Router Teldat. Interfaces Wireless LAN

Transcripción

1 Router Teldat Interfaces Wireless LAN Doc. DM771 Rev Junio, 2008

2 ÍNDICE Capítulo 1 Wireless LAN Introducción Nivel físico Tipos de redes inalámbricas Red inalámbrica Ad-Hoc Infraestructura Extensión de redes inalámbricas: el sistema de distribución Tramas en una WLAN Envío de tramas en una WLAN: acceso al medio... 8 a) Confirmación activa... 8 b) RTS/CTS: el problema del nodo oculto Formato de una trama WLAN Formato de las tramas de gestión Conexión a una red inalámbrica a) Identificación de la red inalámbrica Búsqueda pasiva Búsqueda activa b) Autenticación Autenticación abierta (Open-System Authentication) Autenticación con clave compartida (Shared-Key Authentication) c) Asociación Modo ahorro de energía a) Tramas unicast b) Tramas multicast Seguridad en redes Wireless LAN Control de acceso MAC Cifrado WEP Autenticación 802.1X Cifrado WEP dinámico WPA y WPA2 (RSN) Capítulo 2 Configuración de interfaces Wireless LAN Acceso a la configuración de la Wireless LAN Estructura del menú de configuración Configuración común a todos los BSS Configuración de seguridad Configuración de parámetros de acceso al medio Configuración del BSS Configuración de la seguridad Comandos del menú de configuración ? (AYUDA) ACCESS-CONTROL ANTENNA BEACON BSS CHANNEL COUNTRY FRAGMENT-THRESHOLD KEY LIST MODE NO POWER RTS ii -

3 5.15. EXIT Comandos del menú de configuración del BSS ? (AYUDA) AKM-SUITE AUTHENTICATION CIPHER GROUPKEY-UPDATE KEY DEFAULT LIST NO PRIVACY-INVOKED RSN SSID-SUPPRESS WEP-KEYSOURCE WPA-PSK EXIT Capítulo 3 Monitorización de interfaces Wireless Acceso a la monitorización de la Wireless LAN Comandos del menú de monitorización ? (AYUDA) ACL SHOW BEACON-SHOW BSS SHOW CHANNEL SHOW COUNTRY SHOW DOT1X SHOW DUMP RADAR SHOW STATION SHOW EXIT Capítulo 4 Ejemplos de configuración Configuración básica: bridge y DHCP Escenario Configuración Wireless LAN Configuración de bridge Configuración de DHCP Configuración completa WEP estático con control de acceso MAC Escenario Configuración WEP dinámico Escenario Configuración WPA-PSK Escenario Configuración WPA, WPA2 con servidor Radius Escenario Configuración Apendicé Códigos Códigos de país permitidos iii -

4 Capítulo 1 Wireless LAN

5 1. Introducción La utilización del interfaz Wireless LAN (WLAN) permite la conexión de varios equipos en red sin utilizar cables. Para ello, los paquetes se radian utilizando bandas de frecuencia y modulaciones estandarizadas. La principal ventaja de las redes inalámbricas es la movilidad de los usuarios, así como su flexibilidad para admitir nuevos usuarios sin realizar cambios en la infraestructura. Sin embargo, el hecho de que los paquetes se radien provoca que cualquiera pueda escuchar estos paquetes, por lo que se debe ser especialmente cuidadoso con la seguridad a la hora de montar una red inalámbrica. En este capítulo se introducen los conceptos básicos de funcionamiento de las redes inalámbricas, haciendo hincapié en la parte de seguridad. ROUTER TELDAT Interfaz Wireless LAN I - 2

6 2. Nivel físico El estándar que define el funcionamiento de una red Wireless LAN es el del IEEE. Sobre el estándar inicial, se han ido aprobando diferentes estándares para ampliarlo, ya sea para definir nuevas modulaciones (802.11a, b, g), mejorar el nivel de seguridad definido en el estándar inicial (802.11i) o definir nuevas funcionalidades (caso del estándar e, que define la calidad de servicio en redes Wireless LAN). En la actualidad, se utilizan tres estándares diferentes para el nivel físico. En la siguiente tabla se muestra la banda de frecuencia en la que operan y la velocidad máxima alcanzable en los distintos estándares. Modo Frecuencia Velocidad máxima a 5 GHz 54 Mbps b 2.4 GHz 11 Mbps g 2.4 GHz 54 Mbps Cómo se puede observar en la tabla, los estándares b y g comparten una misma banda de frecuencia, lo que permite la coexistencia de equipos de ambos estándares en una misma red. Los equipos que operan utilizando los estándares b/g son los más habituales en la actualidad. La banda de frecuencia en la que se opera se divide en canales. Cada país controla su espectro radioeléctrico, lo que se traduce en que los canales permitidos dentro de una banda de frecuencia varían de un país a otro. Para evitar interferencias entre canales, se recomienda que si hay dos redes inalámbricas operando en la misma zona, los canales en los que operan estén separados al menos por dos canales sin utilizar. Así, por ejemplo, si una red opera en el canal 1, la otra debe hacerlo en el 4 para minimizar la interferencia. ROUTER TELDAT Interfaz Wireless LAN I - 3

7 3. Tipos de redes inalámbricas El elemento básico en la creación de una red inalámbrica es el denominado BSS (Basic Service Set), que consiste en un conjunto de estaciones que se comunican entre sí. A la hora de crear una red inalámbrica existen dos opciones: red inalámbrica independiente o ad-hoc (también llamada IBSS: Independent Basic Service Set) y red inalámbrica en modo infraestructura. Las redes inalámbricas se distinguen a través de un identificador de red (SSID: Service Set IDentifier), cadena de 32 octetos Red inalámbrica Ad-Hoc En este tipo de redes, las estaciones inalámbricas se comunican entre sí directamente, sin necesidad de un elemento gestor del tráfico. Este modo está pensado para crear pequeñas redes temporales. En este tipo de red, para que dos estaciones se comuniquen, es necesario que las estaciones se escuchen, es decir, que cada estación esté dentro del área de cobertura de la estación con la que se quiere comunicar. Station 1 Station 3 Station 2 IBSS: red inalámbrica independiente 3.2. Infraestructura En las redes ad-hoc, no existe la posibilidad de comunicar las estaciones con otra red externa. Para ello, se necesita un elemento gestor, que no sólo controla el tráfico con otra red externa, sino que controla también el tráfico entre estaciones dentro de la red inalámbrica. ROUTER TELDAT Interfaz Wireless LAN I - 4

