Seguridad en redes Wireless y diferencias entre cifrado WEP y WPA/WPA2

- Esta es una informacin recopilada de las fuentes que cito al final de este post, sobre la seguridad Wireless. Seguridad de redes Wireless, mitos y verdades - Con la proliferacin de los routers inalmbricos de los proveedores se dan cada vez ms casos de personas que detectan que les estan usurpando ancho de banda mediante conexiones fraudulentas a sus equipos. - Sobre la seguridad en internet no acabaramos nunca de hablar, ya que es un tema tan enormemente complejo y variado que no se puede simplificar. Pero me gustara dar algunos consejos para que podis protegeros. - En concreto, cuando hablamos de las conexiones WiFi estamos aadiendo un elemento de fragilidad en nuestro sistema. Un elemento que nos compromete la seguridad. Ese elemento es el hecho de que alguien puede conectarse a nuestra red sin que le veamos, ya que estar usando la red sin hilos. - Aqu os pongo una relacin de las distintas protecciones para la red inalmbrica, y su grado de efectividad. * Filtrado MAC: - Por muchos considerado el mejor sistema de proteccin para accesos no deseados. - Antes de nada, qu es una direccin MAC (Media Access Control address)? Una MAC es una direccin fsica escrita en nuestro adaptador de red (router, ethernet, ). Esa direccin debera ser nica, e identifica el proveedor y otros datos como pueden ser el pas de fabricacin, el nmero de srie, etc Tiene una ventaja respecto a la direccin IP. La direccin MAC es (en principio) inmutable. - El filtrado MAC impide la conexin al router a determinadas MACs. Normalmente se puede configurar de dos maneras: 1.- Denegar las MACs listadas (lista negra): con esa opcin impedimos que se nos conecten algunas direcciones MAC que no queremos que usen nuestros sistemas. 2.- Aceptar slo MACs listadas (lista blanca): con esa opcin se impide el acceso a todo el mundo menos a las direcciones MAC listadas. - Mito: Es la forma ms efectiva de impedir accesos no deseados. - Realidad: NO, es la PEOR de todas las protecciones. - Explicacin: El filtrado MAC es equivalente a tener un portero en la entrada con una lista de nombres. El portero pregunta al cliente cul es su nombre. Cuando el cliente le dice el nombre el portero mira la lista y si el cliente est permitido, le deja pasar. En caso contrario, le deniega la entrada. - A mucha gente le puede parecer el sistema ms seguro, pero y si os digo que la lista de gente admitida se puede saber con anterioridad? - No podemos saber quin est en la lista, pero s quin ha entrado alguna vez, por lo tanto podemos modificar la MAC de nuestro adaptador para simular ser alguien que ya sabemos que ha podido acceder con anterioridad. Es fcil de obtener esa lista? Es trivial, es tan simple que cualquier programa sniffer proporciona ese dato. Conclusin: Es la peor de las protecciones, pues es de las ms recomendadas y a la vez la ms fcil de romper. * Ocultar SSID: - El SSID es el identificador de nuestra red inalmbrica, para conectar a una red necesitamos especificar el SSID. - Mito: Ocultar dicha informacin dificulta el acceso a personas que no conocen el SSID por adelantado. - Realidad: NO, es de las protecciones ms ridculas, el SSID se sigue transmitiendo. - Explicacin: Desactivando la opcin SSID broadcasting (u ocultacin de SSID) slo evita lo que se llama SSID beaconing en el punto de acceso. - Bsicamente hay 5 mecanismos que envan el SSID haciendo broadcast, el SSID beaconing es slo uno de ellos. - Por lo tanto esa opcin slo evita que el punto de acceso se vaya anunciando, pero cuando haya trfico en dicha red

