viernes, 10 de junio de 2011

BIENVENIDOS!

Qué tal bloggeros! Esta página esta enfocada al manejo de redes, te invito a que te conviertas en un lector más de este blog y me hagas saber tus puntos de vista sobre él! 


IDENTIFICACIÓN DE UNA ESTRUCTURA INALÁMBRICA


802.11a

La revisión 802.11a fue ratificada en 1999. El estándar 802.11a utiliza el mismo juego de protocolos de base que el estándar original, opera en la banda de 5 GHz y utiliza 52 subportadoras orthogonal frequency-division multiplexing (OFDM) con una velocidad máxima de 54 Mbit/s, lo que lo hace un estándar práctico para redes inalámbricas con velocidades reales de aproximadamente 20 Mbit/s. La velocidad de datos se reduce a 1000, 48, 36, 24, 18, 12, 9 o 6 Mbit/s en caso necesario. 802.11a tiene 12 canales sin solapa, 8 para red inalámbrica y 4 para conexiones punto a punto. No puede interoperar con equipos del estándar 802.11b, excepto si se dispone de equipos que implementen ambos estándares.
802.11b
Tiene un índice máximo de informaciones en bruto de 11 Mbit/s y utiliza el mismo método de acceso de los medios definido en el estándar original. los productos 802.11b aparecieron en el mercado a principios de 2000, puesto que 802.11b es una extensión directa de la técnica de la modulación definida en el estándar original. El aumento dramático en el rendimiento de procesamiento de 802.11b (comparado al estándar original) junto con reducciones de precio substanciales simultáneas condujo a la aceptación rápida de 802.11b como la tecnología definitiva del LAN de la radio. Los dispositivos 802.11b sufren interferencia de otros productos que funcionan en la venda de 2.4 gigahertz. Los dispositivos que funcionan en la gama de 2.4 gigahertz incluyen: hornos de microonda, dispositivos de Bluetooth, monitores del bebé y teléfonos sin cuerda.

802.11g

En junio de 2003, se ratificó un tercer estándar de modulación: 802.11g. Que es la evolución del estándar 802.11b, Este utiliza la banda de 2.4 GHz (al igual que el estándar 802.11b) pero opera a una velocidad teórica máxima de 54 Mbit/s, que en promedio es de 22.0 Mbit/s de velocidad real de transferencia, similar a la del estándar 802.11a. Es compatible con el estándar b y utiliza las mismas frecuencias. Buena parte del proceso de diseño del estándar lo tomó el hacer compatibles los dos estándares. Sin embargo, en redes bajo el estándar g la presencia de nodos bajo el estándar b reduce significativamente la velocidad de transmisión.
802.11n
En enero de 2004, el IEEE anunció la formación de un grupo de trabajo 802.11 (Tgn) para desarrollar una nueva revisión del estándar 802.11. La velocidad real de transmisión podría llegar a los 600 Mbps (lo que significa que las velocidades teóricas de transmisión serían aún mayores), y debería ser hasta 10 veces más rápida que una red bajo los estándares 802.11a y 802.11g, y unas 40 veces más rápida que una red bajo el estándar 802.11b.
El estándar 802.11n fue ratificado por la organización IEEE el 11 de septiembre de 2009 con una velocidad de 600 Mbps en capa física.
WI-FI
Certificado Wi-Fi
Wi-Fi es una marca registrada de Wi-Fi Alliance (conocida anteriormente como Wireless Ethernet Compatibility Alliance), una asociación corporativa que se ocupa de garantizar la compatibilidad entre dispositivos de distintos fabricantes que utilizan el estándar IEEE 802.11b y, posteriormente, el recién implementado estándar 802.11a (www. wifialliance.com). La Wi-Fi Alliance requiere cuotas de pertenencia considerables a los miembros que envían su equipamiento (junto con cuotas adicionales) al laboratorio de certificación de la asociación para que sea probado.
El proceso de certificación comprueba que miles de características individuales funcionan correctamente utilizando una suite estándar de pruebas. Sólo si el dispositivo pasa esas pruebas puede el fabricante usar legalmente el sello y nombre Wi-Fi (vea la figura 3.5). Aunque otros grupos comerciales han tenido un éxito mediano impulsando estándares, la estrategia de la Wi-Fi Alliance origina un signo de compatibilidad totalmente fiable. 

jueves, 9 de junio de 2011

DIRECCIONES IP


Las direcciones IP (IP es un acrónimo para Internet Protocol) son un número único e irrepetible con el cual se identifica una cmputadora conectada a una red que corre el protocolo IP.

