Monografias | ¿Debe ser responsabilidad de los proveedores de Internet configurar la seguridad correctamente en los AP Wireless?

Resumen

Debido al aumento en el uso de tecnología Wireless en distintos escenarios, pero principalmente en acceso a Internet domestico la seguridad es un tema alarmante para la comunidad investigadora, profesionales y usuarios conscientes del problema, sobre el uso sin autorización de los recursos de acceso a Internet. Existen algoritmos diseñados para proporcionar diferentes niveles de seguridad en la conexión hacia el punto de acceso Wireless ,los cuales en muchos casos no son configurados por personal del ISP dejando sin protección alguna al dispositivo, permitiendo el uso a personas sin autorización.

Introducción

El estándar 802.11 del Institute of Electrical and Electronics Engineers (IEEE), es una tecnología de acceso de red para proporcionar conectividad entre estaciones inalámbricas e infraestructuras conectadas a una red con cables. El estándar 802.11 es una tecnología que permite al usuario tener movilidad entre diferentes lugares y seguir teniendo conexión a la red, mientras tenga cobertura por la misma.

La arquitectura lógica contiene los siguientes componentes:

1. Station (STA) contiene un adaptador, tarjeta PC, o un dispositivo para proveer conectividad Wireless.

2. Wireless access point (AP) funciona como un puente entre las Wireless STA y la infraestructura existente para el acceso a la red.

3. Independent basic service set (IBSS) es una red Wireless, consiste de al menos dos STA, usado donde no se tiene disponible el acceso a un DS.

4. Basic service set (BSS) es una red Wireless, consiste de un simple AP que soporta uno o varios clientes Wireless. Es una infraestructura de red Wireless.
5. Distribution system (DS) es el área de cobertura proporcionada por un AP.
6. Extended service set (ESS) es un conjunto de dos o mas AP conectados al mismo cable de red que define un único segmento lógico de red.

Problema existente en red Wireless

No es secreto para nadie el crecimiento en infraestructura de tecnología Wireless en oficinas, universidades, hogares y demás lugares donde se requiere una conexión a Internet. Ofreciendo como principal atractivo tener conexión a la red local Wireless (WLAN) con movilidad y sin cables, utilizando como medio de transporte la atmósfera.

La tecnología Wireless ha tenido una gran aceptación en todos los mercados, desde algunas cafeterías que además de ofrecer un lugar confortable y un buen café, se puede tener acceso a Internet; Pero sin duda ha sido muy aceptado por los clientes domésticos, mercado el cuál los proveedores de Internet (ISP) han sabido captar, ofreciendo un punto de acceso Wireless (AP) en algunos casos gratuitos, por si esto fuera poco utilizan tecnología ADSL o fibra óptica, otorgando un ancho de banda generoso a los clientes para su conexión a Internet.

Hasta el momento todo parece como un sueño, tener acceso a Internet a una velocidad entre 512 Kbps a 1 Mbps o superiores, un AP gratuito y evitarnos las molestias de realizar la instalación de cables a través del hogar; Temo comentar que es solo un sueño, debido a presentar problemas de seguridad capaces de quitarle exactamente el sueño, después de conocer las vulnerabilidades presentadas por Wireless. Entre los mecanismos de seguridad se encuentra Wired Equivalent Privacy (

WEP), es sin duda el mecanismo mas extendido para proveer un nivel de seguridad en el momento de realizar una conexión hacia el AP, pero presenta vulnerabilidades que pueden ser aprovechadas por personas con malas intenciones, a continuación se describe brevemente el funcionamiento de cifrado.

1.Inicialmente se calcula el valor ICV de 32 bits para la trama de datos, ofreciendo integridad en los datos.

2.Posteriormente se realiza una combinación entre el vector de inicialización de 24 bits + la clave WEP de 104 bits, formando la entrada para un generador numérico pseudo-aleatorio.

3.La secuencia pseudo-aleatoria es sumada con los datos + el ICV utilizando un OR exclusivo.

4.Finalmente el vector de inicialización es agregado, para su uso posterior.

Imagen1. Proceso de cifrado del mecanismo WEP

El mecanismo en un principio parece ofrecer seguridad, utilizando un vector de inicialización y una clave WEP, entre ambas forman una clave de 128 bits, existe integridad de los datos y adicionalmente son cifrados. El mecanismo es bueno a excepción de dejar en claro el vector de inicialización y la información de capas inferiores (3 y 2).

Si llegamos a la conclusión que el mecanismo WEP no es fiable para ofrecer seguridad, estamos en lo cierto, pero existe mas del 60% de AP sin ningún mecanismo de seguridad para evitar el robo de nuestros recursos, con lo cuál es mejor tener configurado el mecanismo WEP para ofrecer un nivel mínimo de seguridad y complicar el robo de los servicios.

