[Articulo] Dispositivos inalambricos - Seguridad

16/01/2005 - 16:59 por Alezito [MS MVP] | Informe spam
REDES INALAMBRICAS

Vamos a introducirnos en esta nueva faceta que ha revolucionado nuestra
forma de acceder a las redes, nunca fue mas comodo y facil compartir
Internet WAN o disponer de nuestra red local LAN, aunque tambien es verdad
que nunca fue mas facil y comodo acceder a redes privadas por no seguir las
medidas de seguridad minimas o simplemente por no ser conciente de ellas.

CONCEPTO DE SEGURIDAD EN REDES INALAMBRICAS 802.11

INTRODUCCION

La norma IEEE 802.11 fue diseñada para sustituir a la capa fisica y MAC de
la norma 802.3 (Ethernet), asi, la unica diferencia entre ambas es la manera
en la que los dispositivos acceden a la red, por lo que ambas normas son
perfectamente compatibles.

En el caso de las redes locales inalambricas, esta clara la cada vez mayor
imposicion del sistema normalizado por IEEE con el nombre 802.11g , norma
conocida como Wi-Fi o Wireless Fidelity, aprobada en 1.990 y basada en el
modelo OSI (Open System Interconnection), la primera norma 802.11 utilizaba
infrarrojos como medio de transmision para pasar hoy en dia al uso de
radiofrecuencia en la banda de 2.4 Ghz, con este sistema podemos establecer
redes a velocidades que pueden alcanzar desde los 11 Mbps hasta los 54 Mbps
estandares en los equipos actuales, aunque es posible mayores velocidades.

Desde la 802.11e, se implanta el QoS o Quality of Services, y que no es mas
que la prioridad de transmision a determinados paquetes de datos dependiendo
de la naturaleza de la informacion, voz, imagen, video, la voz por ejemplo
necesita transferencia en tiempo real, mientras que los datos contenidos en
un archivo no.

Una vez acostumbrados a llevar de la mejor manera nuestra seguridad en
redes, se nos viene encima la tecnologia inalambrica, cada vez mas
extendida, y bien por desconocimiento o por dejadez, no repasamos paso a
paso las medidas de seguridad extras que debemos tener en cuenta bajo este
tipo de conexion.

Quien no, de manera accidental, desde un portatil con receptor Wi-Fi o un
PDA, no se ha topado con mas de una conexion inalambrica por el camino
cuando a realizado algun viaje, a mi me ha ocurrido en varias ocasiones y
cada vez con mas asiduidad, especialmente cuando por ejemplo el tren, ha
pasado junto a poligonos industriales, tambien puede ocurrie en algunos
Hoteles y Aeropuertos, aunque aqui estaba justificado, ya que disponen de
conexion Wi-Fi previo pago para acceder a la misma mediante un pequeño pago
de uso facilitandote la clave de acceso.
Ya es posible, inckuso, que nos ocurra en nuestra propia casa.

Dado lo anterior, no es necesario que insista en que el concepto de
seguridad ha cambiado, al menos en este aspecto, y debemos seguir unas norma
basicas de conducta y acceso adiccionales a nuestras medidas habituales de
seguridad.

SISTEMA DE CIFRADO WEP

Comenzemos por la famosa clave WEP, por muchos criticada, esta claro, no es
perfecta, pero de no tener otro sistema de seguridad, usemosla !!!, aqui
habria que empezar por pegar un tiron de orejas, siempre cariñoso, a lo que
yo denominaria hoy en dia, el usuario "arriesgado", pongamosnos la mano en
el corazon y seamos sinceros.cuantos, antes de instalar cualquier tipo
de dispositivo, os habeis leido las instruccionas a fondo ?.casi nadie
lo hace, verdad? si empezaramos por aqui, todos a esta alturas, sabriamos
que los modem inalambricos, disponen de por lo menos, de un codigo de
cifrado de emision/recepcion llamado WEP, aunque he oido de todo, tambien
hay que no la utiliza, porque simplemente, dice, que le ralentiza la red !!!
logicamente, el cifrado/descifrado quita un poco de velocidad, pero es
inapreciable y nunca comparable con nuestra seguridad.