8 4 2 0 N A Station 1 Station 3 AP Station 2 Red inalámbrica en modo infraestructura Este elemento gestor es lo que se denomina punto de acceso o, en inglés, Access Point (AP). Todas las tramas que circulan por la red inalámbrica pasan por el punto de acceso, de modo que si una estación quiere comunicarse con otra, envía la trama al punto de acceso, indicando a qué estación final va dirigida la trama, y es el punto de acceso el encargado de enviar la trama a la estación destino. Este enfoque centralizado tiene, entre otras, las siguientes ventajas: - Las estaciones no hace falta que se escuchen directamente para comunicarse: si dos estaciones escuchan al punto de acceso, pueden comunicarse entre ellas. - Centraliza la seguridad, de modo que es el punto de acceso el que decide si permite que una estación entre a formar parte de la red inalámbrica o no. Esto facilita enormemente la definición de las estrategias de seguridad. - Permite la comunicación de varias redes a través del punto de acceso. En el resto del capítulo nos centraremos en redes inalámbricas en modo infraestructura 3.3. Extensión de redes inalámbricas: el sistema de distribución La zona en la que una estación puede pertenecer a una red inalámbrica está limitada, centrándonos en redes de infraestructura, porque reciba o no señal del punto de acceso. Esto a su vez depende, fundamentalmente, de la ganancia de las antenas utilizadas en la estación y punto de acceso, de la distancia de la estación al punto de acceso y de los obstáculos situados entre los dos elementos. Existe la posibilidad de extender una red inalámbrica a una zona más amplia. Para ello, se utilizan diferentes puntos de acceso, todos ellos configurados con el mismo identificador de red. La zona de cobertura de un punto de acceso define una zona de servicio básico o BSS. Si una estación se mueve y se sale de la zona de cobertura de un punto de acceso, puede enviar los paquetes a través de otro punto de acceso que cubra la nueva zona a la que se ha desplazado la estación. De igual modo, las estaciones cubiertas por diferentes puntos de acceso deben poder comunicarse entre ellas, ya que para ellas la red ROUTER TELDAT Interfaz Wireless LAN I - 5

9 4 2 0 N A N A debe ser única. Para ello, es necesario que exista la posibilidad de enviar paquetes de un punto de acceso a otro. La comunicación entre zonas de servicio básico, así como redes externas a la red inalámbrica, se realiza a través de lo que el IEEE denomina en sus estándares el sistema de distribución. Los estándares del IEEE no entran en detalle de cómo debe ser el sistema de distribución, indicando sólo las características que debe cumplir. En la práctica, el sistema de distribución más habitual es una red de área local tipo Ethernet, tal y como se observa en la figura siguiente. Station 1 Station 2 Station 4 AP 1 AP 2 Station 3 Station 5 Ethernet ESS: Zona de servicio extendido La unión de varias zonas de servicio básico da lugar a una zona de servicio extendido, normalmente denominada ESS (Extended Service Set). En la figura anterior se muestra una zona de servicio extendido formada por los siguientes elementos: - una zona de servicio básico, BSS1, cubierta por el punto de acceso AP1. A esta zona de servicio pertenecen las estaciones 1, 2 y 3. - una zona de servicio básico, BSS2, cubierta por el punto de acceso AP2. A esta zona de servicio pertenecen las estaciones 4 y 5. - un sistema de distribución, la Ethernet, que permite la comunicación entre los elementos de las dos zonas de servicio básico. Si la estación 1 quiere enviar un paquete a la estación 4, el procedimiento es el siguiente: 1. la estación 1 envía el paquete al punto de acceso AP1, indicando que el destinatario final es la estación 4. Como se puede suponer, una trama WLAN necesita más de dos direcciones para su direccionamiento correcto. En concreto, en este ejemplo son necesarias tres direcciones: la dirección origen (estación 1), la dirección que recibe el paquete (AP1) y la dirección destino (estación 4). En el caso más general, se necesitan hasta cuatro direcciones para el direccionamiento de una trama WLAN. ROUTER TELDAT Interfaz Wireless LAN I - 6

10 2. el punto de acceso AP1 hace bridge del paquete recibido y lo envía a través del sistema de distribución. El paquete por la Ethernet tiene como dirección MAC origen la de la estación 1, y como dirección MAC destino la de la estación el punto de acceso AP2 recibe el paquete enviado por el punto de acceso AP1. Al ir destinado a una estación conocida por él, el punto de acceso AP2 envía el paquete a la estación la estación 4 recibe el paquete originado en la estación 1. En la figura anterior, la estación 2 está cerca de los puntos de acceso AP1 y AP2, eligiendo uno u otro en función de la señal recibida. Si la estación se moviese hacia la derecha, recibiendo mayor señal del punto de acceso AP2, la estación se asociaría al nuevo punto de acceso, manteniéndose en todo momento dentro de la misma red. El elemento clave para que esto sea así es el identificador de la red o SSID (Service Set Identifier). El SSID es una cadena alfanumérica que identifica a una red inalámbrica, de modo que todos los puntos de acceso que pertenecen a una misma ESS, deben utilizar el mismo identificador de red. ROUTER TELDAT Interfaz Wireless LAN I - 7

