Este documento describe tres escenarios de configuración de una red inalámbrica (WiFi) con diferentes niveles de seguridad. En el primer escenario se configuró una red WiFi abierta sin contraseña. En el segundo escenario se agregó seguridad WPA2-AES mediante una contraseña compartida. Finalmente, en el tercer escenario se implementó filtrado por dirección MAC además de la contraseña WPA2-AES para restringir el acceso a la red.
1. Universidad Centroamericana
Facultad de Ciencia, Tecnología y Ambiente
Ingeniería en Sistemas y Tecnologías de la Información
Concentración de Redes y Comunicaciones
Laboratorio II: Seguridad en Redes Wifi
Sistemas Inalámbricos
Presentado por:
Garay Muñoz, Francisco José
Gutiérrez Pérez, Yahoska Melissa
Hernández Hernández, Ingrid Gabriela
Lorío Cabezas, Diana Massiel
Mendoza López, Marco Antonio
Docente:
Ing. Luis Manuel Larios Munguía
Managua, Nicaragua
de Octubre de 2014
2. i
Tabla de contenido
Índice de Figuras .........................................................................................................ii
Índice de Tablas ..........................................................................................................ii
Resumen .................................................................................................................... 1
Introducción ................................................................................................................ 1
Objetivos .................................................................................................................... 2
Marco Teórico ............................................................................................................ 2
Desarrollo ................................................................................................................... 5
Escenario I: Conexión a una red Wireless free ....................................................... 7
Escenario II compartir internet Wireless con seguridad WPA2-AES ...................... 9
Conclusiones ............................................................................................................ 13
Referencias Bibliográficas ........................................................................................ 14
3. ii
Índice de Figuras
Figura 1: Interfaz de Thomson RCA DWG855 ........................................................... 5
Figura 2: Esquema de las conexiones para el equipo Router .................................... 6
Figura 3: Ingreso a la administración del router ......................................................... 6
Figura 4: Verificando las credenciales de administración del Router ......................... 7
Figura 5: Configuración de la red en el Router y los equipos pc ................................ 7
Figura 6: Configurando la red wireless para dejarla libre. .......................................... 8
Figura 7: Confirmando acceso a la red inalámbrica sin necesidad de contraseña, confirmando acceso a internet ................................................................................... 8
Figura 8: Tiempos de alcance hacia el Gateway estando conectado a la red libre ... 9
Figura 9: Configuración del DHCP en el equipo Router .......................................... 10
Figura 10: configuración de la Contraseña para el Wireless .................................... 10
Figura 11: Autentificación para la red inalámbrica por DHCP .................................. 11
Figura 12: Verificación de la IP asignada por DHCP ................................................ 11
Figura 13: Configuración de filtro por MAC en la red Wireless ................................. 13
Índice de Tablas
Tabla 1: Detalle de las IP de los equipos de la red inalámbrica ................................. 9
Tabla 2: Detalle del DHCP Asignado ....................................................................... 12
4. Página 1
Resumen
En esta práctica de laboratorio se desarrolló una configuración básica de WLAN en la cual se pusieron a pruebas los conocimientos previos adquiridos en las clases teóricas, para llevar a cabo con éxito la práctica se utilizó un router inalámbrico para administrar el acceso al dispositivo. Se configuraron cuatro PC con sus respectivas antenas inalámbricas instaladas, a fin de compartir internet Wireless con seguridad se agregó una contraseña con algoritmo WPA2-AES a la red inalámbrica, y listas de control de acceso (ACL) usando la dirección MAC de cada tarjeta inalámbrica para restringir el acceso. Para el direccionamiento de red Clase C, se utilizó el protocolo de configuración dinámica de host (DHCP).
Introducción
En el presente informe de laboratorio se aborda la temática de seguridad en las redes Wi-Fi, realizando la configuración básica de una red de área local inalámbrica con seguridad WPA2-AES y otra con filtrado por MAC, entre todos los integrantes del grupo siendo uno designado para ser conectado directamente con el router (admin). Para ello se requirió de algunos equipos físicos por cada grupo de trabajo como lo fue: cable plano para conectar la PC, un Router, cinco PC con Nic inalámbrica instaladas, así mismo se hizo uso de los conocimientos teóricos y básicos que se investigaron con anterioridad a la ejecución del laboratorio acerca de los valores de fábrica de los router disponibles (Reinicio y Reseteo) para la realización del laboratorio. Para la demostración del trabajo realizado se hizo tanto capturas de pantalla además de completar tablas con respecto a la dirección IPv4, máscara de subred, Gateway, DHCP y DNS en modo LAN y WAN son respecto al router inalámbrico, la terminal de administración y lo que eran las terminales inalámbricas.
