Como proteger una red inalámbrica (WIFI o Wireless)

Las redes inalámbricas (en inglés wireless network) son aquellas que se comunican
por un medio de transmisión no guiado (sin cables) mediante ondas electromagnéticas.
La transmisión y la recepción se realizan a través de antenas.

Tienen ventajas como la rápida instalación de la red sin la necesidad de usar cableado,
permiten la movilidad y tienen menos costos de mantenimiento que una red
convencional.

Los puntos de acceso son dispositivos de red “wireless” que funcionan de forma
equivalente a los “hubs” o concentradores, permitiendo que varios clientes “
wireless” se comuniquen entre sí. A menudo se utilizan varios puntos de acceso para
cubrir un área determinada como una casa, una oficina u otro tipo de localización
delimitada.

Los puntos de acceso poseen típicamente varias conexiones de red: la tarjeta “wireless”
y una o más tarjetas Ethernet que se utilizan para comunicarse con el resto de la red.

Tipos de redes inalámbricas:

* LAN Inalámbrica: Red de área local inalámbrica. También puede ser una Red de área
metropolitana inalámbrica.

* GSM (Global System for Mobile Communications): la red GSM es utilizada

mayormente por teléfonos celulares.

* PCS (Personal Communications Service): es una franja de radio que puede ser usada
para teléfonos móviles en EE.UU.

* D-AMPS (Digital Advanced Mobile Phone Service): está siendo reemplazada por el
sistema GSM.

* Wi-Fi: es uno de los sistemas más utilizados para la creación de redes inalámbricas en
computadoras, permitiendo acceso a recursos remotos como internet e impresoras.
Utiliza ondas de radio.

* Fixed Wireless Data: Es un tipo de red inalámbrica de datos que puede ser usada para
conectar dos o más edificios juntos para extender o compartir el ancho de banda de una
red sin que exista cableado físico entre los edificios.

Es necesario proteger la redes inalámbricas, ya que últimamente se han encontrado

muchas vulnerabilidades en las redes inalámbricas, encriptaciones y todo esto; pero hay
diferentes tipos para protegerse.

• Cambia el nombre y contraseña por defecto de tu router o punto de acceso,

así como el SSID por defecto.
• Desactiva el broadcasting de tu SSID de forma que cuando alguien se quiera
conectar a tu red tenga que saber que existe, y cual es su nombre. De todas
 formas existen herramientas que no necesitan del broadcast del SSID para saber
que la red está ahí.
• Utiliza cifrado WPA o, mucho mejor, WPA2 (WPA es un draft del estándar
802.11i, y WPA2 la implementación final) usando cifrado AES (TKIP es
una broma de mal gusto)
• Utiliza
una frase de paso larga, sin significado, y con números y símbolos. Esto es así
porque si el conjunto de caracteres entre los que hay que probar aumenta, el
tiempo necesario para obtener
una clave usando métodos de fuerza bruta, evidentemente, asciende.
• Filtrado por MAC: consiste en instruir al router para que sólo permita acceder
a los clientes cuyas tarjetas de red tengan las MACs (direcciones físicas, un
identificador en teoría único) especificadas. Falsificar
una MAC es tremendamente sencillo, pero es otra medida de protección.

Diferencia entre WEP y WPA

WEP (Protocolo de equivalencia con red cableada)
La seguridad de la red es extremadamente importante, especialmente para las
aplicaciones o programas que almacenan información valiosa. WEP cifra los datos en su
red de forma que sólo el destinatario deseado pueda acceder a ellos. Los cifrados de 64
y 128 bits son dos niveles de seguridad WEP. WEP codifica los datos mediante una
“clave” de cifrado antes de enviarlo al aire.

Cuanto más larga sea la clave, más fuerte será el cifrado. Cualquier dispositivo de
recepción deberá conocer dicha clave para descifrar los datos. Las claves se insertan
como cadenas de 10 o 26 dígitos hexadecimales y 5 o 13 dígitos alfanuméricos.

La activación del cifrado WEP de 128 bits evitará que el pirata informático ocasional
acceda a sus archivos o emplee su conexión a Internet de alta velocidad. Sin embargo, si
la clave de seguridad es estática o no cambia, es posible que un intruso motivado
irrumpa en su red mediante el empleo de tiempo y esfuerzo. Por lo tanto, se recomienda
cambiar la clave WEP frecuentemente. A pesar de esta limitación, WEP es mejor que no
disponer de ningún tipo de seguridad y debería estar activado como nivel de seguridad
mínimo.

