Conceptos básicos de seguridad inalámbrica en la capa 1

Conceptos básicos de seguridad inalámbrica en la capa 1

Vamos a comentar aspectos más técnicos sobre los consejos de la política en cuestión. Comenzaremos con la seguridad en la capa física. La seguridad en la capa física de las redes inalámbricas abarca los escapes de señal fuera de los límites definidos para la red y la eliminación de todas las fuentes intencionadas y casuales de interferencia. En la primera parte de este libro ya hemos hablado acerca de los problemas de la interferencia, por lo que aquí vamos a concentrarnos en la contención de la zona de cobertura. Limitar el alcance de la red inalámbrica es un caso raro de seguridad mediante oscuridad que funciona (al menos en parte).
Existen dos formas de evitar que la señal se difunda fuera de la zona prevista para los usuarios legítimos. La primera forma es limitar la potencia de la señal. En el mundo UNIX, menos es más. Este mismo principio se aplica a la seguridad inalámbrica en la capa física. La EIRP debería ser suficiente como para ofrecer una calidad de enlace decente a los usuarios en la zona de cobertura planeada, y ni un decibelio más. No suele ser necesario elevar la EIRP por encima del límite legal marcado por el ETSI y además, convierte a la WLAN en un faro para todos los aficionados al wardriving de la zona y en un tema de debate para una reunión de un grupo 2600 local. Existen varios puntos en los que se puede controlar la potencia de emisión:
•    En el punto de acceso (todos los puntos de acceso de gama alta deberían soportar una potencia de salida variable).
•    En un amplificador de salida variable.
•    Seleccionando una antena con la ganancia correcta.

Puede que en los casos más extremos necesite utilizar un dispositivo atenuados
La segunda forma de limitar el alcance de la red es dar forma a la zona de cobertura con una adecuada elección y ubicación de antenas. En el apéndice C se incluyen ejemplos de zonas de coberturas de antenas; compruebe qué forma de red es la mejor para proporcionar acceso únicamente donde se necesita. Podemos ofrecerles algunos consejos:
•    Utilice antenas omnidireccionales sólo cuando sea absolutamente necesario. En muchos casos pueden utilizarse en su lugar antenas sectoriales o de panel con la misma ganancia para limitar la difusión de la señal.
•    Si no necesita acceso inalámbrico desde el exterior, disponga sus antenas omnidireccionales internas en el centro del edificio en el que se basa la red.
•    Si va a desplegar una red inalámbrica en el interior de un edificio alto, utilice antenas omnidireccionales con plano de tierra para que sea más difícil detectar su LAN desde las plantas inferiores y las calles de alrededor.
•    Si no es necesaria una cobertura omnidireccional, pero lo único que tiene son antenas omnidireccionales que no puede sustituir, utilice reflectores parabólicos para controlar la dispersión de la señal. Los reflectores modelarán el patrón de radiación de su sistema inalámbrico, convirtiendo en la práctica la zona de cobertura omnidireccional de su antena en un patrón similar al de las antenas semidireccionales. Por supuesto, también aumentan la ganancia de la señal. Un caso típico cuando vaya a considerar el uso de reflectores es configurar un punto de acceso sin un conector para antenas externas, o la posibilidad de sustituir las antenas omnidireccionales de goma estándar de los puntos de acceso por antenas más apropiadas. Todo lo que necesita un reflector es una superficie plana de metal del tamaño adecuado. Puede construirse su propio reflector a partir de cualquier cosa, desde mallas de alambre a chapas metálicas de tejados. En http://www.freeantennas.com/projects/template/index.html puede consultar un detallado artículo en el que se comenta la construcción de reflectores caseros. También le recomendamos consultar el truco número 70 de "Wireless: Los mejores trucos ", de Rob Flickenger.
•    Si va a desplegar un enlace inalámbrico a lo largo de un gran pasillo que conecta varias oficinas utilice dos antenas de panel o de tipo parche en ambos extremos, en lugar de toda una serie de antenas omnidireccionales
 
que recorra el pasillo. Como alternativa, puede probar con un hilo de cable sin blindar enchufado al conector de la antena del punto de acceso y dispuesto a lo largo del pasillo. Si se construye correctamente, esta improvisada antena omnidireccional sin ganancia puede proporcional conectividad en el pasillo y en su entorno más cercano sin dejar que la señal llegue a la calle.
• Si sus dispositivos de cliente tienen antenas de polarización horizontal, utilice una antena de polarización horizontal en el punto de acceso. La antena favorita de los wardrivers, una antena omnidireccional de montaje magnético siempre se coloca en vertical, usando el techo del coche como plano de tierra. Si todas sus antenas tienen polarización horizon-tal, la posibilidad de que los wardrivers detecten su señal con su antena de montaje magnético será muy reducida.

Conceptos básicos de radiofrecuencia: polarización de la antena.
Una onda de radio consiste en dos campos: el eléctrico y el magnético. Estos dos campos se propagan mediante planos perpendiculares, tal y como muestra la figura 10.1. El campo electromagnético real es una suma de los campos eléctrico y magnético entre los que oscila la energía emitida. El plano eléctrico paralelo al elemento de la antena se denomina plano E, y el plano magnético perpendicular se denomina plano H. La posición del plano E tomando como referencia la superficie de la Tierra determina la polarización de la antena (que es horizontal cuando el plano E es paralelo, y vertical cuando es perpendicular al suelo). La mayoría de los puntos de acceso tienen antenas de polarización vertical, mientras que las antenas integradas en las tarjetas PCMCIA de los portátiles suelen ser de polarización horizontal. Por el contrarío, las antenas integradas en tarjetas CF son de polarización vertical. Utilice su herramienta favorita de control de calidad de señal o de enlace para ver cómo afecta el alineamiento de la polarización de las antenas a las propiedades del enlace. Descubrirá que cuando las antenas están polarizadas al contrarío, la calidad del enlace disminuye abruptamente. La forma más habitual de solucionar un problema de polarización incorrecta es modificar la dirección de la antena del punto de acceso, pero hay antenas omnidireccionales que se colocan en vertical que aún así tienen polarización horizontal. Estas antenas son poco habituales y suelen ser bastante caras.
 
No piense que colocando correctamente sus antenas conseguirá un perfil de zona de cobertura de red perfecto, como el que desea. En primer lugar, siempre existe una pequeña zona de cobertura trasera debida a la mayoría de las antenas semidireccionales o incluso direccionales. Las antenas Yagi tienen lóbulos laterales y anteriores que pueden tener bastante alcance cuando la EIRP es elevada. Por eso, un aficionado al wardriving puede descubrir la red si pasa accidentalmente por detrás de la antena de emisión, y así un cracker no tiene que colocarse justo delante de la antena, donde lo estaría esperando el personal de seguridad.
Además, a no ser que se construya un buen bunker TEMPEST (bueno, EMSEC), la contención de la emisión de radiofrecuencia es una ardua tarea. Debido a la reflexión, refracción y dispersión de la señal, la red inalámbrica puede detectarse por azar desde ubicaciones inimaginables. Esto subraya la importancia de eliminar todos los datos de interés de los marcos de baliza. Si un wardriver captura una única baliza que muestre que está activado el protocolo WEP y el ESSID cerrado, es probable que decida pasar de una red de este tipo, ya que existen muchas redes sin proteger. Sin embargo, si la baliza muestra la ausencia del protocolo WEP y el ESSID es "WLAN_Central_ de_ Microsoft", la reacción será completamente diferente.