5. Página 2
Objetivos
Desarrollar una configuración básica de WLAN para comunicación de grupo de trabajo con cinco PC que utilizan un Punto de Acceso (AP) o un Router.
Diseñar una WLAN con seguridad WPA2-AES.
Diseñar una WLAN con seguridad de filtrado por MAC
Marco Teórico
Seguridad de las redes Wi-Fi.
Cada día son más los usuarios que prefieren las redes inalámbricas, esto es en gran parte por la facilidad de instalación, bajos costos, disponibilidad, y fácil movilidad de equipos personales. Sin embargo aplicar las configuraciones adecuadas para brindar una muy buena seguridad se ha vuelto un reto.
En este laboratorio se explica cómo establecer la configuración para la seguridad en las redes Wi-Fi en tres niveles: Libre (open), con seguridad WPA2-AES, y por filtrado de MAC aplicando ACL. Para comprender adecuadamente estos conceptos, posterior se presenta un marco teórico que describe cada uno de los conceptos que estos niveles de seguridad agrupan.
Wireless abierta (open):
Una Wireless abierta, como su nombre lo sugiere, el acceso a ella no está restringido siendo esta la configuración más básica que se puede aplicar, permitiendo a cualquier usuario conectarse. Generalmente las Wireless (open) vienen configuradas por default en el Router o Access Point, por lo que es conveniente cambiar esta configuración por una más segura.
6. Página 3
Wireless con seguridad WPA2-AES y clave pre-compartida o PSK.
Hoy por hoy Wireless con seguridad WPA2-AES es una de las configuraciones más recomendadas para de uso domiciliar, puesto que garantiza gran seguridad a los usuarios por la encriptación utilizada, y sólo se podrán vincular equipos a cuales se les ingrese una clave de acceso al igual que el SSID configurada en el AP o Router. En este tipo de configuración es necesario conocer lo siguiente:
El Acceso protegido Wi-Fi cifra la información y también se asegura de que la clave de seguridad de red no haya sido modificada. Además, el Acceso protegido Wi-Fi autentica a los usuarios con el fin de garantizar que únicamente las personas autorizadas puedan tener acceso a la red. (Microsoft, 2013)
SSID: El SSID (Service Set IDentifier) es un nombre incluido en todos los paquetes de una red inalámbrica (Wi-Fi) para identificarlos como parte de esa red. En palabras más sencillas de comprender es el nombre con el cual aparece la red Wi-Fi.
WPA2: (Wi-Fi Protected Access 2 - Acceso Protegido Wi-Fi 2) es un sistema para proteger las redes inalámbricas (Wi-Fi); creado para corregir las vulnerabilidades detectadas en WPA. Es el más adecuado para redes domiciliares con alto nivel de seguridad.
AES: Advanced Encryption Standard también conocido como Rijndael (pronunciado "Rain Doll" en inglés), es un esquema de cifrado por bloques adoptado como un estándar de cifrado por el gobierno de los Estados Unidos.
PSK: En criptografía, un clave pre compartido o PSK (en inglés pre-shared key) es una clave secreta compartida con anterioridad entre las dos partes usando algún canal seguro antes de que se utilice. Para crear una clave de secreto compartido, se debe utilizar la función de derivación de claves.
7. Página 4
Wireless con seguridad WPA2-AES, clave pre-compartida o PSK y listas de control de acceso (ACL) usando la dirección MAC de cada tarjeta inalámbrica.
“Es uno de los niveles más altos de seguridad para los Wireless personales” (Microsoft, 2013), aplicar ACL (Listas de Control de Acceso) le da un plus a la seguridad, pues el usuario además de ingresar la contraseña pre compartida (PSK), es necesario que la dirección MAC (u otro medio de identificación único) de su equipo tiene que estar registrada con anticipación en el Router o AP para lograr una conexión exitosa, de manera que no basta con conocer la contraseña de acceso para acceder. Esta configuración brinda mayor seguridad, pero aplicarla lleva más tiempo, además no permitirá que usuarios nuevos se conecten hasta que la MAC de su equipo sea ingresada al dispositivo que brinda la conexión.
