1 Cerca del Cliente Telefónica S.A.U.– KCV/05 Área: ING. CLIENTES Y SOP. TEC. 1 Seguridad Informática y Soluciones II Formación para ATEGUI - 011205

2 Cerca del Cliente Telefónica S.A.U.– KCV/05 Área: ING. CLIENTES Y SOP. TEC. 2 Índice 2ª PARTE.- 03 Tecnología WIFI - Definiciones -La seguridad - Soluciones WIFI de Telefónica.

3 Cerca del Cliente Telefónica S.A.U.– KCV/05 Área: ING. CLIENTES Y SOP. TEC. 3 Wireless Fidelity  Son las abreviaturas de Wireless Fidelity  Promulgado por la Wi-Fi Ethernet Compatibility Alliance (WECA), que otorga el Wi-Fi Certified a los productos que pasen un conjunto de pruebas de compatibilidad  Emplea bandas ISM (Industrial, Scientifical, Medical)  Wi-Fi (2.4 Ghz)(*) usa la misma banda que: Bluetooth Microondas  Estas bandas son de uso libre (no están protegidas) lo que plantea ventajas e inconvenientes  Permite crear redes de área local inalámbricas (WLAN) ¿Qué es WIFI?

4 Cerca del Cliente Telefónica S.A.U.– KCV/05 Área: ING. CLIENTES Y SOP. TEC. 4 La familia de protocolos IEEE 802.11 (1/2)  Es un estándar del IEEE, que también es responsable de otros estándares, como Ethernet  El primer protocolo de esta familia es el 802.11 (sin letra)  En la banda de 2.4 Ghz  Utiliza WEP como medida de seguridad  Sólo permitía velocidades de hasta 2MBps  El más empleado es el 802.11b  En la banda de 2.4 Ghz  Usa WEP  Tiene hasta 3 canales que se pueden usar a la vez sin interferencias  Permite anchos de banda de hasta 11 Mbps  Autorizado a nivel mundial  Una de las evoluciones es el 802.11a  En la banda de 5 Ghz  Tiene la posibilidad de hasta 12 canales simultáneos  Anchos de banda de hasta 54 Mbps  No está autorizado en Europa, pues interfiere con los radares y otras aplicaciones militares

5 Cerca del Cliente Telefónica S.A.U.– KCV/05 Área: ING. CLIENTES Y SOP. TEC. 5  El 802.11g es la alternativa europea al 802.11a  En la banda de 2.4 Ghz (esto permite mantener la compatibilidad con la inversión realizada en 802.11b)  Sólo 3 canales sin interferencia (sigue teniendo esta limitación)  Velocidades de hasta 54 Mbps  Ya se ha aprobado el estándar  El 802.11h es el equivalente en Europa al 802.11a  En la banda de 5 Ghz  Tiene 12 canales efectivos  Hasta 54 Mbps  Control automático de potencia y selección dinámica de frecuencias para evitar interferencias con los sistemas militares.  Se retrasa el estándar  Otros protocolos en la familia 802.11 son:  802.11d: aporta características de control de acceso al medio  802.11e: para poder definir niveles de calidad de servicio (QoS)  802.11f: protocolo para que los Puntos de Acceso de diferentes fabricantes intercambien información de roaming  802.11i: para incrementar la seguridad de las comunicaciones La familia de protocolos IEEE 802.11 (2/2)

6 Cerca del Cliente Telefónica S.A.U.– KCV/05 Área: ING. CLIENTES Y SOP. TEC. 6  Factores que determinan el diseño de la cobertura  La cobertura la determina el tipo de antena: Los puntos de acceso de la solución son omnidireccionales con un alcance de hasta 50 metros (en función de la potencia)  El número de usuarios es otro factor determinante: un punto de acceso soporta con calidad razonable en torno a 40 usuarios: Se puede reducir el radio de las celdas para aumentar el número de puntos de acceso y por tanto de usuarios.  Con el protocolo 802.11b sólo hay 3 canales que no solapan: Reutilizar las frecuencias: Diseño de cobertura WIFI

7 Cerca del Cliente Telefónica S.A.U.– KCV/05 Área: ING. CLIENTES Y SOP. TEC. 7 La seguridad en WIFI (I)  ¿Es Wi-Fi seguro?  Una de las mayores críticas a Wi-Fi es la seguridad  Los mecanismos de seguridad que aporta el estándar son débiles  La mayor debilidad es no aplicar estos sistemas de seguridad  El WEP como principal método de seguridad  Se basa en una clave común al punto de acceso y a todos los clientes  La clave puede tener 40 bits (algunos fabricantes han creado extensiones propietarias de 128 o incluso 256 bits)  Se repite en todos los paquetes  Difícil de transmitir y cambiar en todos los clientes  Es fácilmente atacable en redes de mucho tráfico: 12 horas de escucha y unos pocos minutos de proceso en un PC con programas que se pueden encontrar en Internet

