Detección de intrusos en la capa de enlace del protocolo 802.11

Instituto Superior Politécnico José Antonio Echeverría
CUJAE
DETECCIÓN DE INTRUSOS EN LA
CAPA DE ENLACE DEL
PROTOCOLO 802.11
Keita Sory Fanta
La Habana, 2012

Tesis de Maestría

Página Legal
Detección de intrusos en la capa de enlace del protocolo 802.11. – La Habana : Instituto
Superior Politécnico José Antonio Echeverría (CUJAE), 2012. – Tesis (Maestría).
Dewey: 621.3 INGENIERIA ELECTRICA. ELECTRONICA.
Registro No.: Maestria1159 CUJAE.
(cc) Keita Sory Fanta, 2012.
Licencia: Creative Commons de tipo Reconocimiento, Sin Obra Derivada.
En acceso perpetuo: http://www.e-libro.com/titulos

Instituto Superior Politécnico
“José Antonio Echeverría”
Facultad de Ingeniería Eléctrica
Departamento de Telemática
Detección de Intrusos en la Capa de Enlace
del Protocolo 802.11.
TESIS PRESENTADA PARA OPTAR POR EL TÍTULO ESTATAL DE
MÁSTER EN TELEMÁTICA.
Autor: Ing. Keita Sory Fanta
Tutor: DrC. Walter Baluja García
Ciudad de La Habana, Septiembre de 2011.

Lo importante, me doy cuenta ahora, no es que uno mismo
vea todos sus sueños cumplidos; sino seguir, empecinados,
soñándolos. El mundo continuará y su rumbo no nos será
ajeno. Lo estamos decidiendo nosotros cada día, nos demos
cuenta o no.
Gioconda Belli.

Resumen
El desarrollo exponencial de herramientas de descubrimiento y diagnóstico de
redes, así como los mecanismos de capturas e inyección de tráfico en las WiFi,
hacen posible a intrusos capacitados, romper en gran parte, las medidas de
seguridad implementadas en esas redes mediante análisis de paquetes
capturados. Por ello, la obtención de soluciones o alternativas que detecten
intrusiones en la capa de enlace constituye un gran avance en los problemas de
inseguridad de las redes inalámbricas, siendo la capa de enlace la que caracteriza
el acceso al medio inalámbrico.
El objetivo de ésta investigación es obtener soluciones que detecten intrusiones
para redes WiFi, basándose en el análisis de la información y comportamiento de
las tramas de control y de gestión de las mismas. En consecuencia, se planteó
como objetivo específico estudiar y analizar las informaciones de control y de
gestión de la trama MAC del 802.11 a fin de obtener algoritmos que detecten
intrusiones debido a las vulnerabilidades de los protocolos en esa trama.
Como resultados, se obtuvieron algoritmos de detección de intrusiones basándose
en las vulnerabilidades de los paquetes de control y de gestión de la 802.11 los
cuales condujeron a la implementación de un Script que detecte hasta un 95%, las
DoS causadas por los ataques de RTS/CTS falsos, de des-autenticación y de des-
asociación, ofreciendo así una nueva perspectiva en el trabajo de control y gestión
de seguridad en dichas redes.
3

Abstract
The exponential development of discovery and diagnostic tools as well as
mechanisms for traffic capture and injection in Wi-Fi networks have made it
possible for skillful intruders to break past security measures implemented in these
networks through analysis of captured packets.
The development of solutions that detect intrusions in the link layer constitutes
great progress in the solution of security problems in wireless networks given that
access to these networks is characterized by this layer.
The objective of this research is to obtain solutions that detect intrusions in the link
layer for Wi-Fi networks based on the analysis of information in the WLAN
communication protocol datagrams. In consequence with wireless technology one
of the specific objectives is the study and analysis of information in the WLAN
protocol datagrams in order to obtain a classifier of intrusions due to the
vulnerabilities of the protocols in the link layer.

Introducción
Introducción ............................................................................................................................... 10
Capítulo I: Estado del arte de la seguridad de las Redes WiFi. ............................................... 17
Introducción ............................................................................................................................... 17
1.1 Tecnologías inalámbricas. Aspectos generales .......................................................... 17
1.2 Redes de Área Local Inalámbricas (WLANs). ............................................................... 20
1.2.1 El estándar 802.11. La WiFi ........................................................................................... 20
1.2.2 Configuraciones WLAN ................................................................................................. 23
Configuración redes ad-hoc.............................................................................................. 24
Modo infraestructura. ........................................................................................................ 24
1.3 Seguridad en las WLANs .............................................................................................. 25
1.3.1 Problemas de seguridad en las WLANs. ...................................................................... 25
Incidentes de seguridad según los informes del CSI/FBI ................................................ 26
1.3.2 Ataques a redes WLANs ............................................................................................... 28
1.3.3 Mecanismos de seguridad implementados en las WLANs. ......................................... 31
1.4 Sistemas de Detección de Intrusiones como mecanismo de seguridad. ................... 32
1.4.1 Funcionamiento de los IDS ........................................................................................... 33
1.4.2 Componentes funcionales de los IDS. ......................................................................... 34
1.4.3 Clasificaciones .............................................................................................................. 35
Clasificación según el Análisis ......................................................................................... 36
Detección basada en patrones.......................................................................................... 36
Detección basada en anomalías ....................................................................................... 37
1.5 Productos WIDS y trabajos precedentes...................................................................... 38
1.5.1 Productos WIDS actuales.............................................................................................. 38
1.5.2 Trabajos relacionados ................................................................................................... 39
1.6 Conclusiones ................................................................................................................. 44
Capítulo II: Vulnerabilidades y ataques inherentes a la capa MAC del 802.11. ....................... 46
Introducción ............................................................................................................................... 46
2.1 Capa de enlace de Datos ............................................................................................... 46
2.2 La Subcapa MAC de WiFi .............................................................................................. 48
2.2.1 Direccionamiento en la subcapa MAC .......................................................................... 48
2.2.2 Protocolos Inalámbricos de Control de Acceso al Medio............................................ 49
2.2.3 Algoritmo de Control de Acceso al Medio de la Norma 802.11 ................................... 50
2.2.4 Entrega Fiable de Datos ................................................................................................ 55
5

Índices Generales
2.2.5 Trama MAC del 802.11 ................................................................................................... 56
2.2.6 Tipos de tramas 802.11 ................................................................................................. 58
Tramas de Manejo de Conexión (de Administración) ...................................................... 59
Tramas de Control ............................................................................................................. 61
2.3 Análisis del comportamiento de los campos de la trama 802.11 ................................ 62
2.4 Vulnerabilidades en el formato de la trama MAC ......................................................... 63
2.4.1 Vulnerabilidades en las tramas de control y de gestión del 802.11 ............................ 63
2.5 Ataques o amenazas inherentes de las vulnerabilidades de las tramas de control y de
gestión. ....................................................................................................................................... 66
2.5.1 Ataques de CTS falsos .................................................................................................. 66
2.5.2 Ataque de duración ....................................................................................................... 67
2.5.3 Ataque de ACK falso: Mecanismo de creación de ACK falso ..................................... 68
2.5.4 Ataques de des-autenticación y de des-asociación .................................................... 72
2.5.5 Ataques Hombre en el Medio ........................................................................................ 73
2.6 Conclusiones ................................................................................................................. 75
Capítulo III: Propuesta y validación de algoritmos para la detección de intrusiones en la capa
de enlace de la 802.11. ............................................................................................................... 77
Introducción ............................................................................................................................... 77
3.1 Ejecución de ataques o amenazas a detectar .............................................................. 77
3.1.1 Instrumentos y equipos utilizados. .............................................................................. 78
3.1.2 Realización de los ataques y captura de datos. ........................................................... 80
3.2 Método de detección ..................................................................................................... 88
3.3 Algoritmos de detección. .............................................................................................. 88
3.3.1 Algoritmo de detección de CTS falso ........................................................................... 89
3.3.2 Algoritmo de detección del ataque de duración. ......................................................... 90
3.3.3 Algoritmo de detección del ataque RTS. ...................................................................... 91
3.3.4 Algoritmo de detección de los ataques de des-autenticación y de des-asociación... 93
3.4 Implementación del Script de detección. ..................................................................... 94
3.4.1 Requerimientos Mínimos .............................................................................................. 95
3.4.2 El Script ......................................................................................................................... 96
3.4.3 Modo de Aplicación ....................................................................................................... 97
3.4.4 Validación de los resultados. ........................................................................................ 98
La detección en tiempo real .............................................................................................. 98

Índices Generales
La detección por análisis de ficheros capturados ........................................................... 99
3.5 Conclusión ..........................................................................................................................100
Conclusiones generales ...........................................................................................................101
Recomendaciones ....................................................................................................................102
Referencias Bibliográficas. ......................................................................................................103
ANEXOS ....................................................................................................................................108
ANEXO 1: Análisis de la Ración del Número de Secuencia SNRA. ........................................109
ANEXO 2: Código fuente de la implementación del detector en Python. ...............................112
Utilidad ......................................................................................................................................112
Código Fuentes Del widslib.py .................................................................................................114
Código Fuentes Del init.py .......................................................................................................117
SIGLARIO ..................................................................................................................................118

Figuras del capítulo I
Índices de figuras
Figura 1. 1 Ejemplo de aplicación de las WLANs [3]. ............................................................... 20
Figura 1. 2 Nivel de satisfacción de los usuarios [13]. ............................................................. 23
Figura 1. 3 WLAN en modo ad hoc ............................................................................................ 24
Figura 1. 4 WLAN en modo infraestructura [12]. ...................................................................... 24
Figura 1. 5 Histograma del número de incidentes [16]. ............................................................ 27
Figura 1. 6 Incidentes de seguridad [16] ................................................................................... 28
Figura 1. 7 Representación de las acciones tomadas frente a un incidente de seguridad [16].
.................................................................................................................................................... 28
Figura 1. 8 Uso de soluciones de seguridad [16]. .................................................................... 32
Figura 1. 9 Esquema de clasificaciones de IDS [19]. ................................................................ 35
Figura 1. 10 Características Suplementarias [18]. .................................................................... 40
Figuras del capítulo II
Figura 2. 1 Subcapas de enlace de Datos [35]. ......................................................................... 47
Figura 2. 2 Función de la capa de enlace en una comunicación extremo a extremo [35]. ..... 48
Figura 2. 3 Clasificación de los protocolos Inalámbricos de Acceso al medio [25]................ 50
Figura 2. 4 Diagrama de flujo del algoritmo de transmisión y/o recepción de un nodo [40]. . 53
Figura 2. 5 Modo de funcionamiento del protocolo CSMA/CA [36, 38]. ................................... 55
Figura 2. 6 Formato y campos de la trama 802.11 [4]. .............................................................. 56
Figura 2. 7 Campo FC de la Trama MAC de 802.11. .................................................................. 58
Figura 2. 8 Formato de la trama RTS [33].................................................................................. 61
Figura 2. 9 Formato de la trama CTS [33].................................................................................. 61
Figura 2. 10 Formato de la trama ACK [33]. .............................................................................. 62
Figura 2. 11 Diagrama de flujo del ataque CTS [33].................................................................. 67
Figura 2. 12 Mecanismo de creación del ACK falso [33]. ......................................................... 69
Figura 2. 13 Diagrama de flujo del algoritmo de creación del ACK falso [33]. ........................ 71
8

Figuras del capítulo III
Índices de figuras
Figura 3. 1 Escenario de la red de prueba. ............................................................................... 80
Figura 3. 2 Captura en condiciones normales, ausencia de ataques. ..................................... 82
Figura 3. 3 Captura durante el ataque CTS. .............................................................................. 83
Figura 3. 4 Estado de desconexión durante el ataque CTS. .................................................... 83
Figura 3. 5 Captura durante el ataque RTS. .............................................................................. 84
Figura 3. 6 Estado de desconexión durante el ataque RTS. .................................................... 85
Figura 3. 7 Captura durante el ataque de des-autenticación. .................................................. 85
Figura 3. 8 Estado de desconexión durante el ataque de des-autenticación. ......................... 86
Figura 3. 9 Captura durante el ataque de des-asociación. ....................................................... 87
Figura 3. 10 Estado de desconexión durante el ataque de des-autenticación. ....................... 87
Figura 3. 11Diagrama de actividad del algoritmo de detención del ataque CTS falso. ........... 89
Figura 3. 12 Diagrama de actividad del algoritmo de detección del Ataque de Duración. ..... 91
Figura 3. 13 Diagrama de actividad del algoritmo de detección del Ataque de RTS. ............. 92
Figura 3. 14 Diagrama de actividad del algoritmo de detección del Ataque de desautenticación
y de des-asociación. ........................................................................................... 94
9

Introducción
INTRODUCCION
Ni la ciencia ni la técnica pueden exhibir,
en ninguna circunstancia, la bandera blanca
de una pretendida neutralidad. Todo acto
técnico, todo gesto científico chorrea ideología...
Pedro Casaldáliga.
.
10

Introducción
Introducción
En las últimas décadas las redes WiFi han aparecido como un modo de
complementariedad de las cableadas tradicionales, aportando ventajas de mayor
flexibilidad y escalabilidad.
Además de sus fáciles y rápidas instalaciones, las redes WiFi suelen configurarse
según las necesidades de las organizaciones. El medio de transmisión se rebasa a
las ondas electromagnéticas, brindando potencias de hasta 100 mW (en Europa).
El IEEE (Institute of Electrical and Electronics Engineers) es el órgano regulador
donde se definió el estándar 802.11 para su regulación[1, 2].
Conocidas comúnmente en la literatura como WLANs (Wireless Local Area
Network), las redes WiFi tienen múltiples aplicaciones. Utilizadas conjuntamente
con redes cableadas, ya sea como red de interconexión entre distintas redes
cableadas, o en casos de emergencia debido a la congestión, o como una
alternativa en salones de reuniones eventuales, donde no es prescindible el
cableado[3-7].
Aunque carecen de características importantes, las WLANs, al igual que cualquier
sistema informático, sufren de problemas de seguridad debido a amenazas a las
cuales están expuestas [7-9].
A pesar de la multiplicidad de vulnerabilidades existentes en el ámbito de las redes
inalámbricas, la industria tecnológica sigue produciendo y adoptando nuevas
tecnologías dando prioridad a la prestación de servicios y la facilidad de uso,
dejando con un menor nivel de importancia a la seguridad [8].
10

Introducción
Sin embargo, la seguridad es un aspecto de vital relevancia al hablar de redes
inalámbricas. Para tener acceso a una red cableada es imprescindible una
conexión física al cable, mientras que en una red inalámbrica se puede acceder sin
ni siquiera estar ubicado en las dependencias de la organización donde está
implementada dicha red [1].
El canal de las redes inalámbricas, al contrario que en las redes cableadas
privadas, debe considerarse inseguro. La escucha de informaciones transmitidas y
la inyección de nuevos paquetes o modificación de los ya existentes obligan tener
las mismas precauciones que se tienen para el envío de datos a través de Internet
[8, 10].
Conscientes de este problema, varias publicaciones y normas sobre soluciones,
métodos o mecanismos de seguridad fueron presentadas de parte de
investigadores y expertos[11]:
En 1999 surge el protocolo de privacidad equivalente al cable (WEP 1 ), basado
en el mecanismo de encriptación RC4 1 . Este ha sido roto de distintas formas, lo
que lo ha convertido en una protección inservible.
En 2004 [4] se aprobó la 802.11i como una nueva norma por parte de la IEEE
para dotar de suficiente seguridad a las WLANs. Antes de la intervención de la
IEEE con la 802.11i, fueron aplicados mecanismos como las redes privadas
virtuales (VPNs 1 ) para asegurar los extremos de la comunicación, por ejemplo
mediante IPSec (Internet Protocol Security), pero la tecnología era demasiado
costosa en recursos para su implementación en redes WLANs.
No ajena a las necesidades de los usuarios, la asociación de empresas WiFi
decidió lanzar un mecanismo de seguridad intermedio hasta que estuviese
disponible la 802.11i, tomando aquellos aspectos que estaban suficientemente
avanzados en el desarrollo de la norma. El resultado, en 2003, fue el acceso
protegido WiFi (WPA 1 ) [7].
1 Ver Siglario 11

Introducción
Por otra parte, estudios realizados por investigadores y expertos en el campo de la
seguridad recomiendan la implementación de mecanismos adicionales como la
realización de listas de acceso (acl 1 ), ocultamiento de SSID (Service Set
Identification) de los puntos de acceso (AP 1 ) entre otros, para fomentar el
ocultamiento de agujeros a intrusos[11].
Sin embargo, el desarrollo exponencial de herramientas de descubrimiento y
diagnóstico de redes WiFi (Kismet, NetStumber, Nessus entre otros), así como los
mecanismos de capturas e inyección de tráfico en redes, hacen posible a intrusos
capacitados romper las acl’s (modificando la dirección MAC 1 de una tarjeta por
otra válida obtenida previamente por Kismet u otro), las claves WEP y WPA
mediante análisis de paquetes capturados [7].
Otros ataques son de Denegación de Servicio (DoS 1 ) entre la Estación Móvil y el
punto de acceso, debido a la suplantación (por sniffer) del AP, el descubrimiento
de ESSID 1 ocultos (por escucha del tráfico de la red o provocado por la
desconexión de un cliente) , los ataques hombre en el medio (por la aparición de
los conmutadores que dificultan el empleo de sniffers) así como los de exploración
de la red (por enumeración de objetivos y escaneo de puertos) demuestran una
vez más las vulnerabilidades a las cuales están expuestas las redes
inalámbricas[11].
De hecho, los expertos de control y gestión de seguridad orientaron las luces y
direcciones de sus naves de investigación hacia la búsqueda de mecanismos
adicionales de seguridad que mejor se adaptan a la situación.
En ese aspecto, se destacan los mecanismos de detección de intrusiones; sin
embargo, aquellos implementados hasta el momento, tanto los basados en el uso
indebido como en la detección de anomalías, no utilizan la información de tramas
de los protocolos inalámbricos, dejando ataques propios de estas redes que no
son detectados.
1 Ver Siglario 12

Introducción
Por eso, el presente trabajo consideró como problema de investigación, la
necesidad de disponer técnicas para detectar los ataques que se realizan
empleando los protocolos de la capa de enlace de las redes WLANs.
La obtención de un IDS que detecta intrusiones en la capa de enlace constituye un
gran avance en la solución de los problemas de inseguridad de las redes
inalámbricas, ya que la capa de enlace es la que caracteriza el acceso al medio
inalámbrico.
Para solucionar este problema se consideró como objeto de estudio, la seguridad
en las redes WLANs, y como campo de acción la detección de intrusiones
basado en el comportamiento de los protocolos del nivel de enlace.
El objetivo principal de la investigación es obtener soluciones o alternativas para
la detección de intrusiones en la capa de enlace de las redes WiFi, basándose en
el análisis de la información de las tramas de control y de gestión de la 802.11; y
como objetivo específico estudiar y analizar los campos y protocolos de la trama
MAC a fin de detectar debilidades (vulnerabilidades) y otros parámetros que
permitan obtener algoritmos que detecten intrusiones a este nivel.
Como hipótesis, se plantea que el estudio y análisis de la información y
comportamiento de la trama MAC del 802.11, así como el descubrimiento de
vulnerabilidades existentes en sus paquetes de control y de gestión permitirían
obtener soluciones o alternativas que detecten intrusiones en esas redes.
La novedad de los resultados radica en la detección de vulnerabilidades en los
paquetes de control y de gestión en la capa de enlace de la 802.11 y la obtención
de algoritmos validados por un Script que detecten intrusiones, productos de
dichas vulnerabilidades.
Para comprobar la hipótesis y conseguir los objetivos se realizaron las siguientes
tareas generales:
1 Ver Siglario 13