11 4. Tramas en una WLAN 4.1. Envío de tramas en una WLAN: acceso al medio Antes de entrar a explicar el formato de una trama en una red inalámbrica y los tipos de tramas que pueden aparecer, conviene explicar, siquiera brevemente, el mecanismo utilizado en las redes inalámbricas para el envío de paquetes. Una red inalámbrica es una red en la que el medio es compartido entre todas las estaciones que componen la red. Incluimos aquí al punto de acceso como un tipo particular de estación. Cuando un medio es compartido es necesario que una estación, antes de enviar datos, escuche el medio para comprobar que no hay nadie más transmitiendo y puede transmitir sin interferir con otra trama. El mecanismo utilizado es básicamente el mismo que para la Ethernet común: detección de portadora para acceso múltiple (CSMA: Carrier Sense Multiple Access), con la diferencia de que en vez de utilizar un mecanismo de detección de colisiones (CD: Collision Detection), se utiliza un mecanismo para intentar evitar las colisiones (CA: Collision Avoidance). En los siguientes apartados se describen brevemente las particularidades del envío de tramas en un medio inalámbrico. a) Confirmación activa Cuando se envía una trama en un medio con cable, es de esperar que la trama enviada se reciba correctamente en su destino. Sin embargo, el medio utilizado para la transmisión en una WLAN está sujeto a todo tipo de interferencias y obstáculos. Por este motivo, el IEEE optó por recurrir a la confirmación activa de las tramas enviadas a través de la WLAN: cada vez que se envía una trama, el receptor de la misma debe enviar una trama confirmando su recepción (trama ACK). La excepción son las tramas dirigidas a varias estaciones por motivos obvios, no puede confirmarse la recepción de la trama por todas y cada una de las estaciones que conforman la red inalámbrica. Si el transmisor de una trama no recibe confirmación de recepción, debe considerar la trama perdida e iniciar el proceso para su retransmisión. La operación de envío y confirmación se considera una operación atómica, por lo que se facilitan mecanismos para reservar el medio durante la duración de todo el intercambio. Tx Frame Rx Ack Transmisión de una trama en WLAN: confirmación activa b) RTS/CTS: el problema del nodo oculto En una Ethernet, el cable lleva la señal a todos los nodos, que pueden sondear el medio para detectar posibles colisiones. En una red inalámbrica, la transmisión por radio hace que los límites de la red sean difusos. Una estación con una antena de alta ganancia puede detectar una red inalámbrica en un sitio en el que otra estación con una antena normal no detecta nada. Además, el movimiento, tanto de ROUTER TELDAT Interfaz Wireless LAN I - 8

12 4 2 0 N A las estaciones como de los obstáculos, puede dar lugar a zonas de sombra en las que una estación, a pesar de estar muy próxima a otra estación, no detecte su señal. Station 1 Station 3 AP Station 2 El problema del nodo oculto Imaginemos que, en la figura anterior, las estaciones 1 y 3 escuchan perfectamente al punto de acceso. Sin embargo, por razones de obstáculos o potencia, ambas estaciones no se escuchan entre sí. En estas circunstancias, si la estación 1 está transmitiendo y la estación 3 tiene algo que transmitir, ésta puede interpretar erróneamente que el medio está libre, al no poder escuchar el tráfico de la estación 1. Esto puede dar lugar a múltiples colisiones, con la consecuente degradación de la calidad del enlace experimentada por los usuarios. Para solucionar este problema, conocido como problema del nodo oculto, el IEEE introdujo un mecanismo adicional de transmisión en el medio: la operación atómica de envío de una trama va acompañada de una trama de petición de envío (RTS: Request To Send) y una trama de confirmación de que es posible el envío (CTS: Clear To Send). Tx RTS Rx CTS Frame Ack Transmisión de una trama en WLAN: confirmación activa En este caso, cuando la estación 1 desea transmitir una trama, envía previamente una trama RTS para indicar que va a utilizar el medio durante la duración de la operación atómica que supone el envío de la trama (duración de RTS + duración de CTS + duración de la trama + duración del ACK). Puesto ROUTER TELDAT Interfaz Wireless LAN I - 9

13 que la trama RTS es una trama pequeña, hay menos posibilidades de colisiones. Todas las estaciones que escuchan el RTS, tienen la obligación de permanecer calladas durante la duración indicada. A la recepción de la trama RTS, la estación receptora enviará una trama CTS, en la que se indica que el medio estará ocupado durante el resto de la operación atómica de envío de la trama (duración de CTS + duración de la trama + duración del ACK). Las estaciones que escuchen el CTS tiene la obligación de permanecer calladas durante la duración indicada. Una vez completado el intercambio RTS/CTS, ya puede procederse al envío de la trama tal y como se vio en el apartado anterior: envío de la trama seguido de confirmación por la estación receptora. Elimina esto el problema del nodo oculto? Sí, ya que se puede asegurar que cualquier estación perteneciente a la zona de servicio básico escuchará o bien el RTS, o bien el CTS. Téngase en cuenta que el punto de acceso interviene en todos los intercambios de tramas y que todas las estaciones escuchan al punto de acceso. Por tanto, si la estación transmite una trama, el punto de acceso transmitirá el CTS, que será escuchado por todas las estaciones del BSS si el punto de acceso transmite una trama, transmitirá el RTS, que será escuchado por todas las estaciones del BSS. El mecanismo RTS/CTS supone una sobrecarga adicional en el envío de una trama, por lo que normalmente sólo se usa cuando las tramas son largas y hay más posibilidades de colisiones. Habitualmente, los puntos de acceso incluyen entre sus parámetros configurables el tamaño mínimo de trama que activa el mecanismo RTS/CTS Formato de una trama WLAN Una trama WLAN tiene el siguiente formato: Frame control Duration / ID MAC Header Sequence Frame Address 1 Address 2 Address 3 Address 4 CRC Control Body Fragment Number 4 12 Sequence Number Protocol Version Type Subtype To From More Pwr More DS DS Frag Retry Protected Mgt Data Frame Order ROUTER TELDAT Interfaz Wireless LAN I - 10

