martes, 24 de junio de 2008

Red inalámbrica con un punto de acceso inalámbrico

En esta sección se describe cómo configurar una red inalámbrica para el hogar o una pequeña empresa cuando se utiliza un punto de acceso inalámbrico.

Para proteger la red inalámbrica doméstica o de pequeña empresa en modo de infraestructura, debe utilizar la autenticación de clave previamente compartida WPA2 con cifrado AES (recomendado), la autenticación de clave previamente compartida con cifrado TKIP (recomendado) o la autenticación de sistema abierto y cifrado WEP (no recomendado).

En las siguientes secciones se describe cómo configurar manualmente el punto de acceso inalámbrico y los equipos con Windows XP. Si utiliza un equipo con Windows XP con SP2, puede simplificar considerablemente la configuración de seguridad eficaz para redes inalámbricas en el hogar o en una oficina pequeña mediante el nuevo asistente para configuración de red inalámbrica.

Este nuevo asistente de Windows XP SP2 le guía por el proceso de configuración de opciones de red inalámbrica y, a continuación, escribe dicha configuración como un conjunto de archivos en una unidad flash (UFD) de bus serie universal (USB). A continuación, la UFD se conecta en los demás dispositivos inalámbricos de la red doméstica o de pequeña oficina que admitan Windows Connect Now (anteriormente denominado Windows Smart Network Key [WSNK]). Todos los dispositivos inalámbricos que admitan Windows Connect Now leerán automáticamente la configuración de los archivos almacenados en la UFD y se configurarán con las mismas opciones que el equipo en el que se ejecutó inicialmente el asistente para configuración de red inalámbrica.

Se trata del método recomendado de configuración de redes inalámbricas basadas en punto de acceso inalámbrico en el hogar o en una oficina pequeña, en concreto si se utilizan otros equipos con Windows XP con SP2 o dispositivos de red inalámbricos (como puntos de acceso inalámbricos o impresoras inalámbricas) que admitan Windows Connect Now.

Para obtener más información, incluido un ejemplo paso a paso con capturas de pantalla, consulte The New Wireless Network Setup Wizard in Windows XP Service Pack 2.

Nota:
Nota El asistente para configuración de red inalámbrica sólo admite las claves WEP y las claves previamente compartidas WPA configuradas manualmente. El asistente para configuración de red inalámbrica no admite la configuración de claves previamente compartidas WPA2.

Configuración del punto de acceso inalámbrico (sin WPA o WPA2)
Para la autenticación de sistema abierto y el cifrado WEP, debe configurar el punto de acceso inalámbrico con las siguientes opciones:

• Nombre de la red inalámbrica (SSID)

• Habilitar la autenticación de sistema abierto

• Habilitar WEP

• Seleccionar un formato de clave WEP

Si va a escribir la clave WEP con caracteres del teclado (ASCII), debe escribir 5 caracteres para una clave WEP de 40 bits y 13 para una de 104 bits. Si va a escribir la clave WEP utilizando dígitos hexadecimales, debe escribir 10 dígitos para una clave de 40 bits y 26 para una de 104 bits. Si tiene la posibilidad de elegir el formato de la clave WEP, elija hexadecimal. Los caracteres de teclado no tienen muchas probabilidades de ser aleatorios, mientras que los dígitos hexadecimales sí las tienen. Cuanto más aleatoria sea la clave WEP, más seguro será su uso.

• Seleccionar el número de clave de cifrado WEP

Debe especificar la clave que se utilizará. IEEE 802.11 permite el uso de hasta 4 claves WEP distintas. Se utiliza una única clave WEP cuando el tráfico se intercambia entre el punto de acceso inalámbrico y el cliente inalámbrico. La clave se almacena en una posición de memoria específica. Para que el receptor descifre correctamente la trama entrante, tanto el emisor como el receptor deben utilizar la misma clave de cifrado en la misma posición de memoria.

Aunque es posible configurar el punto de acceso inalámbrico con las cuatro claves y tener clientes distintos que utilizan claves diferentes, se pueden producir confusiones en la configuración. En su lugar, elija una clave y una posición de memoria específicas que se utilizarán para el punto de acceso inalámbrico y todos los clientes inalámbricos.

