Más sobre seguridad Wi-Fi
Más sobre seguridad Wi-Fi
Autor: TxANG!, de la redacción de http://www.baluma.com (una de las principales referencias en materia de hardware y colaboradora de MasterMagazine).
—————————–
Antes de comenzar a hablar de los distintos protocolos que existen en el campo de la seguridad hemos de tener claro que no existe nada 100% seguro, todos los mecanismos de los que hablaremos a continuación tienen debilidades. Como es natural, algunos son más robustos que otros. La opción más inteligente es la de combinar los distintos métodos para hacer más difícil la entrada de intrusos en nuestra red.
Una de las medidas inciales a tomar es la de ocultar el SSID o identificador de la red. Aunque averigüarlo resulta trivial para un hacker experimentado, es una medida de freno eficaz para cualquier usuario normal que ni siguiera sabrá de la existencia de nuestra red ya que Windows XP SP2 ni siquiera alerta de las redes con SSID oculto.
Una segunda medida de seguridad, más robusta que la anterior, es la de configurar las direcciones MAC de los equipos que deseamos que se conecten a nuestra red desde el menú Wireless Management. La dirección MAC es un valor establecido de fábrica, único en el mundo para cada tarjeta de red e imposible de cambiar. La ventaja de este método es que a pesar de que se pueda suplantar una dirección MAC con determinados programas, también hay que conocer una dirección MAC a la que se le permita el acceso. El problema que presenta este método es lo incómodo que supone añadir nuevos equipos.
Aunque no parezca en sí mismo un método de seguridad sino más bien de contención, disminuir la potencia de emisión de la antena resulta un mecanismo que reduce el número potencial de personas que podrían tener acceso a la red. Si establecemos el valor mínimo de potencia y comprobamos que todos los PCs tienen cobertura, ¿para qué emitir a máxima potencia?
—————————–
Protocolo WEP
Incluido en el estándar 802.11, el protocolo WEP (Wireless Encryption Protocol o Wired Equivalency Protocol) se basa en el método de cifrado RC4 que opera sobre los dos niveles inferiores del modelo ISO (físico y enlace), lo que lo hace vulnerable en los extremos. Basta con capturar y analizar las tramas emitidas mediante el software adecuado para hallar la clave.
Existen dos tipos de mecanismos de identificación de los clientes, autenticación abierta (Open Authentication) y mediante clave compartida (Shared key authentication) mediante el que varios clientes comparten una misma clave que utilizan para autenticarse en la red.
El router Conceptronic permite el establecimiento de claves de 64 a 256bits de longitud. Es conveniente compaginar el uso de WEP con control de acceso por direcciones MAC mejorando la seguridad.
—————————–
Protocolo WPA
WPA son las siglas de Wireless Protected Access, la evolución del protocolo WEP que, a fin de resultar compatible con el hardware existente en ese momento, utiliza las mismas operaciones elementales que WEP lo que produce que también tenga vulnerabilidades aunque éstas son mucho menores que WEP y a la espera de la estandarización del estándar 802.11i y WPA2, WPA es la opción más segura que existe hasta el momento.
WPA soluciona dos aspectos vitales de la seguridad, soluciona la autenticación de los equipos frente a la red y soluciona el cifrado de la información que viaja por la red.
Nosotros vamos a usar WPA TKIP para el cifrado de los datos. Se trata de un protocolo de uso extendido que nuestro router Conceptronic soporta. TKIP (Temporal Key Integrity Protocol) genera claves dinámicamente para cada cliente conectado durante un tiempo predeterminado y para cada paquete que se envía desde o hacia el equipo (WEP utiliza una clave estática).
Para la autenticación utilizaremos el protocolo PSK (Pre-shared Key), una alternativa barata al uso de servidores Radius (encargados de autenticar a cada usuario) que aunque resulta una opción mucho más segura, necesita hardware adicional al punto de acceso (un ordenador con linux o Windows 2003 Server configurado y el software de servidor necesario).
Podemos optar por una clave hexadecimal (PSK Hex) o por una cadena de texto (PSK String) siendo esta última la más cómoda. La longitud no está definida, podemos introducir cualquier palabra, frase o combinación de caracteres que deseemos.
La primera opción 802.1x nos permite configurar la dirección IP, puerto y contraseña de acceso al servidor Radius de la red y que, como hemos comentado antes, está fuera del alcance de este texto.
—————————–
Conclusión
Dado el boom de las redes inalámbricas en la actualidad resulta vital ser consciente de las debilidades de cada protocolo y tener muy clara la necesidad que existe de protegernos frente posibles intrusos.
En la actualidad la opción más inteligente es el protocolo WPA. El futuro apunta al estándar 802.11i en el que se basa WPA2. Este protocolo apuesta por el mecanismo de cifrado AES (Advanced Encryption Standard) mucho más seguro que lo que existe actualmente pero que dada su complejidad, requiere de cierta potencia o capacidad de procesamiento para cifrar y descifrar la información lo que hará a las controladoras wireless más antiguas incompatibles con WPA2.
—————————–
Artículo recomendado para ampliar la informacón: 802.11Seguridad
https://sistemas.com/catalog/news/news_detail.php?ID=2184
—————————–
Por Sistemas, el 16/01/2005.
Siguiente