Este sistema aplica a los datos originales una operacion logica XOR (O
exclusiva) utilizando una clave generada de forma pseudoaleatoria, siendo
asi transmitidos, para generar dicha clave generadora, es el propio usuario
quien la define ademas de un vector de inicializacion IV que crea el propio
sistema.
El incoveniente que esto presenta es que dicha clave secreta es estatica y
en caso de cambiar, obliga a hacerlo, logicamente, a toda la red que de ella
dependa, otra desventaja es que el IV se transmite en abierto aunque este si
cambia de manera periodica.

Para acceder a esta opcion, deberemos contar con una aplicacion del propio
modem que nos permitira hacerlo desde el propio sistema y deberemos tener
conexion mediante un puerto especifico del modem conectado a un puerto serie
o para los usuarios mas avanzados mediante http conociendo la direccion de
nuestro modem o puerta de enlace, siempre en modo local y estando
conectados, en cualquier caso, sera necesario conocer el nombre de usuario y
contraseña de acceso al mismo, que suele especificarse en el famoso manual
que nunca leemos y que es conveniente cambiar cuando tengamos ocasion:

WEP (Wired Equivalent Privacy), que ha sido el primer estandard, donde es
posible establecer contraseñas de 64 y 128 bits, para el primero se
necesitan 10 digitos hexadecimales,mientras que en el segundo son necesarios
10, y logicamente debe coincidir con la clave de los puntos de acceso, este
sistema no es seguro, pero si no se dispone de otro, es mejor que nada,
existen aplicaciones que "rompen" o son capaces de resolver el WEP.

En el equipo o equipos "cliente" logicamente tambien deberemos tener
activada la clave WEP, a esta se puede acceder desde las propiedades de
conexion de red, desde la pestaña de "Redes Inalambricas - Asociacion" donde
estableceremos la misma clave.

QUE HACE EL HACKER?

Seguro que habeis oido hablar de la llamada "ingenieria social",
mientras no asumamos la importancia de la seguridad, seguiremos comentando
nuestra clave en algun evento social o simplemente apuntandola en un pos it
amarillo pegado en algun lugar del despacho, por no decir en la propia
pantalla, cuando no esta asociada a algun dato personal que tambien puede
averiguarse, por eso debemos tener claro que para que una clave sea buena,
debe ser larga, debe contener tantos caracteres alfabeticos como numericos,
pero antes que nada debe ser secreta.
Es posible obtener lo que se denomina un libro de claves donde se
especifican cuales son las combinaciones mas probables para su uso como
clave, existen programas informaticos que ya lo hacen, segun CERT, asi son
reventadas la mayoria de ellas, es decir, la seguridad es segura si nosotros
hacemos un buen uso de ella.

Recordemos que en el caso de utilizar tambien la conexion a Internet, es
necesario activar el firewall de nuestro Windows XP SP2, y que existen unas
premisas basicas para establecer una red local:

-Todos los usuarios deben logearse con nombre y contraseña en sus
respectivos equipos al iniciar sesion.

-Todos los usuarios deben estar dados de alta en el resto de equipos con el
mismo nombre y contraseña con el que inician sesion en sus respectivos
equipos.

-El grupo de trabajo debe llamarse igual en los equipos de la red.

-La direcccion IP tienen que pertenecer al mismo rango, excepto en redes
complejas, lo mejor es tener activado el DHCP que asignara de manera
automatica dichas direcciones.

-La mascara debe ser la misma

-Ningun usuario puede denominarse igual que un equipo de la red.

-Debes desmarcar la opcion (version Pro de XP) de "uso compartido simple de
archivos":

(Panel de control, Opciones de carpeta, pestaña Ver, y desmarcar la casilla
correspondiente "Utilizar uso compartido simple de archivos (recomendado)")

-Deberas tener marcado la opcion de Clientes para redes MS y Compartir
Impresoras y archivos para redes MS.

