ADSL Ayuda
Noticias de Fibra y ADSL. Foro, Manuales y Test de Velocidad

Seguridad en Wireless

Como introducción al tema de las precauciones a tomar si tenemos una red Wi-fi, nada mejor que leerse este hilo. Una vez aprendida la teoría, aquí tenemos la manera de llevarla a la práctica en el Conceptronic:

Nota: Al acabar, pulsaremos Save & Restart para que el router guarde los cambios. Si nos equivocamos al introducir alguna opción y nos es imposible acceder a la configuración web, tendremos que resetearlo como se explica en la sección correspondiente.

Esconder la SSID

En la sección Advanced, apartado Wireless Performance, hallaremos una línea titulada Hidden SSID. Tenemos que marcar la casilla Enabled y pulsar el botón Apply para ocultar nuestra red.



Cambiar el nombre de nuestro SSID

En la sección Home, apartado Wireless, hallaremos una casilla para ponerle la denominacion que deseemos. Por defecto viene como "WLAN".



También podemos aprovechar aquí para cambiar el canal (Channel). El 6 suele estar predefinido en muchos routers, por lo que puede presentar problemas de saturación en zonas con muchas conexiones wireless.

Si sólo vamos a usar cable de red, éste es el sitio para desactivar la función Wi-fi del router: basta con desmarcar la casillaEnable AP.

Desactivar el DHCP

Esto ya se ha explicado en la configuración inicial, pero no está de más recordarlo: Sección Home, apartado DHCP, seleccionamos No DHCP.

Activar el filtrado MAC

Nos dirigimos a la sección Advanced, apartado Wireless Management. Comprobamos que está seleccionada la opciónAccess List y marcada la casilla Enable Access List.



Una vez apuntada la dirección MAC de nuestra tarjeta o adaptador (¿Cuál es?), la introducimos en la casilla Mac Address, seleccionamos la opción Allow y pulsamos el botón Add. Pasará al listado inferior. Si queremos borrar alguna entrada, basta con seleccionar su correspondiente opción Delete.

Finalmente, una pulsación del botón Apply hará efectivos todos los cambios.

WEP

En la sección Home, apartado Wireless, encontraremos la opción para activar WEP (hemos de escoger entre WEP y WPA). La pantalla cambiará, apareciendo un racimo de opciones.



Tenemos que marcar la casilla Enable WEP Wireless Security y escoger "Shared" como Authentification Type. A continuación, escogemos la profundidad del cifrado (64, 128 ó 256 bits; más segura a mayor longitud) y nos creamos la correspondiente clave, que ha de ser –respectivamente– de 10, 26 ó 58 dígitos hexadecimales (por hexadecimalesentendemos los números del 0 al 9 y las letras de la A a la F).

Un ejemplo válido para una clave de 128 bits (26 dígitos) es 8023F3FDA5457C6D4354B93252Nota: no todas las tarjetas/adaptadores inalámbricos admiten 256 bits de longitud de clave WEP.

Una vez creada, la introducimos en el primer apartado (el router permite configurar cuatro, pero sólo uno ha de estar activo) y nos la apuntamos, ya que luego la tendremos que introducir igualmente en las tarjetas de red o adaptadores USB inalámbricos (¿Cómo lo hago?).

Pulsando Apply aceptaremos los cambios, y con Save & Restart el router los memorizará.

WPA con Pre-Shared Key

Técnicamente, WPA-PSK (Wi-Fi Protected Access Pre-Shared Key) significa "Acceso protegido de fidelidad inalámbrica con clave previamente compartida". La encriptación usa una autenticación de clave previamente compartida con cifrado TKIP (Temporal Key Integrity Protocol, Protocolo de integridad de clave temporal), denominado en adelante WPA-PSK/TKIP.

Según la descripción de Microsoft, WPA-PSK proporciona una sólida protección mediante codificación para los usuarios domésticos de dispositivos inalámbricos. Por medio de un proceso denominado "cambio automático de claves", conocido asimismo como TKIP (protocolo de integridad de claves temporales), las claves de codificación cambian con tanta rapidez que un pirata informático es incapaz de reunir suficientes datos con la suficiente rapidez como para descifrar el código. (Pondremos lo de "incapaz" entre comillas, por si las moscas).

Para activarla en el Conceptronic, en el mismo apartado de la sección anterior, sólo hay que seleccionar la opción WPA.



A continuación, escogemos PSK Hex o PSK String si, respectivamente, nuestra clave está escrita en código hexadecimal (Hex) o usando caracteres (String) como las contraseñas clásicas. La introducimos (cuanto más larga mejor, por supuesto) y nos la apuntamos para configurarla también en las tarjetas de red/adaptadores USB inalámbricos de los ordenadores que deseemos autorizar (¿Cómo lo hago?).

Pulsando Apply aceptaremos los cambios, y con Save & Restart el router los memorizará.

