TALLER WI-FI

Manuel Snchez Cuenca msc@dif.um.es 18.11.2004

1. El estndar IEEE 802.11 El estndar IEEE 802.11 fue concebido en 1990 y aprobado finalmente siete aos despus. Se constituye en la norma principal para la conexin de las distintas WLAN, utilizando las bandas de frecuencia 2.4 GHz y 5 GHz. Est basado en una arquitectura celular, donde el sistema se divide en celdas, cada una de ellas controlada por una estacin base o punto de acceso.

Arquitectura
Se puede considerar que la arquitectura 802.11 es modular, ya que podemos partir de un bloque bsico llamado BSS (Basic Service Set o Conjunto bsico de servicios), que es un conjunto de dispositivos inalmbricos comunicndose entre si. Estas unidades bsicas pueden funcionar de manera aislada o conectarse mediante un punto de acceso a una red, a travs de la cual se pueden conectar varios BSSs para formar un ESS (Extended Service Set o Conjunto extendido de servicios).

Segn la forma en que se ha definido la arquitectura de las redes 802.11, stas permiten trabajar de dos maneras: El modelo ms sencillo sera una red ad-hoc, donde todos lo equipos con tarjeta inalmbrica se conectan entre ellos sin necesidad de ningn elemento intermedio. Este esquema coincide con un BSS nico e independiente. La otra alternativa es utilizar una infraestructura de puntos de acceso conectados entre s mediante una red o sistema de distribucin, y a travs de los cuales todos los equipos pueden comunicarse. En este caso, la

arquitectura utilizada es la del ESS, donde varios BSSs se conectan mediante una red.

Estndares 802.11 de nivel fsico

El estndar 802.11 no especifica los detalles de nivel fsico, para ello hay un conjunto de estndares que proporcionan diferentes caractersticas y velocidades segn la forma de llevar a la prctica las especificaciones del estndar. Actualmente podemos encontrar las siguientes: IEEE 802.11a: Esta especificacin opera en la banda de 5 GHz, lo que ha ocasionado que en algunos pases como Espaa no llegue a implantarse esta tecnologa debido a que esta banda de frecuencia es de uso militar. Proporciona una velocidad de datos entre 6 y 54 Mbps. IEEE 802.11b: Aunque trabaja en la frecuencia 2.4 GHz, ofrece una velocidad de 11 Mbps. La interoperabilidad entre los distintos dispositivos ha quedado resuelta gracias a la marca Wi-Fi, amparada por la Alianza para la Compatibilidad de Ethernet inalmbrica (WECA), que fue creada en 1999. IEEE 802.11e: Esta norma, que est en proceso de desarrollo, intenta proporcionar calidad de servicio mediante un esquema de servicios diferenciados sobre una red 802.11. IEEE 802.11g: Esta especificacin intenta obtener transmisiones inalmbricas de alta velocidad trabajando en la banda de frecuencia de 2.4 GHz, por lo que puede interoperar con 802.11b.

Estrategias para solucionar los problemas de las redes inalmbricas La manera ms sencilla es mediante el uso de un identificador de red o SSID (Service Set Identifier o Identificador de conjunto de servicios), ya que nicamente los clientes que conozcan el SSID de una red podrn hacer uso de ella. El problema es que, a no ser que se indique lo contrario, el punto de acceso proporciona esta informacin a cualquier equipo que est bajo su cobertura, por lo que no proporciona un nivel de seguridad real. El cifrado WEP (Wired Equivalent Privacy) es un intento de proporcionarle a las redes 802.11 la misma seguridad que tienen las redes tradicionales y es uno de los mecanismos bsicos que deben usarse para conseguir que una red inalmbrica tenga un nivel mnimo de seguridad. Tiene el problema de utilizar una clave demasiado pequea para la potencia actual de los equipos, lo que puede propiciar que un atacante consiga obtener dicha clave. WPA viene a ser el sustituto de Wired Equivalent Privacy (WEP) ya que este ltimo se ha demostrado muy vulnerable. En la nueva proteccin WPA la cadena ASCII que se introduce sirve de semilla para una clave en constante rotacin, de forma que cada paquete de informacin lleva una clave completamente diferente a los anteriores. WPA necesitar que todos los dispositivos de red sean compatibles con el nuevo sistema. Si uno de los adaptadores inalmbricos no est preparado, la red entera se encriptar utilizando el antiguo WEP. Tampoco podr funcionar en modo Ad-Hoc. El problema del cifrado WPA es que an no es soportado de manera estandar por Windows XP.

Debido a la poca seguridad proporcionada por estas tcnicas, se han ido proponiendo diferentes modificaciones de ellas entre las que se encuentran evitar que el punto de acceso difunda su SSID, utilizar claves WEP de 104 bits o ir cambiando la clave WEP peridicamente. Una ltima estrategia consiste en realizar un control de acceso de los equipos. Para obtener un mayor nivel de seguridad, lo mejor es combinar varias tcnicas a al vez, como puede ser el uso del cifrado WEP con el control de acceso. Control de acceso Como primera alternativa podemos realizar un control de acceso en base a la direccin MAC o IP donde de manera esttica se dejen pasar nicamente a unas direcciones determinadas. El estndar IEEE 802.1X proporciona una mayor nivel de seguridad y flexibilidad. La idea bsica es que cuando un dispositivo intenta conectarse a un punto de acceso, ste le pide un password o certificado digital que demuestre que est autorizado para acceder a la red. 2. Instalacin de la tarjeta inalmbrica En este caso concreto se ver la instalacin de una tarjeta 3Com OfficeConnect Wireles LAN USB Adapter, pero el proceso es similar en todos los casos. En cuanto se conecta el cable USB al ordenador, Windows XP reconoce que se est intentando instalar un nuevo dispositivo y abre el asistente para nuevo hardware, mediante el cual instalaremos el driver de la tarjeta.