Introducción
Análisis del estado del arte de las redes WLANs y de los problemas de
seguridad en ellas.
Valoración de los mecanismos de defensa y estándares de seguridad
existentes para redes WiFi.
Análisis de la información y comportamiento de los campos de protocolos
MAC de la 802.11.
Determinar y comprobar la existencia de vulnerabilidades en los paquetes
de control y de gestión de la 802.11.
Analizar efectos del mal uso de dichas vulnerabilidades mediante realización
de ataques inherentes de ellas.
Proponer algoritmos de detección de intrusos usando debilidades de las
tramas de control y de gestión de la 802.11.
Estudio y selección de un método de detección de intrusión.
Implementación de los ataques debido a vulnerabilidades de los paquetes
de control y de gestión, mediante inyección de paquetes.
Capturas y análisis de paquetes mediante empleo de Wireshark
Implementación del Script de detección en Python para la validación de los
algoritmos propuestos.
Entre los métodos utilizados en la investigación se encuentran:
El Método teórico, realizando revisiones bibliográficas sobre la
fundamentación teórica de los sistemas de detección de intrusiones y el
estado actual de esta tecnología.
El Método empírico, realizando varios ataques de DoS (ataques de CTS 1
falso, RTS 1 , de Des-autenticación y de Des-asociación) para determinar,
mediante un análisis de resultados, qué variantes ofrecen peor
comportamiento a fin de seleccionar características para el Script de la
detección.
1 Ver Siglario 14

Introducción
El Método de consenso, evidenciado por la evaluación del Script que valida
los algoritmos propuestos para observar su funcionamiento y llegar a
conclusiones sobre su validez y efectividad.
El presente documento consta de una introducción, un desarrollo dividido en tres
capítulos que constan de una introducción, un desarrollo y conclusiones del
capítulo, conclusiones generales, recomendaciones, referencias bibliográficas y
anexos.
A continuación se resume el contenido de cada capítulo.
Capítulo I: Estado del arte de la seguridad de las tecnologías WLANs. Los
sistemas de detección de intrusiones inalámbricas (WIDS 1 ) como
mecanismo de seguridad. Se revisarán los productos que detectan en redes
WiFi, un estudio breve de los productos WLANs en la actualidad y un
análisis de los problemas y soluciones de seguridad.
Capítulo II: Estudio de los protocolos y trama WiFi, demostrando
vulnerabilidades en los paquetes de control y de gestión, así como la
representación de los ataques inherentes a esas vulnerabilidades.
Capítulo III Reservado para la propuesta de los algoritmos de detección, la
implementación del Script para la validación de esos algoritmos.
1 Ver Siglario 15

Capítulo I: Estado del arte de la seguridad de las Redes WiFi.
Capítulo I
Estado del arte de la seguridad
Actuar sobre la realidad y
cambiarla, aunque sea un
poquito, es la única manera de
de las Redes WiFi
probar que la realidad es
transformable.
Eduardo Galeano.
16

Capítulo I: Estado del arte de la seguridad de las Redes WiFi.
Capítulo I: Estado del arte de la seguridad de las Redes WiFi.
Introducción
En el área de las telecomunicaciones, las redes inalámbricas han impuesto su
implementación en lugares donde el cableado es una limitante, transformándose
así en un segmento considerable en ese ámbito. Eso lo debe a su flexibilidad,
escalabilidad y su facilidad de implementación. Sin embargo, sus diversas
ventajas aparejan el gran inconveniente en cuanto a sus vulnerabilidades de
seguridad.
En este capítulo, se hará un estudio breve sobre los aspectos generales de las
tecnologías WLANs, un análisis de los problemas y soluciones de seguridad en la
redes WiFi.
1.1 Tecnologías inalámbricas. Aspectos generales
Exponencialmente, las redes inalámbricas se están introduciendo en el mercado
de consumo gracias a precios populares y a un conjunto de entusiastas,
mayoritariamente particulares, que han visto enormes posibilidades en esta
tecnología [4, 6].
A pesar de las preocupaciones de la crisis económica mundial, la industria de las
tecnologías inalámbricas disfruta de los nuevos avances científico-técnicos,
gracias a la satisfacción de sus usuarios en el tema de la movilidad e integración
de los servicios. Eso lo debe a los avances de la microelectrónica y la
miniaturización de los circuitos integrados [3].
En la Tabla 1.1, se presentan las tecnologías de transmisión inalámbricas de datos
de mayor interés, comparando aspectos más generales entre ellas [6].
1 Ver Siglario 17

Capítulo I: Estado del arte de la seguridad de las Redes WiFi.
Tabla 1. 1 Aspectos generales de diversas tecnologías inalámbricas de las más utilizadas.
Tecnología Banda
(GHz)
Velocidad
(Mbps)
MMDS 2.5-2.7 27
(ascendente)
LMDS 2.7-31 500
IEEE
802.11b
IEEE
802.11a
(ascendente)
2.4 11 (DSSS)
2 (FHSS)
Nivel Físico MAC Alcance
OFDM/QPSK DOCSIS 30Km
PSK/QAM DAMA/TDMA 4Km
DPSK/CCK CSMA/CA 300Km
5 54 OFDM CSMA/CA 30Km
Hiperlan II 5 54 OFDM TDMA/TDD Extensible
Bluetooth 2.4 1 FHSS TDMA/TDD 10m/100m
IrDA Infrarrojo 16 PPM IrLAP/TDD 1m
Wimax En Varias
Bandas
entre 2.11
70-124 OFDM TDMA/TDD 40-70 Km
A modo descriptivo, el MMDS (Multichannel Multipoint Distribution Service) y el
LMDS (Local Multipoint Distribution Service) son tecnologías que se presentan
como una alternativa al bucle fijo de abonado, ya que proporcionan servicios de
voz y datos a los usuarios mediante enlaces inalámbricos. LMDS permite ofrecer
un gran ancho de banda, mientras que MMDS permite un mayor alcance debido a
que opera a frecuencias más bajas y con dispositivos más económicos [6].
Para redes de área personal, las tecnologías más extendidas son, entre otras,
Bluetooth e IrDA. Ofrecen un alcance menor que las redes de área local y se
suelen emplear para sustituir cables en los dispositivos más simples, aunque
también se utilizan en la creación de LANs o redes ad-hoc. Bluetooth está
adquiriendo más importancia que IrDA en la interconexión de dispositivos, debido
a que permite un mayor alcance y no requiere visibilidad directa entre los
1 Ver Siglario 18

Capítulo I: Estado del arte de la seguridad de las Redes WiFi.
dispositivos que se desean interconectarse. Se pueden producir grandes
interferencias en entornos donde conviven Bluetooth y el IEEE 802.11b, ya que
ambos trabajan en la banda de frecuencias ISM (Industrial, Scientific and Medical)
[4, 6, 12].
En cuanto al estándar IEEE 802.16x [6], conocido también como WiMAX
(Worldwide Interoperability for Microwave Access), es un estándar emergente de
gran relevancia. WiMAX es una especificación para redes metropolitanas
inalámbricas de banda ancha. Se trata de una clara alternativa al LMDS, en la que
no se consigue llegar a velocidades de transmisión tan altas pero el alcance es
mucho mayor.
Entre las características del WiMAX está la creación de enlaces punto a punto y
punto-multipunto, ofrece calidad de servicio (QoS 1 ) otorgando gran ancho de
banda para soportar varios cientos de usuarios por canal. También permite formar
redes malladas, la instalación de estaciones base muy sencilla y económica, sin
requerimiento de licencia para el uso de todas las bandas.
En la extensión 802.16e se ha añadido movilidad respecto al estándar original y
además soporta antenas que utilizan sistemas celulares de 3G, convirtiéndole así
en una alternativa al Sistema Universal de Telecomunicaciones Móviles (UMTS
Universal Moviles Telecommunications System) [6].
Por último, para las redes de área local, Hiperlan II es la alternativa del ETSI
(European Telecommunications Standards Institute) a las distintas extensiones del
IEEE 802.11. Las principales ventajas que tiene es que permite la interconexión
con redes ATM o UMTS y su seguridad. Otras características de este estándar
son que está orientado a conexión y permite calidad de servicio. En cambio, hay
menos equipos en el mercado que lo utilizan y los circuitos son más difíciles de
implementar. Por esa razón, el IEEE 802.11 lo ha superado y se ha vuelto el
estándar más innovador y popular de las últimas décadas, comprometiendo aún
1 Ver Siglario 19

Capítulo I: Estado del arte de la seguridad de las Redes WiFi.
más las industrias y las organizaciones en mejoras sustanciales con sus
extensiones como la WiFi.
1.2 Redes de Área Local Inalámbricas (WLANs).
Las redes de área local inalámbricas tienen alcance geográfico limitado. El IEEE
define el estándar 802.11 para regular las WLANs. Suelen utilizarse
conjuntamente con redes cableadas, ya sea como red de interconexión entre
distintas redes alambradas, o en casos de emergencia, debido a que haya
congestión en las mismas [3].
Figura 1. 1 Ejemplo de aplicación de las WLANs [3].
1.2.1 El estándar 802.11. La WiFi
Miembro de la familia de la 802, la 802.11 define las especificaciones establecidas
por el IEEE para las redes inalámbricas, enfocadas en los dos niveles inferiores
del modelo de interconexión de sistemas abiertos (OSI 1 ): los niveles físico y de
enlace [7].
1 Ver Siglario 20

Capítulo I: Estado del arte de la seguridad de las Redes WiFi.
Con el tiempo, este estándar ha sido mejorado creando extensiones de la misma.
Estas extensiones son reconocidas por una letra adicional a la norma 802.11
original, incluyendo al 802.11a, 802.11b y 802.11g cuyas características se
detallan en la tabla 1.2 [3].
Tabla 1. 2 Características de las tres ramificaciones de las normas WLAN IEEE.
Compatibilidad Compatible con
Número de
Canales
Alcance típico en
Interiores
Alcance típico en
Exteriores (Línea
de vista)
802.11b 802.11g 802.11a
IEEE 802.11b
Wi-Fi
CERTIFIED
3 sin
superposición
100 ft (30 m)
a 11 Mbps:
300 ft(91 m)
a 1 Mbps
400 ft (120 m)
a 11 Mbps;
1500 ft (460 m)
a 1Mbps
Velocidades 11,5.5,2,y
1Mbps
Modulación Direct
Sequence
Spread (DSSS)
2.4 GHz
Compatible con
IEEE 802.11b y
802.11g Wi-Fi
CERTIFIED
3 sin
superposición
100 ft (30 m)
a 54 Mbps;
300 ft (91 m)
a 1 Mbps
400 ft (120 m)
a 54 Mbps;
1500 ft (460 m)
a 1 Mbps
54,48,36,24,18,
12,9 y 6 Mbps
Orthogonal
Frequency
Division
Multiplexing
(OFDM), 2.4 GHz
Compatible con
IEEE 802.11a Wi-
Fi CERTIFIED
8 sin superposición
(4 en algunos
países)
40 ft (12 m)
a 54 Mbps;
300 ft (91 m)
a 6 Mbps
100 ft (30 m)
a 54 Mbps ;
1000 ft (305 m)
a 6Mbps
54,48,36,24,18,
12, 8, y 6 Mbps
Orthogonal
Frequency
Division
Multiplexing
(OFDM), 5 GHz
1 Ver Siglario 21

Capítulo I: Estado del arte de la seguridad de las Redes WiFi.
La alianza WiFi, una organización sin fines lucrativos formada en 1999 para
certificar la interoperabilidad entre productos del estándar 802.11, promueve los
artículos WiFi. Es el estándar global para redes LANs inalámbricas en todos los
segmentos de dicho mercado. El nombre proviene de la certificación WiFi que
asegura la compatibilidad de los productos 802.11[3, 5]. Por eso que en el
presente trabajo se enfoca principalmente en las certificaciones WiFi, garantía de
la interoperabilidad de los productos WLANs.
Según reportes 2009 de State-of-the-Market de Webtutorial [13], la tecnología WiFi
sigue dominando en el mercado. Más del 56% de la población empresarial e
instituciones encuestadas están equipados de productos WiFi protegidos; el 85%
de las empresas tienen implementadas redes WiFi, un 59% fue referido al empleo
de estas tecnologías en otras áreas de la sociedad (aeropuertos, los sitios de café,
lugares de negocios, oficinas pequeñas, entre otros). Estas estadísticas
promueven un acenso considerable en la economía de las industrias tecnológicas
y también del sector empresarial.
Adicionalmente, se ha incrementado el número de aplicaciones corrientes en la
tradicional WiFi: menos los servicios de voz sobre el protocolo de internet (VoIP 1 )
de videoconferencias, streamming de video, los otros servicios como E-Mail, el
acceso a internet entre otros siguen inclinando varios usuarios hacia esa
tecnología. Por otro lado, los niveles de satisfacción más elevados de los usuarios
en este año quedan dados por la confiabilidad (64%), la seguridad (61%) y el
desempeño de esas redes (36%). En la Tabla 1.3, se representa estos atributos.
1 Ver Siglario 22

Capítulo I: Estado del arte de la seguridad de las Redes WiFi.
Tabla 1.3 Despliegue de las aplicaciones en las redes WiFi [13].
1.2.2 Configuraciones WLAN
Top WiFi Applications
Application Already Deploying
(2009)
Figura 1. 2 Nivel de satisfacción de los usuarios [13].
Already Deploying
(2008)
E-mail 87% 82%
Core Business (CRM,
ERP, SFA, etc.)
Guest intranet Internet
access
Employee Intranet
Internet access
59% 47%
76% 71%
83% 81%
VoIP 30% 37%
Use of Traditional enterprise Wi-Fi, except for voice, is growing steadily
Básicamente existen 2 tipos de configuraciones en las WLAN: ad hoc y en modo
infraestructura. A continuación se explicarán en qué consisten estas dos
configuraciones.
1
Ver Siglario 23

Capítulo I: Estado del arte de la seguridad de las Redes WiFi.
Configuración redes ad-hoc
Es la configuración más básica, en la que todos los dispositivos que forman la
WLAN son considerados iguales y no hay ninguna jerarquía. También se conoce
como IBSS (Independent Basic Service Set), en la que el BSS es el bloque
mínimo de una WLAN.
Esta red ad-hoc está formada por dos o más BSS que tienen instalada una tarjeta
adaptadora para comunicaciones inalámbricas. Para que se puedan comunicar
entre ellos es necesario que se vean de manera directa, es decir, que estén en el
mismo radio de cobertura.
Modo infraestructura.
Figura 1. 3 WLAN en modo ad hoc
La WLAN queda integrada en una red fija. En este caso, los distintos nodos
inalámbricos deben asociarse a un AP (Access Point) para obtener servicios de la
red. En la asociación se genera un proceso en el que el BSS queda ligado a la red
IEEE 802.11.
Figura 1. 4 WLAN en modo infraestructura [12].
1 Ver Siglario 24

Capítulo I: Estado del arte de la seguridad de las Redes WiFi.
El AP, aparte de realizar funciones de puente entre las redes inalámbricas y las
cableadas, es un dispositivo inteligente que realiza las operaciones de asignación
de direcciones, la especificación de niveles de prioridad y el control de carga del
sistema.
Esas redes, tanto de tipo ad hoc como de infraestructura, carecen de problemas
de seguridad que han de ser analizados.
1.3 Seguridad en las WLANs
A medida que las empresas se adaptan progresivamente a las tecnologías móviles
y que la presencia de las redes inalámbricas es cada vez mayor, el tema de la
seguridad se convierte en una creciente preocupación para los organismos,
entidades empresariales e instituciones gubernamentales[10, 14].
Los departamentos de seguridad se enfrentan a diario al reto de mantener las
redes inalámbricas de forma rentable y con niveles de rendimiento óptimo,
garantizando la integridad y protegiendo los activos digitales frente a posibles
robos o abusos, siempre dentro del marco de las normas gubernamentales y
económicas correspondientes[1, 8, 15].
Por ese motivo, y de acuerdo a los objetivos de esta investigación, cabe aclarar y
discutir temas relacionados a problemas e incidentes de seguridad, los ataques a
los cuales están sometidas, así como algunos mecanismos implementados en la
actualidad para contrarrestar estos problemas a fin de obtener ideas y/o
conclusiones consistentes de seguridad aplicable para el cumplimiento de los
objetivos de esta tesis.
1.3.1 Problemas de seguridad en las WLANs.
Con la evolución de las industrias tecnológicas, crecen las vulnerabilidades en los
equipos y sistemas de comunicación. Mencionar reportes de algunos organismos
o equipos nacionales e internacionales, basados en la elaboración de respuestas
1 Ver Siglario 25

Capítulo I: Estado del arte de la seguridad de las Redes WiFi.
a los incidentes de seguridad en cómputo, conocido como los Equipos de
Respuesta a los Incidentes de Seguridad en Cómputo (CSIRT 1 ) así como reportes
provenientes de instituciones como el Instituto de Seguridad de Computadoras
(CSI) y del Buró Federal de Investigaciones (FBI 1 ), conjuntamente conocido como
el CSI/FBI, sería de suma importancia.
Incidentes de seguridad según los informes del CSI/FBI
El Instituto de Seguridad de Computadoras (CSI 1 ) con la participación del Buró
Federal de Investigaciones (FBI: Federal Bureau of Investigation) de San
Francisco, desde el año 1995 realiza en forma anual un estudio de seguridad y
crímenes de computadoras, y los publica en el CSI/FBI Computer Crime And
Security Survey, gracias a las encuestas hechas en los centros de los Equipos de
Respuesta a los Incidentes de Seguridad en Cómputo y otros [8, 16].
A continuación se tomarán los datos estadísticos del año 2008 y se considerarán
los siguientes aspectos:
El número de incidentes.
Tipos de incidentes.
Uso de soluciones de seguridad.
Acciones tomadas frente a los incidentes, entre otros.
En este año 2008 el estudio se basó en las respuestas de 522 participantes, todos
practicantes de la seguridad de cómputo en las áreas corporativas, industriales, de
gobierno, financieros, instituciones médicas y universidades.
Número de Incidentes
Según los resultados de las preguntas realizadas a los 522 participantes, se
observó que 47% (ver figura 1.5) de los encuestados han sufrido de 1 a 5 ataques
en 2008, contra 40% en 2007, 48% en 2006, 43% en 2005 y casi 47% igual en
2004.
1 Ver Siglario 26

Capítulo I: Estado del arte de la seguridad de las Redes WiFi.
Figura 1. 5 Histograma del número de incidentes [16].
Las demás conclusiones se destacan claramente en el histograma (cuando el
número de los incidentes está entre 6 a 10 y mayores que 10) y se llega a la
conclusión de que se registran avances con respecto a soluciones de seguridad
aplicadas [16].
Tipos de incidentes
En el mismo marco de accesibilidad a informaciones pertinentes para la garantía
de las políticas de seguridad, el reporte realizó encuestas relativas a los tipos de
incidentes y solo 433 de los 522 encuestados brindaron respuestas a la
problemática. El resumen se identifica en la figura 1.6.
A diferencia de los incidentes relacionados a fraudes financieras y servidores de
nombre de dominio (DNS 1 ), los incidentes relacionados a los demás tipos han
decrecido considerablemente desde el año 1999 hasta la elaboración de este
reporte en 2008: virus de 90 a 50%, abusos dentro del organismo de 100 a 44%,
incidentes dirigidos a laptops y otros dispositivos de 70 a 42% entre otros.
Acciones tomadas frente a los incidentes
A este nivel, sólo se tuvieron respuesta de 295 dentro de los 522 encuestados y
los resultados fueron los siguientes: 60% relativos a la espera de identificación del
perpetrador a fin de tomar medidas pertinentes, 46% en la instalación de nuevos
parches de los software de seguridad, 24% no reportan a las agencias de
1 Ver Siglario 27

Capítulo I: Estado del arte de la seguridad de las Redes WiFi.
reforzamiento de seguridad, sólo reportan dentro de la organización, 27% informan
a las agencias de reforzamientos de seguridad entre otros.
Figura 1. 6 Incidentes de seguridad [16]
Figura 1. 7 Representación de las acciones tomadas frente a un incidente de seguridad [16].
1.3.2 Ataques a redes WLANs
Desde el Wardriving y el Warchalking (técnicas de descubrimiento de redes: en
auto y a pie respectivamente) [10], las WLANs han sido expuestas a ataques de
diversos tipos que, de una manera u otra, han obligado a los expertos orientar sus
1 Ver Siglario 28

