Seguridad Wireless Miercoles, 30 de Mayo del 2007 SEGURIDAD INALÁMBRICA   sub. índice · Conceptos básicos · Configuración por defecto del router · Medidas de seguridad recomendadas · Encriptación · WEP · WPA-PSK   Conceptos básicos Primero  vamos  a  explicar  una  serie  de  conceptos  básicos,  que  son  los  que  después manejaremos. SSID: Nombre de nuestra WLAN (red inalámbrica). Los puestos que deseen conectar por wireless   al   router,   tienen   que   conocer   este   nombre   y   colocarlo   en   el   apartado correspondiente de su configuración wireless. ESSID  Broadcast:  Hace  que  nuestro  SSID  sea  público,  es  decir,  cualquiera  que  entre dentro  del  radio  de  acción  de  nuestro  router,  podrá  ver  nuestro  SSID  (Y  conectarse  a nuestra WLAN si no utilizamos encriptación). Dirección MAC: Es un número que identifica a cada una las tarjetas de red. Filtrado  de  direcciones  MAC:  Permite  especificar  qué  ordenadores  pueden  entrar  en  la red. Cuando se active esta característica, hay que introducir en el apartado correspondiente del  router  las  direcciones  MAC  de  cada  cliente  de  la  red  (tarjeta  inalámbrica)  para permitirles el acceso a la red. Configuración por defecto del router Vamos a analizar la configuración del router tal y como está después de desenvolverlo y ponerlo a funcionar. El siguiente caso es un ejemplo que puede variar según el equipo utilizado. ·      Dirección IP del router: 192.168.x.x ·      Sin claves de acceso al router. ·      Servidor   DHCP   Activado.   (El   servidor   DHCP   asigna   automáticamente   una dirección IP dentro de su propio rango a todo aquel ordenador que lo solicite). ·      Wireless activado con los siguientes parámetros: ·      Difusión ESSID activada. ·      SSID: nombre del router. ·      Encriptación WPA. La clave está en la pegatina bajo el router. ·      Sin filtrado de direcciones MAC. ·      Selección de canal automática. En el caso de este router, la seguridad de la conexión inalámbrica se consigue gracias a la encriptación WPA. Para  acceder  por  primera  vez  al  router  pondremos  en  el  navegador  su  dirección  IP (habitualmente será la puerta de enlace de nuestra red local), por ejemplo: 192.168.0.1 Para poder conectar con él deberemos configurar nuestra tarjeta de red en el mismo rango (o en "Obtener una dirección IP automáticamente" si tenemos el servidor DHCP activado). Esto lo hacemos en la pantalla de propiedades del protocolo TCP/IP de nuestra tarjeta de red. Al colocar la IP en el navegador, ingresaremos en   una ventana de logeo que nos pedirá Usuario  y  Contraseña  si  lo  hemos  configurado  previamente  con  ellas.  En  caso  contrario, entrará directamente a la web de configuración, o fijarse cual es el logeo por defecto, si esto no sucede.    Medidas de seguridad recomendadas Si  vamos  a  utilizar  el  router  sólo  mediante  cable  debemos  desactivar  la   característica wireless del router. Esto lo haremos en el menú Básico, apartado Inalámbrico. Esta  es  la  medida  más  drástica  que  podemos tomar,  porque  normalmente  utilizaremos  el router para montar una red inalámbrica. Las acciones que vamos a describir a continuación se pueden realizar independientemente unas  de  otras  según  nuestras  necesidades  de  seguridad  a  la  hora  de  configurar  la  red inalámbrica. También se pueden usar varias de ellas en combinación o incluso todas juntas. 1.-  Cambiar las claves de acceso por defecto. 2.- Cambiar y desactivar SSID Broadcast (Difusión). 3.- Desactivación del servidor DHCP. 4.- Filtrado de direcciones MAC. Cada tarjeta de red posee una dirección MAC (Media Access Control).. Por ejemplo, una dirección  MAC  podría  ser  E1:B1:CF:3D:4A:AA  .  