Está en la página 1de 10

Seguridad Inalmbrica (II). Encriptacin.

SEGURIDAD INALMBRICA (II). ENCRIPTACIN.


Encriptar la conexin wireless es protegerla mediante una clave, de manera que slo los ordenadores cuya configuracin coincida con la del router tengan acceso. Es necesaria para mantener segura nuestra red frente a los intrusos, que en el caso de redes domsticas, muy bien pueden ser nuestros "adorables" vecinos. El proceso consiste en dos pasos:

Configurar la encriptacin en el router. Configurar la encriptacin en la tarjeta de red wireless de cada ordenador.
El router soporta 2 tipos de encriptacin:

WEP (Wired Equivalent Privacy) o Privacidad Equivalente a Cableado. Nos ofrece dos niveles de seguridad, encriptacin a 64 o 128 bit. La encriptacin usa un sistema de claves. La clave de la tarjeta de red del ordenador debe coincidir con la clave del router. WPA (Wireless Protected Access) Ofrece dos tipos de seguridad, con servidor de seguridad y sin servidor. Este mtodo se basa en tener una clave compartida de un mnimo de 8 caracteres alfanumricos para todos los puestos de la red (Sin servidor) o disponer de un cambio dinmico de claves entre estos puestos (Con servidor). Es una opcin ms segura, pero no todos los dispositivos wireless lo soportan.

Para acceder a la configuracin de seguridad wireless, debemos entrar a la configuracin del router. Para ello introducimos en el navegador la direccin IP la puerta de enlace de nuestra red local (direccin IP del router). Por defecto es 192.168.1.1, o podemos averiguarla abriendo una ventana de MS-DOS e introduciendo el comando ipconfig o winipcfg.

Las claves predeterminadas de acceso al router son Usuario: admin, Contrasea: admin. Una vez dentro iremos al men Wireless, y dentro del mismo, a la opcin Wireless Security.

Aparecer un desplegable en el que podremos elegir cuatro opciones de seguridad o encriptacin:

Vamos a tratar cada uno de ellos por separado:

1.- WEP
WEP es un acrnimo de Wired Equivalent Privacy o Privacidad Equivalente a Cableado. El router usa encriptacin WEP con dos modos diferentes de encriptacin; de 64 y de 128 bits. La encriptacin usa un sistema de claves. La clave del ordenador debe coincidir con la clave del router. Hay dos formas de crear una clave. El modo ms sencillo es crear una clave desde una frase de paso (como una contrasea). El software del router convertir la frase en una clave. El mtodo avanzado es teclear las claves manualmente. Tenemos dos posibilidades de encriptacin WEP: A.- 64-bits (10 hex digits) Al seleccionarla, la pantalla cambiar para que introduzcamos las claves:

Podemos introducir manualmente nmeros hexadecimales en las casillas correspondientes o bien utilizar una frase de paso para que sea el router quien las genere.

Escribiremos una frase y pulsando el botn Generate, el router establecer las claves que posteriormente usaremos en cada dispositivo wireless que queramos conectarle. Estas claves debemos copiarlas y tenerlas a mano, claro. Por ltimo pulsaremos el botn Save Settings. En ese momento se producir la encriptacin de la transmisin inalmbrica y perderemos la conexin. Ahora debemos introducir las mismas claves en los ordenadores, para lo cual tendremos que usar su software especfico, pondremos un ejemplo usando una tarjeta conceptronic:

Una vez configurada la tarjeta, el ordenador debe recuperar la conexin con el router. B.- 128-bit WEP Es similar a la anterior, slo que usa una clave ms larga y, por tanto, se supone que es ms segura. La pantalla de introduccin de claves es diferente, pero el uso es el mismo. Podemos introducir manualmente nmeros hexadecimales en las casillas correspondientes o utilizar la frase de paso.

