UNIVERSIDAD LATINOAMERICANA DE CIENCIA Y TECNOLOGÍA FACULTAD DE INGENIERÍA ESCUELA DE INGENIERÍA INFORMÁTICA

Transcripción

1 UNIVERSIDAD LATINOAMERICANA DE CIENCIA Y TECNOLOGÍA FACULTAD DE INGENIERÍA ESCUELA DE INGENIERÍA INFORMÁTICA Trabajo final para optar por el título de Licenciatura en Sistemas de Información con Énfasis en Sistemas Telemáticos Creación del RIACH para todo el territorio nacional (Red Inalámbrica Corporativa Hacendaría) Realizado por: Francisco Medrano Martínez Cédula Profesor: Lic. Miguel Pérez Montero Diciembre, 2006

2 ii Índice Introducción.. 1 Transmisiones por FSO.. 8 Transmisión por medio de microonda 9 Ventajas y desventajas de las redes inalámbricas... 9 Seguridad WEP (Wired Equivalent Privacy). 10 Seguridad WPA (Wi-Fi Protected Access, acceso protegido Wi-Fi). 13 WPA2 (IEEE i) Telefonía IP Propuesta para instalación del RIACH. 17 Conclusión 20 Bibliografía 21

3 1 Introducción El Ministerio de Hacienda del Gobierno de Costa Rica es el ente encargado de reducir el déficit fiscal mediante una mejor recaudación, administración de las deudas públicas interna y externa; velar por la correcta y eficiente recaudación de todos los impuestos, tasas y contribuciones en el país. Actualmente el Ministerio de Hacienda posee veinte dependencias encargadas de fiscalizar y controlar las actividades que se realizan en Costa Rica para el control institucional. Una de las dependencias del Ministerio es la Dirección General de Administración de Bienes y Contratación Administrativa, ente rector de toda Administración Central. Para la fiscalización de la Contratación Administrativa utiliza el Sistema COMPRARED y para la supervisión y control de los bienes posee el Sistema SIBINET. Por otra parte, la Dirección General de Aduanas se encarga de recolectar los impuestos de entrada al país. Para ello ha creado el Sistema TICA, donde se encuentran los aranceles de las actividades de todas las aduanas de Costa Rica. Una de las dependencias más importantes del Ministerio es la Dirección General de Informática, la cual se encarga de establecer las pautas de la adquisición de cualquier tipo de equipo de informática. En la actualidad esta Dirección posee las mejores herramientas en Informática del Ministerio. Gracias a los servicios brindados por Radiográfica Costarricense (RACSA), se utiliza tecnología de FRAME RELAY y VSAT en las diferentes direcciones de la institución y algunas otras que usan la red de Hacienda, En este momento RACSA proporciona un ancho de banda que inicia con 64 kbps y llega hasta 2048 kbps solo en los puntos centrales ubicados en San José. Debido a las limitaciones de acceso a conectividad y anchos de banda suministrados, Hacienda ha visto limitada la implementación del uso de herramientas fundamentales de comunicación, capacitación, entre otros. Esta situación no ha permitido el uso de herramientas como correo electrónico por parte de todos los funcionarios de Aduanas, Tributación Directa y demás dependencias de Hacienda y de las administraciones tributarias. Hoy en día la conectividad de las instituciones varía según la importancia de los datos y de los sistemas utilizados, ya que Hacienda posee varios sistemas como el SIGAF para las contrataciones, COMPRARED, para el servicio al público, SIBINET que es el sistema donde deben estar todos los bienes que posee la Administración Central, el sistema TICA que pertenece a la Dirección General de Aduanas, el cual debe estar disponible los 365 días del año y las 24 horas del día.

4 2 Las velocidades de conexión varían entre los 64 kbps y los 2048 kbps, pero esto no es suficiente para las instituciones, pues algunas utilizan los sistemas de Hacienda como sus propios sistemas. Desde hace más de diez años, el Ministerio de Hacienda y sus dependencias vienen trabajando bajo una plataforma de telecomunicaciones terrestre de muy baja velocidad suministrada principalmente por RACSA (Radiográfica Costarricense S.A.) bajo su servicio RACSANET y en menor grado con el ICE (Instituto Costarricense de Electricidad) con su servicio de líneas de cobre de baja velocidad. El promedio de velocidad que utiliza cada dependencia del Ministerio es de 512 kbps. Esto obedece principalmente a que la infraestructura actual de telecomunicaciones de quienes brindan dicho servicio no está preparada para satisfacer un ancho de banda mayor, ni se han cubierto todos los puntos de las oficinas del Ministerio que se requiere interconectar. A continuación se presentan los actuales puntos y anchos de banda. Cuadro 1 Conectividad (Racsa/ICE) Dependencia Velocidad actual en kbps DGA división de informática 2048 DGA Dir. General de Aduanas, 512 Tributación Directa y demás Dependencias de Hacienda DGA Aduana Central 256 DGA Aduana Santamaría 256 DGA Aduana Limón 128 DGA Aduana Peñas (VSAT) 64 DGA Aduana Canoas (VSAT) 64 DGA Aduana Caldera (VSAT) 64 DGA Sixaola NC DGA Golfito NC DGA Aduana La Anexión NC DGA Los Chiles NC DGA Tobías Bolaños NC DGA Aduana Postal Zapote NC DGA Aduana Nicaragua NC DGI DGI en Cobre 2048 DGI DGI Fibra CIR DGI Servicio Civil 256 DGI Presupuesto Nacional 4096 DGI DPTO De exenciones 384 DGI Tribunal Fiscal 128 DGI Policía Fiscal 128 DGI Contabilidad Nacional 256 DGI Fondo Circulante 128 DGI DGA 512 DGI Hacienda 100