Capítulo I: Estado del arte de la seguridad de las Redes WiFi.
esfuerzos en la búsqueda de soluciones factibles. Dentro de esos ataques se
destacan [10]:
Black hole attack: conocido como el Ataque de agujero negro, producido por
escucha de paquetes de solicitud de ruta en la red, simulando tener la ruta
más corta hacia el nodo destino. Resultado: desvío del tráfico de la red hacia
el nodo malicioso y descarte de los paquetes que recibe.
Routing request flooding attack: también conocido como Ataque de
inundación de solicitud de ruta. Como su nombre le indica, consiste en
inundar deliberadamente la red con mensajes sin sentido de descubrimiento
de rutas, por parte del intruso, para malgastar el ancho de banda de la red e
inutilizarla [10].
Ataque de desestabilización de solicitud de ruta (Routing request
disrupt attack): Es levemente diferente al ataque de inundación de solicitud
de ruta. Aquí un nodo malicioso desestabiliza deliberadamente la ruta entre
un nodo fuente seleccionado al azar y un nodo destino, mediante el envío de
paquetes de solicitud de ruta. El propósito es acabar el ancho de banda de la
red y desequilibrar la ruta entre el nodo fuente y el nodo destino.
Ataque de agujero de gusano (Wormhole attack): Es un ataque más
sofisticado llevado a cabo por un par de nodos maliciosos que crean un túnel
entre ellos. Cuando el atacante recibe un paquete, lo encapsula y lo envía a
través del túnel. El otro atacante remueve el encapsulado y lo reenvía a la
red. Cuando el paquete reenviado llega a su destino, parece haberlo hecho
por una trayectoria más corta, porque los saltos entre los dos atacantes no
son contados. Mediante este tipo de ataque, los atacantes pueden controlar
los datos que aparecen en la red [17].
Ataque de des-autenticación (De-authentication attack): El atacante
falsifica una trama de des-autenticación, como si ésta fuera originada desde
el punto de acceso. Al recibirla, la estación se desconecta y trata de
reconectarse nuevamente a la estación base. Este proceso es repetido
indefinidamente para mantener a la estación desconectada de la estación
1
Ver Siglario 29

Capítulo I: Estado del arte de la seguridad de las Redes WiFi.
base. El atacante puede también asignar a la dirección de recepción la
dirección de difusión, de esta forma puede atacar a todas las estaciones
asociadas con la estación base víctima. Este ataque también afecta al punto
de acceso. No obstante, se ha comprobado que algunas tarjetas de red
inalámbricas ignoran este tipo de tramas de des-autenticación [18].
Ataque de troceado (Chop Chop attack): El atacante intercepta una trama
encriptada y utiliza el punto de acceso para adivinar el texto original. Después
le corta a la trama encriptada interceptada su último byte, y construye una
nueva trama un byte menor que la original. Con el propósito de establecer el
valor correcto del ICV (Integrity Check Value), el atacante hace una
suposición del último byte eliminado y para validarla envía la nueva trama a la
estación base, utilizando para ello la dirección de difusión de la red como
destino. Si la trama no es válida y la suposición es incorrecta, la misma es
silenciosamente descartada por el punto de acceso. La trama con la
suposición correcta será retransmitida a la red. El intruso puede entonces
validar la suposición realizada. La operación es repetida hasta que todos los
bytes de la trama original son descubiertos [18].
Ataque de duración (Duration attack): El atacante envía una trama con el
campo NAV (Network Allocation Vector) fijado en un valor alto (32 ms). Esto
evita que cualquier estación utilice el medio compartido antes que el tiempo
NAV llegue a cero. Antes de la expiración del contador, el atacante envía otra
trama con iguales características. Repitiendo este proceso, el atacante puede
denegar acceso a la red inalámbrica [18].
Para dar solución a algunas preocupaciones de inseguridad de las WLANs, se
implementaron algunos mecanismos que se adaptaron mejor a la situación.
1 Ver Siglario 30

Capítulo I: Estado del arte de la seguridad de las Redes WiFi.
1.3.3 Mecanismos de seguridad implementados en las WLANs.
Según las búsquedas y revisiones bibliográficas realizadas en esta investigación,
los siguientes mecanismos de seguridad son los más utilizados en las redes
WLANs. La validez o aceptación de uno u otros depende del entorno de aplicación
y de los beneficios e interés de los atributos de seguridad en la red en donde se
está implementando dicho mecanismo. A continuación se enumeran esos
mecanismos presentando los desafíos a los cuales están expuestos [7, 10, 14]:
Filtrado de direcciones MAC, ya obsoleto por la posibilidad de cambiar la
dirección MAC del intruso a una válida, señalado anteriormente.
La Privacidad Equivalente al Cableado (encriptación WEP),
lamentablemente obsoleto, dando lugar a herramientas como Airsnort
romper la clave de una red protegida.
El Acceso Protegido WiFi (WPA) y Acceso Protegido WiFi 2 (WPA2),
con mejores resultados en la protección de la información bastante
aceptable que sus predecesor WEP y WEP+.
Implementación de los Cortafuegos debilitados por el rompimiento de los
acl.
Las Redes Privadas Virtuales, que presentan un problema de
presupuesto (por su costo de implementación).
Estándar IEEE 802.1x, bastante aceptable con la implementación de
servidores RADIUS, mecanismo propuesto en [7].
El Protocolo de Integridad de Clave Temporal.
Según el reporte del CSI/FBI del año 2008, la Figura 1.8 ilustra la aplicación de los
mecanismos de seguridad. En ese sentido, se refleja el uso de mecanismos como
la aplicación del Firewalls (98% en 2006, 96% en 2007 y 94% en 2008), los anti-
virus (97% en 2006 y 2008 y 98% en 2007) así como los VPN (83% en 2007 y
85% en 2008).
1 Ver Siglario 31

Capítulo I: Estado del arte de la seguridad de las Redes WiFi.
Figura 1. 8 Uso de soluciones de seguridad [16].
Los mecanismos de seguridad mencionados no solucionan todos los ataques
tradicionales de redes inalámbricas, ni tampoco los expuestos anteriormente en
esta tesis, haciéndose cada vez más necesario contar con otras soluciones o
alternativas que sea capaz de detectar en tiempo real las intrusiones, a fin de
contrarrestar sus efectos.
1.4 Sistemas de Detección de Intrusiones como mecanismo de seguridad.
La detección de intrusiones es el proceso a través del cual se monitorean los
eventos que ocurren en un sistema o red de computadoras para analizarlos en
busca de intrusiones. Las intrusiones son intentos que comprometen la
confidencialidad, integridad, disponibilidad, o que burlan los mecanismos de
seguridad implantados. Los Sistemas de Detección de Intrusiones (IDS 1 ), son
productos de software y/o hardware que automatizan este proceso de monitoreo y
análisis [19, 20], y constituyen una importante línea de defensa en la protección de
los recursos de la red ante accesos no autorizados.
Tradicionalmente, la técnica utilizada en los IDS, se basa en la definición de
patrones que permiten identificar ataques conocidos. Estos sistemas tienen
determinadas desventajas asociadas al uso de reglas [19]:
1 Ver Siglario 32

Capítulo I: Estado del arte de la seguridad de las Redes WiFi.
Deben ser actualizados continuamente.
No pueden detectar ataques desconocidos.
No son capaces de detectar las variaciones de los perfiles de
comportamiento normal del sistema, las cuales podrían constituir
intrusiones.
El tiempo entre el descubrimiento de un nuevo ataque y la publicación de
los patrones no es siempre el menor, por lo que dejan un marco de posibles
incidentes en los sistemas.
Existen ataques que no pueden ser descritos en patrones.
Por lo tanto, los IDS actuales resultan ineficientes en la detección de nuevos
ataques, y como consecuencia, los sistemas pueden ser vulnerables a
determinadas intrusiones. Por lo que se hace necesario la utilización de otras
técnicas de reconocimiento de patrones, que provean a los IDS inteligencia para
detectar variaciones en los ataques, nuevos patrones y desviaciones en los
perfiles de comportamiento del sistema [19, 20].
Los sistemas adaptables se han propuesto como una solución a los problemas
enunciados. Estos se basan en la detección de anomalías, suponiendo que
cualquier suceso fuera de lo normal es intrusión. Son herramientas más
complejas, donde se trata de incorporar técnicas de inteligencia artificial que
permitan reconocer y aprender nuevos ataques.
1.4.1 Funcionamiento de los IDS
Un sistema de detección de intrusos es un producto de software o un dispositivo
de hardware que automatiza el proceso de detección de intrusiones. Sin esta
automatización, resulta prácticamente imposible una detección efectiva. La
capacidad de un IDS de incorporar experiencia de los ataques más recientes, para
discriminar una pequeña porción de eventos potencialmente importantes de la
enorme cantidad de actividades normales, permite una gestión de seguridad más
efectiva y facilita una respuesta a tiempo [19].
1
Ver Siglario 33

Capítulo I: Estado del arte de la seguridad de las Redes WiFi.
A continuación se definen las funciones fundamentales de los IDS [20]:
Monitorizar y analizar las actividades de los usuarios y el sistema.
Auditar la configuración del sistema y sus vulnerabilidades.
Evaluar la integridad de los sistemas críticos y de los archivos de datos.
Reconocer patrones de actividad que reflejen ataques.
Realizar un análisis estadístico de patrones de actividad anormal.
Existen dos tipos de errores que son importantes conocer en la detección de una
intrusión:
Falsos positivos: también conocidos como falsas alarmas. Estos errores
ocurren cuando el IDS interpreta el tráfico y las actividades normales como
ataques.
Falsos negativos: estos errores ocurren cuando el sistema de detección
clasifica la actividad intrusiva como normal, por lo que el ataque pasa
desapercibido.
Los falsos positivos reducen la productividad del sistema, pues demandan muchos
recursos del personal de seguridad para atender falsas alarmas. Por su parte, los
falsos negativos son errores difíciles de detectar, pues el sistema asume el ataque
como una actividad ordinaria. Estos errores son los más peligrosos y los que
mayores pérdidas causan a las entidades [21].
El principal objetivo de los IDS es alcanzar altas tasas de detección de ataques
con pocos falsos positivos. Los sistemas de detección de intrusos utilizados
actualmente todavía están algo lejos de alcanzar este objetivo.
1.4.2 Componentes funcionales de los IDS.
Las herramientas que implementan la tecnología de detección de intrusos poseen,
de forma general, tres componentes fundamentales: los sensores, los
analizadores y la interfaz de usuario.
1 Ver Siglario 34

Capítulo I: Estado del arte de la seguridad de las Redes WiFi.
Sensores: son los encargados de coleccionar datos de interés y enviarlos
a los analizadores. Esta información puede ser obtenida de cualquier parte
del sistema que contenga evidencias de intrusiones, por ejemplo, paquetes
provenientes del análisis de tráfico, trazas del sistema, entre otros.
Analizadores: reciben información de los sensores o de otros
analizadores. Su responsabilidad fundamental es determinar si ha ocurrido
o está ocurriendo una intrusión y presentar pruebas de esta afirmación.
Como resultado de su trabajo debe indicar el tipo de intrusión detectada y,
en muchos casos, proponer o ejecutar un grupo de acciones que permitan
contrarrestarla.
Interfaz de usuario: permite al administrador de seguridad ver las salidas
del sistema y controlar su comportamiento.
1.4.3 Clasificaciones
En la actualidad se encuentran disponibles muchos tipos de IDS, caracterizados
por diferentes métodos de análisis y monitorización. Cada uno tiene distintos usos,
ventajas y desventajas.
A continuación se muestra (figura 1.9) un esquema de diferentes clasificaciones
de IDS de acuerdo a tres parámetros distintos: Fuente de información, Método de
detección y Tipo de respuesta. Para más detalles, ver [19].
Figura 1. 9 Esquema de clasificaciones de IDS [19].
Por motivos planteados en los objetivos principales de esta investigación, se hará
énfasis en la clasificación basada en el modelo de detección (en el análisis).
1 Ver Siglario 35

Capítulo I: Estado del arte de la seguridad de las Redes WiFi.
Clasificación según el Análisis
La información obtenida por los sensores es analizada para identificar intrusiones.
Principalmente se utilizan dos técnicas de detección, la detección basada en
patrones y la detección basada en anomalías. La detección basada en patrones es
la técnica más usada en los sistemas comerciales [19].
Sin embargo, la detección basada en anomalías es el tema de muchas
investigaciones actuales y es usada por un número limitado de IDS.
Detección basada en patrones
El método de detección basado en patrones utiliza información sobre los ataques
conocidos, las políticas de seguridad y las vulnerabilidades del sistema que
monitoriza. En este análisis, también conocido como detección de mal uso, se
compara la actividad de la red o de los datos de auditoría del sistema con una
base de datos de patrones de ataques o de otros indicadores de mal uso y, si
coinciden, se generan alarmas.
Ventajas
Los IDS basados en patrones son muy efectivos detectando ataques sin
generar un número notable de falsas alarmas.
Los sistemas de detección del mal uso pueden diagnosticar rápidamente el
uso de una técnica de ataque o herramienta específica, facilitando al
personal de seguridad la toma de medidas de corrección.
Pueden brindar información detallada acerca de la intrusión detectada.
Desventajas
Los IDS basados en patrones deben ser actualizados constantemente con
los patrones de los nuevos ataques.
Muchos de los IDS que utilizan esta técnica de detección tienen definidos
patrones para detectar ataques específicos, por lo que son incapaces de
detectar variantes de estos.
1 Ver Siglario 36

Capítulo I: Estado del arte de la seguridad de las Redes WiFi.
Detección basada en anomalías
Los IDS basados en anomalías detectan los ataques identificando el
comportamiento inusual (anómalo) de una computadora o de una red, pues se
sustentan en el principio de que cualquier suceso fuera de lo normal puede
considerarse una intrusión. Para la detección de anomalías se debe establecer
primeramente cuál es el comportamiento normal de los sistemas mediante la
realización de perfiles; detectando como intrusión cualquier desviación significativa
de las actividades del sistema con respecto a los perfiles definidos. Los perfiles se
pueden construir haciendo uso de datos históricos sobre la actividad de un
sistema y/o de especificaciones sobre el comportamiento deseado de usuarios y
aplicaciones.
Los IDS que utilizan la detección de anomalías se conocen como IDS adaptables,
son sistemas más complejos que incorporan técnicas de inteligencia artificial para
reconocer y aprender nuevos ataques. Su desarrollo se encuentra principalmente
enmarcado en entornos de investigación.
Ventajas
Los IDS basados en anomalías detectan cualquier comportamiento inusual
de los sistemas, por lo que son capaces de detectar ataques sin
conocimiento previo de los mismos.
Tienen la habilidad de producir información que luego puede emplearse en
la definición de nuevos patrones.
Desventajas
El método de detección basado en anomalías produce usualmente un gran
número de falsas alarmas debido a la naturaleza impredecible del
comportamiento de usuarios y sistemas.
Frecuentemente se requiere de largos períodos de entrenamiento con la
información de los eventos del sistema para poder establecer perfiles de
comportamiento normal.
1 Ver Siglario 37

Capítulo I: Estado del arte de la seguridad de las Redes WiFi.
Algunos sistemas no brindan información detallada sobre la anomalía
detectada.
Estos problemas son difíciles de resolver completamente debido a que,
independientemente de la técnica empleada, siempre existirá un margen de error
a la hora de clasificar un determinado evento como ataque.
1.5 Productos WIDS y trabajos precedentes
El tema de la detección de intrusiones fué abordado en los epígrafes anteriores
donde se llegó hasta la clasificación de los IDS. En ese epígrafe se dará a conocer
algunos productos WIDS existente, los protocolos que utilizan y se mencionarán
algunos trabajos precedentes realizados sobre el tema de la detección en la capa
MAC de la 802.11.
1.5.1 Productos WIDS actuales
Como las redes inalámbricas tienen características diferentes a las redes
cableadas, las técnicas de detección de intrusos empleadas en estas últimas no
resultan suficientes ni efectivas al ser empleadas sin adaptación a las WLANs, lo
cual hace necesario que se introduzcan modificaciones a estas técnicas para
adaptarse a las diferencias estructurales y comportamiento existentes entre ambos
tipos de redes [22, 23].
Los Sistemas de Detección de Intrusiones en Redes Inalámbricas (WIDS 1 ) son
desarrollados para su empleo específicamente en dichas redes.
Existen varios productos WIDS disponibles actualmente, entre los cuales se puede
citar el Cisco Secure, el CMDS (Computer Misuse Detection System), Dragón
Sensor, y otros de libre distribución como Snort-wireless, Tripwire, SALDI y Bro
[10, 22].
Por otra parte, el sistema de prevención inalámbrico contra intrusos (IPS 1 ) de
Symbol ofrece a los profesionales de las tecnologías de información las
1 Ver Siglario 38

Capítulo I: Estado del arte de la seguridad de las Redes WiFi.
herramientas necesarias para garantizar la protección constante de las WLANs
frente a las amenazas externas, así como la posibilidad de realizar un seguimiento
del rendimiento de esas redes. Carecen de funcionalidades de detección de
intrusos en tiempo real, desde cualquier origen no autorizado en redes 802.11, de
evaluación de las vulnerabilidades para identificar los puntos débiles de la red
como problemas de configuración en dispositivos e implementaciones de
encriptación de baja seguridad entre otros [24].
También, la herramienta Hottspotter [25] utiliza una solución similar al Airsnort
pero reacciona autónomamente frente a las búsquedas realizadas por los clientes
de redes desprotegidas.
BlueSecure ofrece una línea completa de productos que satisfacen los requisitos
mínimos de confianza incluyendo acceso seguro de invitados, autenticación
universal, refuerzo de políticas y roles de usuario granulares, coexistencia con
entornos heterogéneos, detección de intrusiones y auto garantía de IDS/IPS para
infraestructura RF [26].
Los protocolos soportados en esos sistemas son generalmente a nivel de
aplicación (TCP/IP 1 , DHCP 1 , TFTP 1 , SNMP 1 entre otros). Solo el Snort-wireless
que utiliza el campo de número de secuencia de la trama MAC en su módulo
llamado MacSpoof 1 , destinado a la detección del MacSpoofing. Aunque trabajen
en un medio inalámbrico, siguen detectando por encima de la capa de enlace.
1.5.2 Trabajos relacionados
Varios artículos y trabajos han sido publicados sobre los problemas de
vulnerabilidades en la trama MAC y la no existencia de técnicas IDS que detectan
en ese nivel, sin embargo existen muy pocos que proponen soluciones parciales al
problema.
1 Ver Siglario 39

Capítulo I: Estado del arte de la seguridad de las Redes WiFi.
Por ejemplo, en [27] se demuestra cómo la selección eficiente de campos de
utilidad reduce la implementación y el testeo del detector a un 50%. En [18], se
explica el modelo de selección de campos de utilidad a saber el modelo de filtrado
[28].
Del mismo modo, se aplicaron diversas técnicas para superar los problemas en la
elección de características de utilidad de los atributos. En [29] Sung and
Mukkamala redujeron el espacio de atributos de la DARPA 1 data set de 41 a 6
atributos más importantes usando algoritmos como el SVM (Support Vector
Machines), el MARS (Multivariate Adaptive Regression Splines) y el LGPs (Linear
Genetic Programs). Varios tipos de clasificadores han sido implementados bajo
este acercamiento, usando algoritmos genéticos [30] y redes neuronales [31, 32]
entre otros.
En [18], los autores proponen un algoritmo conciso de selección de los mejores
campos de utilidad de la trama MAC del estándar 802.11 que caracterizan de
manera eficiente el tráfico normal y distinguen el tráfico anormal con
especificaciones de intrusiones. El algoritmo hace uso de elementos del
fundamento de las comunicaciones como la entropía de la fuente, la medida del
nivel de ganancia de la información entre otros.
En ese artículo, se llegó a la selección siguiente de los atributos (tabla 1.5),
partiendo de la lista de características de los campos de la trama 802.11 original
(tabla 1.4) y de consideraciones suplementarias en la Figura 1.10 [18].
Figura 1. 10 Características Suplementarias [18].
1 Ver Siglario 40