14 Frame Control Dos octetos con información de las características de la trama. Los componentes de este campo son: - Protocol Version: Tipo de versión MAC a que corresponde la trama. De momento, sólo hay una versión, que tiene asignado el valor 0. - Type: Tipo de trama. En una red inalámbrica se distinguen tres tipos de tramas: - tramas de datos: transportan datos de un protocolo superior en el cuerpo de la trama. - tramas de control: tramas de control del medio. Son, entre otras, las tramas de RTS, CTS y ACK. - tramas de gestión: tramas para realizar tareas de supervisión de la red inalámbrica: asociación, autenticación, etc. - Subtype: Subtipo de trama. Los campos tipo y subtipo identifican el tipo de trama de que se trata. - To DS: Este bit indica si la trama va destinada al sistema de distribución. Este bit se pone a 1 en todas las tramas que van desde una estación a un punto de acceso. - From DS: Este bit indica si la trama procede del sistema de distribución. Este bit se pone a 1 en todas las tramas que van desde un punto de acceso a una estación. - More Fragments: En tramas fragmentadas se pone este bit a 1 para indicar que la trama se compone de más fragmentos. En el último fragmento, el valor de este campo es 0. - Retry: Puesto a 1 cuando se retransmite una trama. - Power Management: Una estación pone a 1 este bit para indicar al punto de acceso que después de la transmisión de la trama se pondrá en modo ahorro de energía. - More Data: Cuando una estación se pone en modo ahorro de energía, el punto de acceso almacena las tramas dirigidas a dicha estación para su posterior envío. Este bit se usa en las tramas enviadas por el punto de acceso para indicar a la estación que hay tramas pendientes de envío. Cuando el punto de acceso termina de enviar las tramas a la estación, se pone este bit a 0, indicando a la estación que puede volver a dormir. - Protected Frame: Indica que la trama está protegida utilizando algún mecanismo de seguridad. Este bit se denominaba, en la norma original, bit de WEP. - Order: Puesto a 1 para indicar que se desea que la trama sea entregada en orden estricto. DURATION / ID Este campo de dos octetos indica normalmente el tiempo que se espera que el medio esté ocupado por la transmisión de esta trama. En un caso especial de trama, utilizado durante el modo de ahorro de energía, identifica a la estación que pregunta al punto de acceso si hay tramas pendientes. ADDRESS 1-4 Campos de direcciones utilizados para direccionar una trama en una red inalámbrica. Los tres primeros campos son obligatorios y aparecen en todas las tramas. El campo con la cuarta dirección es opcional, y sólo aparece en tramas entre puntos de acceso a través del medio inalámbrico (Wireless Bridge, el sistema de distribución no es una Ethernet sino una WLAN). Las direcciones WLAN tienen el mismo formato que las direcciones MAC utilizadas en una ROUTER TELDAT Interfaz Wireless LAN I - 11

15 Ethernet. Dependiendo de la trama, las direcciones MAC pueden tener el siguiente significado: - dirección destino: dirección de la estación final a la que va dirigida la trama. - dirección origen: dirección de la estación que originó la trama. - dirección del transmisor: dirección de la estación que ha enviado la trama. Puesto que las tramas pasan todas por un punto de acceso, esta dirección puede ser diferente de la dirección origen. - dirección del receptor: dirección de la estación que debe recibir la trama. Esta dirección puede ser distinta de la dirección destino. Si, por ejemplo, una estación 1 envía una trama a otra estación 2 dentro de la misma zona de servicio básica, utilizando un punto de acceso AP: - la estación genera una trama con tres direcciones: o dirección origen: la de la estación 1 o dirección destino: la de la estación 2 o dirección del receptor: la del punto de acceso AP - el punto de acceso recibe la trama y se la envía a la estación 2. La trama generada tiene tres direcciones: o dirección origen: la de la estación 1 o dirección destino: la de la estación 2 o dirección del transmisor: la del punto de acceso AP SEQUENCE CONTROL Control de secuencia. Se divide en un identificador de secuencia, incrementado para cada nueva trama enviada, y un identificador de fragmento, utilizado para designar los distintos fragmentos en los que se divide una trama cuando se produce fragmentación de la misma. Cuando se fragmenta una trama en varias para su envío, el identificador de secuencia es el mismo para todos los fragmentos, variando el identificador de fragmento. FRAME BODY Campo de longitud variable con los datos de la trama. FRAME CHECK SEQUENCE CRC de todos los campos de la trama WLAN para comprobación de integridad en recepción Formato de las tramas de gestión No se va a realizar una descripción detallada de todos y cada uno de los tipos de trama que aparecen en una red inalámbrica, pero si conviene describir brevemente el formato de las tramas de gestión. Las tramas de gestión tienen una cabecera de acuerdo con lo descrito en el apartado 4.2. La parte de datos se divide en una serie de campos fijos y una serie de elementos de información. Los campos fijos son campos de longitud fija definidos en el estándar. Entre estos campos se encuentra, por ejemplo, el resultado de una asociación, campo fijo de dos octetos de longitud. ROUTER TELDAT Interfaz Wireless LAN I - 12

16 Los elementos de información son campos de longitud variable que permiten ampliar de forma cómoda el estándar. El formato genérico de un elemento de información es el siguiente: 1 Element ID 1 Length Length Information Element ID: Identificador del elemento de información. Length: Longitud de la información. Information: Información. La información se interpreta en función del identificador del elemento. Así, por ejemplo, el identificador de red SSID se envía utilizando el elemento de información con identificador 0, indicando el SSID en el campo de información. El estándar especifica exactamente qué campos fijos, qué elementos de información y en qué orden deben incluirse en las tramas de gestión Conexión a una red inalámbrica En una red Ethernet, cuando una estación quiere formar parte de una red basta con conectarla físicamente a la red en cuestión. En una red inalámbrica, dadas las peculiaridades del medio de transmisión, el proceso es necesariamente algo más complejo. Entre otras cosas, al ser un medio de acceso libre, hay que tener cuidado con la seguridad, permitiendo que sólo formen parte de la red las estaciones que tengan autorización para ello, denegando el acceso a los datos a toda estación que no haya demostrado que está autorizada a formar parte de la red. En este apartado se describe brevemente el proceso por el cual una estación pasa a formar parte de una red inalámbrica en modo infraestructura. a) Identificación de la red inalámbrica El primer paso, para que una estación se conecte a una red, es identificar la red en cuestión. Una red inalámbrica se identifica por el SSID (Service Set IDentifier), o identificador de zona de servicio. Hay dos formas de detectar las redes activas en el entorno de una estación: mediante una búsqueda pasiva y mediante una búsqueda activa. Búsqueda pasiva Durante la búsqueda pasiva, la estación realiza un barrido de todos los canales disponibles, escuchando las tramas que aparecen en el medio. Los puntos de acceso envían, periódicamente, una trama de gestión, denominada trama de beacon, en la que anuncian las características de la red inalámbrica a la que pertenecen: identificador de la red, velocidades permitidas, características de seguridad, etc. La estación que está realizando una búsqueda pasiva escucha las tramas de beacon y elige la red a la que conectarse. Normalmente, si no se ha configurado ningún identificador de red, la estación presenta al usuario una lista de las redes detectadas, con las características de señal, seguridad y canal utilizado, para que el usuario seleccione de ente las redes detectadas aquélla a la que desea conectarse. Si, por el contrario, se ha configurado un identificador de red, la estación intentará conectarse automáticamente a la red indicada sin intervención del usuario. En caso de que se detecten varios puntos de acceso anunciando la misma red, la estación normalmente elige el punto de acceso con mayor nivel señal. La búsqueda pasiva permite ahorrar batería, ya que la estación no envía tramas. ROUTER TELDAT Interfaz Wireless LAN I - 13