8 Cerca del Cliente Telefónica S.A.U.– KCV/05 Área: ING. CLIENTES Y SOP. TEC. 8  Otros mecanismos básicos de seguridad  Soluciones basadas en la MAC de los clientes: se pueden crear listas blancas o negras de adaptadores. Sigue siendo vulnerable a los sistemas de escucha, y posterior emulación.  Basadas en el nombre de red o SSID.  Debe ser igual en los puntos de acceso y en los clientes  Normalmente se publica por los Puntos de Acceso  Como medida de seguridad no se debe publicar  Las VPN como alternativa personal (tunelizacion)  Otras soluciones propietarias (encriptación) La seguridad en WIFI (II)

9 Cerca del Cliente Telefónica S.A.U.– KCV/05 Área: ING. CLIENTES Y SOP. TEC. 9 La seguridad en WIFI (III)  EAP (Extensible Authentication Protocol)  Inicialmente pensado para PPP  El mecanismo habitual de comunicación entre el cliente y el servidor de autenticación es RADIUS  Hay varios tipos de EAP que en general se basan en el uso de certificados y túneles  LEAP (Lightweight Extensible Authentication Protocol)  Modalidad de EAP particular de CISCO  Es sencilla de configurar y de utilizar.  La autenticación se realiza mediante el uso de usuario/password y no utiliza certificados digitales, más complicados de manejar  802.11i  Se basa en autenticación mutua, y por paquete: TKIP (Temporal Key Integrity Protocol) donde cada 10 kbytes de datos transmitidos se cambia la clave.  TKIP no se ve robusto, por lo que se está pensando en otras soluciones a largo plazo=>CCMP que es un tipo de codificación AES (Advanced Encryption Standard) que sustituye al RC4 de WEP

10 Cerca del Cliente Telefónica S.A.U.– KCV/05 Área: ING. CLIENTES Y SOP. TEC. 10 Productos y Servicios WIFI de Telefonica Solución Net Lan WIFI (VPN) HOT-SPOT ADSL WIFI (Conexión Internet) PDA WIFI

11 Cerca del Cliente Telefónica S.A.U.– KCV/05 Área: ING. CLIENTES Y SOP. TEC. 11 Net Lan WIFI (*)- DEFINICION  Introduce el concepto de sede Wi-Fi como aquella que dispone de acceso inalámbrico  Una RPV WI-FI consta de una o más sedes WI-Fi y cero o más sedes tradicionales.  Es un servicio gestionado. Telefónica hace la gestión completa del equipamiento y, además, ofrece al cliente un Portal para que pueda administrar su solución Wi-Fi:  Gestión de usuarios.  Cambios de clave WEP  Informes de uso del servicio  Documentación (Guías de usuario, FAQ, etc)  Es un servicio seguro:  garantiza alta seguridad en el acceso inalámbrico de los empleados a la red corporativa e Internet mediante protocolo LEAP  seguridad WEP de 128 bits en el acceso a Internet de los usuarios visitantes. (*) El servicio Lan WIFI también se suministra sobre Acceso Plus (Solución ADSL)

12 Cerca del Cliente Telefónica S.A.U.– KCV/05 Área: ING. CLIENTES Y SOP. TEC. 12  Una sede Wi-Fi siempre se instala sobre una sede Net-LAN avanzada. Dentro de éstas, hay dos modalidades:  Básica:  Sólo existe el perfil de empleado  El perfil de empleado se caracteriza por tener acceso inalámbrico a la red corporativa de la empresa y conectividad a Internet si ésta la tuviera.  El empleado se autentica mediante los servicios ofrecidos por la red RIMA para este fin y el nivel de seguridad en este perfil es el otorgado por los protocolos de acceso, autenticación y de gestión de claves LEAP, empleando para ello el cliente LEAP descargable a través del portal de administración o los periféricos Seguridad de Telefónica  Con o sin back-up RDSI  Premium:  Perfiles de empleado y visitante.  El perfil de visitante sólo tendrá acceso inalámbrico a la conexión a Internet sobre la que se instale la solución inalámbrica. El nivel de seguridad de este perfil es el que le confiere el protocolo de cifrado WEP.  Con o sin back-up RDSI Net Lan WIFI - CARACTERISTICAS

13 Cerca del Cliente Telefónica S.A.U.– KCV/05 Área: ING. CLIENTES Y SOP. TEC. 13 Net Lan WIFI - ARQUITECTURA Red RIMA Modem- Router Switch Red cableada del Cliente Usuarios empleado s Usuarios Visitante s Puntos de Acceso Terminal de Gestión Infraestructur a Inalámbrica Infraestructura de acceso Internet Servido r RADIU S Servido r LDAP Portal de Administración Telefónica On Line (TOL) Sede RPV Wi- Fi DSLAM Centro de Gestión de Red Infraestructura Centralizada de Gestión  Equipamiento inalámbrico para interior / exterior