el SSID se mostrar. - Slo permanecer el SSID oculto en caso de que nadie est asociado ni realizando peticiones para asociarse a dicho punto de acceso. - Conclusin: No merece ni el click en la configuracin del router para activarlo, es tan trivial que no merece la pena activarlo. - Adems, ms que una solucin es un inconveniente. En caso de usar varios APs para permitir WiFi roaming los clientes pueden perder la conexin pensando que no encuentran el SSID. Adems, dificulta la configuracin, ya que algunos programas de configuracin de red buscan los SSID en vez de preguntar por el nombre manualmente. * Desactivar DHCP: - El DHCP es el protocolo de auto-configuracin para los clientes de red. Permite que un cliente configure los DNS, gateway, IP, mscara de red y otros parmetros de configuracin de forma automtica. - Mito: Combinado con usar IPs poco frecuentes (por ejemplo un subrango de 172.16.0.0/12) dificulta al hacker para configurar la red. - Realidad: NO, es muy fcil descubrir qu IPs usan los clientes ya asociados y deducir la mscara de red y el gateway a partir de ah. - Explicacin: En las tramas IP se encapsulan las direcciones IP por lo que con un sniffer es muy simple ver qu IPs generan trfico e incluso qu gateway utilizan. - Conclusin: No es una proteccin fiable para nada. Y facilita mucho la configuracin de clientes o sea que suele ser mayor la molestia que la posible seguridad que ofrece. * WEP con claves de 128bits o ms: - La encriptacin WEP (Wired Equivalent Privacy) es la primera implementacin de seguridad para redes inalmbricas, ha demostrado ser muy poco segura y actualmente es posible romperla en minutos. - Mito: Usando WEP con claves largas (128bits, 256bits, ) dificultan romper la encriptacin. - Realidad: Usar claves WEP de ms longitud retrasan pero no impiden romper la encriptacin. - Explicacin: WEP utiliza unos vectores de iniciacin que se repiten con mayor o menor frecuencia. Las herramientas que se usan para petar encriptacin WEP generan trfico expresamente para aumentar la repeticin de los mismos vectores y permitir descubrir el password en pocos minutos. - Conclusin: An usando claves relativamente seguras los programas que se usan para petar redes inalmbricas permiten inyectar trfico que facilitan enormemente romper la encriptacin, sea cual sea la longitud de las claves (y los vectores de iniciacin). * WPA WPA2 (y variaciones): - WPA es la solucin que sali tras el desastre de WEP. WPA corrige las deficiencias de su predecesor y permite configurar redes inalmbricas seguras que no pueden romperse fcilmente en cuestin de tiempo o de forma automtica. - Mito: WPA y WPA2 son inexpugnables hasta la fecha. - Realidad: WPA (y WPA2) son protocolos mucho ms seguros que WEP, no tienen fallos en el diseo y por lo tanto dificultan mucho petar una red de ese tipo, pero no son invulnerables a los ataques de fuerza bruta. - Explicacin: WPA elimina los defectos de WEP, usa un sistema de autenticacin ms complejo, usa cifrado RC4, aade verificacin de integridad al mensaje, e incluye protecciones contra ataques de repeticin. - Conclusin: WPA (y WPA2) es la mejor solucin actualmente, pero no son inexpugnables. * Cmo puedo protegerme, entonces?: - No hay receta para eso, en la seguridad informtica siempre hay gente que buscar vulnerabilidades en los diseos. Por ejemplo, una vulnerabilidad en el algoritmo de cifrado RC4 o en el sistema TKIP podra perjudicar a WPA. - Actualmente el nico ataque contra WPA es la fuerza bruta, lo que implica que slo ser realmente efectivo si el password que usamos est basado en diccionario o es muy simple. - Bsicamente lo ms aconsejable a da de hoy es hacer lo siguiente: * Usar WPA WPA2. WEP no es seguro ni puede hacerse seguro, de ningn modo. Yo mismo, para ensearle a un amigo le pet su WEP de 128bits en 5 minutos, es terriblemente fcil. * Usar TKIP para WPA en caso de que est disponible, ya que aumenta la seguridad WPA. Y si est disponible AES, mucho mejor. * Usar un password complejo, de ms de 8 carcteres, mezcla de carcteres alfanumricos y carcteres raros, por