17 4 2 0 N A Búsqueda activa En la búsqueda activa, la estación busca una determinada red para conectarse a ella. En este caso, la estación realiza un barrido por todos los canales disponibles, pero, en lugar de esperar las tramas de Beacon para conocer las redes disponibles, tal y como se hace en la búsqueda pasiva, pregunta, utilizando una trama de gestión denominada Probe Request, por la red que está buscando. Si un punto de acceso recibe un Probe Request buscando el identificador de red al que pertenece, responde con una trama de gestión Probe Response. La trama Probe Response lleva la misma información que la trama de beacon, es decir, especifica las características de la red en cuestión. Tanto las tramas de beacon, como las tramas Probe-Request son tramas de broadcast, por lo que son recibidas por todas las estaciones que estén escuchando en el canal b) Autenticación Una vez identificada la red a la que la estación quiere conectarse, es necesario autenticarse con el punto de acceso. El proceso de autenticación, tal y como se describe en los estándares del IEEE, es un proceso unidireccional: la estación se autentica con el punto de acceso, pero el punto de acceso no se autentica con la estación. En cualquier caso, como se verá, este proceso de autenticación es muy simple y no proporciona ningún tipo de seguridad, manteniéndose únicamente por compatibilidad hacia atrás. En caso de desearse una autenticación real, debe utilizarse autenticación basada en el estándar 802.1X, tal y como se describe en el estándar i. En el apartado dedicado a la seguridad se describirá brevemente esta autenticación. De momento, centrándonos en la autenticación descrita en el estándar original, existen dos tipos de autenticación: autenticación abierta y autenticación con clave compartida. Autenticación abierta (Open-System Authentication) Esta es la autenticación más simple, y es la única obligatoria según el estándar Describir el proceso como autenticación es, desde luego, muy optimista: la estación envía una trama de petición de autenticación (Authentication Request) y el punto de acceso contesta con una trama de respuesta a la autenticación (Authentication Response). La respuesta contiene el resultado de la autenticación en condiciones normales ésta será una respuesta de éxito. Station Authentication-Request AP Authentication-Response (OK) Autenticación abierta En algunos puntos de acceso es posible configurar reglas de acceso asociadas a direcciones MAC. En este caso, si la dirección MAC de la estación que se está autenticando no tiene permitido el acceso a la red, el punto de acceso indicará en la respuesta error en la autenticación. ROUTER TELDAT Interfaz Wireless LAN I - 14

18 4 2 0 N A Autenticación con clave compartida (Shared-Key Authentication) La autenticación con clave compartida exige, antes de poder formar parte de la red, el conocimiento por parte de la estación de una clave. En este caso, la autenticación se lleva a cabo en cuatro pasos: 1. la estación pide autenticarse contra el punto de acceso. 2. el punto de acceso construye un mensaje aleatorio de 128 bytes de longitud (desafío) y se lo envía a la estación. 3. la estación cifra, con WEP, el desafío recibido y se lo envía al punto de acceso. 4. el punto de acceso descifra el mensaje recibido y, si coincide con el mensaje que él envió, considera la autenticación exitosa. Station Authentication-Request AP Authentication-Challenge Authentication-Challenge-Response Authentication-Response (OK) Autenticación con clave compartida Este tipo de autenticación, que sólo puede usarse cuando se usa cifrado WEP, supone dar pistas a un usuario malintencionado sobres las claves utilizadas para cifrar los datos. Teldat recomienda que no se utilice esta autenticación en ningún caso. c) Asociación Una vez que el punto de acceso ha autenticado a la estación, ésta puede asociarse a la red. El proceso de asociación consiste en el intercambio de dos tramas: la estación solicita asociación a la red inalámbrica y el punto de acceso contesta indicando el resultado de la asociación (exitosa o no). El punto de acceso puede devolver una respuesta de error si, por ejemplo, no dispone de recursos suficientes para tratar la asociación de otra estación a la red. Si la asociación es exitosa, el punto de acceso envía a la estación un identificador de asociación (AID: Association Identifier), utilizado cuando la estación se pone en modo ahorro de energía. En el estándar original, una vez que la estación se ha asociado con éxito, puede comenzar el envío y recepción de tramas. Sin embargo, si la red utiliza algún mecanismo de seguridad como WPA o WPA2, todavía falta un paso antes de que la estación pueda enviar y recibir tramas de datos: la estación y el punto de acceso deben demostrarse mutuamente que son quiénes dicen ser y que conocen las claves para cifrar las tramas. Este proceso se describe en el apartado dedicado a la seguridad en redes inalámbricas. ROUTER TELDAT Interfaz Wireless LAN I - 15

