docRodrigo de Dios García, Fernado Villarnovo Penedo, Francisco
download 
Demanda Transcripción
Rodrigo de Dios García, Fernado Villarnovo Penedo, Francisco
Análisis de la seguridad de un sistema de comunicaciones Wi-Fi en un puesto de mando táctico CAC. D. Rodrigo de Dios García, Academia General Militar, [email protected] Capitán D. Fernando Villarnovo Penedo, Regimiento de Transmisiones 2, [email protected] Doctor D. Francisco Aznar Tabuenca, Centro Universitario de la Defensa, [email protected] Capitán D. Javier Gil Marín, Academia General Militar, [email protected] Coronel D. Antonio Manuel Martín Linares, Regimiento de Transmisiones 2, [email protected] Palabras clave: Comunicaciones seguras, 802.11i, conexión inalámbrica, redes tácticas, Seguridad de la Información. Resumen: Se está considerando la utilización de la tecnología Wi-Fi en las redes tácticas debido a las ventajas que ello supone de cara a la rapidez y flexibilidad del despliegue. No obstante, esta tecnología presenta una serie de vulnerabilidades en el campo de la seguridad de la información. Con este trabajo se pretende realizar un estudio de las soluciones de seguridad a implantar en un entorno de este tipo. Los problemas que se abordan son el estudio de la seguridad en los diferentes niveles del esquema de capas de una red Wireless y cómo se puede dar respuesta a estos problemas de seguridad apoyándose en estándares de cifrado y otras herramientas como sistemas de certificación y autenticación en los distintos niveles. Este análisis define los criterios necesarios para garantizar la seguridad de la información a través de la red inalámbrica. Notas biográficas: El Coronel D. Antonio Manuel Martín Linares nació el 12 de Agosto de 1962. Ingresó en la Academia General Militar en 1981 obteniendo el despacho de Teniente en 1986. Desde entonces ha estado destinado en gran cantidad de unidades de entre las que destacan el EMACON/DIVCIS/Centro Conjunto de Inteligencia de EW, lo que le proporcionó experiencia para ir destinado a la Academia de Ingenieros (Madrid), como profesor, fundamentalmente de los cursos de EW. También ha ocupado destinos multinacionales como el Cuartel General del Eurocuerpo en Estrasburgo, la JCISAT en Madrid, el Regimiento de Transmisiones 1 en Burgos, el Estado Mayor del Ejército y en la actualidad se encuentra mandando el Regimiento de Transmisiones 2 en Madrid. Ha participado en las misiones internacionales de UNPROFOR, India Foxtrot (Irak) y Operación Libre Hidalgo-Líbano. Entre sus cursos destacan el Curso de Estado Mayor del Ejército de Tierra, Curso de Transmisiones, Curso de Guerra Electrónica avanzado, el Curso Conjunto de Telecomunicaciones y Guerra electrónica, así como diversos cursos OTAN. Entre sus títulos académicos destacan el máster en dirección de sistemas y tecnologías de información y comunicaciones, acreditado por la Universidad Politécnica de Madrid (UPM), o el máster en dirección de Sistemas y Tecnologías de la información y comunicación, acreditado por el Ministerio de Administraciones Públicas (MAP). El Capitán D. Fernando Villarnovo Penedo nació en Ferrol (La Coruña) el 13 de Noviembre de 1981. Ingresó en la Academia General Militar en 2001 obteniendo su despacho de Teniente en 2006. Ha estado destinado en el Regimiento de Transmisiones nº 21 en Marines (Valencia) y en el Regimiento de Transmisiones nº 2 en Madrid. Ha participado en misiones en el extranjero en Afganistán (2009) y Líbano (2013) y ha participado como instructor en el Centro de Formación de Tropa número 2, San Fernando (Cádiz) y en la Academia de Ingenieros de Hoyo de Manzanares. Sus destinos le han permitido mantenerse en contacto con los medios de transmisiones tácticos del Ejército de Tierra y colaborar con diversas empresas civiles que desarrollan dichas tecnologías (INDRA, RF España y TADIRAN entre otras). El Capitán D. Javier Gil Marín nació en Madrid el 15 de septiembre de 1981. Ingresó en la Escala Superior de Oficiales en la Academia General Militar, en Zaragoza, en el año 2001 y eligió la Especialidad Fundamental de Transmisiones en 2004, cursando ésta en la Academia de Ingenieros en Hoyo de Manzanares, Madrid, y licenciándose con el empleo de Teniente, Especialidad Fundamental de Transmisiones, en el año 2006. Dicho año fue destinado al Regimiento de Guerra Electrónica nº31, en El Pardo, Madrid, y, en 2010, tras ascender al empleo de Capitán, fue destinado al Cuartel General de la BRISAN hasta el presente año. Actualmente es Jefe de la Sección de los CACs/DACs (Caballeros/Damas Alféreces Cadetes) de 4º curso de Transmisiones, en la Academia General Militar. El CAC. D. Rodrigo de Dios García nació en Valladolid el 19 de Diciembre de 1992. En septiembre del año 2010 entró a formar parte de las Fuerzas Armadas como Caballero Cadete en la Academia General Militar, en julio de 2012 alcanzó el empleo de Caballero Alférez Cadete y en Septiembre del año 2013 se incorporó a la especialidad fundamental de Transmisiones. En el periodo entre el 7 de abril y el 1 de junio de 2014 realiza su Trabajo de Fin de Grado y Prácticas externas en el Regimiento de Transmisiones 2. El Doctor D. Francisco Aznar nació en Zaragoza el 16 de Agosto de 1983. Se licenció en Física en 2006 y obtuvo el doctorado en Física en 2011, ambos en la Universidad de Zaragoza. Actualmente es profesor del CUD, ubicado en la AGM. Sus líneas de investigación se centran en el diseño en tecnología CMOS, en particular, front-ends analógicos para receptores ópticos y generadores caóticos para sistemas de comunicaciones seguros. 1. INTRODUCCIÓN El despliegue de la red local que da servicio a un puesto de mando se realiza actualmente utilizando red cableada. El uso de cable sin embargo, plantea una serie de inconvenientes. Estos problemas abarcan desde la necesidad de conectar cada cable en el lugar adecuado (cosa que puede ser costosa cuando el número de terminales es grande) hasta la posibilidad de fallo debido a que un usuario se tropiece con ellos o un vehículo los pueda cortar. Sin olvidar que cuando existe una gran cantidad de conexiones, encontrar y reparar el fallo se puede volver casi imposible. Como alternativa al uso del cable se plantea el uso de las redes inalámbricas. La principal diferencia entre una red cableada y una red wireless es que en la primera podemos decir que la señal viaja confinada en un medio relativamente acotado y delimitado (el cable) pero en el segundo caso el medio es un continuo difícilmente controlable en su totalidad. Estas características del medio inalámbrico, le confieren una gran flexibilidad, pero también suponen una amenaza para la seguridad de la información que viaja a través de él y, en el ámbito militar, la constante radiación de estos sistemas puede significar la localización de los diferentes elementos del despliegue por parte del enemigo. En la actualidad, organizaciones de prestigio han desarrollado diversas soluciones que combinan diferentes protocolos y herramientas para obtener niveles de seguridad aceptables. Con este trabajo se pretende estudiar las amenazas, que plantea el uso de conexiones inalámbricas, las soluciones que plantean organizaciones de renombre como la NSA y los estándares, protocolos y herramientas en los que se apoyan dichas soluciones (WPA2, en base al estándar 802.11i, IPsec, y los WIDS (Wireless Intrusion Detection Systems)), así como otras herramientas que se proponen como protección contra ataques DoS (Deny os Service). Se termina con una propuesta de implementación segura de la red. Aparte de esta introducción, el resto del trabajo se ha distribuido en los siguientes apartados: 1. Comunicaciones en un puesto de mando, en el que se describen los diferentes servicios de comunicaciones necesarios en este entorno. 