-
¿Existen redes inalámbricas seguras?
Aunque hablar de seguridad en las redes inalámbricas parece una utopía, esto empieza a cambiar gracias al uso del protocolo 802.1x, que aunque poco conocido, ofrece las seguridades de una red física. Sin embargo, asusta pensar que más del 98% de las empresas emplean el protocolo 802.11, el cual puede ser reventado con una simple PDA en menos de 2 horas.
13 Oct 2005 | Pablo Igualada y José Ignacio Díaz de Evotec ConsultingPLa seguridad en las redes inalámbricas está más que cuestionada hoy en día. Muchas de las redes existentes en la actualidad, basadas en el protocolo 802.11, ni siquiera se encuentran cifradas, por lo que el acceso a estas redes es tan sencillo como dejar que Windows se conecte de manera automática o, como mucho, que tengamos que encontrar una IP válida para conectarnos a la red.ongamos un ejemplo sencillo: imaginemos un banco en el que tuviésemos dinero a la vista y ni siquiera tuviésemos personal de seguridad vigilando la entrada. En el mejor de los casos, alguien se colaría y cogería el dinero sin que ningún trabajador se diera cuenta.
Los usuarios con algunos conocimientos cifran las redes basadas en el protocolo 802.11 mediante WEP (Wired Equivalent Privacy). Este es un procedimiento mediante el cual todas las comunicaciones establecidas por la red se encuentran cifradas con una clave compartida para todos los usuarios, que se emplea tanto para cifrar como para descifrar los mensajes enviados. En este caso, el acceso a dichas redes, se complica un poco pero no mucho: bastará con usar algún programa sniffer como AirSnort o WEPcrack, para monitorizar la red y sacar la clave que se está empleando para cifrar los datos. Asusta pensar que algunas claves, pueden ser descubiertas con una PDA con Linux y algún programa de este tipo en menos de 2 horas.
Sigamos con nuestro ejemplo: el banco, para evitar más robos, decide poner un agente de seguridad en la puerta que pida una clave, para acceder a las instalaciones. Tras unas horas, un ladrón, lo suficientemente cerca, escucha la clave y se introduce en el banco, mencionando dicha clave. Como vemos, no ha servido de mucho.
La solución parece sencilla: modificaremos nuestra clave lo suficientemente rápido como para que nadie sea capaz de descifrarla. Este procedimiento, auque posible, es inabordable: necesitaríamos de un administrador en nuestra red que, cada 2 horas, cambiase la clave de nuestra red en todos y cada uno de los equipos. Este procedimiento es imposible de llevar a cabo de manera automática, porque cualquier procedimiento que se intente, necesitaría que todos los ordenadores conectados se enterasen del cambio a la vez, ya que si por cualquier motivo un ordenador no estuviese conectado en el momento del cambio, se quedaría fuera de la red y tendría que ser reconfigurado manualmente. En nuestro ejemplo del banco: ¡el agente de seguridad tendría que estar llamando por teléfono a todos sus empleados para decirles la clave!
Protocolo 802.1x Autentificación y Manejo de Claves
Con el fin de solucionar estos problemas surge el protocolo 802.1x, que aunque lleve ya algunos años en el mercado, pocas empresas lo utilizan, debido a su complejidad de instalación.
El protocolo 802.1x ofrece un marco en el que se lleva a cabo un proceso de autentificación del usuario, así como un proceso de variación dinámica de claves, todo ello ajustado a un protocolo, denominado EAP (Extensible Authentication Protocol). Mediante este procedimiento, todo usuario que esté empleando la red se encuentra autentificado y con una clave única, que se va modificando de manera automática y que es negociada por el servidor y el cliente de manera transparente para el usuario. El servicio soporta múltiples procesos de autenticación tales como Kerberos, Radius, certificados públicos, claves de una vez, etc. Aunque no es el objetivo de este artículo enumerar los diferentes procesos de autentificación, basta con mencionar que Windows 2003 Server ® soporta este servicio.
Para entender cómo funciona el protocolo 802.1x sigamos el siguiente esquema.
- El cliente, que quiere conectarse a la red, manda un mensaje de inicio de EAP que da lugar al proceso de autentificación. Siguiendo con nuestro ejemplo, la persona que quiere acceder al banco pediría acceso al guardia de seguridad de la puerta.
