3. ›WPA
WPA (Wi-Fi Protected Access, acceso protegido Wi-Fi) es la respuesta de la
asociación de empresas Wi-Fi a la seguridad que demandan los usuarios y que
WEP no puede proporcionar.
El IEEE tiene casi terminados los trabajos de un nuevo estándar para reemplazar
a WEP, que se publicarán en la norma IEEE 802.11i a mediados de 2004.
WPA soluciona todas las debilidades conocidas de WEP y se considera
suficientemente seguro. Puede ocurrir incluso que usuarios que utilizan WPA no
vean necesidad de cambiar a IEEE 802.11i cuando esté disponible
4. CARACTERÍSTICAS DE WPA
Las principales características de WPA son la distribución dinámica de claves, utilización
más robusta del vector de inicialización (mejora de la confidencialidad) y nuevas
técnicas de integridad y autentificación.
PA incluye las siguientes tecnologías:
¡ IEEE 802.1X. Estándar del IEEE de 2001 [10] para proporcionar un control de acceso
en redes basadas en puertos.
¡ EAP. EAP, definido en la RFC 2284 [11], es el protocolo de autentificación
extensible para llevar a cabo las tareas de autentificación, autorización y contabilidad.
TKIP (Temporal Key Integrity Protocol). Según indica Wi-Fi, es el protocolo encargado
de la generación de la clave para cada trama [4].
¡ MIC (Message Integrity Code) o Michael. Código que verifica la integridad de los
datos de las tramas
5. La seguridad es un aspecto que cobra especial relevancia cuando hablamos
de redes inalámbricas. Para tener acceso a una red cableada es imprescindible una
conexión física al cable de la red. Sin embargo, en una red inalámbrica desplegada en
una oficina un tercero podría acceder a la red sin ni siquiera estar ubicado en las
dependencias de la empresa, bastaría con que estuviese en un lugar próximo donde
le llegase la señal. Es más, en el caso de un ataque pasivo, donde sólo se escucha
la información, ni siquiera se dejan huellas que posibiliten una identificación
posterior.
6. MEJORAS DE WPA RESPECTO A WEP
WPA soluciona la debilidad del vector de inicialización (IV) de WEP mediante la inclusión de
vectores del doble de longitud (48 bits) y especificando reglas de secuencia que los
fabricantes deben implementar. Los 48 bits permiten generar 2 elevado a 48
combinaciones de claves diferentes, lo cual parece un número suficientemente elevado
como para tener duplicados. El algoritmo utilizado por WPA sigue siendo RC4. La secuencia
de los IV, conocida por ambos extremos de la comunicación, se puede utilizar para evitar
ataques de repetición de tramas (replay).
Para la integridad de los mensajes (ICV), se ha eliminado el CRC-32 que se demostró
inservible en WEP y se ha incluido un nuevo código denominado MIC.
7. MODOS DE FUNCIONAMIENTO DE WPA
WPA puede funcionar en dos modos:
¡ Con servidor AAA, RADIUS normalmente. Este es el modo indicado para las
empresas. Requiere un servidor configurado para desempeñar las tareas de
autentificación, autorización y contabilidad.
¡ Con clave inicial compartida (PSK). Este modo está orientado para usuarios
domésticos o pequeñas redes. No requiere un servidor AAA, sino que se utiliza una
clave compartida en las estaciones y punto de acceso. Al contrario que en WEP, esta
clave sólo se utiliza como punto de inicio para la autentificación, pero no para el
cifrado de los datos.
8. WPA2 (IEEE 802.11i)
802.11i [3] es el nuevo estándar del IEEE para proporcionar
seguridad en redes WLAN. Se espera que esté concluido todo
el proceso de estandarización para mediados de 2004. Wi-Fi
[4] está haciendo una implementación completa del estándar
en la especificación WPA2.
Sus especificaciones no son públicas por lo que la cantidad de
información disponible en estos momentos es realmente
escasa.
9. AUTENTICACIÓN DE UNA LAN INALÁMBRICA
Soluciones de seguridad inalámbrica. Existen tres soluciones
disponibles para proteger el cifrado y la autenticación de LAN
inalámbrica: Acceso protegido Wi-Fi (WPA), Acceso protegido Wi-Fi
2 (WPA2) y conexión de redes privadas virtuales (VPN). La solución
que elija es específica del tipo de LAN inalámbrica a la que está
accediendo y del nivel de cifrado de datos necesario.
