
Del mismo modo segn se aprecia en la figura 3, para el estndar de seguridad WPA,
solo el 42% de las redes inalmbricas funcionan bajo este protocolo.
Figura 2: Cuadro estadstico del uso del protocolo WEP
Fuente: Computer Economics
Figura 3: Cuadro estadstico del uso del protocolo WPA
Fuente: Computer Economics
14
1.3.1 Tres pilares de la Seguridad Uno de los mayores problemas en seguridad inalmbrica es el desconocimiento de las
vulnerabilidades de la red o la aplicacin de mtodos ineficaces para protegerla; gran
parte de las redes inalmbricas no poseen ningn nivel de seguridad, o implementan
mtodos inseguros como lo son el protocolo WEP, esconder el SSID, filtro de
direcciones MAC.
Segn lo seala Aaron E. Earle en su libro Wireless Security HandBook [14], cuando
hablamos de seguridad en redes inalmbricas, no estamos refiriendo a tres grandes
pilares: confidencialidad, disponibilidad e integridad. Entender los tres pilares de
seguridad para redes inalmbricas, nos ayuda a entender que es lo que queremos
proteger y porque.
Confidencialidad
Los ataques en la confidencialidad de informacin se relacionan con el hurto o la
revisin sin autorizacin de datos. Esto se puede realizar de varias maneras, ya sea
mediante la intercepcin de informacin mientras esta se encontraba en comunicacin
o simplemente mediante el robo del equipo donde se encuentra la informacin.
Ataques a la confidencialidad en redes inalmbricas, se encuentra en el simple hecho
de analizar las seales transmitidas a travs del aire. El uso de encriptacin combate
este tipo de ataques, pues esto consiste en un lenguaje solamente entendido por el
remitente y el destinatario.
Disponibilidad
Disponibilidad consiste en permitir solamente a los usuarios autorizados en poder
acceder a su informacin, no est dems decir, luego de un proceso de autenticacin
de usuarios. Este proceso de autenticacin de usuarios, permitir el ingreso e
intercambio de informacin a los usuarios autorizados a acceder a la red inalmbrica,
luego de presentar ciertas credenciales digitales de su persona. De otra manera,
siempre se denegar el ingreso a la red.
Integridad
Integridad involucra la modificacin inautorizada de la informacin. Este puede
significar la modificacin de la informacin mientras se encuentra en comunicacin o
mientras se almacena en el dispositivo electrnico. Para proteger la integridad de la
informacin de los usuarios, uno debe emplear un proceso de validacin de paquetes
de informacin.
Comentario [ihlh3]: NUEVO ITEM, AGREGUE ESTE NUEVO TEMA DENTRO DEL CAPITULO 1.
Comentario [ihlh4]: SE AGREGA FUENTE BIBLIOGRFICA
15
1.3.2 Mltiples ataques a una red inalmbrica Los ataques a una Red Inalmbrica son de distinto tipo, pero todos se basan en
aprovechar la comunicacin a travs del aire de los puntos de acceso, en donde las
tramas de informacin no solo llegan al usuario que las requiere sino a todos los
usuarios que se encuentran en el rea de cobertura. Esto es posible debido a que el
medio de comunicacin es el aire y mediante una tarjeta inalmbrica se pueden
realizar distintos tipos de ataques dependiendo de las barreras que presenta la red a
atacar.
Existen distintos tipos de ataques que se pueden realizar a una Red Inalmbrica, entre
los cuales se tiene:
- Ataque de tipo Man-in-the-Middle
- Ataque de tipo Denial of Service
- Rogue AP
- Wireless bridge
- Spoofing
- Programas Sniffer
Debido al amplio uso de Internet, el software especializado Sniffer para la captura y
anlisis de tramas de redes inalmbricas se encuentra al alcance de todos,
generalmente este software es utilizado para gestionar la red y optimizarla, pero
tambin es utilizado con fines maliciosos, uno de esos objetivos es poder romper
llaves de protocoloes e ingresar a una red protegida por protocolo WEP por ejemplo.