La elección de una posición de memoria específica resulta complicada por el hecho de que Windows XP sin ningún Service Pack instalado hace referencia a las posiciones de memoria de clave de cifrado mediante un "índice de clave" y numera los índices de clave a partir de 0 y algunos puntos de acceso inalámbricos hacen referencia a las posiciones de memoria de clave de cifrado como "claves de cifrado" y numeran las claves a partir de 1. En este caso, debe hacer que el número de índice de clave de Windows XP sin ningún Service Pack instalado indique la misma posición de memoria de clave de cifrado que el número de clave de cifrado en el punto de acceso inalámbrico; de lo contrario, el punto de acceso inalámbrico y los clientes inalámbricos no podrán establecer comunicación. En la tabla 1 se muestra esta relación.

Configuración inalámbrica automática de Windows XP

La configuración inalámbrica automática de Windows XP, habilitada mediante el servicio de configuración inalámbrica rápida, proporciona un medio de automatizar la configuración de las opciones de las redes inalámbricas. Cuando el adaptador de red inalámbrico, cuyo controlador admite la configuración inalámbrica automática, busca redes inalámbricas, los nombres de las encontradas se pasan a la configuración inalámbrica automática. Windows XP mantiene una lista de redes inalámbricas preferidas. Windows XP intenta hacer coincidir una red inalámbrica encontrada con la lista de redes preferidas en orden de preferencia. Si se encuentra un nombre de red, Windows XP utiliza la configuración de la red inalámbrica para intentar una conexión. Si no se encuentra un nombre de red, Windows XP avisa con un mensaje de la barra de notificación que pregunta si se desea conectar a una de las redes inalámbricas encontradas.

Para las redes domésticas o de oficina pequeña, utilizará la configuración inalámbrica automática para detectar la red inalámbrica, pero debido a que la configuración predeterminada de una red inalámbrica es utilizar WEP y determinar automáticamente la clave WEP, tendrá que configurar manualmente las opciones de su red inalámbrica.

Sistema abierto

La autenticación de sistema abierto no es realmente una autenticación, porque todo lo que hace es identificar un nodo inalámbrico mediante su dirección de hardware de adaptador inalámbrico. Una dirección de hardware es una dirección asignada al adaptador de red durante su fabricación y se utiliza para identificar la dirección de origen y de destino de las tramas inalámbricas.

Para el modo de infraestructura, aunque algunos puntos de acceso inalámbricos permiten configurar una lista de direcciones de hardware permitidas para la autenticación de sistema abierto, resulta bastante sencillo para un usuario malintencionado capturar las tramas enviadas en la red inalámbrica para determinar la dirección de hardware de los nodos inalámbricos permitidos y, a continuación, utilizar la dirección de hardware para realizar la autenticación de sistema abierto y unirse a su red inalámbrica.

Para el modo ad hoc, no existe equivalencia para la configuración de la lista de direcciones de hardware permitidas en Windows XP. Por lo tanto, se puede utilizar cualquier dirección de hardware para realizar la autenticación de sistema abierto y unirse a su red inalámbrica basada en el modo ad hoc.

Clave compartida
La autenticación de clave compartida comprueba que el cliente inalámbrico que se va a unir a la red inalámbrica conoce una clave secreta. Durante el proceso de autenticación, el cliente inalámbrico demuestra que conoce la clave secreta sin realmente enviarla. Para el modo de infraestructura, todos los clientes inalámbricos y el punto de acceso inalámbrico utilizan la misma clave compartida. Para el modo ad hoc, todos los clientes inalámbricos de la red inalámbrica ad hoc utilizan la misma clave compartida.

IEEE 802.1X
El estándar IEEE 802.1X exige la autenticación de un nodo de red para que pueda comenzar a intercambiar datos con la red. Si se produce un error en el proceso de autenticación, se deniega el intercambio de tramas con la red. Aunque este estándar se diseñó para las redes Ethernet inalámbricas, se ha adaptado para su uso con 802.11. IEEE 802.1X utiliza EAP (Protocolo de autenticación extensible) y métodos de autenticación específicos denominados tipos EAP para autenticar el nodo de red.