Escribiremos la frase y pulsaremos el botn Generate, copiaremos las claves para introducirlas en cada dispositivo wireless que queramos conectar. Por ltimo pulsaremos el botn Save Settings. Perderemos la conexin hasta que configuremos la encriptacin en los ordenadores con el software especfico de la tarjeta inalmbrica de cada uno. Poniendo el ejemplo con la misma tarjeta que en el caso anterior:

Una vez configurada la tarjeta, el ordenador debe recuperar la conexin con el router. Segn Microsoft, nicamente se debe utilizar sistema abierto/WEP si ningn dispositivo de red admite WPA. Se recomienda encarecidamente utilizar dispositivos inalmbricos compatibles con WPA y WPA-PSK/TKIP Nota: una clave de alta seguridad es la que utiliza un conjunto aleatorio de dgitos hexadecimales (para la clave WEP) o caracteres (para WPA-PSK) del mayor tamao de clave posible

2.- WPA Pre-Shared Key


Tcnicamente, WPA-PSK (Wi-Fi Protected Access Pre-Shared Key) significa "Acceso protegido de fidelidad inalmbrica con Clave previamente compartida". La encriptacin usa una autenticacin de clave previamente compartida con cifrado TKIP (Temporal Key Integrity Protocol, Protocolo de integridad de clave temporal), denominado en adelante WPA-PSK/TKIP. Segn la descripcin de Microsoft, WPA-PSK proporciona una slida proteccin mediante codificacin para los usuarios domsticos de dispositivos inalmbricos. Por medio de un proceso denominado "cambio automtico de claves", conocido asimismo como TKIP (protocolo de integridad de claves temporales), las claves de codificacin cambian con tanta rapidez que un pirata informtico es incapaz de reunir suficientes datos con la suficiente rapidez como para descifrar el cdigo. (Pondremos lo de "incapaz" entre comillas, por si las moscas). Para configurarla, elegimos en el desplegable la opcin correspondiente:

En el campo WPA Shared Key escribiremos la clave que queramos asignar y que debemos introducir tambin en todos los dispositivos wireless que queramos conectar al router. Por ltimo pulsaremos el botn Save Settings. Perderemos la conexin hasta que configuremos la encriptacin en los ordenadores con el software especfico de la tarjeta inalmbrica de cada uno. Poniendo el ejemplo con la misma tarjeta que en el caso anterior:

Una vez configurada la tarjeta, el ordenador debe recuperar la conexin con el router.

3.- WPA (with Radius server)


RADIUS significa Remote Authentication Dial-In User Service Es un Sistema de autenticacin y accounting empleado habitualmente por la mayora de proveedores de servicios de Internet (ISPs) si bien no se trata de un estndar oficial. Cuando el usuario realiza una conexin a su ISP debe introducir su nombre de usuario y contrasea, informacin que pasa a un servidor RADIUS que chequear que la informacin es correcta y autorizar el acceso al sistema del ISP si es as.

El router acta como autenticador para el acceso a la red y utiliza un servidor del Servicio de usuario de acceso telefnico de autenticacin remota (RADIUS) para autenticar las credenciales del cliente. Los pasos siguientes describen el planteamiento genrico que se utilizara para autenticar el equipo de un usuario de modo que obtenga acceso inalmbrico a la red. Sin una clave de autenticacin vlida, el punto de acceso prohbe el paso de todo el flujo de trfico. Cuando una estacin inalmbrica entra en el alcance del punto de acceso, ste enva un desafo a la estacin. Cuando la estacin recibe el desafo, responde con su identidad. El punto de acceso reenva la identidad de la estacin a un servidor RADIUS que realiza los servicios de autenticacin. Posteriormente, el servidor RADIUS solicita las credenciales de la estacin, especificando el tipo de credenciales necesarias para confirmar su identidad. La estacin enva sus credenciales al servidor RADIUS (a travs del "puerto no controlado" del punto de acceso). El servidor RADIUS valida las credenciales de la estacin (da por hecho su validez) y transmite una clave de autenticacin al punto de acceso. La clave de autenticacin se cifra de modo que slo el punto de acceso pueda interpretarla. El punto de acceso utiliza la clave de autenticacin para transmitir de manera segura las claves correctas a la estacin, incluida una clave de sesin de unidifusin para esa sesin y una clave de sesin global para las multidifusiones. Para mantener un nivel de seguridad, se puede pedir a la estacin que vuelva a autenticarse peridicamente. Evidentemente, parece un sistema demasiado complicado para instalar en nuestra red local, as que esta vez, y sin que sirva de precedente, no lo trataremos ms. El router permite una ltima opcin (la 4) en la que combina el servidor RADIUS con una clave de encriptacin WEP de 128 bits:

