Wireless. Seguridad y Tecnología

por Javier Rodríguez 08/01/2006 ...

Introducción

Introducción

Vamos a conocer un poco mas el funcionamiento de los sistemas y tecnologías de redes Wireless que usamos en el entorno domestico. Veremos como funciona esta tecnología, cual es su futuro, cuales son los sistemas de seguridad de que disponemos y también veremos como asegurar prácticamente nuestra red mediante el uso de los nuevos sistemas de encriptación. Un articulo que nos permitirá conocer como funciona una red Wireless, cuales son sus posibilidades y hacia donde se dirigen los próximos productos y tecnologías.

IEEE 802.11.

El 802.11 es un grupo de trabajo del IEEE (Institute of Electrical and Electronics Engineers) dedicado a la estandarización de las tecnologías Wireless orientadas a "traducir" los estándares de redes locales al entorno inalámbrico ya se mediante puntos de acceso o mediante la conexión entre dispositivos. Hasta ahora hemos disfrutado en el entorno domestico de tres revisiones de este estándar y se espera que para este año se hagan publicas las especificaciones del próximo estándar.

Hasta ahora hemos utilizado las revisiones A, B y G de esta tecnología y se supone que la próxima revisión será la N. Con estas revisiones se han aumentado notablemente la velocidad de transmisión y también la seguridad pero donde no se ha hecho demasiado hincapié es en el alcance de estas redes en el entorno domestico. Las velocidades han aumentado progresivamente desde las 2mb del 802.11a, hasta las 54mbits y modos extendidos, del 802.11g pasando por las 11mb del 802.11b. En un futuro, si la revisión n sale adelante, las velocidades de transferencia y los alcances se duplicaran gracias sobretodo a la tecnología o metodología MIMO.

Wifi no es más que una certificación de calidad basada en el estándar 802.11

de cualquier dispositivo inalámbrico.

MIMO. Multiple Input, Multiple Output

MIMO. Multiple Input, Multiple Output.

Este sistema, que ya se puede disfrutar en productos ya comercializados, usa un sistema inteligente de antenas para aumentar notablemente el alcance del sistema inalámbrico y para mantener unas tasas de velocidad, aunque no muy superiores, si mucho mas estabilizadas. Para maximizar el alcance se establece un nuevo sistema de antenas, normalmente caracterizado por tres antenas. Lo que ocurre actualmente en un entorno cerrado como un domicilio de una o mas plantas es que la señal se ve repetida por muebles metálicos, electrodomésticos, los propios compuestos de la fabricación, etc. Esto se traduce en que la señal se ve interferida por sus propios rebotes en estos elementos y por otras fuentes de interferencias que usan rangos de frecuencia similares como teléfonos inalámbricos, microondas, monitores para bebes y como no las redes inalámbricas de nuestros vecinos. Todo esto reduce notablemente la capacidad y el alcance de la red inalámbrica.

El sistema de múltiples antenas del MIMO permite que cada antena ajuste de forma dinámica la recepción y la emisión de datos maximizando el alcance de la misma sobretodo en entornos muy cargados. Además de aumentar el alcance de la red y evitar interferencias el MIMO también permite menos perdida de velocidad a largas distancias. Existen ya múltiples productos MIMO en el mercado, antes de que salga la estandarización, por lo que son sistemas "propietarios" que normalmente necesitan de aparatos compatibles tanto en los puntos de acceso como en las tarjetas de cada aparato. Cuando este sistema se estandarice cualquier producto 802.11n podrá aprovechar cualquier punto de acceso compatible, no habrá diferenciación entre marcas, no por lo menos, hasta que cada fabricante lance soluciones personalizadas como es ahora el MIMO.

Soluciones MIMO

Soluciones MIMO.

Casi todos los fabricantes disponen actualmente de soluciones MIMO. Nosotros hemos querido seleccionar un par de ellas que destacan por sus prestaciones y diseño. Linksys es sin duda un fabricante de referencia y por ello hemos seleccionado uno de sus últimos Routers como punto de referencia. Este modelo es el mas moderno de su gama con MIMO, ya tienen unos cuantos, y es conocido como WRT54GX4. Es la cuarta generación de Routers MIMO, dispone tres antenas y presume de ampliar la cobertura hasta en tres veces frente a un producto sin este sistema MIMO. Linksys denomina a esta cuarta generación de productos MIMO como SRX400 y presume de que es capaz de aumentar la velocidad de transmisión hasta 10 veces frente a productos 802.11g convencionales. En realidad esta ganancia de velocidad esta todavía por demostrar, el WRT54GX4 un producto que acaba de ser lanzado al mercado y linksys no proporciona datos concretos.