IEEE 802.1X proporciona una autenticación mucho más segura que el sistema abierto o la clave compartida y la solución recomendada para la autenticación inalámbrica de Windows XP es el uso de EAP-TLS (Transport Layer Security) y certificados digitales para la autenticación. Para utilizar la autenticación EAP-TLS para las conexiones inalámbricas, debe crear una infraestructura de autenticación que conste de un dominio de Active Directory, servidores RADIUS (Servicio de usuario de acceso telefónico de autenticación remota) y entidades emisoras de certificados para emitir certificados a los servidores RADIUS y los clientes inalámbricos. Esta infraestructura de autenticación resulta más adecuada para grandes empresas y organizaciones empresariales, pero no es práctica para una oficina doméstica o de pequeña empresa.

La solución al uso de IEEE 802.1X y EAP-TLS para las pequeñas y medianas empresas es PEAP (EAP protegido) y el protocolo de autenticación por desafío mutuo de Microsoft, versión 2 (MS-CHAP v2) tipo EAP. Con PEAP-MS-CHAP v2, se puede lograr un acceso inalámbrico seguro mediante la instalación de un certificado adquirido en un servidor RADIUS y utilizando credenciales de nombre y contraseña para la autenticación. Windows XP con SP2, Windows XP con SP1, Windows Server 2003 y Windows 2000 con Service Pack 4 (SP4) admiten PEAP-MS-CHAP v2.

Cifrado de las redes

Cifrado
Están disponibles los siguientes tipos de cifrado para su uso con las redes 802.11:

• WEP

• WPA

• WPA2


Cifrado WEP
Para el cifrado de los datos inalámbricos, el estándar 802.11 original definió la privacidad equivalente por cable (WEP). Debido a la naturaleza de las redes inalámbricas, la protección del acceso físico a la red resulta difícil. A diferencia de una red con cables donde se requiere una conexión física directa, cabe la posibilidad de que cualquier usuario dentro del alcance de un punto de acceso inalámbrico o un cliente inalámbrico pueda enviar y recibir tramas, así como escuchar otras tramas que se envían, con lo que la interceptación y el espionaje remoto de tramas de red inalámbrica resultan muy sencillos.

WEP utiliza una clave compartida y secreta para cifrar los datos del nodo emisor. El nodo receptor utiliza la misma clave WEP para descifrar los datos. Para el modo de infraestructura, la clave WEP debe estar configurada en el punto de acceso inalámbrico y en todos los clientes inalámbricos. Para el modo ad hoc, la clave WEP debe estar configurada en todos los clientes inalámbricos.

Tal como se especifica en los estándares de IEEE 802.11, WEP utiliza una clave secreta de 40 bits. La mayor parte del hardware inalámbrico para IEEE 802.11 también admite el uso de una clave WEP de 104 bits. Si su hardware admite ambas, utilice una clave de 104 bits.

Nota Algunos proveedores de productos inalámbricos anuncian el uso de una clave de cifrado inalámbrico de 128 bits. Es la suma de una clave WEP de 104 bits y otro número empleado durante el proceso de cifrado denominado vector de inicialización (un número de 24 bits). Asimismo, algunos puntos de acceso inalámbricos recientes admiten el uso de una clave de cifrado inalámbrico de 152 bits. Se trata de una clave WEP de 128 bits sumada al vector de inicialización de 24 bits. Los cuadros de diálogo de configuración de Windows XP no admiten claves WEP de 128 bits. Si debe utilizar claves de cifrado inalámbrico de 152 bits, deshabilite la configuración automática desactivando la casilla de verificación Usar Windows para establecer mi config. de red inalámbrica en la ficha Redes inalámbricas de las propiedades de la conexión inalámbrica en Conexiones de red y emplee la utilidad de configuración incluida con el adaptador de red inalámbrico.

Elección de una clave WEP
La clave WEP debe ser una secuencia aleatoria de caracteres de teclado (letras mayúsculas y minúsculas, números y signos de puntuación) o dígitos hexadecimales (números del 0 al 9 y letras de la A a la F). Cuanto más aleatoria sea la clave WEP, más seguro será su uso.