19 4.5. Modo ahorro de energía Una de las características básicas de una estación en una red inalámbrica es su movilidad. Es habitual, por tanto, que las estaciones no estén conectadas a una red eléctrica y utilicen baterías para la alimentación. Resulta interesante, por tanto, que una estación pueda desconectar la parte de radio cuando no espera paquetes, más teniendo en cuenta que la parte de radio de un equipo inalámbrico es uno de los elementos que más batería consumen en equipos portátiles. El estándar tiene en cuenta este hecho, facilitando el ahorro de energía sin sacrificar la conectividad. Diremos que una estación está dormida si ha entrado en modo ahorro de energía, refiriéndonos a ella como despierta en caso contrario. El elemento base para facilitar el ahorro de energía es el punto de acceso. En redes independientes existe también la posibilidad de entrar en modo ahorro de energía, pero es mucho menos eficiente que en redes en modo infraestructura, y no será descrito en este apartado. Como se ha visto, en la cabecera MAC de las tramas WLAN, existe un bit (Power Management) con el que la estación puede indicar al punto de acceso el estado en el que estará tras completar la transmisión o recepción de la trama actual. De este modo, el punto de acceso conoce en todo momento el estado de todas las estaciones. Cuando una estación va a entrar en modo ahorro de energía, lo indica poniendo a 1 el bit de Power Management. A partir de ese momento, el punto de acceso no entrega las tramas dirigidas a la estación, sino que las almacena para su posterior envío. El almacenamiento de las tramas destinadas a una estación que entra en modo ahorro de energía es sólo parte del proceso. Es necesario que, en algún momento, la estación se despierte para pedir las tramas almacenadas por el punto de acceso. A la hora de describir el proceso de entrega de las tramas, es necesario distinguir entre tramas unicast, dirigidas exclusivamente a la estación dormida y tramas multicast y broadcast, dirigidas a un grupo de estaciones. a) Tramas unicast Como se ya se ha indicado, el punto de acceso envía periódicamente una trama de gestión denominada trama de beacon. Pues bien, las tramas de beacon son las encargadas de indicar a las estaciones que hay tramas almacenadas en el punto de acceso para ellas. En la trama de beacon, el punto de acceso incluye un elemento de información, denomina TIM (Traffic Indication Map: mapa de indicación de tráfico). El TIM incluye un mapa de 2048 bits. Cada bit corresponde a una estación asociada al punto de acceso, de modo que, si el bit correspondiente a una estación está puesto a 1, el punto de acceso tiene tramas destinadas a la estación pendientes de entrega. Existen mecanismos para que el punto de acceso no tenga que transmitir el mapa completo, sino sólo una parte del mismo. Durante el proceso de asociación, el punto de acceso asigna a la estación un identificador de asociación (AID). Este identificador se usa como índice en el TIM. De este modo, la estación dormida, debe despertar para escuchar la trama beacon y mirar si el bit correspondiente a su identificador de asociación está puesto a 1. Durante el proceso de asociación, la estación indica al punto de acceso el intervalo de escucha que usará: número de tramas de beacon que puede permanecer dormida. El intervalo de escucha es un contrato con el punto de acceso: el punto de acceso se compromete a almacenar las tramas destinadas a una estación durante el tiempo indicado por el intervalo de escucha. Una vez pasado este tiempo, si la estación no ha pedido las tramas almacenadas, el punto de acceso puede descartarlas. Evidentemente, a mayor intervalo de escucha, mayores son los recursos que debe emplear el punto de acceso para ROUTER TELDAT Interfaz Wireless LAN I - 16

20 4 2 0 N A almacenar las tramas destinadas a una estación. Si el intervalo de escucha propuesto por la estación es inaceptable para el punto de acceso, éste debe denegar la asociación. Según lo visto hasta ahora: 1. la estación indica al punto de acceso que entra en modo ahorro de energía. 2. El punto de acceso almacena las tramas destinadas a la estación 3. El punto de acceso anuncia, en las tramas beacon, que hay tramas disponibles para la estación. 4. La estación despierta periódicamente para escuchar las tramas de beacon y comprobar si hay tramas destinadas a ella. Una vez una estación en modo ahorro de energía detecta que hay tramas pendientes de entrega, debe pedírselas al punto de acceso. Para ello se usa una trama de gestión denominada PS-Poll. Cuando el punto de acceso recibe una trama PS-Poll, envía una trama almacenada a la estación. El bit de More Data valdrá 1 si hay más tramas pendientes para la estación y cero en caso de que no haya más tramas. La estación puede, mediante sucesivas peticiones utilizando la trama PS-Poll, obtener todas las tramas almacenadas para ella. Station PS-Poll AP Frame 1, More Data = 1 ACK PS-Poll Frame 2, More Data = 0 ACK Petición de tramas almacenadas b) Tramas multicast Las tramas dirigidas a varias estaciones reciben un tratamiento aparte. En cuanto hay alguna estación en modo ahorro de energía, el punto de acceso almacena las tramas de grupo. Debido a que las tramas van dirigidas a un grupo de estaciones, no es posible utilizar un mecanismo de poll para obtenerlas. Cada cierto número de tramas de beacon, se indica, en el elemento de información TIM, si hay tramas de grupo almacenadas. Para ello se usa el identificador de asociación 0 dentro del mapa de bits del TIM. Este elemento de información recibe un nombre especial: DTIM (Delivery Traffic Indication Map). Inmediatamente después que se haya recibido/enviado una trama de beacon con el elemento de información DTIM, si hay tramas de grupo almacenadas, el punto de acceso envía dichas tramas. Utilizando el bit More Data, se indica si hay más tramas pendientes o ya se han enviado todas. Las ROUTER TELDAT Interfaz Wireless LAN I - 17

21 estaciones en modo ahorro de energía deben despertar en las tramas de beacon con el elemento de información DTIM si desean recibir las tramas de grupo, independientemente de su intervalo de escucha. Algunas estaciones utilizan un modo de ahorro de energía, al que denominan de extremadamente bajo consumo o algún otro nombre similar, en el que no despiertan para escuchar las tramas con DTIM. Todas las tramas de beacon incluyen, en el elemento de información TIM, dos valores que permiten que las estaciones sepan cuándo se va a producir la próxima entrega de tramas de grupo: el contador de DTIM: indica cuántas tramas beacon, incluyendo la actual, faltan para el siguiente DTIM. Cuando el contador llega a cero, el TIM es un DTIM. la periodicidad de DTIM: indica el número de tramas beacon entre DTIMs. Un valor de 1 indica que todas las tramas de beacon llevan el elemento de información DTIM. ROUTER TELDAT Interfaz Wireless LAN I - 18

