Tema 5.

Integración de redes inalámbricas (WLAN)

5.1.1. Estándares IEEE 802.11

Es el estándar más extendido para la creación de redes de área local inalámbrica, también
conocido como Wi-Fi. Usa como control de acceso al medio el sistema CSMA/CD

5.2. COMPONENTES DE UNA WLAN

- Adaptadores de red: llamados NIC (Network Interface Card), se instala en los sistemas
informáticos que quieren conectarse a la red inalámbrica. Disponen de una pequeña antena.
Pueden instalarse mediante una tarjeta en una de las ranuras de expansión de la placa base.

- Puntos de acceso o AP (Access Points): centro neurálgico de las redes inalámbrica. Permite
conectar los dispositivos inalámbricos entre sí y con la red cableada. Cuantos más dispositivos
estén conectados más lento será.

- Repartidores: permiten extender el área de cobertura de una red inalámbrica. Cuanto más
alejados estén los equipos de los puntos de acceso mas costará que lleguen las ondas de radio.
Con los repetidores se regenera y se amplifica la señal entre dispositivos y puntos de acceso.

- Puntos inalámbricos: elementos software y hardware que permiten la interconexión de dos

redes (inal. con inal. o inal. con cabl.)

5.3. DISEÑO Y PLANIFICACIÓN DE UNA WLAN

- Aplicaciones que se van a usar: hay aplicaciones que no soportan retardos temporales, que
en las redes inalámbricas podrían ser mayores que en las cableadas.

- Número total de usuarios de la red inalámbrica: hay que tener en cuenta la velocidad
mínima admisible en la red.

- Área total de cobertura

- Tipos de dispositivos a conectar: teléfonos, tablets…

- Tipos de información que se administrará en la red

- Nivel de seguridad necesario

5.3.3. Requerimientos técnicos

Se debe verificar que los servicios de autenticación son compatibles con el estándar IEEE
802.11, y de ser así , se determinan los tipos de autenticación EAP que soportan. De no ser
compatible se debe verificar si realizando una actualización se solventa el problema o si es
necesario implementar un nuevo servicio. Los requerimientos necesarios para cada uno de los
elementos de la red inalámbrica:

- Clientes (usuarios): evaluar si las plataformas de los clientes soportan el tipo de

autenticación elegido, o requieren de un componente software adicional.

- Puntos de acceso: el principal requerimiento es la compatibilidad con 802.11 y un soporte

cifrado.
- Servidor de autenticación: necesitan compatibilidad con 802.11, soporte de diversos tipos de
autenticación EAP, capacidad de registro, soporte para el control de acceso en redes
inalámbricas y flexibilidad para validar a los clientes.

Se debe seleccionar el método EAP para seguridad y funcionalidad, pero en pequeñas empresas
con un número de usuarios pequeño y recursos limitados se seleccione el método PEAP porque
no requiere del uso de certificados digitales y eso reduce la complejidad y el coste.

5.3.4. Firmware
Pequeño programa(software) incorporado en las redes inalámbricas. Se necesita actualizar a
medida que se desarrollan nuevas características o aparecen problemas. El proceso de
actualizaciones es simple y nunca se debe interrumpir ya que no se guardarían los cambios.

5.4. TOPOLOGÍAS
5.4.1. Redes ad hoc
Es una red punto a punto que se configura de acuerdo con las necesidades temporales de un
servicio. No necesita punto de acceso

5.4.2. Redes infraestructuras

Uno de los nodos de la red es un punto de acceso, estos no se comunican entre sí, sino que la
comunicación se hace mediante puntos de acceso, es la topología más implantada en la
actualidad. Es frecuente que a los nodos inalámbricos, denominados estaciones remotas, actúen
como clientes que solicitan servicios e información a servidores conectados a la infraestructura
de la red cableada, a través de los puntos de acceso llamados estación base.
Esta estación base se asocia a una entidad conocida como conjunto de servicios básicos
BSS(Basic Service Set), permite la conexión entre estaciones. En la asociación BSS se
necesitan:
- SSID: cadena de caracteres ASCII que identifica el conjunto de servicios básicos.