Capítulo I: Estado del arte de la seguridad de las Redes WiFi.
Aunque no se mencionó anteriormente, todos los algoritmos de selección de
campos de utilidad conllevan un denominador común: las vulnerabilidades a las
cuales están sometidos las tramas WiFi que circulan por la red. Estas
vulnerabilidades se descubren por el buen conocimiento de los tipos de tramas
que se transmiten y/o se reciben en los nodos de red, sus funciones y el posible
comportamiento de los campos de las tramas. También responde a los campos o
parámetros que se transforman bajo la influencia de ataques o la ejecución de las
mismas [18, 27, 28].
Tabla 1.4 Lista de campos extraídas de la trama 802.11[18].
Feature Description
Version Two bits indicate which version of the 802.11 MAC is
contained in the rest of the frame.
Type Indicate the type of the frame (Mgmt, Ctrl, Data)
SubType Indicate the subtype of the frame.
ToDS Indicate if a frame is destined to the Distribution System
FromDS Indicate if the frame is originated from Distribution System
More Fragment Indicate whether a frame is non final fragment r not
Retry Indicate if the frame is a retransmitted frame
Power Mgmt Indicate whether the station is active or in Power Saving
Mode
More Data Indicate whether an Access point has buffered frames for a
dozing station.
WEP Indicate if the frame is processed by the WEP protocol
Order Indicate if the strict ordering delivery is employed.
Duration The number of microseconds the medium is employed to be
busy.
RA The MAC address of the receiving station
TA The Mac address of the transmitting station
MA Depending on the values of ToDS and FromDS fields, this
address can be the MAC address of the sending, Destination
or Base Station.
FCS A Frame Check Sequence, which contains a 32 bit Cyclic
Redundancy Code.
1 Ver Siglario 41

Capítulo I: Estado del arte de la seguridad de las Redes WiFi.
Tabla 1.5 Los 10 primeros campos de utilidad en la Trama MAC del 802.11 según [18].
Rank Feature IGR
1 IsWepValid 1.02
2 DurationRange 1.01
3 More_Frag 0.98
4 To_DS 0.89
5 WEP 0.85
6 Casting_Type 0.82
7 Type 0.73
8 SubType 0.65
9 Retry 0.46
10 From_DS 0.41
11-38 Remaining features 0.23
En [33], se reportan ataques que resultan de las vulnerabilidades a las cuales
están expuestas los paquetes de control de las tramas 802.11 y no se brindó
ninguna solución alternativa, sólo fueron enumeradas las inconveniencias que
presentan esas vulnerabilidades.
En [34], se explicita el uso de la programación genética en la implementación de
WIDS para la solución de ataques de tipos DoS en redes 802.11. En [19], se
materializan el uso y las importancias de las redes neuronales en la
implementación de los sistemas de detección de intrusiones.
La selección de campos de utilidad para la detección de intrusiones en redes WiFi
depende de las características y de los atributos a los cuales están caracterizados
y constituye la etapa más crítica en la implementación de un detector de
intrusiones. El problema mayor ha sido, para muchos investigadores en la esfera,
la manera de seleccionar campos óptimos que puedan ser evaluados por
algoritmos de detección.
1 Ver Siglario 42

Capítulo I: Estado del arte de la seguridad de las Redes WiFi.
Por ello, un estudio más detallado de los métodos y algoritmos de acceso al medio
en redes WiFi, así como el comportamiento de los campos de la trama MAC en las
mismas, hacen posible descubrir vulnerabilidades y amenazas a las cuales están
expuestas dichas redes.
1 Ver Siglario 43

1.6 Conclusiones
Capítulo I: Estado del arte de la seguridad de las Redes WiFi.
A modo conclusivo, se destaca la necesidad de implementar mecanismos de
soluciones o alternativas adicionales para fomentar el ámbito de seguridad en las
redes WiFi, debido a que la evolución y capacidad de las herramientas de
descubrimiento y diagnóstico de brechas de inseguridad en dichas redes
posibilitan el descubrimiento de debilidades o vulnerabilidades en las mismas.
De los ya existentes, el empleo del 802.1x con servidores RADIUS, los VPNs y la
implantación de técnicas de llaves de integridad temporal presentan un mayor
impacto en el presupuesto de las organizaciones. Además, las aplicaciones IDSs
existentes no brindan características suficientes para detectar a nivel de enlace de
esas redes, dejando así, con mayor interés, a la intervención rápida de soluciones
o mecanismos robustos que detecten en ese nivel.
Brindar conocimientos sobre funcionamiento y estructura de la capa de enlace por
el cual se diseñaron los protocolos del 802.11 y analizar la existencia de posibles
vulnerabilidades y ataques inherentes de esos protocolos posibilitarían entender
los ataques y/o amenazas a las cuales están expuestas esas redes y eso es
precisamente el objetivo del siguiente capítulo.
1 Ver Siglario 44

Capítulo II
Estudio de los protocolos y la trama
El futuro es una construcción que se
realiza en el presente, y por eso
concibo la responsabilidad con el
presente como la única
responsabilidad que sería con el
futuro. Gioconda Belli.
WiFi.
45

Capítulo II: Vulnerabilidades y ataques inherentes a la capa MAC del 802.11.
Capítulo II: Vulnerabilidades y ataques inherentes a la capa MAC del 802.11.
Introducción
Los paquetes de la capa de red son transportados desde el host origen hasta el
host destino recorriendo diferentes redes que pueden ser compuestas de distintos
tipos de medios físicos. Estos paquetes no tienen una manera de acceder
directamente a ellos y es la capa de enlace la que tiene como función de
prepararlos (para ser transmitidos) y controlar el acceso a esos medios físicos
[35].
En este capítulo se describe brevemente las funciones generales de la capa MAC
de las redes WLANs, los protocolos y tramas de control y de gestión asociados a
fin de explorar vulnerabilidades inherentes. Se estudiarán ataques debido a esas
vulnerabilidades para el conocimiento de patrones y parámetros de interés,
necesarios para la implementación de algoritmos que detectan estos ataques.
2.1 Capa de enlace de Datos
En el modelo de interconexión de sistemas abierto (OSI 1 ), la capa de enlace de
datos es la encargada de preparar los paquetes de la capa de red para ser
transmitidos y controla el acceso a los medios físicos. Dos servicios básicos son
de vital importancia en cuanto a las funciones del nivel de enlace [35, 36]:
Permitir a las capas superiores de acceder a los medios usando técnicas,
como el tramado.
Controlar la ubicación y recepción de los datos en los medios usando
técnicas como el control de acceso y la detección de errores.
Para sostener las dos funciones básicas a realizar, la capa de enlace de datos a
menudo se divide en dos subcapas: superior e inferior [35].
La subcapa superior define los procesos de software que proveen servicios a los
protocolos de capa de red y la subcapa inferior define los procesos de acceso a
los medios realizados por el hardware (figura 2.1).
46

Capítulo II: Vulnerabilidades y ataques inherentes a la capa MAC del 802.11.
Figura 2. 1 Subcapas de enlace de Datos [35].
Separar la capa de enlace de datos en subcapas permite a un tipo de trama
definida por la capa superior, acceder a diferentes tipos de medios definidos por la
capa inferior. Tal es el caso en la tecnología LAN, incluida Ethernet.
El intercambio de paquetes entre capas de red de diferentes sistemas puede
realizarse con muchas transiciones de medios físicos y capas de enlace de datos.
En cada salto a lo largo de la ruta, un dispositivo intermediario, generalmente un
router, acepta las tramas de un medio, las desencapsula y luego envía el paquete
en una nueva trama, apropiada para los medios de tal segmento de la red física.
Un ejemplo de tal comunicación se presenta en la figura 2.2.
La capa de enlace de datos aísla de manera efectiva los procesos de
comunicación en las capas superiores desde las transiciones de medios que
pueden producirse de extremo a extremo.
47

Capítulo II: Vulnerabilidades y ataques inherentes a la capa MAC del 802.11.
Figura 2. 2 Función de la capa de enlace en una comunicación extremo a extremo [35].
2.2 La Subcapa MAC de WiFi
El estándar IEEE 802.11, comúnmente llamado WiFi, es una extensión del
estándar IEEE 802. Utiliza el mismo 802.3 LLC 1 y el esquema de direccionamiento
de 48 bits como otras LANs 802. Sin embargo, hay muchas diferencias en la
subcapa MAC y en la capa física [4].
2.2.1 Direccionamiento en la subcapa MAC
En las redes, la dirección MAC es un identificador de 48 bits (8 bloques
hexadecimales) que corresponde de forma única a una tarjeta de red. Se conoce
también como la dirección física en cuanto a la identificación de dispositivos de
red. Es individual, cada dispositivo tiene su propia dirección MAC determinada y
configurada por el IEEE (los últimos 24 bits) y el fabricante (los primeros 24 bits).
La mayoría de los protocolos que trabajan en la capa 2 del modelo OSI, usan una
de las tres numeraciones manejadas por el IEEE (MAC-48, EUI-48, y EUI-64) 1 , las
cuales han sido diseñadas para ser identificadores globalmente únicos.
48

Capítulo II: Vulnerabilidades y ataques inherentes a la capa MAC del 802.11.
Las direcciones MAC son únicas a nivel mundial, puesto que son escritas
directamente, en forma binaria, en el hardware en su momento de fabricación.
Debido a esto, las direcciones MAC son a veces llamadas Burned-in Address
(BIA).
A pesar de que cada dispositivo de red tiene una dirección MAC única que lo
identifica globalmente, es la capa de sistema operativo la que gestiona y distribuye
en la red, con lo que se puede modificar la dirección MAC que identifica la interfaz
de red.
2.2.2 Protocolos Inalámbricos de Control de Acceso al Medio
Un entorno inalámbrico requiere consideraciones especiales: no hay una
conectividad física definida; por lo tanto, factores externos pueden interferir con la
transferencia de datos y es difícil controlar el acceso. Para vencer estos desafíos,
los estándares inalámbricos tienen controles adicionales a la hora de elaborar sus
protocolos y el tramado [35].
Los protocolos MAC pueden ser clasificados de acuerdo a la arquitectura de red
para las cuales están diseñadas:
protocolos MAC distribuidos.
protocolos MAC centralizados.
A su vez estas dos categorías pueden ser divididas, según el modo de operación,
en:
Acceso Aleatorio (RA 1 ).
Acceso Garantizado (GA 1 ).
Acceso Híbrido (HA 1 ).
Los últimos, de acuerdo a la inteligencia de la Estación Base (BS 1 ) para
administrar el recurso, pueden separarse en:
49

Capítulo II: Vulnerabilidades y ataques inherentes a la capa MAC del 802.11.
Acceso Reservado Aleatorio (RRA 1 ).
Protocolo de Asignación por Demanda (DA 1 ) [37].
Esta clasificación se muestra en la figura 2.3 [38]:
Figura 2. 3 Clasificación de los protocolos Inalámbricos de Acceso al medio [25].
Los protocolos MAC distribuidos generalmente están basados en los principios de
censado de portadora y prevención de colisiones. El censado de portadora implica
escuchar el medio físico y detectar cualquier transmisión en curso. Mientras que
en los protocolos centralizados, el arbitraje del medio y la complejidad se ubican
en la estación base (BS). La BS tiene control sobre quién y cuándo se accede al
medio. Se asume que todos los nodos pueden hablar y escuchar a la BS debido a
la ubicación central de la misma, lo que elimina los problemas de nodo escondido
y expuesto [38].
2.2.3 Algoritmo de Control de Acceso al Medio de la Norma 802.11
El grupo de trabajo que desarrolló la norma 802.11 [39], hizo dos propuestas para
un algoritmo MAC:
Protocolo de acceso distribuido, que como en el caso de Acceso Múltiple
con Detección de Portadora y Detección de Colisión (CSMA/CD 1 );
distribuye la decisión de transmitir entre todos los nodos usando un
mecanismo de detección de portadora.
50

Capítulo II: Vulnerabilidades y ataques inherentes a la capa MAC del 802.11.
Protocolos de acceso centralizado, que implican la gestión centralizada de
la transmisión.
Un protocolo de acceso distribuido tiene sentido en una red “ad hoc” donde ningún
nodo tiene prioridad sobre otro, pudiendo resultar también atractivo para otras
configuraciones de redes locales inalámbricas que presenten principalmente
tráfico a ráfagas[36].
Un protocolo de acceso centralizado es usual en configuraciones en las que varias
estaciones inalámbricas se encuentran conectadas entre sí y con alguna estación
base que se conecta a una red de área local (LAN), este es el caso de los puntos
de acceso (AP).
El resultado final del 802.11 es un algoritmo MAC llamado MAC inalámbrico de
principio distribuido (DFWMAC 1 ), que proporciona un mecanismo de control de
acceso distribuido con un control centralizado opcional implementado sobre él
[36].
En la subcapa inferior de la capa MAC, está la función de coordinación distribuida
(DCF 1 ). DCF emplea un algoritmo de competencia para proporcionar acceso a
todo el tráfico.
La función de coordinación puntual (PCF 1 ) es un algoritmo MAC centralizado para
proporcionar un servicio sin competición. PCF se construye sobre DCF y
aprovecha las características de DCF para asegurar el acceso a sus usuarios.
La subcapa DCF hace uso de un sencillo algoritmo MAC [36, 38]:
Cuando un nodo desea transmitir una trama MAC, escucha el medio. Si el
medio se encuentra libre, el nodo puede transmitir y sino debe esperar
hasta que se haya completado la transmisión en curso, antes de poder
transmitir.
DCF no incluye una función de detección de colisiones (como CSMA/CD 1 ) puesto
que la detección de colisión no resulta práctica en redes inalámbricas.
El rango dinámico de la señal en el medio es muy elevado, de manera que una
estación que transmita no puede distinguir las señales débiles de entrada del ruido
y de los efectos de su propia transmisión. Para asegurar el funcionamiento de este
51

Capítulo II: Vulnerabilidades y ataques inherentes a la capa MAC del 802.11.
algoritmo, DCF incluye un conjunto de retardos que equivale a un esquema de
prioridades.
En primer lugar se presenta un único retardo conocido como espacio entre trama
(IFS 1 ). De hecho, existen tres valores diferentes de IFS, pero el algoritmo se
comprende mejor ignorando inicialmente este detalle [36].
Haciendo uso de un IFS, las reglas para acceso CSMA son:
Cuando un nodo desea transmitir, sondea el medio. Si este está libre, la
estación espera para ver si el medio permanece libre durante un tiempo igual a
IFS. Si es así, la estación puede transmitir inmediatamente.
Si el medio está ocupado (porque la estación encuentra inicialmente ocupado
el medio o porque el medio es ocupado durante el tiempo libre IFS), la estación
aplaza la transmisión y continúa supervisando el medio hasta que la
transmisión en curso haya finalizado.
Una vez que esto ha ocurrido, la estación espera otro IFS. Si el medio
permanece libre durante este período, la estación espera según un esquema
de retroceso exponencial binario y sondea de nuevo el medio. Si el medio se
encuentra aún libre la estación puede transmitir.
A continuación se presenta el diagrama de flujo de este algoritmo en la figura 2.4
[40].
En esa figura, se ha mejorado el estándar para que DCF proporcione un acceso
basado en prioridades simplemente mediante el uso de tres valores IFS:
SIFS (IFS corto): el IFS más corto, usado para todas las acciones de respuesta
inmediata.
PIFS (función de coordinación puntual IFS): IFS de longitud intermedia,
empleada por el controlador centralizado en el esquema PCF cuando realiza
sondeos.
52

Capítulo II: Vulnerabilidades y ataques inherentes a la capa MAC del 802.11.
Figura 2. 4 Diagrama de flujo del algoritmo de transmisión y/o recepción de un nodo [40].
DIFS (función de coordinación distribuida IFS): IFS mayor, utilizado como un
retardo mínimo para tramas asíncronas que compiten para conseguir el
acceso.
De hecho, cualquier estación que use SIFS para determinar la oportunidad de
transmitir, tiene la máxima prioridad, ya que siempre conseguirá el acceso frente a
una estación que espera una cantidad de tiempo igual a PIFS o DIFS. SIFS se
utiliza en las siguientes circunstancias [6, 36, 38]:
53

Capítulo II: Vulnerabilidades y ataques inherentes a la capa MAC del 802.11.
Confirmación (ACK): cuando una estación recibe una trama dirigida solo a ella
(ni multi destino, ni de difusión), responde con una trama ACK, después de
esperar durante un tiempo SIFS. Esto presenta dos efectos deseables: En
primer lugar no se usa la detección de colisión y la trama ACK de nivel MAC,
permite una recuperación de colisiones eficientes. En segundo lugar, SIFS se
puede emplear para proporcionar una entrega eficiente de una unidad de datos
del protocolo de Control de Enlace Lógico (LLC 1 ), que necesita múltiples
tramas MAC. En este caso se produce la siguiente situación: Una estación con
una Unidad de Datos de Protocolo (PDU 1 ) LLC multitrama que desea
transmitir, envía las tramas MAC de una en una. Tras un SIFS, el receptor
confirma cada una de las tramas. Cuando el origen recibe una trama ACK,
inmediatamente (tras un SIFS) envía la siguiente trama en la secuencia. El
resultado es que una vez que una estación ha luchado por conseguir el canal,
mantendrá el control de este hasta que haya enviado todos los fragmentos de
una PDU LLC [12].
Permiso para enviar: una estación puede asegurar que su trama de datos se
enviará emitiendo primero una pequeña trama de petición de envío (RTS,
Request to Send). La estación a la que va dirigida esta trama debería
responder inmediatamente con una trama de aceptación (CTS, Clear to Send)
si está lista para recibir.
Todas las otras estaciones reciben el RTS y aplazan el uso del medio hasta que
detecten un CTS correspondiente o hasta que se hace “cero” el contador de
tiempo.
El mecanismo de acceso básico, el DCF, es un mecanismo detector de portadora
de acceso múltiple con anulación de colisión (CSMA/CA Carrier Sense Multiple
Access/Collision Avoidance). [12].
54

Capítulo II: Vulnerabilidades y ataques inherentes a la capa MAC del 802.11.
2.2.4 Entrega Fiable de Datos
CSMA/CA se basa en el intercambio de cuatro paquetes: RTS, CTS, DATA, ACK
como se ilustra en la Figura 2.5. Cuando un nodo tiene que transmitir, toma un
período aleatorio de espera que se decrementa cada vez que el canal está libre.
Cuando este tiempo expira, el nodo intenta adquirir el canal enviando un paquete
RTS.
Figura 2. 5 Modo de funcionamiento del protocolo CSMA/CA [36, 38].
El nodo receptor responde con un paquete CTS indicando que está listo para
recibir, luego el transmisor envía los datos. Si estos son recibidos sin errores, la
estación receptora responde con un ACK. Si no se recibe ACK, el paquete se
considera perdido y se retransmite. Si RTS falla, se supone una colisión y el nodo
trata de resolverla doblando el tiempo de espera antes de enviar una nueva trama
RTS.
Este método de resolución de contiendas se conoce como back-off exponencial
binario (BEB). Para dar preferencia en el acceso a la estación que intenta
contestar (CTS, ACK) frente a otro nodo que intenta adquirir el medio (RTS), se
especifican diferentes tiempos de espera. Un nodo necesita censar el canal libre
por un espacio inter trama distribuido (DIFS) antes de decrementar el contador de
back-off y esperar un espacio inter trama corto (SIFS) antes de enviar una
contestación (CTS, ACK) [12, 38].
55

