SEGURIDAD INALÁMBRICA (II). ENCRIPTACIÓN. Router US Robotics 9106.
Encriptar la conexión wireless es protegerla mediante una clave, de manera
que sólo los ordenadores cuya configuración coincida con la del router tengan
acceso. Es necesaria para mantener segura nuestra red frente a los intrusos, que
en el caso de redes domésticas, muy bien pueden ser nuestros "adorables"
vecinos.
El proceso consiste en dos pasos:
- Configurar la encriptación en el router.
- Configurar la encriptación en la tarjeta de red wireless de cada
ordenador.
El router soporta 2 tipos de encriptación:
- WEP (Wired Equivalent Privacy) o Privacidad Equivalente a Cableado.
Nos ofrece dos niveles de seguridad, encriptación a 64 o 128 bit. La
encriptación usa un sistema de claves. La clave de la tarjeta de red del
ordenador debe coincidir con la clave del router.
- WPA (Wireless Protected Access) Ofrece dos tipos de seguridad, con
servidor de seguridad y sin servidor. Este método se basa en tener una clave
compartida de un mínimo de 8 caracteres alfanuméricos para todos los puestos
de la red (Sin servidor) o disponer de un cambio dinámico de claves entre
estos puestos (Con servidor). Es una opción más segura, pero no todos los
dispositivos wireless lo soportan.
Primero debemos entrar a la configuración del router. Para ello introducimos
en el navegador la dirección IP la puerta de enlace de nuestra red local
(dirección IP del router).
Por defecto es 192.168.1.1, o podemos averiguarla abriendo una ventana de
MS-DOS e introduciendo el comando ipconfig o winipcfg.

Las claves predeterminadas de acceso al router son Usuario: admin,
Contraseña: admin. Una vez dentro iremos al menú Wireless AP, y
dentro del mismo, a la opción Security.

Aparecerán 2 desplegables en el que podremos elegir entre varias opciones de
seguridad o encriptación:

Vamos a tratar cada uno de ellos por separado:
1.- WEP
WEP es un acrónimo de Wired Equivalent Privacy o Privacidad
Equivalente a Cableado. El router usa encriptación WEP con dos modos diferentes
de encriptación; de 64 y de 128 bits. La clave introducida en las tarjetas de
red de cada ordenador debe coincidir con la clave del router.
Para activar la encriptación WEP tenemos que seleccionar la opción en el
desplegable Data Encryption. En ese momento aparecerá una nueva opción,
el botón Set Encryption Keys, mediante el cual estableceremos manualmente
las claves.

Tenemos dos posibilidades de encriptación WEP:
A.- 64-bits (10 hex digits)
Al seleccionarla, aparecerá la pantalla de introducción de claves. Podemos introducir
5 caracteres ASCII o 10 dígitos hexadecimales.

Por último pulsaremos el botón Apply. En ese momento se
producirá la encriptación de la transmisión inalámbrica y perderemos la
conexión.
Ahora debemos introducir las mismas claves en los ordenadores, para lo cual
tendremos que usar su software específico, pondremos un ejemplo usando una
tarjeta Conceptronic:

Una vez configurada la tarjeta, el ordenador debe recuperar la conexión con
el router.
B.- 128-bit WEP
Es similar a la anterior, sólo que usa una clave más larga y, por tanto, se
supone que es más segura. La pantalla de introducción de claves es prácticamente
la misma, sólo que ahora tendremos que introducir 13 caracteres ASCII ó 26
dígitos hexadecimales.

Copiaremos las
claves para introducirlas en cada dispositivo wireless que queramos conectar.
Por último pulsaremos el botón Apply. Perderemos la conexión
hasta que configuremos la encriptación en los ordenadores con el software
específico de la tarjeta inalámbrica de cada uno. Poniendo el ejemplo con la
misma tarjeta que en el caso anterior:

