Please enable JavaScript.
Coggle requires JavaScript to display documents.
Comunicación de red inalámbrica, Equipo:, Infraestructura de seguridad de…
Comunicación de red inalámbrica
Comunicaciones inalámbricas
CSMA/CA
Problema: WLAN es medio compartido y half-duplex → no detecta colisiones.
Solución: CSMA/CA (Carrier Sense Multiple Access / Collision Avoidance).
Proceso:
Escucha el canal (verifica si está libre).
Envía RTS (Request to Send).
Recibe CTS (Clear to Send) del AP.
Transmite datos.
Espera ACK → si no llega, asume colisión y reintenta.
Estructura de trama 802.11
Partes principales:
Encabezado → Control de trama, duración, direcciones (1-4), control de secuencia.
Carga útil (datos).
FCS (verificación de errores).
Detalles clave:
Dirección 1 → MAC receptor (AP).
Dirección 2 → MAC transmisor.
Dirección 3 → Destino final (ej. puerta de enlace).
Dirección 4 → Usada solo en modo ad hoc.
Control de trama → tipo de trama, protocolo, seguridad, energía.
Cliente inalámbrico y asociación al AP
3 etapas principales:
Descubrir AP (exploración de redes disponibles).
Autenticación (validación inicial, clave compartida o abierta).
Asociación (aceptar parámetros y asignación de identificador).
Parámetros de conexión:
SSID (nombre de red, puede asociarse a VLAN).
Contraseña (seguridad WEP/WPA/WPA2).
Modo de red (802.11 a/b/g/n/ac/ad).
Modo de seguridad (nivel de cifrado).
Canal de frecuencia (automático o manual para evitar interferencias).
Descubrimiento Pasivo y Activo
Pasivo:
AP envía periódicamente beacons con SSID, estándares y seguridad.
Cliente escucha y selecciona red.
Activo:
Cliente envía solicitud de sondeo (probe request).
AP responde con probe response (con SSID y parámetros).
Pasos cliente–AP (Verificación de conocimiento)
Descubrimiento:
Escuchar beacons (pasivo).
Enviar probe request (activo).
Autenticación:
Clave compartida.
Autenticación abierta.
Asociación:
Recibe el AID (Association ID).
Cliente envía su MAC al AP.
Dispositivos inalámbricos
Router inalámbrico (doméstico/pequeña empresa): combina router + switch + AP.
LWAP (Lightweight AP): controlado por un WLC (Wireless LAN Controller) en redes grandes.
AP (Access Point): conecta clientes inalámbricos a la red.
WLC: gestiona múltiples AP de forma centralizada.
Amenazas a la WLAN
Resumen de Seguridad Inalámbrica
Amenazas principales:
Intercepción de datos → necesario cifrado.
Intrusos inalámbricos → se evita con autenticación efectiva.
Ataques DoS → pueden ser accidentales o maliciosos.
Puntos de acceso no autorizados (Rogue APs) → detectables con software de administración.
Ataques de DoS
Medidas de prevencion:
Fortalecer configuración y contraseñas.
Copias de seguridad y cambios fuera de horario.
Monitoreo constante de interferencia.
Usar banda 5 GHz en zonas con mucha interferencia.
Causas
Interferencia accidental (hornos microondas, teléfonos inalámbricos, monitores de bebé).
Usuarios malintencionados → bloquean la red.
Dispositivos mal configurados (errores o sabotaje).
Puntos de Acceso No Autorizados
AP falso o router inalámbrico conectado sin autorización.
Puede ser instalado maliciosamente o por descuido.
Riesgos:
Captura de direcciones MAC.
Interceptar paquetes y datos.
Acceso a recursos internos.
Ataques MITM.
Ataque de Intermediario (MITM)
El atacante se coloca entre dos partes legítimas para leer/modificar datos.
Ejemplo: AP Gemelo Malvado
AP falso con mismo SSID que el AP legítimo.
Lugares comunes: Wi-Fi público (cafeterías, aeropuertos).
Usuario se conecta al AP falso (señal más fuerte).
Robar credenciales.
Obtener información personal.
Comprometer dispositivos.
WLAN seguras
WPA3 (nuevo estándar)
Modos:
WPA3-Personal (SAE): evita ataques de fuerza bruta sobre PSK.
WPA3-Empresa: autenticación 802.1X/EAP + suite criptográfica de 192 bits (CNSA).
Redes abiertas: usan OWE para cifrar tráfico sin autenticación.
