To
n
o Revist
a
Técnic
a
de l
a
E
mpres
a
de Telecomunic
a
ciones de Cub
a
S
.A.
83
1
I
n
t
r
o
d
u
cc
i
ó
n
2
A
s
pe
c
t
o
s
p
a
r
a
g
a
r
a
n
t
i
z
a
r
l
a
s
e
gu
r
i
d
a
d
e
n
l
a
s
r
ede
s
i
n
a
l
á
m
b
r
i
c
a
s
A
ctualmente, con el objetivo de
ganar en movilidad cuando
s
e
trabaja desde cualquier lugar don-
P
ara implantar una red inalámbrica deben estudiarse las tipologías exis-
tente
s
y las s adaptadas a nuestro medio. Hay dos topologías de red
de se encuentre un u
s
uario,
s
e e
s
-diferente
s
.
tá implementando con frecuencia
2.1
T
o
p
o
l
o
g
í
a
redes inambricas.Red ad-hoc —peer to peer es una red de área local independiente que
En específico, la Univer
s
idad de la
s
no e
s
tá conectada a una infraestructura cableada y donde todas las es-
Ciencias Informática
s
de Cuba (UCI),tacione
s
se encuentran conectadas directamente unas con otras en una
debido a la introducción de tecno-topoloa mallada—. La configuracn de una Red Inalámbrica de Área
logía inalámbrica, paulatinamente,Local del inglés, Wireless
L
ocal Area Network (WLAN) en modo ad -hoc ,
nece
s
itará implementar e
s
te tipo de
s
e utiliza para establecer una red donde no existe la infraestructu
r
a ina-
red a gran e
s
cala y, para lograrlo, ellámbrica o donde no se requieran servicios avanzados de valor añadido.
tema de la
s
eguridad e
s
de vital im-E
s
ta
s
redes, tales como Bluetooth, están diseñadas para conectar dinámi-
portancia dentro de e
s
te tipo de in-camente dispositivos remotos, por ejemplo, teléfonos celulares, laptops
fraestructura.y
P
DA
s
—del inglés, Personal Digital Assistant.
S
e identifican como
En el pre
s
ente trabajo
s
e abordaránad hoc a causa de sus topologías de red cambiantes. Mientras que las
aspecto
s
importante
s
a tener enWLAN utilizan una infraestructura de red fija, las redes ad-hoc mantienen
cuenta para garantizar la
s
eguri-configuraciones de red aleatorias, confiando en un sistema maestro-esclavo
dad en e
s
ta tipología de red, la inte-conectado por enlaces inalámbricos para que los dispositivos puedan
gridad de los datos que
s
e manejancomunicarse [1].
y el control de acce
s
o a la mi
s
ma.Red de infraestructura: en ella los clientes WLAN se conectan a una red
Deben tomarse en con
s
ideracn, porcorporativa a través de un punto de acceso inalámbrico. La mayoría de
supuesto, las caracterí
s
tica
s
propia
s
la
s
rede
s
de área local inalámbricas corporativas opera en modo de
de esta infraestructura tecnogica yinfrae
s
tructura. Las WLAN permiten mayor flexibilidad y portabilidad
las políticas de seguridad con la
s
que la
s
LAN
L
ocal Area Network / Red de Área Local cableadas
que se cuenta. Todo e
s
to con untradicionales. A diferencia de estas, que requieren un cable pa
r
a co-
único propósito: garantizar que lanectar la computadora de un usuario a la red, una WLAN conecta com-
seguridad en la red
s
ea cada vezputadora
s
y otros componentes a la red utilizando un dispositivo como
más robu
s
ta y el cumplimiento de
P
unto de Acceso —del inglés, Access Point (A
P
). Un
P
unto de Acceso
los estándare
s
internacionale
s
que
s
e comunica con dispositivos equipados con adaptadores de redes ina-
rigen e
s
ta actividad.lámbrica
s
y, por otro lado, se conecta a una LAN Ethernet cableada a
Control de
acceso en
I
n
g
.
A
l
b
e
r
t
o
A
r
c
e
M
a
r
t
í
n
e
z,
D
p
t
o
d
e
I
n
g
e
n
i
e
r
í
a
y
G
e
s
t
i
ón
d
e
S
o
f
t
w
a
r
e
e
I
n
g
.
M
a
nu
e
l
C
h
e
on
g
G
ó
m
e
z,
D
p
t
o
d
e
S
is
t
e
ma
s
D
i
g
i
t
a
l
e
s
,
U
n
i
v
e
r
si
d
a
d
d
e
l
a
s
C
i
e
nc
i
a
s
I
n
f
o
r
má
t
i
c
a
s
(
U
C
I
)
aa
r
c
e
@
uc
i
.
cu
,
m
ch
e
on
g
@
uc
i
.
cu
re
d
es
in
a
l
ám
b
r
i
cas
84
Tono Revista Técnic
a
de l
a
E
mpres
a
de Telecomunic
a
ciones de Cub
a
S.A.
