MVP de Microsoft
Windows XP - Shell / User
alezito.xp@mvps.org
REDES INALÁMBRICASVamos a introducirnos en esta nueva faceta que ha revolucionado nuestra forma de acceder a las redes. Nunca fue más cómodo y fácil compartir Internet WAN o disponer de nuestra red local LAN, aunque, también es verdad, que nunca fue más fácil y cómodo acceder a redes privadas por no seguir las medidas de seguridad mínimas o simplemente por no ser consciente de ellas.
CONCEPTO DE SEGURIDAD EN REDES INALÁMBRICAS 802.11
INTRODUCCIÓN
La norma IEEE 802.11 fue diseñada para sustituir a la capa física y MAC de la norma 802.3 (Ethernet), así, la única diferencia entre ambas es la manera en la que los dispositivos acceden a la red, por lo que ambas normas son perfectamente compatibles.
En el caso de las redes locales inalámbricas, está clara la cada vez mayor imposición del sistema normalizado por IEEE con el nombre 802.11g , norma conocida como Wi-Fi o Wireless Fidelity, aprobada en 1.990 y basada en el modelo OSI (Open System Interconnection), la primera norma 802.11 utilizaba infrarrojos como medio de transmisión para pasar hoy en día al uso de radiofrecuencia en la banda de 2.4 Ghz, con este sistema podemos establecer redes a velocidades que pueden alcanzar desde los 11 Mbps hasta los 54 Mbps estándares en los equipos actuales, aunque es posible alcanzar mayores velocidades.
Desde la 802.11e, se implanta el QoS o Quality of Services, que no es más que la prioridad de transmisión a determinados paquetes de datos dependiendo de la naturaleza de la información, voz, imagen, vídeo... la voz, por ejemplo, necesita transferencia en tiempo real, mientras que los datos contenidos en un archivo no.
Una vez acostumbrados a llevar de la mejor manera nuestra seguridad en redes, se nos viene encima la tecnología inalámbrica, cada vez más extendida, y bien por desconocimiento o por dejadez, no repasamos paso a paso las medidas de seguridad extras que debemos tener en cuenta bajo este tipo de conexión.
¿Quién, de manera accidental, desde un portátil con receptor Wi-Fi o un PDA, no se ha topado con más de una conexión inalámbrica por el camino cuando ha realizado algún viaje? A mí me ha ocurrido en varias ocasiones y cada vez con más asiduidad, especialmente cuando, por ejemplo el tren, ha pasado junto a polígonos industriales, también puede ocurrir en algunos Hoteles y Aeropuertos, aunque aquí estaba justificado, ya que disponen de conexión Wi-Fi pago para acceder a la misma mediante un pequeño pago previo a su uso, facilitándote la clave de acceso. Ya es posible, incluso, que nos ocurra en nuestra propia casa.
Dado lo anterior no es necesario que insista en que el concepto de seguridad ha cambiado, al menos en este aspecto, y debemos seguir unas norma básicas de conducta y acceso adicionales a nuestras medidas habituales de seguridad.
SISTEMA DE CIFRADO WEP
Comencemos por la famosa clave WEP, por muchos criticada. Está claro, no es perfecta, pero de no tener otro sistema de seguridad, usémosla !!!
Aquí habría que empezar por pegar un tirón de orejas, siempre cariñoso, a lo que yo denominaría hoy en día, el usuario "arriesgado". Pongámonos la mano en el corazón y seamos sinceros... ¿cuántos, antes de instalar cualquier tipo de dispositivo, os habéis leído las instrucciones a fondo ?... casi nadie lo hace, ¿verdad? si empezáramos por aquí, todos a esta alturas sabríamos que los módem inalámbricos, disponen de al menos un código de cifrado de emisión/recepción llamado WEP.
Aunque he oído de todo, también hay quien no la utiliza, porque simplemente, dice, que le ralentiza la red!!! Lógicamente, el cifrado/descifrado quita un poco de velocidad, pero es inapreciable y nunca comparable con nuestra seguridad.Este sistema aplica a los datos originales una operación lógica XOR (O exclusiva) utilizando una clave generada de forma pseudoaleatoria, siendo así transmitidos. Para generar dicha clave generadora, es el propio usuario quien la define además de un vector de inicialización IV que crea el propio sistema.
El inconveniente que esto presenta es que dicha clave secreta es estática y, en caso de cambiar, obliga a hacerlo, lógicamente, a toda la red que de ella dependa. Otra desventaja es que el IV se transmite en abierto aunque este sí cambia de manera periódica.Para acceder a esta opción, deberemos contar con una aplicación del propio módem que nos permitirá hacerlo desde el propio sistema y deberemos tener conexión mediante un puerto especifico del módem conectado a un puerto serie o para los usuarios más avanzados mediante http conociendo la dirección de nuestro módem o puerta de enlace, siempre en modo local y estando conectados, en cualquier caso, será necesario conocer el nombre de usuario y contraseña de acceso al mismo, que suele especificarse en el famoso manual que nunca leemos y que es conveniente cambiar cuando tengamos ocasión:
WEP (Wired Equivalent Privacy), que ha sido el primer estándar, donde es posible establecer contraseñas de 64 y 128 bits, para el primero se necesitan 10 dígitos hexadecimales,mientras que en el segundo son necesarios 26, y lógicamente debe coincidir con la clave de los puntos de acceso, este sistema no es seguro, pero si no se dispone de otro, es mejor que nada, existen aplicaciones que "rompen" o son capaces de resolver el WEP.