5 3 La implementación de esta red inalámbrica ha requerido aproximadamente siete años para realizar la recolección de los requerimientos, análisis de las posibles instituciones que pudieran brindar este servicio (como el ICE y Racsa). Luego de este estudio, se determinó que estas instituciones no daban la solidez que necesita el Ministerio Hacienda y se decidió sacar a concurso. En el año 2005, el Ministerio de Hacienda publicó una contratación directa para la instalación de una red Inalámbrica en todas sus oficinas, ya que las redes del ICE no brindaban una disponibilidad de 24/7, lo cual no era suficiente. Las soluciones que se proponen con este proyecto, es la creación de una nueva red inalámbrica que deben estar basadas en tecnologías tales como: tecnología láser, conocida como F.S.O. (Free Space Optics) y tecnología de microonda en frecuencia licenciada o no licenciada. con una disponibilidad de y , respectivamente. Se contempla que todas las dependencias pertenecientes al Ministerio de Hacienda tengan conectividad inalámbrica. El Ministerio de Hacienda desea que la red sea de tecnología de microonda y de láser, Con la utilización de estas tecnologías se tiene la intención de contar con una capacidad de 155 Mbps en la estructura principal y 8 Mbps para las localidades remotas. Se ha considerado que algunas de las dependencias del Ministerio se encuentran muy cerca de las fronteras de Costa Rica, con sus respectivos vecinos, como es el caso de la frontera con Nicaragua, donde se encuentra la oficina de Peñas Blancas, Los Chiles. En la frontera de Panamá, se encuentran los puestos aduaneros en Sixaola y Paso Canoas. Otros puestos se encuentran en los dos principales puertos del país, uno en Caldera, Puntarenas, y otro en Moín y Limón. Algunas de las instituciones que deben estar interconectadas en esta nueva red inalámbrica son:

6 4 Cuadro 2 Instituciones sujetas de conexión inalámbrica Sitio Dirección 1. Aduana Nicaragua: Frontera Norte. 2. Aduana Peñas Blancas: Frontera Norte. 3. Aduana La Anexión: Liberia Centro. 4. Aduana Caldera: Puerto Caldera - Puntarenas. 5. Aduana Limón: Puerto Limón. 6. Aduana Sixaola: Valle de la Estrella. 7. Aduana Los Chiles: Frontera Norte. 8. Aduana Paso Canoas: Frontera Sur. 9. Aduana de Golfito: Depósito Libre, Golfito 10. Aduana Santamaría: Alajuela. 11. Aduana Postal: Zapote. 12. Aduana Tobías Bolaños: Aeropuerto Tobías Bolaños, Pavas S.J. 13. Aduana Central: Calle Blancos. 14. Tributación Directa Regional San José: Edificio Don Bosco. 15. Tributación Directa Regional San Carlos: San Carlos Centro. 16. Tributación Directa Regional Puntarenas: Puntarenas Centro. 17. Tributación Directa Regional Alajuela: Alajuela Centro. 18. Tributación Directa Regional Heredia: Heredia Centro. 19. Tributación Directa Regional Cartago: Cartago Centro. 20. Tributación Directa Regional Pérez Pérez Zeledón Centro. Zeledón: 21. Tributación Directa Regional Liberia: Liberia Centro. 22. Presupuesto Nacional: San José Centro. 23. Grandes Contribuyentes: San José Centro. 24. Policía Fiscal: Barrio Escalante. 25. Contabilidad Nacional: Sabana Sur. 26. Fondo Circulante: San José Centro. 27. Contraloría General de la República: Sabana Sur. 28. Banco Central de Costa Rica: San José Centro. 29. Dirección General de Aduanas, San José Centro. 30. Ministerio de Hacienda Of. Centrales: Antiguo Banco Anglo. 31. Departamento de Exoneraciones San José Centro. 32. Laboratorio Aduanero Tibás San José 33. Dirección General de Informática O. C.: San José Centro. 34. Ministerio de Obras Públicas y San José Centro Transportes 35. Ministerio de Energía y Minas San José Centro 36. Ministerio de Agricultura y Ganadería: Sabana Sur. 37. Min. Economía Industria y Comercio: Moravia 38. Ministerio de Salud: Parque de la Merced 39. Dirección de Armamento y Explosivos Coronado San José 40. Ministerio de Energía y Minas San José Centro 41. Ministerio Comercio Exterior: Paseo Colón 42. Instituto Nacional de Pesca Barreal de Heredia 43. Japdeva Puerto Limón Limón centro 44. Japdeva Puerto Moín Puerto de Moín 45. Procomer Paseo Colón San José Fuente: Cartel Número CD

