PONTIFICIA UNIVERSIDAD CATLICA DEL PER

FACULTAD DE CIENCIAS E INGENIERA Seccin de Electricidad y Electrnica

DISEO DE UNA RED LOCAL INALMBRICA UTILIZANDO UN

SISTEMA DE SEGURIDAD BASADO EN LOS PROTOCOLOS

WPA Y 802.1X PARA UN COMPLEJO HOTELERO

Tesis para optar el ttulo de Ingeniero Electrnico

Presentado por:

Ilich Hernn Liza Hernndez

Lima - PER 2007

2

Resumen

Las Redes Inalmbricas de rea Local pueden definirse como una red de

computadoras en un rea geogrfica limitada que utiliza la tecnologa de

radiofrecuencia para transmitir datos. Este tipo de red est siendo implementada en

numerosos lugares para poder ofrecer conexin hacia Internet, debido a sus

numerosas ventajas entre las que se encuentran movilidad del usuario, facilidad y

velocidad de desarrollo, flexibilidad, costo.

El uso del aire como medio de transmisin en lugar de cables, ha revolucionado las

redes de computadoras hoy en da, principalmente en lugares donde el tendido de

cables es bastante difcil o no est permitido porque no contribuye con la esttica del

ambiente. Por estas razones la eleccin de una Red Inalmbrica es mayormente

preferida en Hoteles, Aeropuertos o edificios antiguos.

Las Redes Inalmbricas corresponden a una tecnologa emergente y por esto no estn

exentos de problemas. Uno de los principales problemas que tiene que afrontar una

Red Inalmbrica es la seguridad de la informacin que se transmite, al no contar con

un medio guiado como el cable, los paquetes de informacin viajan libremente por el

aire, por lo cual usuarios no autorizados de la red pueden obtener dicha informacin y

tambin acceder a la misma para obtener los beneficios sin restriccin.

El presente documento se centra en el Diseo de una Red Inalmbrica de rea Local

para un Complejo Hotelero, el cual cuenta con una Red Inalmbrica ya instalada, la

cual no logra brindar cobertura a todas las instalaciones del Hotel y no cuenta con

ningn nivel de seguridad de red. Por lo cual se propone un diseo para la ampliacin

de la Red Inalmbrica y una solucin segura para la red, en base de un protocolo de

encriptacin de informacin y un mtodo de autenticacin de usuarios, de esta forma

solo las personas autorizadas podrn tener acceso a la Red Inalmbrica y su

informacin se ver protegida de posibles intrusos.

El siguiente documento se encuentra dividido en 4 captulos, donde el primero de ellos

se centra en el anlisis de los problemas de la red Inalmbrica en estudio y adems

los problemas de seguridad de las redes inalmbricas en general.

El segundo captulo corresponde a las tecnologas de diseo para las redes

inalmbricas, as como los distintos sistemas de seguridad que se pueden

implementar.

El tercer captulo consiste en el diseo propiamente dicho de la Red Inalmbrica para

el Complejo Hotelero y el sistema de seguridad para la misma red.

3

El cuarto captulo trata de las pruebas realizadas del sistema de seguridad propuesto

en una red de laboratorio. As tambin se detalla el presupuesto de la solucin final a

implementar.

En el final del documento se encuentran las conclusiones de todo el documento, as

como tambin las recomendaciones para futuros proyectos.

4

5

11

CAPTULO 1: ANLISIS DE LA RED INALMBRICA ACTUAL Y LOS SISTEMAS DE SEGURIDAD 1.1 Estado actual de las Redes Inalmbricas En un periodo muy corto, las Redes Inalmbricas de rea Local se han convertido en

una alternativa para la conexin a Internet, tanto en lugares empresariales como en

oficinas, centros de cmputo y residencias; convirtindose no slo en un complemento

a las redes cableadas tipo Ethernet, sino tambin en una alternativa para su

reemplazo.

Entre las ventajas ms sobresalientes de usar redes de este tipo podemos mencionar

la facilidad y rapidez de su instalacin, la movilidad del usuario con equipo porttil, la

Red Inalmbrica puede llegar a lugares donde el cableado sea quizs inaccesible. Por

estas razones, se convierte en una implementacin ms simple debido a que se evita

el cableado; adquiere una sencillez para aadir usuarios al sistema sin necesidad de

instalar un punto adicional de conexin, como es el caso de las redes cableadas.