2. Amenazas en una red wireless, donde se estudian los posibles problemas de seguridad que podrían afectar a una red inalámbrica. 3. Medidas de protección en la capa física contra ataques DOS/DDOS y tráfico no autorizado, donde se propone una solución de seguridad frente a posibles ataques de denegación de servicio. 4. Estudio del protocolo WPA2, elemento básico de seguridad propuesto para la capa de enlace. 5. IPsec, elemento básico de seguridad propuesto para la capa IP. 6. Herramientas de monitorización WIDS/WIPS, que permiten monitorizar, detectar y prevenir las intrusiones en una red inalámbrica. 7. Medidas para implementación VoIP. Un elemento importante de la red de un puesto de mando es hoy día la telefonía VoIP, que debe coexistir con la red de datos. Repasamos en este apartado brevemente las consideraciones para una coexistencia segura de VoIP junto con el sistema wireless. 8. Construcción de una maqueta. A fin de familiarizarnos con todos los elementos descritos, se ha llevado a cabo la implementación de un sistema con todos ellos, donde hemos podido comprobar la factibilidad de la construcción del mismo, así como el grado de dificultad de tal implementación. 9. Propuesta de implementación. Proponemos una implementación de un sistema inalámbrico, con todos los elementos necesarios basados en productos comerciales y, por tanto, basado en una tecnología totalmente disponible en este momento. 10. Conclusiones. 2. COMUNICACIONES EN UN PUESTO DE MANDO De nada nos serviría conocer un estándar de seguridad sin conocer a qué usuarios va a proteger. Por tanto, antes de comenzar a analizar las soluciones, comenzaremos con una breve descripción de los servicios de telecomunicaciones que se dan en los distintos puestos de mando. En todo puesto de mando de batallón o de GU (Gran Unidad) existen 4 redes que deben permanecer independientes. La red WAN PG a través de la cual se puede acceder a correo corporativo y servicios de navegación, servicios de publicación en Internet del Ministerio de Defensa, y conexión de redes remotas de propósito general a través de Internet (10). La red de SIMACET (Sistema de Mando y Control del Ejército de Tierra), que da servicio a un sistema de información que comprende aplicaciones de gestión táctica con posicionamiento manual de unidades, servidor SharePoint, mensajería instantánea en base a salas de chat, servicios de correo… Red de soporte al FFT (Friend Force Tracking); el FFT es un sistema que permite el posicionamiento automático de unidades en base a los GPS instalados en las radios PR4G v3. Se está considerando la integración del FFT con SIMACET. La cuarta red es la red VoIP. En la actualidad la mayor parte de los servicios de voz se apoyan en los medios de RBA (Red Básica de Área) existiendo ya parte de estos en base a VoIP, sin embargo, todo apunta a que según el nuevo plan MC3(3) todos los servicios de voz se implementen sobre VoIP a nivel RTC (Red Táctica Principal). La diferencia entre unos puestos de mando y otros será la escala de la red, variando las capacidades de los servidores y el número de usuarios. Además en los puestos de mando de Gran Unidad pueden existir servicios adicionales como la videoconferencia. A nivel División se pueden incluir otros sistemas de información como SIJE (Sistema de Información del JEMAD). 3. AMENAZAS EN UNA RED WIRELESS Según “Commercial Solutions for Classified (CSfC) Campus IEEE 802.11 Wireless Local Area Network (WLAN) Capability Package”(12) una red wireless se ve sometida a las siguientes amenazas: 1. Amenazas pasivas: Son aquellas que al hacerse presentes no modifican ni el estado de la red, ni sus dispositivos. Su objetivo es conseguir información tanto sobre la red en sí misma como sobre la información que transporta. Para protegerse contra estas amenazas se utiliza WPA2 e IPsec (de los que hablaremos más adelante). Este tipo de amenazas se pueden realizar con programas sniffer gratuitos como “wireshark” o “Dsniff” (sobre Linux) o de pago como “Capsa”. Existen modos de detectar si alguien está escaneando el tráfico en nuestra red. Estos modos se basan en detectar aquellos equipos que funcionan en modo promiscuo, es decir aquellos en los que la tarjeta de red transfiere todos los datos que recibe hacia la CPU (incluyendo aquellos paquetes que no le corresponde recibir de acuerdo a su dirección IP). No obstante, la detección obviamente sólo puede suceder una vez ya se ha realizado el escaneo de la red, por tanto, demasiado tarde (15) . De ahí que la detección de “Sniffers” de red sea una herramienta de gestión, más que una medida de seguridad. Si se quieren evitar los efectos de un “Sniffer”, es necesario encriptar y ahí el papel de WPA2 e IPsec se hace fundamental. 2. Amenazas externas activas: en este tipo de amenazas el atacante no sólo puede acceder a nuestra red, sino que además degrada el servicio que esta red presta a sus usuarios (ataques DoS, o DDoSa). Estas acciones incluyen virus, Malware o gusanos, o ingeniería social para lograr acceso a la red a través de sus usuarios o administradores. Para protegerse de los virus, Malware o gusanos se debe emplear un programa antivirus auditado por la autoridad competente además de mantener actualizadas todas las aplicaciones. Además desde el punto de vista militar parece factible que se produzcan denegaciones de servicio mediante perturbaciones electromagnéticas que denieguen el uso de parte del espectro. Más adelante se verán soluciones en la capa física con el fin de evitar ataques DoS. 3. Tráfico fraudulento: este tipo de tráfico es generado por AP (Punto de acceso wireless) o STA (estación usuaria wireless) fraudulentos. Existen diferentes posibilidades. En primer lugar puede que exista una AP cuyo objetivo es pretender ser el AP legítimo incrementando su potencia y utilizando su misma ESSID (Extended Service Set Identifier). Además los propios usuarios podrían utilizar sus propias estaciones como puntos de acceso (por lo que hay que deshabilitar esa opción en caso de que esté presente). Podría incluso ocurrir que un usuario conectase un AP no autorizado en un puerto o toma Ethernet. El procedimiento de seguridad para enfrentarse a este tipo de