Las redes de wifi son un mecanismo de conexión de dispositivos electrónicos de forma inalámbrica. Los dispositivos habilitados con wifi pueden conectarse a internet a través de un punto de acceso de red inalambrica. Dicho punto de acceso tiene un alcance de unos veinte metros en interiores, distancia que es mayor al aire libre.
El acceso no autorizado a un dispositivo wifi es muy peligroso para el propietario por varios motivos. El más obvio es que pueden utilizar la conexión. Pero además, accediendo al wifi se puede monitorizar y registrar toda la información que se transmite a través de él (incluyendo información personal, contraseñas....). La forma de hacerlo seguro es seguir algunos consejos:
- Cambios frecuentes de la contraseña de acceso, utilizando diversos caracteres, minúsculas, mayúsculas y números.
- Se debe modificar el SSID que viene predeterminado.
- Realizar la desactivación del broadcasting SSID y DHCP.
- Configurar los dispositivos conectados con su IP (indicar específicamente qué dispositivos están autorizados para conectarse).
- Utilización de cifrado: WPA2.
- Filtrar los dispositivos conectados mediante la MAC address.
Existen varias alternativas para garantizar la seguridad de estas redes. Las más comunes son la utilización de protocolos de cifrado de datos para los estándares wifi como el WEP, el WPA, o el WPA2 que se encargan de codificar la información transmitida para proteger su confidencialidad, proporcionados por los propios dispositivos inalámbricos. La mayoría de las formas son las siguientes:
- WEP (Wired Equivalent Privacy)es el sistema de cifrado incluido en el estándar IEEE 802.11 como protocolo para redes Wireless que permite cifrar la información que se transmite. Proporciona un cifrado a nivel 2, basado en el algoritmo de cifrado RC4 que utiliza claves de 64 bits (40 bits más 24 bits del vector de iniciación IV) o de 128 bits (104 bits más 24 bits del IV). Los mensajes de difusión de las redes inalámbricas se transmiten por ondas de radio, lo que los hace más susceptibles, frente a las redes cableadas, de ser captados con relativa facilidad. Presentado en 1999, el sistema WEP fue pensado para proporcionar una confidencialidad comparable a la de una red tradicional cableada.
- WPA (Wi-Fi Protected Access)es un sistema para proteger las redes inalámbricas (Wi-Fi); creado para corregir las deficiencias del sistema previo,WEP. Los investigadores han encontrado varias debilidades en el algoritmo WEP (tales como la reutilización del vector de inicialización (IV), del cual se derivan ataques estadísticos que permiten recuperar la clave WEP, entre otros). WPA implementa la mayoría del estándar IEEE 802.11i, y fue creado como una medida intermedia para ocupar el lugar de WEP mientras 802.11i era finalizado. WPA fue creado por la Wi-Fi Alliance.
Encriptaciónes WEP:
Una encriptación WEP (Wired Equivalent Privacy o Privacidad Equivalente a Cableado) es un tipo de cifrado, implementado en el protocolo de conexión Wifi 802.11, que se encarga de cifrar la información que vamos a transmitir entre dos puntos de forma que solo la sea posible tener acceso a ellos e interpretarlos a aquellos puntos que tengan la misma clave.
En general, un router Wifi o un Access Point solo va a permitir el acceso a aquellos terminales que tengan la misma clave de encriptación WEP.
Esta clave puede ser de tres tipos:
Clave WEP de 64 bits.-, 5 Caracteres o 10 dígitos hexadecimales (''0 a 9'' ''A a F'', precedidos por la cadena ''0x'').
Clave WEP de 128 bits.-, 13 Caracteres o 26 dígitos hexadecimales (''0 a 9'' ''A a F'', precedidos por la cadena ''0x'').
Clave WEP de 256 bits.-, 29 Caracteres o 58 dígitos hexadecimales (''0 a 9'' ''A a F'', precedidos por la cadena ''0x'').
La que más se suele usar es la de 128 bits, que ofrece un bien nivel de protección sin ser excesivamente larga y complicada.
La encriptación WEP de 256 bits no es soportada por muchos dispositivos.
Una clave de encriptación WEP se puede descifrar (existen programas para ello), pero para esto es necesario un tráfico ininterrumpido de datos durante un tiempo determinado (por cierto, bastantes datos y bastante tiempo).