- El punto de acceso a la red respondería con una solicitud de autentificación EAP. En nuestro ejemplo, el guardia de seguridad respondería solicitando el nombre y el apellido del cliente, así como su huella digital. Además, antes de preguntarle, el guarda de seguridad le diría una contraseña al cliente, para que éste sepa que realmente es un guardia de seguridad.
- El cliente responde al punto de acceso con un mensaje EAP que contendrá los datos de autentificación. Nuestro cliente le daría el nombre y los apellidos al guardia de seguridad además de su huella digital.
- El servidor de autentificación verifica los datos suministrados por el cliente mediante algoritmos, y otorga acceso a la red en caso de validarse. En nuestro caso, el sistema del banco verificaría la huella digital, y el guardia validaría que se correspondiese con el cliente.
- El punto de acceso suministra un mensaje EAP de aceptación o rechazo, dejando que el cliente se conecte o rechazándolo. Nuestro guardia de seguridad le abrirá la puesta o no, en función de la verificación al cliente.
- Una vez autentificado, el servidor acepta al cliente, por lo que el punto de acceso establecerá el puerto del cliente en un estado autorizado. Nuestro cliente estará dentro del banco.
De esta manera, el protocolo 802.1x provee una manera efectiva de autentificar, se implementen o no claves de autentificación WEP. De todas formas, la mayoría de las instalaciones 802.1x otorgan cambios automáticos de claves de encriptación usadas solo para la sesión con el cliente, no dejando el tiempo necesario para que ningún sniffer sea capaz de obtener la clave.
Futuro
El uso del protocolo 802.1x está en proceso de convertirse en un estándar, y sería más que adecuado que pensases en él como la solución para tu red inalámbrica. Windows XP® implementa 802.1x de manera nativa, aunque necesita algún servidor Windows Server en la red.
Tags: redes_inalambricas
- Comentarios
- Publicidad
-
Bueno... también está el altamente recomendado WPA, encriptación bastante segura en comparación con WEP, para más información:
es.wikipedia.org/wiki/WPA
www.hispasec.com/unaaldia/1843
Sinceramente...Opino que si la red inalambrica existente no es muy grande, lo mas recomendable es hacer filtrado de mac. Muchos AP's cuentan con identificador de mac y permiten hacer filtrado de las validas y no validas.
No saben ustedes la cantidad de redes que hay sin ningún tipo de seguridad. Y aunque algunos "eruditos" intentan encriptar su red, en el momento que se establece la conexión....bueno, ya me entienden.
me parece muy interesante el tema de redes inalambricas pero me gustaria que se mas detallado ...
Saludos.
No sería mas seguro validar o proteger el acceso al medio, usando la MAC Address? Pregunto, pues ignoro mucho sobre el tema.
A eso es a lo que queria llegar Prometheus. El unico medio real mente seguro para proteger un a conexsión Wi-Fi es en filtrado MAC. Pero.....imaginate una empresa de 2000 usuarios con conexiones inalambricas y puntos de acceso por doquier. Al que le toque inventariar las MAC y luego configurarlas, se muere!!!!
holas , esto de los desafios hacia la red inalambricas es toda una pasada , quien me enseña como colgarme a una de ellas , mi corrreo es eugenioartigas@yahoo.es
feliz navidad,a todos los internautas
El filtrado por MAC es inutil... hay mil programas para descubrir una Mac Válida... y cambiarla es una linea en el registro de win o usando ifconfig en linux más fasil aun.... es más los AP vienen con la opcion CLONE MAC!!!
WEP e incluso WPA hoy ya no sirven de nada....
Lo menos malos si no se usa 802.1 es filtrar por IP y MAC a la vez y permitir acceso de determinadas convinaciones de IP-MAC
Ademas WEP o WPA puede frenar a algun novato.... Pero por supuesto es imposible en redes grandes...
me gustaria q la informacion q poner fuera mas detallada.
Correcto Ariel G, perdon por el equivoco. La verdad es que desconocia la existenci adel Spoofing...A nivel usuario ya no nos libra nadie de un ataque...Hasta el WPA2 ya es vulnerable. Hoy en dia, o haces validaciones multiples, con servidores, etc o eres carnes de cañon :-(
Nada, a montar un Radius con acceso validado desde el AP ya su vez contra validación del mismo.