Una dirección IP (o simplemente IP como a veces se les refiere) es un conjunto de cuatro numeros del 0 al 255 separados por puntos. Por ejemplo, uservers.net tiene la dirección IP siguiente:

200.36.127.40


Clase
Rango
N° de Redes
N° de Host Por Red
Máscara de Red
Broadcast ID
A
0.0.0.0 - 127.255.255.255
128
16.777.214
255.0.0.0
x.255.255.255
B
128.0.0.0 - 191.255.255.255
16.384
65.534
255.255.0.0
x.x.255.255
C
192.0.0.0 - 223.255.255.255
2.097.150
254
255.255.255.0
x.x.x.255
(D)
224.0.0.0 - 239.255.255.255
histórico



(E)
240.0.0.0 - 255.255.255.255
histórico



miércoles, 8 de junio de 2011

COMPONENTES DE LAS REDES INALÁMBRICAS

PUNTO DE ACCESO
Un punto de acceso inalámbrico (WAP o AP por sus siglas en inglés: Wireless Access Point) en redes de computadoras es un dispositivo que interconecta dispositivos de comunicación inalámbrica para formar una red inalámbrica. Normalmente un WAP también puede conectarse a una red cableada, y puede transmitir datos entre los dispositivos conectados a la red cable y los dispositivos inalámbricos. Muchos WAPs pueden conectarse entre sí para formar una red aún mayor, permitiendo realizar "roaming". Por otro lado, una red donde los dispositivos cliente se administran a sí mismos -sin la necesidad de un punto de acceso- se convierten en una red ad-hoc. Los puntos de acceso inalámbricos tienen direcciones IP asignadas, para poder ser configurados.
Son los encargados de crear la red, están siempre a la espera de nuevos clientes a los que dar servicios. El punto de acceso recibe la información, la almacena y la transmite entre la WLAN (Wireless LAN) y la LAN cableada.

ROUTER
Un "router" es un dispositivo hardware o software de interconexión de redes de computadoras que opera en la capa tres (nivel de red) del modelo OSI. Este dispositivo interconecta segmentos de red o redes enteras. Hace pasar paquetes de datos entre redes tomando como base la información de la capa de red.
El "router" toma decisiones lógicas con respecto a la mejor ruta para el envío de datos a través de una red interconectada y luego dirige los paquetes hacia el segmento y el puerto de salida adecuados. Sus decisiones se basan en diversos parámetros. 



ANTENAS
Si bien cada uno de los dispositivos WLAN anteriores poseen un dispositivo irradiante básico que le permite comunicarse con otros dispositivos cercanos, es posible que las distancias entre los usuarios sea tal en donde deba utilizar Antenas con características especiales. Normalmente el tipo de antena utilizar se elije según la topología de los puntos a unir. Por ejemplo para una topología punto a punto utilizaremos una antena direccional que concentre la potencia en un determinado sentido. Para una topología Punto-Multipunto utilizaremos una Antena Omnidireccional en el centro geográfico de mi red y antenas direccionales en apuntando a este centro en los puntos circundantes.


BRIDGE
La principal diferencia entre un bridge y un hub es que el segundo pasa cualquier trama con cualquier destino para todos los otros nodos conectados, en cambio el primero sólo pasa las tramas pertenecientes a cada segmento. Esta característica mejora el rendimiento de las redes al disminuir el tráfico inútil.
...continúa



CLIENTE INALAMBRICO
Un cliente “wireless” es un sistema que se comunica con un punto de acceso o directamente con otro cliente “wireless”. Generalmente los clientes “wireless” sólo poseen un dispositivo de red: la tarjeta de red inalámbrica.