Capítulo II: Vulnerabilidades y ataques inherentes a la capa MAC del 802.11.
En adición al censo físico de la portadora, un censo de portadora virtual es
realizado usando el campo de tiempo en los paquetes, el cual indica a otros nodos
el tiempo que durará la comunicación actual. Este campo es conocido como
Vector de Ocupación de Red (NAV). Los nodos que escuchen los mensajes RTS o
CTS esperan una cantidad NAV antes de censar nuevamente el canal [36].
2.2.5 Trama MAC del 802.11
En una red de comunicación, todos los protocolos de la capa de enlace trabajan
para los protocolos de la capa inmediatamente superior. Sin embargo, el protocolo
de la capa 2 utilizado depende de la topología lógica de la red y de la
implementación de la capa física [35].
802.11 utiliza el mismo 802.3 LLC y esquema de direccionamiento de 48 bits como
otras LANs 802. Sin embargo, hay muchas diferencias en la subcapa MAC y en la
capa física, fundamentalmente en el acuse de recibo de enlace de datos para
confirmar que una trama se recibió con éxito.
Otros servicios admitidos por la 802.11 son la autenticación, asociación
(conectividad a un dispositivo inalámbrico) y privacidad (encriptación).
La trama MAC del 802.11 se muestra en la figura 2.6. Contiene los siguientes
campos [4, 35]:
Figura 2. 6 Formato y campos de la trama 802.11 [4].
56

Capítulo II: Vulnerabilidades y ataques inherentes a la capa MAC del 802.11.
Frame Control (FC): versión de protocolo y tipo de trama (gestión, datos,
control).
Duration (ID): Se usa para el tipo de trama “Power -Save poll message“. El
valor de duración se usa para el cálculo del vector de reserva de red
(Network Allocation Vector).
Address fields (1-4) contienen hasta cuatro direcciones (origen, destino,
transmisión, recepción), dependiendo del campo de control de trama (bits
ToDS y FromDS).
La Secuencia de Control consiste en un número de fragmento y un número
de trama (fragmentación). Se usa para representar el orden de diferentes
fragmentos pertenecientes a la misma trama, y para distinguir una posible
duplicación de paquetes.
Data: la información transmitida o recibida, proveniente del nivel superior.
CRC: campo de Código de Redundancia Cíclica de 32 bits.
El formato del campo de Control de Trama (Frame Control Format) es el
encargado del aseguramiento de los mecanismos de control de la trama. Por su
importancia para el estudio de la detección de errores en las tramas, se especifica
sus campos [35]:
Campo de versión del protocolo: la versión de la trama 802.11 en uso.
Campos tipo y subtipo: identifica una de las tres funciones y sub-
funciones de la trama: control, datos y administración.
Campo To DS: establecido en 1 en las tramas de datos destinadas al
sistema de distribución (dispositivos en la estructura inalámbrica).
Campo From DS: establecido en 1 en tramas de datos que salen del
sistema de distribución.
Campo More Frg: establecido en 1 para tramas que tienen otro fragmento.
Campo Retry: establecido en 1 si la trama es una retransmisión de una
trama anterior.
Campo Pw Mgt: establecido en 1 para indicar que un nodo estará en el
modo ahorro de energía.
57

Capítulo II: Vulnerabilidades y ataques inherentes a la capa MAC del 802.11.
Campo More Data: establecido en 1 para indicar a un nodo en el modo
ahorro de energía que más tramas se guardan en la memoria del búfer de
ese nodo.
Campo WEP: establecido en 1 si la trama contiene información encriptada
por seguridad.
Campo Order: establecido en 1 en una trama de tipo datos que utiliza la
clase de servicio Estrictamente ordenada (no requiere reordenamiento).
Ahora bien, de acuerdo al objetivo asignado en esta tesis, es de mayor interés el
conocimiento de las características funcionales de los campos de la trama WiFi a
fin de poder seleccionar y utilizar los de interés para la implementación del
detector de intrusiones.
2.2.6 Tipos de tramas 802.11
Existen tres principales tipos de tramas en una comunicación basada en los
protocolos 802.11: tramas de manejos de conexión o de administración, tramas de
control y tramas de datos. Estos tipos están definidos por el campo FC (Frame
Control) de la cabecera MAC del 802.11.
Figura 2. 7 Campo FC de la Trama MAC de 802.11.
Como se muestra en la figura 2.7, los bit b0 y b1 determinan el tipo de protocolo
que se está utilizando (802.11a, 802.11b, 802.11g etc.), los bits b2 y b3
determinan el tipo de trama (de control con 1, de gestión con 0) y los bits b4
hasta b7 determinan el subtipo de ese tipo en particular (12 para el CTS, 11 para
el RTS, 10 para la des-asociación).
58

Capítulo II: Vulnerabilidades y ataques inherentes a la capa MAC del 802.11.
A continuación se explica brevemente las funcionalidades que tienen las tramas
de gestión y de control, siendo estas los objetos de este estudio y dejando sin
mayor interés las de datos, las encargadas de transportar la información entre los
nodos.
Tramas de Manejo de Conexión (de Administración)
Permiten a los nodos establecer y mantener la comunicación entre ellos. Se
encuentran los siguientes subtipos: trama de autentificación, de des-autenticación,
de solicitud de asociación, de respuesta de asociación, de re-asociación, de des-
asociación, trama beacon y de prueba. A continuación se explicarán uno de ellos.
Tramas de Autenticación: la autenticación es el proceso por el cual un
punto de acceso acepta o rechaza la identidad de un nodo que pretende
conectarse con él. El nodo inicia el procedimiento enviando una trama de
autenticación, si la autenticación es abierta, el AP simplemente contesta con
una trama de respuesta afirmativa o negativa. Si el AP tiene definido el tipo
opcional de autenticación por llave compartida (Shared Key Authtentication),
responde con una trama de respuesta conteniendo una frase de texto. El
nodo deberá ahora enviar una versión encriptada de la palabra de paso
usando su clave WEP (o alguna opción del WPA según el tipo de
encriptación utilizada) para encriptar. El AP se asegura que el nodo tiene la
clave WEP correcta (o WPA correspondiente), desencriptando y
comparando la frase de texto con la que envió previamente. Una vez
validada la identidad del nodo, el AP envía una trama de respuesta afirmativa
al nodo.
Tramas de Des-autenticación: trama enviada por un nodo a otro para
terminar la conexión segura entre ellos.
Tramas de solicitud de asociación: la asociación en 802.11 habilita a un
AP a disponer de recursos para establecer una conexión con un nodo
estación. El nodo estación comienza la solicitud de asociación enviando una
59

Capítulo II: Vulnerabilidades y ataques inherentes a la capa MAC del 802.11.
trama de este tipo. Esta trama contiene información sobre el nodo estación
como las velocidades soportadas y el SSID 1 al cual desea asociarse. El AP
evalúa el requerimiento del nodo y si decide aceptar, reserva un espacio de
memoria para permitir el intercambio de datos y establece un número de
asociación (Association ID) para el nodo.
Trama de respuesta de Asociación: es la trama con el que el AP responde
a una solicitud de asociación. La trama contiene información relativa a la
asociación en cuestión como el número de asociación, las velocidades
aceptadas, entre otros.
Tramas de Re-asociación: las tramas de solicitud de re-asociación se
envían cuando un nodo se mueve y encuentra otro AP con mayor señal que
el actual al que está asociado. El nuevo AP, al recibir esta señal, coordina el
envío de los paquetes que pudieran estar pendientes en el viejo AP para
transmitirlos al nodo, y luego envía una trama de respuesta de re-asociación
con los nuevos datos del número de asociación y las velocidades aceptadas.
Trama de des-asociación: es una trama que suele enviar un nodo estación
cuando desea cancelar la asociación en forma ordenada. Esta trama
instruye al AP para que libere la memoria y el número de asociación
relacionado a este nodo.
Trama beacon: es una trama que el AP envía periódicamente para anunciar
su presencia y recabar información tales como el SSID y otros parámetros
que le indican si los nodos siguen a su alcance. Los nodos estación
permanentemente escanean los canales de radio escuchando los beacons
para establecer a cual AP conviene asociarse.
Tramas de prueba: las tramas de requerimiento de prueba son los que
envían los nodos estación para saber que otros radios están al alcance. Al
recibirlos, el otro extremo responde con una trama de respuesta a la prueba
conteniendo capacidades, velocidades soportadas, entre otros.
60

Capítulo II: Vulnerabilidades y ataques inherentes a la capa MAC del 802.11.
Tramas de Control
Son tramas que controlan y reservan el canal de comunicación al iniciar la
transferencia entre estaciones inalámbricas y que se enumeran a continuación.
Tramas RTS: implementan la función RTS para salvaguardar la presencia de
nodos ocultos. El formato de una trama RTS (paquete RTS) se muestra a
continuación.
Figura 2. 8 Formato de la trama RTS [33].
Tramas CTS: implementan la función CTS para salvaguardar la presencia de
nodos ocultos. El formato de una trama CTS (paquete CTS) se muestra a
continuación.
Figura 2. 9 Formato de la trama CTS [33].
Trama ACK: implementan la función de confirmación de recepción de tramas
de datos sin error. El formato de una trama ACK (paquete ACK) se muestra a
continuación.
61

Capítulo II: Vulnerabilidades y ataques inherentes a la capa MAC del 802.11.
Figura 2. 10 Formato de la trama ACK [33].
2.3 Análisis del comportamiento de los campos de la trama 802.11
Tal análisis conlleva al reconocimiento de la variación en el tamaño de la cabecera
MAC (de 24, 26, 30 o 32 bits) dependiendo del tipo de mensaje y de otras
funcionalidades (como el uso de calidad de servicio QoS o en el caso de
comunicación entre APs) [2].
Si se utiliza QoS, se añaden 2 bytes para el control de las colas QoS después
de la tercera dirección MAC, o antes del número de secuencia y si la
comunicación es entre puntos de acceso, se añade una cuarta dirección MAC
(la del otro punto de acceso) inmediatamente después del número de
secuencia. Por eso se tiene cabeceras MAC de varias "longitudes" [2]:
24 bytes Comunicación entre cliente y punto de acceso, sin QoS
26 Bytes Comunicación entre cliente y punto de acceso, con QoS
30 bytes Comunicación entre puntos de acceso, sin QoS
32 bytes Comunicación entre puntos de acceso, con QoS
También se resalta la salvedad en cuanto al número de direcciones MAC a utilizar.
Todo depende del tipo de trama (administración, datos o de control) y de la
dirección del tráfico, es decir, la dirección MAC1 (los bytes 4-5-6-7-8-9-10) pueden
representar el BSSID 1 , la dirección MAC origen e incluso la dirección MAC
destino. Lo mismo ocurre con las otras dos direcciones MAC, MAC2 y MAC3 [2].
A este nivel, cabe especificar que la identificación de los tipos de tramas está
definida por los dos primeros bytes de la cabecera MAC, o sea, el campo FC
(Frame Contro) [2].
62

Capítulo II: Vulnerabilidades y ataques inherentes a la capa MAC del 802.11.
Los campos necesarios serían: Versión del Protocolo (bit 0 y 1), Tipo de Trama
(bits 2 y 3), Subtipo (bits 4, 5, 6 y 7), ToDS (bit 8), FromDS (bit 9) y el WEP (bit 14)
[2, 41]. De hecho, para saber si una trama viaja desde o hacia el sistema de
distribución sólo se tendrá que comprobar el primer byte.
La identificación efectiva de los tipos de tramas que circulan en la red, así como la
comprensión de sus funciones especiales permiten identificar, analizar y combatir
los ataques a los cuales están expuestas dichas tramas [41].
2.4 Vulnerabilidades en el formato de la trama MAC
Además de las vulnerabilidades existentes en los protocolos implementados para
la seguridad en redes WiFi, tales como las de los protocolos WEP, la posibilidad
del cambio de las direcciones MACs entre otros, existen vulnerabilidades
inherentes al formato y uso de las tramas MAC dependiendo del tipo de trama que
se está analizando. Estas vulnerabilidades constituyen unas de las bases de las
amenazas a las cuales están sometidas las WLANs.
En este trabajo, se hace énfasis a ataques de denegación de servicios productos
de las vulnerabilidades existentes en el formato y uso de las tramas de gestión y
de control a fin de implementar soluciones o alternativas que ayuden a
contrarrestar estas intrusiones.
2.4.1 Vulnerabilidades en las tramas de control y de gestión del 802.11
Las figuras 2.8, 2.9 y 2.10 muestran el formato de los paquetes de control. Se
puede notar que en las tramas CTS y ACK no se incluye la dirección MAC del
destinatario, y eso es con el objetivo de minimizar el tamaño de esos paquetes a
fin de garantizar mayor velocidad, característica fundamental de las tramas de
control [33].
Por otra parte, cuando ocurre el mecanismo RTS/CTS entre un transmisor y un
receptor, todos los nodos ubicados en el rango del transmisor se privan de todo
63

Capítulo II: Vulnerabilidades y ataques inherentes a la capa MAC del 802.11.
tipo de transmisión al escuchar un paquete RTS en el medio y de la misma
manera se comportan los nodos ubicados en el rango del receptor al escuchar el
paquete CTS en el medio, resolviendo así el problema del nodo escondido [33, 36,
38].
Cuando el transmisor recibe el paquete CTS, deduce que proviene del destinatario
y no verifica la dirección de origen del mismo. Como es imposible en el protocolo
802.11 que dos nodos transmitan en el mismo tiempo, el receptor transmite la
trama ACK sin necesidad de una autenticación de la misma. Un nodo malicioso
puede aprovechar esta vulnerabilidad para producir ataques que no pueden ser
identificados por el sistema de seguridad implementado [33].
Otro problema inherente por la ausencia de la dirección de destino en los
paquetes CTS, es que el atacante puede generar paquetes CTS falsos tras la
transmisión de un RTS en la intensión de bloquear los nodos existentes en su
rango de transmisión [21].
También el intruso es capaz de generar paquetes ACK falsos tras una transmisión
sin éxito. La idea detrás de ese mecanismo es que cuando un nodo transmite un
paquete de dato, espera un asentamiento positivo (ACK) que le confirma la
recepción exitosa de dicho paquete, en el caso contrario (producto de una colisión
o de paquetes mal recibidos por ejemplo) no recibirá el ACK y tras un tiempo se
debe proceder a la retransmisión del paquete. El intruso es capaz de gozar esa
situación generando paquetes ACK falsos para dar impresión de una recepción
exitosa [33].
Además, el Vector de Localización de Red (NAV), utilizado por el protocolo
CSMA/CA y la pareja CTS/RTS se inicializa con el campo Duración de la
Cabecera MAC (tiempo estimado que debe estar el canal disponible para
transmitir la trama). Existen 2 bytes después del Frame Control que representan
esa duración. Es un valor de 16 bits (2 bytes) de tal forma que si el bit 15 (el más
significativo) está a cero el valor del resto de bits será el valor con el que se
64

Capítulo II: Vulnerabilidades y ataques inherentes a la capa MAC del 802.11.
inicializa NAV. Es decir, NAV como mucho puede alcanzar 2^15 = 32.768 μs.
Dicho de otra forma, el tiempo máximo que se puede reservar para la
retransmisión de una trama es de 32.768 microsegundos [2, 33, 42].
Todas las estaciones de la red monitorizan las tramas y las cabeceras MAC’s, de
tal forma que durante la transmisión de la trama de otro equipo, leen la duración
de la misma y añaden ese tiempo extra como tiempo de contención antes de
enviar sus datos.
En cuanto a las tramas de administración del estándar 802.11, no existe ninguna
protección criptográfica implementada al transmitir estas tramas. Los paquetes de
manejo de conexión viajan en texto claro posibilitando la obtención de la dirección
MAC del AP o del nodo cliente por simple análisis de tráficos capturados por algún
sniffer de un intruso [8]. Luego se hace pasar por el AP legítimo suplantando la
identidad por MACSpoofing causando ataques de des-autenticación, de des-
asociación u otros tipos de ataques como el del agujero negro, de hombre en el
medio según su conveniencia.
Como se están analizando ataques de denegación de servicios inherentes del
formato de las tramas de control y de gestión, el envío de cientos (o miles) de
paquetes CTS con duración de 32.768 μs y/o la inundación de la red con paquetes
CTS/RTS, de des-autenticación y de des-asociación denegarían servicios a los
nodos situados en los rangos de transmisión del transmisor y del receptor.
Estos ejemplos de inundación del canal de comunicación con los paquetes CTS,
RTS, de des-autenticación o de des-asociación consisten en Disociar o Desautenticar
a los clientes en el comportamiento anormal de una WLANs.
En el epígrafe siguiente, se presentará el modo en el cual se implementan estos
ataques.
65

Capítulo II: Vulnerabilidades y ataques inherentes a la capa MAC del 802.11.
2.5 Ataques o amenazas inherentes de las vulnerabilidades de las tramas de
control y de gestión.
Como se mencionó anteriormente, los ataques más comunes en las WLANs son
los de denegación de servicios. Los ataques DoS se realizan con el objetivo de
denegar servicios a los usuarios autorizados en una red determinada. El tráfico de
usuario, los datos de señalización y los datos de control o de gestión son
obstruidos impidiendo con ello su transmisión en el canal de radio. Otra manera de
impedir que la información o los datos sean transmitidos es introducir paquetes de
protocolos con problemas específicos. Es posible para los intrusos obtener esos
paquetes a través de software de escucha (sniffer) [35, 43].
A continuación se explicarán la secuencia de operación, la ejecución y las
consecuencias o efectos de algunos de esos ataques.
2.5.1 Ataques de CTS falsos
El ataque consiste en transmitir paquetes CTS por el atacante, sin que se haya
transmitido un paquete RTS. En ese caso, los nodos que existen en el rango de
transmisión del intruso retienen sus deseos de transmitir, denegándose así el
acceso a la red de los mismos [33].
Para llegar a ello, el atacante usa un algoritmo muy sencillo que se explica a
continuación:
Chequear primero si el NAV es igual a cero y entonces ver el estado del canal:
Si el canal está ocupado, espera un tiempo T=DIFS+Backoff
En el caso contrario, crea el CTS falso a una dirección destino falsa,
iniciando así el ataque.
En la figura 2.11, se muestra el diagrama de flujo del ataque.
66

Capítulo II: Vulnerabilidades y ataques inherentes a la capa MAC del 802.11.
Las bibliografías revisadas durante esta investigación no brindaron contramedidas
implementadas para este tipo de ataque. En este trabajo se tratará de dar una
posible solución o alternativa de detectar ese tipo de ataque.
2.5.2 Ataque de duración
En el ataque de duración, el atacante envía una trama con el campo NAV fijado a
su valor máximo (32 µs). Esto evita que cualquier estación utilice el medio
compartido antes que el tiempo NAV llegue a cero. Antes de la expiración del
contador, el atacante envía otra trama con iguales características. Repitiendo este
proceso, el atacante puede denegar acceso a la red inalámbrica provocando una
inundación del canal de comunicación con estos paquetes (flooding CTS) [18].
Figura 2. 11 Diagrama de flujo del ataque CTS [33].
La bibliografía revisada durante esta investigación no brindó contramedidas para
este tipo de ataque así que se tratará de dar una posible solución de detección en
el próximo capítulo.
67

Capítulo II: Vulnerabilidades y ataques inherentes a la capa MAC del 802.11.
2.5.3 Ataque de ACK falso: Mecanismo de creación de ACK falso
La idea consiste en confirmar la recepción de los paquetes enviados por un nodo
transmisor a un nodo receptor cuando realmente esos paquetes no fueron
recibidos. El transmisor no retransmitirá esos paquetes ya que recibió una
confirmación de recepción (ACK falsos) denegando así el servicio.
Suponiendo que A y B son los nodos transmisor y receptor respectivamente, y que
M es un nodo malicioso, el mecanismo de ACK falso consiste en lo siguiente:
El nodo M primero necesita saber el NAV (RTS) o el NAV (CTS) y también las
direcciones de los nodos A y B.
De acuerdo a los valores de NAV (RTS) o NAV (CTS), el nodo M puede
determinar un tiempo Tcoll (tiempo de colisión) al cual inicia el ataque. Este
último consiste en dos partes esenciales:
Primero, el atacante envía un paquete al nodo B al tiempo T coll con la
intención de colisionar al nodo B. Ese tiempo está definido por un valor
aleatorio en el intervalo [Bmin, Bmax] donde:
Donde TJAM es el tiempo de propagación del paquete que causará la
colisión en el nodo B (ver figura siguiente).
68