Sin embargo se debe considerar algunas desventajas de la red inalmbrica, entre las

cuales se encuentran la relativa velocidad limitada, entre 1 a 54 Mbps y la inseguridad

en las redes inalmbricas.

La desventaja ms saltante en las Redes Inalmbricas de rea Local hoy en da es la

poca seguridad con la que se disean las mismas, pues es bastante sencillo como

personas no autorizadas pueden acceder a Redes Inalmbricas con pocas medidas de

seguridad, dando posibilidad a que estas personas accedan a nuestra informacin.

Pero gracias al resultado del gran esfuerzo por mejorar la seguridad e inalterabilidad

de los paquetes de informacin, nuevos protocolos y mtodos de proteccin han ido

sucedindose, comenzando con la restriccin de direcciones MAC (Media Access

Control), el protocolo WEP (Wired Equivalent Privacy), el mtodo de autenticacin

LEAP usado por la marca CISCO, y por ltimo una mezcla de estndares y protocolos

que involucra encriptacin, autenticacin y corresponde uno de los mtodos ms

seguros en la actualidad: WPA (Wi-Fi Protected Access) y el uso de un servidor

RADIUS para autenticacin de usuarios.

Es debido a las ventajas de implementacin de una Red Inalmbrica que los hoteles

consideran ms conveniente su eleccin que una red cableada Ethernet, lo cual

favorece tambin en la conservacin de la esttica y acabado, pues se evita el paso

de canaletas y cableado innecesario; favoreciendo de esta manera a los huspedes,

que en viajes de recreacin cuentan con un equipo porttil para el uso de Internet a

travs de una Red Inalmbrica.

1.2 Importancia de las redes inalmbricas en la actualidad El amplio uso de las redes inalmbricas ha ido creciendo vertiginosamente en la

actualidad. Segn datos estadsticos proporcionados por la compaa consultora In-

Stat/MDR [5], los equipos hardware para redes inalmbricas de tipo 802.11 crecieron

para el ao 2006, sobrepasando los 40 millones de unidades (Ver figura 1), y su precio

ir disminuyendo considerablemente en la medida de que se sigan utilizando como

alternativa para implementacin de redes.

Comentario [ihlh1]: SE AGREGO FUENTE BIBLIOGRAFICA Y SE MEJORO LA REDACCIN

Las redes inalmbricas actualmente se encuentran instaladas en distintos lugares,

incluso se prefiere en compaas grandes, como complemento a sus redes tipo

Ethernet. Una de las ms importantes razones del crecimiento de redes inalmbricas,

es el mercado sorprendente de equipos inalmbricos como laptop, PDA, tarjetas

inalmbricas para computadoras, celulares con conexin wi-fi, entre muchos otros.

12

Figura 1: Crecimiento de las Redes Inalmbricas de rea Local

http://www.instat.com

1.3 Inseguridad en redes inalmbricas

En gran parte de los casos en implementaciones inalmbricas, el intruso no tiene

mucho que hacer para poder vencer las distintas barreras para ingresar a una red

inalmbrica.

En un evento internacional llamado DefCon [5], mostr en el ao 2002 un anlisis de

las Redes inalmbricas, donde solo el 29.8% de 580 Puntos de Acceso tena

habilitado el protocolo WEP como seguridad, 19.3 por ciento posea el valor

predeterminado del SSID y un 18.6 por ciento no posean ningn tipo de seguridad.

Muchas de las redes las cuales fueron analizadas no solo eran redes de casa, tambin

existan redes gubernamentales o redes de grandes compaas.

13

Segn el reciente estudio de la compaa investigadora Computer Economics [4]

realizado el ao 2006, revela cuantas organizaciones descuidan el aspecto de

seguridad en sus redes inalmbricas. Como se puede apreciar en la figura 2, 39% de

las compaas confa en el protocolo WEP como medida de seguridad en redes

inalmbricas, un 27% se encuentra en proceso por recin colocar esta medida de

seguridad e increblemente ms de la tercera parte de las redes inalmbricas no

cuentan con ninguna medida de seguridad.