2
.
2
P
r
o
b
l
e
m
a
s
de
s
e
gu
r
i
d
a
d
e
n
r
ede
s
i
n
a
l
á
m
b
r
i
c
a
s
la red inalámbrica. No se necesita ninn
tipo de hardware o software especial.
travé
s
de un puerto R
J
-45. Lo
s
di
s
-mal configurado se convierte en unauna notebook o un
P
DA. El méto-
positivos de Punto de Acce
s
o típica-puerta trasera que hace vulnerabledo es realmente simple: el atacante
mente tienen área
s
que cubren ha
s
tapor completo la seguridad infor-pasea con el dispositivo móvil y,
300 pie
s
—aproximadamente 100 me-tica de una institución [2].en el momento en que detecta la
tros. E
s
ta área de cubrimiento
s
e llamaE
s
to
s
problemas han trdo con-existencia de la red, se realiza un
celda (cell). Lo
s
u
s
uario
s
s
e mueven
s
igo que se realicen ataques a esteanálisis de la misma. El dispositivo
libremente dentro de la celda con
s
utipo de red.móvil puede estar equipado con un
laptop u otro dispo
s
itivo de red
s
in
2.3
T
i
p
o
s
de
a
t
a
q
u
e
s
sistema G
PS
para marca
r
la posi-
dejar de tran
s
mitir. La
s
celda
s
de lo
s
Exi
s
ten diferentes tipos de ataquescn exacta donde la señal es s
punto
s
de acce
s
o
s
e pueden unir paradentro de los que se destacan:fuerte o, incluso, una antena di-
que los u
s
uarios puedan ha
s
ta vagar
Š
E
s
pionaje (surveillance)reccional para recibir el tráfico de
o andar dentro de un edificio o entreCon
s
iste simplemente en observar ella red desde una distancia conside-
edificio
s
[1].entorno donde se encuentra instaladarable.
S
i la red tiene DHC
P
Dynamic Host
Configuration Protocol /
P
rotocolo
La au
s
encia de cable
s
para acceder a
S
irve para recopilar información yde Configuración de Host Dinámico—,
lo
s
recurso
s
de red, e
s
lo que ha mar-puede combinarse con otros tipos deel dispositivo móvil se configura para
cado el gran impacto de la
s
rede
s
ina-ataques [3].preguntar continuamente por una I
P
lámbricas actualmente. No ob
s
tante, a la
Š
Lenguaje de marcado (war-chalking)dentro de un cierto rango, si la red no
vez, con
s
tituye su problema má
s
gran-
S
e trata de un lenguaje de símbolostiene DHC
P
activado se puede ver la I
P
de en cuanto a seguridad
s
e refiere.utilizado para marcar sobre el terrenoque figure en aln paquete analizado.
Cualquier equipo que
s
e encuentre ala exi
s
tencia de las redes inalámbricas,Existen varias herramientas útiles
100 metro
s
o meno
s
de un
P
unto dede forma que puedan ser utilizadas porpara detectar redes inalámbricas, las
Acce
s
o, podría tener acce
s
o a la redaquellos que
p
ase
n
p
or allí. Es decir,más conocidas son el Air
S
nort o Kis-
inalámbrica. Como la
s
onda
s
de radioe
s
la práctica de dibujar en paredes omet para Linux y el Net
S
tumbler para
pueden salir de lo
s
edificio
s
, cualquieracera
s
una serie de símbolos para in-sistemas Windows.
persona que posea un equipo móvil ydicar a otros la proximidad de un acce-
P
ara realizar el War-driving se ne-
entre en el área de influencia de la red,
s
o inalámbrico. En este tipo de ataquecesitan pocos recursos. Los más usua-
podría conectarse a ella.lo
s
s
ímbolos son pintados con tizales son una computadora portátil con
Según estudios realizado
s
s
e plantea(chalk) aunque actualmente se utilizanuna tarjeta inalámbrica, un dispositivo
que lo grave de e
s
ta
s
ituación e
s
otro
s
medios, como la pintura normal,G
PS
Global Positioning System /
que mucho
s
admini
s
tradore
s
de re-
s
p
r
ay de color, etc. El significado de
S
istema de
P
osicionamiento Global
des parecen no haber
s
e dado cuentacada
s
ímbolo existente es el siguiente:para ubicar el A
P
en un mapa y el soft-
de la
s
implicacione
s
negativa
s
deware apropiado —Air
S
nort para Linux,
tener Puntos de Acce
s
o Inalám-B
S
D- AriTools para B
S
D [3].