7 5 Las instituciones que poseerán una conexión de alta velocidad en la transmisión de datos son la DGI, por constituir el punto central por donde se realizan todas las transmisiones hacia el resto del país. Con este ancho de banda, los usuarios del Ministerio de Hacienda podrán utilizar los sistemas que se encuentran instalados en la DGI, como sería el sistema INTEGRA, EXONET, SIGAF, LEGALNET, entre otros. Por otra parte, la Dirección General de Aduanas ya dispone de la aplicación del TICA, además de los sistemas que posee el MH. Es importante mantener una conexión con el Banco de Costa Rica, pues esta entidad a su vez mantiene una conexión con el servidor SINPE, el cual es el encargado de realizar la deducciones financieras a las empresas que utilizan TICA, la Aduana Central por ser la que tiene un constante tráfico de parte de las empresas que realizan los ingresos de las mercancías a nuestro país. También es fundamental la conexión con la Contraloría General de la República, en vista de la comunicación entre sistemas muy importantes como COMPRARED por parte de Hacienda y el SIAC (Sistema Integrado de actividad Contractual) de la CGR, además de los sistemas SIGAF utilizados para el Presupuesto Nacional, entidad encargada de asignar los fondos a las respectivas instituciones del Gobierno de la República. Para establecer la conexión entre todas las instituciones que se encuentran en San José, se utilizará tecnología láser. Para la instalación de esta red inalámbrica, se ha diseñado un plan de implementación en cuatro etapas. Se espera iniciar en la zona sureste, para lo cual es necesario que la Dirección General de Informática disponga de todos los dispositivos inalámbricos y las torres adecuadas para el envío de los datos Etapa 1 Zona Sureste Lugar por conectar Monte/Cerro Cartago Pérez Zeledón El Brujo Golfito/Paso Canoas Irazú Buena Vista San Pedro Anguciana Etapa 2 Zona Noroeste Lugares por conectar Montes/Cerros Puntarenas/Caldera Liberia/Anexión Peñas Blanca/Nicaragua Berlín Cañas Dulce Garita

8 6 Etapa 3 Zona Atlántica y Norte Lugares por conectar Moin/Limón Sixaola San Carlos/Chiles Montes/Cerros Garrón Uats Monterrey Etapa 4 Zona Gran Área Metropolitana Lugares por conectar Montes/Cerros Dirección de Irazú Armamento Ministerio de Economía Irazú Laboratorio Aduanero Irazú Grandes Contribuyentes Irazú Policía Fiscal Irazú Administración Postal Iraza Ministerio de Energía Bebedero Ministerio de Salud Bebedero Tribunal Supremo de Elec. Bebedero Fondo Circulante Bebedero Ministerio de Comercio Bebedero Ministerio de Ganadería Bebedero Torre Bolaños Bebedero A continuación se muestra gráficamente la instalación de la red inalámbrica en el Valle Central Figura 1 Gran Área Metropolitana Fuente: Cartel Número CD

9 7 Gracias a la instalación de esta nueva red que comunicará a todas las dependencias del Ministerio en todo el país y a otras instituciones, se podrá brindar un ancho de banda mayor y una mejor integración a las dependencias que carecían de conectividad. También se podrán brindar servicios de correo electrónico, acceso a Internet, y se dispondrá de mayor capacidad para utilizar los servicios de Integra. Asimismo, se logrará tener acceso a la Biblioteca Virtual del Ministerio, y realizar capacitaciones a distancia, al estilo de aulas virtuales. Entre las ventajas de esta implementación, se halla la utilización de la red para la telefonía IP, la cual disminuiría significativamente los costos en que debe incurrir el Ministerio por este concepto. También se logrará una alta disponibilidad de los servicios que brinda el Ministerio y otras instituciones que utilicen esta infraestructura. En la Figura 2 se puede observar cómo quedaría estructurada la red RIACH cuando esté finalizada a mediados del año Figura 2 Diagrama de red inalámbrica Fuente: Cartel Número CD Para la ejecución de este proyecto, es necesario considerar las tecnologías que se logren adquirir para Costa Rica, ya que las empresas que ganen el concurso deben demostrar el conocimiento de dichas herramientas y están obligadas a capacitar al personal del Ministerio. Entre otros aspectos por analizar, se encuentran los estándares de las redes inalámbricas y dispositivos de seguridad, hardware o software. Se pretende brindar veracidad a la institución acerca de los datos trasmitidos por la infraestructura inalámbrica, de manera que se asegure que no está siendo

