peluka

SEGURIDAD INALÁMBRICA EN EL ROUTER 3com Wireless 11g (I)


Primero vamos a explicar una serie de conceptos básicos, que son los que después manejaremos.
SSID: Nombre de nuestra WLAN (red inalámbrica). Los puestos que deseen conectar por wireless al router, tienen que conocer este nombre y colocarlo en el apartado correspondiente de su configuración wireless.
ESSID Broadcast: Hace que nuestro SSID sea público, es decir, cualquiera que entre dentro del radio de acción de nuestro router, podrá ver nuestro SSID (Y conectarse a nuestra WLAN si no utilizamos encriptación).
Dirección MAC: Es un número que identifica a cada una las tarjetas de red.
Filtrado de direcciones MAC: Permite especificar qué ordenadores pueden entrar en la red. Cuando se active esta característica, hay que introducir las direcciones MAC de cada cliente de la red (tarjeta inalámbrica) para permitirles el acceso a la red.
Encriptación: Hay varios tipos de encriptación.

• WEP (Wired Equivalent Privacy) o Privacidad Equivalente a Cableado. Nos ofrece dos niveles de seguridad, encriptación a 64 o 128 bit. La encriptación usa un sistema de claves. La clave del ordenador debe coincidir con la clave del router.
• WPA (Wireless Protected Access) Ofrece dos tipos de seguridad, con servidor de seguridad y sin servidor. Este método se basa en tener una clave compartida de un mínimo de 8 caracteres alfanuméricos para todos los puestos de la red (Sin servidor) o disponer de un cambio dinámico de claves entre estos puestos (Con servidor). Es una opción más segura, pero no todos los dispositivos wireless lo soportan.

CONFIGURACIÓN POR DEFECTO DEL ROUTER


Vamos a analizar la configuración del router tal y como está después de desenvolverlo y ponerlo a funcionar.

• Dirección IP del router: 192.168.2.1
• Servidor DHCP Activado. (El servidor DHCP asigna automáticamente una dirección IP dentro de su propio rango a todo aquel ordenador que lo solicite).
• Wireless activado.
• Difusión ESSID activada.
• SSID: 3Com
• Clave de acceso al router: Contraseña: 1234admin
• Sin filtrado de direcciones MAC
• Sin encriptación.

Es decir, la configuración perfecta para que cualquier vecino un poco avispado tenga completo acceso a nuestro router, nuestra adsl e incluso los pcs de nuestra red.
Para acceder al router pondremos en el navegador su dirección IP, por defecto 192.168.2.1. Para poder conectar con él deberemos configurar nuestra tarjeta de red en el mismo rango (en algunas versiones de firmware no funciona el servidor DHCP). Esto lo hacemos en la pantalla de propiedades del protocolo TCP/IP de nuestra tarjeta de red.

Nos pedirá una contraseña, que por defecto es: 1234admin.

A partir de ahora empezaremos a configurar las opciones del router.

MEDIDAS DE SEGURIDAD RECOMENDADAS.


Si vamos a utilizar el router sólamente mediante cable debemos desactivar la característica wireless del router. Esto lo haremos en el apartado Red inalámbrica, seleccionando el modo Desactivar.

Esta es la medida más drástica que podemos tomar, pero normalmente tendremos este router para montar una red inalámbrica.
Las acciones que vamos a describir a continuación se pueden realizar independientemente unas de otras según nuestras necesidades de seguridad a la hora de configurar la red inalámbrica. También se pueden usar varias de ellas en combinación o incluso todas juntas.

1.- Cambiar las claves de acceso por defecto.
Para evitar accesos indeseados al router es imprescindible cambiar las claves por defecto, así que cambiaremos la contraseña. Para ello vamos al menú Utilidades -> Configuración del sistema -> Contraseña de administrador.

Introduciremos la contraseña actual y en los campos de abajo 2 veces la nueva.
Para activar los cambios iremos a la parte inferior y pulsaremos Aplicar Cambios. La próxima vez que entremos a la configuración deberemos usar la nueva clave.

2.- Desactivar SSID Broadcast (Difusión).
Siendo uno de los datos que es necesario para poder conectar a nuestra red es importante no estar divulgándolo de manera tan evidente. Incluso sería necesario cambiarle el nombre, puesto que los programas habituales de búsqueda de redes son capaces de identificar la marca del router, y por tanto se puede deducir el nombre por defecto.
En el menú Red inalámbrica, opción Canal y SSID.