- Canal de radiofrecuencia: selecciona la frecuencia a compartir.

5.4.3. Medios inalámbricos

Son medios no guiados que basan su funcionamiento en la radiación de energía
electromagnética, se clasifican según sus frecuencias:

- Ondas de radio: 10 KHz - 1 GHz. Las de frecuencia baja/media pueden atravesar paredes

- Microondas: 1 GHz - 300 GHz. Son unidireccionales, el emisor y el receptor deben alinearse
de forma muy precisa

- Infrarrojos: 300 GHz – 400 THz. Comunicaciones de corto alcance (mando a distancia).

- Láser: No atraviesa paredes y el emisor y el receptor deben alinearse.

La emisión electromagnética se puede realizar de forma direccional o de forma

omnidireccional.
La sensibilidad es la potencia mínima que debe llegar a un receptor para que funcione
correctamente.

5.4.4 Cobertura e interferencias

Para asegura la cobertura, se determina el mejor posicionamiento de los puntos de acceso(lo
más centrados posible y en zonas elevadas) y se establece la frecuencia de funcionamiento. Si
no se consigue la cobertura deseada se puede sustituir la antena por una de mayor ganancia.
En los estándar 802.11b y 802.11g de redes inalámbricas la banda de frecuencia empleada es
de 2.4 a 2.4835 GHz (83.5 MHz de ancho). Esta banda está dividida en 14 canales con una
diferencia de 5 MHz entre ellos. En EEUU y Canadá solo se pueden usar los 11 primeros,
mientras que en Europa se pueden usar del 1 al 13.
En el caso de 802.11g, al ser modulado, necesita una banda de 22 MHz y como cada canal
está separado por 5 MHz se produce solapamiento, por lo tanto se recomienda utilizar canales
aislados que estén a una distancia de 5 canales entre ellos, por ejemplo en Europa se
recomiendan usar los canales óptimos que son el 1, 7 y 13.

5.5.3. WDS(Wireless Distribution System). Tipos de servicio

WDS es una función que permite la interconexión inalámbrica entre encaminadores o
puntos de acceso. Se puede emplear un punto de acceso como repetidor de otra señal o para
interconectar redes, pero para que esto funcione ambos equipos tiene que soportar la función
WDS y deben estar configurados en el mismo canal. También es necesario introducir en cada
uno de ellos la MAC del otro, pudiéndose utilizar el cifrado WEP o WPA.
Cuando se diseñó el 802.11 se pensó en dos tipos de servicios:

- BSS (Basic Service Set): solo hay un punto de acceso y una red inalámbrica.

- ESS (Extended Service Set): unión de varias BSS, con varios puntos de acceso, e interesa
que las estaciones conectadas a cada punto de acceso puedan interconectarse de forma
transparente, el sistema que permite esto es el DS (Distribution System).

5.6.1. Autenticación
Proceso por el cual se determina que un dispositivo es quien dice ser, se puede realizar de varias
formas:
- Autenticación por puntos de acceso: los puntos de acceso están configurados de manera que
usen contraseña, se conocen como identificadores de servicio SSID (Service Set Identifier),
conocido en otras ocasiones como ESSID (Extended Service Set Identifier).

- Autenticación por tabla de direcciones MAC: muchos fabricantes proporcionan la

capacidad de restringir el acceso a la red basándose en una tabla de direcciones MAC. De esta
forma, solamente pueden acceder a la red los dispositivos que tengan estas direcciones. Sus
dos problemas son: que pueden ser falsificadas y las bases de datos separadas crean problemas
administrativos.

- Certificado de autenticación: para acceder a la red, el dispositivo envía su certificado a un

servidor de autenticación a través de la red, si este lo validan, podrá obtener el acceso a la red.