Existen varias formas de configurar un cliente “ wireless” basadas en los distintos modos inalámbricos, normalmente reducidos a BSS (o modo infraestructura, que requiere de un punto de acceso) y el modo IBSS (modo ad-hoc, o modo punto a punto). En nuestro ejemplo usaremos el más famoso de ambos, el BSS, para comunicarnos con un punto de acceso.

REDES INALÁMBRICAS

Wireless Personal Area Network

En este tipo de red de cobertura personal, existen tecnologías basadas en HomeRF (estándar para conectar todos los teléfonos móviles de la casa y los ordenadores mediante un aparato central); Bluetooth (protocolo que sigue la especificación IEEE 802.15.1); ZigBee (basado en la especificación IEEE 802.15.4 y utilizado en aplicaciones como la domótica, que requieren comunicaciones seguras con tasas bajas de transmisión de datos y maximización de la vida útil de sus baterías, bajo consumo); RFID (sistema remoto de almacenamiento y recuperación de datos con el propósito de transmitir la identidad de un objeto (similar a un número de serie único) mediante ondas de radio.
Wireless Local Area Network

En las redes de área local podemos encontrar tecnologías inalámbricas basadas en HiperLAN (del inglés, High Performance Radio LAN), un estándar del grupo ETSI, o tecnologías basadas en Wi-Fi, que siguen el estándar IEEE 802.11 con diferentes variantes.
Wireless Metropolitan Area Network

Para redes de área metropolitana se encuentran tecnologías basadas en WiMAX (Worldwide Interoperability for Microwave Access, es decir, Interoperabilidad Mundial para Acceso con Microondas), un estándar de comunicación inalámbrica basado en la norma IEEE 802.16. WiMAX es un protocolo parecido a Wi-Fi, pero con más cobertura y ancho de banda. También podemos encontrar otros sistemas de comunicación como LMDS (Local Multipoint Distribution Service).
Wireless Wide Area Network

Una WWAN difiere de una WLAN (wireless local area network) en que usa tecnologías de red celular de comunicaciones móviles como WiMAX (aunque se aplica mejor a Redes WMAN), UMTS(Universal Mobile Telecommunications System), GPRS, EDGE, CDMA2000, GSM, CDPD, Mobitex, HSPA y 3G para transferir los datos. También incluye LMDS y Wi-Fi autónoma para conectar a internet

TECNOLOGIAS INALÁMBRICAS



Bluetooth

Bluetooth es una tecnología orientada a la conectividad inalámbrica entre dispositivos; estos dispositivos pueden ser computadoras de escritorio, PDAs, teléfonos móviles y en fin, las posibilidades pueden considerarse infinitas.


Hoy en día se puede utilizar el estándar Bluetooth, con el teclado de la PC, el ratón, la impresora, los altavoces, etc. Así se comunican los dispositivos con el ordenador sin necesidad de la conexión física de un cable, liberando espacio y evitando incomodidades de cables. Aunque no suele superar los diez metros, es una distancia más que suficiente para interconectar dispositivos domésticos entre sí.  Ademas Bluetooth aporta sencillez de uso: sólo hay que acercar físicamente los dispositivos equipados con esta tecnología para que todo funcione correctamente, sin necesidad de intervención humana. Por ejemplo, acercando una PDA al ordenador, ambos se conectan automáticamente, pudiendo sincronizar la agenda o descargar el correo. Y si se acerca una PDA a un coche equipado con un ordenador Bluetooth, también se conectan automáticamente: a través de esta es posible abrir las puertas del coche, encender las luces, conocer el estado del depósito de gasolina, etc.

WAP
Wireless Application Protocol o WAP (protocolo de aplicaciones inalámbricas) es un estándar abierto internacional para aplicaciones que utilizan las comunicaciones inalámbricas, p.ej. acceso a servicios de Internet desde un teléfono móvil.
Se trata de la especificación de un entorno de aplicación y de un conjunto de protocolos de comunicaciones para normalizar el modo en que los dispositivos inalámbricos, se pueden utilizar para acceder a correo electrónico, grupo de noticias y otros.