• En SSID, pondremos otro diferente al definido por defecto.
• En ESSID Broadcast marcaremos la opción Desactivar.
• Para guardar los cambios, pulsar Aplicar Cambios.

Ahora, para agregar un nuevo puesto a nuestra red wireless tendremos que introducir a mano en cada uno de los aparatos el nombre de la red (Wireless Network Name).

3.- Desactivar el servidor DHCP.
Si tenemos esta opción activada y ninguna otra medida de seguridad configurada en el router, cualquier ordenador que tenga su tarjeta de red configurada en "Obtener una ip automáticamente" tendrá acceso a nuestra red.
Sería conveniente no sólo desactivar esta opción sino, también, cambiar la IP local que trae el router por defecto, ya que siendo 192.168.2.1, es demasiado evidente.
Esto lo haremos en el menú Parámetros LAN.

Para desactivar el servidor DHCP, pondremos el campo Servidor DHCP en No.
Para cambiar la IP local del router, pondremos los campos de Dirección IP en los valores que deseemos para nuestra red local. Evidentemente, tendremos que cambiar también la configuración de red de los ordenadores. Si el router lo colocamos como en la imagen (192.168.100.1), tendremos que cambiar las IPs locales en 192.168.100.2, 192.168.100.3, y sucesivas.
Para guardar y activar cambios, iremos al menú inferior y pulsaremos en Aplicar Cambios. Si hemos cambiado la IP de red local del router deberemos cambiar también las IP de los PCs. Para volver a acceder a la configuración tendremos que introducir en el navegador la nueva IP asignada al router.

4.- Filtrado de direcciones MAC.
Cada tarjeta de red posee una dirección MAC (Media Access Control), que en teoría es única para cada una de ellas. Está formada por 48 bits que se suelen representar mediante dígitos hexadecimales que se agrupan en seis parejas (cada pareja se separa de otra mediante dos puntos ":" o mediante guiones "-"). Por ejemplo, una dirección MAC podría ser E1:B1:CF:3D:4A:AA . Normalmente viene impresa en la tarjeta de red, aunque también se puede consultar mediante el comando ipconfig /all en ms-dos.
Para consultar la dirección MAC de los equipos, por tanto, habrá que hacer lo siguiente:

• En Windows 98 pulsamos en Inicio -> Ejecutar -> command. Se abrirá la ventana del intérprete MS-DOS. Introducimos el comando winipcfg. En el desplegable del cuadro que aparece debemos seleccionar nuestro adaptador de red.

• En Windows 2000 o XP pulsamos en Inicio -> Ejecutar -> cmd. Se abrirá la ventana del intérprete MS-DOS, en la que introducimos el comando ipconfig /all.

Al activar el filtrado de direcciones MAC del router estamos autorizando el acceso al mismo únicamente a las tarjetas de red que introduzcamos en la lista. Iremos al menú Firewall y dentro de él, al apartado Filtros de direcciones MAC.

Debemos activar la casilla Habilitar Filtrado de Direcciones MAC. A continuación iremos introduciendo las direcciones MAC de los ordenadores de nuestra red.
Para dar de alta una nueva dirección MAC de algún ordenador que queramos añadir a la red, deberemos acceder al router a través de alguno de los ordenadores que ya tenga conexión.
Este router aplica el filtrado de direcciones MAC no sólo a los clientes wireless, sino también a los que entran por cable. Así que deberemos introducir las direcciones MAC de todos los clientes, aparatos, puntos de acceso, etc, que queramos comunicar a través de él.

Ninguna de estas medidas por sí sola es segura, todas se pueden saltar. Pero todas ellas combinadas dificultará mucho que nuestra red sea accesible. La última que podemos aplicar, la encriptación, la trataremos en otro documento independiente.
NOTA: Es muy posible que durante la aplicación de alguna de los pasos anteriores, sobre todo si no lo hemos hecho nunca, perdamos el acceso al router. En algunas de estas ocasiones (por ejemplo: nos hemos equivocado al escribir la dirección MAC del único pc) no nos quedará más remedio que resetear el router para devolverlo a sus valores de fábrica y así poder empezar de nuevo. Para ello pulsaremos el botón Reset de la parte posterior durante 10 segundos. El router recuperará de esta manera la configuración inicial, tal como la hemos descrito al principio.
Documento realizado por Ar03 para www.adslayuda.com. © 12/02/2005
Depósito Legal GI.310-2005

peluka

SEGURIDAD INALÁMBRICA (II). ENCRIPTACIÓN.