10 8 interceptada y manipulada por ningún tercero. También es importante mencionar las nuevas ventajas de esta tecnología, como sería la telefonía IP. Transmisiones por FSO FSO es el sistema óptico de espacio libre. Utiliza la transmisión inalámbrica láser por infrarrojos punto a punto. Está diseñada para la interconexión de dos puntos situados en línea directa. Estos sistemas operan tomando una señal estándar de datos o de telecomunicaciones. Luego la convierten a un formato digital y la envían a través del espacio libre (aire). El medio de transporte utilizado para la transmisión de esta señal es la luz infrarroja, generada por LED de alta potencia o diodo láser de baja potencia. Estos sistemas de transmisión óptica en espacio libre (FSO) desempeñan un papel cada vez más importante en las comunicaciones de banda ancha, como en los entornos empresariales e inalámbricos del mundo GSM. En este sentido, FSO es muy sencillo y rápido en proporcionar comunicaciones fiables de banda ancha entre pequeñas distancias. Esta tecnología no necesita de licencias gubernamentales ni requiere de permisos especiales. Por ello la mayoría de los diseñadores de redes utilizan FSO como herramienta integral para realizar la conectividad de sus redes, además de que se disminuyen considerablemente tiempos y costos de su instalación. Estos equipos pueden ser utilizados en distancias de 150 metros hasta los 6 kilómetros. Puede trabajar hasta velocidades de 2.5 Gbps. Poseen un conjunto con multiplexores para el traspaso de tramas de voz, datos y video de forma simultánea. Otra ventaja de esta tecnología es que dependiendo del tipo de servicios que se vayan a ampliar, la conexión al receptor se proporciona sobre cobre (para interfaces como E1, Ethernet o Fast Ethernet) o sobre fibra óptica (para servicios como ATM o SDH). Por otra parte, uno de los principales problemas de esta tecnología es que debe poseer una línea de visión clara. No debe haber obstrucción física entre los dos dispositivos. El mayor obstáculo para los FSO son las condiciones climáticas. Las máximas distancias deben tener en cuenta la máxima cantidad de lluvia y niebla que la zona pueda tener. La niebla está formada por finas gotas de lluvia, normalmente tienen un diámetro de unos pocos cientos de micras. Estas gotas se convierten en vapor y pueden alterar las características de transmisión. Para resolver los problemas relacionados con condiciones climáticas, hay que reducir la distancia entre los cabezales o ampliar la potencia del láser.

11 9 Transmisión por medio de microonda Las microondas son ondas electromagnéticas, cuyas frecuencias se encuentran dentro del espectro de las súper altas frecuencias. El nuevo sistema inalámbrico logra increíbles velocidades de transmisión y recepción de datos del orden de los 2048 kbps y promete convertirse en corto tiempo en una opción al alcance de muchos bolsillos. La información viaja a través del aire de forma similar a la tecnología de la radio. Estas ondas operan en las bandas de 3,5 y 28 GHz, y viajan a través de espacio libre. La nueva tecnología inalámbrica trabaja bien en ambientes de ciudades congestionadas, ambientes suburbanos y rurales, al sobreponerse a los problemas de instalación de líneas terrestres. Ventajas y desventajas de las redes inalámbricas Como es conocido, en las redes inalámbricas el aire es el medio que conduce la información, por lo que los datos podrían ser tomados o interferidos por una transmisión que se encuentre en la misma frecuencia que utiliza el dispositivo inalámbrico. También es posible que un usuario no autorizado utilice un AP (punto de acceso) ilegal más potente que capte las estaciones de los usuarios, y estos se conecten a ese AP y no al AP de la empresa. En caso de una conexión directa entre estaciones de trabajo sin pasar por un AP, existe la gran posibilidad de un ataque directamente a dichas máquinas, lo que generaría graves problemas si esta estación ofrece servicios de TCP/IP o comparte ficheros. Además se corre el riesgo de duplicación de direcciones IP o MAC de las estaciones de la empresa. Entre las funciones que posee dicha tecnología, se puede nombrar el WAP (Wireless Aplication Protocol) o como protocolo para aplicaciones sin hilos. WAP es una solución unificada para los servicios de valor añadido existentes y futuros. Este protocolo incluye especificaciones para las capas OSI de sesión y de transporte, así como funcionalidades de las aplicaciones, además dispone de las capacidades de pantalla y recursos de red según su necesidad. Los servicios podrán ser aplicables a pantallas de una sola línea o a terminales mucho más complejos. Como cualquier estándar, las ventajas son múltiples a la hora de desarrollar aplicaciones. Entre otras de las funciones que brinda WAP en las empresas, está el envío de facsímiles y correos electrónicos al servidor de intranet o multienvío de correos a los móviles de la compañía, lo cual reduciría los costos de la empresa considerablemente. Además, se podrá utilizar como recordatorio, agenda,

12 10 programación de viajes. También se podrá acceder a las bases de datos de la compañía (Stocks, clientes, proveedores, catálogos). En cuanto a información general, permite informarse de: Las últimas noticias de actualidad (política, sociedad, economía, cultura, etc.). Novedades que se dan diariamente en el mundo del deporte, programación diaria de todas las cadenas de TV con posibilidad de búsqueda por el tipo de programas, por su horaria, etc. Cartelera actualizada de todos los cines (salas, películas y horarios). Resultados y premios de todos los sorteos. Estado del tiempo con predicciones, imágenes vía satélite, previsiones para viajes de 24 y 48 horas, etc. Anuncios clasificados para comprar, vender, buscar y cambiar, entre otros. Esta tecnología utiliza los estándares , manejados también por las comunicaciones de la IEEE, que se deriva de la tecnología de redes de área local. Cuadro 3 Protocolos para estándar x Estándar Velocidad Frecuencia Modulación legacy 2 mbps 2.4 ghz CSMA/CA b 11 mbps 2.4 ghz DSSS/CCK a 54 mbps 5 ghz OFDM g 54 mbps 2.4 ghz DSSS/PBCC Fuente: Documentos de WLAN Se pretende ofrecer al mercado a finales del 2006 el estándar n que tendrá una velocidad de unos 500 mbps En la actualidad WAP soporta servicios como mensajes cortos (SMS), circuit switched data, unstructures supplementary service data (USSD) así como el inminente general packet radio service (GPRS). SEGURIDAD WEP (Wired Equivalent Privacy) WEP es el algoritmo opcional de seguridad incluido en la norma IEEE Los objetivos de WEP, según el estándar, son proporcionar confidencialidad, autentificación y control de acceso a las redes WLAN WEP utiliza una clave simétrica y estática en todas las estaciones que estén conectadas al AP y en el punto de acceso. El WEP no contempla ningún mecanismo de distribución automática de claves, lo que obliga a escribir la clave manualmente en cada uno de los elementos que estén utilizando la red.