ataques consta de tres etapas(1): detección, bloqueo, localización y eliminación. • Detección: con esta finalidad se puede utilizar un WIDS/WIPS (sistema de detección/prevención de intrusiones wireless) que se verá más adelante. Es importante que, de cara a la fase de bloqueo y neutralización, se conozca a qué puertos está conectado el elemento no autorizado. • Bloqueo o neutralización: una opción es utilizar filtros (cortafuegos por ejemplo) que impidan el paso de tráfico que no proceda de una dirección IP de la red, tráfico que se dirija a un puerto no autorizado o paquetes IP de tipo no autorizado (por tanto, es necesario especificar qué es lo autorizado). Se pueden también realizar implementaciones de seguridad en la capa física que filtren cualquier tráfico generado a una distancia a DoS=Denegación de Servicio, cuando e proviene de una sola maquina; DDoS= Denegación de servicio Distribuida, cuando proviene de varias máquinas. superior a un determinado perímetro de seguridad, explicadas en el siguiente apartado. Otra medida contra este tipo de tráfico es el bloqueo del acceso a la LAN. En el caso de la AP fraudulenta conectada por cable a un puerto Ethernet, se puede neutralizar bloqueando el puerto al que se encuentra conectada en el switch más cercano. En el caso de que se trate de un dispositivo que accede por wireless se puede introducir un ruido a la frecuencia a la que trabaja el dispositivo intruso (lo cual plantea el problema de que puede perturbar nuestros servicios autorizados). • Localización: Los propios WIDS (Sistemas de detección de Intrusiones Wireless) pueden incorporar herramientas de localización de intrusiones por medio de sensores, estas herramientas pueden basarse en triangulación de señales o en base a la potencia de la señal recibida. • Eliminación: consiste no sólo en finalizar un incidente puntual, sino también en evitar que vuelva a poder suceder para lo cual es útil analizar el tráfico que ha generado el dispositivo no autorizado. Con estos fines se pueden utilizar herramientas de análisis forense que pueden estar incluidas en los propios WIDS. 4. Malware y actualizaciones no autenticadas: En caso de ataque a un servidor o una estación de administración hay que evitar que ese mismo Malware pueda afectar de manera simultánea a los servicios de VPN y WPA2. De ahí que estos servicios no deben compartir estaciones de trabajo. Por otra parte se debe autenticar cualquier actualización. 5. Ingeniería social: Este tipo de ataques busca utilizar a los propios usuarios o administradores de la red como medio de entrada a sus recursos. Es necesario por tanto, entrenar a los usuarios para que no sean víctimas de un ataque de esta clase, así como establecer políticas de seguridad en los equipos para evitar estas vulnerabilidades. 6. Amenazas internas: Los autores de estos ataques son personal poco entrenado, empleados curiosos, empleados deshonestos, o desencantados. Por tanto, las medidas de protección comprenden medidas técnicas y medidas sociales, o de personal, que evitan que existan este tipo de actores. Las medidas sociales quedan fuera del alcance de este trabajo, por tanto nos vamos a centrar en las medidas técnicas. En primer lugar las amenazas comprenden introducción de virus y Malware, mezcla de informaciones de distintos niveles de clasificación, cambios en las configuraciones de los dispositivos, etc. Las medidas técnicas de protección son permitir que cada usuario sólo pueda tener acceso exclusivamente a los servicios que necesita, auditorías de seguridad y sistemas de autenticación de usuarios segura. 7. Ataques contra integradores: Un integrador es un dispositivo que tiene acceso a todos los recursos de la red. En caso de que el integrador sea atacado, todos los servicios de la red se verían vulnerados. Por tanto, en lugar de un integrador se deben utilizar varios integradores que tengan accesos a grupos de componentes. 4. MEDIDAS DE PROTECCIÓN EN LA CAPA FÍSICA CONTRA ATAQUES DOS/DDOS Y TRÁFICO NO AUTORIZADO La tecnología wireless tal y como se ha anticipado en el apartado anterior es vulnerable a un ataque de denegación de servicio DoS tanto por inyección de tráfico como por la posibilidad de la existencia de un perturbador-seguidor. Ambos tipos de ataques deben ser frenados en la capa física (en el segundo caso no hay otro modo). A continuación se detallan dos soluciones. En primer lugar supongamos que el atacante trata de realizar un ataque DoS intentando saturar nuestra AP con peticiones de acceso incorrectas. Para solucionar este problema emplearemos un sistema que descarta cualquier señal que proceda de una distancia superior a un determinado umbral. La clave del éxito de este sistema es que las peticiones de acceso tienen una duración en el tiempo muy corta y un tiempo de procesamiento más largo, por lo que sólo podrían saturar la etapa lógica del sistema pero no la analógica (si estuviese saturando la etapa analógica estaríamos hablando de un perturbador en un determinado canal). Por tanto es necesario detener estos paquetes antes de que lleguen a la etapa lógica. Para ello emplearemos la siguiente propiedad: si dos antenas reciben una señal emitida desde una distancia muy superior a la distancia que las separa, entonces la diferencia de potencia entre las señales recibidas en ambas antenas tenderá a cero. La potencia de una señal recibida viene dada por: P K/d donde K es una constante y d es la distancia entre emisor y receptor. Por tanto, la diferencia entre potencias recibidas será: P P k d k d k· 1 d 1 d En caso de que la distancia que separa ambas antenas sea despreciable respecto a la distancia de una antena al foco emisor entonces d d y por tanto P P 0 Por tanto, podemos despreciar las señales lejanas en base a la diferencia de potencias recibidas. Sin embargo hay un caso en el que si seguimos esta norma despreciaríamos señales cercanas; este es el caso de que el foco emisor sea equidistante a ambas antenas. Para evitar este problema bastará con colocar una antena en el centro de todos los STA y la otra a cierta distancia del conjunto de STA (de este modo ningún equipo colocado en las inmediaciones de nuestra antena podría quedar equidistante de ambas, debido a que estaría muy cerca de una de las dos y muy lejos de la otra). Por ejemplo de la siguiente manera: Figura 1. Localización de antenas para evitar equidistancia con STAs El diagrama de bloques del circuito a implementar sería el que aparece en la figura 2: Figura 2. Diagrama de bloques para el filtro analógico De este modo cualquier señal emitida de forma lejana se multiplicaría por 0 y el AP no recibiría nada no ocupándose de este modo su capacidad de cálculo. Hay que destacar que este sistema de seguridad sólo sería efectivo si se asegura que en un determinado perímetro de seguridad controlado físicamente no existen dispositivos no autorizados. En el caso de un perturbador seguidor es necesario utilizar un salto de frecuencia. La canalización mínima