Lo anterior queda confirmado por una investigación realizada en los Angeles, por un equipo de agentes del FBI; Utilizaron técnicas de hacking  y lograron romper la clave WEP de 128 bits en 3 minutos¡¡¡, al mismo tiempo se confirma en Estados Unidos y en todo el mundo que el 70% de los puntos de acceso se encuentran con las configuraciones por default, en otras palabras sin protección alguna.

Al existir un porcentaje alto de AP en los hogares sin protección, no es culpa de los clientes del servicio, ya que no están obligados a tener conocimiento técnico sobre el tema de red o seguridad, preguntó ¿La obligación debe ser de los ISP?, la respuesta debe ser “SI”, las personas encargadas en realizar la instalación deberían configurar algún mecanismo de seguridad como parte del procedimiento, políticas o normas de la compañía proveedora, sin embargo esto no se realiza, dejando la configuración por default del punto de acceso.

Se puede pensar que solo una persona con conocimientos en informática, carrera a fin, o conocimientos de hacking es capaz de utilizar sin consentimiento los recursos de una red Wireless o mejor dicho “robar” los recursos, erróneamente es incorrecto debido al funcionamiento propio del punto de acceso, el cuál debe anunciarse para poder ser detectado por una estación de trabajo Wireless, dando pauta a ser accedido por cualquier persona ajena. Para tener acceso sin consentimiento no hace falta ir lejos, el sistema operativo Windows XP de Microsoft tiene la opción entre las propiedades de Red de buscar y conectarse a la red Wireless con mejor calidad y que sea accesible, los ordenadores portátiles Toshiba tienen una herramienta llamada “config free conexión de red inalámbrica”, que permite conectarnos a la red Wireless con mejor calidad y sin solicitud de contraseña, con lo cuál se demuestra que no es necesario ser un “experto” para acceder a un AP sin protección y disfrutar de una conexión a Internet.

Se presenta un ejemplo en la imagen 2, de la búsqueda de puntos de acceso realizada por la utilidad ZyAIR, en donde podemos ver claramente cuál punto de acceso tiene habilitado el mecanismo WEP y cuál no.

En el ejemplo solo es necesario dar un clic en la red Wireless sin habilitar el mecanismo WEP y posteriormente presionar el botón connect y listo¡¡¡, se tiene acceso a Internet gratis.

         Imagen 2. Ejemplo de WEP habilitado

Ante dicho panorama la responsabilidad de los ISP deberían estar comprometidos en erradicar el robo de la conexión, por dos motivos. El primer motivo debe ir dirigida hacia la confianza del cliente, informándole sobre la seguridad de su dispositivo y los beneficios que esta le aporta; El segundo motivo es por beneficio propio de los ISP, ya que al existir “usuarios” sin realizar un pago por la conexión pierden clientes, se incrementa la utilización del ancho de banda, no se realiza esfuerzos por erradicar la existencia de “usuarios” sin contrato y finalmente evitar problemas con un cliente por mal uso de los recursos de la red causado por usuarios mal intencionados.

Debido a las vulnerabilidad presentadas por WEP, la comunidad investigadora ha propuesto la utilidad del algoritmo Wi-Fi Protected Access (

WPA), dicho algoritmo incrementa la robustez en el nivel de protección de datos y el control de acceso en la red Wireless, entre sus características de seguridad se encuentra la Autenticación en dos fases:

1. La primer etapa se utiliza un sistema de autenticación abierto indicando al cliente Wireless que puede enviar tramas al AP.

2. Se segunda etapa se utiliza el estándar 802.1X para el nivel de autenticación del usuario.

Con dicho algoritmo se espera incrementar la seguridad en los AP, pero el problema principal seguirá existiendo en la capa 8 (El usuario o profesional encargado de la instalación) al realizar la correcta instalación del dispositivo y configuración de los parámetros de seguridad entre otros, por tal motivo el compromiso por parte de los ISP en capacitar a su personal y considerar la seguridad de sus dispositivos como parte de su procedimiento de instalación es clave para minimizar el robo del acceso a Internet de los usuarios que pagan mensualmente la tarifa plana y realizaron un contrato.

Finalmente como conclusión cabe recordar que el robo de una conexión a Internet es similar al robo de cualquier otro servicio o mercancía por el cuál pagamos y al momento no existe alguna ley o sanción legislativa al respecto, para poder castigar a los infractores con acciones penales o económicas. Acciones que serían el complemento a una correcta configuración de los algoritmos de seguridad previamente mencionados.

La seguridad no es una necesidad, sino un lujo en tecnologías de la información y como todo lujo es tan costoso como se requiera.

Autor

Rafael Martínez Peláez

Ingeniero en Sistemas

Contacto

rafael_net@mexico.com

Fecha:  20 de mayo de 2005

Compartir