Seguridad WI-FI

  

Las redes Wi-Fi son prácticas y cada vez más habituales. Pero deben protegerse. Lo normal es hacerlo mediante WEP o WPA, que cifran la información de la red inalámbrica. No es igual un sistema que otro. Ve en qué se diferencian y cuál conviene más usar.

 

¿Es mejor el WEP o el WPA?

 

La respuesta corta para quien tenga prisa: es MUCHO más seguro el tipo de seguridad WPA, sobre todo el WPA2 con cifrado AES.
 

WEP (Wired Equivalent Privacy)

 

WEP fue el primer estándar de seguridad para redes Wi-Fi. Hoy está superado.

NO debes usar WEP para proteger tu red inalámbrica si tienes alternativa. Su protección es demasiado débil. Se puede crackear un cifrado WEP en pocos minutos usando las herramientas adecuadas.

 

     WPA (Wi-Fi Protected Access)

 

Surgió para corregir las limitaciones del WEP. Introdujo mejoras de seguridad como el TKIP (Temporal Key Integrity Protocol), que varía por sí solo la contraseña Wi-Fi cada cierto tiempo.

Su variante más normal es la WPA-Personal. Usa el sistema PSK, o de clave precompartida. En él, todos los usuarios de la red inalámbrica tienen una misma contraseña Wi-Fi, que el propio usuario define. Ve más abajo cómo elegir una clave fuerte.

También hay una versión WPA empresarial (WPA-Enterprise). Ofrece seguridad adicional al obligar al usuario a identificarse con un nombre y contraseña en sistemas de autentificación especiales, como RADIUS o 802.1X.

 

     WPA2

 

Es el estándar más moderno para proteger redes inalámbricas y el que recomienda la Wi-Fi Alliance. Existe también una versión personal (WPA2-Personal) y empresarial (WPA2-Enterprise).

WPA2 es compatible con WPA, lo que significa que en tu red Wi-Fi puedes usar PCs o dispositivos (router, adaptadores de red…) que admitan uno u otro sistema.

WPA2 no es compatible, sin embargo, con sistemas WEP. No podrás juntar en una misma red Wi-Fi dispositivos que sólo admitan WEP con otros válidos para WPA2. Es por razones de seguridad. Sería como ponerle a un Ferrari las ruedas de un Ford T.

 

¿TKIP o AES?

 

El cifrado AES es sin duda el más fuerte y el más capaz de proteger mejor tu red Wi-Fi.

Del TKIP se han descubierto ciertas vulnerabilidades que hacen que ya no ofrezca una seguridad suficiente.

 

Saber qué tipo de seguridad tiene tu Wi-Fi y cómo cambiarla

 

Lo más fácil para saber cuál tienes es mirar tu router Wi-Fi. Es un aparato en general con una o varias antenas que habrá traído y configurado quien instaló tu red inalámbrica.

Dale la vuelta al router y mira la etiqueta de abajo. Allí suele aparecer si es WEP o WPA. Al lado de una listra de cifras y letras, que es la clave asignada a ese router.

 

Cambiar la contraseña y seguridad Wi-Fi en Windows 7 o Vista

 

Resumen sobre cómo proteger tu red Wi-Fi

 

1.  Algunos PCs o dispositivos de red Wi-Fi sólo admiten un tipo concreto de seguridad y cifrado. La conexión NO funcionará si eliges uno con el que no sean compatibles.

Si no lo tienes claro consulta el manual de tu PC, USB Wi-Fi, adaptador de red inalámbrico, router Wi-Fi, etc. La idea es averiguar qué tipos admiten en tu caso concreto. Si no tienes el manual descárgalo del sitio web de sus fabricantes. O haz una búsqueda en Google para intentar descubrir con qué tipos son compatibles.

 

2.  Al configurar tu red Wi-Fi usa WPA2-Personal con cifrado AES siempre que sea posible (si tus dispositivos y adaptadores de red lo admiten).

 

3.  Define una contraseña Wi-Fi fuerte. Por fuerte quiero decir en concreto que:

-Tenga al menos 15 caracteres.

-Combine letras mayúsculas y minúsculas, números y caracteres especiales ($, #, @, etc.).

-No incluya NINGUNA información personal, como nombres, fechas de cumpleaños o aniversarios o el nombre de tu mascota.