Encriptar la conexión wireless es protegerla mediante una clave, de manera que sólo los ordenadores cuya configuración coincida con la del router tengan acceso. Es necesaria para mantener segura nuestra red frente a los intrusos, que en el caso de una red doméstica, muy bien pueden ser nuestros "adorables" vecinos.

El proceso consiste en dos pasos:

• Configurar la encriptación en el router.
• Configurar la encriptación en la tarjeta de red wireless de cada ordenador.

El router soporta 2 tipos de encriptación:

• WEP (Wired Equivalent Privacy) o Privacidad Equivalente a Cableado. Nos ofrece dos niveles de seguridad, encriptación a 64 o 128 bit. La encriptación usa un sistema de claves. La clave de la tarjeta de red del ordenador debe coincidir con la clave del router.
• WPA (Wireless Protected Access) Ofrece dos tipos de seguridad, con servidor de seguridad y sin servidor. Este método se basa en tener una clave compartida de un mínimo de 8 caracteres alfanuméricos para todos los puestos de la red (Sin servidor) o disponer de un cambio dinámico de claves entre estos puestos (Con servidor). Es una opción más segura, pero no todos los dispositivos wireless lo soportan.

Para acceder a la configuración de seguridad wireless, debemos entrar a la configuración del router. Para ello introducimos en el navegador la dirección IP la puerta de enlace de nuestra red local (dirección IP del router).
Por defecto es 192.168.2.1, o podemos averiguarla abriendo una ventana de ms-dos e introduciendo el comando ipconfig o winipcfg.

La contraseña predeterminada de acceso al router es: 1234admin. Una vez dentro iremos al menú situado a la izquierda Red inalámbrica, y, dentro del mismo, a la opción Seguridad.

Aparecerá un desplegable en el que podremos elegir cuatro opciones de seguridad o encriptación:

Vamos a tratar cada uno de ellos por separado:
A.- 64-bit WEP
Citando la ayuda del router: WEP es un acrónimo de Wired Equivalent Privacy o Privacidad Equivalente a Cableado. El router usa encriptación WEP para proteger sus datos, con dos modos diferentes de encriptación; de 64 y de 128 bits. Hay dos formas de crear una clave. El modo más sencillo es crear una clave desde una frase de paso (como una contraseña). El software del router convertirá la frase en una clave. El método avanzado es teclear las claves manualmente.
Al seleccionarla, la pantalla cambiará para que introduzcamos las claves:

Podemos introducir manualmente números hexadecimales en las casillas correspondientes o bien utilizar una frase de paso para que sea el router quien las genere.

Escribiremos una frase y pulsando el botón Generar, el router establecerá las claves que posteriormente usaremos en cada dispositivo wireless que queramos conectarle. Estas claves debemos copiarlas y tenerla a mano, claro. Por último pulsaremos el botón Aplicar Cambios. En ese momento se producirá la encriptación de la transmisión inalámbrica y perderemos la conexión.
Ahora debemos introducir las mismas claves en los ordenadores, para lo cual tendremos que usar su software específico, pondremos un ejemplo usando una tarjeta conceptronic:

Una vez configurada la tarjeta, el ordenador debe recuperar la conexión con el router.

B.- 128-bit WEP
Es similar a la anterior, sólo que usa una clave más larga y, por tanto, se supone que es más segura. La pantalla de introducción de claves es diferente, pero el uso es el mismo.
Podemos introducir manualmente números hexadecimales en las casillas correspondientes o utilizar la frase de paso.