22 5. Seguridad en redes Wireless LAN En las redes inalámbricas, las tramas viajan libremente por el aire, lo que hace que cualquier estación que esté suficientemente próxima pueda recibir dichas tramas. Si las tramas no están protegidas mediante algún tipo de cifrado, cualquier usuario que entre dentro de la zona de cobertura del punto de acceso puede tener acceso a los datos intercambiados en la red inalámbrica. No basta con limitar la potencia de transmisión del punto de acceso para que la señal no salga fuera del edificio si se disponen de antenas con ganancia lo suficientemente alta es posible que, a pesar de la limitación de potencia, se tenga acceso a los datos transmitidos. Es más, no sólo puede tenerse acceso a los datos intercambiados en la red inalámbrica, un usuario malintencionado podría asociarse con el punto de acceso. Puesto que habitualmente los puntos de acceso están conectados a la red de área local, que hace las veces de sistema de distribución, el usuario asociado tendría acceso a la red de la empresa. Con la proliferación de las redes inalámbricas, y su creciente popularidad, se han popularizado los ataques a este tipo de redes. Es habitual el uso de la red inalámbrica de un vecino para navegar desde un portátil usando el acceso a Internet de dicho vecino. Teniendo en cuenta todos estos hechos, no es de extrañar que la seguridad en las redes inalámbricas haya sido uno de los mayores quebraderos de cabeza de los desarrolladores y de los encargados de poner en marcha redes inalámbricas en empresas. De hecho, la falta de seguridad de las redes inalámbricas limitó durante algún tiempo su implantación. Hoy día, con la aprobación del estándar i, se puede considerar que las redes inalámbricas son lo suficientemente seguras. En este apartado se describen brevemente las distintas alternativas disponibles para proteger una red inalámbrica. Las alternativas de seguridad discutidas en este apartado se refieren a la red inalámbrica como tal. Puesto que las tramas WLAN normalmente llevan datos de protocolos de más alto nivel, es posible utilizar mecanismos de seguridad de estos protocolos para proteger los datos en una red inalámbrica. En concreto, el uso de IPSec para crear una red privada virtual está bastante extendido Control de acceso MAC El primer mecanismo que puede utilizarse para proteger el acceso a una red inalámbrica es configurar una lista de direcciones MAC, indicando para cada dirección MAC si se desea permitir el acceso a la red inalámbrica o denegarlo. La lista de direcciones MAC se configura en el punto de acceso. Cuando una estación desea formar parte de la red inalámbrica, el punto de acceso consulta su lista de direcciones para ver si la estación en cuestión tiene permitido el acceso o no. En caso de que la dirección MAC de esa estación tenga el acceso prohibido, el punto de acceso no permite la asociación de la estación a la red inalámbrica. Habitualmente, es posible configurar en el punto de acceso la política que debe seguirse en caso de que la dirección de una estación no aparezca en la lista de direcciones configurada. Si se configura una política estricta, únicamente las estaciones con dirección MAC configurada explícitamente en el punto de acceso como permitidas, tienen acceso a la red inalámbrica. En caso de que la política elegida no sea estricta, si la dirección MAC de la estación no está en la lista de direcciones configurada, se permite el acceso de la estación a la red inalámbrica. Este mecanismo de seguridad proporciona poca seguridad, ya que es relativamente sencillo cambiar la dirección MAC de una estación. Si un usuario desea realizar un ataque a una red con este tipo de seguridad únicamente, sólo necesita capturar tráfico y observar la dirección MAC de una estación ROUTER TELDAT Interfaz Wireless LAN I - 19

23 asociada correctamente a la red. En el momento en que la estación abandone la red inalámbrica (y el usuario que va a realizar el ataque puede utilizar mecanismos para forzar que una estación abandone la red), al usuario le basta con configurar la dirección MAC de la estación permitida en su equipo para garantizarse el acceso a la red inalámbrica. Debido a la poca seguridad proporcionada, sólo se recomienda utilizar este mecanismo de seguridad como complemento a otros mecanismos de seguridad Cifrado WEP El estándar original del IEEE en el que se definen las redes inalámbricas (802.11), sólo definía un mecanismo de seguridad, asociado a un tipo de cifrado de los datos denominado WEP (Wireless Equivalent Privacy). La idea del estándar era crear un cifrado que proporcionase niveles de seguridad similares a los que se encuentran en una red LAN tradicional. Desafortunadamente, la definición del algoritmo de cifrado tiene numerosos fallos que provocan que, hoy día, sea relativamente sencillo romper el cifrado WEP y obtener las claves utilizadas. Teldat no recomienda utilizar el cifrado WEP a no ser que sea imposible configurar un mecanismo de seguridad más robusto, como WPA o WPA2. Cuando se usa WEP, las tramas en la red inalámbrica van cifradas. La estación y el punto de acceso deben tener una clave común configurada para poder comunicarse. El estándar del IEEE distingue dos tipos de claves WEP: claves compartidas: se pueden configurar hasta cuatro claves WEP diferentes. De estas cuatro claves, se debe configurar una como clave por defecto (también llamada clave de transmisión). Esta clave es la que se usará para cifrar las tramas transmitidas por la estación cuando no exista clave privada asociada a la dirección MAC destino. claves privadas: es posible configurar una clave WEP asociada a una dirección MAC: la estación utilizará esta clave privada para cifrar las tramas destinadas a esa dirección y para descifrar las tramas provenientes de esa dirección. El estándar define las claves WEP como claves de 40 bits de longitud. Sin embargo, cuando se empezaron a conocer los fallos de seguridad del cifrado WEP, algunos fabricantes empezaron a desarrollar cifrados WEP utilizando claves de 104 bits e incluso de 128 bits, en la creencia (errónea) de que eran más seguros. Para complicar más las cosas, algunos fabricantes denominan WEP-64, WEP-128 y WEP- 152 al WEP con claves de 40, 104 y 128 bits respectivamente. No se va a describir el formato de una trama cifrada con WEP, basta con indicar que hay un campo de la trama en el que se indica el índice de la clave utilizada para cifrar la trama. Para enviar un paquete usando WEP: La estación mira si tiene configurada clave privada asociada a la dirección destino del paquete. Si la tiene, usa dicha clave para cifrar el paquete. Si no hay clave privada configurada, se utiliza la clave compartida configurada como clave por defecto, indicándose en la trama el índice de la clave utilizada. Cuando se recibe un paquete cifrado con WEP: ROUTER TELDAT Interfaz Wireless LAN I - 20

