SEGURIDAD INALÁMBRICA (II). ENCRIPTACIÓN. Router Zyxel 660
Encriptar la conexión wireless es protegerla mediante una clave, de manera que sólo los ordenadores cuya configuración coincida con la del router tengan acceso. Es necesaria para mantener segura nuestra red frente a los intrusos, que en el caso de nuestra red doméstica, serán los vecinos. (Con perdón)
El proceso consiste en dos pasos:
- Configurar la encriptación en el router.
- Configurar la encriptación en la tarjeta de red wireless de cada ordenador.
El router soporta 2 tipos de encriptación:
- WEP (Wired Equivalent Privacy) o Privacidad Equivalente a Cableado. Nos ofrece tres niveles de seguridad, encriptación a 64, 128 y 256 bits.
- WPA (Wireless Protected Access) Ofrece dos tipos de seguridad, con servidor de seguridad y sin servidor. Este método se basa en tener una clave compartida de un mínimo de 8 caracteres alfanuméricos para todos los puestos de la red (Sin servidor) o disponer de un cambio dinámico de claves entre estos puestos (Con servidor). Es una opción más segura, pero no todos los dispositivos wireless lo soportan.
Para acceder a la configuración de seguridad wireless, debemos entrar a la configuración del router. Para ello introducimos en el navegador la dirección IP la puerta de enlace de nuestra red local (dirección IP del router).
Por defecto es 192.168.1.1, o podemos averiguarla abriendo una ventana de MS-DOS e introduciendo el comando ipconfig o winipcfg.
Las claves predeterminadas de acceso al router son Usuario: admin (firmwares de Zyxel), o 1234 (firmwares de Telefónica) Contraseña:1234. Una vez dentro iremos al menú Wireless LAN. En los diferentes submenús que nos aparecen tendremos varias posibilidades de definir la seguridad.
Vamos a tratar cada uno de ellos por separado:
1.- ENCRIPTACIÓN WEP
WEP es un acrónimo de Wired Equivalent Privacy o Privacidad Equivalente a Cableado. El router usa encriptación WEP con tres modos diferentes: de 64, 128 y 256 bits. Cuanto más larga sea la clave, mayor será la seguridad, puesto que será más laborioso descifrarla.
Entramos en el menú Wireless. Si no tenemos definido ningún otro tipo, nos aparecerán las tres opciones de encriptación WEP dentro del desplegable WEP Encryption.
Debemos introducir un número diferente de caracteres o dígitos hexadecimales en función del tipo que elijamos.
- Para 64 bits: 5 Caracteres o 10 dígitos hexadecimales («0 a 9» «A a F», precedidos por la cadena «0x»)
- Para 128 bits: 13 Caracteres o 26 dígitos hexadecimales («0 a 9» «A a F», precedidos por la cadena «0x»)
- Para 256 bits: 29 Caracteres o 58 dígitos hexadecimales («0 a 9» «A a F», precedidos por la cadena «0x»)
Ahora debemos introducir las mismas claves en los ordenadores, para lo cual tendremos que usar su software específico, pondremos un ejemplo usando una tarjeta conceptronic:
Una vez configurada la tarjeta, el ordenador debe recuperar la conexión con el router. Hay que decir, que no todos los dispositivos soportan encriptación WEP de 256, ó incluso de 128. Debemos elegir, por tanto, aquel que sea compatible con las posibilidades de nuestra red wireless.
Según Microsoft, únicamente se debe utilizar sistema abierto/WEP si ningún dispositivo de red admite WPA. Se recomienda encarecidamente utilizar dispositivos inalámbricos compatibles con WPA y WPA-PSK/TKIP
Nota: una clave de alta seguridad es la que utiliza un conjunto aleatorio de dígitos hexadecimales (para la clave WEP) o caracteres (para WPA-PSK) del mayor tamaño de clave posible
2.- ENCRIPTACIÓN WPA (Pre-Shared Key)
Técnicamente, WPA-PSK (Wi-Fi Protected Access Pre-Shared Key) significa «Acceso protegido de fidelidad inalámbrica con Clave previamente compartida». La encriptación usa una autenticación de clave previamente compartida con cifrado TKIP (Temporal Key Integrity Protocol, Protocolo de integridad de clave temporal), denominado en adelante WPA-PSK/TKIP.