Una vez configurada la tarjeta, el ordenador debe recuperar la conexión con
el router.
Según Microsoft, únicamente se debe utilizar sistema abierto/WEP si ningún
dispositivo de red admite WPA. Se recomienda encarecidamente utilizar
dispositivos inalámbricos compatibles con WPA y WPA-PSK/TKIP
Nota: Una clave de alta seguridad es la que utiliza un conjunto
aleatorio de dígitos hexadecimales (para la clave WEP) o caracteres (para WPA-PSK)
del mayor tamaño de clave posible
2.- WPA Pre-Shared Key
Técnicamente, WPA-PSK (Wi-Fi Protected Access Pre-Shared Key) significa
"Acceso protegido de fidelidad inalámbrica con Clave previamente compartida".
La encriptación usa una autenticación de clave previamente compartida con
dos modalidades de cifrado:
- TKIP (Temporal Key Integrity Protocol, Protocolo de integridad de clave
temporal) o
- AES (Advanced Encryption System , Estándar de cifrado avanzado, que
cifra en bloques simétricos de 128 bits)
pudiendo usarse cualquiera de los dos, siempre que sea soportado por
los dispositivos periféricos que usemos.
Según la descripción de Microsoft, WPA-PSK proporciona una sólida protección
mediante codificación para los usuarios domésticos de dispositivos inalámbricos.
Por medio de un proceso denominado "cambio automático de claves", conocido
asimismo como TKIP (protocolo de integridad de claves temporales), las claves de
codificación cambian con tanta rapidez que un pirata informático es incapaz de
reunir suficientes datos con la suficiente rapidez como para descifrar el
código. (Pondremos lo de "incapaz" entre comillas, por si las moscas).
Para configurarla, elegimos en el desplegable Network Authentication la opción correspondiente:

En el campo WPA Pre-Shared Key escribiremos la clave que queramos asignar
y que debemos introducir también en todos los dispositivos wireless que queramos
conectar al router. Por último pulsaremos el botón Apply.
Perderemos la conexión hasta que configuremos la encriptación en los ordenadores
con el software específico de la tarjeta inalámbrica de cada uno. Poniendo el
ejemplo con la misma tarjeta que en el caso anterior:

Una vez configurada la tarjeta, el ordenador debe recuperar la conexión con
el router.
3.- WPA (with Radius server)
RADIUS significa Remote Authentication Dial-In User Service
Es un Sistema de autenticación y accounting empleado habitualmente por los proveedores de servicios de Internet (ISPs) si bien no se trata de un
estándar oficial. Cuando el usuario realiza una conexión a su ISP debe
introducir su nombre de usuario y contraseña, información que pasa a un servidor
RADIUS que chequeará que la información es correcta y autorizará el acceso al
sistema del ISP si es así.

El router actúa como autenticador para el acceso a la red y utiliza un
servidor del Servicio de usuario de acceso telefónico de autenticación remota (RADIUS)
para autenticar las credenciales del cliente.
Los pasos siguientes describen el planteamiento genérico que se utilizaría
para autenticar el equipo de un usuario de modo que obtenga acceso inalámbrico a
la red.
- Sin una clave de autenticación válida, el punto de acceso prohíbe el paso
de todo el flujo de tráfico. Cuando una estación inalámbrica entra en el
alcance del punto de acceso, éste envía un desafío a la estación.
- Cuando la estación recibe el desafío, responde con su identidad. El punto
de acceso reenvía la identidad de la estación a un servidor RADIUS que realiza
los servicios de autenticación.
- Posteriormente, el servidor RADIUS solicita las credenciales de la
estación, especificando el tipo de credenciales necesarias para confirmar su
identidad. La estación envía sus credenciales al servidor RADIUS (a través del
"puerto no controlado" del punto de acceso).
- El servidor RADIUS valida las credenciales de la estación (da por hecho su
validez) y transmite una clave de autenticación al punto de acceso. La clave
de autenticación se cifra de modo que sólo el punto de acceso pueda
interpretarla.
- El punto de acceso utiliza la clave de autenticación para transmitir de
manera segura las claves correctas a la estación, incluida una clave de sesión
de unidifusión para esa sesión y una clave de sesión global para las
multidifusiones.
- Para mantener un nivel de seguridad, se puede pedir a la estación que
vuelva a autenticarse periódicamente.
Evidentemente, parece un sistema demasiado complicado para instalar en
nuestra red local, así que esta vez, y sin que sirva de precedente, no lo
trataremos más.
Lo dicho anteriormente es aplicable a la opción 802.1X, el router
acepta la solicitud de autenticación, esta vez mediante el cifrado WEP y actúa
como un proxy para un servidor RADIUS, que autentica el usuario en Active
Directory.

Manual realizado por Ar03 para
www.adslayuda.com.
© 06/3/2005
Depósito Legal GI.426-2005