IoT Integración: pensado para dispositivos inteligentes.
Características principales:
Más seguro que WPA2.
Elimina vulnerabilidades de handshake.
Uso de cifrado más robusto.
Encubrimiento SSID y filtrado MAC
Encubrimiento SSID
AP puede ocultar el SSID en las balizas.
Cliente debe configurarse manualmente.
Filtrado de direcciones MAC:
Se permiten solo ciertas MAC.
Limitación: ambos (SSID y MAC) pueden descubrirse o falsificarse.
Autenticación de usuario doméstico
WPA / WPA2 (opciones en routers domésticos).
WPA2-Personal (PSK):
Clave precompartida, sin servidor extra.
Para hogares/pequeñas oficinas.
WPA2-Empresa:
Requiere servidor RADIUS.
Más seguro → usuarios autenticados vía 802.1X + EAP.
Métodos de Autenticación (802.11 original)
Autenticación con clave compartida:
Utiliza WEP, WPA, WPA2, WPA3.
Clave precompartida entre cliente y AP.
Autenticación abierta:
Sin contraseña.
Usada en Wi-Fi públicos (cafeterías, aeropuertos).
Seguridad recae en el usuario (ej: VPN).
Métodos de Encriptación
TKIP (WPA):
Mejora WEP, pero menos seguro.
Incluye MIC (integridad de mensaje).
AES (WPA2):
Mucho más fuerte.
Usa CCMP (modo contador + autenticación de mensajes).
Método recomendado.
Equipo:
Melanie Guadalupe Dominguez Vazquez
Ari Bethzaret Monreal Godina
Hannia Esther Mendez Muñoz
Infraestructura de seguridad de redes
Servicios de seguridad
ACL
Lista de control de acceso
Tareas
Limitan el tráfico de red para aumentar el rendimiento
Brindan control de flujo de tráfico
Filtran el tráfico según el tipo de tráfico
Tipos
Estándar
Pueden utilizar para permitir o denegar el tráfico de direcciones IPv4 de origen únicamente. El destino del paquete y los puertos involucrados no se evalúan
Extendidas
Filtran paquetes IPv4 según los atributos
Tipo de protocolo
Dirección IPv4 origen
Dirección IPv4 destino
Puertos TCP o UDP origen
Puertos TCP o UDP destino
Información optativa de tipo de protocolo para un control más preciso
SNMP
Permite que los administradores de redes monitoreen y administren el rendimiento de la red, detecten y resuelvan problemas de red y planifiquen el crecimiento de la red.
Elementos
Administrador de SNMP, que ejecuta el software de administración de SNMP.
Agentes de SNMP, que son los nodos monitoreados y administrados.
NTP
Protocolo permite que los routers de la red sincronicen sus ajustes de hora con un servidor NTP. Y utilizan un sistema jerárquico de fuentes horarias
Niveles
Estrato 0. Una red NTP obtiene la hora de fuentes horarias autorizadas
Estrato 1. Están conectados directamente a las fuentes horarias autorizadas
Estrato 2 e inferiores. Los servidores del estrato 2 están conectados a dispositivos del estrato 1 mediante conexiones de red.
Servidores AAA
Autenticación
Autorización
Auditoría
VPN
Red privada que se crea en una red pública, normalmente Internet
Dispositivos de seguridad
Firewall
Sistema o grupo de sistemas que impone una política de control acceso entre redes
Propiedades
Resiste ataques de red
Aplica la política de control de acceso
Único punto de tránsito entre las redes corporativas internas y las redes externas
Limitaciones
Un firewall mal configurado puede tener graves consecuencias para la red
Los datos de muchas aplicaciones no se pueden transmitir con seguridad mediante firewalls.
Puede reducirse la velocidad de la red.
Arquitectura
Privado y público
Zona perimetral (DMZ, Demilitarized Zone)
Firewall de políticas basados en zonas
Tipos
Filtrado de paquetes (sin estado)
Activo
Gateway de aplicaciones
Próxima generación
IDS e IPS
Caracteristicas
Se implementan como sensores
Utilizan firmas para detectar patrones de uso indebido en el tráfico de red
Detectan patrones atómicos
Ventajas IDS
Sim impacto en la red
Sin impacto en la red si hay sobrecargo del sensot
Ventajas IPD
Detener paquetes de activación
Puede usar técnicas de normalización de flujo
Tipos
IPS con base en host
IPS con base en la red
Dispositivos de seguridad
AMP
WSA
ESA
AMP