Una red WLAN (Wireless Local Area Network) o Red de Área Local Inalámbrica, es un sistema de comunicaciones de datos flexible que se incorpora como una extensión o una alternativa a la red LAN con cable. Utilizan ondas de radio de alta frecuencia en lugar de cables para la transmisión y recepción de datos, minimizando la necesidad de conexiones con cable, de esta forma las redes WLAN combinan la conectividad de datos con la movilidad del usuario.
En una configuración WLAN habitual un dispositivo transmisor/receptor, denominado punto de acceso, da cobertura de red desde una ubicación fija a equipos portátiles o fijos equipados con una tarjeta de red inalámbrica, proporcionando actualmente un ancho de banda máximo compartido de 54 Mbps.
|
Punto de Acceso Inalámbrico
|
Tarjeta de red inalámbrica PCMCIA
|
Este tipo de redes WLAN utilizan tecnología de radiofrecuencia, minimizando así la necesidad de conexiones cableadas. Este hecho proporciona al usuario una gran movilidad sin perder conectividad. El atractivo fundamental de este tipo de redes es la facilidad de instalación y el ahorro que supone la supresión del medio de transmisión cableado. Aún así, debido a que sus prestaciones son menores en lo referente a la velocidad de transmisión que se sitúa entre los 1 y los 54 Mbps (compartidos) frente a los 10/100 Mbps (dedicados) ofrecidos por una red convencional, las redes inalámbricas son la alternativa ideal para hacer llegar una red tradicional a lugares donde el cableado no lo permite, y en general las WLAN se utilizan como un complemento de las redes fijas.
Las redes WLAN se diferencian de las convencionales principalmente en la capa física, y en la capa de enlace de datos (MAC), según el modo de referencia OSI. La capa física indica como son enviados los bits de una estación a otra, la capa MAC se encarga de describir cómo se empaquetan y verifican los bits de manera que no tengan errores.
Los sistemas WLAN utilizan para su funcionamiento las bandas de frecuencia 902-928 Mhz , 2.400-2.483 Ghz y 5725-5850 Ghz, también conocidas como ISM (Industrial, Científica, Médica), por las que no hace falta pagar ninguna licencia y se pueden usar libremente.
El componente clave es el llamado Punto de Acceso (Access Point o AP). El AP proporciona una función de tipo de reenvío. Todas las estaciones de la celda se comunican con el AP, entre ellas no se comunican de forma directa.
Distancias y Velocidades
El estándar 802.11b especifica 4 velocidades diferentes de funcionamiento, que son: 1, 2, 5.5 y 11 Mbps. La capacidad máxima de 11 Mbps sólo se consigue en condiciones óptimas, es decir, en áreas próximas al punto de acceso y sin elementos que interfieran la comunicación como interferencias electromagnéticas o elementos arquitectónicos (muros de hormigón). Si la señal no fuera lo suficientemente fuerte, la velocidad se reducirá automáticamente, por tanto conforme nos vamos alejando del punto de acceso la velocidad se reduce. El nuevo estándar 802.11g permite hasta 54 Mbps, todavía lejos de los 100 Mbps de velocidad máxima que se consiguen en una red Fast Ethernet.
Con respecto al alcance máximo del área de cobertura, las distancias son equiparables a las conseguidas con cableado (alrededor de 100 metros) si bien se pueden conseguir mayores distancias utilizando antenas. El alcance máximo es teórico ya que en la práctica, se ve reducido por las causas comentadas en el párrafo anterior (interferencias electromagnéticas y elementos arquitectónicos).
Las redes inalámbricas se comunican mediante un medio compartido, es decir, todos los dispositivos asociados a la red son capaces de "ver" todos los datos que se transmiten por la red, les vayan destinados o no, e incluso pueden suplantar la personalidad de otro dispositivo. Para tratar de paliar estos problemas, típicamente se ha implantado ciertos mecanismos para asegurar la autenticación ante la red y el cifrado de los datos a la hora de transmitir, todos sin éxito:
Listas de control de acceso basadas en direcciones MAC:
Una de las medidas más comunes que se utilizan para securizar una red wireless es restringir las máquinas que podrán comunicarse con el punto de acceso haciendo filtrado por dirección MAC en éste. Para esto se suele crear una tabla en el punto de acceso que contiene todas las MACs de los clientes que están autorizados para conectar.