Según la descripción de Microsoft, WPA-PSK proporciona una sólida protección mediante codificación para los usuarios domésticos de dispositivos inalámbricos. Por medio de un proceso denominado «cambio automático de claves», conocido asimismo como TKIP (protocolo de integridad de claves temporales), las claves de codificación cambian con tanta rapidez que un pirata informático es incapaz de reunir suficientes datos con la suficiente rapidez como para descifrar el código. (Pondremos lo de «incapaz» entre comillas, por si las moscas).
Para configurarla, elegimos dentro del menú Wireless LAN la opción 802.1x/WPA. Pasaremos a otro menú en el que aparecerán 3 nuevas opciones. Dentro de ellas elegimos Authentication Required.
Al seleccionarla se activará en la parte inferior de la pantalla otro cuadro. En el desplegable Key Management Protocol tendremos:
- 802.1x
- WPA
- WPA-PSK
Las dos primeras requieren la configuración de un servidor RADIUS. Así que elegimos WPA-PSK.
En el campo Pre-Shared Key escribiremos la clave que queramos asignar y que debemos introducir también en todos los dispositivos wireless que queramos conectar al router.
Por último pulsaremos el botón Apply. Perderemos la conexión hasta que configuremos la encriptación en los ordenadores con el software específico de la tarjeta inalámbrica de cada uno. Poniendo el ejemplo con la misma tarjeta que en el caso anterior:
Una vez configurada la tarjeta, el ordenador debe recuperar la conexión con el router.
3.- WPA (with Radius server)
RADIUS significa Remote Authentication Dial-In User Service
Es un Sistema de autenticación y accounting empleado habitualmente por la mayoría de proveedores de servicios de Internet (ISPs) si bien no se trata de un estándar oficial. Cuando el usuario realiza una conexión a su ISP debe introducir su nombre de usuario y contraseña, información que pasa a un servidor RADIUS que chequeará que la información es correcta y autorizará el acceso al sistema del ISP si es así.
El router actúa como autenticador para el acceso a la red y utiliza un servidor del Servicio de usuario de acceso telefónico de autenticación remota (RADIUS) para autenticar las credenciales del cliente.
Los pasos siguientes describen el planteamiento genérico que se utilizaría para autenticar el equipo de un usuario de modo que obtenga acceso inalámbrico a la red.
- Sin una clave de autenticación válida, el punto de acceso prohíbe el paso de todo el flujo de tráfico. Cuando una estación inalámbrica entra en el alcance del punto de acceso, éste envía un desafío a la estación.
- Cuando la estación recibe el desafío, responde con su identidad. El punto de acceso reenvía la identidad de la estación a un servidor RADIUS que realiza los servicios de autenticación.
- Posteriormente, el servidor RADIUS solicita las credenciales de la estación, especificando el tipo de credenciales necesarias para confirmar su identidad. La estación envía sus credenciales al servidor RADIUS (a través del «puerto no controlado» del punto de acceso).
- El servidor RADIUS valida las credenciales de la estación (da por hecho su validez) y transmite una clave de autenticación al punto de acceso. La clave de autenticación se cifra de modo que sólo el punto de acceso pueda interpretarla.
- El punto de acceso utiliza la clave de autenticación para transmitir de manera segura las claves correctas a la estación, incluida una clave de sesión de unidifusión para esa sesión y una clave de sesión global para las multidifusiones.
- Para mantener un nivel de seguridad, se puede pedir a la estación que vuelva a autenticarse periódicamente.
Evidentemente, parece un sistema demasiado complicado para instalar en nuestra red local, así que esta vez, y sin que sirva de precedente, no lo trataremos más.
Manual realizado por Ar03 para www.adslayuda.com. © 19/2/2005
Depósito Legal GI.343-2005