WPA (Wi-Fi Protected Access)

WPA emplea el cifrado de clave dinámico, lo que significa que la clave está cambiando
constantemente y hacen que las incursiones en la red inalámbrica sean más difíciles que
con WEP. WPA está considerado como uno de los más altos niveles de seguridad
inalámbrica para su red, es el método recomendado si su dispositivo es compatible con
este tipo de cifrado. Las claves se insertan como de dígitos alfanuméricos, sin
restricción de longitud, en la que se recomienda utilizar caracteres especiales, números,
mayúsculas y minúsculas, y palabras difíciles de asociar entre ellas o con información
personal. Dentro de WPA, hay dos versiones de WPA, que utilizan distintos procesos de
autenticación:

* Para el uso personal doméstico: El Protocolo de integridad de claves temporales

(TKIP) es un tipo de mecanismo empleado para crear el cifrado de clave dinámico y
autenticación mutua. TKIP aporta las características de seguridad que corrige las
limitaciones de WEP. Debido a que las claves están en constante cambio, ofrecen un
alto nivel de seguridad para su red.

* Para el uso en empresarial/de negocios: El Protocolo de autenticación extensible

(EAP) se emplea para el intercambio de mensajes durante el proceso de autenticación.
Emplea la tecnología de servidor 802.1x para autenticar los usuarios a través de un
servidor RADIUS (Servicio de usuario de marcado con autenticación remota). Esto
aporta una seguridad de fuerza industrial para su red, pero necesita un servidor
RADIUS.

WPA2 es la segunda generación de WPA y está actualmente disponible en los AP más

modernos del mercado. WPA2 no se creó para afrontar ninguna de las limitaciones de
WPA, y es compatible con los productos anteriores que son compatibles con WPA. La
principal diferencia entre WPA original y WPA2 es que la segunda necesita el Estándar
avanzado de cifrado (AES) para el cifrado de los datos, mientras que WPA original
emplea TKIP (ver arriba). AES aporta la seguridad necesaria para cumplir los máximos
estándares de nivel de muchas de las agencias del gobierno federal. Al igual que WPA
original, WPA2 será compatible tanto con la versión para la empresa como con la
doméstica.

La tecnología SecureEasySetup™ (SES) de Linksys o AirStation OneTouch Secure

System™ (AOSS) de Buffalo permite al usuario configurar una red y activar la
seguridad de Acceso protegido Wi-Fi (WPA) simplemente pulsando un botón. Una vez
activado, SES o AOSS crea una conexión segura entre sus dispositivos inalámbricos,
configura automáticamente su red con un Identificador de red inalámbrica (SSID)
personalizado y habilita los ajustes de cifrado de la clave dinámico de WPA. No se
necesita ningún conocimiento ni experiencia técnica y no es necesario introducir
manualmente una contraseña ni clave asociada con una configuración de seguridad
tradicional inalámbrica.

Wired Equivalent Privacy

De Wikipedia, la enciclopedia libre

WEP, acrónimo de Wired Equivalent Privacy o "Privacidad Equivalente a Cableado",

es el sistema de cifrado incluido en el estándar IEEE 802.11 como protocolo para redes
Wireless que permite cifrar la información que se transmite. Proporciona un cifrado a
nivel 2, basado en el algoritmo de cifrado RC4 que utiliza claves de 64 bits (40 bits más
24 bits del vector de iniciación IV) o de 128 bits (104 bits más 24 bits del IV). Los
mensajes de difusión de las redes inalámbricas se transmiten por ondas de radio, lo que
los hace más susceptibles, frente a las redes cableadas, de ser captados con relativa
facilidad. Presentado en 1999, el sistema WEP fue pensado para proporcionar una
confidencialidad comparable a la de una red tradicional cableada.