5.6.2. Tipos de autenticación

EL IIEE regula el protocolo de autenticación extensible (EAP) con la normativa IEEE 802.11,
para combatir la vulnerabilidad de seguridad de las redes. Lo interesante del EAP (Extensible
Authentication Protocol) es la flexibilidad que proporciona para autenticar, permite a los
fabricantes la libertad de ofrecer diferentes métodos de autenticación.

Cisco System en 2001, ofreció el primer tipo de autenticación conocido como LEAP (Light
EAP), donde las contraseñas son las credenciales de autenticación habilitando las pantallas de
inicio de sesión a la red en el lado del cliente.

Microsoft añadió el segundo tipo de autenticación, EAP/TLS (EAP with Transport Layer
Security)(EAP con seguridad en la capa de transporte), basado en certificados en lugar de
contraseñas como credenciales de autenticación.
Otro método de autenticación es el EAP/TTLS (EAP with Tunneling Transport Layer
Security)(EAP con capa segura de transporte de túnel), donde se configura un túnel seguro
de autenticación en la capa 2 entre el cliente y el punto de acceso usando TLS, una vez
establecido el túnel, EAP/TTLS funciona a través de él, permitiendo que se envíen y reciban
variedad de credenciales de autenticación incluyendo contraseñas y certificados a través del
túnel seguro. Solo usa una TLS en el lado del servidor pero no en el del cliente.

5.6.3. Sistemas encriptados

El cifrado de encriptado consiste en cambiar los datos de forma que sean imposibles de leer sin
la información necesaria para descifrarlos. Para descifrarlos se necesita un código. Los tipos de
cifrado para las redes inalámbricas son:

- WEP(Wireless Equivalent Privacy)(privacidad equivalente al cable): proporciona una

confidencialidad comparable a la de una red cableada tradicional. Proporciona un cifrado en la
capa 2 basado en el algoritmo RC4 que utiliza claves de 64 o 128 bits. Emplea claves de
cifrado estáticas.

- WPA(Wi-Fi Protected Access)(Acceso protegido Wi-Fi): creado para corregir las

deficiencias del sistema WEP, basado en las especificaciones del estándar 802.11i, que mejora
notablemente el nivel de protección de datos y el control de acceso a las redes inalámbricas.
Mediante el uso de un servidor, almacena las credenciales y contraseñas de los usuarios.

- WPA-2 (Wi-Fi Protected Access 2) (Acceso protegido Wi-Fi 2): protege las redes
inalámbricas eliminando las vulnerabilidades detectadas en WPA. Utiliza algoritmos de
cifrado AES (Advanced Encryption Standard), este es un sistema de cifrado por bloques
con claves de 128, 192 y 256 bits, es el sistema actual más seguro.

5.6.4. Ataques informáticos

• Ataques pasivos: el principal objetivo es obtener información.
Tipos:
- Espionaje: observar el entorno y recopilar información relacionada con la topología de la red.

- Escuchas: monitorizar la red para capturar información.

- Ataques de descubrimiento de contraseña: averiguar las contraseñas o claves de cifrado.

• Ataques Activos: modifican el flujo de datos o la creación de flujos falsos.

Tipos:
- Ataques de denegación en servicio o DoS: colapsar total o parcialmente un servidor para
que no pueda realizar su tarea. Tiene una variante denominada DDoS, este es distribuido.

- Phishing: capacidad de duplicar una página web, dos variantes:

- Vishing: phishing pero en servicios asociados con voz sobre IP
- Smishing: phishing pero con mensajes de texto

- Spam: envío de cualquier correo electrónico, masivo o no.

- Spoofing: suplantar validaciones, credenciales o identificadores estáticos.

- Man in the Middle: basado en Spoofing que consiste en interponerse entre dos sistemas.

- Secuestro o hijacking: se vale del Spoofing pata tomar una conexión entre dos usuarios y
robar la sesión.
- Código malicioso: hardware, software o firmware introducido en un sistema con fines
maliciosos.

- Hoax: correo electrónico con contenido falso o engañoso, distribuido en cadena.

5.8. Esquema – Resumen del tema