Manual realizado por Ar03 para www.adslayuda.com. 5 12/2/2005

Encriptacin WEP
WEP es el acrnimo para "Privacidad Equivalente a Cableado" o "Wired Equivalent Privacy" en ingls, aunque mucha gente lo confunde con "Wireless Encryption Protocol". El WEP nace en 1999 como un protocolo para redes wireless que permite la encriptacin de la informacin que se transmite en una red WiFi. Su cifrado est basado en el algoritmo RC4, pudiendo utilizar claves de 64 bits (40 bits ms 24 bits del vector de iniciacin IV) o de 128 bits (104 bits ms 24 bits del IV). En 2001 se identificaron una serie de "puntos flacos" en el sistema de encriptacin y por eso hoy en da "reventar" una clave WEP es cuestin de pocos minutos teniendo el software apropiado, como hemos explicado un poco ms arriba. As, por motivos de seguridad, la Alianza Wi-Fi anunci en 2003 que WEP haba sido reemplazado por WPA ("Wi-Fi Protected Access"). Fue ya en 2004 cuando se ratific el estndar completo 802.11i (llamndolo WPA2).

A pesar de que su nivel de seguridad se limita a disuadir el uso sin autorizacin de una red, WEP sigue siendo utilizado, ya que suele ser la primera opcin de seguridad que aparece en la configuracin de los routers WiFi.

Encriptacin WPA
WPA significa "Wi-Fi Protected Access", o lo que es lo mismo, "Acceso Protegido WiFi". Es un sistema para proteger las redes inalmbricas creado para corregir las deficiencias del sistema WEP. WPA implementa la mayora del estndar IEEE 802.11i, y fue creado como una medida intermedia para ocupar el lugar de WEP mientras 802.11i era finalizado. Una vez finalizado surgi el WPA2, que es prcticamente lo mismo que WPA (WPA fue definido por la Wi-Fi Alliance y WPA2 es el estandar aprobado por la IEEE, como ya hemos comentado). WPA adopta la autentificacin de usuarios mediante el uso de un servidor, donde se almacenan las credenciales y contraseas de los usuarios de la red. Este servidor suele ser del tipo RADIUS (Remote Authentication Dial-In User Server), orientado principalmente a un uso empresarial. Para no obligar al uso de un servidor en entornos ms "domsticos", WPA permite la autentificacin mediante clave compartida (PSK o "Pre-Shared Key"), que requiere introducir la misma clave en todos los equipos de la red (como en WEP). La informacin en WAP tambin es cifrada utilizando el algoritmo RC4, pero con una clave de 128 bits y un vector de inicializacin de 48 bits en lugar de los 104 bits de clave y 24 bits del vector de inicializacin usados en WEP). Esperamos que este artculo haya sido lo suficientemente conciso para aclarar las principales diferencias entre la encriptacin WEP y la WPA sin entrar en todos los detalles tcnicos. Prximamente publicaremos un artculo que sirva de tutorial para cambiar la seguridad de uno de los routers WiFi ms extendidos: el Comtrend que Telefnica instala con su ADSL residencial (duos y trios).