Comenzando en 2001, varias debilidades serias fueron identificadas por analistas

criptográficos. Como consecuencia, hoy en día una protección WEP puede ser violada
con software fácilmente accesible en pocos minutos. Unos meses más tarde el IEEE
creó la nueva corrección de seguridad 802.11i para neutralizar los problemas. Hacia
2003, la Alianza Wi-Fi anunció que WEP había sido reemplazado por Wi-Fi Protected
Access (WPA). Finalmente en 2004, con la ratificación del estándar completo 802.11i
(conocido como WPA2), el IEEE declaró que tanto WEP-40 como WEP-104 fueron
revocados por presentar fallos en su propósito de ofrecer seguridad. A pesar de sus
debilidades, WEP sigue siendo utilizado, ya que es a menudo la primera opción de
seguridad que se presenta a los usuarios por las herramientas de configuración de los
routers aún cuando sólo proporciona un nivel de seguridad que puede disuadir del uso
sin autorización de una red privada, pero sin proporcionar verdadera protección. Fue
desaprobado como un mecanismo de privacidad inalámbrico en 2004, pero todavía está
documentado en el estándar actual.

WEP es a veces interpretado erróneamente como Wireless Encryption Protocol.

Detalles del Cifrado

WEP fue incluido como el método para asegurar la privacidad del estándar original
IEEE 802.11 ratificado en septiembre de 1999. WEP usa el algoritmo de cifrado RC4
para la confidencialidad, mientras que el CRC-32 proporciona la integridad. El RC4
funciona expandiendo una semilla ("seed" en inglés) para generar una secuencia de
números pseudoaleatorios de mayor tamaño. Esta secuencia de números se unifica con
el mensaje mediante una operación XOR para obtener un mensaje cifrado. Uno de los
problemas de este tipo de algoritmos de cifrado es que no se debe usar la misma semilla
para cifrar dos mensajes diferentes, ya que obtener la clave sería trivial a partir de los
dos textos cifrados resultantes. Para evitar esto, WEP especifica un vector de iniciación
(IV) de 24 bits que se modifica regularmente y se concatena a la contraseña (a través de
esta concatenación se genera la semilla que sirve de entrada al algoritmo).

El estándar WEP de 64 bits usa una llave de 40 bits (también conocido como WEP-40),
que es enlazado con un vector de iniciación de 24 bits (IV) para formar la clave de
tráfico RC4. Al tiempo que el estándar WEP original estaba siendo diseñado, llegaron
de parte del gobierno de los Estados Unidos una serie de restricciones en torno a la
tecnología criptográfica, limitando el tamaño de clave. Una vez que las restricciones
fueron levantadas, todos los principales fabricantes poco a poco fueron implementando
un protocolo WEP extendido de 128 bits usando un tamaño de clave de 104 bits (WEP-
104).

Una clave WEP de 128 bits consiste casi siempre en una cadena de 26 caracteres
hexadecimales (0-9, a-f) introducidos por el usuario. Cada caracter representa 4 bits de
la clave (4 x 26 = 104 bits). Añadiendo el IV de 24 bits obtenemos lo que conocemos
como “Clave WEP de 128 bits”. Un sistema WEP de 256 bits está disponible para
algunos desarrolladores, y como en el sistema anterior, 24 bits de la clave pertenecen a
IV, dejando 232 bits para la protección. Consiste generalmente en 58 caracteres
hexadecimales. (58 x 4 = 232 bits) + 24 bits IV = 256 bits de protección WEP.

El tamaño de clave no es la única limitación de WEP. Crackear una clave larga requiere
interceptar más paquetes, pero hay modos de ataque que incrementan el tráfico
necesario. Hay otras debilidades en WEP, como por ejemplo la posibilidad de colisión
de IV’s o los paquetes alterados, problemas que no se solucionan con claves más largas.

Autenticación [editar]
En el sistema WEP se pueden utilizar dos métodos de autenticación: Sistema Abierto y
Clave Compartida.

Para más claridad hablaremos de la autenticación WEP en el modo de Infraestructura

(por ejemplo, entre un cliente WLAN y un Punto de Acceso), pero se puede aplicar
también al modo Ad-Hoc.

En la autenticación de Sistema Abierto, el cliente WLAN no se tiene que identificar en

el Punto de Acceso durante la autenticación. Así, cualquier cliente, independientemente
de su clave WEP, puede verificarse en el Punto de Acceso y luego intentar conectarse.
En efecto, la no autenticación (en el sentido estricto del término) ocurre. Después de la
autenticación y la asociación, el sistema WEP puede ser usado para cifrar los paquetes
de datos. En este punto, el cliente tiene que tener las claves correctas.