Escribiremos la frase y pulsaremos el botón Generar, copiaremos las claves para introducirlas en cada dispositivo wireless que queramos conectar. Por último pulsaremos el botón Aplicar Cambios. Perderemos la conexión hasta que configuremos la encriptación en los ordenadores con el software específico de la tarjeta inalámbrica de cada uno. Poniendo el ejemplo con la misma tarjeta que en el caso anterior:

Una vez configurada la tarjeta, el ordenador debe recuperar la conexión con el router.
Según Microsoft, únicamente se debe utilizar sistema abierto/WEP si ningún dispositivo de red admite WPA. Se recomienda encarecidamente utilizar dispositivos inalámbricos compatibles con WPA y WPA-PSK/TKIP
Nota: una clave de alta seguridad es la que utiliza un conjunto aleatorio de dígitos hexadecimales (para la clave WEP) o caracteres (para WPA-PSK) del mayor tamaño de clave posible

C.- WPA-PSK (no server)
Técnicamente, WPA-PSK (Wi-Fi Protected Access Pre-Shared Key) significa "Acceso protegido de fidelidad inalámbrica con Clave previamente compartida". La encriptación usa una autenticación de clave previamente compartida con cifrado TKIP (Temporal Key Integrity Protocol, Protocolo de integridad de clave temporal), denominado en adelante WPA-PSK/TKIP.
Según la descripción de Microsoft, WPA-PSK proporciona una sólida protección mediante codificación para los usuarios domésticos de dispositivos inalámbricos. Por medio de un proceso denominado "cambio automático de claves", conocido asimismo como TKIP (protocolo de integridad de claves temporales), las claves de codificación cambian con tanta rapidez que un pirata informático es incapaz de reunir suficientes datos con la suficiente rapidez como para descifrar el código. (Pondremos lo de "incapaz" entre comillas, por si las moscas).
Para configurarla, elegimos en el desplegable la opción correspondiente:

Escribiremos la frase (clave) y la copiaremos para introducirla en cada dispositivo wireless que queramos conectar. Por último pulsaremos el botón Aplicar Cambios. Perderemos la conexión hasta que configuremos la encriptación en los ordenadores con el software específico de la tarjeta inalámbrica de cada uno. Poniendo el ejemplo con la misma tarjeta que en el caso anterior:

Una vez configurada la tarjeta, el ordenador debe recuperar la conexión con el router.

C.- WPA (with Radius server)
RADIUS significa Remote Authentication Dial-In User Service
Es un Sistema de autenticación y accounting empleado habitualmente por la mayoría de proveedores de servicios de Internet (ISPs) si bien no se trata de un estándar oficial. Cuando el usuario realiza una conexión a su ISP debe introducir su nombre de usuario y contraseña, información que pasa a un servidor RADIUS que chequeará que la información es correcta y autorizará el acceso al sistema del ISP si es así.
El router actúa como autenticador para el acceso a la red y utiliza un servidor del Servicio de usuario de acceso telefónico de autenticación remota (RADIUS) para autenticar las credenciales del cliente.
Los pasos siguientes describen el planteamiento genérico que se utilizaría para autenticar el equipo de un usuario de modo que obtenga acceso inalámbrico a la red.

• Sin una clave de autenticación válida, el punto de acceso prohíbe el paso de todo el flujo de tráfico. Cuando una estación inalámbrica entra en el alcance del punto de acceso, éste envía un desafío a la estación.
• Cuando la estación recibe el desafío, responde con su identidad. El punto de acceso reenvía la identidad de la estación a un servidor RADIUS que realiza los servicios de autenticación.
• Posteriormente, el servidor RADIUS solicita las credenciales de la estación, especificando el tipo de credenciales necesarias para confirmar su identidad. La estación envía sus credenciales al servidor RADIUS (a través del "puerto no controlado" del punto de acceso).
• El servidor RADIUS valida las credenciales de la estación (da por hecho su validez) y transmite una clave de autenticación al punto de acceso. La clave de autenticación se cifra de modo que sólo el punto de acceso pueda interpretarla.
• El punto de acceso utiliza la clave de autenticación para transmitir de manera segura las claves correctas a la estación, incluida una clave de sesión de unidifusión para esa sesión y una clave de sesión global para las multidifusiones.
• Para mantener un nivel de seguridad, se puede pedir a la estación que vuelva a autenticarse periódicamente.

Evidentemente, parece un sistema demasiado complicado para instalar en nuestra red local, así que esta vez, y sin que sirva de precedente, no lo trataremos más.
Manual realizado por Ar03 para www.adslayuda.com. © 6/2/2005
Depósito Legal GI.309-2005