-No contenga palabras completas en ningún idioma, por raras que sean.

-No sea obvia. Claves como "qwerty", "1234" o "contraseña" no son originales ni seguras, créeme.

-Y después de hacer todo eso cambia tu contraseña Wi-Fi cada cierto tiempo siguiendo las mismas recomendaciones. Ninguna clave es segura eternamente.

 

Por qué debes proteger tu red inalámbrica

 

En una red inalámbrica las comunicaciones entre los PC de la red se transmiten por el aire en vez de mediante cables.

Eso permite conectarse a ella a cualquier equipo que esté dentro del radio de acción del Wi-Fi. Esa misma ventaja es un riesgo de seguridad si la red no está cifrada.

Saber si alguien roba tu Wi-Fi

Estos son dos de los riesgos principales de una red Wi-Fi "abierta". Es decir, no cifrada:

 

·   Que alguien se conecte a Internet usando tu red Wi-Fi
Las redes inalámbricas son cada vez más potentes y su radio de acción mayor. Eso garantiza cobertura en toda tu casa. Pero también en la de tus vecinos o incluso en la calle.

Sin protección, esos vecinos o cualquiera que esté dentro del alcance de tu red inalámbrica puede "parasitar" tu Wi-Fi. Quizá no entren en tu PC ni roben tus datos pero harán más lenta tu conexión a Internet. A ellos, se la estarás pagando tú.

 

·   Robo de tus datos personales o confidenciales
Una red Wi-Fi sin protección es una presa fácil incluso para un hacker aficionado, que podrá acceder a tu computadora y hacer lo que quiera con ella.

Si las comunicaciones inalámbricas no están protegidas, todos los datos almacenados en tu PC quedan expuestos. También los datos de tarjetas o cuentas bancarias que uses en Internet.

Verificar Robo WI-FI

Descubre si roban tu Wi-Fi y cómo evitarlo

Contraseña y seguridad Wi-Fi en Windows 7 o Vista

Ver o cambiar la contraseña de Wi-Fi en Windows 7 o Vista

1. Entra en el menú Inicio de Windows. Escribe en el campo de búsqueda de abajo el comando ncpa.cpl (y pulsa Intro en tu teclado).

 

2. Se abre la ventana de "Conexiones de red". Busca la que se llame "Wi-Fi", "Conexión inalámbrica" o algo similar y clickea en ella para seleccionarla. Luego haz clic encima con el botón DERECHO y elige la opción Estado.

 

Ver o cambiar la contraseña de Wi-Fi en Windows 8 o 10

 

1. abrir el explorador de archivos y escribir CMD como se muestra en la figura.

2. se abrira una ventana de comando como se muestra en la figura en la cual debera escribir en donde esta el cursor la siguiente instrucción. Ver figura

ncpa.cpl           y pulsas <enter>

3. aparecerá una ventana con las redes disponibles y busque la que dice Wi-Fi y de un clic sobre ella y luego el boton derecho del mouse para poder seleccionar ESTADO.

 4. Continuar los pasos como en el caso anterior para poder cambiar la clave.

Protocolos de seguridad

Actualmente existe el protocolo de seguridad llamado WPA2 (802.11i), que es una mejora relativa a WPA y el mejor protocolo de seguridad para 802.11 hasta el momento.

 

En cuanto a seguridad para 802.16 (WiMax), hasta ahora contempla el 3DES (Triple Data Encription Standard), pero se prevé que se incorpore AES (Advanced Encryption Standard) cuando se comercialice a gran escala.

 

WEP WEP (Wired Equivalent Privacy) fue concebido como sistema de cifrado para el estándar 802.11. Proporciona cifrado a nivel 2 y se basa en el algoritmo de cifrado RC4. Utiliza claves de 64 bits (40 bits más 24 bits del vector de inicialización IV) o de 128 bits (104 bits más 24 bits del IV). El problema principal con la implementación de este algoritmo es el tamaño de los vectores de inicialización.

 

A pesar de que se pueden generar muchos vectores, la cantidad de tramas que pasan a través de un punto de acceso es muy grande, lo que hace que rápidamente se encuentren dos mensajes con el mismo vector de inicialización, y por tanto, sea fácil determinar la clave.

 

Aumentar los tamaños de las claves de cifrado sólo amplía el tiempo necesario para romperlo.