Otro tipo de software muy usado son los programas Spoofing, los cuales sirven para
cambiar la identidad del usuario, como IP, ARP, DNS o direccin fsica MAC; mediante
este tipo de ataque, se puede ingresar a distintas redes las cuales se basen en un filtro
de direcciones MAC.
1.4 Declaracin del Marco Problemtico
En nuestros das, la instalacin de una Red Local Inalmbrica de rea Local se va
haciendo cada da ms comn, ya sea para el sector residencial, como para el sector
corporativo; debido a su facilidad de instalacin y comodidad de precios (no necesita
cableado UTP), es entonces que se enfrenta, ante un problemas de gran importancia:
La seguridad de la informacin.
Las redes inalmbricas requieren nuevos conceptos de seguridad que se obvian en las
redes cableadas; la razn de esto, es por la sencilla razn que para las redes
inalmbricas, el medio de transmisin es distinto: es el aire. Cualquier persona que
desee tener acceso a una red inalmbrica solo deber encontrarse en la zona de
cobertura del Punto de Acceso.
16
Ante tales problemas, mltiples protocolos y estndares han tratado de brindar los
primeros intentos de seguridad; la mayora de ellos han sido intentos fallidos; como el
uso del protocolo WEP.
Adems existe software dedicado y diseado para aprovechar las debilidades de las
redes inalmbricas, como por ejemplo los programas sniffer, entre ellos tenemos:
AirSnort, AirCrack, Kismet.
Pero gracias al apoyo de la organizacin IEEE y la colaboracin de la asociacin Wi-
Fi Alliance, por tratar de generar nuevos estndares ms comprometidos con el tema
de seguridad, nuevos estndares como WPA y 802.11i han surgido para poder hacer
frente a uno de los mayores problemas de las redes inalmbricas.
Por lo expuesto la presenta tesis desarrolla el diseo de una Red Inalmbrica de rea
Local segura para un Complejo Hotelero, quien actualmente cuenta con una Red
Inalmbrica que no logra cubrir todas las instalaciones y no cuenta con ningn sistema
de seguridad.
1.5 Anlisis de la Estructura del Complejo Hotelero Actualmente el Complejo Hotelero en estudio cuenta con una Red Inalmbrica de rea
Local para el acceso a Internet por parte de los huspedes, sin embargo la red
mencionada no logra brindar cobertura a todas las zonas del complejo por razones de
prdida de potencia de la seal. El Complejo Hotelero se encuentra ubicado frente al
mar, consta de un rea administrativa y dos reas de casas pequeas, conocidas
como bungalows.
El rea administrativa incluye la recepcin, los baos, una torre, la cocina y la sala de
juego; por otro lado las habitaciones se encuentran divididas en 2 reas, un rea
ubicada en el lado derecho y otra hacia el lado izquierdo del hotel; adems cada rea
se encuentra conformada por 3 casas y cada casa cuenta con 2 habitaciones para los
huspedes. Se debe indicar que cada una de las pequeas casas cuenta con una
terraza con vista al mar, lugar donde tambin es requerido el acceso inalmbrico por
parte de los usuarios.
El Complejo Hotelero slo cuenta con una sola planta y la estructura tanto de la parte
administrativa, como de las pequeas cosas est conformada por paredes de
aproximadamente 15 centmetros de espesor. Es importante sealar tambin que el
resto del rea del Complejo Hotelero, incluyendo las piscinas, no se encuentra techado
y el Restaurante se encuentra hecho de madera y solo cuenta con techo, mas no de
paredes.
En la figura 4 se muestra la estructura del Hotel.
17
Figura 4: Estructura del Complejo Hotelero
Este router inalmbrico se encontr funcionando en el canal 6 de radiofrecuencia, el
cual coincida con el mismo canal de configuracin de un Punto de Acceso instalado
en el rea vecina, lo cual generaba cierto grado de interferencia. El diagrama de
Cobertura de la seal se encuentra bosquejado en la figura 6. El Punto de Acceso
sealado con lnea azul es con el que cuenta el Complejo Hotelero, el Punto de
Acceso con lnea roja es el equipo instalado en el rea contigua.