13 11 Esto genera varios inconvenientes., como la posibilidad de que la clave esté almacenada en todas las estaciones, lo que aumenta el riesgo de que sea comprometida. Además, la distribución manual de claves provoca un aumento de mantenimiento por parte del administrador de la red, lo que genera el riesgo de que la clave se cambie poco o nunca. El algoritmo de encriptación utilizado es RC4 con claves (seed), según el estándar de 64 bits. Estos 64 bits están formados por 24 bits correspondientes al vector de inicialización más 40 bits de la clave secreta. Los 40 bits son los que se deben distribuir manualmente. El vector de inicialización (IV), en cambio, es generado dinámicamente y debería ser diferente para cada trama. El objetivo principal con el IV es cifrar con claves diferentes para impedir que un posible atacante pueda capturar suficiente tráfico cifrado con la misma clave y terminar finalmente deduciendo la clave. Como es lógico, ambos extremos deben conocer la clave secreta y el IV. Una pequeña descripción del algoritmo de encriptación de WEP es el siguiente: 1. Se calcula un CRC de 32 bits de los datos. Este CRC-32 es el método que propone WEP para garantizar la integridad de los mensajes (ICV, Integrity Check Value). 2. Se concatena la clave secreta a continuación del IV formado el seed. 3. El PRNG (pseudo-random number generator) de RC4 genera una secuencia de caracteres pseudoaleatorios (keystream), a partir del seed de la misma longitud que los bits obtenidos en el punto Se calcula la O exclusiva (XOR) de los caracteres del punto 1 con los del punto 3. El resultado es el mensaje cifrado. 5. Se envía el IV (sin cifrar) y el mensaje cifrado dentro del campo de datos (frame body) de la trama IEEE El algoritmo para descifrar es similar al anterior. Debido a que el otro extremo conocerá el IV y la clave secreta, tendrá entonces el seed y con ello podrá generar el keystream. Realizando el XOR entre los datos recibidos y el keystream, se obtendrá el mensaje sin cifrar (datos y CRC-32). A continuación se comprobará que el CRC-32 es correcto. Entre las limitaciones, está la implementación del vector de inicialización (IV) en el algoritmo WEP que posee varios problemas de seguridad. Hay que recordar que el IV es la parte que varía de la clave (seed) para impedir que un posible atacante recopile suficiente información cifrada con una misma clave. Sin embargo, el estándar (protocolo de redes inalámbricas) no especifica cómo manejar el IV. Se indica que se debería cambiarse en cada trama para mejorar la privacidad, pero no se obliga a ello. Queda abierta a los fabricantes la cuestión de cómo variar el IV en sus productos. La consecuencia de esto es que buena parte de las implementaciones optan por una solución sencilla: cada vez que arranca la tarjeta de red, se fija el IV a 0 y se incrementa en 1 para cada trama. Esto ocasiona que las primeras combinaciones de IVs y clave secreta se repitan muy frecuentemente. Más aún si se toma en cuenta que cada estación utiliza la misma clave secreta, por lo que las tramas con igual clave se multiplican en el medio.