Aunque esto pueda parecer una medida de seguridad efectiva, no lo es, ya que es muy fácil cambiar la dirección MAC que aparece en los paquetes que un cliente envía, y hacernos pasar por uno de los equipos que sí que tienen acceso a la red.
No emitir Beacon Frames (o emitirlos sin el ESSID):
Una medida de seguridad bastante común es “ocultar” el ESSID (el nombre de la red), es decir, hacer que el AP no mande beacon frames, o en su defecto no incluya el ESSID en éstos.
En este caso, para descubrir el ESSID solo habría que capturar datos de la red y esperar a que un cliente se conectara, y veríamos el ESSID en la trama Probe Request del cliente (en el caso de que no se manden Beacon Frames), o en la trama Probe Response del punto de acceso.
Utilizar 802.1x para la autenticación ante la red:
Este sistema de autenticación obliga a instalar un programa en el ordenador que haga de cliente de 802.1x si el sistema operativo no lo soporta de forma nativa, y no soluciona el problema del cifrado de los datos, ya que sólo es una solución para la autenticación.
Utilizar WEP para cifrar los datos:
Para proteger los datos que se envían a través de las WLANs, el estándar 802.11b define el uso del protocolo WEP (Wired Equivalent Privacy). WEP intenta proveer de la seguridad de una red con cables a una red Wireless, encriptando los datos que viajan sobre las ondas radioeléctricas en las dos capas más bajas del modelo OSI (capa física y capa de enlace). El protocolo WEP está basado en el algoritmo de encriptación RC4, y utiliza claves de 64bits o de 128 bits, que en realidad son de 40 y 104 bits, ya que los otros 24 bits van en el paquete como Vector de Inicialización (IV).
Aunque esto pueda parecer suficientemente seguro, no lo es, ya que se ha encontrado numerosas vulnerabilidades en el mecanismo de encriptación que hacen desaconsejable su uso, ya que sólo hay que capturar el tráfico (que viaja por un medio compartido) y desencriptarlo con alguna de las herramientas ampliamente difundidas por Internet para tal fin.
Una solución: Redes Privadas Virtuales
Se basa en una red 802.11 abierta en la que se obtiene una dirección IP privada por DHCP al conectar. Con esta dirección únicamente se puede acceder al servidor web de la Universidad de Murcia para permitir a los recién llegados descargar el cliente de Redes Privadas Virtuales a su ordenador.
Las comunicaciones efectivas se producen después de haber establecido un túnel seguro (previa autenticación) con el servidor dedicado de la Universidad. Este túnel se establece mediante el protocolo estándar IPSec, cuya fiabilidad y seguridad han sido sobradamente probadas, con lo que se resuelven los problemas de autenticación y cifrado de los datos.
Esta solución es la que se implementa en la red inalámbrica icarum.
Otra solución: WPA + 802.1x
WPA (Wi-Fi Protected Access) es un sistema para proteger las redes inalámbricas creado para corregir las deficiencias del WEP comentadas anteriormente. Está diseñado para utilizar un servidor de autenticación (normalmente un servidor RADIUS), que distribuye claves diferentes a cada usuario mediante el protocolo 802.1x. La información se cifra utilizando el algoritmo RC4, una clave de 128 bits y un vector de inicialización de 48 bits (WPA no elimina el proceso de cifrado WEP, sólo lo fortalece).
Una de las mejoras sobre WEP, es la implementación del Protocolo de Integridad de Clave Temporal (TKIP, Temporal Key Integrity Protocol), que cambia las claves dinámicamente a medida que el sistema es utilizado. Cuando esto se combina con un vector de inicialización (IV) mucho más grande, evita los ataques de recuperación de clave a los que es susceptible WEP.
eduroam implementa esta solución y, actualmente, es la forma de acceso a la red inalámbrica recomendada en la Universidad de Murcia, dado que es una solución más ligera que las Redes Privadas Virtuales y permite la integración en el espacio de movilidad Eduroam.
|