Una clave WEP basada en una palabra (como un nombre de compañía en el caso de una pequeña empresa o el apellido si se trata de una red doméstica) o en una frase fácil de recordar se puede averiguar fácilmente. Después de que el usuario malintencionado haya determinado la clave WEP, puede descifrar las tramas cifradas con WEP, cifrar tramas WEP correctamente y comenzar a atacar la red.

Aunque la clave WEP sea aleatoria, todavía se puede averiguar si se recopila y analiza una gran cantidad de datos cifrados con la misma clave. Por lo tanto, se recomienda cambiar la clave WEP por una nueva secuencia aleatoria periódicamente, por ejemplo, cada tres meses.

Cifrado WPA
IEEE 802.11i es un nuevo estándar que especifica mejoras en la seguridad de las redes locales inalámbricas. El estándar 802.11i soluciona muchos de los problemas de seguridad del estándar 802.11 original. Mientras se ratifica el nuevo estándar IEEE 802.11i, los proveedores de productos inalámbricos han acordado un estándar intermedio interoperable denominado WPA™ (acceso protegido Wi-Fi).

Con WPA, el cifrado se realiza mediante TKIP (Protocolo de integridad de claves temporales), que reemplaza WEP por un algoritmo de cifrado más seguro. A diferencia de WEP, TKIP proporciona la determinación de una única clave de cifrado de unidifusión de inicio para cada autenticación y el cambio sincronizado de la clave de cifrado de unidifusión para cada trama. Debido a que las claves TKIP se determinan automáticamente, no es necesario configurar una clave de cifrado para WPA.

Microsoft proporciona compatibilidad con WPA para los equipos con Windows XP con Service Pack 2 (SP2). Para los equipos con Windows XP con Service Pack 1 (SP1), se debe obtener e instalar el paquete de conjuntos de actualizaciones inalámbricas para Windows XP, una descarga gratuita de Microsoft.

Nombres de las redes inalámbricas

Las redes inalámbricas, tanto si funcionan en modo de infraestructura como en modo ad hoc, utilizan un nombre que se denomina identificador del conjunto de servicios (SSID) para identificar una red inalámbrica específica. Cuando los clientes inalámbricos se inician por primera vez, exploran la banda de frecuencias inalámbricas en busca de tramas de señalización especiales que envían los puntos de acceso inalámbricos o los clientes inalámbricos en modo ad hoc. Las tramas de señalización contienen el SSID, también denominado nombre de red inalámbrica. En la lista acumulada de nombres de red inalámbrica recopilados durante el proceso de exploración, el cliente inalámbrico puede determinar la red inalámbrica con la que se intentará establecer conexión. Uno de los elementos de la configuración de una red inalámbrica es seleccionar un nombre para la red inalámbrica. Si va a crear una nueva red inalámbrica, el nombre que elija debe ser distinto de los nombres de las demás redes dentro del intervalo de exploración. Por ejemplo, si va a crear una red inalámbrica en su casa y su vecino ya ha creado una que se llama HOGAR y es visible desde su casa, debe elegir otro nombre distinto de HOGAR.

Después de haber seleccionado un nombre de red inalámbrica y haberlo configurado para el punto de acceso inalámbrico (modo de infraestructura) o un cliente inalámbrico (modo ad hoc), dicho nombre será visible desde cualquier nodo inalámbrico IEEE. La búsqueda de redes inalámbricas ("war driving" en inglés) consiste en conducir por barrios de negocios o residenciales buscando nombres de redes inalámbricas. Cualquiera que condujera cerca de su red inalámbrica podría ver su nombre, pero que pudiera hacer algo más que ver el nombre de la red inalámbrica está determinado por el uso de la seguridad inalámbrica.

Con la seguridad inalámbrica habilitada y configurada correctamente, los buscadores de redes inalámbricas verían el nombre de la red y se unirían a ella, pero no podrían enviar datos, interpretar los datos enviados en la red inalámbrica, tener acceso a los recursos de la red inalámbrica o con cables (archivos compartidos, sitios Web privados, etc.) ni utilizar su conexión a Internet.