en la banda de 5Ghz es de 20 MHz habiendo unos 20 canales disponibles para dispositivos wireless en esta banda. En la banda de 2,4 GHz existen 13 canales disponibles de 5 MHz cada uno. Por tanto, se podría saltar en estos 33 canales sin interferir con frecuencias provenientes de otros usos distintos al Wi-Fi. La robustez de esta defensa dependerá de la potencia necesaria para perturbar un solo canal, si la potencia es enorme sólo cabría esperar, con la tecnología actual, perturbaciones sobre uno o dos canales que supondrían perdidas de menos del 10% en nuestra transmisión. Otra opción a considerar es el uso de la signatura espectral de la señal que permite diferenciar señales provenientes de distintos focos sobre una misma frecuencia y que se utiliza en la tecnología MIMO. También se puede considerar la utilización del estándar 802.11ad que opera en la banda de 60GHz. En esta banda la señal se atenúa enormemente debido al oxígeno atmosférico, humedad ambiental o lluvia. Lo cual hace que la propia atmósfera nos proteja de radiaciones a cierta distancia. Además con este estándar se consiguen velocidades del orden de varios Gbps. 5. WPA2 Según las recomendaciones del DoD de EEUU las comunicaciones Wi-Fi deben ir protegidas por WPA2 Enterprise a nivel de enlace. WPA2 es la implementación del Estándar 802.11i. Esta implementación protege las comunicaciones Wireless proporcionando mecanismos de autenticación que evita que usuarios no autorizados puedan tener acceso a los recursos de la red y mecanismos de encriptado que evitan que un posible atacante pueda acceder a la información contenida en las tramas que pueda interceptar en el aire. Antes de comenzar estudiemos los componentes de la red mediante una analogía. Supongamos que nuestra red se trata de un hotel. En el tenemos una puerta con un videoportero que controla las cerraduras, un portero y unas habitaciones a las que un cliente quiere acceder. En nuestra red Wireless la puerta y el videoportero son equivalentes al punto de acceso (AP), el portero es un servidor de autenticación denominado servidor RADIUS y las habitaciones son los recursos de la red, por ejemplo un servidor de correo electrónico. El cliente del hotel sería un usuario de la red (un portátil o una tablet por ejemplo). Figura 4. Analogía entre red asegurada con WPA2 y un hotel Estudiemos las fases que permiten al usuario acceder a la red. Para que un cliente quiera ir a un hotel es necesario que éste se anuncie y muestre cuáles son sus condiciones de reserva, precios, etc. Esto lo realiza el AP mandando mensajes con su identidad e información sobre los protocolos que soporta al aire. A continuación el cliente quiere entrar en el hotel y por ejemplo validar una reserva, para ello debe autenticarse, identificarse como el cliente que hizo una reserva y que por tanto, tiene derecho a acceder a una habitación. En el proceso de autenticación el cliente del hotel debe poder hablar con el portero sin poder acceder a las habitaciones hasta no autenticarse, por ejemplo mediante el video-portero. Esto se consigue en nuestra red wireless utilizando el protocolo 802.1X que evita que el usuario de la red tenga acceso a los recursos de la misma hasta que el servidor RADIUS lo haya autenticado. La autenticación en el hotel se puede realizar enseñando el DNI al portero, por ejemplo, o dando un código que ha sido dado previamente al cliente cuando hizo su reserva. En este proceso es fundamental que nadie más pueda ver este código o el DNI para evitar la suplantación de identidad. En el caso de la red wireless se utilizan diversos protocolos para la autenticación, en este trabajo nos hemos centrado en los pertenecientes a la rama EAP. Para hacer más entendible el protocolo vamos a suponer que nuestro cliente interactúa con el portero a través de del videoportero (el conjunto videoportero y puerta hace las veces de Punto de acceso (AP) a nuestra red). El cliente se comunica con el videoportero mandando señales de voz y de imagen, y el videoportero se comunica con el portero a través de señales eléctricas. En nuestra red Wireless estas señales de voz o imagen son las tramas EAPOL que un usuario envía al punto de acceso, y las señales eléctricas entre videoportero y terminal de portero corresponden con las tramas RADIUS entre el AP y el servidor RADIUS. Figura 5. Esquema de capas utilizado en la autenticación Ya tenemos el soporte ¿pero qué se codifica con este soporte? ¿Qué es lo que la voz dice? ¿Qué muestran las imágenes? En nuestra red wireless se pueden transportar señales correspondientes a diferentes protocolos de autenticación. En concreto en este trabajo nos hemos centrado en dos protocolos: EAP TLS y EAP TTLS. EAP-TLS se basa en el intercambio de certificados, es decir en el caso del hotel el cliente muestra su DNI que le identifica y el portero del hotel muestra la tarjeta de identificación del hotel (de modo que el cliente comprueba que no se ha equivocado de lugar). Esto es posible porque ambos confían en que los identificadores que intercambian son auténticos, pero para que confíen, es necesario que exista una entidad (el Estado que da credibilidad al DNI para la identificación) que avale estos identificadores como auténticos. En nuestra red los equivalentes a DNI e identificador del hotel son los certificados cliente (usuario de la red) y servidor (Servidor RADIUS) y el equivalente al Estado es la autoridad de certificación (CA). De este modo, un usuario de la red no se conectará a una red falsa y un servidor RADIUS no permitirá el acceso a un usuario no autorizado (que no contiene certificado válido). En EAP-TTLS el portero manda su certificado al cliente en forma de un cofrecillo abierto que se cierra mediante un candado. Este cofrecillo se envía con el candado abierto. A continuación, el cliente introduce el código de reserva, cierra el candado y se lo envía al portero. El único que puede abrir el candado es el portero que tiene la llave. El portero lo abre, y comprueba que el código es correcto. En nuestra red el cofre es el certificado de servidor, el código son las credenciales de usuario (nombre de usuario y contraseña) y la llave es la clave privada que tiene el servidor. Cuando el usuario se conecta solicita el certificado al servidor, lo comprueba y utiliza la clave pública del mismo para cifrar sus credenciales y enviárselas al servidor. Aquí se hace hincapié en que el usuario no ha enseñado ningún certificado (no es necesario el DNI en el caso del cliente del hotel). Figura 6. Analógia entre TLS y el intercambio de una caja cerrada con un candado Una vez autenticado el cliente recibe una llave con la que puede acceder a la habitación. En el caso de la red wireless, recibe una clave a partir de la cual podrá obtener el conjunto de claves que le permiten cifrar su comunicación con el AP. A partir de este momento abandonamos el símil del hotel. Hasta ahora se ha conseguido que sólo se conecten a la red aquellos usuarios que se haya