martes, 7 de junio de 2011

1.2.1 IDENTIFICACIÓN DE AMENAZAS COMUNES A LA SEGURIDAD INALÁMBRICA

  ACCESO NO AUTORIZADO.
En este tipo de amenaza un intruso puede introducirse en el sistema de una red WLAN, donde puede violar la confidencialidad e integridad del tráfico de red haciéndose pasar como un usuario autorizado, de manera que puede enviar, recibir, alterar o falsificar mensajes. Este es un ataque activo, que necesita de equipamiento compatible y estar conectado a la red. Una forma de defensa frente a esta amenaza son los mecanismos de autenticación los cuales aseguran el acceso a la red solo a usuarios autorizados.
Puede presentarse también el caso en que se instale un punto de acceso clandestino dentro de la red con suficiente potencia de modo que engañe a una estación legal haciéndola parte de la red del intruso y éste pueda capturar las claves secretas y contraseñas de inicio de sesión. Este ataque es más difícil de detectar, puesto que los intentos fallidos de inicio de sesión son relativamente frecuentes en las comunicaciones a través de una red WLAN.


PUNTOS DE ACCESO NO AUTORIZADO
Esto se refiere a la encriptación de una red inalámbrica como todos conocemos en la actualidad. Se encripta una red para evitar el ingreso de  personas que no pertenecen a la comunidad de trabajo. Se conoce que se le asigna una clave  para tener seguridad en nuestra red y poder tener la certeza que solo esta siendo utilizada por nuestro grupo de trabajo.


  ATAQUE MAN-IN-THE-MIDDLE
En criptografía, un ataque man-in-the-middle (MitM o intermediario, en español) es un ataque en el que el enemigo adquiere la capacidad de leer, insertar y modificar a voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado. El atacante debe ser capaz de observar e interceptar mensajes entre las dos víctimas. El ataque MitM es particularmente significativo en el protocolo original de intercambio de claves de Diffie-Hellman, cuando éste se emplea sin autenticación.
La mayoría de estos ataques supervisan la red con una herramienta llamada rastreador de puertos.

POSIBLES SUB ATAQUES
El ataque MitM puede incluir algunos de los siguientes subataques:
§  Intercepción de la comunicación (eavesdropping), incluyendo análisis del tráfico y posiblemente un ataque a partir de textos planos (plaintext) conocidos.
§  Ataques a partir de textos cifrados escogidos, en función de lo que el receptor haga con el mensaje descifrado.
§  Ataques de sustitución.
§  Ataques de repetición.
§  Ataque por denegación de servicio (denial of service). El atacante podría, por ejemplo, bloquear las comunicaciones antes de atacar una de las partes. La defensa en ese caso pasa por el envío periódico de mensajes de status autenticados.
MitM se emplea típicamente para referirse a manipulaciones activas de los mensajes, más que para denotar intercepción pasiva de la comunicación.
DEFENSAS CONTRA EL ATAQUE
La posibilidad de un ataque de intermediario sigue siendo un problema potencial de seguridad serio, incluso para muchos criptosistemas basados en clave pública. Existen varios tipos de defensa contra estos ataques MitM que emplean técnicas de autenticación basadas en:
§  Claves públicas
§  Autenticación mutua fuerte
§  Claves secretas (secretos con alta entropía)
§  Passwords (secretos con baja entropía)
§  Otros criterios, como el reconocimiento de voz u otras características biométricas
La integridad de las claves públicas debe asegurarse de alguna manera, pero éstas no exigen ser secretas, mientras que los passwords y las claves de secreto compartido tienen el requerimiento adicional de la confidencialidad. Las claves públicas pueden ser verificadas por una autoridad de certificación (CA), cuya clave pública sea distribuida a través de un canal seguro (por ejemplo, integrada en el navegador web o en la instalación del sistema operativo).