14 12 La longitud de 24 bits para el IV forma parte del estándar y no puede cambiarse. Si bien es cierto que existen implementaciones con claves de 128 bits (lo que se conoce como WEP2), en realidad lo único que se aumenta es la clave secreta (104 bits) pero el IV se conserva con 24 bits. El aumento de la longitud de la clave secreta no soluciona la debilidad del IV. Entre los objetivos de WEP, se encuentra proporcionar un mecanismo que garantice la integridad de los mensajes. Con este fin, WEP incluye un CRC- 32 que viaja cifrado. Sin embargo, se ha demostrado que este mecanismo no es válido y es posible modificar una parte del mensaje y a su vez el CRC, sin necesidad de conocer el resto. Esto permitiría, por ejemplo, modificar algún número de la trama sin que el destino se percatara de ello. En lugar del algoritmo de CRC, se recomienda como ICV (Integrity Check Value) un algoritmo diseñado para tal fin como SHA1-HMAC. El estándar IEEE incluye un mecanismo de autentificación de las estaciones basado en un secreto compartido. Para ello se utiliza la misma contraseña de WEP en la forma que describimos a continuación. Una estación que quiere unirse a una red solicita al punto de acceso de autentificación. El punto de acceso envía un texto claro a la estación y ésta lo cifra y se lo devuelve. El punto de acceso finalmente descifra el mensaje recibido, comprueba que su ICV es correcto y lo compara con el texto que envió. El mecanismo anterior de autentificación de secreto compartido tiene el problema de enviar por la red el mismo texto sin cifrar y cifrado con la clave WEP. Esta clave coincide con la utilizada para asegurar la confidencialidad. El estándar es consciente de esta debilidad y aconseja no utilizar el mismo IV para el resto de transmisiones. Sin embargo, si las implementaciones repiten o no ese IV, el mecanismo ofrece información que podría ser aprovechada para romper la clave WEP utilizando las debilidades del vector de inicialización explicadas más arriba. WEP no incluye autentificación de usuarios. Lo más que incluye es la autentificación de estaciones descrita (podrán entrar aquellas estaciones que en su configuración tengan almacenada la clave WEP). El sistema de autentificación descrito es tan débil que el mejor consejo sería no utilizarlo para no ofrecer información extra a un posible atacante. En este caso tendríamos una autentificación de sistema abierto, es decir, sin autentificación. Entre la larga lista de problemas de seguridad de WEP, se encuentra también la ausencia de mecanismos de protección contra mensajes repetidos (replay). Esto permite que se capture un mensaje y se introduzca en la red en un momento posterior. El paquete podría ser, por ejemplo, el que contiene la contraseña de un usuario para utilizar un determinado servicio. Todos los problemas comentados unidos a las características propias de WEP como la distribución manual de claves y la utilización de claves simétricas, hacen que este sistema no sea apropiado para asegurar una red inalámbrica. El estudio de N. Borisov, I. Goldberg y D. Wagner explica razonadamente que ninguno de los objetivos planteados por WEP se cumplen. Las vulnerabilidades explicadas de WEP son motivos suficientes para utilizar otros mecanismos de seguridad en redes WLAN.

15 13 Aunque no forma parte del estándar, los fabricantes de productos Wi-Fi decidieron ofrecer la posibilidad de utilizar claves del doble de longitud (de 64 bits a 128 bits). WEP utilizado con claves de 128 bits es lo que se conoce generalmente como WEP2. Sin embargo, se debe observar que la longitud del vector de inicialización sigue siendo de 24 bits (las tramas IEEE no contemplan un mayor número de bits para enviar el IV), por lo que lo único que se ha aumentado es la clave secreta (de 40 bits a 104 bits). Debido a que la longitud del IV y su forma de utilizarlo no varían, las debilidades del IV pueden seguir siendo aprovechadas de la misma manera. WEP2 no resuelve los problemas de WEP. Otra variante de WEP utilizada en algunas implementaciones es WEP dinámico. En este caso se busca incorporar mecanismos de distribución automática de claves y de autentificación de usuarios mediante 802.1x/EAP/RADIUS. Requiere un servidor de autentificación (RADIUS normalmente) funcionando en la red. En el caso de que la misma clave (clave secreta + WEP) no se utilice en más de una trama, este mecanismo sería suficiente para compensar las principales debilidades de WEP. Sin embargo, la solución preferida por las empresas como alternativa a WEP ha sido la utilización de VPNs, de la misma manera que se haría si los usuarios estuviesen conectados remotamente a la oficina. La tecnología de VPNs está suficiente probada y se considera segura, aunque no ha sido diseñada específicamente para redes WLAN. Tiene como inconveniente la falta de interoperatibilidad entre dispositivos de distintos fabricantes. Fuente: SEGURIDAD WPA (Wi-Fi Protected Access, acceso protegido Wi-Fi) WPA es la respuesta de la asociación de empresas Wi-Fi a la seguridad que demandan los usuarios y que WEP no puede proporcionar. El IEEE tiene casi terminados los trabajos de un nuevo estándar para reemplazar a WEP, que serán publicarán en la norma IEEE i a mediados de Debido a la tardanza (WEP es de 1999 y las principales vulnerabilidades de seguridad se encontraron en 2001), Wi-Fi decidió, en colaboración con el IEEE, tomar aquellas partes del futuro estándar que ya estaban suficientemente maduras y publicar así WPA. WPA es, por tanto, un subconjunto de lo que será IEEE i. WPA (2003) se está ofreciendo en los dispositivos actuales. WPA soluciona todas las debilidades conocidas de WEP y se considera suficientemente seguro. Puede ocurrir incluso que usuarios que utilizan WPA no vean necesidad de cambiar a IEEE i cuando esté disponible. Las principales características de WPA son la distribución dinámica de claves, utilización más robusta del vector de inicialización (mejora de la confidencialidad) y nuevas técnicas de integridad y autentificación. WPA incluye las siguientes tecnologías: o IEEE 802.1X. Estándar del IEEE de 2001 para proporcionar un control de acceso en redes basadas en puertos. El concepto de puerto, en un principio pensado para las ramas de un switch, también se puede aplicar a