autorizado, pero eso no es suficiente, porque un atacante puede interceptar tramas (mensajes) en el aire sin necesidad de entrar en la red. Por lo tanto, es necesario cifrar la información que se intercambia. Esto se consigue mediante el protocolo CCMP (en la actualidad este protocolo convive con el TKIP pero debido a vulnerabilidades de este último, nos quedaremos con CCMP). El protocolo CCMP utiliza encriptado tipo AES. Un aspecto importante de ambos protocolos es que las claves se obtienen, por medio de transformaciones paralelas (en AP y usuario), a partir de una clave precompartida, o compartida al finalizar la autenticación. De este modo, si alguien intercepta la clave inicial no podría desencriptar el mensaje pues necesita las claves obtenidas a partir de esa clave inicial, que no se intercambian y por tanto no pueden ser interceptadas. Resumiendo, AP y usuario obtienen sendas claves que les permiten encriptar y desencriptar los mensajes que intercambian, protegiendo de este modo su contenido. Por último, cuando el usuario ha terminado de utilizar los recursos de la red este se desconecta mandando un determinado mensaje de desconexión. 6. IPSEC Una red privada virtual (VPN) es una infrestructura que nos permite crear una red privada protegida sobre una infrestructura pública o sobre una infraestructura compartida con otros usuarios ajenos a dicha red privada. Esta tecnología se basa en el uso de comunicaciones punto a punto protegidas. Es decir, sólo los extremos de la comunicación pueden tener acceso a la misma. Ningún otro usuario de la red (ya sea internet o LAN) podrá leer la información que ambos extremos intercambien. Para proteger las VPN se emplea IPsec. El DoD de EEUU establece que sus redes clasificadas deben ir protegidas por IPsec a nivel IP. IPsec es un sistema de comunicaciones seguras sobre la capa IP. Este sistema permite trabajar en dos modos, modo de transporte que cifra el contenido de capas superiores a IP y el modo túnel que cifra el paquete IP completo, haciendo necesario incluir una nueva cabecera IP. Figura 7. Paquete IPsec Ambos modos de trabajo soportan los siguientes protocolos, AH (Authentication Header), ESP (Encapsulating Security Payload). AH es un protocolo de autenticación que incluye en cada paquete un MAC que permite comprobar la integridad del paquete en el receptor. ESP es un protocolo que puede trabajar en tres modos: modo de encriptado que evita ataques eavesdropping, modo autenticado que proporciona la misma protección que AH o modo autenticado encriptado, que encripta la totalidad del datagrama recibido de TCP y autentica el paquete resultante exceptuando la nueva dirección IP(14) Figura 8. Paquete del protocolo IPsec ESP autenticado-encriptado en modo de trabajo túnel Como hemos dicho antes, IPsec soporta dos modos de trabajo. Vamos a centrarnos en el modo túnel, que es el que utilizamos en este trabajo. El modo de trabajo túnel utilizando protocolo ESP permite una conexión segura entre dos extremos de modo que ningún dispositivo intermedio sea capaz de leer ningún dato del paquete IP original (ni datos ni flags). Además es posible que el extremo del túnel esté conectado con otros dispositivos, dando acceso a los mismos. De este modo el dispositivo extremo desencripta el paquete IPsec no siendo necesario implementar IPsec en cada terminal de la red. Para poder construir un túnel IPsec necesitamos un servidor que actúa como extremo del túnel al cual se conectan los usuarios (clientes VPN). Este extremo del túnel se denomina servidor o pasarela VPN IPsec. Este servidor aloja dos bases de datos la Base de datos de Asociaciones de Seguridad (SAD) y la Base datos de políticas de seguridad (SPD). Comenzamos con la Base de datos de asociaciones de seguridad. Para entender esta base de datos debemos previamente definir qué se entiende por asociación de seguridad (SA). Una Asociación de seguridad es una conexión lógica entre dos extremos y en un solo sentido identificada unívocamente por el “Security Parameters Index” (SPI) (identifica en un extremo a qué Asociación de seguridad tiene que ir un paquete), la dirección IP de destino, y el identificador de protocolo de seguridad (ESP o AH). Los parámetros de cada Asociación de seguridad se almacenan en la base de datos de asociaciones. La Base de datos de políticas de seguridad (SPD) asocia un tráfico IP a una determinada asociación de seguridad (17). Las conexiones se establecen paquete a paquete, es decir, todos los paquetes son procesados. Veamos en qué consiste este procesamiento para tráfico saliente (desde la zona no IPsec hacia uno de los extremos de la VPN) y para tráfico entrante (desde un extremo VPN hacia el otro). En el tráfico saliente se produce el siguiente proceso, tal como menciona Stallings(18): 1. Una capa de nivel superior (TCP) envía un bloque de información a la capa IP y se forma un paquete tras añadir las cabeceras correspondientes. 2. IPsec busca en la SPD una entrada que corresponda a este paquete. 3. Si no encuentra dicha entrada se manda un mensaje de error y se descarta el paquete. 4. Si se encuentra la entrada se ejecuta la política correspondiente para esa entrada. Esta política puede ser descartarlo, hacer un bypass (es decir que no sea lanzado a través del túnel) o proteger. 5. En caso de que la política sea proteger se busca en la SAD la SA que corresponda, y si con se encuentra dicha SA se invoca IKE (que se ve más adelante) para poder crear una SA. 6. La SA determina los protocolos de encriptado y autenticación para dicho paquete Para tráfico entrante de acuerdo a Stallings(19) se produce el siguiente proceso: 1. De acuerdo a las cabeceras del paquete IPsec se determina si el paquete está securizadob y que protocolo ha sido utilizado (ESP o AH). 2. Si el paquete no está securizado se busca la entrada de la SPD que le corresponda (y cuya política sea BYPASS), a continuación se ejecuta la política y se envía a la capa TCP. Si no se encuentra la entrada o la política de la entrada correspondiente es Proteger o descartar, el paquete se descarta. 3. Si el paquete está securizado se busca la SAD correspondiente y a continuación se realiza el procesamiento ESP o AH según corresponda. Si no encuentra la entrada, se descarta el paquete. En el proceso de autenticación y establecimiento de la conexión segura, se utiliza el protocolo IKE o IKEv2 (Internet Key Exchange). El proceso se divide en dos fases. La primera sirve para autenticar a los extremos que van a intervenir en la conexión y establecer un túnel a través del cual se produce el intercambio Diffie-Hellmanc que da como resultado la compartición de claves por ambos extremos y finalmente crear una SA a través de la cual se intercambian parámetros en la siguiente fase. La autenticación se puede llevar a cabo mediante certificados o claves precompartidas (PSK) o utilizando una configuración manual en ambos extremos. En la segunda fase se intercambian diferentes parámetros (como si se trabaja en modo túnel o transporte, identificación de los puntos finales etc.) a través de la SA generada en la fase 1 dando lugar a la SA a través de la cual se intercambian la información que se quiere proteger mediante el túnel IPsec. Los datos se transportan a través de la SA utilizando el encriptado que marca la política de esta asociación. Por último la SA terminará o bien una vez se ha alcanzado un determinado tráfico o bien tras un cierto periodo de inactividad.