ACL: Una lista de control de acceso o ACL (del inglés, access control list) es un concepto de seguridad informática usado para fomentar la separación de privilegios. Es una forma de determinar los permisos de acceso apropiados a un determinado objeto, dependiendo de ciertos aspectos del proceso que hace el pedido.
Filtrado por MAC: El filtrado MAC toma su nombre de la dirección MAC, siglas en inglés de Media Access Control, de las tarjetas de red de los distintos dispositivos que están preparados para conectarse a una red, como puede ser un ordenador, una tablet o un smartphone. “Cada dispositivo tiene una dirección MAC única que identifica a su tarjeta de red”. (Martínez, 2014) Y hacer un filtrado por MAC, es usar este número de identificación único como identidad para el acceso a una red o sistema.
8. Página 5
Desarrollo
Lo primero que se hizo es averiguar los valores de fábrica del Router asignado y la manera de reiniciar sus valores según fabricante, utilizando un navegador de Internet. En este caso el Router utilizado es un Thomson RCA DWG855 (Ver anexo 1) con una versión de software ST80.30.06 cual cuenta con una conexión que brinda señal inalámbrica.
Figura 1: Interfaz de Thomson RCA DWG855
Se procedió con el reinicio de fábrica del equipo por medio del botón reset que este tienen en la parte posterior. Con la ayuda de un clic se presionó el botón por unos 10s observando como las led indicadoras parpadearon indicando el reinicio realizado (Ver figura 2). Según (Padilla, 2011) las configuraciones por defectos es que brinda dhcp con la red 192.168.0.1/24 y la contraseña para la administración es username: (vacio); password: admin (Ver figura 3)
9. Página 6
Figura 2: Esquema de las conexiones para el equipo Router
Figura 3: Ingreso a la administración del router
10. Página 7
Figura 4: Verificando las credenciales de administración del Router
Escenario I: Conexión a una red Wireless free
De esta manera en el módulo network del Router, se procedió a configurar la red 192.168.50.0 /24, siendo el Gateway la ip 192.168.50.1 configurada en el router. Para tener acceso a este se configuró las ip 192.168.50.101 hasta la 192.168.50.105 en los equipos terminales, verificando que se conectaban por Wireless teniendo acceso a internet sin ingresar ninguna contraseña para conectarse a la red.
Figura 5: Configuración de la red en el Router y los equipos pc
11. Página 8
Figura 6: Configurando la red wireless para dejarla libre.
Figura 7: Confirmando acceso a la red inalámbrica sin necesidad de contraseña, confirmando acceso a internet
12. Página 9
Router Inalámbrico
Terminal Admin
Terminales inalámbricas
WAN
LAN
PC1
PC2
PC3
PC4
PC5
IP v4
10.200.134.199
192.168.50.1
192.168.50.101
192.168.50.12
192.168.50.103
192.168.50.104
192.168.50.105
SM
255.255.255.252
255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0
GW
10.200.134.198
192.168.50.1
192.168.50.1
192.168.50.1
192.168.50.1
192.168.50.1
DHCP
192.168.50.1
192.168.50.1
192.168.50.1
192.168.50.1
192.168.50.1
192.168.50.1
DNS
200.62.64.1
192.168.50.1
192.168.50.1
192.168.50.1
192.168.50.1
192.168.50.1
192.168.50.1
Tabla 1: Detalle de las IP de los equipos de la red inalámbrica
Figura 8: Tiempos de alcance hacia el Gateway estando conectado a la red libre
Escenario II compartir internet Wireless con seguridad WPA2-AES
En esta ocasión se activa el DHCP en las Pc asimismo en el equipo Router se activa el DHCP con la red 192.168.0.0 /24. También se configuro para que la red Wireless tenga contraseña personalizada WPA2-AES.
13. Página 10
Figura 9: Configuración del DHCP en el equipo Router
Figura 10: configuración de la Contraseña para el Wireless
14. Página 11
Figura 11: Autentificación para la red inalámbrica por DHCP
Figura 12: Verificación de la IP asignada por DHCP
El DHCP fue configurado para que comenzará a entregar IP a partir de la 192.168.0.10 hasta la 192.168.0.254, la entrega DHCP funcionó correctamente entregando IP a las 5 PC como lo detalla la tabla #2. De esta manera e ingresando la contraseña configurada en WPA2-PSK se conectaron nuevamente a internet sin ningún inconveniente.