14 Cerca del Cliente Telefónica S.A.U.– KCV/05 Área: ING. CLIENTES Y SOP. TEC. 14 Zona ADSL WIFI (HOT SPOT) – Definición Creación de una Zona de Cobertura o ‘Hotspot’ Permite la comunicaión vía radio de los usuarios Realiza la gestión local de las sesiones de los usuarios Infraestructura de acceso a la red RIMA Para permitir que los Hotspots se encuentren permanentemente conectados a la red RIMA de Telefónica Inicialmente se hace a través de ADSL. Infraestructura centralizada de gestión del servicio: Provisión del servicio Autenticación de los usuarios Facturación del servicio Contabilidad o accounting (si es necesario) con los propietarios

15 Cerca del Cliente Telefónica S.A.U.– KCV/05 Área: ING. CLIENTES Y SOP. TEC. 15 Zona ADSL WIFI (HOT SPOT) – Componentes (I) Terminales de Usuario PCs portátiles equipados con: Tarjetas Wi-Fi Procesador Centrino de Intel PDAs Puntos de Acceso Se comunican vía radio con los terminales de usuario Distribuidos por toda la zona de cobertura Cada uno define un área o celda de cobertura Se debe tener cuidado con la interferencia entre ellos: Reutilización de canales Potencia de emisión Se pueden alimentar mediante ‘power injectors’

16 Cerca del Cliente Telefónica S.A.U.– KCV/05 Área: ING. CLIENTES Y SOP. TEC. 16 Zona ADSL WIFI (HOT SPOT) – Componentes (II) BBSM o Servidor de Acceso o Servidor de Camping Permite el Acceso Transparente de los usuarios DHCP Dirección IP fija Autentica a los usuarios contra el servidor RADIUS Facilita las labores de facturación y accounting Contiene el portal de acceso (muestra pantalla bienvenida y autenticación) Switch Es el Cisco Catalyst 2950 de 12 o 24 puertos Para conectar los puntos de acceso y el BBSM PC de gestión Puede ir conectado directamente al módem-router o en cualquier otro punto que tenga conexión a Internet Para acceder al portal de administración Para dar de alta, borrar a los usuarios, crear listas masivas La gestión se realiza desde la página de Telefónica Online

17 Cerca del Cliente Telefónica S.A.U.– KCV/05 Área: ING. CLIENTES Y SOP. TEC. 17 Zona ADSL WIFI (HOT SPOT) – ARQUITECTURA

18 Cerca del Cliente Telefónica S.A.U.– KCV/05 Área: ING. CLIENTES Y SOP. TEC. 18 PDA - WIFI Práctico y cómodo equipo que combina en un solo dispositivo de mano las siguientes características: Teléfono móvil libre PDA de última generación Conectividad ampliada con GSM tribanda, GPRS, Wi-Fi, IrDa y Bluetooth Reproductor de audio y video Cámara fotográfica y de video Preparado para conectarse a Soluciones ADSL e integrar nuevas funcionalidades como Oficina Integral, etc.

19 Cerca del Cliente Telefónica S.A.U.– KCV/05 Área: ING. CLIENTES Y SOP. TEC. 19 PDA - WIFI Procesador Intel PXA272 XScale de 520 MHz. Memoria RAM de 128Mb ampliable por tarjeta Multimedia Card y SDIO. Memoria ROM de 128 Mb. Pantalla táctil TFT-LCD de 240 x 320 pixels a 65.536 colores de 3,5 pulgadas. Cámara digital fotográfica CMOS y de vídeo VGA con 1,3 megapixels de resolución (960 x 1280 pixels). Posibilidad de realizar fotos apaisadas. Altavoz y toma de auriculares con micrófono incorporado para comunicaciones manos libres. Función manos libres y marcación por voz.

20 Cerca del Cliente Telefónica S.A.U.– KCV/05 Área: ING. CLIENTES Y SOP. TEC. 20 PDA - WIFI SO Microsoft Windows ® Mobile 2003 Pocket PC Phone SE Microsoft Pocket PC: Word Excel Outlook 2002 Pocket PC (incluye Contactos, Calendario, Tareas, Calculadora y Navegador Internet Explorer Bandeja de correo (incluye correo electrónico, SMS, MMS) sincronizable con Outlook 2002 y Outlook Express Windows Media Player ® 10.0 reproduce MP3, WAV, MIDI y varios tipos de vídeo Active Sync Software para la conexión a un PC por pueto USB, IrDA o Bluetooth Software de Modem Inalámbrico MSN Messenger y cliente MMS

21 Cerca del Cliente Telefónica S.A.U.– KCV/05 Área: ING. CLIENTES Y SOP. TEC. 21