Belkin también dispone de soluciones MIMO que acertadamente han llamado gama Pre-N. Estos productos incorporan MIMO y tienen un precio mas "adecuado" que las soluciones de otros fabricantes. Como en el caso del Linksys se trata de un producto con triple antena inteligente y que Belkin anuncia como que nos ofrece ocho veces mas cobertura y hasta seis veces mas velocidad de transmisión. Este producto al ser compatible 802.11a/b/g podremos usarlo con cualquier tarjeta de red wireless del mercado pero si queremos sacar partido de sus mayores prestaciones necesitaremos tarjetas de red preparadas. Belkin dispone actualmente de tarjetas PCMCIA y PCI mediante adaptador PCMCIA.

Sistemas de seguridad actuales

Sistemas de seguridad actuales.

Es evidente que una red inalámbrica esta predispuesta a una mayor intrusión que en una red con cable. En el caso de una red domestica la intrusión suele ser un mero aprovechamiento de terceros de nuestra línea de datos y de nuestra salida a Internet pero también debemos saber que si nuestra red esta accesible y sin asegurar cualquier puede acceder a nuestros archivos, datos personales, etc. Es importante asegurar nuestro sistema debidamente y para ello las tecnologías wireless disponen de diversas tecnologías, que aunque no perfectas, si que nos librarán del intruso ocasional o de proximidad.

Para ello se usan sistemas de encriptación de la señal que usan algoritmos para proteger los datos enviados de los ojos curiosos. Estas encriptaciones también nos permiten establecer códigos, con los que se genera la encriptación, que inhabilita a cualquiera que no sepa la contraseña para entrar en nuestra red. También podemos establecer otros mecanismos para conservar la privacidad como el control por MAC (La MAC es un indicador único, como una matrícula, que tiene cualquier tarjeta de red) pero este tipo de control es fácilmente violable mediante la suplantación de la MAC.

Con las revisiones A y B del 802.11 el único sistema de encriptación disponible era el conocido WEP (Wired Equivalent Privacy - Privacidad Equivalente al Cable). Este sistema usa un sistema de control de acceso y encriptación simétrica con una clave única en el punto de acceso y las estaciones. En el caso empresarial este sistema tiene inconvenientes de seguridad y de mantenimiento ya que la clave esta situada en cada estación, comprometiendo la seguridad, y tampoco hay ningún sistema dinámico de autenticación por lo que el administrador tiene que estar configurando cada puesto de forma individual. En cuanto a la seguridad tiene agujeros importantes basados sobretodo en su vector de inicialización. No entrare en detalles pero básicamente, incluidas las actualizaciones a 128-Bit que sufrió el WEP en un segundo estadio, permiten a los atacantes averiguar o falsificar el CRC-32 que controla la encriptación. A parte de esto las claves que debemos usar son hexadecimales por lo que para un usuario convencional se convierte en un incordio recordar una clave hexadecimal de hasta 26 caracteres.

El WPA entra en acción para salvar al WEP de sus carencias. Este estándar denominado WiFi Protected Access se incorpora con el 802.11G y se encuentra ya en su segunda actualización con códigos de encriptación de 256-Bit. Básicamente "arregla" los dos problemas principales del WEP, por un lado la administración más costosa con la integración de diversos sistemas de autenticación, y por otro lado mejorando las carencias tanto de los códigos a usar como su vulnerabilidad en la clave compartida y el vector de inicialización con la incorporación de un doble vector de 48-bit frente al único vector de 24-Bit del WEP. Lo mejor es que el WPA permite a los entornos empresariales el uso de servidores Radius para la autenticación de los clientes y que en el caso de los usuarios domésticos podamos usar cualquier clave alfanumérica que creamos conveniente.

El WPA surgió después de que el WEP mostrara sus vulnerabilidades allá por el 2001 cuando ya llevaba en funcionamiento desde 1999. Es una actualización de software y por tanto compatible con cualquier generación 802.11x de productos pero la verdad es que solo la veremos soportada en productos comerciales domésticos marcados por el 802.11g. el WPA2, que es el sistema que se comienza a usar, cambia el sistema algoritmos, mucho mas potentes, y requerirá no de un hardware especifico pero si mas potente para gestionar estos algoritmos más potentes.

Estableciendo seguridad WPA

Estableciendo seguridad WPA

Crackear una red wireless protegida por WEP es relativamente facil. Existen distribuciones de Linux pensadas para monitorizar la seguridad de los sistemas que en apenas unos minutos nos permiten crackear una red WEP con encriptación de 128-Bit. Para ello solo basta con bombardear el punto de acceso victima del ataque hasta que nos reenvíe suficientes vectores de iniciación como para configurar un patrón. En apenas unos minutos de captura de datos podremos establecer la contraseña usada para encriptar la red inalámbrica.