16 14 las distintas conexiones de un punto de acceso con las estaciones. Las estaciones tratarán entonces de conectarse a un puerto del punto de acceso. El punto de acceso mantendrá el puerto bloqueado hasta que el usuario se autentifique. Con este fin se utiliza el protocolo EAP y un servidor AAA (Authentication Authorization Accounting) como puede ser RADIUS (Remote Authentication Dial-In User Service). Si la autorización es positiva, entonces el punto de acceso abre el puerto. El servidor RADIUS puede contener políticas para ese usuario concreto que podría aplicar el punto de acceso (como priorizar ciertos tráficos o descartar otros). o EAP. EAP, definido en la RFC 2284, es el protocolo de autentificación extensible para llevar a cabo las tareas de autentificación, autorización y contabilidad. EAP fue diseñado originalmente para el protocolo PPP (Pointto-Point Protocol), aunque WPA lo utiliza entre la estación y el servidor RADIUS. Esta forma de encapsulación de EAP está definida en el estándar 802.1X bajo el nombre de EAPOL (EAP over LAN). o TKIP (Temporal Key Integrity Protocol). Según indica Wi-Fi, es el protocolo encargado de la generación de la clave para cada trama. o MIC (Message Integrity Code) o Michael. Código que verifica la integridad de los datos de las tramas. Fuente: Con base en las comparaciones de ambas tecnologías, es posible señalar que la misión del WPA es el solucionar la debilidad del vector de inicialización (IV) de WEP por medio de la inclusión de vectores de doble de longitud (48 bits), con la especificación de reglas de secuencia que los fabricantes deben implementar. Los 48 bits permiten generar de dos a 48 combinaciones de claves aleatorias, un número suficientemente elevado sin duplicados. El algoritmo utilizado por WPA sigue siendo RC4. La secuencia de los IV es conocida por ambos extremos de la comunicación, lo que evita ataques de repetición de tramas. Para la integridad de los mensajes (ICV), se ha eliminado el CRC-32, ya que es inservible en WEP y se ha incluido un nuevo código denominado MIC. Bajo este estándar, las claves son generadas dinámicamente y distribuidas de forma automática, por lo que se evita la modificación manual de cada uno de los elementos de la red por cada cierto tiempo, como ocurría en WEP. Para los casos de autentificación, se sustituye el mecanismo de autentificación de secreto compartido que existe para WEP, así como la posibilidad de verificar las direcciones MAC de las estaciones por la terna 802.1X / EAP / RADIUS. En único inconveniente que posee es que requiere de una mayor infraestructura, como un servidor RADIUS que funcione en la red, aunque también podría utilizarse un punto de acceso con esta funcionalidad. Los servidores RADIUS se utilizan para la autenticación de usuarios. Un servidor RADIUS puede realizar consultas en una base de datos para verificar la existencia del usuario, o la solicitud puede transmitirse a otro servidor para su validación. Si la autenticación es positiva y permite la conexión a dicha red, el Server vuelve a enviar el mensaje al punto de acceso y éste permite que el tráfico de datos fluya. Gracias al EAP (Protocolo de autentificación extensible), es posible la comunicación entre clientes y servidores de autentificación.

17 15 Figura 3 Función del EAP/RADIUS Fuente: Además de estas tecnologías el WPA utiliza TKIP (Protocolo de integridad de clave temporal), donde se eliminan todas las debilidades del WEP. Lo que realiza el TKIP es la utilización de un mecanismo de per-packetkey, lo que hace este mecanismo es calcular la clave y se intercala una función HASH, que utiliza una clave distinta para cada paquete. Como otro punto importante se debe de decir que a esta tecnología se le incorporo un controlador de integridad de los datos mejorado, conocido como MIC (Código de integridad del mensaje), la función de dicho controlador es para evitar la manipulación de los datos. WPA2 (IEEE i) La IEEE ofrece el nuevo estándar i para proporcionar seguridad en redes WLAN. Se espera que esté concluido todo el proceso de estandarización para mediados de Wi-Fi implementará dicho estándar en la especificación WPA2. Por ser un estándar muy reciente, las especificaciones no son públicas, por lo que la cantidad de información disponible en estos momentos es realmente escasa. WPA2 incluye el nuevo algoritmo de cifrado AES (advanced encryption standard) desarrollado por el NIS. Tiene un bloque (RC4 es de flujo) con claves de 128 bits. Se requerirá de un hardware de alto rendimiento para realizar sus algoritmos. Los dispositivos antiguos que no tengan suficiente capacidad de proceso no podrán incorporar WPA2. WPA2 utiliza CCMP (counter-mode / cipher block chaining / message authentication code protocol) en lugar de los códigos MIC. Esto permite asegurar la integridad y autenticidad de los mensajes que se transmiten en la WLAN. Otra mejora del WPA2 es que incluirá soporte no sólo para el modo BSS, sino también para el modo IBSS (redes ad-hoc). Con este nuevo estándar, será posible implementar en las redes wireless una encriptación más fuerte y una autenticación que permitan un roaming rápido entre los puntos de acceso.