Capítulo II: Vulnerabilidades y ataques inherentes a la capa MAC del 802.11.
Figura 2. 12 Mecanismo de creación del ACK falso [33].
Segundo, el atacante manda el ACK falso al nodo A al tiempo Tvalide tal que:
Cuando el nodo A recibe el paquete ACK después de un tiempo Tout no se da
cuenta de la anomalía causada por ese paquete (ACK falso). Tout es el tiempo
máximo entre el tiempo donde el nodo A inició su transmisión de datos y la
recepción del paquete ACK:
Donde MPD es el máximo retardo causado por la propagación. El atacante debe
esperar por los tiempos y de tal modo que sino el
nodo transmisor puede detectar el problema y retransmitirá el paquete.
Cuando el atacante escucha el paquete RTS, determina entonces las direcciones
de los nodos transmisores y receptores, y espera por el paquete CTS por un
tiempo . Está definido por el tiempo SIFS, el tiempo de propagación del paquete CTS
( ) y por el retardo máximo de propagación MPD:
69

Capítulo II: Vulnerabilidades y ataques inherentes a la capa MAC del 802.11.
Después de haber escuchado el paquete CTS al tiempo T1, el atacante selecciona
el tiempo Tcoll y Tvalidate, y arranca los temporizadores correspondientes. En el caso
contrario, repite el algoritmo del ataque.
Cuando escucha CTS a T1, espera por el temporizador Tcoll. Al agotar ese
temporizador, el atacante envía el paquete al nodo B con la intensión de crear
colisión. Entonces espera por el temporizador Tvalidate y cuando se agota ese
último, envía el paquete ACK falso al nodo A para validar el paquete de dato
transmitido. A continuación se presenta el diagrama de flujo de ese algoritmo.
Al igual que los dos casos anteriores no se encontraron medidas disponibles para
la detención de este tipo de ataque en la bibliografía revisada hasta el momento.
Como solución alternativa a este problema se pudiera pensar en impedir que se
conozca los valores de los NAV (RTS) y (CTS) encriptando los paquetes que los
conllevan, evitando así que el intruso seleccione el valor de Tcoll.
70

Capítulo II: Vulnerabilidades y ataques inherentes a la capa MAC del 802.11.
Figura 2. 13 Diagrama de flujo del algoritmo de creación del ACK falso [33].
Por otra parte, si se pudiera saber el tiempo exacto de colisión, se alcanzaría
entonces detectar el envío de dos paquetes al nodo destino en el mismo tiempo;
pero la naturaleza aleatoria de la selección del tiempo hace difícil la detección
de ese ataque.
Se necesitaría entonces en la práctica algo como la detección de colisiones en
redes inalámbricas, lo que resulta impráctico en ese tipo de redes y no se
presentará una solución de detección de la misma en este trabajo.
Todo lo anterior implica un rediseño en la estructura del protocolo de acceso al
medio CSMA/CA (grupo “w” de la IEEE 802.11) y se recomienda una investigación
particular al respecto [21, 44].
71

Capítulo II: Vulnerabilidades y ataques inherentes a la capa MAC del 802.11.
2.5.4 Ataques de des-autenticación y de des-asociación
En estos ataques, el atacante falsifica una trama de des-autenticación o de des-
asociación, como si ésta fuera originada desde el AP. Al recibirla, la estación se
desconecta y trata de reconectarse nuevamente a la estación base. Este proceso
es repetido indefinidamente para mantener a la estación desconectada de la
estación base. El atacante puede también asignar a la dirección de recepción la
dirección de difusión, de esta forma puede atacar a todas las estaciones
asociadas con la estación base víctima. Este ataque es posible gracias a la
suplantación de identidad del AP por falsificación de la dirección MAC del mismo
(MACSpoofing). No obstante, se ha comprobado que algunas tarjetas de red
inalámbricas ignoran este tipo de tramas de des-autenticación [18].
Para contrarrestar estos ataques, basta detectar en la red la duplicación de
direcciones MAC producto del MACSpoofing. También es posible evitarlo
encriptando los paquetes de administración y ese es el método adoptado por el
grupo de investigación “w” de la IEEE 802.11w [21, 44].
No obstante, para abordar la primera contramedida, existen en la actualidad
productos de detección de intrusos como Snort-wireless que detecta el MacSpoof
gracias a su preprocesador configurable llamado MacSpoof [45].Ese módulo
funciona basándose en la evidencia del campo del número de secuencia [46, 47].
Para ello se define un número máximo de paquetes que se puede enviar en un
determinado tiempo por un nodo en particular (5314 tramas/s en la 802.11b por
ejemplo [45]) y si el algoritmo detecta dos tramas consecutivas con un mismo
número de secuencia o un número de trama transmitidas mayor que el límite
especificado, se detecta la ocurrencia del MACSpoofing. El problema con ese
detector de intrusiones resulta en la naturaleza aleatoria del medio inalámbrico, lo
que conlleva pérdidas y colisiones causados por el fenómeno del nodo escondido
y el sensor puede emitir entonces falsas alarmas [48].
72

Capítulo II: Vulnerabilidades y ataques inherentes a la capa MAC del 802.11.
Otro mecanismo de detección del MACSpoofing basándose, como se planteo en
el objetivo de este trabajo, en la estructura de la trama MAC del 802.11 consiste
en el uso del algoritmo de detección llamado The Sequence Number Rate Analysis
(SNRA), el cual hace uso también del campo de Número de Secuencias de la
cabecera MAC [45]. Según la bibliografía revisada, este último resulta mejor que el
MacSpoof utilizada en el Snort-wireless y se presenta en los Anexos.
En este trabajo, se detectara la DoS causada por inundación del canal de
comunicación de los paquetes de des-autenticación y de des-asociación y en el
capitulo siguiente se dará el algoritmo de detección.
2.5.5 Ataques Hombre en el Medio
Mediante un sniffer, un atacante puede hacerse de varias direcciones MAC
válidas. El análisis de tráfico le ayudará a saber a qué hora debe conectarse,
suplantando a un usuario u otro [7, 21, 49].
Otra forma consiste en instalar APs ilegítimos (Rouge AP). Es decir, un atacante
podría instalar un AP de manera que se confunda con los APs legítimos,
provocando que un número de usuarios se conecte al del atacante. Este reenviará
el tráfico a los puntos de acceso legítimos. De esta forma se implementaría un
ataque hombre en el medio de modo que todo el tráfico de red de los usuarios sea
monitoreado, almacenado y posteriormente alterado por el atacante [7, 10, 18, 44].
Ese ataque es detectable también en el Snort-wireless del mismo modo que los
ataques de MACSpoofing reflejando las mismas imperfecciones en la declaración
de falsas alarmas y no se presentará una solución de detección de la misma en
este trabajo.
Vistas las vulnerabilidades inherentes de los formatos y el mal uso de las tramas
de control y de gestión, es de mayor interés implementar mecanismos adicionales
para acudir a las meditas de seguridad existentes en esas redes. Por eso que el
73

Capítulo II: Vulnerabilidades y ataques inherentes a la capa MAC del 802.11.
objetivo del siguiente capítulo es proponer algoritmos de detección
correspondientes a los ataques de RTS/CTS falsos, de duración, de des-
autenticación y de des-asociación y una posible validación de los mismos
cuestionada por la implementación de un Script de detección de esos ataques en
Python.
74

Capítulo II: Vulnerabilidades y ataques inherentes a la capa MAC del 802.11.
2.6 Conclusiones
El estudio y análisis de las funcionalidades fundamentales del nivel de enlace de
las redes WLANs, así como descubrimiento de las vulnerabilidades a las cuales
están expuestos sus paquetes de control y de gestión hacen posible, por intrusos
mal intencionados, atacar las mismas. Por mucho que se pueda pensar, esas
vulnerabilidades en la capa MAC han dejado la tecnología WiFi expuesta a
amenazas de DoS, producto de inundación del canal de comunicación por el mal
uso de esos paquetes de control y de gestión.
Vistos los posibles ataques a los cuales esas redes pueden ser sometidas, es de
vital importancia encontrar soluciones o alternativas en el ámbito de una seguridad
integral para organismos y entidades empresariales a fin de garantizar una
conectividad adecuada a sus clientes. De ello, la determinación necesaria de
algoritmos de detección y la validación de los mismos mediante un Script de
detección que detecta esos ataques sería de suma importancia. Tal es el objetivo
del siguiente capítulo.
75

Capítulo III
Propuesta y validación de
algoritmos para la detección de
intrusiones.
La prueba que enfrentamos en nuestro
progreso no es si somos capaces de aumentar
el patrimonio de los que tienen mucho, sino
si podemos entregar lo suficiente a quienes
tienen demasiado poco.
Franklin D. Roosevelt.
76

Capítulo III: Propuesta y validación de algoritmos para la detección de
intrusiones.
Capítulo III: Propuesta y validación de algoritmos para la detección de
intrusiones en la capa de enlace de la 802.11.
Introducción
No es posible afrontar el desarrollo tecnológico de los IDSs, particularmente los
que están destinados para las redes WiFi y de acuerdo a las sofisticaciones de los
ataques actuales, si no existen detecciones de intrusos en los protocolos de la
capa de enlace.
Resulta necesaria la definición rápida de detectores de intrusiones para garantizar
los elevados requerimientos de seguridad de estas redes durante sus procesos de
explotación. Los IDSs existentes hasta el momento no cumplen con los
requerimientos necesarios.
Con el objetivo de avanzar en la respuesta a estas necesidades y partiendo de los
resultados del análisis realizado anteriormente y la experiencia adquirida, el
presente capítulo propone realizar algunos de los ataques antes descritas en una
red de prueba, determinar el método y los algoritmos necesarios para la detección
de esos ataques basándose en el análisis propios de los paquetes de control y de
gestión. Por último, se ofrecerán detalles de la implementación del Script detector
que validara esos algoritmos propuestos, comprobando así la hipótesis de ésta
investigación.
3.1 Ejecución de ataques o amenazas a detectar
Para concretizar lo anterior, se implementarán algunos de los ataques
mencionados en la realidad y se comprobarán los efectos de los mismos en una
red de prueba.
El objetivo es identificar, al realizar la inyección de los paquetes de control
(RTS/CTS) y de Gestión (des-autenticación y des-asociación), el impacto sobre
criterios de denegación de servicio en la red. Además, se pretende obtener una
77

Capítulo III: Propuesta y validación de algoritmos para la detección de
intrusiones.
base de datos de paquetes de los ataques que permitan validar las alternativas
propuestas.
3.1.1 Instrumentos y equipos utilizados.
En esta investigación se recolectaron paquetes en un escenario real con la
finalidad de tener características importantes para la determinación de soluciones
o alternativas capaces de detectar intrusiones en la red WiFi operando en la banda
de 802.11b/g bajo influencia de inyección de paquetes de control y de gestión,
para la cual se utilizaron las siguientes herramientas y equipos:
1) Una Computadora Acer (Computadora A): utilizada para la inyección de
paquetes (RTS/CTS, des-autenticación y des-asociación). Este computador
cuenta con las siguientes características: Ver tabla 3.1.
2) Una Computadora HP (Computadora B): Utilizada para la navegación en
la red local implementada (ftp, http, correo) y en páginas de internet
mediante google.com. Esta computadora cuenta con las siguientes
características: Ver tabla 3.1.
3) Dos Computadoras TOSHIBA (Computadoras C and D): utilizadas
también para la navegación en la red de prueba. Una de ellas, la
computadora C, además de navegar tiene el software sniffer Wireshark
para la captura de los paquetes en la red. Estas computadoras cuentan con
las siguientes características: Ver tabla 3.1.
En el computador sniffer, para analizar el intercambio de paquetes en la interfaz
de aire, se utilizó el programa Wireshark, el cual es un poderoso monitor y
analizador de redes inalámbricas 802.11 a/b/g. Wireshark para WiFi captura cada
paquete en el aire mostrando información importante como la lista de paquetes y
conexiones de red, la distribución de protocolos, permitiendo examinar los
paquetes capturados.
78

Capítulo III: Propuesta y validación de algoritmos para la detección de
intrusiones.
Tabla 3.1: Características de las computadoras utilizadas en el experimento.
Computadora
A
B
C
D
Tipo de la
Tarjeta WiFi
Atheros
Broadcom
Intel(R)
PRO/Wireless
3945ABG
Ralink
Memoria
RAM
1GB
3 GB
3 GB
2 GB
Disco
Duro
40GB
320 GB
250GB
160 GB
Observación
Usa Madwifi-ng como
driver, genera los
ataques.
IEEE 802.11b,VT: 54
Mbps, F: 2.4 GHz
3945ABG Implementa
el modo monitor.
Monitorea con el
Wireshark.
IEEE 802.11b/g/i,
WEP, TKIP, WPA,
WPA2
Otra herramienta informática necesaria es el software que permite inyectar el
tráfico continuo de paquetes de control y de gestión en la red. Esto se logra con la
ayuda del Airebase, en su versión 3.20, que es una colección de instrumentos de
pruebas conducidos por consola para redes WiFi. La utilidad pcap2aire del
software es utilizado para inyectar paquetes RTS, CTS, Des-autenticación, Desasociación
contenidos en el fichero dist-pcaps, incluido por defecto en el software.
Para establecer la conexión inalámbrica entre estas computadores, se utilizó un
punto de la red Ethernet del laboratorio 319 del departamento, como punto de
conexión del punto de acceso NETGEAR de 54Mbps tipo Wireless Router
WGR614 v7 en modo infraestructura, creando así una subred controlada por el AP
79

Capítulo III: Propuesta y validación de algoritmos para la detección de
intrusiones.
y que será la red de prueba. El AP está configurado para DHCP y con seguridad
WPA2 habilitado.
El sistema operativo utilizado en la computadora atacante es el Back Track 3, uno
de los sistemas operativos más completo de auditoría de redes WiFi. La elección
de este sistema operativo debe a que traje su kernel apto para el manejo de
madwifi y madwifi-ng, drivers manipuladoras de la inyección en los adaptadores
atheros.
Para el propósito de esta investigación, los paquetes de control y de gestión son
inyectados en la red de prueba presentando una fuente de congestión en el canal
de comunicación, que afecte al desempeño de la misma.
3.1.2 Realización de los ataques y captura de datos.
Consta de 3 faces fundamentales.
Fase I: Determinación de Requerimientos
En esta fase se evaluaron los requerimientos técnicos y tecnológicos de la Red
WiFi experimental a diseñar (hardware, software, características, entre otros). Fue
posible determinar los requerimientos mínimos necesarios para la implementación
de la red WiFi con la finalidad de cumplir los objetivos planteados.
Figura 3. 1 Escenario de la red de prueba.
80

Capítulo III: Propuesta y validación de algoritmos para la detección de
intrusiones.
Fase II: Realización de los ataques y captura de datos.
Para esta fase se tomaron en cuenta los requerimientos obtenidos en la fas e I; al
mismo tiempo se determinó cantidad mínima de computadoras (3: una para el
ataque, otra para la captura y la última navegando), adaptadores de red (Atheros
para realizar el ataque, 3945ABG para el monitoreo), canales de prueba (11 en
esa investigación), seguridad (WPA2), direcciones IP.
Después de haber estudiado la tecnología de hardware y los diversos elementos
necesarios para la elaboración de los ataques, así como los requerimientos
necesarios se pudo determinar lo siguiente:
Una vez ubicados las computadoras que conforman la red WiFi en modo
infraestructura, se estableció el tráfico continuo de datos entre éstos con la ayuda
del envío de paquetes con solicitud de eco ICMP a un host específico (computador
B hacia D), mientras que la computadora C navegaba normalmente en la red (ftp,
http, correo), creando el flujo de datos a ser capturado y analizado.
Para analizar el intercambio de paquetes en la interfaz aire y la ocupación del
canal inalámbrico de prueba, y para tomar las mediciones de la tasa de
transmisión, los paquetes enviados, recibidos y perdidos, se utilizó el computador
C, también equipado con una tarjeta inalámbrica WiFi Intel(R) PRO/Wireless
3945ABG, que le permite trabajar en modo de escucha.
Sobre este computador se instaló el software sniffer inalámbrico Wireshark para el
monitoreo de la actividad de la red y la captura de los paquetes. Wireshark fue
configurado para que pueda almacenar a cada minuto los paquetes en un archivo
de reporte para el análisis posterior.
81

Capítulo III: Propuesta y validación de algoritmos para la detección de
FASE III. Verificación
intrusiones.
Para realizar dicha fase, inicialmente se acudió al Wireshark para la comprobación
del intercambio de datos en la red en condiciones normales y de ataques:
o En condiciones normales: Ausencia de ataques. Se comprobó la
constancia de la comunicación de los nodos en la red la cual puede verse
en la figura siguiente.
Figura 3. 2 Captura en condiciones normales, ausencia de ataques.
En ésta figura, se muestra en el campo info de Wireshark, el tipo de información
intercambiada. Se ilustran los tipos Data, Acknowledgement, Beacom propios a
una comunicación normal.
o En condición de ataques: Presencia de intrusiones. En esa condición, se
analizaron 4 escenarios correspondientes a los 4 tipos de ataques que
serán detectado:
1) Escenario 1: Ataques de CTS falso y de duración
Se inyectaron paquetes CTS como se explicó en los epígrafes 2.5.1y 2.5.2 y se
observó la DoS de los nodos B y D así como sus desconexiones de la red por
la ocupación del canal por los paquetes CTS falso inyectado del atacante. En
82

Capítulo III: Propuesta y validación de algoritmos para la detección de
intrusiones.
las figuras 3.3 y 3.4 se ilustran las capturas y el estado de desconexión del
nodo en esa condición.
Figura 3. 3 Captura durante el ataque CTS.
Figura 3. 4 Estado de desconexión durante el ataque CTS.
Al analizar el fichero pcap capturado, se determinó que la desconexión ocurre al
enviar un mínimo de 50 paquetes CTS con una frecuencia de 0,1s.
2) Escenario 2: Ataque de RTS falso
Se inyectaron paquetes RTS como se describió en los epígrafes 2.5.3 y se
observó la DoS de los nodos B y D así como sus desconexiones de la red, por la
83

Capítulo III: Propuesta y validación de algoritmos para la detección de
intrusiones.
ocupación del canal por los paquetes RTS falsos inyectados por el atacante. En
las figuras 3.5 y 3.6 se ilustran las capturas y el estado de desconexión del nodo
en esa condición.
Al analizar el fichero pcap capturado, se determinó que la desconexión ocurre al
enviar un mínimo de 47 paquetes RTS con una frecuencia de 0,1s.
3) Escenario 3: Ataque de Des-autenticación
Se inyectaron paquetes de Des-autenticación como se describió en los epígrafes
2.5.4 y se observó la DoS de los nodos B y D así como sus desconexiones de la
red, por la ocupación del canal por los paquetes de des-autenticación inyectado
por el atacante. En las figuras 3.7 y 3.8 se ilustran la captura y el estado de
desconexión del nodo en esa condición.
Figura 3. 5 Captura durante el ataque RTS.
84

Capítulo III: Propuesta y validación de algoritmos para la detección de
intrusiones.
Figura 3. 6 Estado de desconexión durante el ataque RTS.
Figura 3. 7 Captura durante el ataque de des-autenticación.
85