Arriba El PEAP bajo MS-CHAPv2 y TLS!!!!
Hola a todos, me parece muy interesante todo este tema. Ahora les cuento lo q me pasa para ver si alguien me puede ayudar.. resulta que desde mi casa capto con mi portatil unas 6 o 7 redes inalambricas. Mi PC es capaz de conectarse a 2 o 3 anda mas, se conecta automaticamente y rapidisimo, y el problema es que una vez conectada, la unica actividad que tiene es de los paquetes enviados. En paquetes recibidos me sale una cifra muy chica y va aumentando de a poco, y de esta manera internet va muy lento, o directamente no va. Que puedo hacer?
Gracias a quien pueda ayudarme y a quienes brindan informacion en esta pagina..
La maxima seguridad aplicable es hacer tunelizacion de ip a traves de la conexión inalambrica, redes privadas virtuales de esta manera desviamos el concepto y la red inalambrica puede estar sin seguridad ninguna
Tengo una empresa con unos cuantos ordenadores, para los empleados. Dos preguntas:
1 ¿Alguien sabe cómo se puede hacer, para tener un registro de las páginas empleadas por los usuarios? Creo que podría se pedirles nombre de usuario y contraseña nada más conectarse. ¿Cómo se hace eso? ¿hay algún programa que haga esto y se pueda descargar gratis?
2 ¿Cómo se puede hacer para que los usuarios sólo puedan acceder a un número limitado de páginas? Así se evita que pierdan el tiempo, mientras están trabajando en la empresa.
Si alguno sabe algo agradecería que me escribiese a agmarsal@gmail.com
Lo mejor es que instales un servidor proxy de internet que filtra por ip asociada a cada empleado y guarda todas las paginas visitadas
1. El protocolo 802.1x es el que utiliza WPA2. En realidad, se puede decir que es lo mismo.
2. No merece perder el tiempo ni con el filtrado MAC, ni IP. En una red con WEP o WPA/PSK (WPA con clave compartida previa) impiden en ningún caso que con un sniffer alguien pueda ver "aboslutamente" todo lo que navegamos por Internet en nuestra wireless, los archivos que utilizamos de la red local (documentos incluidos), contraseñas que vayan sin cifrar (webs sin SSL), etc. Es muy peligroso, ya que provoca una falsa sensación de seguridad.
2. En este primer caso, además de ver todo el tráfico, bastaría con falsificar su MAC/IP para poder igualmente utilizar la WIFI de la empresa: acceder a Internet, o incluso ver archivos compartidos en los equipos: muchos imprudentes dejan el usuario invitado habilitado, o incluso con contraseñas, basta que un Win95 o inferior haya accedido a un recurso con contraseña, ya que el protocolo de inicio de sesión de Windows antiguamente utilizaba un protocolo de encriptación simétrico ya descubierto (MD5).
3. El IP tunneling en una WIFI es una redundancia. En realidad el protocolo WPA2, basado en 802.1x, utiliza el mismo protocolo de autenticación que el PPTP (LEAP), por lo que no sería necesario. Sería un overhead innecesario.
4. Sentido práctico: utilizar un simple WEP es seguro en una empresa pequeña, donde ningún ordenador esté constantemente utilizando la WIFI. Por ejemplo, para aquellos lugares donde se deja la wireless sólo para cuando se enchufa algún portátil en un momento dado. El modo de averiguar la clave WEP es mediante un sniffer capturando suficiente tráfico. Si no hay tráfico, no hay clave. Así de sencillo. Conclusión: Wireless con seguridad baja (WEP, o WPA/PSK) -> sólo para usarla de vez en cuando. Un pirata será probablemente un vecino de 15 años como mucho tiempo libre, pero no está las 24 horas del día esperando a que utilicemos la red.
5. Empresas grandes con uso constante de wireless: todavía utilizan técnicas como WEP, o siguen planteándose utilizar filtrado MAC: esta última técnica lo único que hace es que el router vaya más lento, aumentar el coste de gestión, etc. Además, una gran empresa siempre dispone de un servidor LDAP o similar que podrá actuar como Radius Server, por lo que no se justifica que no configuren correctamente su sistema.