Este router inalmbrico se encontr funcionando en el canal 6 de radiofrecuencia, el
cual coincida con el mismo canal de configuracin de un Punto de Acceso instalado
en el rea vecina, lo cual generaba cierto grado de interferencia. El diagrama de
Cobertura de la seal se encuentra bosquejado en la figura 6. El Punto de Acceso
sealado con lnea azul es con el que cuenta el Complejo Hotelero, el Punto de
Acceso con lnea roja es el equipo instalado en el rea contigua.
El router Zyxel se encuentra conectado a tres computadoras en el rea de recepcin
del Hotel. En la figura 5 se muestra un Diagrama de la Red actual del Complejo.
El router Zyxel se encuentra conectado a tres computadoras en el rea de recepcin
del Hotel. En la figura 5 se muestra un Diagrama de la Red actual del Complejo.
La actual Red implementada en el Complejo Hotelero est formada por un equipo de
Telecomunicaciones para la conexin a Internet, consiste en un router de marca
Zyxel, de modelo Prestige 660HW, el cual es instalado por la compaa que provee
servicio de Internet. Este router posee cuatro puertos RJ45 fastethernet 10/100 Base-
T, para la implementacin de una Red de rea Local cableada y un puerto RJ11 para
la conexin hacia la lnea telefnica para el servicio ADSL. Adems este modelo de
router posee una antena dipolo de 2.5 dbi de ganancia que provee la conectividad
inalmbrica hacia Internet.
La actual Red implementada en el Complejo Hotelero est formada por un equipo de
Telecomunicaciones para la conexin a Internet, consiste en un router de marca
Zyxel, de modelo Prestige 660HW, el cual es instalado por la compaa que provee
servicio de Internet. Este router posee cuatro puertos RJ45 fastethernet 10/100 Base-
T, para la implementacin de una Red de rea Local cableada y un puerto RJ11 para
la conexin hacia la lnea telefnica para el servicio ADSL. Adems este modelo de
router posee una antena dipolo de 2.5 dbi de ganancia que provee la conectividad
inalmbrica hacia Internet.
1.6 Anlisis de la Red Inalmbrica Actual Anlisis de la Red Inalmbrica Actual
Figura 5: Diagrama de la Red Actual del Hotel
Prestige 660HW
18
19
Figura 6: Cobertura de Actuales Puntos de Acceso Comentario [ihlh5]: SE MEJORO EL GRFICO DE
COBERTURA
21
Figura 7: Lugar de Mediciones de Potencia
23
Figura 8: Medicin de Seal a Ruido a 7 metros del equipo Zyxel
25
SNR(dBm) Lado Derecho(m) Lado Izquierdo(m) 55 50 45 40 35 30 25 20 15 10 5 0 5 10 15 20 25 30 35 40 45
7 -92 -91 -89 -88 -85 -87 -84 -77 -70 -58-
48 -55 -53 -
63 -66 -72 -72-
73 -78-
85 -85
17 -90 -86 -84 -78 -75 -70 -68 -64 -58 -63-
70 -63 -70 -
64 -68 -74 -72-
72 -75-
85 -89
27 -85 -82 -72 -81 -80 -85 -64 -78 -73 -73-
76 -69 -74 -
74 -73 -72 -72-
63 -83-
96 -95Di
s
t
a
n
c
i
a
37 -87 -82 -77 -72 -70 -73 -75 -70 -81 -72-
81 -72 -71 -
78 -81 -75 -77-
79 -84-
95 -97
55 50 45 40 35 30 25 20 15 10 5 0 5 10 15 20 25 30 35 40 4530 m
20 m
10 m
0 m
SNR Prestige 660HW
-15-0-30--15-45--30-60--45-75--60-90--75-105--90
SNR (dbm)
Figura 10: Medicin de Seal a Ruido de 7 a 37m del equipo Zyxel
Tabla 1: Medicin de Seal a Ruido de 7 a 37m del equipo Zyxel
51
Figura 24: Disposicin de los Puntos de Acceso Comentario [ihlh21]: SE MEJORO GRFICA DE
COBERTURA
PONTIFICIA UNIVERSIDAD CATLICA DEL PERFACULTAD DE CIENCIAS E INGENIERASeccin de Electricidad y ElectrnicaTesis para optar el ttulo de Ingeniero Electrnico