Normalmente  viene  impresa  en  la tarjeta de red, aunque también se puede consultar mediante el comando ipconfig /all en ms- dos. En el Modo de acceso ACL (Access Control List) o Lista de Control de Acceso tenemos 3 modalidades: ·      No se permiten nuevas estaciones. La más restrictiva y la recomendada. ·      Nuevas  estaciones  permitidas  (automáticamente).  Permite  a  cualquier  estación  la conexión con el router. Esta es la más insegura. Ahora iremos introduciendo las direcciones MAC de los ordenadores de nuestra red. ·      Name: El nombre para identificar qué estación es. ·      Dirección MAC: La de la tarjeta de ese ordenador. ·      Permitida: Las que tengan acceso deben tener el valor SI. Ninguna  de  estas  medidas  por  sí  sola  es  segura.  Pero  todas  ellas  combinadas  dificultará mucho que nuestra red sea accesible. La última que podemos aplicar, la encriptación. Encriptación Encriptar  la  conexión  wireless  es  protegerla  mediante  una  clave,  de  manera  que  sólo  los ordenadores cuya configuración coincida con la del router tengan acceso. El proceso consiste en dos pasos: ·      Configurar la encriptación en el router. ·      Configurar la encriptación en la tarjeta de red wireless de cada ordenador. El router soporta 2 tipos de encriptación: ·      WEP  (Wired  Equivalent  Privacy)  o  Privacidad  Equivalente  a  Cableado.  Nos ofrece dos niveles de seguridad, encriptación a 64 o 128 bit. La encriptación usa un sistema de claves. La clave de la tarjeta de red del  ordenador debe coincidir con la clave del router. ·      WPA (Wireless Protected Access) Ofrece dos tipos de seguridad, con servidor de seguridad y sin servidor. Este método se basa en tener una clave compartida de un mínimo de 8 caracteres alfanuméricos para todos los puestos de la red (Sin servidor) o disponer de un cambio dinámico de claves entre estos puestos (Con servidor). Es una opción más segura, pero no todos los dispositivos wireless lo soportan. Para acceder a la configuración de seguridad wireless, debemos entrar a la configuración del router. Para ello introducimos en el navegador la dirección IP la puerta de enlace de nuestra red local (dirección IP del router). WEP Para  activarla  iremos  al  desplegable  Wep  Encription  y  elegiremos  el  modo  128bit. Debemos utilizar las casillas correspondientes a Mode128. Las claves consisten ahora en 26 dígitos hexadecimales separados por guiones (en grupos de 2). Según Microsoft, únicamente se debe utilizar sistema abierto/WEP si ningún dispositivo de red   admite   WPA.   Se   recomienda   encarecidamente   utilizar   dispositivos   inalámbricos compatibles con WPA y WPA-PSK/TKIP Nota:  una  clave  de  alta  seguridad  es  la  que  utiliza  un  conjunto  aleatorio  de  dígitos hexadecimales  (para  la  clave  WEP)  o  caracteres  (para  WPA-PSK)  del  mayor  tamaño  de clave posible Configuración de la clave de seguridad en el Router Wireless. WPA-PSK   Técnicamente,  WPA-PSK  (Wi-Fi  Protected  Access  Pre-Shared  Key)  significa  "Acceso protegido  de  fidelidad  inalámbrica  con  Clave  previamente  compartida".   La  encriptación usa una autenticación de clave previamente compartida con cifrado TKIP (Temporal Key Integrity  Protocol,  Protocolo  de  integridad  de  clave  temporal),  denominado  en  adelante WPA-PSK/TKIP. Según la descripción de Microsoft, WPA-PSK proporciona una sólida protección mediante codificación  para  los  usuarios  domésticos  de  dispositivos  inalámbricos.  Por  medio  de  un proceso  denominado  "cambio  automático  de  claves",  conocido  asimismo  como  TKIP (protocolo  de  integridad  de  claves  temporales),  las  claves  de  codificación  cambian  con tanta  rapidez  que  un  pirata  informático  es  incapaz  de  reunir  suficientes  datos  con  la suficiente  rapidez  como  para  descifrar  el  código.  (Pondremos  lo  de  "incapaz"  entre comillas, por si las moscas).