Sin la seguridad inalámbrica habilitada y configurada correctamente, los buscadores de redes inalámbricas podrían enviar datos, interpretar los datos enviados en la red inalámbrica, tener acceso a los recursos compartidos de la red inalámbrica o con cables (archivos compartidos, sitios Web privados, etc.), instalar virus, modificar o destruir información confidencial y utilizar su conexión a Internet sin su conocimiento o consentimiento. Por ejemplo, un usuario malintencionado podría utilizar su conexión a Internet para enviar correo electrónico o lanzar ataques contra otros equipos. El seguimiento del tráfico malintencionado llevaría a su casa o pequeña empresa.

Por estos motivos, Microsoft apremia a habilitar y configurar correctamente la seguridad inalámbrica.

Seguridad inalámbrica
La seguridad de IEEE 802.11 consta de cifrado y de autenticación. El cifrado se utiliza para cifrar o codificar, los datos de las tramas inalámbricas antes de que se envíen a la red inalámbrica. Con la autenticación se requiere que los clientes inalámbricos se autentiquen antes de que se les permita unirse a la red inalámbrica.

Cifrado
Están disponibles los siguientes tipos de cifrado para su uso con las redes 802.11:

• WEP

• WPA

• WPA2


Cifrado WEP
Para el cifrado de los datos inalámbricos, el estándar 802.11 original definió la privacidad equivalente por cable (WEP). Debido a la naturaleza de las redes inalámbricas, la protección del acceso físico a la red resulta difícil. A diferencia de una red con cables donde se requiere una conexión física directa, cabe la posibilidad de que cualquier usuario dentro del alcance de un punto de acceso inalámbrico o un cliente inalámbrico pueda enviar y recibir tramas, así como escuchar otras tramas que se envían, con lo que la interceptación y el espionaje remoto de tramas de red inalámbrica resultan muy sencillos.

WEP utiliza una clave compartida y secreta para cifrar los datos del nodo emisor. El nodo receptor utiliza la misma clave WEP para descifrar los datos. Para el modo de infraestructura, la clave WEP debe estar configurada en el punto de acceso inalámbrico y en todos los clientes inalámbricos. Para el modo ad hoc, la clave WEP debe estar configurada en todos los clientes inalámbricos.

Tal como se especifica en los estándares de IEEE 802.11, WEP utiliza una clave secreta de 40 bits. La mayor parte del hardware inalámbrico para IEEE 802.11 también admite el uso de una clave WEP de 104 bits. Si su hardware admite ambas, utilice una clave de 104 bits.

Configuración de redes inalámbricas IEEE 802.11


La utilidad de las redes inalámbricas en el hogar y las pequeñas empresas ofrece ventajas evidentes. Con una red inalámbrica no es necesario instalar cables para conectar los distintos equipos entre sí y los equipos portátiles pueden trasladarse de un lado a otro de la casa o la pequeña oficina y mantener su conexión a la red.

Aunque existen varias tecnologías para crear redes inalámbricas, en este artículo se describe el uso de los estándares 802.11 del IEEE (Instituto de ingenieros eléctricos y electrónicos).

Descripción general de IEEE 802.11
IEEE 802.11 constituye un conjunto de estándares del sector para tecnologías de red de área local inalámbrica (WLAN) compartidas, de los cuales el que se utiliza con mayor frecuencia es IEEE 802.11b, también denominado Wi-Fi. IEEE 802.11b transmite datos a 1, 2, 5,5 u 11 megabits por segundo (Mbps) en el intervalo de frecuencias ISM (industrial, científico y médico) de banda S de 2,4 a 2,5 gigahercios (GHz). Otros dispositivos inalámbricos, como hornos microondas, teléfonos inalámbricos, videocámaras inalámbricas y dispositivos que utilizan otra tecnología inalámbrica denominada Bluetooth, también utilizan ISM de banda S.

En condiciones ideales, en situación de proximidad y sin fuentes de atenuación o interferencias, IEEE 802.11b funciona a 11 Mbps, una tasa de bits mayor que Ethernet con cables a 10 Mbps. En condiciones no tan ideales, se utilizan velocidades inferiores de 5,5 Mbps, 2 Mbps y 1 Mbps.