brico del ing
s
, Wi
r
ele
ss
Acce
ss
Š
Interceptar una sal
Point (WAP) en la red de una in-El atacante intenta identificar el
stitución. E
s
muy con encon-origen y el destino que posee la in-
trar rede
s
en la
s
que el acce
s
o aformación. Es decir, la toma de po-
Internet
s
e protege adecuadamentesesión y el uso del ancho de banda de
con un firewall (corta-fuego) bienlas WLAN privadas y de los hotspots
configurado; pero, en el interior de lapúblicos lugares donde se brinda
red, existen WA
P
totalmente de
s
-acceso inalámbrico, mediante un
protegido
s
y que emiten una
s
eñalkit grupo de herramienta
s
básico
hacia el exterior. Cualquier per
s
onadel wardriver —atacante de este tipo
que, desde el exterior, capte la
s
eñalde método—: programas sniffer —he-
a la red de la in
s
titución, y podrála red descargables de la red, antenas
del Punto de Acce
s
o, podrá acceder
F
i
g
u
r
a
1
L
e
n
g
u
a
j
e
d
e
sí
m
bo
l
o
s
[
1
]
.
rramienta para monitorear el tráfico en
emplear la red como punto de ata-
Š
Método de deteccn de redesdireccionales hechas de las formas
que hacia otra
s
rede
s
y, luego, de
s
-(Wa
r
-driving)más inverosímiles inclu
s
o con pa-
conectarse para no
s
er detectado,E
s
el todo s conocido paraquetes de papas fritas
Pr
ingles
robar
s
oftware o informacn, intro-detectar las redes inalámbricas in-e instrucciones colgadas en los sitios
ducir virus o algún
s
oftware maligno,
s
eguras.
S
e realiza habitualmentede Net-activismo más visitados. Tras
etc. Un punto de acce
s
o inambricocon un dispositivo vil, comohaber interceptado la señal, el ata-
To
n
o Revist
a
Técnic
a
de l
a
E
mpres
a
de Telecomunic
a
ciones de Cub
a
S
.A.
85
2
.
3
.
1
T
é
c
n
i
c
a
s
de
i
n
t
r
u
s
i
ó
n
Š
Spoofing (burla)
Esta cnica de ataque
s
e engloba
dentro de lo
s
ataque
s
activo
s
donde
un intru
s
o pretende ser la fuente real
u original.
Š
Sniffing y eave
s
d
r
opping (e
s
cu-
chas-intercepción)
El programa monitoriza lo
s
dato
s
y
determina hacia nde van, de dónde
vienen y qué son,
s
iempre que haya
una tarjeta de red que actúa en mo
d
o
promi
s
cuo. El modo promi
s
cuo e
s
un
modo de operacn en el que una com-
putadora conectada a una red compartida
captura todo
s
lo
s
paquete
s
, incluido
s
los paquete
s
de
s
tinado
s
a otra
s
com-
putadoras. E
s
muy útil para
s
upervi
s
ar
la red, sin embargo, pre
s
enta un rie
s
go
de seguridad dentro de una red de
producción [3].
Š
Hijacking (
s
ecue
s
tro)
El atacante fal
s
ifica información, un
identificador de u
s
uario o una contra-
seña permitido
s
por el
s
i
s
tema ata-
cado. E
s
to lo hace redefiniendo la
dirección física o MACMedia Ac-
cess Control / Cont
r
ol de Acce
s
o al
Medio de la tarjeta inalámbrica por
una válida (hijacking). De e
s
ta ma-
nera, asocia una dirección I
P
válida
del sistema atacado. La idea e
s
s
e-
cuestrar la comunicación entre do
s
sistemas suplantando a uno de ello
s
,
para lo que es nece
s
ario e
s
tar
s
ituado
en la ruta de comunicacn [3].
Š
Denegación de
S
ervicio —del
inglé
s
, Denial of Se
r
vice (Do
S
) o
ataque
s
por inundación (flooding
attack
s
)
La Denegación de
S
ervicio
s
u-
cede cuando un atacante intenta
ocupar la mayoría de lo
s
recur
s
o
s
disponible
s
de una red inalámbrica.
Impide a su
s
u
s
uario
s
legítimo
s
di
s
-
dencia [3].
2
.
