Seguridad Wifi
¿Abierto o cerrado?
Las redes WiFi pueden ser abiertas o cerradas. En una red abierta, cualquier ordenador cercano al punto de acceso puede conectarse a Internet a través de él, siempre que tenga una tarjeta WiFi incorporada, claro. En la red cerrada el ordenador detectará una red inalámbrica cercana disponible, pero para acceder habrá que introducir la contraseña. Es lo que suele ocurrir en los aeropuertos y algunos hoteles, donde la contraseña se obtiene previo pago. Hasta hace poco se empleaba un sistema de cifrado llamado WEP (Wired Equivalent Privacy) para proteger las redes WiFi. Las transmisiones se cifran con una clave de 128 bits, y sólo los usuarios con contraseña pueden conectarse al punto de acceso. La mayoría de las tarjetas y puntos de acceso WiFi son compatibles con WEP, pero este sistema está desconectado por defecto. Los usuarios por lo general no se molestan en activarlo, y la red queda abierta. Si el vecino de al lado utiliza de vez en cuando la conexión de Internet quizá no sea demasiado grave, pero cuando accede a información confidencial de la empresa o a fotos comprometidas de las vacaciones la cosa es más seria.
Hoy se utiliza un sistema de seguridad llamado WPA, que son las siglas de WiFi Protected Access. Este sistema está incluido en Windows XP con Service Pack 1, es más seguro que WEP y mucho más fácil de utilizar.
Redes cerradas
La mayoría de los puntos de acceso o routers sin cable funcionan nada más conectarlos, o vienen configurados por el operador. Pero si se quiere modificar algo, como la seguridad, conviene conocer algunos de los parámetros de la conexión:
El identificador SSID: es el nombre de la red WiFi que crea el punto de acceso. Por defecto suele ser el nombre del fabricante ("3Com" o "Linksys"), pero se puede cambiar y poner "redcasaw” por ejemplo.
El canal: por lo general se usa el canal 6, pero si el vecino también tiene un punto de acceso en este canal habrá que cambiarlo para evitar interferencias. Puede ser un número entre 1 y 11.
La clave WEP: si se utiliza WEP para cerrar la red WiFi, hay que indicar la contraseña que tendrá que introducirse en los ordenadores que se quieran conectar.
La clave compartida WPA: Como en el caso anterior, si se emplea seguridad WPA hay que seleccionar una clave de acceso para poder conectarse a la red WiFi.
Cifrado de 128 bits: En WEP y WPA las comunicaciones se transmiten cifradas para protegerlas. Esto quiere decir que los números y letras se cambian por otros mediante un factor. Sólo con la clave adecuada se puede recuperar la información. Cuanto más grande sea el factor de cifrado (más bits), tanto más difícil resulta romper la clave.
La seguridad con WEP tiene algunos defectos. Las claves puede que no funcionen bien si se utilizan tarjetas y puntos de acceso de distintos fabricantes, por ejemplo. Con WPA esto queda solucionado con una clave o secreto compartido que puede tener entre 8 y 63 caracteres de largo.
Lo que hace a WPA más seguro es que la clave se cambia automáticamente cada cierto tiempo, y se actualiza en todos los equipos conectados. Hay un sistema que se encarga de distribuir las nuevas claves de forma segura llamado TKIP.
Montar una red cerrada
Para cerrar la red WiFi utilizando WPA hay que configurar por un lado el Router o punto de acceso WiFi, y por otro, los ordenadores que se vayan a conectar. Es un proceso muy sencillo, si se sabe dónde cambiar los parámetros.
Configurar el router o punto de acceso.
MODIFICAR EL SSID
El SSID es el nombre de tu red y si alguien lo conoce, es más fácil descubrirla y conectarse a ella. Los fabricantes normalmente comercializan sus enrutadores inalámbricos con el mismo SSID genérico, de esta forma los intrusos pueden adivinar fácilmente cual es el nombre y registrarse. Por lo tanto, escoge un nombre con el que denominar a tu red. Hazlo con uno que no resulte actractivo a ojos de un extraño, y a ser posible que dé indicios de un fallo simulado, por ejemplo, "Discconnected", "Unavailable", etc.
OCULTAR TU IDENTIFICADOR DE RED SSID
El simple hecho de ocultar nuestra red a ojos curiosos puede ser un buen método de evitar intrusiones ajenas. Por ejemplo, Windows XP, nos permite ver las conexiones de red inalámbricas a nuestro alcance, y conectarse con un simple clic en Conectar.