En la autenticación mediante Clave Compartida, WEP es usado para la autenticación.

Este método se puede dividir en cuatro fases:

I) La estación cliente envía una petición de autenticación al Punto de Acceso.

II) El punto de acceso envía de vuelta un texto modelo.

III) El cliente tiene que cifrar el texto modelo usando la clave WEP ya configurada, y
reenviarlo al Punto de Acceso en otra petición de autenticación.

IV) El Punto de Acceso descifra el texto codificado y lo compara con el texto modelo
que había enviado. Dependiendo del éxito de esta comparación, el Punto de Acceso
envía una confirmación o una denegación. Después de la autenticación y la asociación,
WEP puede ser usado para cifrar los paquetes de datos.

A primera vista podría parecer que la autenticación por Clave Compartida es más segura
que la autenticación por Sistema Abierto, ya que éste no ofrece ninguna autenticación
real. Sin embargo, es posible averiguar la clave WEP estática interceptando los cuatro
paquetes de cada una de las fases de la autenticación con Clave Compartida. Por lo tanto
es aconsejable usar la autenticación de Sistema Abierto para la autenticación WEP
(nótese que ambos mecanismos de autenticación son débiles).

Defectos
El principal problema radica en que no implementa adecuadamente el vector de
iniciación del algoritmo RC4, ya que utiliza un enfoque directo y predecible para
incrementar el vector de un paquete a otro. Además existe un problema con el tamaño
de los vectores de iniciación. A pesar de que se pueden generar muchos vectores, la
cantidad de tramas que pasan a través de un punto de acceso es muy grande, lo que hace
que rápidamente se encuentren dos mensajes con el mismo vector de iniciación.
Conociendo los IV utilizados repetidamente y aplicando técnicas relativamente simples
de descifrado puede finalmente vulnerarse la seguridad implementada. Aumentar los
tamaños de las claves de cifrado aumenta el tiempo necesario para romperlo, pero no
resulta imposible el descifrado.
Para atacar una red Wi-Fi se suelen utilizar los llamados Packet sniffers y los WEP
Crackers. Para llevar a cabo este ataque se captura una cantidad de paquetes
determinada (dependerá del número de bits de cifrado) mediante la utilización de un
Packet sniffer y luego mediante un WEP cracker o key cracker se trata de “romper” el
cifrado de la red. Un key cracker es un programa basado generalmente en matemáticas
estadísticas que procesa los paquetes capturados para descifrar la clave WEP. Crackear
una llave más larga requiere la interceptación de más paquetes, pero hay ataques activos
que estimulan el tráfico necesario (envenenadores de ARP).

A pesar de existir otros protocolos de cifrado mucho menos vulnerables y más eficaces,
como pueden ser el WPA o el WPA2, el protocolo WEP sigue siendo muy popular y
posiblemente el más utilizado. Esto se debe a que WEP es fácil de configurar y
cualquier sistema con el estándar 802.11 lo soporta. Sin embargo no ocurre lo mismo
con otros protocolos, como WPA, que no es soportado por muchos dispositivos de red
antiguos. El hardware moderno pasa entonces a utilizar el modelo de seguridad WEP
para ser compatible con hardware de red anteriores. Esto se da principalmente en las
videoconsolas con conexión a Internet.

Evoluciones [editar]
Usado para el cifrado de protocolos de Tunneling (por ejemplo IPsec, o Secure SHell)
puede proporcionar la transmisión de información segura sobre una red insegura. Sin
embargo, las evoluciones de WEP han sido desarrolladas con el objetivo de restaurar la
seguridad de la red inalámbrica.

802.11i (WPA y WPA2)

La solución recomendada para los problemas de seguridad WEP es cambiar a WPA2 o

WPA. Cualquiera es mucho más seguro que WEP. Para utilizar WPA o WPA2, algunos
viejos Puntos de Acceso Wi-Fi podrían tener que ser sustituidos o someterlos a una
actualización de firmware.