18 16 Telefonía IP La telefonía IP se basa en el protocolo de Internet, específicamente para el enrutamiento de las conversaciones de voz o para las redes empresariales que poseen direccionamientos IP. La utilización de esta tecnología se ha incrementado en el transcurso de los años, gracias a comunicación que se da por medio de Internet. El único inconveniente para la utilización de esta tecnología, es la inversión que debe realizarse para la compras de los equipos telefónicos, debido a sus especificaciones. Entre ellas, estos equipos permiten que el usuario pueda trasladar sus oficinas dentro de las instalaciones y que con solo la conexión del cable del teléfono, se recuperar la extensión que poseía en la oficina anterior. Otra ventaja que estos teléfonos poseen un software que puede ser instalado en las máquinas y éstas pueden funcionar como teléfonos. Este software es más ventajoso para las personas que viajan mucho, ya que sus empresas podrían tener una VPN, que puede conectarse a la red de la empresa y así podrían realizar las llamadas desde cualquier punto. Se estima una reducción de por lo menos un 74% en los costos de las llamadas. Además, si antes se enviaba una llamada normal ahora se podrían enviar 10 en formato digital. La única desventaja que posee esta tecnología es la calidad de la comunicación, como los ecos, interferencias, interrupciones, sonidos de fondo, distorsiones de sonido, etc., que puede variar según la conexión a Internet y la velocidad de conexión ISP (Proveedor de Servicios de Internet) Asimismo, el estándar VoIP (H323) se incorpora a esta tecnología, pues el principal objetivo es asegurar la interoperabilidad entre equipos de diferentes fabricantes, fijando aspectos como la supresión de silencios, codificación de la voz y direccionamiento, y estableciendo nuevos elementos para permitir la conectividad con la infraestructura telefónica tradicional. Figura 4 Teléfono IP Fuente:

19 17 Propuesta para instalación del RIACH Como se ha mencionado, para las dos tecnologías, FSO y Microonda, se deben tomar en cuenta las frecuencias que se podrían utilizar en Costa Rica. Las frecuencias en microondas licenciadas están en los siguientes rangos: 6450 a 6470 Mhz, 6470 a 6490 Mhz, 6800 a 6820 Mhz y 6820 a 6840 Mhz. Para realizar el envío de los datos a las distintas dependencias, se pretende utilizar la VPN. El método de encripción posee la alternativa de utilizar al 3DES, un estándar de codificación de datos que utiliza una encripción de 192 bit. El único inconveniente que posee esta encripción es su tamaño, ya que el AES tiene la facultad de comprimir el archivo y realizar el envío de estos datos. Además, su encripción puede llegar hasta los 256 bits. Sin embargo, 192 del 3DES es casi imposible de desencriptar, pero a algunas empresas no es les importa mucho si poseen una buen ancho de banda por donde se pueda realizar la transmisión de los datos. Para estas dos tecnologías se dispone de un ancho de banda determinado, de 155 mbps para FSO y 8 mbps para microonda. Cuadro 4 Tecnología y puntos por conectar Tecnología Cantidad de conexiones punto a punto FSO/MC-DSSS1 7 Microonda 32 FSO 4 Fuente: MC-DSSS (Multi Code Direct Secuence Spread Spectrum) Las instalaciones que tendrían las conexiones de FSO/MC-DSSS punto a punto son: Contraloría General de la República (CGR). Contabilidad Nacional (este punto incluye la Contabilidad Nacional, Dirección de General de Administración de Bienes y Contratación Administrativa y la Proveeduría Institucional). Departamento de Exoneraciones. Banco Central de Costa Rica. Aduana Central. Aproximadamente 32 instituciones tendrán la conexión de microonda. Estas instituciones tendrán una conexión de 8 megas. A continuación se citan los nombres de esas instituciones.

20 18 Cuadro 5 Sitio Aduana Nicaragua. Aduana La Anexión. Aduana Limón. Aduana Los Chiles. Aduana Santamaría. Aduana de Golfito Tributación Directa Regional San José Tributación Directa Puntarenas. Tributación Directa Heredia. Tributación Directa Pérez Zeledón. Grandes Contribuyentes. Fondo Circulante. Min. Economía Industria y Comercio. Ministerio Comercio Exterior. Ministerio de Energía y Minas Laboratorio Aduanero Fuente: Cartel Número CD Sitio Aduana Peñas Blancas. Aduana Caldera. Aduana Sixaola. Aduana Paso Canoas. Aduana Postal. Aduana Tobías Bolaños Tributación Directa San Carlos. Tributación Directa Alajuela. Tributación Directa Cartago. Tributación Directa Liberia. Policía Fiscal. Ministerio de Agricultura y Ganadería. Ministerio de Salud Ministerio de Seguridad Instituto Nacional de Pesca Estos son los cuatro puntos que deben disponer de una conexión de tecnología FSO. Para ellos se recomienda una topología de anillo. Cuadro 6 Dirección General de Informática Dirección General de Aduanas Ministerio de Hacienda Presupuesto Nacional. Fuente: Cartel Número CD (Edificio Efitec) (Edificio Pozuelo) (Edificio del antiguo Banco Anglo Costarricense). (Edificio Olimpo) Seguidamente se muestran algunos de los equipos que podrían utilizarse: Proventia M10 (integrate security appliance) este dispositivo es el encargado de detener todas las amenazas de Internet, además de los virus, gusanos, hackers, spams y algunos elementos indeseables de la Web. Este dispositivo posee VPN, sistemas de prevención de intrusos, antivirus, antispam, filtrados de Web, crea reportes, bloqueos de spyware, servicios (SSH, DHCP Relay, DHCP Server, SMTP advance firewall y HTTP Proxy), entre otros.