15. Página 12
Router Inalámbrico
Terminal Admin
Terminales inalámbricas
WAN
LAN
PC1
PC2
PC3
PC4
PC5
IP v4
10.200.134.199
192.168.0.1
192.168.0.12
192.168.0.13
192.168.0.14
192.168.0.15
192.168.0.16
SM
255.255.255.252
255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0
GW
10.200.134.198
192.168.0.1
192.168.0.1
192.168.0.1
192.168.0.1
192.168.0.1
DHCP
192.168.0.1
192.168.0.1
192.168.0.1
192.168.0.1
192.168.0.1
192.168.0.1
DNS
200.62.64.1
192.168.0.1
192.168.0.1
192.168.0.1
192.168.0.1
192.168.0.1
192.168.0.1
Tabla 2: Detalle del DHCP Asignado
Escenario III: compartir internet Wireless con seguridad WPA2-AES, clave pre- compartida o PSK (pre-shared key) y listas de control de acceso (ACL) usando la dirección MAC de cada tarjeta inalámbrica.
Para este punto se procedio a recolectar la dirección MAC de la tarjeta de red Wireless de cada uno de los equipos que deseamos que se conecten inalámbricamente.
Router Inalámbrico
Terminal Admin
Terminales inalámbricas
WAN
LAN
PC1
PC2
PC3
PC4
PC5
IP v4
10.200.134.199
192.168.0.1
192.168.0.12
192.168.0.13
192.168.0.14
192.168.0.15
192.168.0.16
SM
255.255.255.252
255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0
GW
10.200.134.198
192.168.0.1
192.168.0.1
192.168.0.1
192.168.0.1
192.168.0.1
DHCP
192.168.0.1
192.168.0.1
192.168.0.1
192.168.0.1
192.168.0.1
192.168.0.1
DNS
200.62.64.1
192.168.0.1
192.168.0.1
192.168.0.1
192.168.0.1
192.168.0.1
192.168.0.1
MAC
28:be:9b: 7e:42:30
9C:B7:0D: 73:5D:82
00:25:56: DF:74:99
24:FD:52: 54:09:F0
EC:A8:6B: E2:E7:DB
9C:B7:0D: 30:74:1D
Una vez obtenida las MAC de cada PC, celular o Tablet, se procedió a configurar el Access control del Wireless, denegando la administración del Router por Wireless, esto es una buna medida de seguridad ya que así cualquier equipo que esté
16. Página 13
conectado no tendrá acceso a la administración del Router, solo se permite la administración estando directamente conectado.
Se procedió permitir la conexión al wireless únicamente a las MAC ingresada en la lista como lo detalla la figura 13.
Figura 13: Configuración de filtro por MAC en la red Wireless
Conclusiones
Finalmente se logró comprender el desarrollo de una Wireless LAN, intuyendo la diferencia que en una red cableada los datos permanecen dentro de los cables que conectan a las computadoras y los dispositivos, al contrario de una red WLAN que transmite y recibe datos a través del aire, por lo tanto hay mayores probabilidades que piratas informáticos o intrusos accedan o corrompan los datos, es por ello que en estas redes la seguridad juega un papel importante, siendo necesario de una excelente administración para evitar el acceso no autorizado a los recursos de la red, proteger la integridad y privacidad de los datos transmitidos. Para terminar se puede afirmar positivamente que el laboratorio en general fue de gran satisfacción, ya que
17. Página 14
se alcanzó complementar la parte teórica con la práctica, trabajando de esta forma con equipos comunicación.
Referencias Bibliográficas
Martínez, I. (Febrero de 2014). Evita extraños en tu Wi-Fi gracias al filtrado MAC de tu router. Recuperado el 04 de Noviembre de 2014, de Filtrado MAC: qué es: http://rootear.com/seguridad/evita-extranos-wi-fi-filtrado-mac-router
Microsoft. (2013). ¿Cuáles son los diferentes métodos de seguridad de redes inalámbricas? Recuperado el 04 de Noviembre de 2014, de El Acceso protegido Wi- Fi : http://windows.microsoft.com/es-es/windows/what-are-wireless-network-security- methods#1TC=windows-7