Otras alternativas

WEP2

WEP2 usa cifrado y vector de iniciación de 128-bits. Esta mejora de WEP fue
presentada tras los primeros modelos 802.11i. Éste se podía desarrollar sobre algunos
(no todos) tipos de hardware que no eran capaces de manejar WPA o WPA2. Se
esperaba que eliminase la deficiencia del duplicado de IV así como ataques a las claves
por fuerza bruta. Sin embargo, como todavía se basaba en el algoritmo de cifrado RC4,
aún mantenía las mismas vulnerabilidades que WEP.

Después de que quedara claro que el algoritmo WEP era deficiente y requeriría aún más
correcciones, tanto WEP2 como el algoritmo original fueron desechados. Las dos
longitudes de clave ampliadas formaron lo que más adelante se conocería como TKIP
del WPA.
WEP Plus (WEP +)

Es una mejora WEP desarrollada por Agere Systems (anteriormente una filial de Lucent
Technologies) que mejora la seguridad WEP evitando "IV’s débiles". Este protocolo es
completamente eficaz únicamente cuando es usado a ambos extremos de la conexión
inalámbrica. Como esto no es fácil de conseguir, representa una seria limitación. Es
posible que tarde o temprano se logren ataques con éxito al sistema WEP+. Además no
previene necesariamente los ataques de Replay.

WEP dinámico

En este caso las claves WEP cambian de forma dinámica. Cada estación utliza dos
claves: una de asignación y una predeterminada. La clave de asignación se comparte
entre la estación y el punto de acceso, y protege las tramas unidifusión. La clave
predeterminada es compartida por todas las estaciones para proteger las tramas de
difusión y multidifusión. WEP de clave dinámica ofrece ventajas significativas sobre las
soluciones de WEP con clave estática. La más importante se refiere a que reduce el
ámbito de cada clave. Las claves se utilizan con menos frecuencia y se reduce el
compromiso de la clave utilizándola par proteger menos tráfico. Otra ventaja es que a
intervalos periódicos las claves se actualizan en el punto de acceso. Es un sistema
distribuido por algunas marcas comerciales como 3Com.

La idea del cambio dinámico se hizo dentro de 802.11i como parte de TKIP, pero no
para el actual algoritmo WEP.

WPA
WPA (Wi-Fi Protected Access - 1995 - Acceso Protegido Wi-Fi) es un sistema para
proteger las redes inalámbricas (Wi-Fi); creado para corregir las deficiencias del sistema
previo WEP (Wired Equivalent Privacy - Privacidad Equivalente a Cableado). Los
investigadores han encontrado varias debilidades en el algoritmo WEP (tales como la
reutilización del vector de inicialización (IV), del cual se derivan ataques estadísticos
que permiten recuperar la clave WEP, entre otros). WPA implementa la mayoría del
estándar IEEE 802.11i, y fue creado como una medida intermedia para ocupar el lugar
de WEP mientras 802.11i era finalizado. WPA fue creado por "The Wi-Fi Alliance" (La
Alianza Wi-Fi).

WPA adopta la autentificación de usuarios mediante el uso de un servidor, donde se

almacenan las credenciales y contraseñas de los usuarios de la red. Para no obligar al
uso de tal servidor para el despliegue de redes, WPA permite la autentificación
mediante clave compartida ([PSK], Pre-Shared Key), que de un modo similar al WEP,
requiere introducir la misma clave en todos los equipos de la red.

Historia
WPA fue diseñado para utilizar un servidor de autentificación (normalmente un servidor
RADIUS), que distribuye claves diferentes a cada usuario (a través del protocolo 802.1x
); sin embargo, también se puede utilizar en un modo menos seguro de clave pre-
compartida ([PSK] - Pre-Shared Key) para usuarios de casa o pequeña oficina. La
información es cifrada utilizando el algoritmo RC4 (debido a que WPA no elimina el
proceso de cifrado WEP, sólo lo fortalece), con una clave de 128 bits y un vector de
inicialización de 48 bits.

Una de las mejoras sobre WEP, es la implementación del Protocolo de Integridad de

Clave Temporal (TKIP - Temporal Key Integrity Protocol), que cambia claves
dinámicamente a medida que el sistema es utilizado. Cuando esto se combina con un
vector de inicialización (IV) mucho más grande, evita los ataques de recuperación de
clave (ataques estadísticos) a los que es susceptible WEP.