4
S
o
l
u
c
i
o
n
e
s
de
s
e
gu
r
i
d
a
d
e
n
r
ede
s
i
n
a
l
á
m
b
r
i
c
a
s
Inicialmente para resolver los pro-
blema
s
de seguridad que aparecen con
el u
s
o de las redes inalámbricas, mu-
cho
s
fabricantes han fomentado la
creación de dispositivos que sopor-
ten protocolos de cifrado.
S
e desa-
rrolla el protocolo WE
P
Wireless
Enc
r
yption Protocol /
P
rotocolo de
Cifrado Inalámbrico el cual utiliza
una clave secreta estática no hay
renovacn de la clave de manera
automática y frecuente que es com-
partida por el
P
unto de Acceso y todos
lo
s
clientes que accedan a través de
e
s
te a la red, y con la cual se realiza la
autenticación y la proteccn de los
dato
s
.
P
ero WE
P
comienza a presen-
tar debilidades de seguridad debido
al manejo estático de su llave y al uso
de un vector de inicialización que se
puede identificar en los paquetes
tran
s
mitidos periódicamente. En la ac-
tualidad, esto puede realizarse de for-
ma automática con herramientas que
facilitan la captura de los datos [4].
La IEEE consciente de estas fallas
de
s
arrolló el estándar de seguridad
802.11i para redes inalámbricas, que
tambn
s
e conoce como Red de
S
e-
guridad
S
ólida del inglés, Robust
Secu
r
ity Network (R
S
N).
P
or otro
lado, el consorcio de proveedores de
tecnoloa inalámbrica Wi-
F
i generó
el e
s
ndar W
P
A Wi-Fi Protected
Acce
ss
/ Acceso
P
rotegido Wi-
F
i
para la protección de los datos y el
control del acceso inalámbrico a las
rede
s
, el cual se basa en el esndar
802.11 y puede implementarse en las
tecnologías inalámbricas de tipo Wi-
F
i.
E
s
te e
s
ndar incluye los mecanis-
mo
s
s
adecuados para realizar el
control de acceso y protección de
dato
s
en ambientes inalámbricos
cante intentará recopilar informa-poner de dichos servicios o recursos.porque integra mecanismos fuertes
cn sen
s
ible del si
s
tema.
P
uede producirse a través de:de autenticación, control de acce-
Para llevar a cabo e
s
te todo,
Š
Ataques por sincronización (
S
YNso, integridad y confidencialidad.
puede que el wa
r
drive
r
tenga que ex-Flooding).W
P
A utiliza 802.1x como mecanismo
poner
s
e peligro
s
amente, teniendo que
Š
Ataque smurf.de control de acceso y autentica-
acercarse a la red para capturar la
Š
S
obrecarga del sistema.cn a la red y para generar y en-
señal. E
s
to puede provocar una pro-
Š
F
al
s
edad de Nombres de Domi-tregar las llaves de sesn W
P
A a
bable tendencia a una mayor pru-nio (DN
S
Spoofing) [3].los usuarios autenticados [4
]
.
P
ara corregir las principales de-
bilidades de WE
P
, W
P
A utiliza el
protocolo TKI
P
T
empora
r
y Key
Integrity Protocol /
P
rotocolo in-
tegral de clave temporal el cual
aumenta el tamaño de las claves, re-
fresca dichas claves perdicamen-
te, utiliza un contador de secuencia
para el vector de inicialización y
realiza una funcn de mezcla de
este mismo vector por paquete. De
este modo, previene los ataques de
clave de WE
P
. Adicionalmente, W
P
A
utiliza una función llamada MIC Me-
ssage Integrity Code que verifica la
integridad de los mensajes trans-
mitidos y previene que atacantes cap-
turen paquetes, los modifiquen y
los reenvíen [4].
W
P
A fue una solucn intermedia
hasta la llegada del estándar 802.11i
aprobado por el IEEE y aceptado por
Wi-
F
i Alliance en septiembre del 2004.
Este estándar se basa en el algoritmo de
cifrado TKI
P
; no obstante, tambn
admite el AE
S
Advanced Encryption
Standard / Estándar de Cifrado Avan-
zado que es mucho más seguro. Wi-
F
i
Alliance creó una nueva certificación,
denominada W
P
A2, para dispositivos
que admiten el estándar 802.11i [5].
A diferencia del W
P
A, el W
P
A2
puede asegurar tanto redes inalám-
bricas en modo de infraestructura como
también redes en modo ad hoc.
El esndar IEEE 802.11i define
dos modos operativos:
Š
Š
WPA-Perso
n
al: este modo per-
mite la implementacn de una in-
fraestructura segura basada en W
P
A
sin tener que utilizar un servidor
de autenticación. W
P
A
P
ersonal se
fundamenta en el uso de una clave
compartida, llamada P
S
K Pre
Shared Key que significa Clave
P
recompartida, que se almacena en el
86
Tono Revista Técnic
a
de l
a
E
mpres
a
de Telecomunic
a
ciones de Cub
a
S.A.