Para evitar en parte aparecer en las búsquedas de nuestros vecinos, podemos hacer que nuestra red "no se publicite". Para ello tenemos que ir a nuestro router y marcar la casilla de ocultar nuestra red (dependiendo del modelo de router o punto de acceso, habrá que marcar o desmarcar, habilitar o deshabilitar el SSID Broadcast):
Es importante destacar que ocultar nuestra red no impide que determinados programas como el NetStumbler puedan detectarla
ENCRIPTACIÓN WEP (Wired Equivalent Privacy)
Es la más conocida y utilizada, debido a que es el único método soportado por la mayoría de los dispositivos económicos disponibles en el mercado. Se basa en claves de 64 ó 128 bits. Puedes encontrarte con información confusa y aparentemente engañosa cuando elijas el cifrado WEP. Algunos fabricantes de hardware ofrecen la opción de cifrado de 40 bits y de 104 bits en lugar del cifrado de 64 ó 128 bits. En realidad, el cifrado WEP de 40 bits y el de 64 bits son los términos para señalar lo mismo, así como el cifrado WEP de 104 bits y 128 también son términos similares para lo mismo. Por lo tanto, algunos fabricantes se refieren al estándar como 40 bits y 104 bits y otros como 64 bits y 128 bits.
En el router o punto de acceso: tenemos que ir al apartado de Wireless, y elegir una autentificación abierta (open) o compartida (shared). Después en la encriptación seleccionaremos WEP, escogemos una codificación de 64 ó 128 bits y nos pedirá de 1 a 4 claves (de 10 dígitos hexadecimales para 64 bits, 26 para 128). Funcionaría con 1 sola clave siempre y cuando luego lo configuremos adecuadamente en el PC, pero si usamos las 4, la seguridad será mayor. Lo mismo ocurre si usamos una clave de 128 bits.
ENCRIPTACIÓN WPA (Wi-Fi Protected Access)
Lo primero es abrir el menú de configuración del punto de acceso. Para esto necesitamos conocer la IP que corresponde al Router si tenemos ya conectado un PC por medio de cable a el podemos ver la IP en la ventana de Sistema (en menú inicio le damos a ejecutar escribimos cmd y en la ventana que se abre escribimos ipconfig y damos a intro nos saldrá una lista la ip de el Router estará marcada como puerta de enlace.Si no tenemos PC conectado consultar el manual de el Router en el vendrá la IP de acceso (casi siempre es 192.168.1.1 pero no siempre) para entrar a la configuración en el navegador de internet escribimos la IP (en dirección no la escriba en búsqueda)
Para entrar es necesaria una contraseña que aparecerá en los manuales del Router. Una vez dentro hay que buscar un menú llamado 'Security' o 'Network Authentication' (esto también depende de el Router consulte el manual de el Router). En esta pantalla se selecciona la opción WEP o mejor WPA y se introduce la clave para acceder a la red WiFi.
Surgió como alternativa segura y eficaz al WEP, se basa en el cifrado de la información mediante claves dinámicas, que se calculan a partir de una contraseña. Es precisamente aquí donde está el punto flaco, si no se emplea una contraseña suficientemente larga y compleja, es posible que lleguen a desvelarla. En el router o punto de acceso: al igual que anteriormente, hay que ir al apartado de Wireless y seleccionar la opción WPA. En este caso no tendremos una simple opción, pues habrá que escoger entre WPA-Radius o WPA-PreSharedKey (WPA-PSK), como su propio nombre indica, su único requerimiento es compartir una clave entre los diferentes clientes que se van a autentificar en un determinado punto de acceso o router que también la conoce. Este método no es tan seguro como el uso de un servidor de autentificación central del tipo Radius, pero es suficiente en entornos que necesiten conectar de forma segura a unos pocos equipos. Por sencillez es recomentable el WPA-PSK, que simplemente pide escoger la encriptación (AES o TKIP) y una clave de, mínimo, 8 dígitos y de máximo 63. TKIP es el algorítmo aprobado y certificado para WPA, algunos productos son compatibles con el cifrado avanzado (AES) pero no han sido certificados porque no funcionan con el hardware de distintos suministradores. Así que selecciona TKIP para evitar que el router trabaje innecesariamente o bién la combinación de los dos métodos disponibles (TKIP+AES), así no tendrás problemas de compatibilidad.