En los casos en los que el disco con los drivers incluya un programa de instalacin, este se ejecutar antes de conectar la tarjeta al equipo, de manera que cuando se conecte la misma, nicamente aparecern los mensajes indicando que se ha encontrado nuevo hardware, y posteriormente que se ha instalado el software correspondiente. Una vez que la tarjeta inalmbrica se ha instalado, la configuracin de la red se hace como con cualquier otra tarjeta de red, es decir especificando la direccin IP, mscara de red y puerta de enlace, o indicando que obtenga estos datos por DHCP, segn corresponda.

3. Creacin de una red Ad-Hoc Una vez que se dispone de dos o ms equipos con tarjeta inalmbrica, podemos conectarlos entre ellos mediante una red ad-hoc, es decir sin infraestructura. Para conseguir esto, uno de ellos debe crear la red a la que los dems posteriormente se conectarn, especificando que ser una red ad-hoc. Dicha red puede utilizar el cifrado WEP para ser ms segura.

A partir de este momento, los dems podrn ver la nueva red y podrn conectarse, especificando la clave de cifrado WEP en el caso de que sea necesario.

4. Instalacin del punto de acceso Para instalar el punto de acceso, nicamente es necesario conectarlo a la red mediante un cable e instalar el programa de configuracin en un PC que est conectado a la misma red. Los puntos de acceso actuales tambin permiten configurarse mediante una pgina web, la primera vez puede ser necesario utilizar esta utilidad de configuracin si el punto de acceso no lleva una direccin por defecto, ya que hay que asignarles un direccin IP, mediante la cual se podr acceder posteriormente al interfaz web de configuracin. La configuracin del modelo OfficeConnect Wireless 11g Cable/DSL Gateway se hace conectando un equipo a uno de los puntos que el propio ruter inalmbrico tiene y poniendo en un navegador la direccin 192.168.1.1.

En algunos casos, el punto de acceso tiene un asistente de configuracin para establecer los valores iniciales de una forma sencilla.

5. Configuracin de una red inalmbrica abierta nicamente hay que configurar el punto de acceso con un SSID indicando que no se utilice cifrado WEP ni control de acceso de ninguna clase.

De esta manera, desde Windows XP solo hay que seleccionar la red inalmbrica y la conexin ser automtica.

6. Configuracin de una red inalmbrica con cifrado WEP En este caso, la configuracin es como la del punto anterior, pero especificando una clave de cifrado WEP. Dicha clave de cifrado puede ser de 64 o de 128 bits, recomendndose esta ltima ya que proporciona un nivel ms alto de seguridad. De esta manera nicamente los equipos que conozcan dicha clave podrn conectarse a la red inalmbrica, proporcionando as un nivel de seguridad mnimo para evitar que cualquier usuario con un dispositivo con tarjeta inalmbrica pueda conectarse a la red. Si el punto de acceso dispone de cifrado WPA y todos los equipos lo soportan, podr utilizarse de la misma manera.

Cuando el usuario intente conectarse a la red protegida mediante cifrado WEP, el sistema operativo le pedir el cdigo de cifrado para poder conectarse.

7. Configuracin de control de acceso El mecanismo ms sencillo consistira en mantener en el punto de acceso una lista con las direcciones MAC (direccin de la tarjeta inalmbrica) que tienen permitido el acceso. De esta manera nos aseguramos de los equipos que podrn acceder a la red. El nico problema es que el mantenimiento de esta lista es manual y que para usuarios avanzados es relativamente fcil cambiar la direccin MAC de su propio equipo por una vlida para obtener acceso sin autorizacin.

De cara a los usuarios, la nica diferencia de utilizar control de acceso es que si no estn incluidos en la lista, no podrn conectarse. Un mecanismo ms complicado pero a la vez ms seguro consistira en utilizar la arquitectura 802.1X. Esta arquitectura implica la utilizacin de un servidor de autorizacin RADIUS, en el que se aaden a una base de datos los usuarios autorizados, o se establece que todos los que tengan un tipo de certificado estarn autorizados. No todos los puntos de acceso soportan este tipo de control de acceso.

8. Monitorizacin del uso de la red inalmbrica Normalmente, todos los puntos de acceso disponen de una utilidad de monitorizacin ms o menos avanzada, pero que al menos permite ver la direccin MAC de todas las tarjetas inalmbricas conectadas en un momento determinado, as como de logs del sistema que registran todos los eventos.

9. Uso de la tarjeta inalmbrica en Linux En Linux tenemos la ventaja (o desventaja) de que no necesitamos instalar el driver, ya que lo ms probable es que al conectar la tarjeta se cargue el mdulo apropiado. En el caso de que no sea as, habr que buscar por Internet el mdulo apropiado. Una vez que la tarjeta est reconocida y configurada como cualquier tarjeta de red, la configuracin de los parmetros de la red inalmbrica se hace mediante el programa iwconfig, perteneciente al paquete iwtools. La forma de utilizacin es iwconfig [interfaz] [opcion valor], siendo las opciones ms comunes las siguientes: Establecer el identificador de red: essid <nombre_red> Establecer el modo: mode ad-hoc o mode manager Establecer la encriptacin: enc <valor hexadecimal> o enc s:<texto> o enc off (para deshabilitar)