 

Para penetrar una red se suele utilizar los llamados Packet Sniffers y los WEP Crackers. El procedimiento consiste en capturar la cantidad de paquetes necesaria (dependerá del número de bits de cifrado) mediante la utilización de un Packet Sniffers y luego por un WEP cracker o key cracker se trata de "romper" el cifrado de la red. Un key cracker es un programa que utiliza métodos de ingeniería inversa para procesar los paquetes capturados y descifrar la clave WEP. WPA y WPA2 WPA.

Sistema para proteger las redes inalámbricas

WiFi Protected Access, Acceso Protegido WiFi, es un sistema para proteger las redes inalámbricas 802.11, creado para corregir las deficiencias del sistema previo WEP.

 

Fue diseñado para utilizar un servidor de autenticación (normalmente un RADIUS), que distribuye claves diferentes a cada usuario (mediante el protocolo 802.1x); sin embargo, también se puede usar en un modo menos seguro de clave precompartida (PSK PreShared Key) para usuarios de casa o pequeña oficina.

 

La información se cifra utilizando el algoritmo RC4 (debido a que WPA no elimina el proceso de cifrado WEP, sólo lo fortalece), con una clave de 128 bits y un vector de inicialización de 48 bits.

 

Una de las mejoras sobre WEP, es la implementación del Protocolo de Integridad de Clave Temporal (TKIP Temporal Key Integrity Protocol), que cambia dinámicamente claves a medida que el sistema se utiliza. Cuando esto se combina con un vector de inicialización (IV) mucho más grande, evita los ataques de recuperación de clave vistos anteriormente, a los que es susceptible WEP. Adicional a la autenticación y cifrado, WPA también mejora la integridad de la información cifrada.

Chequeo de redundancia cíclica (CRC Cyclic Redundancy Check)

El chequeo de redundancia cíclica (CRC Cyclic Redundancy Check) utilizado en WEP es inseguro, ya que es posible alterar la información y actualizar el CRC del mensaje sin conocer la clave WEP. 

 

WPA implementa un código de integridad del mensaje (MIC, Message Integrity Code), también conocido como "Michael". Además, WPA incluye protección contra ataques de "repetición" (replay attacks) porque incluye un contador de tramas.

 

El estándar 802.11i, también conocido como WPA2, surge como una versión mejorada de WPA, que emplea el estándar AES (Advanced Encryption Standard) de cifrado por bloques, en lugar del RC4 usado por WPA y WEP. Adicionalmente, WPA2 utiliza al igual que su predecesor, el estándar 802.1x para autenticación. Las armas del atacante A pesar de la opinión de muchos expertos en seguridad, la cantidad de redes totalmente abiertas es increíble, y "totalmente abiertas" se refiere que no utilizan siquiera el protocolo WEP, ni filtros MAC, ni un ESSID cerrado, así como tampoco filtros de protocolos y probablemente tienen una interfaz de gestión del punto de acceso a la que se puede acceder desde la red inalámbrica.

 

Entre los principales motivos de tal situación están la ignorancia y la pereza de usuarios y administradores de redes. Un atacante ante estas redes, sólo tiene tres preocupaciones básicas: la Accesibilidad física a la red, la Conectividad con Internet y la posibilidad (rara) de encontrar trampas señuelos (conocidos como potes de miel, o honeypot).

 

.Accesibilidad física

 

Primer problema de un atacante: Cómo entrar a una red totalmente abierta si sólo se puede poner debajo de la fachada de la oficina. La solución es bien simple: una antena de alta ganancia. Éstas suelen parecerse a soportes para anuncios y no es nada sospechoso. Incluso si fuera una antena parabólica direccional y el atacante se hace pasar por un estudiante o un ingeniero que busca soluciones a un enlace, nadie lo notaría.

 

Conectividad: Este problema puede evitarse de varias formas. Primeramente mirando el tráfico DHCP en busca de una puerta de enlace o gateway. Existen diversas herramientas que puede solucionar este problema casi de forma automática. Trampas o señuelos: Esta es la parte difícil y requiere de las habilidades del atacante y de su experiencia para saber si "su fruta" está "envenenada". Suponiendo que la red cuente con un poco más de seguridad implementada, el atacante deberá considerar estrategias más agresivas

 

Violación de ESSID cerrados

 

Incluso cuando un ESSID (valor del identificador de la red que es necesario conocer de antemano para asociarse a ésta) ha sido declarado como cerrado o no público, es posible obtener su valor, pues no todas las tramas de administración se deshacen de este indicador, por ejemplo, las tramas de reautenticación y reasociación contienen siempre dicho valor ESSID.