Š
e
s
tándar. Por lo tanto, la
s
entidade
s
que no tengan in
s
talada
s
e
s
ta
s
tecno-
logías con
s
olucione
s
W
P
A o W
P
A2,
utilizan alternativa
s
que integran el
u
s
o del mecanismo de control de ac-
ceso y autenticacn a la red 802.1x
con el uso de cifrado WE
P
con ma-
nejo dinámico de clave
s
WE
P
diná-
mico. Y, de esta forma,
s
e garantiza
el control del acce
s
o a lo
s
recur
s
o
s
de
la red y se eliminan la
s
brecha
s
de
seguridad creada
s
al tener un punto
de acce
s
o inalámbrico de
s
protegido.
2
.
5
E
st
á
n
d
a
r
802
.
1
x
p
a
r
a
e
l
c
o
n
t
r
o
l
de
a
cc
e
s
o
a
l
a
r
ed
El uso de 802.1x
s
e encuentra dentro
del grupo de mejore
s
práctica
s
para
garantizar la seguridad en rede
s
ina-
lámbrica
s
. Se plantea que el e
s
tándar
802.1x e
s
el pilar fundamental de la
brica. Ante
s
de la adaptación de e
s
te
e
s
ndar para rede
s
inalámbrica
s
Wi-
Punto de Acceso y en lo
s
di
s
po
s
itivo
s
de una seguridad inalámbrica robusta, si no se aplica el estándar 802.1x.
cliente. A diferencia de WE
P
no
s
e802.1x es un estándar del IEEE para realizar el control de acceso a una
nece
s
ita ingre
s
ar una clave de lon-red mediante un proceso de autenticación que habilita o impide el acceso
gitud predefinida. El W
P
A le permitede lo
s
dispositivos que se conectan a un puerto de red LAN. Este es-
al u
s
uario ingresar una contra
s
eña.tándar puede implementarse en redes cableadas al igual que en redes
Después, un algoritmo conden
s
adorinalámbricas. Además, este tipo de implementación puede utilizarse para
la convierte en P
S
K [6].administrar las claves empleadas con el prosito de proteger la in-
Š
WPA-Enterpri
s
e: e
s
te modo re-formación que trasmiten los dispositivos autenticados. En la implemen-
quiere de una infrae
s
tructura de au-tación 802.1x se requieren, mínimo, los siguientes componentes:
tenticación 802.1x con un
s
ervidor de
Š
U
s
uario que intenta acceder a la red o s
up
lica
n
te.
autenticación, generalmente un
s
ervi-
Š
P
unto de Acceso que habilita o impide el ingreso del suplicante, tam-
dor RADIUS o FreeRadiu
s
, un contro-bn llamado a
u
te
n
tica
d
or.
lador de red Punto de Acce
s
o y
Š
S
ervidor de autenticación que negocia y valida la identidad del supli-
un cliente [6].cante; y le informa el éxito o fracaso de este proceso al a
u
te
n
tica
d
or para
No todos los organi
s
mo
s
e in
s
titu-que ejecute la acción indicada.
cione
s
disponen de lo
s
recur
s
o
s
ne-E
s
te esndar hace referencia al uso del
P
rotocolo de Autenticacn Ex-
cesario
s
para implantar el e
s
tándarten
s
ible —del ings, Extensible Authentication Protocol (EAP) ante
802.11i debido a que
s
e nece
s
ita in-el
sup
lica
n
te —usuarios de acceso inalámbrico, el a
u
te
n
tica
d
or
P
untos de
vertir en hardware que por lo gene-Acce
s
o Inalámbrico y los servidores de autenticacn como el
ral son co
s
toso
s
para
s
oportar e
s
teRADIU
S
o
F
reeRadius solución libre [7].
seguridad Wi-Fi o
S
eguridad inalám-
F
i
g
u
r
a
2
E
s
qu
e
ma
d
e
a
u
t
e
n
t
i
c
a
c
i
ón
b
a
s
a
d
a
e
n
802
.
1
x
[
7
]
.
Fi, no exi
s
tía ninn control
s
obre lo
s
2
.
5
.
1
P
r
o
t
o
c
o
l
o
s
de
a
u
t
e
n
t
i
c
a
c
i
ó
n
acceso
s
a este tipo red.Con el objetivo de resolver y minimizar los daños producidos por los ataques
Para pequeña
s
y mediana
s
em-y cnicas de intrusión analizados, es necesario aplicar mecanismos que
pre
s
as el esndar 802.1x no e
s
muygaranticen la seguridad de la red.