(2) En la figura 10 (basada en las figuras 9.3 y 9.4 de Stallings) se muestra de forma el proceso de conexión IPsec: b El término securizar no es un término español pero es un término que se suele utilizar en el contexto de las VPN para caracterizar a los paquetes que ya han sido cifrados de acuerdo con el procedimiento propio de esa VPN. c Diffie Hellman es un algoritmo de compartición de claves que presenta ventajas tales como la no necesidad de almacenamiento de claves (debido a que se crean cuando son necesarias) así como la no necesidad de una infraestrucutra previa (certificados etc…) siendo sólo necesario el acuerdo en parámetros globales (q: un número primo formado por muchos dígitos y α: un raíz primitiva de q). Este algoritmo presenta vulnerabilidades como la ausencia de identificación de las partes o la posibilidad de un ataque man‐in‐the‐middle. No obstante , IKE aprovecha las ventajas del algoritmo y evita sus vulnerabilidades). Figura 10. Proceso IPsec 7. WIDS/WIPS Un WIDS (Wireless Intrussion Deteccion System) es un recurso software, a veces apoyado sobre elementos hardware que permite monitorizar la información que está circulando a través de una red inalámbrica a fin de detectar a usuarios no autorizados que han logrado acceder a la red o las acciones indebidas de usuarios autorizados. Un WIPS (Wireless Intrussion Prevention System) es un dispositivo de red que monitoriza el espectro de frecuencia para detectar puntos de acceso no autorizados para una red inalámbrica y que puede automáticamente establecer contramedidas para expulsarlos de la conexión. Para que un sistema de este tipo sea eficaz debe ser capaz de detectar ataques tipo DoS basados en perturbación de un canal, o inundación por peticiones de autenticación. También debe ser capaz de detectar AP falsos o equipos que están falsificando sus direcciones MAC(7). Además deben aportar la suficiente flexibilidad al administrador de la red como para que pueda generar sus propias reglas de detección de amenazas. Esta detección debe realizarse en tiempo real, sin embargo, no debe generar un tráfico excesivo entre sensores y centro de análisis que colapse la red. Por otra parte es necesario tener un sistema de actualización de las reglas de detección que nos permita ser capaces de detectar nuevas amenazas(8). También puede resultar útil que incorporen un sistema de posicionamiento de los diferentes puntos radiantes. Existen diversos sistemas WIDS/WIPS en el mercado, no obstante, la mayoría de implementaciones libres están diseñadas para ser utilizadas sobre un sistema operativo Linux. Esto es debido a que para poder utilizar funciones de monitorización en la capa 2 en Windows es necesario la instalación de librerías de pago. Vamos a analizar primeramente las implementaciones libres. En primer lugar hay que remarcar que no es posible que cumplan con todas las especificaciones anteriormente citadas si trabajan en una máquina Windows. Por lo tanto es necesario que trabajen en una máquina Linux o en ocasiones en una MAC-OS. Entre estas aplicaciones destacan: • Kismet: es un software libre que actúa tanto como Sniffer en la capa 2 (OSI) y como WIDS. Es capaz de detectar AP que se encuentran ocultas, así como decodificar claves WEP (en desuso por entidades serias). También es compatible con el uso de sondas remotas así como integrable con otros IDS como snort. Las principales desventajas que presenta es su interfaz poco amigable y la difícil compatibilidad con Windows(9). • Netstumbler: es un software libre que permite comprobar el estado funcional de nuestra red, detectar posibles interferencias con nuestra red, y en combinación con otro software como Foot Print Mapp Generator, posicionar en un mapa las distintas redes y su cobertura.(4) Esta herramienta es compatible con Windows, no obstante, no proporciona reglas de detección de intrusiones y su uso puede estar más enfocado a la selección de configuración y ubicación optima de los puntos de acceso. • MacStumbler: es una herramienta similar a la anterior pero diseñada para trabajar en un MAC-OS. • Wavestumbler: es una herramienta que informa sobre las características de redes próximas, diseñada para Linux. En Windows existe una aplicación similar denominada “Xirrus Wi-Fi Inspector”. • Airsnare: es una herramienta diseñada para Windows que alerta tanto sobre direcciones MAC no amigables tanto en el interior de la red como aquellas que realizan peticiones de acceso.(6) Esta herramienta no es de gran utilidad debido a que es relativamente fácil cambiar la dirección MAC de los paquete que se envían. Existen otras aplicaciones similares, no obstante, la única aplicación libre que podría proporcionar todas las caracterísitcas necesarias es Kismet. Respecto a las herramientas de pago destacan las siguientes: • OmniPeek de WildPackets: Es una herramienta que nos permite monitorizar nuestra red y detectar posibles ataques de denegación de servicio, ataques Man-in-the-Middle, posibles agujeros de seguridad en la configuración de la red o puntos de acceso no autorizados en nuestra red, así como una verificación del cumplimiento de las políticas de seguridad más comunes.(16) • AirMagnet-Enterprise: Sistema WIDS que permite monitorizar hasta 200 canales en busca de amenzas. Además presenta la posibilidad de detectar radiaciones no pertenecientes a 802.11 pero que puedan constituir una amenaza (móviles, bluetooth…). Presenta una base de firmas de amenazas (condiciones que se cumplen para que un suceso sea una amenza) que se actualiza automáticamente. Incluye herramientas de seguimiento de la amenaza a través de la red con software sensor instalable en los clientes así como sondas portátiles. Además proporciona información sobre el rendimiento de la red y posibles interferencias.(4) • Airdefense Wireless Intrusion and Prevention: capaz de monitorizar la red y detector posibles amenzas en base a análisis históricos y librerías preinstaladas. Presenta una herramienta de detección y desconexión de AP no autorizadas en nuestra red, análisis forense y verificación de políticas de seguridad (entre otras la DoD8100.2), así como detección de vulnerabilidades en la configuración de los clientes y la red en general, incluyendo software instalable en máquinas Windows para la monitorización de los clientes. • Controlador WLAN: Son sistemas hardware-software que implementan entre otros WIDS/WIPS. Además de esta función incluyen herramientas de gestión de la red y autenticación centralizada. Estos sistemas permiten la administración de varios AP y sus correspondientes usuarios permitiendo instalar o desinstalar aplicaciones en ellos. Además capacita para autentificar a los usuarios de distintas redes wireless utilizando un único servidor RADIUS. Una de las principales ventajas de estos sistemas de pago es el soporte que nos proporciona la empresa a la que pagamos, pudiendo desentendernos de parte del trabajo diario de supervisión de la red y actualización de reglas de detección. 