 

Violación de protección mediante Filtrado de Direcciones MAC:

 

Muchos piensan que este método es infalible, pero basta "escuchar" las direcciones MAC durante algún tiempo, esperar que un host se desconecte de la red y asumir su identidad, incluso es posible asumir la identidad MAC de un host víctima mientras está en la red (piggybacking) aunque para ello el atacante deba cancelar sus solicitudes ARP para no levantar sospechas

 

Violación de Filtrado de Protocolo

 

Esta regla de seguridad es más difícil de violar, generalmente los ataques de este tipo están orientados al protocolo seguro permitido (casi nunca tan seguro como se dice). Por desgracia de los administradores y para bien de los atacantes, muy pocos dispositivos implementan filtrados de protocolos potentes y los que lo hacen tienen elevados costos.

 

Violación del Protocolo WEP

 

Es el más antiguo para la seguridad de las redes inalámbricas y aún altamente utilizado como mecanismo de seguridad primario. Contra este protocolo se pueden realizar ataques de fuerza bruta, de FMS o ataques FMS mejorados, todos encaminados a violentar el algoritmo RC4 para obtener la clave WEP. asegurando la red inalámbrica

 

Principios generales que pueden ser aplicados para elevar el nivel defensivo

 

Las redes inalámbricas sí pueden ser bastante seguras. Toda red puede ser violada, es cierto, pero la seguridad no se basa en la impenetrabilidad, sino en lograr que el punto de ruptura se alcance por muy pocas personas en el mundo, si existe alguna.

 

La clave del éxito

 

Crear una política de seguridad inalámbrica. Lo primero para la implementación de una red inalámbrica es desarrollar una adecuada política de acceso. Una red será tan segura como lo sea su miembro más vulnerable, es decir, cada equipo debe ser capaz de soportar la variante de seguridad que usted elija. Si se emplean filtros MAC, la base de datos con todos los clientes MAC debe ser actualizada y verificada a intervalos. O sea, debe llevarse la red a un estado de igualdad que garantice el mismo nivel de seguridad en todas las estaciones.

 

Los usuarios, como principal elemento en la política de seguridad, deben ser educados y formar parte proactiva de dicha seguridad, de forma que ante hechos como por ejemplo la pérdida de un equipo, lo reporten para que se tomen las medidas de exclusión de la red de dicho equipo.

 

Estos deben poseer una adecuada seguridad física que imposibilite su hurto o daño. Los custodios deberán informar sobre cualquier equipo inalámbrico que aparezca y genere una amenaza potencial de ataque.

 

Deben utilizarse potencias adecuadas de transmisión para evitar la radiación a áreas donde no se requiera el uso de la red inalámbrica. La utilización de varios puntos de acceso incrementa el riesgo del ataque tipo "maninthemiddle" (hombre en el medio). Para evitarlo deben utilizarse diferentes dominios para la red cableada.

 

Si por necesidad varios puntos de acceso estuviesen conectados a un mismo switch, deberán emplearse VLANs y colocar en una misma VLAN todos los puntos de acceso si es posible. Los identificadores de red ESSIDs no deberán aportar ninguna información que revele el más mínimo detalle sobre la red

 

Protocolos de seguridad utilizados

 

Los protocolos de seguridad utilizados, si son propietarios como alguna mejora del WEP por ejemplo, deben ser certificados por auditores de seguridad externos. Debe garantizarse una adecuada política de selección de contraseñas y evitarse a toda costa el uso de protocolos no necesarios, así como el empleo de recursos compartidos.

 

La red inalámbrica debe ser monitorizada y comparada contra un comportamiento habitual. Las desviaciones de este comportamiento han de estar documentadas. El despliegue de detectores de intrusos ser realizado, así como el análisis de las alarmas que éstos puedan generar.

 

Claro, no puede faltar en la política la existencia de un equipo de respuestas a las incidencias que esté familiarizado con las regulaciones locales para el manejo de las evidencias.