DESPUES DE WEP

WPA ( Wi-Fi Protected Access), estandard desarrollado por la Wi-Fi alliance
(WECA) y que trata de ser el sustituto de WEP y es posible incorporarlos en
algunos routers que no lo incorporan con una simple actualizacion de
firmware, esta esta basada en los estandares IEEE 802.11i que mejora de
manera notoria la proteccion de datos y control de acceso pudiendo decir que
el nivel de proteccion es alto ya que mejora el cifrado de datos mediante
TKIP (Temporal Key Integrity Protocol), donde se usan claves de sesion
dinamica por usuario, sesion y paquete, pero es necesario acceder a traves
de un server de autentificacion y que asegura la confidencialidad de datos y
por otro lado, WPA tambien ofrece la autentificacion de los usuarios
mediante el estandard 802.11x y EAP (Extensible Aunthentication Protocol)
que permite controlar a todos y cada uno de los usuarios que se conectan a
la red aunque tambien permite si se quiere el acceso al usuario anonimo.

No obstante se pueden tomar las siguientes medidas para tratar de garantizar
nuestra seguridad:

1.-Deshabilitar SSID
2.-Habilitar la WEP
3.-Habilitar el cifrado MAC
4.-Usar capas superiores tipo https
5.-Usar autentificacion EAP
6.-Revisar nuestra red para comprobar que no existen acceso no autorizados.

Mas informacion sobre la Tecnologia WI-Fi:

Get IEEE 802®
http://standards.ieee.org/getieee80...folio.html
http://standards.ieee.org/getieee802/802.11.html

Wi-Fi Alliance
http://www.wi-fi.org/OpenSection/secure.asp?TID=2

CERT
http://www.cert.org/

Microsoft presenta nueva solución inalámbrica basada en estándares para
mejorar la seguridad de los clientes Windows XP
http://www.microsoft.com/latam/pren...access.asp

Criptografía, certificados y comunicaciones seguras
http://www.microsoft.com/spain/segu...hyetc.mspx

Seguridad en clientes y dispositivos
http://www.microsoft.com/spain/tech...ientes.asp

CONFIGURACIONES

Las redes inalambricas no solo sirven para conectar PC, tambien es posible
conectar otros dispositivos, PDA, impresoras, webcam...y admiten tres
configuraciones fundamentales:

-Ad Hoc o IBSS, donde solo son necesarios dispositivos Wi-Fi en cada PC, no
hacen falta puntos de acceso intermedios, ya que los PC se comunican unos
con otros directamente.

-Infraestructura o BSS, aqui si es necesario lel punto de acceso, que es
quien centraliza la informacion, los PC se conectaran todos al mismo punto
de acceso.

-ESS, esta configuracion permite unir varios puntos de acceso, es decir, una
red ESS esta formada por varias redes BSS.


Cordialmente,

Alejandro Curquejo
MVP de Microsoft
Windows XP - Shell / User

¿Que es un MVP de Microsoft?
http://mvp.support.microsoft.com/de...ES;mvpfaqs

La informacion contenida en este mensaje se proporciona "TAL CUAL", sin
garantias explicitas ni implicitas, y no otorga derecho alguno. Usted asume
cualquier riesgo al poner en practica lo recomendado o sugerido en el
presente mensaje.
 

Leer las respuestas

#1 Alezito [MS MVP]
16/01/2005 - 17:21 | Informe spam
Donde pone:

WEP (Wired Equivalent Privacy), ...se necesitan 10 digitos
hexadecimales,mientras que en el segundo son necesarios 10, y
logicamente

Debe poner:

WEP (Wired Equivalent Privacy), ...se necesitan 10 digitos
hexadecimales,mientras que en el segundo son necesarios 26, y
logicamente

Cordialmente,

Alejandro Curquejo
MVP de Microsoft
Windows XP - Shell / User

¿Que es un MVP de Microsoft?
http://mvp.support.microsoft.com/de...ES;mvpfaqs

La informacion contenida en este mensaje se proporciona "TAL CUAL", sin
garantias explicitas ni implicitas, y no otorga derecho alguno. Usted asume
cualquier riesgo al poner en practica lo recomendado o sugerido en el
presente mensaje.

Preguntas similares