Adicionalmente a la autenticación y cifrado, WPA también mejora la integridad de la

información cifrada. La comprobación de redundancia cíclica (CRC - Cyclic
Redundancy Check) utilizado en WEP es inseguro, ya que es posible alterar la
información y actualizar la CRC del mensaje sin conocer la clave WEP. WPA
implementa un código de integridad del mensaje (MIC - Message Integrity Code),
también conocido como "Michael". Además, WPA incluye protección contra ataques de
"repetición" (replay attacks), ya que incluye un contador de tramas.

Al incrementar el tamaño de las claves, el número de llaves en uso, y al agregar un

sistema de verificación de mensajes, WPA hace que la entrada no autorizada a redes
inalámbricas sea mucho más difícil. El algoritmo Michael fue el más fuerte que los
diseñadores de WPA pudieron crear, bajo la premisa de que debía funcionar en las
tarjetas de red inalámbricas más viejas; sin embargo es suceptible a ataques. Para limitar
este riesgo, los drivers de las estaciones se desconectarán un tiempo definido por el
fabricante, si reciben dos colisiones Michael en menos de 60 segundos, podrán tomar
medidas, como por ejemplo reenviar las claves o dejar de responder durante un tiempo
específico.

Seguridad, Ataques WPA TKIP

TKIP es vulnerable a un ataque de recuperación de keystream, esto es, sería posible
reinyectar tráfico en una red que utilizara WPA TKIP. Esto es posible por diversas
causas, algunas de ellas heredadas de WEP. Entre las causas, cabe destacar la evasión
de las medidas anti reinyección de TKIP y se sigue una metolodogía similar a la
utilizada en el popular ataque CHOP CHOP sobre el protocolo WEP. La evasión de
protección anti reinyección de TKIP es posible debido a los diversos canales que se
utilizan en el modo QoS especificado en el estándar 802.11ie, aunque también existe la
posibilidad de aplicarlo en redes no QoS.

WPA2
Una vez finalizado el nuevo estándar 802.11i se crea el WPA2 basado en este. WPA se
podría considerar de "migración”, mientras que WPA2 es la versión certificada del
estándar de la IEEE.

El estándar 802.11i fue ratificado en Junio de 2004.

La alianza Wi-Fi llama a la versión de clave pre-compartida WPA-Personal y WPA2-
Personal y a la versión con autenticación 802.1x/EAP como WPA-Enterprise y WPA2-
Enterprise.

Los fabricantes comenzaron a producir la nueva generación de puntos de accesos

apoyados en el protocolo WPA2 que utiliza el algoritmo de cifrado AES (Advanced
Encryption Standard). Con este algoritmo será posible cumplir con los requerimientos
de seguridad del gobierno de USA - FIPS140-2. "WPA2 está idealmente pensado para
empresas tanto del sector privado cómo del público. Los productos que son certificados
para WPA2 le dan a los gerentes de TI la seguridad de que la tecnología cumple con
estándares de interoperatividad" declaró Frank Hazlik Managing Director de la Wi-Fi
Alliance. Si bien parte de las organizaciones estaban aguardando esta nueva generación
de productos basados en AES es importante resaltar que los productos certificados para
WPA siguen siendo seguros de acuerdo a lo establecido en el estándar 802.11i

Seguridad Ataques WPA2

Tanto la versión 1 de WPA, como la denominada versión 2 de WPA, se basan en la
transmisión de las autenticaciones soportadas en el elemento de información
correspondiente, en el caso de WPA 1, en el tag propietario de Microsoft, y en el caso
de WPA2 en el tag estándar 802.11i RSN. Durante el intercambio de información en el
proceso de conexión RSN, si el cliente no soporta las autenticaciones que especifica el
AP, será desconectado pudiendo sufrir de esta manera un ataque DoS especifíco a
WPA.

Además, también existe la posibilidad de capturar el 4way handshake que se

intercambia durante el proceso de autenticación en una red con seguridad robusta. Las
claves PSK ( pre compartidas ) son vulnerables a ataques de diccionario ( no así las
empresariales, ya que el servidor RADIUS generará de manera aletaoria dichas claves ),
existen proyectos libres que utilizan GPUs con lenguajes específicos como CUDA para
realizar ataques de fuerza bruta hasta 100 veces más rápido que con computadoras
ordinarias.