Evidentemente, cuanto mayor sea el nivel de encriptación y más complicada sea la clave más difícil va a ser de descifrar.
No se tarda lo mismo (a igualdad volumen de datos y tiempo) en descifrar la clave de una encriptación WEP de 64 bits que una de 128 bits, no existiendo además entre ambos una relación aritmética, es decir, que no se tarda el doble en descifrar una clave de encriptación WEP de 128 bits que una de 64 bits.
A pesar de que es posible descifrar estas claves de encriptación, no debemos pensar que sea fácil ni rápido. Una buena clave de encriptación WEP de 128 bits (por no decir una de 256 bits) puede llegar a ser prácticamente indescifrable si nos hemos asegurado de que sea lo suficientemente complicada.
La mayoría de los programas para descifrar claves están basados en una serie de secuencias más o menos lógicas con las que empieza a atacar a nuestro sistema hasta entrar en el. Evidentemente, una clave del tipo 1234567890 tarda segundos en ser localizada, pero a nadie se le ocurre (o se le debería ocurrir) poner esta clave.
Debemos evitar claves que contengan secuencias relacionadas con nosotros (fechas, nombres, lugares), así como frases típicas, ya que es lo primero que intentan este tipo de programas. Esto no solo es válido para una clave WEP, sino para cualquier tipo de clave que pongamos. También debemos evitar claves fáciles, como secuencias consecutivas de teclas o números.
Para mayor seguridad es muy aconsejable siempre que sea posible activar el filtrado de direcciones MAC.
Una dirección MAC (Media Access Control address) es un identificador hexadecimal de 48 bits. Esta dirección es única para cada dispositivo, no siendo un parámetro modificable por el usuario (cada tarjeta o interfaz de red tiene su propia dirección MAC, establecida por el fabricante).
En general, un router Wifi o un Access Point solo va a permitir el acceso a aquellos terminales que tengan la misma clave de encriptación WEP.
Esta clave puede ser de tres tipos:
Clave WEP de 64 bits.-, 5 Caracteres o 10 dígitos hexadecimales (''0 a 9'' ''A a F'', precedidos por la cadena ''0x'').
Clave WEP de 128 bits.-, 13 Caracteres o 26 dígitos hexadecimales (''0 a 9'' ''A a F'', precedidos por la cadena ''0x'').
Clave WEP de 256 bits.-, 29 Caracteres o 58 dígitos hexadecimales (''0 a 9'' ''A a F'', precedidos por la cadena ''0x'').
La que más se suele usar es la de 128 bits, que ofrece un bien nivel de protección sin ser excesivamente larga y complicada.
La encriptación WEP de 256 bits no es soportada por muchos dispositivos.
Una clave de encriptación WEP se puede descifrar (existen programas para ello), pero para esto es necesario un tráfico ininterrumpido de datos durante un tiempo determinado (por cierto, bastantes datos y bastante tiempo).
Evidentemente, cuanto mayor sea el nivel de encriptación y más complicada sea la clave más difícil va a ser de descifrar.
No se tarda lo mismo (a igualdad volumen de datos y tiempo) en descifrar la clave de una encriptación WEP de 64 bits que una de 128 bits, no existiendo además entre ambos una relación aritmética, es decir, que no se tarda el doble en descifrar una clave de encriptación WEP de 128 bits que una de 64 bits.
A pesar de que es posible descifrar estas claves de encriptación, no debemos pensar que sea fácil ni rápido. Una buena clave de encriptación WEP de 128 bits (por no decir una de 256 bits) puede llegar a ser prácticamente indescifrable si nos hemos asegurado de que sea lo suficientemente complicada.
La mayoría de los programas para descifrar claves están basados en una serie de secuencias más o menos lógicas con las que empieza a atacar a nuestro sistema hasta entrar en el. Evidentemente, una clave del tipo 1234567890 tarda segundos en ser localizada, pero a nadie se le ocurre (o se le debería ocurrir) poner esta clave.
Debemos evitar claves que contengan secuencias relacionadas con nosotros (fechas, nombres, lugares), así como frases típicas, ya que es lo primero que intentan este tipo de programas. Esto no solo es válido para una clave WEP, sino para cualquier tipo de clave que pongamos. También debemos evitar claves fáciles, como secuencias consecutivas de teclas o números.