El único problema de este tipo de encriptación es que no todos los adaptadores de red inalámbricos o routers/puntos de acceso lo soportan, aunque la tendencia actual es que el hardware sea compatible. En el caso de que no lo sea, comprueba si existen actualizaciones disponibles, descárgalas e instálalas. También debes asegurarte de que tu versión de Windows admite el cifrado WPA. Windows XP con Service Pack 2 (SP2) es compatible, las versiones anteriores no lo son. Si no tienes instalado SP2, descarga el parche desde aquí.
Para obtener instrucciones más detalladas sobre el uso de WPA, consulta el artículo "Wireless Security: WPA Step by Step" de PC Magazine.
Tanto para WPA como para WEP, es recomendable cambiar su clave con regularidad ya que si alguien supervisa tu red y captura los paquetes durante un largo periodo de tiempo, podría descifrar su cifrado. Si cambias regularmente de clave, será mucho más dificil porque tendrá menos tiempo y datos para hacerlo. Asimismo, habilitando éstos puedes reducir la velocidad de transmisión de datos significativamente. Esa es la razón por la que es importante empezar con una señal potente, para que la pérdida de velocidad sea reducida.
Configurar los ordenadores.
Si no tenemos conectividad WiFi en el PC deberemos de comprar un adaptador WiFi, los hay internos (para PCs fijos), con conexión USB (para todos), o con conexión PCMCIA (para portátiles) su instalación es fácil solamente conectarlo y el Windows nos pedirá directamente los driver introducimos el disco que nos vino con el adaptador y se instalara solo. Esto es asi casi siempre pero ojo léete primero las instrucciones de el adaptador en algunos casos hay que instalar algún programa antes de conectar el adaptador. Una vec lo tengamos instalado pasaremos a conectar el PC a la red WiFi.
En Windows XP hay que abrir las propiedades de la conexión WiFi haciendo doble clic en el icono de conexión a redes inalámbricas que aparece junto a la hora, en la parte inferior derecha de la pantalla. Mostrará una lista con las redes disponibles, indicando cuáles están cerradas o abiertas. Basta con seleccionar la red, en la ventana siguiente indicar el tipo de seguridad que se emplea e introducir la clave para poder conectarse.
En Windows Vista Debemos ir a la barra de tareas se pulsa en el icono de red y en la lista que se abre se pincha en Centro de redes y recursos compartidos, luego en Conectarse a una red se nos mostrara una ventana con las redes disponibles, seleccionamos la nuestra y le damos al botón conectar nos pedirá la clave la introducimos y automáticamente se conectara
Esperamos un poco en la ventana de Centro de redes y recursos compartidos se nos mostrara la red casi siempre se nos mostrara como acceso público con el icono de un asiento y acceso solo local, pulsamos en donde dice personalizar y seleccionamos red privada, Nos pedirá que autoricemos el cambio y después veremos que cambia tanto el icono de la conexión pasara de ser un asiento a ser una casa, como el acceso que pondrá Local e internet
Las diez 10 reglas a tener en cuenta
Intentar reducir la inseguridad de WiFi o cualquier otro tipo de tecnología de red en sólo 10 puntos es una utopía, sin embargo nunca está de más utilizar esta lista como base en nuestras instalaciones.
Regla 1: Discreción
Evite anunciar innecesariamente la presencia de su instalación WiFi. Asegúrese de cambiar el SSID de sus equipos y no dejar el que viene de fábrica. También si es posible, deshabilite la baliza (beacon) SSID.
Procure instalar las antenas de punto de acceso (AP) y los niveles de potencia de los equipos para evitar la llegada de señal a áreas donde la cobertura no es deseada ni requerida.
Regla 2: Protéjase de la clonación
Hoy día es fácil "convertir" un dispositivo para que se presente como otro dispositivo (impersonation). Los dispositivos perdidos o robados son también una amenaza. El filtrado por direcciones de Control de Acceso de Medios (MAC) son un método de autenticación que no puede utilizarse en forma individual. Siempre debe ser acompañado de un método de autenticación independiente de los dispositivos, como los nombres de usuarios y contraseñas, directorios de red existentes u otros esquemas de autentificación.