S
e requiere conocer, de este modo, los di-
fácil de aplicar,
s
in embargo, en la
s
ferentes protocolos que han surgido para evitar los problemas que pue-
organizacione
s
mediana
s
o gran-dan ocasionar estos ataques. Algunos de estos protocolos que garantizan la
des, e
s
imprescindible
s
u u
s
o paraautenticación en el proceso de controlar el acceso a la red se describen a
lograr un nimo de
s
eguridad encontinuación:
sus rede
s
inalámbrica
s
. En ningu-
P
A
P
Password Authentication Protocol /
P
rotocolo de Autenticación
na organización
s
e puede hablarde Clave de Acceso—: este protocolo realiza la validación cuando se
To
n
o Revist
a
Técnic
a
de l
a
E
mpres
a
de Telecomunic
a
ciones de Cub
a
S
.A.
87
Es importante tener en cuenta que el control de acceso es un factor
impre
s
cindible para implementar cualquier tipo de red porque se con-
vierte en un método que permite tener claro quién o quiénes interactúan
en la red y, de esta forma, garantizar la integridad, disponibilidad y
confidencialidad de lo
s
dato
s
que circulan en la misma.
2.6 FreeRadiu
s
FreeRadius e
s
la implementación libre s conocida y usada del
protocolo RADIU
S
Remote Authentication Dial-In User Service.
S
e
inició en el año 1999 como un proyecto de
s
ervidor RADIU
S
para cubrir
las necesidade
s
que otro
s
s
ervidore
s
RADIU
S
no podían realizar.
Actualmente, incluye
s
oporte para LDA
P
L
ightweight Directory
Acce
s
s Protocol /
P
rotocolo Ligero de Acce
s
o a Directorios,
S
QL y
otras base
s
de dato
s
, a
s
í como EA
P
, EA
P
-TTL
S
y
P
EA
P
. Además de
ofrecer soporte para todo
s
lo
s
protocolo
s
comunes de autenticación y
bases de dato
s
[8].
establece la conexn entre el cliente y el
s
ervidor. Utiliza el nombre deLos servidores de autenticación re-
usuario y contrasa como credenciale
s
, la
s
cuales son enviadas enmota de usuarios por dial-in permiten
texto plano sobre el enlace, por lo que
s
e considera un método pocola autenticación de usuarios cuando
seguro [7].estos intentan acceder al se
r
vidor.
CHAP Challenge Hand
s
hake P
r
otocol: provee un mejor nivel deRADIU
S
es el protocolo de autentica-
seguridad, porque realiza una validación de tres vías entre cliente yción, autorización y manejo de cuentas
servidor, donde e
s
te último envía un parámetro de control a quien se au-de usuario originalmente desar
r
ollado
tentica, este lo encripta con
s
u contra
s
eña y lo reenvía al servidor, donde sepor Livingston Enterprises y publica-
realiza el mismo procedimiento con la contra
s
a almacenada y se veri-do en 1997. Es utilizado para admi-
fica si
s
e obtiene el mi
s
mo re
s
ultado.nistrar el acceso remoto y la movilidad
EAP: es un protocolo que permite elevar ns el nivel de seguridadI
P
, como ocurre en servicios de ac-
de la autenticación, admite diver
s
o
s
método
s
y tipos de credenciales aceso por módem, D
S
L, servicios
utilizar incluyendo la capacidad de manejar certificados digitales.inalámbricos 802.11 o servicios de
De acuerdo con e
s
to, di
s
tinto
s
tipo
s
de EA
P
pueden implementarse con-VoI
P
Voice over Internet Protocol /
forme a las caracterí
s
tica
s
y condicione
s
propias de cada infraestructuraVoz sobre el
P
rotocolo de Inter-
donde se requiera. Lo
s
principale
s
tipo
s
de EA
P
se resumen a continua-net—. Este protocolo trabaja a
ción [7].través del puerto 1812 po
r
UD
P
User Datagram Protocoln /
P
roto-
colo de Datagrama de Usuarios [9].
La autenticacn gestionada por este
protocolo se realiza a tras del in-
greso de un nombre de usuario y una
clave de acceso. Esta información es
procesada por un dispositivo NA
S
Network Access Server / Servidor
de Acceso a la Red— a través de
PPP
Point-to-Point Protocol /
P
roto-
colo
P
unto a
P
unto.
P
osteriormente,
es validada por un servidor RADIU
S
a través del protocolo correspon-
diente a partir del empleo de diver-
sos esquemas de autenticacn, por
ejemplo,
P
A
P
o EA
P
y permite el
acceso al sistema [10].
