Kioskea
Buscar

Seguridad de red inalámbrica Wi-Fi (802.11o WiFi)

Marzo 2015

Infraestructura adaptada

Lo primero que hay que hacer cuando se instala una red inalámbrica es ubicar el punto de acceso en un lugar razonable dependiendo del área de cobertura que se desee. Sin embargo, es común que el área cubierta sea más grande que lo deseado. En este caso es posible reducir la solidez del terminal de acceso para que su rango de transmisión concuerde con el área de cobertura.

Cómo evitar el uso de valores predeterminados

Cuando se instala un punto de acceso por primera vez, se configura con ciertos valores predeterminados, inclusive la contraseña del administrador. Muchos administradores principiantes suponen que como la red ya está funcionando, no tiene sentido cambiar la configuración del punto de acceso. Sin embargo, las configuraciones predeterminadas brindan sólo un nivel de seguridad mínimo. Por esta razón, es vital registrarse en la interfaz de administración (casi siempre a través de una interfaz Web o al usar un puerto en particular en el terminal de acceso) para establecer especialmente una contraseña administrativa.

Además, para conectarse a un punto de acceso es necesario conocer el identificador de red (SSID). Por ello se recomienda cambiar el nombre predeterminado de la red y desactivar la transmisión del nombre en la red. Cambiar el identificador de red predeterminado es muy importante, ya que de lo contrario puede brindarles a los hackers información sobre la marca o el modelo del punto de acceso que se está usando.

Filtrado de direcciones MAC

Todo adaptador de red (término genérico de la tarjeta de red) tiene su propia dirección física (que se denomina dirección MAC). Esta dirección está representada por 12 dígitos en formato hexadecimal divida en grupos de dos dígitos separados por guiones.

Las interfaces de configuración de los puntos de acceso les permiten, por lo general, mantener una lista de permisos de acceso (llamada ACL; Lista de control de acceso) que se basa en las direcciones MAC de los dispositivos autorizados para conectarse a la red inalámbrica.

Esta precaución algo restrictiva le permite a la red limitar el acceso a un número dado de equipos. Sin embargo, esto no soluciona el problema de la seguridad en las transferencias de datos.

WEP - Privacidad equivalente al cableado

Para solucionar los problemas de seguridad de transferencia en redes inalámbricas, el estándar 802.11 incluye un sencillo mecanismo de cifrado llamado WEP (Privacidad equivalente al cableado).

WEP es un protocolo de cifrado de trama de datos 802.11 que utiliza el algoritmo simétrico RC4 con claves de 64 bits o 128 bits. El concepto de WEP consiste en establecer una clave secreta de 40 ó 128 bits con antelación. Esta clave secreta se debe declarar tanto en el punto de acceso como en los equipos cliente. La clave se usa para crear un número que parece aleatorio y de la misma longitud que la trama de datos. Cada transmisión de datos se cifra de la siguiente manera. Al utilizar el número que parece aleatorio como una "máscara", se usa una operación "O excluyente" para combinar la trama y el número que parece aleatorio en un flujo de datos cifrado.

La clave de sesión que comparten todas las estaciones es estática, es decir que para poner en funcionamiento un número elevado de estaciones inalámbricas, éstas deben configurarse con la misma clave de sesión. Por lo tanto, con sólo saber la clave se pueden descifrar las señales.

Además, para la inicialización se usan sólo 24 bits de la clave, lo que implica que sólo 40 de 64 bits o 104 de 128 bits de la clave se utilizan realmente para el cifrado.

En el caso de una clave de 40 bits, con un ataque de fuerza bruta (que prueba todas las claves posibles) un hacker puede encontrar la clave de sesión con rapidez. Asimismo, una falla detectada por Fluhrer, Mantin y Shamir en la generación del flujo que parece aleatorio permite que se descubra la clave de sesión al almacenar y analizar de 100 MB a 1 GB de tráfico.

Por lo tanto, el WEP no es suficiente para garantizar verdaderamente la privacidad de los datos. Sin embargo, se recomienda utilizar al menos una clave WEP de 128 bits para garantizar un nivel de privacidad mínimo. Esto puede reducir el riesgo de una intrusión en un 90 por ciento.

Cómo mejorar la autenticación

Para administrar la autenticación, autorización y contabilidad (AAA) de manera más eficaz, se puede usar un servidor RADIUS (Servicio de usuario de acceso telefónico de autenticación remota. El protocolo RADIUS (definido por la RFC 2865 y la 2866) es un sistema cliente/servidor que permite administrar de manera central cuentas de usuarios y permisos de acceso relacionados.

Configuración de una VPN

Para todas las comunicaciones que requieran un alto nivel de seguridad, es mejor utilizar un cifrado cerrado de datos al instalar una red privada virtual (VPN).

Consulta este artículo sin tener que estar conectado, descárgalo gratis aquí en formato PDF:
Seguridad-de-red-inalambrica-wi-fi-802-11o-wifi.pdf

Consulta también


Wi-Fi wireless network security (802.11 or WiFi)
Wi-Fi wireless network security (802.11 or WiFi)
Die Sicherheit der drahtlosen Wifi-Netzwerke (802.11 oder Wifi)
Die Sicherheit der drahtlosen Wifi-Netzwerke (802.11 oder Wifi)
Sécuriser un réseau WiFi
Sécuriser un réseau WiFi
La sicurezza delle reti senza fili Wi-Fi (802.11 o WiFi)
La sicurezza delle reti senza fili Wi-Fi (802.11 o WiFi)
A segurança das redes sem fios Wi-Fi (802.11 ou WiFi)
A segurança das redes sem fios Wi-Fi (802.11 ou WiFi)
El documento « Seguridad de red inalámbrica Wi-Fi (802.11o WiFi) » de Kioskea (es.kioskea.net) se encuentra disponible bajo una licencia Creative Commons. Puedes copiarlo o modificarlo bajo las condiciones señaladas por esta licencia. Deberás hacerla siempre visible y dar crédito a Kioskea.