Comentario [ihlh2]: SE AGREGO FUENTE BIBLIOGRFICA Y SE AGREGO DATOS ESTADSTICOS

Del mismo modo segn se aprecia en la figura 3, para el estndar de seguridad WPA,

solo el 42% de las redes inalmbricas funcionan bajo este protocolo.

Figura 2: Cuadro estadstico del uso del protocolo WEP

Fuente: Computer Economics

Figura 3: Cuadro estadstico del uso del protocolo WPA

Fuente: Computer Economics

14

1.3.1 Tres pilares de la Seguridad Uno de los mayores problemas en seguridad inalmbrica es el desconocimiento de las

vulnerabilidades de la red o la aplicacin de mtodos ineficaces para protegerla; gran

parte de las redes inalmbricas no poseen ningn nivel de seguridad, o implementan

mtodos inseguros como lo son el protocolo WEP, esconder el SSID, filtro de

direcciones MAC.

Segn lo seala Aaron E. Earle en su libro Wireless Security HandBook [14], cuando

hablamos de seguridad en redes inalmbricas, no estamos refiriendo a tres grandes

pilares: confidencialidad, disponibilidad e integridad. Entender los tres pilares de

seguridad para redes inalmbricas, nos ayuda a entender que es lo que queremos

proteger y porque.

Confidencialidad

Los ataques en la confidencialidad de informacin se relacionan con el hurto o la

revisin sin autorizacin de datos. Esto se puede realizar de varias maneras, ya sea

mediante la intercepcin de informacin mientras esta se encontraba en comunicacin

o simplemente mediante el robo del equipo donde se encuentra la informacin.

Ataques a la confidencialidad en redes inalmbricas, se encuentra en el simple hecho

de analizar las seales transmitidas a travs del aire. El uso de encriptacin combate

este tipo de ataques, pues esto consiste en un lenguaje solamente entendido por el

remitente y el destinatario.

Disponibilidad

Disponibilidad consiste en permitir solamente a los usuarios autorizados en poder

acceder a su informacin, no est dems decir, luego de un proceso de autenticacin

de usuarios. Este proceso de autenticacin de usuarios, permitir el ingreso e

intercambio de informacin a los usuarios autorizados a acceder a la red inalmbrica,

luego de presentar ciertas credenciales digitales de su persona. De otra manera,

siempre se denegar el ingreso a la red.

Integridad

Integridad involucra la modificacin inautorizada de la informacin. Este puede

significar la modificacin de la informacin mientras se encuentra en comunicacin o

mientras se almacena en el dispositivo electrnico. Para proteger la integridad de la

informacin de los usuarios, uno debe emplear un proceso de validacin de paquetes

de informacin.

Comentario [ihlh3]: NUEVO ITEM, AGREGUE ESTE NUEVO TEMA DENTRO DEL CAPITULO 1.

Comentario [ihlh4]: SE AGREGA FUENTE BIBLIOGRFICA

15

1.3.2 Mltiples ataques a una red inalmbrica Los ataques a una Red Inalmbrica son de distinto tipo, pero todos se basan en

aprovechar la comunicacin a travs del aire de los puntos de acceso, en donde las

tramas de informacin no solo llegan al usuario que las requiere sino a todos los

usuarios que se encuentran en el rea de cobertura. Esto es posible debido a que el

medio de comunicacin es el aire y mediante una tarjeta inalmbrica se pueden

realizar distintos tipos de ataques dependiendo de las barreras que presenta la red a

atacar.

Existen distintos tipos de ataques que se pueden realizar a una Red Inalmbrica, entre

los cuales se tiene:

- Ataque de tipo Man-in-the-Middle

- Ataque de tipo Denial of Service

- Rogue AP

- Wireless bridge

- Spoofing

- Programas Sniffer

Debido al amplio uso de Internet, el software especializado Sniffer para la captura y

anlisis de tramas de redes inalmbricas se encuentra al alcance de todos,

generalmente este software es utilizado para gestionar la red y optimizarla, pero

tambin es utilizado con fines maliciosos, uno de esos objetivos es poder romper

llaves de protocoloes e ingresar a una red protegida por protocolo WEP por ejemplo.