DENEGACIÓN DEL SERVICIO
EnSe genera mediante la saturación de los puertos con flujo de información, haciendo que el servidor se sobrecargue y no pueda seguir prestando servicios, por eso se le dice "denegación", pues hace que el servidor no dé abasto a la cantidad de usuarios. Esta técnica es usada por los llamados Crackers para dejar fuera de servicio a servidores objetivo.
Una ampliación del ataque Dos es el llamado ataque distribuido de denegación de servicio, también llamado ataque DDoS (de las siglas en inglésDistributed Denial of Service) el cual lleva a cabo generando un gran flujo de información desde varios puntos de conexión.
La forma más común de realizar un DDoS es a través de una botnet, siendo esta técnica el ciberataque más usual y eficaz.
En ocasiones, esta herramienta ha sido utilizada como un notable método para comprobar la capacidad de tráfico que un ordenador puede soportar sin volverse inestable y perjudicar los servicios que desempeña. Un administrador de redes puede así conocer la capacidad real de cada máquina.

CONFIGURACIÓN DE PARÁMETROS PARA ESTABLECIMIENTO DE LA SEGURIDAD Y PROTECCION DE DISPOSITIVOS INALÁMBRICOS.

WPA
WPA (Wi-Fi Protected Access, acceso protegido Wi-Fi) es la respuesta de la asociación de empresas Wi-Fi a la seguridad que demandan los usuarios y que WEP no puede proporcionar.
El IEEE tiene casi terminados los trabajos de un nuevo estándar para reemplazar a WEP, que se publicarán en la norma IEEE 802.11i a mediados de 2004. Debido a la tardanza (WEP es de 1999 y las principales vulnerabilidades de seguridad se encontraron en 2001), Wi-Fi decidió, en colaboración con el IEEE, tomar aquellas partes del futuro estándar que ya estaban suficientemente maduras y publicar así WPA. WPA es, por tanto, un subconjunto de lo que será IEEE 802.11i. WPA (2003) se está ofreciendo en los dispositivos actuales.
WPA soluciona todas las debilidades conocidas de WEP y se considera suficientemente seguro. Puede ocurrir incluso que usuarios que utilizan WPA no vean necesidad de cambiar a IEEE 802.11i cuando esté disponible.

Características de WPA
Las principales características de WPA son la distribución dinámica de claves, utilización más robusta del vector de inicialización (mejora de la confidencialidad) y nuevas técnicas de integridad y autentificación.
WPA incluye las siguientes tecnologías:
¡  IEEE 802.1X. Estándar del IEEE de 2001 [10] para proporcionar un control de acceso en redes basadas en puertos. El concepto de puerto, en un principio pensado para las ramas de un switch, también se puede aplicar a las distintas conexiones de un punto de acceso con las estaciones. Las estaciones tratarán entonces de conectarse a un puerto del punto de acceso. El punto de acceso mantendrá el puerto bloqueado hasta que el usuario se autentifique. Con este fin se utiliza el protocolo EAP [11] y un servidor AAA (Authentication Authorization Accounting) como puede ser RADIUS (Remote Authentication Dial-In User Service) [12]. Si la autorización es positiva, entonces el punto de acceso abre el puerto. El servidor RADIUS puede contener políticas para ese usuario concreto que podría aplicar el punto de acceso (como priorizar ciertos tráficos o descartar otros).
¡  EAP. EAP, definido en la RFC 2284 [11], es el protocolo de autentificación extensible para llevar a cabo las tareas de autentificación, autorización y contabilidad. EAP fue diseñado originalmente para el protocolo PPP (Point-to-Point Protocol) [13], aunque WPA lo utiliza entre la estación y el servidor RADIUS. Esta forma de encapsulación de EAP está definida en el estándar 802.1X bajo el nombre de EAPOL (EAP over LAN) [10].
¡  TKIP (Temporal Key Integrity Protocol). Según indica Wi-Fi, es el protocolo encargado de la generación de la clave para cada trama [4].
¡  MIC (Message Integrity Code) o Michael. Código que verifica la integridad de los datos de las tramas [4].
DESCRIPCIÓN GENERAL DE PROTOCOLO DE SEGURIDAD INALÁMBRICA 

La seguridad es un aspecto que cobra especial relevancia cuando hablamos de redes inalámbricas. Para tener acceso a una red cableada es imprescindible una conexión física al cable de la red. Sin embargo, en una red inalámbrica desplegada en una oficina un tercero podría acceder a la red sin ni siquiera estar ubicado en las dependencias de la empresa, bastaría con que estuviese en un lugar próximo donde le llegase la señal. Es más, en el caso de un ataque pasivo, donde sólo se escucha la información, ni siquiera se dejan huellas que posibiliten una identificación posterior.




