SEGURIDAD INALMBRICA (II). ENCRIPTACIN. Router Zyxel 660.

Encriptar la conexin wireless es protegerla mediante una clave, de manera que slo los ordenadores cuya configuracin coincida con la del router tengan acceso. Es necesaria para mantener segura nuestra red frente a los intrusos, que en el caso de nuestra red domstica, sern los vecinos. (Con perdn) El proceso consiste en dos pasos:

Configurar la encriptacin en el router. Configurar la encriptacin en la tarjeta de red wireless de cada ordenador.

El router soporta 2 tipos de encriptacin:

WEP (Wired Equivalent Privacy) o Privacidad Equivalente a Cableado. Nos ofrece tres niveles de seguridad, encriptacin a 64, 128 y 256 bits. WPA (Wireless Protected Access) Ofrece dos tipos de seguridad, con servidor de seguridad y sin servidor. Este mtodo se basa en tener una clave compartida de un mnimo de 8 caracteres alfanumricos para todos los puestos de la red (Sin servidor) o disponer de un cambio dinmico de claves entre estos puestos (Con servidor). Es una opcin ms segura, pero no todos los dispositivos wireless lo soportan.

Para acceder a la configuracin de seguridad wireless, debemos entrar a la configuracin del router. Para ello introducimos en el navegador la direccin IP la puerta de enlace de nuestra red local (direccin IP del router). Por defecto es 192.168.1.1, o podemos averiguarla abriendo una ventana de MS-DOS e introduciendo el comando ipconfig o winipcfg.

Las claves predeterminadas de acceso al router son Usuario: admin (firmwares de Zyxel), o 1234 (firmwares de Telefnica) Contrasea: 1234. Una vez dentro iremos al men Wireless LAN. En los diferentes submens que nos aparecen tendremos varias posibilidades de definir la seguridad.

Vamos a tratar cada uno de ellos por separado:

1.- ENCRIPTACIN WEP

WEP es un acrnimo de Wired Equivalent Privacy o Privacidad Equivalente a Cableado. El router usa encriptacin WEP con tres modos diferentes: de 64, 128 y 256 bits. Cuanto ms larga sea la clave, mayor ser la seguridad, puesto que ser ms laborioso descifrarla.

Entramos en el men Wireless. Si no tenemos definido ningn otro tipo, nos aparecern las tres opciones de encriptacin WEP dentro del desplegable WEP Encryption.

Debemos introducir un nmero diferente de caracteres o dgitos hexadecimales en funcin del tipo que elijamos.

Para 64 bits: 5 Caracteres o 10 dgitos hexadecimales ("0 a 9" "A a F", precedidos por la cadena "0x") Para 128 bits: 13 Caracteres o 26 dgitos hexadecimales ("0 a 9" "A a F", precedidos por la cadena "0x") Para 256 bits: 29 Caracteres o 58 dgitos hexadecimales ("0 a 9" "A a F", precedidos por la cadena "0x")

Ahora debemos introducir las mismas claves en los ordenadores, para lo cual tendremos que usar su software especfico, pondremos un ejemplo usando una tarjeta conceptronic:

Una vez configurada la tarjeta, el ordenador debe recuperar la conexin con el router. Hay que decir, que no todos los dispositivos soportan encriptacin WEP de 256, incluso de 128. Debemos elegir, por tanto, aquel que sea compatible con las posibilidades de nuestra red wireless. Segn Microsoft, nicamente se debe utilizar sistema abierto/WEP si ningn dispositivo de red admite WPA. Se recomienda encarecidamente utilizar dispositivos inalmbricos compatibles con WPA y WPA-PSK/TKIP Nota: una clave de alta seguridad es la que utiliza un conjunto aleatorio de dgitos hexadecimales (para la clave WEP) o caracteres (para WPA-PSK) del mayor tamao de clave posible

2.- ENCRIPTACIN WPA (Pre-Shared Key)