8. MEDIDAS DE SEGURIDAD VoIP SOBRE WLAN Debido a que uno de los servicios a los que da soporte la red wireless es la telefonía VoIP que utiliza terminales que no son ordenadores con las funcionalidades propias de un terminal de SIMACET o WAN-PG, es necesario que les dediquemos un apartado para analizar las medidas de seguridad particulares a tener en cuenta; tal y como recoge SNAC (System and Network Attack Center) en su publicación “Security Guidance for Deploying IP Telephony Systems”(13). Es necesario desactivar la capacidad de AP de los terminales, si existiera. Esto es debido a que en la red se despliega una gran cantidad de teléfonos VoIP y por tanto, si la funcionalidad AP permaneciera activada, existiría una gran cantidad de AP a través de los cuales un atacante podría tener acceso a la red. Por otra parte es necesario por razones de seguridad separar las redes VoIP de las redes de datos mediante VLAN, separación que podría verse anulada si se activa la funcionalidad AP. Como ya se ha adelantado en el párrafo anterior el tráfico IPT (Internet Protocol Telephony) debe ir separado del tráfico de datos. Por último es necesario que la red Wireless cumpla con las especificaciones de seguridad para clientes IPT, recogidas en el anexo A del documento “Security Guidance for Deploying IP Telephony Systems”. 9. CONSTRUCCIÓN DE UNA MAQUETA Con el fin de poder enfrentarse a los problemas reales de la implementación del sistema más allá de la teoría se ha procedido a la construcción de una maqueta. Se han llevado a cabo las siguientes fases. En primer lugar implementar una red wireles protegida por WPA2 utilizando un servidor de autenticación RADIUS, a continuación incluir un túnel IPsec si es posible. Para la construcción de la maqueta se ha empleado dos ordenadores con un sistema operativo Windows XP, una tablet y un router wifi que soporta los estándares 802.11b, g, el software “clearBox RADIUS Server” y el software “SoftEther VPN”. A continuación se muestra de manera gráfica la secuencia utilizada en la implementación: En primer lugar configuramos la red wireless protegida con WPA2 enterprise dando acceso a un usuario Figura 11. Diagrama de red de la maqueta WPA2 Se ve en el Wiresharkd que la autenticación ha sido correctamente realizada (viendo el mensaje “Access Accept”). d Wireshark es una herramienta sniffer de red. Figura 12. Captura Wireshark proceso de conexión WPA Si realizamos un ping entre el AP y el usuario veremos que se ha establecido correctamente la conexión. A continuación tras haber comprobado que la conexión es factible, se conecta la tablet a la red wireless (tras haberla configurado de forma apropiada), no siendo ya necesario la utilización del portátil con Windows XP como usuario. Seguidamente se configura la pasarela VPN sobre Windows XP. Nótese que en este caso ha sido necesario activar la función router del sistema operativo del equipo que implementa la pasarela VPN IPsec y que se encuentra desactivada por defecto. El esquema de la red que se ha implementado se muestra en la figura13: Figura 13. Diagrama de red de la maqueta WPA2-IPsec En esta red podemos ver cómo la tablet se conecta con el router Wi-Fi a través de WPA2 y sobre éste se implementa un túnel IPsec que alcanza el ordenador que utilizamos como pasarela IPsec hacia los recursos de la red. 10. PROPUESTA DE IMPLEMENTACIÓN A continuación se presenta una posible implementación de las medidas de seguridad propuestas anteriormente. La red propuesta, de acuerdo a las recomendaciones NSA y otras fuentes vistas a lo largo del trabajo, debe utilizar WPA2 enterprise con autenticación por EAP-TLS (utilizando un servidor RADIUS), también ha de implementar un túnel IPsec, de modo que las comunicaciones en el aire estén doblemente encriptadas, debe también contar con un WIDS que nos permita monitorizar la red en busca de amenazas y por último, disponer de sistemas cortafuegos e IDS/IPS. El esquema de red es el que se detalla en la figura 14: Figura 14. Diagrama de red de la propuesta de implementación A continuación se describen los distintos elementos: • Usuarios wireless: éstos deben contar con software necesario para establecer conexiones WPA2 (con autenticación EAP TLS) e IPsec (un cliente VPN para IPsec, por ejemplo “Virtual Internet Access” de Aruba o “Cisco VPN client”) y por tanto debe contar con los correspondientes certificados de autenticación. Además debe incluir un software antivirus debidamente acreditado, mantener un sistema de actualizaciones de seguridad y establecer las correspondientes políticas de seguridad. Estas políticas de seguridad deberán incluir, entre otras, la autorización para conectar o no dispositivos USB, protección contra ataques a través del correo electrónico (listas de remitentes seguros, bloqueo de pop-ups, etc). También deberán incluir un cortafuegos personal debidamente configurado. Y software de encriptado de la información contenida en sus unidades de almacenamiento. • Antenas del AP: irán conectadas a un filtro analógico explicado en apartados anteriores con el fin de evitar radiaciones lejanas. Si la conexión entre la antena y el resto del AP se realiza por fibra óptica sería necesario utilizar un conversor digital-analógico en los extremos conectado a la correspondiente moltu. La moltu convierte la señal digital procedente del conversor digital-analógico en señales luminosas y viceversa. • Punto de acceso wireless. El punto de acceso debe contar con tecnología CleanAir de Cisco o similare, funcionalidad “Mesh” detección de AP falso, rugerizado (outdoor resistencia a vibraciones), que soporte los estándares 802.11n y 802.11i capacidad de dar servicio a varias VLAN (al menos 6, VoIP, SIMACET, WANPG, videoconferencia, WIDS y auxiliar). Estas características las cumplen Cisco Aironet 1552E/EU (que además incluye una batería de back-up), Cisco Aironet 1552H y 1552 S (que además incluyen Haz-Locf), el Aruba MSR2000 (que incorpora “Dual Band”) o el Aruba MST200. También se puede utilizar el Fortress ES820, diseñado para uso militar (el inconveniente podría ser su menor ancho de banda). • Firewall WIDS/WIPS sobre el controlaodor WLAN. Una opción compatible con los AP de Aruba, es el uso de un “Mobility Controller” que implementa entre otras un cortafuegos, y el controlador WIDS/WIPS, así como herramientas de autenticación (conectando con un servidor RADIUS externo), monitorización y administración de los equipos de la red. En el caso de las redes en las que sería utilizado bastaría