F
reeRadius es, sin duda, una opcn
real para las instituciones que nece-
F
i
g
u
r
a
3
M
é
t
odo
s
E
A
P
[
7
]
.
siten implementar el control de ac-
ceso utilizando el esndar 802.1x, sin
coste alguno para la misma.
3
A
p
li
c
a
c
i
ó
n
La Universidad de las Ciencias In-
formáticas (UCI) ha apostado por la
insercn de esta tecnoloa dentro
sus áreas docentes y productivas.
P
or este motivo se necesita consi-
derar todos los aspectos respecto
a la seguridad, principalmente, aque-
llos que distinguen a dicha tecnolo-
gía.
Teniendo en cuenta las caracte-
rísticas de la UCI, en cuanto a -
88
Tono Revista Técnic
a
de l
a
E
mpres
a
de Telecomunic
a
ciones de Cub
a
S.A.
4
C
o
n
c
l
u
s
i
o
n
e
s
Garantizar la máxima
s
eguridad en
las rede
s
, es hoy de vital importan-
5
R
e
f
e
r
e
n
c
i
a
s
b
i
b
li
o
g
r
á
f
i
c
a
s
[
1
]
T
o
r
to
s
a
,
C
a
r
lo
s
C
e
r
v
e
r
a
.
S
e
g
u
r
i
d
a
d
e
n
r
e
d
e
s
i
n
a
l
á
m
b
r
i
c
a
s
.
(
2005
)
.
h
tt
p
:
//
www.
u
v
.
e
s
/~
m
o
n
t
a
n
a
n
/
r
e
d
e
s
/t
r
a
b
a
jo
s
/
S
e
g
u
r
i
d
a
d
W
L
A
N
s
.
pd
f
.
(
a
cc
e
s
o
s
e
p
ti
em
b
r
e
10
,
2008
)
.
[
2
]
E
s
t
u
d
io
s
o
b
r
e
l
a
s
it
u
a
c
ió
n
d
e
s
e
g
u
r
i
d
a
d
y
b
u
e
n
a
s
p
r
á
c
ti
c
a
s
e
n
d
i
s
p
o
s
iti
v
o
s
m
ó
v
il
e
s
y
r
e
d
e
s
i
n
a
l
á
m
b
r
i
c
a
s
.
(
j
un
io
d
e
2008
)
.
.
h
tt
p
:
//www
.
i
n
t
e
c
o
.
e
s
/fil
e
/
1000147196.
(
a
cc
e
s
o
j
u
lio
11
,
2008
)
.
[
3
]
Co
r
s
,
I
s
r
a
e
l
y
P
e
r
n
i
c
h
,
P
a
t
r
i
c
i
a
.
S
e
g
u
r
i
d
a
d
e
n
r
e
d
e
s
W
i
r
e
l
e
ss
.
(
2004
)
.
h
tt
p
:
//
www.
cr
i
p
to
r
e
d
.
u
p
m
.
e
s
/
g
u
i
a
t
e
o
r
i
a
/
g
t_
m
148
s
.
h
t
m
.
(
a
cc
e
s
o j
u
lio
14
,
2008
)
.
[
4
]
B
e
a
v
e
r
,
K
e
v
i
n
a
n
d
D
a
v
i
s
,
P
e
t
e
r
T
.
H
a
c
k
i
n
g
W
i
r
e
l
e
ss
N
e
two
r
k
s
fo
r
D
u
mm
i
e
s
,
2005.
U
S
A
:
Jo
hn
W
il
e
y
&
S
o
n
s
I
n
c
.
,
p
á
g
.
362.
[
5
]
D
e
p
lo
y
i
n
g
W
i
-
F
i
P
r
ot
e
c
t
e
d
A
cc
e
ss
(
W
PA
)
a
n
d
W
PA
2
i
n
t
h
e
E
n
t
e
r
p
r
i
s
e
.
h
tt
p
:
//www
.
wi
-
fi
.
o
r
g
/
k
n
owl
e
d
g
e
_
c
e
n
t
e
r
/w
p
a
2.
(
a
cc
e
s
o
s
e
p
ti
em
b
r
e
25
,
2008
)
.
[
6
]
W
i
F
i
-
802.11
i /
W
PA
2
.
h
tt
p
:
//
e
s
.
k
io
s
k
e
a
.
n
e
t/wifi/wifi
-
802.1
x
.
p
h
p
3.
(
a
cc
e
s
o
o
c
t
u
b
r
e
6
,
2008
)
.
[
7
]
E
s
p
i
n
o
z
a
,
M
a
r
í
a
P
.
y
L
o
a
y
z
a
,
C
a
r
lo
s
C
.