Otro tipo de software muy usado son los programas Spoofing, los cuales sirven para

cambiar la identidad del usuario, como IP, ARP, DNS o direccin fsica MAC; mediante

este tipo de ataque, se puede ingresar a distintas redes las cuales se basen en un filtro

de direcciones MAC.

1.4 Declaracin del Marco Problemtico

En nuestros das, la instalacin de una Red Local Inalmbrica de rea Local se va

haciendo cada da ms comn, ya sea para el sector residencial, como para el sector

corporativo; debido a su facilidad de instalacin y comodidad de precios (no necesita

cableado UTP), es entonces que se enfrenta, ante un problemas de gran importancia:

La seguridad de la informacin.

Las redes inalmbricas requieren nuevos conceptos de seguridad que se obvian en las

redes cableadas; la razn de esto, es por la sencilla razn que para las redes

inalmbricas, el medio de transmisin es distinto: es el aire. Cualquier persona que

desee tener acceso a una red inalmbrica solo deber encontrarse en la zona de

cobertura del Punto de Acceso.

16

Ante tales problemas, mltiples protocolos y estndares han tratado de brindar los

primeros intentos de seguridad; la mayora de ellos han sido intentos fallidos; como el

uso del protocolo WEP.

Adems existe software dedicado y diseado para aprovechar las debilidades de las

redes inalmbricas, como por ejemplo los programas sniffer, entre ellos tenemos:

AirSnort, AirCrack, Kismet.

Pero gracias al apoyo de la organizacin IEEE y la colaboracin de la asociacin Wi-

Fi Alliance, por tratar de generar nuevos estndares ms comprometidos con el tema

de seguridad, nuevos estndares como WPA y 802.11i han surgido para poder hacer

frente a uno de los mayores problemas de las redes inalmbricas.

Por lo expuesto la presenta tesis desarrolla el diseo de una Red Inalmbrica de rea

Local segura para un Complejo Hotelero, quien actualmente cuenta con una Red

Inalmbrica que no logra cubrir todas las instalaciones y no cuenta con ningn sistema

de seguridad.

1.5 Anlisis de la Estructura del Complejo Hotelero Actualmente el Complejo Hotelero en estudio cuenta con una Red Inalmbrica de rea

Local para el acceso a Internet por parte de los huspedes, sin embargo la red

mencionada no logra brindar cobertura a todas las zonas del complejo por razones de

prdida de potencia de la seal. El Complejo Hotelero se encuentra ubicado frente al

mar, consta de un rea administrativa y dos reas de casas pequeas, conocidas

como bungalows.

El rea administrativa incluye la recepcin, los baos, una torre, la cocina y la sala de

juego; por otro lado las habitaciones se encuentran divididas en 2 reas, un rea

ubicada en el lado derecho y otra hacia el lado izquierdo del hotel; adems cada rea

se encuentra conformada por 3 casas y cada casa cuenta con 2 habitaciones para los

huspedes. Se debe indicar que cada una de las pequeas casas cuenta con una

terraza con vista al mar, lugar donde tambin es requerido el acceso inalmbrico por

parte de los usuarios.

El Complejo Hotelero slo cuenta con una sola planta y la estructura tanto de la parte

administrativa, como de las pequeas cosas est conformada por paredes de

aproximadamente 15 centmetros de espesor. Es importante sealar tambin que el

resto del rea del Complejo Hotelero, incluyendo las piscinas, no se encuentra techado

y el Restaurante se encuentra hecho de madera y solo cuenta con techo, mas no de

paredes.

En la figura 4 se muestra la estructura del Hotel.

17

Figura 4: Estructura del Complejo Hotelero

Este router inalmbrico se encontr funcionando en el canal 6 de radiofrecuencia, el

cual coincida con el mismo canal de configuracin de un Punto de Acceso instalado

en el rea vecina, lo cual generaba cierto grado de interferencia. El diagrama de

Cobertura de la seal se encuentra bosquejado en la figura 6. El Punto de Acceso

sealado con lnea azul es con el que cuenta el Complejo Hotelero, el Punto de

Acceso con lnea roja es el equipo instalado en el rea contigua.