Tcnicamente, WPA-PSK (Wi-Fi Protected Access Pre-Shared Key) significa "Acceso protegido de fidelidad inalmbrica con Clave previamente compartida". La encriptacin usa una autenticacin de clave previamente compartida con cifrado TKIP (Temporal Key Integrity Protocol, Protocolo de integridad de clave temporal), denominado en adelante WPA-PSK/TKIP. Segn la descripcin de Microsoft, WPA-PSK proporciona una slida proteccin mediante codificacin para los usuarios domsticos de

dispositivos inalmbricos. Por medio de un proceso denominado "cambio automtico de claves", conocido asimismo como TKIP (protocolo de integridad de claves temporales), las claves de codificacin cambian con tanta rapidez que un pirata informtico es incapaz de reunir suficientes datos con la suficiente rapidez como para descifrar el cdigo. (Pondremos lo de "incapaz" entre comillas, por si las moscas). Para configurarla, elegimos dentro del men Wireless LAN la opcin 802.1x/WPA. Pasaremos a otro men en el que aparecern 3 nuevas opciones. Dentro de ellas elegimos Authentication Required.

Al seleccionarla se activar en la parte inferior de la pantalla otro cuadro. En el desplegable Key Management Protocol tendremos:

802.1x WPA WPA-PSK

Las dos primeras requieren la configuracin de un servidor RADIUS. As que elegimos WPA-PSK.

En el campo Pre-Shared Key escribiremos la clave que queramos asignar y que debemos introducir tambin en todos los dispositivos wireless que queramos conectar al router. Por ltimo pulsaremos el botn Apply. Perderemos la conexin hasta que configuremos la encriptacin en los ordenadores con el software especfico de la tarjeta inalmbrica de cada uno. Poniendo el ejemplo con la misma tarjeta que en el caso anterior:

Una vez configurada la tarjeta, el ordenador debe recuperar la conexin con el router.

3.- WPA (with Radius server)

RADIUS significa Remote Authentication Dial-In User Service Es un Sistema de autenticacin y accounting empleado habitualmente por la mayora de proveedores de servicios de Internet (ISPs) si bien no se trata de un estndar oficial. Cuando el usuario realiza una conexin a su ISP debe introducir su nombre de usuario y contrasea, informacin que pasa a un servidor RADIUS que chequear que la informacin es correcta y autorizar el acceso al sistema del ISP si es as.

El router acta como autenticador para el acceso a la red y utiliza un servidor del Servicio de usuario de acceso telefnico de autenticacin remota (RADIUS) para autenticar las credenciales del cliente. Los pasos siguientes describen el planteamiento genrico que se utilizara para autenticar el equipo de un usuario de modo que obtenga acceso inalmbrico a la red.

Sin una clave de autenticacin vlida, el punto de acceso prohbe el paso de todo el flujo de trfico. Cuando una estacin inalmbrica entra en el alcance del punto de acceso, ste enva un desafo a la estacin. Cuando la estacin recibe el desafo, responde con su identidad. El punto de acceso reenva la identidad de la estacin a un servidor RADIUS que realiza los servicios de autenticacin. Posteriormente, el servidor RADIUS solicita las credenciales de la estacin, especificando el tipo de credenciales necesarias para confirmar su identidad. La estacin enva sus credenciales al servidor RADIUS (a travs del "puerto no controlado" del punto de acceso). El servidor RADIUS valida las credenciales de la estacin (da por hecho su validez) y transmite una clave de autenticacin al punto de acceso. La clave de autenticacin se cifra de modo que slo el punto de acceso pueda interpretarla. El punto de acceso utiliza la clave de autenticacin para transmitir de manera segura las claves correctas a la estacin, incluida una clave de sesin de unidifusin para esa sesin y una clave de sesin global para las multidifusiones. Para mantener un nivel de seguridad, se puede pedir a la estacin que vuelva a autenticarse peridicamente.

Evidentemente, parece un sistema demasiado complicado para instalar en nuestra red local, as que esta vez, y sin que sirva de precedente, no lo trataremos ms. Manual realizado por Ar03 para www.adslayuda.com. 19/2/2005 Depsito Legal GI.343-2005