Capítulo III: Propuesta y validación de algoritmos para la detección de
intrusiones.
Figura 3. 8 Estado de desconexión durante el ataque de des-autenticación.
Al analizar el fichero pcap capturado, se determinó que la desconexión ocurre al
enviar un mínimo de 41 paquetes de des-autenticación con una frecuencia de
0,1s.
4) Escenario 4: Ataque de Des-asociación
Se inyectaron paquetes de Des-asociación como se explicó en los epígrafes 2.5.4
y se observó la DoS de los nodos B y D así como sus desconexiones de la red,
por la ocupación del canal por los paquetes de des-asociación inyectado por el
atacante. En las figuras 3.9 y 3.10 se ilustran la captura y el estado de
desconexión del nodo en esa condición.
Al analizar el fichero pcap capturado, se determinó que la desconexión ocurre al
enviar un mínimo de 43 paquetes de des-autenticación con una frecuencia de
0,1s.
86

Capítulo III: Propuesta y validación de algoritmos para la detección de
intrusiones.
Figura 3. 9 Captura durante el ataque de des-asociación.
Figura 3. 10 Estado de desconexión durante el ataque de des-autenticación.
Una vez demostrado el mal uso de las vulnerabilidades de los paquetes de control
y gestión como amenazas para las redes WiFi, es necesario definir y aplicar un
método que sirva a detectar esas anomalías y así, definir algoritmos necesarios
para esa detección.
87

Capítulo III: Propuesta y validación de algoritmos para la detección de
3.2 Método de detección
intrusiones.
La determinación de un método de detección de intrusiones depende del objetivo
al cual se asigna su implementación. Como la detección de anomalías parte de la
suposición de que los usuarios y las redes se comportan de un modo
suficientemente regular, de forma que cualquier desviación significativa pueda ser
considerada como evidencia de una intrusión, hay que considerar muchos
parámetros de referencias para un buen entrenamiento y comportamiento del
sistema generado. Las ventajas y desventajas de este método de detección fueron
vistas en detalles en el capítulo 1 y su funcionalidad parte del proceso de
detección de anomalías creando perfiles de comportamiento normal que sirven de
modelos con los cuales compara la conducta actual del sistema y detecta
cualquier anomalía [19].
Teniendo en cuenta las características restringidas de los paquetes de control, tal
solución no parece de vital importancia ya que se desprecia el carácter inteligente
de ese método de inteligencia artificial.
Por lo tanto, se adoptará el método de detección por reglas, basándose a la
implementación en Python de Scripts para la determinación de reglas o
condiciones bajo las cuales un comportamiento será considerado anormal a partir
del análisis de paquetes. Por lo tanto, es evidente determinar algoritmos
detectores que implementen esas reglas o condiciones de detección.
3.3 Algoritmos de detección.
Definir algoritmos que permitan detectar anomalías determinadas en un entorno
inalámbrico no es una tarea trivial. De acuerdo al estudio y análisis del mecanismo
de acceso al medio CSMA/CA del capítulo anterior, la filosofía del proceso de
intercambio de los paquetes RTS/CTS conduce a determinar los algoritmos
siguientes para la detección de ataques provenientes de esos paquetes.
88

Capítulo III: Propuesta y validación de algoritmos para la detección de
intrusiones.
3.3.1 Algoritmo de detección de CTS falso
Según lo explicado en el epígrafe 2.5.1 y la experiencia adquirida en la ejecución
de ese ataque, se llegó a proponer el algoritmo siguiente para su detección:
1. Escuchar la trama 802.11, almacenarlas.
2. Extraer la cabecera de la trama.
3. Identificar el tipo de trama.
4. Si es una trama de control, especificar el subtipo.
5. Si es un CTS, verificar si la trama inmediatamente anterior es un paquete
RTS.
6. Si no, activar la alarma.
A continuación se muestra el diagrama de actividad de éste algoritmo:
Activar
Alarma
no
no
Escuchar y
Extraer MAC
Identificar tipo
de Trama
¿Control?
. Identificar Subtipo
. Hacer P[n]=P[n+1]
no
si
¿CTS?
si
¿P[n]=RTS?
si
.Poner P[n]=P[o]
Figura 3. 11 Diagrama de actividad del algoritmo de detención del ataque CTS falso.
La idea principal de éste algoritmo resulta en chequear si cada CTS transmitido
corresponde a un RTS según el funcionamiento del algoritmo CSMA/CA, en el
89

Capítulo III: Propuesta y validación de algoritmos para la detección de
intrusiones.
cual se manda primero un RTS a un nodo destino para avisar que se quiere
transmitir y se espera entonces un CTS como para afirmar la aceptación de esa
transmisión. Eso quiere decir que cada CTS se enviará, en las condiciones
normales, tras el envío de un RTS. De no ser así cualquier otro CTS enviado sin el
envío previo de un RTS indicaría un funcionamiento anormal del protocolo
CSMA/CA lo cual muestra la presencia de un intruso en la red.
El problema que puede tener ese algoritmo seria la no detección de un RTS
realmente enviado por el emisor, sea por motivos propios del sistema de
detección, y la recepción entonces de un CTS que será considerado por él como
una intrusión: un falso positivo.
3.3.2 Algoritmo de detección del ataque de duración.
El ataque de duración es el hecho de mandar continuamente paquetes CTS en la
red con su máximo valor de NAV (32 μs) y a una frecuencia igual al mismo valor
del NAV (epígrafe 2.5.2, cap. 2). Es un ataque puramente de inundación del canal
de comunicación con esos paquetes, denegando así el acceso a los servicios de
la red a nodos clientes. Para detectar ese ataque, se propuso en esta
investigación el siguiente algoritmo:
1. Escuchar la trama 802.11, almacenarla.
2. Extraer la cabecera MAC de la trama.
3. Identificar el tipo de trama.
4. Si es una trama de control, especificar el valor del NAV correspondiente.
5. Si el valor de NAV= [30-32] microsegundo, incrementar contador
6. Si el contador > Umbral en un tiempo previamente fijado, activar el alarma
y poner contador = 0 y repetir.
7. Si no es una trama de control, poner contador = 0 y repetir.
En éste algoritmo, se chequea el tipo de trama porque son las de control que
definen los valores de NAV y de la misma manera, se aceptan 50 incrementos
(Umbral en esta investigación) al contador en 5s (tiempo fijado), de acuerdo a los
90

Capítulo III: Propuesta y validación de algoritmos para la detección de
intrusiones.
resultados obtenidos del análisis de las capturas hechas en la realización del
ataque. Aunque es posible mandar más de 30000 paquetes CTS en 1s (porque
1s/32µs es aproximativamente 31250 veces), se observó la desconexión de los
nodos en un promedio experimental de 50 paquetes en 5s. Ese es la razón por la
cual se consideraron estos datos como umbral de detección. A continuación, se
presenta en la figura 3.12 el diagrama de actividad del algoritmo propuesto.
C=0
T=0
no
no
Escuchar y
Extraer MAC
Identificar tipo
de Trama
¿Control?
si
Identificar Valor
NAV
¿NAVє[30-32μs]?
si
C=C+1
¿C> 50? And
T> 5s
si
Activar Alarma
Poner C=0
Poner T=0
Figura 3. 12 Diagrama de actividad del algoritmo de detección del Ataque de Duración.
3.3.3 Algoritmo de detección del ataque RTS.
El ataque de RTS falso consiste en mandar paquetes RTS en la red con la
intención de inundar el canal y, de esta manera bloquear los nodos que están en
el rango de transmisión del transmisor. Aunque éste ataque no fue descrito en el
capítulo 2, se brindará un algoritmo de detección del mismo ya que la ocupación
del canal puede ser producida por ello.
no
91

Capítulo III: Propuesta y validación de algoritmos para la detección de
intrusiones.
En éste trabajo se tratará de dar una posible solución de detectar éste tipo de
ataque, la cual consiste en aplicar el algoritmo similar al epígrafe 3.3.2:
1. Escuchar la trama 802.11, almacenarla.
2. Extraer la cabecera MAC de la trama.
3. Identificar el tipo de trama.
4. Si es una trama de control, especificar el subtipo.
5. Si es un CTS, poner contador=0
6. Si es un RTS, poner contador= contador+1
7. Si el contador > Umbral en tiempo previamente fijado, activar el alarma y
poner contador = 0 y repetir.
8. Si no es una trama de control, poner contadores = 0 y repetir.
La figura siguiente representa el diagrama de actividad de éste algoritmo.
Activar
Alarma
si
no
no
Escuchar y
Extraer MAC
Identificar tipo
de Trama
¿Control?
si
.
Identificar Subtipo
¿RTS?
si
Hacer P[n]=P[n+1]
P[n]> 50 and
T> 5s
Poner P[n]=P[o]
T= 0
Figura 3. 13 Diagrama de actividad del algoritmo de detección del Ataque de RTS.
no
92

Capítulo III: Propuesta y validación de algoritmos para la detección de
intrusiones.
La idea detrás de éste algoritmo es detectar el flooding provocado por el envío
continuo de paquetes RTS: flooding de RTS.
3.3.4 Algoritmo de detección de los ataques de des-autenticación y de des-
asociación.
En esta investigación, se consideraron como ataques de des-autenticación y de
des-asociación al envío continuo de esos paquetes en la red en la intención de
des-autenticar y de disociar a los clientes autorizados. Para sus detecciones, se
aplica el algoritmo similar al del epígrafe 3.3.3:
1. Escuchar la trama 802.11, almacenarla.
2. Extraer la cabecera MAC de la trama.
3. Identificar el tipo de trama.
4. Si es una trama de gestión, especificar el subtipo.
5. Si es de des-autenticación, incrementar el contador C1 y si es de desasociación,
el contador C2.
6. Si C1 > Umbral en tiempo previamente fijado, activar el alarma y poner C1
= 0 y repetir.
7. Si C > Umbral en tiempo previamente fijado, activar el alarma y poner C2 =
0 y repetir.
8. Si no es una trama de gestión, poner C1=C2 = 0 y repetir.
La idea de tras de este algoritmo es detectar el flooding provocado por el envío
continuo de paquetes de des-autenticación y de des-asociación: flooding de
DESAU y de DESAS.
Después de haber propuesto los algoritmos de detección correspondiente a cada
uno de los ataques mencionados, seria de suma importancia validarlos en la
implementación de un Script detector, que detecte intrusiones y que será la
propuesta de solución adicional de esta investigación.
93

Capítulo III: Propuesta y validación de algoritmos para la detección de
no
¿DESAS?
si
Hacer Q[n]=Q[n+1]
si
Q[n]> 50 and
T> 5s
si
Activar
Alarma
si
intrusiones.
no
no
Escuchar y
Extraer MAC
Identificar tipo
de Trama
¿gestion?
si
.
Identificar Subtipo
¿DESAU?
si
Hacer P[n]=P[n+1]
P[n]> 50 and
T> 5s
Poner P[n]=P[o]
Q[n]=Q[o]
T= 0
Figura 3. 14 Diagrama de actividad del algoritmo de detección del Ataque de desautenticación
y de des-asociación.
3.4 Implementación del Script de detección.
Para la implementación del Script, se emplearon las funcionalidades del lenguaje
de programación Python, al ser un lenguaje interpretado o de script,
multiplataforma y orientado a objetos. La elección de Python como lenguaje de
programación para esta investigación se debe a su sencillez en la implementación
no
no
94

Capítulo III: Propuesta y validación de algoritmos para la detección de
intrusiones.
de Scripts, su portabilidad y también por ser el lenguaje de más desempeño del
autor de este trabajo.
Los campos de la trama MAC utilizados para la identificación de los paquetes
fueron los del tipo y subtipo, ya que en esos paquetes de control y de gestión los
demás campos de la trama de control están fijados a 1.
El objetivo del Script es detectar, basándose en las reglas definidas en los
algoritmos propuestos, en tiempo real o de ficheros previamente capturados, el
mal uso de los protocolos de control y de gestión de las WLANs.
En el caso de detección en tiempo real, una notificación de ataque es enviado al
administrador indicándole el tipo de intrusión producida.
3.4.1 Requerimientos Mínimos
Como el lenguaje es multiplataforma, no es imprescindible determinar un sistema
operativo especial, ya que existe Python para Windows como para los sistemas
Unix. Pero, para llegar al objetivo asignado, fueron necesarios algunos
requerimientos mínimos que a continuación se presentan:
o La librería Python_libpcap para la captura en tiempo real y la apertura de
los archivos pcap. Esta librería se encuentra en el repositorio.
o La librería dpkt en su versión 1.7 o superior, para el manejo de los
protocolos del IEEE802.11, en la generación y parcheo de paquetes.
Las versiones inferiores al 1.7 no implementan el parcheo de los protocolos
802.11.
o Para las capturas externas al AP, la tarjeta WLAN debe soportar el modo
Monitor.
Las otras librerías, time, smtplib, optparse son estándares que se instalan por
defecto con Python.
95

Capítulo III: Propuesta y validación de algoritmos para la detección de
3.4.2 El Script
intrusiones.
El WIDS (Sistema de Detección de Intrusiones Inalámbricas, Wireless Intrusion
Detection System) diseñado en Python se basa en el análisis continuo de los
paquetes de control y de gestión que circulan en la red o en un fichero
previamente capturado, en busca de condiciones o reglas definidas en los
algoritmos de detección.
Para la captura en vivo y análisis de ficheros pcap, se empleó la librería pylibpcap-
0.6.2 y para extraer la información del protocolo IEEE802.11 se empleó la librería
dpkt-1.7. Además, se emplearon un conjunto de librerías estándares de Python
para funcionalidades como envió de correos empleando el protocolo SMTP (con
TLS), analizar y definir los argumentos empleados en la línea de comandos para
definir el modo de funcionamiento del Script. Como se mencionó anteriormente el
sistema permite la detección en tiempo real, capturando y analizando paquetes
que circulan por la red. También, analiza ficheros de capturas de forma offline, o
sea, analiza ficheros pcap previamente capturados.
Para la opción del análisis en tiempo real, las notificaciones relativas a las
intrusiones son enviadas de manera predeterminada, por correo electrónico al
grupo de administración de la red. Para evitar inundar los buzones de los
administradores, se definió que sólo se enviarán notificaciones de inicio de una
intrusión y además se definió que una vez enviado un correo para enviar otro
deberá esperarse por lo menos una hora.
Otros mecanismos de salida definidos fueron la salida estándar (stdout) y hacia un
fichero (traza del sistema o log). Solo se notifica el inicio o fin de una intrusión.
Para determinar el fin de una intrusión se emplean dos umbrales, uno asociado al
tiempo sin detectar paquetes de ataque y otro al número de paquetes normales
consecutivos. A continuación se presenta el esquema del sistema.
96

Capítulo III: Propuesta y validación de algoritmos para la detección de
intrusiones.
Figura 3.15 Esquema del Script.
El sistema está compuesto por tres ficheros:
init.py: donde se definen los elementos de configuración básicos, tales
como umbrales y detalles de las cuentas de correo a emplear.
widslib.py: Se definen las funciones y clases necesarias.
main.py: Programa principal.
En el anexo 2, se presenta el código fuente del Script.
3.4.3 Modo de Aplicación
El Script desarrollado puede ser incorporado a un AP implementado con cualquier
software de APs como el hostap, al configurar su fichero hostapd.conf. En este
caso, basta declarar en el fichero de configuración /etc/network/interfaces la
función de activación del Script (en este caso main.py) para que se inicie cada
vez que se arranque el AP. Entonces complementa la línea de seguridad de la red
97

Capítulo III: Propuesta y validación de algoritmos para la detección de
intrusiones.
administrada por ese AP en la detección de intrusos debido al mal uso de los
protocolos de control y de gestión.
Otra aplicación del Script reside en el análisis de ficheros previamente capturados
con algún sniffer como Wireshark. En este caso, se instala el script en la
computadora que cumple los requerimientos mínimos mencionados y el agente de
seguridad deberá escoger la opción de análisis de fichero previamente capturados
con –f a partir del menú de inicio. Aquí, no se enviará mensaje de notificación por
correo y se imprimirá en pantalla el resultado de la detección.
3.4.4 Validación de los resultados.
Para la verificación de los resultados, se comprobó el funcionamiento del Script en
sus dos variantes de aplicación. Se analizaron 50 inyecciones de paquetes y un
total de 43 ficheros previamente capturados.
La detección en tiempo real
Las 50 inyecciones fueron repartidas entre los ataques de la manera siguiente:
o 10 inyecciones correspondientes al ataque de CTS falso
o 10 inyecciones correspondientes al ataque de RTS falso
o 10 inyecciones correspondientes al ataque de Des-autenticación
o 10 inyecciones correspondientes al ataque de Des-asociación
o 10 inyecciones correspondientes a paquetes normales
Se utilizo el AP implementado, basándose en el uso del hostap, y se definió como
umbrales 50 paquetes en cuanto a la cantidad de paquetes y 5s para el tiempo.
Además, se consideró como servidor de correo el servidor de la facultad de
eléctrica y dos usuarios de ese correo como agentes de seguridad.
En fin, al realizar los ataques correspondientes, se recibieron las notificaciones por
envío de correo electrónico a los usuarios determinados.
En cuanto al envío de paquetes normales, no se notó ninguna ocurrencia de
ataque ni recepción de notificación falsas, comprobando la eficacia del detector.
98

Capítulo III: Propuesta y validación de algoritmos para la detección de
intrusiones.
En cuanto al análisis de los margen de los umbrales determinados, se realizaron
envíos de cantidades de paquetes ligeramente menores al umbral (49 y 43
paquetes en los casos de CTS y RTS, 45 y 40 en los de des-autenticación y des-
asociación) y cantidades de paquetes ligeramente mayores al umbral (52
paquetes para todos los ataques) y no se ha recibido notificaciones de ataques.
Las notificaciones fueron apreciadas cuando el número de paquetes inyectados
supera a los 54 paquetes a la frecuencia de 0,1s.
La inconveniencia expuesta anteriormente es debido a la taza de interferencias en
el canal de comunicación y pérdida de paquetes puede deberse al solapamiento
con otros APs como el de DISERTIC y GDISEC que operaban en el mismo canal.
A pesar de lo dicho anteriormente, la eficiencia del Script en la detección del mal
uso de los protocolos de control y de gestión fue evaluada a un 95% al detectar
correctamente 38 ataques en 40 intentos.
La detección por análisis de ficheros capturados
Se analizaron un total de 43 ficheros capturados repartidos de la manera
siguiente:
o 8 ficheros de ataques CTS
o 6 ficheros de ataques RTS
o 8 ficheros de ataques de des-autenticación.
o 11 ficheros de ataques de des-asociación.
o 10 ficheros de paquetes normales
Los resultados fueron concluyentes con respecto al análisis anterior. De allí se
adoptó y se propuso el Script implementado como una herramienta de detección
de intrusos de los protocolos de control y de gestión en su versión 1.
99

Capítulo III: Propuesta y validación de algoritmos para la detección de
3.5 Conclusión
intrusiones.
En este capítulo, se propusieron algoritmos de detección para los ataques de DoS
inherentes a las vulnerabilidades de los paquetes de control y de gestión de la
norma 802.11 y se implementó un Script de detección de los mismos en su versión
1 como modo de validación de los algoritmos propuestos.
Se determinaron características de interés para la implementación del Script
gracias al uso del software Wireshark para la captura y análisis de los paquetes.
Dentro de esas características, se destacaron los campos de utilidad como el
campo tipo y subtipo de la trama de control FC de la cabecera MAC.
Se determinaron algoritmos lógicos (teóricos) de detección de los ataques y se
eligió el lenguaje de programación Python para la implementación del Script,
basándose al comportamiento normal del protocolo CSMA.
Se propuso un Script de detección en una primera versión, que detecta intrusiones
debido al mal uso de los paquetes de control y de gestión, validando así los
algoritmos propuestos. El sistema es capaz de detectar en tiempo real o de modo
offline analizando ficheros previamente capturados. Los resultados obtenidos
fueron validados y el sistema fue estimado a un 95% de eficacia de detección.
100