6. Respuesta para Antonio G: para registrar las páginas que visitan los usuarios existen varias herramientas gratuitas, pero hay que configurarlas. También se puede utilizar MS ISA Server, que además permite filtrar contenidos incluso por usuario individual. En mi empresa nos dedicamos a ese tipo de temas, estaría encantado de ayudarte. Te enviaré un mail.
Saludos
eeemmmm me parecio chevere todo lo que escribieron pero entendi nada gracias por distraerme un tiempo
eeemmmm me parecio chevere todo lo que escribieron pero entendi nada gracias por distraerme un tiempo (ò ; ó )
hola q tal me llamo alicia y me gustaria q alguien me dijese como puedo averiguar mi clave wep pq no tengo ni idea por favor ayudarme mi mail es uranguita@hotmail.com gracias!!
hola a todos.
¿Alguien podria recomendarme un sniffer bueno y esplicarme como se usa?
-una duda si aun no estas dentro de la red como haces para sniffar el trafico de esa red?
lo se... no tengo ni idea pero me gustaria entender este punto para ver cuanto de complicado es reconocer una clave en una red wifi.y ponerme manos a la obra para proteger mi p.
soy usuario de mac me interesaria saver si hay alguno de estos programas para desifrar los codigos WEp pero que corra en mac, soy estudiante y muchos de mi vecinos tienen redes inalambricas quisera colgarme de alguna de ellas para no tener que pagar mi propio servicion me ayudarian mucho si me dieran informacion mi correo es Tonathiu12@mac.com
Estoy armando un hotspot en mi barrio, tengo un acces point Dlink DWL-2000AP, y requiero autenticar en un radius.. no tengo idea de Linux y quisiera saber si existe uno para Windows XP y que sea gratuito... gracias por sus respuestas
Hola, me parece interesante todo esto de redes inalambricas, y me gustaria que me expliquen con detalle como le hago para acceder a redes inalambricas que aparecen en mi lsita de redes, pues me piden un codigo.... existe algun programa para decifrarlos? ayudenme, gracias
Hola, me parece interesante todo esto de redes inalambricas, y me gustaria que me expliquen con detalle como le hago para acceder a redes inalambricas que aparecen en mi lsita de redes, pues me piden un codigo.... existe algun programa para decifrarlos? ayudenme, gracias
me gustaria que me dijesen,si hay algun programa o alguna forma de descifrar las contraseñas de redes inalambricas,ya que cojo alguna que otra pero no me puedo conectar .mi correo es estebanp7@hotmail.com
La verdad no tengo muchos conocimientos en este tema, mi pregunta es facil, puedo con algun programa decifrar la contraseña de una red domestica? si es asi con que programa y como lo utilizo? mi mail es IgnacioKr4@Hotmail.com, les agradeceria infinitamente que me ayuden, gracias
Hola, me parece interesante todo esto de redes inalambricas, y me gustaria que me expliquen con detalle como le hago para acceder a redes inalambricas que aparecen en mi lsita de redes, pues me piden un codigo.... existe algun programa para decifrarlos? ayudenme, gracias
fugitivo2403@hotmail.com
Hay algun tipo de programa capaz de descifrar las contraseñas de las redes inalambricas seguras?
tengo tres conxiones wifi en distintas areas de mi ciudad ya que vendo conexion a internet por dicho medio
utilizo linksys y dlink .
en unos de mi ap tengo uno o dos usuarios infiltrados que ya no se que hacer con ellos . ya que utilizo el wep y la clave la cambio mensualmente pero ellos laa ronpen facilmente.
que encriptacion me servira para erradicar a los colados .
jeemparra@hotmail.com
Hola, me parece interesante todo esto de redes inalambricas, y me gustaria que me expliquen con detalle como le hago para acceder a redes inalambricas que aparecen en mi lsita de redes, pues me piden un codigo.... existe algun programa para decifrarlos? ayudenme, gracias
no
Bueno pues por el momento lo que se puede hacer es montar este tipo de redes para servicios públicos, como: portales, publicidad, etc., y no para una red interna donde se maneja información delicada sin cifrar.