En el equipo o equipos "cliente" lógicamente también deberemos tener activada la clave WEP, a esta se puede acceder desde las propiedades de conexión de red, desde la pestaña de "Redes Inalámbricas - Asociación" donde estableceremos la misma clave.
QUE HACE EL HACKER?
Seguro que habéis oído hablar de la llamada "ingeniería social". Mientras no asumamos la importancia de la seguridad, seguiremos comentando nuestra clave en algún evento social o simplemente apuntándola en un post-it amarillo pegado en algún lugar del despacho, por no decir en la propia pantalla, cuando no esté asociada a algún dato personal que también puede averiguarse... Por eso debemos tener claro que para que una clave sea buena debe ser larga, debe contener tantos caracteres alfabéticos como numéricos, pero antes que nada debe ser secreta.
Es posible obtener lo que se denomina un libro de claves donde se especifican cuales son las combinaciones más probables para su uso como clave, existen programas informáticos que ya lo hacen, según CERT, así son reventadas la mayoría de ellas, es decir, la seguridad es segura si nosotros hacemos un buen uso de ella.Recordemos que en el caso de utilizar también la conexión a Internet, es necesario activar el firewall de nuestro Windows XP SP2, y que existen unas premisas básicas para establecer una red local:
-Todos los usuarios deben logearse con nombre y contraseña en sus respectivos equipos al iniciar sesión.
-Todos los usuarios deben estar dados de alta en el resto de equipos con el mismo nombre y contraseña con el que inician sesión en sus respectivos equipos.
-El grupo de trabajo debe llamarse igual en los equipos de la red.
-La dirección IP tienen que pertenecer al mismo rango, excepto en redes complejas, lo mejor es tener activado el DHCP que asignará de manera automática dichas direcciones.
-La máscara debe ser la misma
-Ningún usuario puede denominarse igual que un equipo de la red.
-Debes desmarcar la opción (versión Pro de XP) de "uso compartido simple de archivos"
(Panel de control, Opciones de carpeta, pestaña Ver, y desmarcar la casilla correspondiente "Utilizar uso compartido simple de archivos (recomendado)")-Deberás tener marcada la opción de Clientes para redes MS y Compartir Impresoras y archivos para redes MS.
DESPUES DE WEP
WPA ( Wi-Fi Protected Access), estándar desarrollado por la Wi-Fi alliance (WECA), que trata de ser el sustituto de WEP y es posible incorporarlo en algunos routers que no lo incorporan con una simple actualización de firmware. Esta está basada en los estándares IEEE 802.11i que mejoran de manera notoria la protección de datos y control de acceso, pudiendo decirse que el nivel de protección es alto ya que mejora el cifrado de datos mediante TKIP (Temporal Key Integrity Protocol) mediante claves de sesión dinámica por usuario, sesión y paquete, pero es necesario acceder a través de un server de autentificación y que asegura la confidencialidad de datos.
Y por otro lado, WPA también ofrece la autentificación de los usuarios mediante el estándar 802.11x y EAP (Extensible Aunthentication Protocol) que permite controlar a todos y cada uno de los usuarios que se conectan a la red, aunque también permite, si se quiere, el acceso al usuario anónimo.No obstante se pueden tomar las siguientes medidas para tratar de garantizar nuestra seguridad:
1.-Deshabilitar SSID
2.-Habilitar la WEP
3.-Habilitar el cifrado MAC
4.-Usar capas superiores tipo https
5.-Usar autentificaron EAP
6.-Revisar nuestra red para comprobar que no existen acceso no autorizados.Más información sobre la Tecnología WI-Fi:
(Nota de la webmastresa: me permito cambiar algunas direcciones que han ido quedando obsoletas, con tu permiso, Ale ;):
Get IEEE 802®
http://standards.ieee.org/getieee802/portfolio.html
http://standards.ieee.org/getieee802/802.11.htmlWi-Fi Alliance
http://www.wi-fi.org/knowledge_center_overview.phpCERT
http://www.cert.org/Seguridad en LAN inalámbricas con PEAP y contraseñas
http://www.microsoft.com/latam/technet/seguridad/guidance/lan/peap_int.mspxIntroducción a las amenazas y contramedidas: Configuración de la seguridad en Windows Server 2003 y Windows XP
http://www.microsoft.com/spain/technet/recursos/articulos/secmod48.mspx
CONFIGURACIONES
Las redes inalámbricas no sólo sirven para conectar PC, también es posible conectar otros dispositivos, PDA, impresoras, webcam... Y admiten tres configuraciones fundamentales:
-Ad Hoc o IBSS, donde sólo son necesarios dispositivos Wi-Fi en cada PC, no hacen falta puntos de acceso intermedios, ya que los PC se comunican unos con otros directamente.
-Infraestructura o BSS, aquí si es necesario el punto de acceso, que es quien centraliza la información, los PC se conectarán todos al mismo punto de acceso.
-ESS, esta configuración permite unir varios puntos de acceso, es decir, una red ESS está formada por varias redes BSS.
| Alejandro Curquejo MVP de Microsoft Windows XP - Shell / User alezito.xp@mvps.org |
|
|
16 - enero - 2005