Conclusiones generales
Conclusiones generales.
El objetivo principal de ésta investigación fue obtener soluciones o alternativas
para detectar intrusiones en redes WiFi, analizando la información y
comportamiento de las tramas de control o de gestión de las comunicación WLAN
y se llegó al cumplimiento del mismo al implementar un Script de detección que
validó los algoritmos propuestos.
Se demostró, por la realización de ataques de DoS a usuarios autorizados, la
existencia de vulnerabilidades en los paquetes de control y de gestión de la
capa MAC del 802.11 después de un análisis de los campos del mismos. Se
realizaron ataques provenientes de esas vulnerabilidades para estudiarlos,
comprobar el modo de operación y obtener una base de paquetes para la
comprobación del script.
Se obtuvieron algoritmos de detección que posibilitaron la implementación del
Script de detección en una primera versión, gracias al conocimiento del
comportamiento del método de acceso al medio para redes WiFi (CSMA/CA),
así como el estudio del modo de operación de los ataques realizados.
El lenguaje de programación Python facilitó la implementación del Script de
detección considerando características fundamentales de los paquetes
capturados, cuya validación de los resultados resalta el cumplimiento de los
objetivos trazados. Durante el extenso proceso de inyección, prueba y
capturas de paquetes, se analizaron más de 35 ficheros de capturas entre los
distintos tipos de ataques.
El resultado obtenido ofrece una primera versión de una solución alternativa de
detección de ataques cuyos resultados validan la hipótesis. Este último constituye
una nueva perspectiva en el trabajo de control y gestión de seguridad en esas
redes y un grupo importante de experiencias, conocimientos y habilidades que
permiten continuar esta línea de investigación para la Red CUJAE.
101

Recomendaciones
Recomendaciones.
Para contribuir a la definición de nuevos mecanismos de seguridad para las redes
WiFi se recomienda:
Proponer al equipo de la Red Cujae los resultados de esta tesis y evaluar
su aplicación en el centro como solución alternativa de seguridad adicional
para la integración de los sistemas de seguridad del instituto.
Proponer a organismos Cubanos e internacionales el análisis de estos
resultados.
Para continuar desarrollando los resultados obtenidos en este trabajo es necesario
profundizar, en próximas etapas de la investigación otras técnicas de detección
como las de Inteligencia Artificial como posibles soluciones a las limitantes de los
IDS actuales.
Por último, investigar sobre mecanismos para contrarrestar esos ataques una vez
que fueron detectados analizando mecanismos de cortafuego o de filtrado de
paquetes.
102

Referencias bibliográficas
Referencias Bibliográficas.
1. Pascual, A.E., Seguridad en Redes Inalámbricas 2007.
2. Víctor (2009) Protocolo 802.11.Taller WiFi. Foro de elhacker.net
3. Anabel F. Castillo Mora, R.F.C.C., Consultorías para la determinación de
brechas de seguridad de una red inalámbrica. 2006, Escuela Superior
Politécnico del Litoral: Guayaquil, Ecuador. p. 247.
4. Carlos Varela, L.D. (2002) Redes Inalámbricas. Volume 18.
5. Juan P. Asturias Sueira, J.R.E.A., [ok1] Sistema de ubicación geográfica de
una terminal de una red WiFi. 2004, Francisco Marroquín: Guatemala. p.
62.
6. Lorente, O.S., Implementación de un modelo de canal inalámbrico para
redes 802.11 bajo el simulador ns-2 2005, Politécnica de Catalunya:
Catalunya. p. 70.
7. Pérez, J.W., Análisis de la Seguridad en las Redes WiFi, in
Telecomunicaciones y Telemática. 2009, ISPJAE-CUJAE: Habana. p. 114.
8. Cruz, F.L.C.d.l., “Fuerzas Armadas de la región andina en el contexto de la
seguridad cibernética, en concordancia con la resolución de la O.E.A.
AG/RES. 2004 (XXXIV-O/04)”. 2004, Del Salvador, Buenos Aires,
Argentina.
9. Alcatel-Lucent, W.A.D., Transformación de la Seguridad IP de extremo a
extremo en los Entornos Corporativos. Octubre 2007.
10. Walter Baluja García, J.R.Q.R., Yanela Fernández Cruz, Detección de
Intrusiones en Redes Inalámbricas. 2009.
103

Referencias bibliográficas
11. Motorola.com, W.P.d., What Hackers Know That You Don’t 2008, Printed in
USA 05/08: USA. p. 12.
12. Enrique de Miguel Ponce, E.M.T., Vicente Mompó Maicas (2004) Redes
inalámbricas: IEEE 802.11. Volume, 33.
13. Division, T.W.E.A., WiFi New Synonymous With 802.11n. 2009.
14. Walter Baluja García, M.C., Arquitectura y Sistema Para la Gestion de
Seguridad de las redes de telecomunicaciones del departamento de
telemática. 2006, Instituto Superior Politécnico “José Antonio Echeverría”,
Ciudad de La Habana. p. 206.
15. (TSB), U.-T.O.c.d.N.d.l.T., La seguridad de las telecomunicaciones y las
tecnologías de la información, UIT, Editor. 2006, UIT: ginebra.
16. Robert Richardson, C.D., The latest results from the longest-running project
of its kind. 2008: p. 31.
17. Liu, H.G., R, Temporal Analysis of Routing Activity for Anomaly Detection in
Ad hoc Networks. 2006.
18. Khalil El-Khatib, M.G., Aboubakr Lbekkouri (2008). Selecting the Best Set of
Features for Efficient Intrusion Detection in 802.11 Networks. Volume, 4.
19. Bon, I.R.E., Empleo de Redes Neuronales en la Detección de Intrusos, in
Departamento de Telemática. 2005, Instituto Superior Politécnico “José
Antonio Echeverría”: Habana, Cuba. p. 126.
20. Yanella F. Cruz, J.R.Q.R., Empleo de redes MLP para la detección de
intrusiones, in Facultad de Ingeniería Eléctrica, Departamento de
Telemática. 2009, Instituto Superior Politécnico “José Antonio Echeverría”:
Habana,Cuba. p. 115.
104

Referencias bibliográficas
21. Alexandros Tsakountakis, G.K.a.S.G. Towards effective Wireless Intrusion
Detection in IEEE 802.11i.
22. Valli, C. (2005) Wireless Snort – A WIDS in progress. Volume, 5.
23. Timothy R. Schmoyer, Y.X.L.a.H.L.O. (2004) Wireless Intrusion Detection
and Response.
24. Symbol Technologies, I. and O.S. Plaza, Sistema de protección inalámbrico
contra intrusos: Solución completa de seguridad y monitoreo de redes
locales inalámbricas. 2008.
25. MOSER, M., Ataques a Clientes Inalámbricos EN EL PUNTO DE MIRA.
2009: p. 4.
26. Corporate, B. (2005) Bluesocket presenta su completa solución WLAN.
Volume, 2.
27. Y. Chen, Y.L., X. Cheng, L. Guo, Survey and Taxonomy of Feature
Selection Algorithms in Intrusion Detection System. 2006.
28. H. Liu, H.M., Feature Selection for Knowledge Discovery and Data Mining.
1998.
29. A. H. Sung, S.M. The Feature Selection and Intrusion Detection Problems.
2004.
30. G. Stein, B.C., A.S. Wu, K.A. Hua, Decision tree classifier for network
intrusion detection with GA-based feature selection. March 2005.
31. A. Hofmann, T.H., B. Sick, Feature selection for intrusion detection: an
evolutionary wrapper approach. July 2004.
105

Referencias bibliográficas
32. A.H. Sung, S.M., Identifying important features for intrusion detection using
support vector machines and neural networks, . January 2003.
33. Abderrezak Rachedi, A.B. (2008) Smart Attacks based on Control
PacketsVulnerabilities with IEEE 802.11 MAC. Volume, 6.
34. Patrick LaRoche, A.N.Z. (2005) 802.11 Network Intrusion Detection using
GeneticProgramming. Volume, 2.
35. Marcos, A.M., Seguridad en tecnologias inalambricas. 2005.
36. Britos, J.D. (2005) Enlaces inalambricos de multiples saltos. Volume, 7.
37. Ajay Chandra, V.G.y.J.O.L., Wireless Medium Acces Control Protocols.
Second quarter 2000.
38. González, G.J. (2008) Protocolos Inalámbricos de Control de Acceso al
Medio. Volume, 13.
39. 802.11, A.I.S., Wireless LAN Medium Access Control (MAC) and Physical
Layer (PHY) Specification. 1997.
40. Hugo Araya Lara y Walter Grote Hahn, h.a.u.c., wgh@elo.utfsm.cl, Modelo
de Simulación para Interfaz de Radiofrecuencias del protocolo
IEEE802.11b. p. 9.
41. Alain Abel Garófalo Hernández, P.A.G.C., Sniffers para la comprobación de
seguridad de redes inalámbricas. 2010.
42. Radosavac, S., INTRUSION DETECTION FOR DEFENSE AT THE MAC
AND ROUTING LAYERS OF WIRELESS NETWORKS. 2007.
43. Miller, S.S., WiFi Security. 2003.
106

Referencias bibliográficas
44. Kemal Bicakci , B.T. (2008) Denial-of-Service attacks and countermeasures
in IEEE 802.11 wireless networks. Volume, 11.
45. Madory, D., New Methods of Spoof Detection in 802.11b Wireless
Networking. JUNE 2006: Hanover, New Hampshire. p. 59.
46. Snort-wireless 802.11 intrusion detection system.
47. Wright., J., Detecting Wireless LAN MAC Address Spoofing. January 2003.
48. Gast, M., 802.11 Wireless Networks. 2002.
49. Groß, R.N.a.S. (2006) A Sophisticated Solution for Revealing Attacks
onWireless LAN. Volume, 10.
50. U. Deshpande, T.H.a.D.K., “Channel Sampling Strategies for Monitoring
Wireless Networks,” In Proceedings of the Second International Workshop
On Wireless Network Measurement (WiNMee). April 2006.
107

Una vez que la amistad es creada,
hay que saber mantener y enriquecerla,
si no desaparece…
Ahmed Sékou Touré.
Anexos
ANEXOS
108

Anexos
ANEXO 1: Análisis de la Ración del Número de Secuencia SNRA.
La técnica de Sequence Number Rate Analysis (SNRA) consiste en calcular la
ración de transmisión de la diferencia módulo 4095 del número de secuencia de
las tramas consecutivas entre la diferencia de sus tiempos de arribo. Si esa ración
de transmisión es mayor que el límite teórico de transmisión, el SNRA concluye
que ha ocurrido un MACSpoofing. Utilizando este método, la perdida de trama
producto de la naturaleza inalámbrica del medio no causa falsas alarmas [45].
A modo de ejemplo, supóngase el escenario siguiente:
Atacante: 5
Víctima: 1 2 3 4
En ese ejemplo se asume que cada número es el número de secuencia en serie
de las tramas provenientes de una misma dirección de tarjeta de red. Si cada
trama es enviada cada 1mili segundo, entonces la ración de transmisión entre la
primera y la segunda trama debe ser (2-1) tramas/0.001 segundos ó 1000
tramas/segundos. La ración entre la tercera y la cuarta trama puede ser (5-3)
tramas/0.001 segundos ó 2000 tramas/segundos. La ración entre la cuarta y la
quinta trama puede ser (4-5) tramas/0.001 segundos ó 4094000 tramas/segundos
porque la diferencia en el número de secuencia es una diferencia módulo 4095.
Esa anormalidad en la ración de transmisión es evidencia del MacSpoofing.
Dependiendo de los números y de los tiempos de arribo involucrados, la ración de
transmisión entre las tramas de la víctima y las del atacante puede producir
evidencias del MacSpoofing.
Además, si el sistema de sensor del sistema de detención de intrusos inalámbricos
utiliza la técnica de salto de frecuencia de canal o del sampling en el cual cada
sensor individual cubre múltiples canales, no resultaría falsas alarmas producto de
la intermitencia de los saltos [50].
109

Anexos
La base del funcionamiento del algoritmo del SNRA es muy simple, parte del
conocimiento teórico del límite del número de tramas que puede enviar un
dispositivo 802.11 en un segundo. Este límite, que se explicará a continuación es
de 5314 tramas para el 802.11b. Cuando la ración de transmisión de tramas
calculadas sobrepasa ese límite teórico, el SNRA concluye que ha ocurrido un
MACSpoofing.
Es importante aclarar que la diferencia del módulo 4095 se considera por el hecho
que el campo de número de secuencias de la trama sólo reservó 12 bits para la
asignación del número de secuencia, lo que implica que existe 2 12 combinaciones
diferentes posibles, o sea: 4096 dando entonces un rango de 0 a 4095.
Ejemplo del cálculo de límites teóricos de la ración de transmisión
La presente sección muestra un ejemplo del cálculo del límite teórico de la ración
de transferencia, para ese ejemplo se tomará el caso de la WiFi 802.11b.
Se partirá del conocimiento de los siguientes parámetros:
Velocidad máxima de la versión del estándar 802.11 a utilizar, en este caso
sería el 802.11b y esa velocidad es de 11Mbps.
El tamaño mínimo de paquete de la versión del estándar escogido, en el
802.11b un ejemplo de esos paquetes son: paquete ACK y CTS cuyo
tamaño es de 14 bytes, lo que equivale a 98,214 tramas/seg.
Además, se considerará el hecho de que las tramas consecutivas no se envían
inmediatamente una tras otra, hay que esperar un tiempo entre la transmisión de
tramas como especifican el algoritmo de acceso al medio CSMA/CA, el PLCP del
nivel físico y la transmisión del preámbulo [48].Recordando, el tiempo SIFS está
definido por el intervalo de 10 micro segundos según la estimación de la IEEE
como el mínimo intervalo de tiempo de retardo para el algoritmo CSMA/CA.
En el nivel físico, la transmisión del preámbulo incluye 144 bits a 1MHz, y la
cabecera PLCP incluye 48 bits a 2 MHz [48]. Así, la duración de transmisión del
110

Anexos
preámbulo y del PLCP es de 144 microsegundos y 24 microsegundos
respectivamente.
El mínimo retardo de transmisión para cada trama sería entonces:
10 µs (IFS) +144 µs (preámbulo) + 24 µs (PLCP) = 178 µs.
La duración mínima total de transmisión para cada trama se obtiene sumando la
ración de llegada de las tramas de menor tamaño (98,214 tramas/ segundo que
equivale a 10.18 µs) al mínimo retardo de transmisión calculado anteriormente
(178 μs): 178 µs+10.18 µs= 188.18 µs.
Por ende, el límite teórico de transmisión se obtiene por la inversa de este último
valor (1/188.18 µs) que es de 5314 tramas en un segundo para el estándar
802.11b.
111

Anexos
ANEXO 2: Código fuente de la implementación del detector en Python.
El sistema está compuesto por tres ficheros:
init.py: Se definen los elementos de configuración básicos, tales como
umbrales y detalles de las cuentas de correo a emplear.
widslib.py: Se definen las funciones y clases necesarias.
main.py: Programa principal.
A continuación se presenta el código fuente de cada uno de ellos.
Utilidad
Usage: main.py [options] arg.
Options:
H, --help show this help message and exit
F FILENAME, --file=FILENAME read data from pcap file FILENAME
C, --capture capture data using pcap library
-I INTERFACE, --interface=INTERFACE set the interface the pcap will listen to
-O OUTPUT, --output=OUTPUT set the file the program will write to
-N, --no mail disables mail notifications
112

Código Fuentes Del main.py
Anexos
113

Código Fuentes Del widslib.py
Anexos
114

Anexos
115

Anexos
116

Código Fuentes Del init.py
Anexos
117

B
BS: Estación base.
Siglario
SIGLARIO
BSS: Basic Service Set, Conjunto Básico de Servicios.
C
CERT: Computer Emergency Response Team o Equipo de Respuesta de
Emergencia de Cómputo.
CSMA/CD: Carrier Sense Multiple Access with Collision Detection o Acceso
Múltiple por Detección de Portadora y Detección de Colisión.
CSMA: Carrier Sense Multiple Access o Acceso Múltiple por Detección de
Portadora.
CSI: Computer Security Institute o Instituto de Seguridad de Computadoras.
CSIRT: Computer Security Incident Responses Teams o Equipos de Respuesta a
los Incidentes de Seguridad en Computo.
CTS: Clear to Send o Listo para transmitir.
D
DA: Protocolo de Asignación por Demanda.
DARPA: Defense Advanced Research Projects Agency o Agencia de Proyectos
Avanzados de Investigación para la Defensa.
DCF: Función de Coordinación Distribuida.
DFWMAC: Distributed Foundation Wireless MAC 0 MAC Inalámbrico de Principio
Distribuido.
DHCP: Dinamic Host Configuration Protocol o Protocolo para la Configuración
automática de los parámetros de red de los equipos.
DIFS: Función de coordinación distribuida IFS.
118

Siglario
DNS: Domain Name Service, Servicios de Nombres de Dominio.
DSSS: Direct Sequence Spread Spectrum o Espectro Ensanchado por Secuencia
Directa
E
ETSI : European Telecommunications Standards Institute o Instituto de Estándares
de Telecomunicaciones Europeo.
F
FHSS: Frecuency Hopping Spread Spectrum o Espectro Ensanchado por Salto de
Frecuencia.
FBI: Federal Bureau of Investigation o Buro Federal de Investigaciones.
G
GA: Acceso Garantizado.
H
HA: Acceso Híbrido.
I
IBSS: Independent Basic Service Set, Conjunto Básico de Servicio Independiente.
ICV: Integrity Check Value, Valor de Verificación de Integridad.
IDS: Intrusion Detection Systems o Sistema de Detección de Intruso.
IEEE: Institute of Electrical and Electronics Engineers o Instituto de Ingeniería
Eléctrica y Electrónica.
ISI: Interferencia inter símbolo.
ISM : Industrial, Scientific and Medical.
L
LAN: Local Area Network o Red de Área Local.
119

Siglario
LLC: Logical Link Control, Control Lógico de Enlace.
LMDS: Local Multipoint Distribution Service.
M
MAC: Media Access Control, Control de Acceso al Medio.
MMDS: Multichannel Multipoint Distribution Service.
N
NAV: Network Allocation Vector.
O
OFDM: Orthogonal Frequency Division Multiplexing o Multiplicación Ortogonal por
División en Frecuencias.
OSI: Open System Interconnection o Interconexión de Sistemas Abierto.
P
PCF: Función de Coordinación Puntual.
PDU: Protocol Data Unit.
PIFS: Función de Coordinación Puntual IFS.
PLCP: Physical Layer Convergent Procedure.
PMD: Physical Medium Dependent.
Q
QoS: Quality of Service o Calidad de Servicio.
R
RA: Acceso Aleatorio.
RRA: Acceso Reservado Aleatorio.
RTS: Request to Send.
120

S
SIFS: IFS corto.
Siglario
SNMP: Simple Network Management Protocol o Protocolo Simple de Gestión de
red.
SSID: Service Set Identification, Identificación de Punto de Servicio.
T
TCP/IP: Transfert Control Protocol/Internet Protocol o Protocolo de Control de
Transmisión/ Internet Protocolo.
TIC: Tecnologías de la Información y las Comunicaciones.
U
UIT-T: Unión Internacional de Telecomunicaciones Sector de Normalización.
UMTS : Universal Mobile Telecommunications System o Sistema Universal de
Telecomunicaciones Móviles.
V
VoIP: Voice over Internet Protocol o Voz sobre IP.
VPN: Virtual Private Network o Red Privada Virtual.
W
WEP: Wired Equivalet Privacy o Protocolo de Privacidad Equivalente al Cableado.
WIDS: Wireless instructs Detection System o Sistema de Detección de Intruso de
WiFi.
WiMAX: Worldwide Interoperability for Microwave Access o Interoperabilidad
Mundial para Acceso por Microondas.
WLAN: Wireless Local Area Network o red de area local inalámbrica.
WN: Wireless Network.
WPA: WiFi Protected Access o Acceso Protegido WiFi.
121