S
e
g
u
r
i
d
a
d
p
a
r
a
l
a
r
e
d
i
n
a
l
á
m
b
r
i
c
a
d
e
un
c
a
m
p
u
s
un
i
v
e
r
s
it
a
r
io
.
(
2008
)
.
h
tt
p
:
//www
.
cr
i
p
to
r
e
d
.
u
p
m
.
e
s
/
g
u
i
a
t
e
o
r
i
a
/
g
t_
m
538
c
.
h
t
m
.
(
a
cc
e
s
o o
c
t
u
b
r
e
6
,
2008
)
.
[
8
]
D
í
a
z
,
T
o
n
i
d
e
l
a
F
u
e
n
t
e
.
A
d
m
i
n
i
s
t
r
a
c
ió
n
d
e
F
r
ee
R
A
D
I
U
S
v
í
a
W
e
b
.
(
2006
)
.
h
tt
p
:
//
flo
ss
i
c
.lo
b
a
.
e
s
/Co
n
t
e
n
i
d
o
s
/
a
c
t
a
s
/
p
h
p
r
a
d
m
i
n
.
pd
f
.
(
a
cc
e
s
o o
c
t
u
b
r
e
14
,
2008
)
.
[
9
]
P
r
oj
e
c
t
T
h
e
F
r
ee
R
A
D
I
U
S
S
e
r
v
e
r
.
(
2008
)
.
h
tt
p
:
//f
r
ee
r
a
d
i
u
s
.
o
r
g
.
(
a
cc
e
s
o o
c
t
u
b
r
e
14
,
2008
)
.
[
10
]
V
a
l
d
é
s
Ji
me
n
e
z
,
A
l
e
j
a
n
d
r
o
.
F
r
ee
R
A
D
I
U
S
+
W
PA
+
E
AP
+
T
L
S
.
h
tt
p
:
//
d
e
b
.
u
t
a
l
c
a
.
c
l/
p
u
b
li
c
/i
m
a
g
e
n
e
s
/
r
a
d
i
u
s
.
pd
f
.
(
a
cc
e
s
o o
c
t
u
b
r
e
14
,
2008
)
.
OpenLDAP, Active Directory.
Š
Ge
s
tn de lo
s
equipo
s
NA
S
que
darán el servicio de acce
s
o a lo
s
u
s
ua-
rios.
Š
Incluir una Infrae
s
tructura de
Clave Pública para la generación de
certificado
s
utilizado
s
por lo
s
u
s
ua-
rios.
Š
Administracn del
s
ervicio lo
s amigablemente po
s
ible para el
admini
s
trador del
s
i
s
tema.
De e
s
ta manera,
s
e provee a lo
s
admini
s
tradore
s
de red una aplica-
cn que facilite la ge
s
tión de e
s
te
tipo de
s
ervicio e incorpore, de an-
temano, elemento
s
bá
s
ico
s
re
s
pecto a
su seguridad.
mero de u
s
uarios y área que abarca,cia en las instituciones y organismos que manejan información esencial.
P
or
se requiere una herramienta que au-lo tanto, en los centros donde se implementen soluciones inalámbricas
tomatice lo
s
proce
s
o
s
nece
s
ario
ss
e debe prestar mucha atención a los estándares internacionales que ri-
para garantizar el
s
ervicio de acce
s
ogen y garantizan la seguridad en este tipo de red.
S
iempre teniendo en
a la red univer
s
itaria lo
s
s
egurocuenta la infraestructura tecnológica, organizacional y poticas de se-
po
s
ible. Para e
s
te fin, exi
s
te un gru-guridad propias de cada institución.
po de investigación que profundizaIndependientemente del estándar que se implemente WE
P
, W
P
A,
en el tema y, ademá
s
, trabaja en el802.11i o W
P
A2, debe asumirse que el control de acceso es un factor muy
de
s
arrollo de esta herramienta que,importante. En consecuencia, implementar el estándar 802.1x en entornos
en un principio, provee la
s
s
iguiente
s
inambricos, constituye una de las mejores recomendaciones de se-
caracterí
s
ticas:guridad, no sólo porque aumenta el nivel de seguridad sino que permite
Š
Ge
s
tn de u
s
uario
s
de
s
de unaa la
s
organizaciones adoptar estándares de seguridad para la tecnología
ba
s
e de autenticacn definida porinalámbrica. Es, además, con la integración de soluciones lib
r
es como
el administrador del
s
i
s
tema —My
S
QL,
F
reeRadius, una solución que se adapta sin impactos económicos o
PostgreSQL, Oracle,
MS
S
QL
S
erver,funcionales al crecimiento o cambio de tecnoloa en las organizaciones.