Este router inalmbrico se encontr funcionando en el canal 6 de radiofrecuencia, el

cual coincida con el mismo canal de configuracin de un Punto de Acceso instalado

en el rea vecina, lo cual generaba cierto grado de interferencia. El diagrama de

Cobertura de la seal se encuentra bosquejado en la figura 6. El Punto de Acceso

sealado con lnea azul es con el que cuenta el Complejo Hotelero, el Punto de

Acceso con lnea roja es el equipo instalado en el rea contigua.

El router Zyxel se encuentra conectado a tres computadoras en el rea de recepcin

del Hotel. En la figura 5 se muestra un Diagrama de la Red actual del Complejo.

El router Zyxel se encuentra conectado a tres computadoras en el rea de recepcin

del Hotel. En la figura 5 se muestra un Diagrama de la Red actual del Complejo.

La actual Red implementada en el Complejo Hotelero est formada por un equipo de

Telecomunicaciones para la conexin a Internet, consiste en un router de marca

Zyxel, de modelo Prestige 660HW, el cual es instalado por la compaa que provee

servicio de Internet. Este router posee cuatro puertos RJ45 fastethernet 10/100 Base-

T, para la implementacin de una Red de rea Local cableada y un puerto RJ11 para

la conexin hacia la lnea telefnica para el servicio ADSL. Adems este modelo de

router posee una antena dipolo de 2.5 dbi de ganancia que provee la conectividad

inalmbrica hacia Internet.

La actual Red implementada en el Complejo Hotelero est formada por un equipo de

Telecomunicaciones para la conexin a Internet, consiste en un router de marca

Zyxel, de modelo Prestige 660HW, el cual es instalado por la compaa que provee

servicio de Internet. Este router posee cuatro puertos RJ45 fastethernet 10/100 Base-

T, para la implementacin de una Red de rea Local cableada y un puerto RJ11 para

la conexin hacia la lnea telefnica para el servicio ADSL. Adems este modelo de

router posee una antena dipolo de 2.5 dbi de ganancia que provee la conectividad

inalmbrica hacia Internet.

1.6 Anlisis de la Red Inalmbrica Actual Anlisis de la Red Inalmbrica Actual

Figura 5: Diagrama de la Red Actual del Hotel

Prestige 660HW

18

19

Figura 6: Cobertura de Actuales Puntos de Acceso Comentario [ihlh5]: SE MEJORO EL GRFICO DE

COBERTURA

21

Figura 7: Lugar de Mediciones de Potencia

23

Figura 8: Medicin de Seal a Ruido a 7 metros del equipo Zyxel

25

SNR(dBm) Lado Derecho(m) Lado Izquierdo(m) 55 50 45 40 35 30 25 20 15 10 5 0 5 10 15 20 25 30 35 40 45

7 -92 -91 -89 -88 -85 -87 -84 -77 -70 -58-

48 -55 -53 -

63 -66 -72 -72-

73 -78-

85 -85

17 -90 -86 -84 -78 -75 -70 -68 -64 -58 -63-

70 -63 -70 -

64 -68 -74 -72-

72 -75-

85 -89

27 -85 -82 -72 -81 -80 -85 -64 -78 -73 -73-

76 -69 -74 -

74 -73 -72 -72-

63 -83-

96 -95Di

s

t

a

n

c

i

a

37 -87 -82 -77 -72 -70 -73 -75 -70 -81 -72-

81 -72 -71 -

78 -81 -75 -77-

79 -84-

95 -97

55 50 45 40 35 30 25 20 15 10 5 0 5 10 15 20 25 30 35 40 4530 m

20 m

10 m

0 m

SNR Prestige 660HW

-15-0-30--15-45--30-60--45-75--60-90--75-105--90

SNR (dbm)

Figura 10: Medicin de Seal a Ruido de 7 a 37m del equipo Zyxel

Tabla 1: Medicin de Seal a Ruido de 7 a 37m del equipo Zyxel

51

Figura 24: Disposicin de los Puntos de Acceso Comentario [ihlh21]: SE MEJORO GRFICA DE

COBERTURA

PONTIFICIA UNIVERSIDAD CATLICA DEL PERFACULTAD DE CIENCIAS E INGENIERASeccin de Electricidad y ElectrnicaTesis para optar el ttulo de Ingeniero Electrnico