10. › ENCRIPTACIÓN
La encriptación es el proceso para volver ilegible información considera importante. La
información una vez encriptada sólo puede leerse aplicándole una clave.
Se trata de una medida de seguridad que es usada para almacenar o transferir
información delicada que no debería ser accesible a terceros. Pueden ser contraseñas,
nros. de tarjetas de crédito, conversaciones privadas, etc.
Para encriptar información se utilizan complejas fórmulas matemáticas y para
desencriptar, se debe usar una clave como parámetro para esas fórmulas.
El texto plano que está encriptado o cifrado se llama criptograma.
11. › CONTROL DE ACCESO A LA LAN INALÁMBRICA.
Control y administración de acceso de usuarios inalámbricos de clase empresarial los
controladores de acceso inalámbricos de 3Com® proporcionan redes inalámbricas con
capacidad ampliada del sistema, mejor rendimiento y potentes capacidades de
control. Ideal para su implantación en redes de sucursales remotas y de campus en
donde es crucial la administración centralizada de los recursos cableados e
inalámbricos , proporcionan redundancia, calidad de servicio (QoS) en un entorno de
itinerantica y autenticación mejorado y funciones de seguridad que superan a las de
las redes inalámbricas autónomas.
13. · PROBLEMAS CON EL RADIO DE
ACCESO.
La solución consiste en utilizar un programa como NetStumbler. Este programa
generará una lista de las redes inalámbricas WiFi cercanas a la tuya y de la cual podrás
elegir el canal menos utilizado para que puedas mejorar la velocidad de tu conexión
inalámbrica.
14. · PROBLEMAS CON EL FIRMWARE DEL AP
Algunos ISP como EPM utilizan dhcp como protocolo para conectarse a internet y
normalmente le asocian a cada usuario una MAC determinada para conectarse. Para
cambiar la MAC en un router usando OpenWRT debemos hacer lo siguiente (donde
aa:bb:cc:dd:ee:ff es la dirección MAC que tiene asociada a su conexión):
Si usamos freifunk los anteriores comandos no funcionan (aparentemente), lo
recomendable es modificar la MAC asociada a nuestra conexión por la MAC del router
directamente con el ISP.
RECOMENDABLE
Construir un script que produzca señales de audio de acuerdo a la respuesta del ping, de
modo que no sea necesario llevar el portátil abierto para saber cómo se comporta la
señal
Un minihowto sobre la construcción de una caja externa para el access pointde modo
que se puede colocar a la interperie en algún tejado.
16. · ENCRIPTACIÓN WPA (Wi-Fi Protected Access).
Surgió como alternativa segura y eficaz al WEP, se basa en el cifrado de la información
mediante claves dinámicas, que se calculan a partir de una contraseña. Es precisamente
aquí donde está el punto flaco, si no se emplea una contraseña suficientemente larga y
compleja, es posible que lleguen a desvelarla.
En el router o punto de acceso: al igual que anteriormente, hay que ir al apartado de
Wireless y seleccionar la opción WPA. En este caso no tendremos una simple opción, pues
habrá que escoger entre WPA-Radius o WPA-PreSharedKey (WPA-PSK), como su propio
nombre indica, su único requerimiento es compartir una clave entre los diferentes clientes
que se van a autentificar en un determinado punto de acceso o router que también la
conoce. Este método no es tan seguro como el uso de un servidor de autentificación
central del tipo Radius, pero es suficiente en entornos que necesiten conectar de forma
segura a unos pocos equipos. Por sencillez es recomentable el WPA-PSK, que simplemente
pide escoger la encriptación (AES oTKIP) y una clave de, mínimo, 8 dígitos y de máximo
63. TKIP es el algorítmo aprobado y certificado para WPA, algunos productos son
compatibles con el cifrado avanzado (AES) pero no han sido certificados porque no
funcionan con el hardware de distintos suministradores. Así que selecciona TKIP para
evitar que el router trabaje innecesariamente o bién la combinación de los dos métodos
disponibles (TKIP+AES), así no tendrás problemas de compatibilidad.