Estándares de Seguridad en Redes: 802.10 y 802.11

Este estándar especifica la seguridad de gestión y administración de claves, control de acceso, confidencialidad y la integridad de los datos. El estándar 802.10 provee especificaciones para la interoperabilidad de protocolos de seguridad a nivel de enlace de datos (nivel 2 del modelo OSI), se basa se denomina “Secure Data Exchange” (SDE). Fue un estándar para las funciones de seguridad que se podía utilizar en las redes LAN (red de área local) y MAN (red de área metropolitana), fue retirado en enero del 2004 por el estándar 802.11i y el protocolo de Cisco (ISL) para VLANs en Ethernet y 802.1Q. [1]

i

El 802.11i se ratificó el 24 de junio de 2004 para abordar el problema de la seguridad en redes inalámbricas. Se basa en el algoritmo de cifrado TKIP que es un protocolo de gestión de claves dinámicas, estas es usada por WEP y WPA.

ISL (Inter Switch Link)

Es un protocolo propiedad de Cisco que mantiene información sobre VLANs en el tráfico entre routers y switches. Es el método de encapsulación de Cisco para las VLAN que compite con el protocolo libre (no propietario) de IEEE 802.1Q. A pesar de que en los últimos equipos de Cisco se ha dejado de incluir este protocolo en favor del protocolo de la IEEE.

Q

Este estándar permitió que múltiples redes compartieran de forma transparente el mismo medio físico sin presentar interferencias entre ellas este mecanismo es conocido como (Trunking). Todos los dispositivos de interconexión que soportan VLAN deben seguir la norma IEEE 802.1Q que especifica con detalle el funcionamiento y administración de redes virtuales.

El estándar 802.10 se enfoca en las siguientes partes:

• Protocolo de intercambio seguro de datos (SDE)
• SDE sobre Ethernet 2.0
• Gestión de Subcapa SDE
• Etiquetas de seguridad SDE
• Conformidad SDE PICS

Organización del Estándar IEEE 802.10

El Modelo (IEEE 802.10a) Este describe la base arquitectural de los mecanismos 802.10 y establecer las relaciones entre las otras tres partes. Intercambio seguro de Datos (SDE , Secure Data Exchange, IEEE 802.10b) Define un protocolo de seguridad para proteger los datos transferidos entre estaciones en la misma red local. Gestión de Claves (IEEE 802.10c) Define la gestión de las claves requeridas por las entidades SDE. Gestión de Sistema/Seguridad(IEEE 802.10d) Define el soporte requerido a la gestión de red por parte del protocolo SDE

Intercambio seguro de datos (Secure Data Exchange - SDE)

La entidad SDE proporciona servicios de seguridad y una interfaz en el límite con la entidad LLC. Sin embargo, no especifica ninguno de los protocolos superiores que residen en la pila de usuario, incluidos los de la subcapa LLC. La interfaz SDE es equivalente a la interfaz MAC no protegida y, por lo tanto, no requiere cambios en los protocolos de capa superior existentes en la pila de usuarios. Los servicios de seguridad SDE proporcionados a una Pila de administración de claves o a una Pila de administración del sistema requieren el protocolo LLC.

Servicios de seguridad SDE

• Dato confidencial. La entidad SDE proporciona confidencialidad de datos al cifrar la SDE SDU. La entidad SDE proporciona el uso de múltiples algoritmos de confidencialidad y depende de un servicio externo de gestión de claves para establecer una clave de cifrado de datos y una clave de descifrado de datos y para elegir un algoritmo criptográfico apropiado.
• Integridad sin conexión. La entidad SDE proporciona integridad sin conexión al calcular un Valor de comprobación de integridad (ICV) y colocarlo en el campo ICV de la PDU SDE. La entidad SDE depende de un servicio externo de gestión de claves para establecer un algoritmo de integridad y una clave de integridad.
• Autenticación de origen de datos. La autenticación de origen de datos se logra mediante el uso de la administración de claves. Es soportado por la entidad SDE colocando una ID de estación en la porción de encabezado protegido de la PDU SDE. La inclusión de la identificación de la estación también evita el reflejo no detectado de la PDU SDE. La autenticación de origen de datos solo se puede proporcionar junto con el servicio de integridad.
• Control de acceso. El control de acceso es proporcionado por uno o una combinación de los siguientes: administración de claves, administración del sistema y etiquetado de las PDU SDE. El uso de asociaciones de seguridad por parte de la entidad SDE respalda las decisiones de control de acceso de la administración. La entidad SDE no puede transmitir ni entregar una PDU a menos que exista una asociación de seguridad.