ejemplo: X$gh98NjKX$qp.K8J7dfX.z/3 * Cambiar el password de vez en cuando si es posible (por ejemplo, si hay pocos clientes). * Usar Windows XP SP1 (mnimo) o SP2 (mejor) o superior (eso incluye Linux :D) ya que el soporte WPA no est hasta el SP1, y est mejorado en SP2. Diferencia entre WEP y WPA * WEP (Protocolo de equivalencia con red cableada): - La seguridad de la red es extremadamente importante, especialmente para las aplicaciones o programas que almacenan informacin valiosa. WEP cifra los datos en su red de forma que slo el destinatario deseado pueda acceder a ellos. Los cifrados de 64 y 128 bits son dos niveles de seguridad WEP. WEP codifica los datos mediante una clave de cifrado antes de enviarlo al aire. - Cuanto ms larga sea la clave, ms fuerte ser el cifrado. Cualquier dispositivo de recepcin deber conocer dicha clave para descifrar los datos. Las claves se insertan como cadenas de 10 o 26 dgitos hexadecimales y 5 o 13 dgitos alfanumricos. - La activacin del cifrado WEP de 128 bits evitar que el pirata informtico ocasional acceda a sus archivos o emplee su conexin a Internet de alta velocidad. Sin embargo, si la clave de seguridad es esttica o no cambia, es posible que un intruso motivado irrumpa en su red mediante el empleo de tiempo y esfuerzo. Por lo tanto, se recomienda cambiar la clave WEP frecuentemente. A pesar de esta limitacin, WEP es mejor que no disponer de ningn tipo de seguridad y debera estar activado como nivel de seguridad mnimo. * WPA (Wi-Fi Protected Access): - WPA emplea el cifrado de clave dinmico, lo que significa que la clave est cambiando constantemente y hacen que las incursiones en la red inalmbrica sean ms difciles que con WEP. WPA est considerado como uno de los ms altos niveles de seguridad inalmbrica para su red, es el mtodo recomendado si su dispositivo es compatible con este tipo de cifrado. Las claves se insertan como de dgitos alfanumricos, sin restriccin de longitud, en la que se recomienda utilizar caracteres especiales, nmeros, maysculas y minsculas, y palabras difciles de asociar entre ellas o con informacin personal. Dentro de WPA, hay dos versiones de WPA, que utilizan distintos procesos de autenticacin: * Para el uso personal domstico: El Protocolo de integridad de claves temporales (TKIP) es un tipo de mecanismo empleado para crear el cifrado de clave dinmico y autenticacin mutua. TKIP aporta las caractersticas de seguridad que corrige las limitaciones de WEP. Debido a que las claves estn en constante cambio, ofrecen un alto nivel de seguridad para su red. * Para el uso en empresarial/de negocios: El Protocolo de autenticacin extensible (EAP) se emplea para el intercambio de mensajes durante el proceso de autenticacin. Emplea la tecnologa de servidor 802.1x para autenticar los usuarios a travs de un servidor RADIUS (Servicio de usuario de marcado con autenticacin remota). Esto aporta una seguridad de fuerza industrial para su red, pero necesita un servidor RADIUS. - WPA2 es la segunda generacin de WPA y est actualmente disponible en los AP ms modernos del mercado. WPA2 no se cre para afrontar ninguna de las limitaciones de WPA, y es compatible con los productos anteriores que son compatibles con WPA. La principal diferencia entre WPA original y WPA2 es que la segunda necesita el estndar avanzado de cifrado (AES) para el cifrado de los datos, mientras que WPA original emplea TKIP (ver arriba). AES aporta la seguridad necesaria para cumplir los mximos estndares de nivel de muchas de las agencias del gobierno federal. Al igual que WPA original, WPA2 ser compatible tanto con la versin para la empresa como con la domstica. - La tecnologa SecureEasySetup (SES) de Linksys o AirStation OneTouch Secure System (AOSS) de Buffalo permite al usuario configurar una red y activar la seguridad de Acceso protegido Wi-Fi (WPA) simplemente pulsando un botn. Una vez activado, SES o AOSS crea una conexin segura entre sus dispositivos inalmbricos, configura automticamente su red con un Identificador de red inalmbrica (SSID) personalizado y habilita los ajustes de cifrado de la clave dinmico de WPA. No se necesita ningn conocimiento ni experiencia tcnica y no es necesario introducir manualmente una contrasea ni clave asociada con una configuracin de seguridad tradicional inalmbrica.