un “Aruba 620 Branch Office Controller” instalando el “ArubaOS software” correspondiente para WIDS. Además puede funcionar como pasarela VPN IPsec (pero debido a que según CSfC no se debe utilizar un único hardware que proporcione simultáneamente servicios a WPA2 y a IPsec (11) , deberían utilizarse dos equipos). Con respecto a cisco se podría utilizar un “cisco 2500 series Wireless Controller”, sin embargo, en este caso es necesario incorporar un firewall independiente (debido a que en sus especificaciones no aparece que contenga un firewall). • Servidor RADIUS: podría ir instalado en un servidor con Windows server 2008 r2 y Microsoft Forefront TMG. • Pasarela VPN IPsec, este elemento puede ir integrado con el Firewall IDS/IPS en un mismo hardware o no. Tanto si actúa de forma independiente como si no, ambas alternativas se pueden implementar en base a los dispositivos “Cisco ASA 5500” o “Cisco 2911” (componentes CSFC) o “cisco 2821”. La pasarela VPN IPsec puede implementarse en base a “Cisco 1721”, “Cisco 2611”, serie “Cisco 1600”, serie e “Clean air” es una tecnología que permite al AP detector posibles fuentes de interferencia y seleccionar el canal que esté menos perturbado. f Haz‐Loc (Hazardous‐Location): carácterísitca que permite al router prestart service en plantas químicas, refinerías… “Cisco 2800”, así como los ya mencionados “Cisco ASA 5500” y “Cisco 2911”. Se va a preferir en este caso una solución integrada en lugar de una solución modular buscando una agilización del despliegue. El objetivo del firewall colocado a continuación de la pasarela IPsec es evitar que un usuario del túnel IPsec autentificado pudiera llevar a cabo un ataque voluntaria o involuntariamente. Y a continuación, en las figuras 15 y 16 mostramos los diagramas de dos implementaciones basadas en dispositivos comerciales: Figura 15. Propuesta de implementación utilizando controlador WLAN y AP del fabricante Aruba Figura 16. Propuesta de implementación utilizando controlador WLAN y AP del fabricante Cisco Finalmente, en la figura 17, se presenta un posible despliegue de estos medios: Figura 17. Despliegue propuesto 11. CONCLUSIONES Con este trabajo se ha corroborado que en primer lugar que no es posible demostrar que una conexión wireless sea completamente segura (o al menos tan segura como una conexión por fibra óptica) debido a que esta tecnología está cambiando a gran velocidad y en su corta historia ha podido demostrar en varias ocasiones que lo que en un principio se consideró inviolable, fue más adelante atacado exitosamente. Por tanto, lo único que podemos conseguir es cumplir estándares de seguridad que dificultan los ataques y por tanto disminuyen las probabilidades de éxito de los mismos. Podemos medir la fiabilidad de un estándar o recomendación en relación a la fama o el renombre de la entidad que lo emite, de ahí que si en la actualidad queremos asegurar una red Wi-Fi podemos tener en cuenta lo que organismos como IEEE o la NSA recomiendan. En este sentido se ha realizado una propuesta que garantiza el cumplimiento de las máximas medidas de seguridad de acuerdo con la tecnología actual. En concreto, nuestra propuesta concluye que una implementación segura debe estar basada en un doble encriptado-autenticado mediante la utilización de WPA2 a nivel de capa 2 (capa de enlace) e IPsec a nivel IP. Además de las medidas de seguridad pasivas como el encriptado o la autenticación, se deben también implantar medidas de seguridad activas como los sistemas de detección y prevención de intrusiones que monitorizan la red y solucionan los posibles agujeros de seguridad que pudiesen surgir. Queda, por tanto, de manifiesto que asegurar una red inalámbrica no es algo trivial, es un proceso que implica la utilización de gran cantidad de software y hardware y por tanto, también personal administrador altamente cualificado. Debido a esto, la utilización de la tecnología sólo es aconsejable si se está dispuesto a desplegar todos los sistemas de seguridad comentados. Evidentemente, esto supone un esfuerzo extra que compensará realizar en el caso de que ello evite las desventajas del uso del cable, como consecuencia, por ejemplo, de la entidad de la red que se pretende implementar. REFERENCIAS Y BIBLIOGRAFÍA 1. Airmagnet, inc. Noviembre de 2004. “Best Practices for Rogue Detection and Annihilation”. Consultado en mayo de 2014. http://airmagnet.flukenetworks.com/assets/whitepaper/Rogue_Detection_White_ Paper.pdf 2. Mason, Andrew. 2002. “IPSec Overview Part Four: Internet Key Exchange (IKE)”. Consultado en mayo de 2014. www.ciscopress.com. 3. Desconocido. (Noviembre de 2010). “Tecnologías aplicadas al Mando y Control. Sistemas C4ISR Sistemas C4ISR para Aplicaciones Tácticas”. Visión de las FAS. XIV JORNADAS UPM-FAS. Consultado en mayo de 2014 http://www.upm.es/sfs/Rectorado/Gabinete%20del%20Rector/Agenda/2010/201 0-11/SistemasC4ISRAplicacionestacticas.pdf 4. Flukenetworks. “AirMagnet-Enterprise”. Consultado en junio de 2014. http://es.flukenetworks.com/enterprise-network/wireless-network/AirMagnetEnterprise 5. Desconocido. Consultado en junio de 2014. http://netsecurity.about.com/od/securitytoolprofiles/p/aaprnetstumbler.htm 6. Desconocido. Consultado en https://home.comcast.net/~jay.deboer/airsnare/ junio de 2014. 7. Farshchi, Jamil. “Wireless Intrusion Detection Systems”. Consultado en junio de 2014 en http://www.symantec.com/connect/articles/wireless-intrusion-detectionsystems 8. Hutchison, Ken. “Wireless Intrusion Detection Systems”. Consultado en junio de 2014 en http://www.sans.org/reading-room/whitepapers/wireless/wirelessintrusion-detection-systems-1543 (página14) 9. Kismet. Consultado en junio de 2014. https://www.kismetwireless.net/. 10. Ministerio de Defensa de España. “Sistemas CIS”. Consultado en mayo de 2014. http://www.defensa.gob.es/politica/infraestructura/sistemas-cis/actuaciones/ 11. NSA, IAD. “Commercial Solutions for Classified (CSfC) Campus IEEE 802.11 Wireless Local Area Network (WLAN) Capability Package” (pag.4) 12. NSA. “Commercial Solutions for Classified (CSfC) Campus IEEE 802.11 Wireless Local Area Network (WLAN) Capability Package” (p.15-18) 13. NSA/SNAC. Febrero 2006. “Security Guidance for Deploying IP Telephony Systems” 14. Oracle. “IPsec protection mechanisms”. Consultado en mayo de 2014 en http://docs.oracle.com/cd/E23824_01/html/821-1453/ipsec-ov-7.html 15. Vishnu Valentino. “How to detect Someone Sniffing Your Network In A Simple Way”. Consultado en mayo de 2014 en http://www.hacking-tutorial.com/tipsand-trick/how-to-detect-someone-sniffing-your-network-in-a-simpleway/#sthash.KvYinLlu.dpbs 16. Wildpackets. http://www.wildpackets.com/use_cases/wireless_analysis/securing_WLAN Consultado en junio de 2014. 17. Stallings, William. 2014). “Network security essentials” 4ª Edición (pág. 283292) 18. Stallings, William. 2014. “Network security essentials” 4ª Edición (pág. 293) 19. Stallings, William. 2014. “Network security essentials” 4ª Edición (pág. 293)