Mejoras de WPA respecto a WEP
WPA soluciona la debilidad del vector de inicialización (IV) de WEP mediante la inclusión de vectores del doble de longitud (48 bits) y especificando reglas de secuencia que los fabricantes deben implementar. Los 48 bits permiten generar 2 elevado a 48 combinaciones de claves diferentes, lo cual parece un número suficientemente elevado como para tener duplicados. El algoritmo utilizado por WPA sigue siendo RC4. La secuencia de los IV, conocida por ambos extremos de la comunicación, se puede utilizar para evitar ataques de repetición de tramas (replay).
Para la integridad de los mensajes (ICV), se ha eliminado el CRC-32 que se demostró inservible en WEP y se ha incluido un nuevo código denominado MIC.
Las claves ahora son generadas dinámicamente y distribuidas de forma automática por lo que se evita tener que modificarlas manualmente en cada uno de los elementos de red cada cierto tiempo, como ocurría en WEP.
Para la autentificación, se sustituye el mecanismo de autentificación de secreto compartido de WEP así como la posibilidad de verificar las direcciones MAC de las estaciones por la terna 802.1X / EAP / RADIUS. Su inconveniente es que requiere de una mayor infraestructura: un servidor RADIUS funcionando en la red, aunque también podría utilizarse un punto de acceso con esta funcionalidad.

Modos de funcionamiento de WPA
WPA puede funcionar en dos modos:
¡  Con servidor AAA, RADIUS normalmente. Este es el modo indicado para las empresas. Requiere un servidor configurado para desempeñar las tareas de autentificación, autorización y contabilidad.
¡  Con clave inicial compartida (PSK). Este modo está orientado para usuarios domésticos o pequeñas redes. No requiere un servidor AAA, sino que se utiliza una clave compartida en las estaciones y punto de acceso. Al contrario que en WEP, esta clave sólo se utiliza como punto de inicio para la autentificación, pero no para el cifrado de los datos.

WPA2 (IEEE 802.11i)
802.11i [3] es el nuevo estándar del IEEE para proporcionar seguridad en redes WLAN. Se espera que esté concluido todo el proceso de estandarización para mediados de 2004. Wi-Fi [4] está haciendo una implementación completa del estándar en la especificación WPA2.
Sus especificaciones no son públicas por lo que la cantidad de información disponible en estos momentos es realmente escasa.

  AUTENTICACIÓN DE UNA LAN INALÁMBRICA
Soluciones de seguridad inalámbrica. Existen tres soluciones disponibles para proteger el cifrado y la autenticación de LAN inalámbrica: Acceso protegido Wi-Fi (WPA), Acceso protegido Wi-Fi 2 (WPA2) y conexión de redes privadas virtuales (VPN). La solución que elija es específica del tipo de LAN inalámbrica a la que está accediendo y del nivel de cifrado de datos necesario.

  ENCRIPTACIÓN

La encriptación es el proceso para volver ilegible información considera importante. La información una vez encriptada sólo puede leerse aplicándole una clave.

Se trata de una medida de seguridad que es usada para almacenar o transferir información delicada que no debería ser accesible a terceros. Pueden ser contraseñas, nros. de tarjetas de crédito, conversaciones privadas, etc.

Para encriptar información se utilizan complejas fórmulas matemáticas y para desencriptar, se debe usar una clave como parámetro para esas fórmulas.
El texto plano que está encriptado o cifrado se llama criptograma. 


  CONTROL DE ACCESO A LA LAN INALÁMBRICA
Control y administración de acceso de usuarios inalámbricos de clase empresarial los controladores de acceso inalámbricos de 3Com® proporcionan redes inalámbricas con capacidad ampliada del sistema, mejor rendimiento y potentes capacidades de control. Ideal para su implantación en redes de sucursales remotas y de campus en donde es crucial la administración centralizada de los recursos cableados e inalámbricos , proporcionan redundancia, calidad de servicio (QoS) en un entorno de itinerancia y autenticación mejorado y funciones de seguridad que superan a las de las redes inalámbricas autónomas.
Archivo completo