Nosotros vamos a mostraros como configurar vuestro Router inalámbrico mediante el estándar WPA para protegernos de estas vulnerabilidades tan evidentes. Para ello haremos uso de un Router Linksys ADSL que incorpora, como todos, este estándar de seguridad. Solo tenemos que establecer un par de parámetros, que es igual para cualquier aparato, y tendremos nuestra red mas segura y con una contraseña mas natural que un conjunto largo de números y algunas letras.

Como vereis en las siguientes capturas el sistema del Linksys, en cuanto al tradicional WEP establece un pequeño truco para que los usuarios domésticos podamos establecer una clave con una frase clave. Lo primero es localizar el panel de seguridad en la web de configuracion de nuestro Router. En el caso de Linksys esta se encuentra en Wireless - Wireless Security. La introducimos en el formulario, en nuestro caso "hispazone", y el router genera la password hexadecimal adecuada. El resultado es el siguiente.

Pero nuestro objetivo es cambiar esta password WEP por una mucho mas seguro del estándar WPA. Para ello solo tenemos que seleccionar el tipo de seguridad que queremos. Linksys para facilitarnos el trabajo distingue los formatos de WPA de una forma mucho mas elocuente sin entrar en siglas de tecnologías. Tenemos la opción "WPA Pre-Shared Key" que corresponde en la mayoría de routers a WPA-PSK que es el sistema que usaremos en cualquier entorno domestico o de pequeña empresa donde no se dispone de un servidor Radius. Seleccionamos este sistema y ahora solo tendremos que establecer una frase o palabra clave alfanumérica (cualquier numero o letra) del tamaño que consideremos oportuno. Se recomienda que se combinen números y letras tanto en minúsculas como en mayúsculas. En nuestra configuración de prueba hemos elegido "HisPa2006Zone". Una contraseña fácil de recordar y con la combinación adecuada para que sea una contraseña difícil de crackear por fuerza bruta. Solo tenemos que salvar los datos de la configuración y reiniciar el router para que establezca los nuevos parámetros de seguridad. Ahora solo necesitamos tarjetas de red compatibles con WPA para que todo el sistema este seguro. Lo normal es que cualquier tarjeta sea compatible solo necesitaremos que Windows XP disponga del software adecuado proporcionado por el fabricante de la tarjeta o que tengamos instalado el SP2 de Windows XP.

 

Y también WPA2 y WPA-WPA2 conjunto

Y también WPA2 y WPA-WPA2 conjunto.

Podemos encontrar ya muchos puntos de acceso mas potentes, como es el caso del Comtrend CT536, que ya disponen de capacidad para realizar encriptación mediante WPA2. Este Router no solo nos permite establecer este estándar como sistema de encriptación de nuestra red pero no muchas tarjetas de red lo soportan así que también nos añade un sistema combinado WPA/WPA2 para que sea compatible con todo tipo de estaciones. El proceso es el mismo. Establecemos el tipo de sistema, como veis el Comtrend es mas técnico que el Linksys, y la contraseña compartida que deberemos usar en cada PC o aparato conectado a la red.

La seguridad total nunca la tendremos asegurada, basta el ejemplo del WEP que después de dos años se descubrieron los terribles fallos que arrastra, pero en un entorno domestico y salvo mala suerte de tener a un vecino muy puesto en estas lides tendremos una red segura para rato.

Conclusión.

Casi cualquier acceso de banda ancha que se comercializa en nuestro país se oferta con alguna solución de Router con tecnología Wireless. Esto esta, por un lado, generalizando una tecnología que invita a usar la Red, a compartir y a disfrutar de la banda ancha desde cualquier punto de la casa pero por otro lado no va acompañada de la debida formación, que como veis es mínima, para que los usuarios aseguren su red. Otros proveedores protegen a los usuarios con encriptación WEP pero la forma de saltarse esta protección es ya algo común y que esta al alcance de cualquiera con unos conocimientos medios sobre este tipo de tecnologías. Con el WPA de momento estamos bastante seguros, por lo menos en el entorno domestico, así que es importante asegurarnos de que nuestros aparatos lo soportan y ponerlo en funcionamiento. Quizás no lo necesitemos jamás pero es importante conocer estos sistemas y saber de que nos protegen y que nivel de protección nos ofrece. El Wireless como en el caso de Internet nos abre infinidad de posibilidades pero también riesgos que debemos saber afrontar para no encontrarnos con sorpresas desagradables.

Fin del Artículo. ¡Cuéntanos algo en los Comentarios o ven a nuestro Foro!