Regla 3: Cifre los datos
Desear privacidad es algo normal. Para ésto, los datos transmitidos inalámbricamente deben ser cifrados. El cifrado básico provisto por WiFi, conocido WEP, es relativamente débil en todas sus formas y su mantenimiento es costoso e ineficiente. En forma complementaria a este método es aconsejable utilizar tecnologías probadamente eficaces en redes como IPSec con cifrado 3DES. Siempre procure utilizar esquemas de seguridad estandar que faciliten la interoperabilidad.
Regla 4: Filtre los datos
Esta regla en realidad no es exclusiva de las redes inalámbricas, pero es útil recordarla aquí: Limite y controle a donde puede ir el tráfico de la red inalámbrica. Un firewall es la herramienta ideal para esta tarea. Si la red inalámbrica va a ser usada para un propósito determinado, como el acceso a recursos empresariales específicos, entonces configure filtros de paquetes para que los datos que provienen de la red inalámbrica no puedan llegar a lugares indeseados.
Regla 5: Limite el acceso físico a los puntos de acceso
Evite emplazar APs en escritorios u otros lugares que pueden ser fácilmente accedidos. Visitantes curiosos, inescrupulosos o empleados descuidados pueden fácilmente mover, reemplazar o resetear los APs. La seguridad no puede garantizarse si no se cuida este punto.
Regla 6: Mantenga los ojos abiertos
Monitoree activamente las configuraciones de los AP. No es suficiente con configurar un AP correctamente. Una vez configurado, el AP debe permanecer apropiadamente configurado. Considere que es fácil para alguien ejecutar un reseteo de hardware en un AP que está colocado en un escritorio o el techo. Al monitorear activamente la configuración del AP, puede asegurar que el AP es automáticamente reconfigurado ante eventos de ese tipo que pudiesen ocurrir.
Regla 7: Controle los equipos clandestinos
En muchos lugares los APs pueden ser fácilmente instalados por empleados e intrusos y atentar contra las políticas de seguridad de la red. Mantener una política activa de detección de transmisiones WiFi con software de tipo sniffer es un requerimiento operacional crítico para la seguridad
Regla 8: Extreme la atención si no usa puntos de acceso
En una red inalámbrica operando en modo Ad Hoc (o peer to peer), un intruso puede filtrarse y obtener acceso a la red simplemente usando un cliente legítimo cono un punto de entrada. Los productos conocidos como personal firewall o software firewall complementados con otras herramientas de administración de red que activamente rastreen y administren al cliente antes de permitirle el acceso mediante la LAN inalámbrica son una buena prevención.
Regla 9: Controle el uso de ancho de banda
El no cumplir esta regla lo expone a ataques de negación de servicio (DoS) o una ineficiente utilización del ancho de banda en el mejor de los casos. Hay varias maneras de regular la utilización del ancho de banda pero debe tener en cuenta que los equipos WiFi más básicos no dan ninguna solución en este punto. Esto en realidad no es un problema si ubica esta funcionalidad en otra parte adecuada de su red.
Regla 10: El tiempo es oro
Siempre que sea posible, implemente políticas de administración en tiempo real. En muchas ocasiones las redes WiFi están ampliamente distribuidas. Por ejemplo abarcan campus enteros e incorporan múltiples sitios globales. Las políticas de seguridad (p.ej. listas de usuarios validados o derechos de acceso) naturalmente cambiaran. Estos cambios deben verse reflejados en tiempo real a través de la red inalámbrica para reducir la ventana de oportunidades para la intrusión, y más importante aún, facilitar el inmediato cierre de las brechas de seguridad detectadas
Sopa de letras
La informática es un juego de siglas y abreviaturas. Si no fuera suficiente con las más conocidas, desde PC hasta WiFi, los protocolos y sistemas de seguridad añaden alguna más a la colección:
WPA WiFi Protected Access; acceso protegido WiFi.
WEP Wired Equivalent Privacy; protección equivalente a conexión por cable.
SSID Service Set Identifier; identificador de conjunto de servicio.
TKIP Temporal Key Integrity Protocol; protocolo de integridad de las claves temporales.
IP direccion que identifica un dispositivo, equipo o pagina web en una red
DHCP protocolo de red que permite a los nodos de una red IP obtener sus parámetros de configuración automáticamente
DNS Su función más importante, es traducir (resolver) las IP en nombres inteligibles para los humanos
Vecino Persona que vive cerca y tiene una red wifi abierta a la que conectarse