El estándar IEEE 802.11a tiene una tasa de bits máxima de 54 Mbps y utiliza frecuencias del intervalo de 5 GHz, incluida la banda de frecuencias ISM de banda C de 5,725 a 5,875 GHz. Esta tecnología de velocidad mayor permite que las redes locales inalámbricas tengan un mejor rendimiento para aplicaciones de vídeo y de conferencia. Debido a que no se encuentra en las mismas frecuencias que Bluetooth o los hornos microondas, IEEE 802.11a proporciona una mayor tasa de datos y una señal más nítida.

El estándar IEEE 802.11g tiene una tasa de bits máxima de 54 Mbps y utiliza ISM de banda S. Todas las instrucciones de este artículo para configurar los nodos inalámbricos se aplican a las redes inalámbricas basadas en IEEE 802.11b, 802.11a y 802.11g.

Modo de infraestructura
Los estándares IEEE 802.11 especifican dos modos de funcionamiento: infraestructura y ad hoc.

El modo de infraestructura se utiliza para conectar equipos con adaptadores de red inalámbricos, también denominados clientes inalámbricos, a una red con cables existente. Por ejemplo, una oficina doméstica o de pequeña empresa puede tener una red Ethernet existente. Con el modo de infraestructura, los equipos portátiles u otros equipos de escritorio que no dispongan de una conexión con cables Ethernet pueden conectarse de forma eficaz a la red existente. Se utiliza un nodo de red, denominado punto de acceso inalámbrico (PA), como puente entre las redes con cables e inalámbricas. En la figura 1 se muestra una red inalámbrica en modo de infraestructura.

martes, 17 de junio de 2008

¿Que es una red inalambrica?¿Que tipos de redes hay?

Las redes inalámbricas de telecomunicaciones son generalmente implementadas con algún tipo de sistema de transmisión de información que usa ondas electromagnéticas, como las ondas de radio.

La principal ventaja de las redes inalámbricas es que se eliminan metros y metros de cables, pero su seguridad debe ser más robusta (ver WPA).

Tipos de redes inalámbricas

* LAN Inalámbrica: Red de área local inalámbrica. También puede ser una Red de área metropolitana inalámbrica.

* GSM (Global System for Mobile Communications): la red GSM es utilizada mayormente por teléfonos celulares.

* PCS (Personal Communications Service): es una franja de radio que puede ser usada para teléfonos móviles en EE.UU.

* D-AMPS (Digital Advanced Mobile Phone Service): está siendo reemplazada por el sistema GSM.

* Wi-Fi: es uno de los sistemas más utilizados para la creación de redes inalámbricas en computadoras, permitiendo acceso a recursos remotos como internet e impresoras. Utiliza ondas de radio.

* Fixed Wireless Data: Es un tipo de red inalámbrica de datos que puede ser usada para conectar dos o más edificios juntos para extender o compartir el ancho de banda de una red sin que exista cableado físico entre los edificios.

lunes, 16 de junio de 2008

Seguridad en redes inalambricas

La seguridad en las redes inalámbricas es sumamente importante, por la facilidad con que cualquiera puede encontrarlas (ver war driving) y acceder a ellas (ver piggybacking).

Cualquier persona con una computadora portátil puede encontrar fácilmente el punto de acceso inalámbrico de nuestra red inalámbrica, pudiendo así ingresar en nuestros archivos, utilizar nuestra conexión a internet, obtener datos importantes que se transfieran en la red inalámbrica, etc.

Por ejemplo, la ausencia de seguridad en nuestra red inalámbrica o nuestro punto de acceso a internet inalámbrico puede hacernos víctimas del piggybacking, del phishing, del robo de información, etc.

Existen diferentes métodos de seguridad para limitar el acceso a las redes inalámbricas:

* Autentificación de la dirección MAC.

* Seguridad IP (IPsec).

* Wired Equivalent Privacy (WEP).

* Wi-Fi Protected Access (WPA).

* Sistema de detección de intrusos inalámbricos (Wireless intrusion detection system).

* VPN.

* RADIUS.

* Honeypot.