 

Redes VPN en las capas altas de la red inálambrica Al hacer un análisis del propio nombre VPN (Virtual Private Network) se obtienen tres elementos que de por sí definen su función.

 

El primero Virtual, indica la coexistencia pacífica de dos redes mutuamente excluyen tes en un mismo segmento de red.

 

La segunda parte Private (privada) indica una forma de comunicación que es solamente entendible por los extremos que participan en ésta, mientras que la tercera Network (red) se explica por sí sola.

 

Las redes privadas virtuales son una excelente solución sobre las inalámbricas que están llenas de usuarios "imprevistos" y poblando las bandas libres. Este tipo de red se utiliza sobre medios cableados fundamentalmente para trabajadores a distancia u oficinas alejadas de la empresa, en el mundo sin cables se puede aplicar a cualquier enlace que se desee proteger.

 

Existen apuestas sobre el futuro estándar 802.11i (WPA2) y la reducción que traerá en la implementación de VPNs inalámbricas, pero quizás como dice el refrán "más vale malo conocido que bueno por conocer".

 

Antes que se publicara el borrador final del 802.11i ya existían considerables problemas relativos a su seguridad. De seguro estos problemas se irán solucionando e irán apareciendo nuevos que serán objeto de nuevos ataques. Por consiguiente los gestores de red preferirán los mecanismos de seguridad ya conocidos y probados como una VPN con IPSec. Sistemas IDS Inalámbricos.

 

Sistemas de detección de intrusos

 

Los sistemas de detección de intrusos (IDS, siglas en inglés) se agrupan en dos categorías: basados en firmas y basados en conocimientos. Los primeros asientan su funcionamiento en analizar y comparar los eventos de la red con firmas conocidas de ataques que poseen en una base de datos. Son de fácil implementación, pero también son más fáciles de violar, sin tomar en cuenta que las bases de firmas tienen que estar protegidas.

 

Este tipo de sistema es poco probable que detecte violaciones novedosas. Por otra parte, los sistemas basados en conocimiento basan su existencia en analizar y describir el funcionamiento estadístico de la red, avisando de comportamientos que se desvíen de esta media.

 

Lo malo es que pueden generar falsos positivos, sobre todo en un medio como el inalámbrico debido a su naturaleza no fiable. Además, no hay garantías de que el análisis de la red se haya comenzado cuando ya estuviera siendo atacada por un intruso. Un sistema IDS inalámbrico debe pertenecer a ambas categorías, pues son pocas las herramientas de ataque inalámbrico que poseen firmas conocidas, mientras la mayoría sólo produce pequeñas desviaciones del comportamiento habitual.

 

Es digno considerar que equipos cercanos a nuestra WLAN que operen en las bandas libres, como puede ser un horno microondas, genere "malformaciones" en los paquetes de datos de nuestra red y dichos paquetes sean interpretados por el IDS como ataques. En ese caso el atacante será un malvado horno microondas mientras cocina unas deliciosas palomitas de maíz. Por esto la clave para un despliegue eficiente de una red WLAN es caracterizar detalladamente su funcionamiento durante un tiempo significativo. Sólo recogiendo un gran número de estadísticas sobre el comportamiento de la red se podrá determinar si un proceder es anómalo o no

 

en la actualidad

 

En el mercado actual no existen herramientas que clasifiquen en los dos grupos antes mencionados. Es cierto que existen soluciones que buscan MAC y valores ESSID ilegales en la red, pero suelen ser una pérdida de tiempo y dinero. Es de especial interés para usuarios y administradores valorar los riesgos asociados a la instalación de este tipo de tecnologías y tomar las medidas necesarias para combatirlos, medidas que muchas veces no son tan costosas o complicadas. Especial atención debe observarse en los enlaces de largo alcance, pues hay tecnologías como 802.11 con antenas bien diseñadas para estos fines y 802.16 pueden alcanzar distancias en el orden de 10 kilómetros o más en el caso de WiMax.

 

En nuestro país han comenzado a surgir muchos enlaces de este tipo, algunos de los cuales utilizan WEP en el mejor de los casos. Como se ha dicho, si bien es imposible crear mecanismos infalibles, sí se puede obstaculizar en forma considerable la penetración de intrusos implementando soluciones serias WPA y VPNs en capas altas, al mismo tiempo se recomienda comprobar los niveles de seguridad, ejecutando ataques de prueba sobre nuestras redes