Protocolo Inter-Switch Link (ISL) de Cisco

Cisco ha desarrollado una serie de protocolos que llevan información de la configuración de VLANs entre conmutadores, enrutadores y servidores conectados a Fast Ethernet, FDDI y redes troncales de ATM. Se han diseñado estos protocolos para aprovechar las tecnologías de las redes troncales en los que está configurado, cumplir con los estándares existentes y posibilitar interoperabilidad entre la familia de productos de Cisco de conmutadores y ruteadores y otros fabricantes.

Redes de Área Local Inalámbricas

El estándar IEEE 802.11 es un estándar en continua evolución, debida a que existen muchos grupos de investigación, trabajando en paralelo para mejorar el estándar, a partir de especificaciones originales. La versión original del estándar 802.11, del Instituto de Ingenieros Eléctricos y Electrónicos (IEEE), publicada en 1997, especifica dos velocidades de transmisión “teóricas” de 1 y 2 megabits por segundo (Mbit/s) que se transmiten por señales infrarrojas (IR). [5] El estándar original también define el protocolo "múltiple acceso por detección de portadora evitando colisiones" (carrier sense multiple access with collision avoidance, CSMA/CA) como método de acceso. Una parte importante de la velocidad de transmisión teórica se utiliza en las necesidades de esta codificación para mejorar la calidad de la transmisión bajo condiciones ambientales diversas, lo cual se tradujo en dificultades de interoperabilidad entre equipos de diferentes marcas. Estas y otras debilidades fueron corregidas en el estándar 802.11b, que fue el primero de esta familia en alcanzar amplia aceptación entre los consumidores.

CAPAS:

i)Capa de enlace: se divide en: La subcapa MAC (Media Access Control), donde se especifica el protocolo de acceso al medio propiamente dicho, así como una serie de peculiaridades propias de redes inalámbricas como lo es la posibilidad de realizar fragmentación de las tramas y los mecanismos de encriptación para dar confidencialidad a los datos transmitidos.La subcapa LLC (Logical Link Control), que ofrece un servicio de transporte único para todas las tecnologías (esta subcapa es común a todos los estándares IEEE 802). ii. La capa física o PHY Esta capa se encarga principalmente de la modulación y codificación de los datos. [7]

Tecnicas de Modulacion -

• FHSS (Frequency Hopping Spread Spectrum - espectro esparcido por salto de frecuencia), se basa en el concepto de transmitir sobre una frecuencia por un tiempo determinado, después aleatoriamente saltar a otra. Este tipo de modulación no es común en los productos actuales. [7]
• DSSS (Direct Sequence Spread Spectrum - espectro esparcido por secuencia directa), implica que para cada bit de datos, una secuencia de bits debe ser transmitida. Cada bit correspondiente a un 1 es substituido por una secuencia de bits específica y el bit igual a 0 es substituido por su complemento. Esta técnica de modulación ha sido común desde el año 1999 al 2005. [4]
• OFDM (Orthogonal Frequency-Division Multiplexing - modulación por división de frecuencias ortogonales), algunas veces llamada modulación multitono discreta (DMT) es una técnica de modulación basada en la idea de la multiplexación de división de frecuencia - (FDM). FDM, que se utiliza en radio y TV, se basa en el concepto de enviar múltiples señales simultáneamente pero en diversas frecuencias. [7]