Para mayor seguridad es muy aconsejable siempre que sea posible activar el filtrado de direcciones MAC.
Una dirección MAC (Media Access Control address) es un identificador hexadecimal de 48 bits. Esta dirección es única para cada dispositivo, no siendo un parámetro modificable por el usuario (cada tarjeta o interfaz de red tiene su propia dirección MAC, establecida por el fabricante).
Encriptaciónes WAP:
Una encriptación Wap encriptación WPA, cuya finalidad es la misma (evitar intrusiones en nuestra red Wifi), pero que actua de diferente forma y es bastante más segura. El mayor inconveniente es que no son muchos los dispositivos Wifi que la soportan.
Una encriptación WPA (Wireless Protected Access) puede ser de dos tipos:
Basada en servidores de autentificación (normalmente servidores Radius (Remote Authentication Dial-In User Server)), en la que es el servidor de autentificación el encargado de distribuir claves diferentes entre los usuarios. En un principio la encriptación WPA se creó para ser utilizada en este sistema.
Este tipo de encriptación no solo es utilizado por las conexiones Wifi, sino también por otro tipos de conexiones que requieren una autentificación. Suele ser el empleado entre otros por los proveedopres de servicios de Internet (ISP).
Se trata de un sistema sumamente seguro... pero para nuestra conexión Wifi quizas algo escesivo.
Pero existe otro tipo de encriptación WPA algo menos segura, pero aun así muchísimo más segura que la encriptación WEP. Se trata de la encriptación WPA-PSK (Wireless Protected Access Pre-Shared Key).
Este tipo de encriptación utiliza un tipo de algoritmo denominado RC4, tambien empleado en las encriptaciones WEP, con una clave de 128 bits y un vector de inicialización de 48 bits, en vez de un vector de inicialización de 24 bits, que es el utilizado por la encriptación WEP.
A esto hay que añadirle el uso del protocolo TKIP (Temporal Key Integrity Protocol), que cambia la clave de encriptación dinámicamente, a medida que utilizamops esa conexión. Si unimos ambos sistemas optenemos un sistema casi imposible de violar (y digo casi porque imposible no hay casi nada).
Vamos a ver un poco qué significa todo esto en la practica.
Como ya hemos visto, una clave de 128 bits está compuesta por una cadena de 13 Caracteres o 26 dígitos hexadecimales (''0 a 9'' ''A a F''), a lo que si sumamos la posibilidad de usar y mezclar tanto mayúsculas como minúsculas nos dá un número asombrosamente alto de posibilidades.
Este sistema es el mismo que emplea la encriptación WEP, y como ya comentamos en el anterior tutorial sobre ella, es una clave que se puede averiguar (ojo, no es que sea fácil, pero se puede), dependiendo en gran medida de la clave que pongamos, ya que mediante un sistema de escucha de tráfico se optienen unas señales que luego hay que decodificar por la fuerza, es decir, comparandolas con una serie de claves ya establecidas (evidentemente claves basadas en nombres, animales, fechas, etc. son las más fáciles de detectar).
Lo malo de las claves WEP es que utilizan siempre esta clave para autentificar la conexión, siendo esta autentificación un proceso que se repite bastantes veces durante la conexión.
Pues bien, la para imaginarnos como trabaja una conexión WPA-PSK imaginemos que al conectarnos utilizamos la clave preestablecida (la que tenemos tanto en el router como en nuestro dispositivo Wifi), pero a la vez que se autentifica envia la siguiente clave de autentificación (que por supuesto no es la misma), y cada vez que se autentifique repite la operación. Esto hace que la unica clave vulnerable sea la primera, pero tan solo se utiliza en la conexión, ya que las autentificaciones las hace mediante claves generadas por el sistema, y que además no se repiten. Hay que tener en cuanta que cuando se conectan varios dispositivos, si bien la clave de conexión es la misma, las de autentificación no solo cambian, sino que son diferentes para cada dispositivo.
Si a esto unimos una clave lo suficientemente compleja de conexión, es practicamente imposible averiguar una clave para entrar en nuestro sistema, así como para interpretar nuestras conexiones, ya que para cuando el sistema atacante consiguiera averiguar la clave que ha detectado esta ya no estaria en uso.
Fuentes:
>Wikipedia
>http://www.configurarequipos.com/doc527.html
No hay comentarios:
Publicar un comentario