24 La estación mira si tiene configurada clave privada asociada a la dirección origen del paquete. Si la tiene, usa dicha clave para descifrar el paquete. Si no hay clave privada configurada, se utiliza la clave compartida indicada en la trama recibida para descifrar el paquete. La razón de que se puedan configurar hasta cuatro claves es facilitar el cambio de la clave WEP. Imaginemos que una estación está utilizando la clave 1 para transmitir y se desea cambiar dicha clave. La clave debe cambiarse en todas las estaciones, de forma que los datos cifrados por esta estación puedan ser descifrados por el resto de estaciones. Puesto que no hay mecanismos definidos para la transmisión de la clave, normalmente una persona encargada de la gestión de la red deberá ir estación por estación cambiando manualmente la clave. En el momento en que se cambie la clave en una estación, el resto de estaciones no podrán descifrar sus datos hasta que se actualice la clave. Para evitar errores de cifrado durante el proceso de cambio de la clave, se usan dos claves compartidas: 1. El punto de acceso emplea la clave 1 para transmitir, y se configura la nueva clave a utilizar en la posición Se actualizan todas las estaciones, configurando la nueva clave en la posición 2, y configurando dicha clave como clave por defecto. 3. En este momento, las estaciones actualizadas utilizarán la clave 2 para cifrar las tramas que transmiten, y el punto de acceso, que tiene dicha clave configurada, descifrará correctamente las tramas. Por otro lado, las estaciones no actualizadas y el punto de acceso seguirán utilizando la clave 1 para cifrar las tramas transmitidas y todas las estaciones serán capaces de descifrar dichas tramas, ya que tienen la clave 1 configurada correctamente. 4. Cuando se termina la configuración de la nueva clave en todas las estaciones, puede configurarse en el punto de acceso que la clave por defecto sea la clave 2, borrando la clave 1. La razón de que se usen hasta cuatro claves compartidas en lugar de dos estriba en que las claves utilizadas por la estación para transmitir al punto de acceso y por el punto de acceso para transmitir a las estaciones pueden ser diferentes: el punto de acceso puede, por ejemplo, utilizar la clave 3 para transmitir mientras que la estación utiliza la clave 2. El mecanismo de actualización de claves WEP descrito es muy engorroso, lo que lleva a que en la práctica las claves WEP no se actualicen prácticamente nunca Autenticación 802.1X En el apartado dedicado a la conexión a una red inalámbrica, se describieron los dos tipos de autenticación definidos por el estándar : autenticación abierta y autenticación con clave compartida. Como ya se indicó, ninguno de estos dos tipos de autenticación proporciona ningún nivel de seguridad. Es más, la autenticación con clave compartida, asociada al cifrado WEP, proporciona información que facilita el proceso de averiguar las claves WEP empleadas en una red inalámbrica, por lo que se desaconseja su utilización. Cuando aparecieron los primeros artículos dedicados a la falta de seguridad del cifrado WEP, el IEEE empezó a trabajar en un nuevo estándar de seguridad, que acabó cristalizando en el estándar i. Para el desarrollo de este nuevo estándar, el IEEE se fijó en estándares que hubiesen sido probados durante tiempo en entornos reales, demostrando su robustez. Así, el IEEE se fijó en el estándar 802.1X, desarrollado inicialmente para redes Ethernet, como método para autenticar una estación en una red inalámbrica. ROUTER TELDAT Interfaz Wireless LAN I - 21

25 4 2 0 N A De acuerdo con el estándar 802.1X, el punto de acceso ve cada asociación con una estación como un puerto lógico controlable. Inicialmente, el puerto está cerrado, no permitiendo que haya flujo de datos. Sólo cuando la estación ha completado un proceso de autenticación, el puerto se considera abierto, permitiéndose el flujo de datos. Para el proceso de autenticación se usa otro puerto lógico, no controlable, que permite el flujo únicamente de los paquetes intercambiados durante la autenticación. La base del proceso de autenticación es el protocolo EAP (Extensible Authentication Protocol). El estándar 802.1X define la forma de utilizar EAP en redes de LAN (ya sean inalámbricas o con cable). Para ello, define el encapsulado de los paquetes de EAP para su envío por la LAN, creando además nuevos tipos de paquetes para facilitar el empleo de EAP en redes de LAN. El encapsulado definido en el estándar 802.1X se denomina EAPOL (EAP Over LAN). En la autenticación utilizando EAP y, por extensión, en la autenticación 802.1X, se distinguen tres componentes: suplicante: elemento que desea acceso a la red. En redes inalámbricas, la estación asume el rol del suplicante. autenticador: elemento que controla el acceso a la red. En redes inalámbricas, el punto de acceso asume el rol del autenticador. Es el autenticador el que controla, mediante el puerto lógico controlable antes mencionado, si una estación tiene acceso a la red o no. Únicamente si el puerto está abierto (es decir, la estación ha completado el proceso de autenticación), se permite el tráfico desde y hacia la estación. servidor de autenticación: este es el elemento que autentica al suplicante, decidiendo si éste tiene acceso a la red o no. El servidor de autenticación puede ser el mismo autenticador, pero habitualmente es un elemento externo. Un ejemplo simple ayudará a entender el papel de cada elemento en el proceso de acceso a la red. Imaginemos que un extraño se presenta en una empresa deseando entrar en el edificio. Este es el suplicante. El portero del edificio controla el acceso al edificio, permitiendo la entrada al edificio o no. Sin embargo, no tiene potestad para decidir quién entra y quién no. Este es el autenticador. Cuando el extraño pide entrar, el portero llama al jefe de la empresa, preguntando si el extraño tiene permiso para acceder. Probablemente, el jefe pregunte datos sobre el extraño. El portero repetirá al extraño las preguntas del jefe, y al jefe las respuestas del extraño. Finalmente, en función de las respuestas dadas, el jefe tomará la decisión de dejar pasar al extraño o no. El jefe es el servidor de autenticación. En la siguiente figura se esquematizan los elementos que forman parte de la autenticación 802.1X. Ethernet Suplicant EAPOL Authenticator RADIUS Autentication Server (AS) El proceso de autenticación se lleva a cabo entre el suplicante y el servidor de autenticación. Cuando el suplicante desea tener acceso a la red, inicia el proceso de autenticación. El autenticador se encarga, ROUTER TELDAT Interfaz Wireless LAN I - 22