WPA con servidor RADIUS

RADIUS significa Remote Authentication Dial-In User Service

Es un Sistema de autenticación y accounting empleado habitualmente por la mayoría de proveedores de servicios de Internet (ISPs) si bien no se trata de un estándar oficial. Cuando el usuario realiza una conexión a su ISP debe introducir su nombre de usuario y contraseña, información que pasa a un servidor RADIUS que chequeará que la información es correcta y autorizará el acceso al sistema del ISP si es así.

El router actúa como autenticador para el acceso a la red y utiliza un servidor del Servicio de usuario de acceso telefónico de autenticación remota (RADIUS) para autenticar las credenciales del cliente.

Los pasos siguientes describen el planteamiento genérico que se utilizaría para autenticar el equipo de un usuario de modo que obtenga acceso inalámbrico a la red:

  • Sin una clave de autenticación válida, el punto de acceso prohíbe el paso de todo el flujo de tráfico. Cuando una estación inalámbrica entra en el alcance del punto de acceso, éste envía un desafío a la estación.
  • Cuando la estación recibe el desafío, responde con su identidad. El punto de acceso reenvía la identidad de la estación a un servidor RADIUS que realiza los servicios de autenticación.
  • Posteriormente, el servidor RADIUS solicita las credenciales de la estación, especificando el tipo de credenciales necesarias para confirmar su identidad. La estación envía sus credenciales al servidor RADIUS (a través del "puerto no controlado" del punto de acceso).
  • El servidor RADIUS valida las credenciales de la estación (da por hecho su validez) y transmite una clave de autenticación al punto de acceso. La clave de autenticación se cifra de modo que sólo el punto de acceso pueda interpretarla.
  • El punto de acceso utiliza la clave de autenticación para transmitir de manera segura las claves correctas a la estación, incluida una clave de sesión de unidifusión para esa sesión y una clave de sesión global para las multidifusiones.
  • Para mantener un nivel de seguridad, se puede pedir a la estación que vuelva a autenticarse periódicamente.

En el Conceptronic, sólo hay que seleccionar 802.1x en la misma sección WPA para activarlo. Introducimos la dirección IP del servidor RADIUS, el puerto por donde escucha y –si procede– la contraseña, pulsamos Apply y un reinicio del router conSave & Restart finalizará la configuración.

Evidentemente, parece un sistema demasiado complicado para instalar en nuestra red local, así que esta vez, y sin que sirva de precedente, no lo trataremos más.

Limitar 11b/11g

En la sección Advanced, apartado Wireless Performance, encontraremos en la parte inferior una línea b/g Mode. Si seleccionamos "11b Only" bloquearemos posibles accesos usando 11g; del mismo modo, escogiendo "11g Only" denegará intentos a través de 11b.



Limitar la potencia de emisión de la antena

En el mismo apartado anterior, en la línea Antenna Transmit Power podremos seleccionar un porcentaje de la máxima potencia (que es "Full").

Anexo I: Configurar WEP/WPA en nuestra tarjeta de red o adaptador USB inalámbricos

El método depende del modelo en concreto. El ejemplo siguiente está basado en la configuración de una tarjeta de red Conceptronic 802.11g.

Probablemente la red que proporciona el router esté ya incluida entre las opciones disponibles. Seleccionándola y pulsando el botón de edición (Properties, Modify, Edit, etc.) entramos a la configuración avanzada.



Aquí tenemos que introducir los datos siguientes:

  • Para WEP:
    • El nombre de nuestro SSID en Wireless Network Name (SSID).
    • Open System en Authentication Mode.
    • WEP en Data Encryption.
    • La longitud de nuestra clave y el tipo hexadecimal en Key Length.
    • La clave en Key 1.
    • Y, por último, dejarla predeterminada seleccionando Key 1 en Default Key.
  • Para WPA con Pre-Shared Key:
    • El nombre de nuestro SSID en Wireless Network Name (SSID).
    • WPA-PSK en Authentication Mode.
    • TKIP en Data Encryption.
    • A continuación, pulsaremos el botón Authenticacion Config. Nos saldrá un nuevo menú: en la sección WPA Passphrase tenemos que introducir la clave.


Tras unos segundos, la tarjeta configurará nuestra red en modo encriptado y podemos disfrutar de una seguridad, si no completa, sí bastante razonable.

Anexo II: Saber la dirección MAC de nuestra tarjeta/adaptador

  • Abrimos una terminal. Para ello, nos dirigimos a INICIO > EJECUTAR y tecleamos command (Windows 95, 98 y Millenium) o cmd (resto de versiones de Windows). Pulsamos ENTER.
  • Tecleamos winipcfg (Windows 95, 98 y Millenium) o ipconfig /all (resto de versiones de Windows) y pulsamos ENTER de nuevo.
  • En la casilla Dirección de adaptador (Windows 95, 98 y Millenium) o en la línea Dirección física(resto de versiones de Windows) encontraremos la MAC: es un número compuesto de seis dígitos hexadecimales separados por guiones, como por ejemplo 5E-24-1A-95-B4-C0.

Documento elaborado por mced y Ar03 (con la ayuda adicional de truso04) para www.adslayuda.com© 2005

Depósito legal: GI.493-2005