Seguridad Wireless

Manual básico configuración WPA en Windows

 Puesto que todos sabemos que Windows mantiene nuevas versiones, hemos estado apunto de retirar este manual, pero no nos engañemos, somos todavía muchos los que usamos el XP, así que de momento lo dejaremos ONLINE.

De sobras esta demostrado que la seguridad en redes inalámbricas mediante conexiones abiertas y encriptadas con cifrado WEP son de un nivel realmente bajo, con lo cual nunca entendí como se pudieron lanzar al mercado este tipo de equipos.

 Ahora bien, al final han empezado a hacernos caso y el nivel de seguridad ha cambiado con la configuración WPA.

 Hay varios tipos pero nos vamos a centrar en las mas sencillas que corresponde a WPA-PSK. Aun así no las tenemos todas consigo sino solo tenéis que leer el manual que hice de seguridad alta wpa.

 Si todavía no lo habéis leído os lo recomiendo. El nivel de seguridad en este caso dependerá del tipo de contraseña que el usuario de a los equipos, aquí ya no vale la cantidad de trafico capturado sino uno en concreto. Pero si la contraseña es muy simple, pues seguiremos estando en pelotas, pero si configuramos una contraseña un poco particular y la cambiamos muy a menudo, las posibilidades que nos rapiñen la conexión es totalmente nula. Puede parecer que esta configuración es algo complicada y que por eso nadie se atreve a hacerlo, pero veréis que es muy fácil. De hecho estadísticamente el numero de redes con encriptación WPA es mínimo y esto no deja de asombrarme. Algunos fabricantes ya incorporan por defecto este tipo de seguridad, por fin nos hicieron caso. Es objetivo de todos estar libremente por tu casa en pelotas sin tener que estar atentos a las miradas de los vecinos pues lo mismo para la conexión a Internet que tanto cuesta al final de mes.

 Con esta configuración ya eliminamos el peligro de la conexiones wireless y este solo se centrara en la conexión a Internet , peligro mucho mas grave de todos pero que no es consideración en este manual. Vosotros ya conocéis de sobras que tipo de firewall y de antivirus os tendréis que poner en vuestros equipos. Para eso yo soy pésimo. Lo que es mas difícil de conseguir es evitar es que algún gracioso le de por enviarnos constantemente ataques de desautentificación entre nuestro ordenador y nuestro router o punto de acceso, pero ya se cansara de probar diccionarios. Y para eso hay una cura muy útil, cambiáis la configuración de WPA a red completamente abierta, esperáis que el gracioso se conecte y le dejáis un regalito en la carpeta de documentos compartidos, seguro se le quitan las ganas de jugar con el aireplay en linux.

 Para acometer este manual partimos de la base que vamos a operar con un router inalámbrico que soporte WPA, aunque también puede valer un punto de acceso, pero esta claro que la conexión a Internet no la da el punto de acceso sino el modem o el router. No vamos a diseñar una gran red de una gran corporación o empresa, simplemente necesitamos establecer una conexión inalámbrica entre un router y un ordenador para poder pasear libremente por la casa si tener que llevar siempre encima un cable de conexión y disfrutar libremente de nuestra ADSL allí donde queramos y si tenéis una buen antena, pues hasta en el parque próximo a vuestras casas. Cuando me refiero a un ordenador pueden ser varios siempre que la conexión del router a Internet lo permita. Cuando llegue el momento Windows establece un apartado para grabar los datos y simplemente mediante una llave de memoria usb podamos introducirla en otro ordenador y este quede configurado de forma automática, pero ya me conocéis y odio los procesos automáticos, así que además de la configuración del router cuando configuremos el ordenador será siempre de forma manual, y si tenemos varios ordenadores pues repetimos el proceso para cada una. Solo es cuestión de minutos, he tardado mas en escribir y en hacer la capturas que realmente en configurar la conexión.

 De la misma forma solo hablare de proceso de autentificación , o sea de la conexión física aunque sea través de ondas de radio entre tarjetas y router, para la asociación es decir el proceso de obtención de IP, de puerta de enlace y de DNS es lo mismo que para cualquier red cableada (ethernet). Y se supone que esto esta mas que explicado. La única diferencia que radica entre estos dos grupos de redes locales corresponde exclusivamente al proceso d establecer la comunicación o sea al medio físico, todo el protocolo de conexión es exactamente el mismo.

 Si habéis pasado a este punto, es que tenéis ya instalada correctamente vuestra tarjeta wireless aunque esta no este operativa, y tampoco es importante saber en estos momentos de que forma esta trabajando, con saber que esta el driver puesto y es el correcto con esto bastara. Recordad la aspa roja que nos indicaba que el sistema había detectado una o mas redes wireless disponibles, o quizás ninguna si todavía no hemos preparado el router inalámbrico.

O en el caso de que no haya ninguna:

Pero en ambos casos la tarjeta ya esta preparada para trabajar, respecto a lo que a nivel de driver se refiere.

Si vuestro punto de acceso o router inalámbrico no soporta WPA mejor podéis dejar de leer. Respecto a las tarjetas tienen que ser realmente viejas como para que no puedan operar de esa forma.

 Cada tarjeta tiene su aplicación personal para poder ser configurada, pero como no podemos establecer un manual para cada aplicación, nosotros lo haremos siempre con el sistema operativo, visto esto no dará una idea correcta de trabajar para cada aplicación. Pero con los pasos aquí explicados y a no ser que sean tarjetas un poco especificas el problema esta mas que resuelto.

 Por lo tanto pasemos a configurar el router inalámbrico y la conexión del ordenador a dicho router. Un grave error que todo el mundo acomete es liarse primero a configurar la tarjeta, pero esto nunca debe de hacerse en primer lugar, lo primero es configurar el router o el punto de acceso, una vez hecho esto, no olvidamos de el y pasamos a configurar las tarjetas. Porque esto es tan importante, muy sencillo, si estamos trabando con una conexión ya cableada el orden casi no importa, pero si estamos trabajando con una conexión inalámbrica ya establecida entre router y tarjeta sea del modo no protegido o sea del modo con seguridad WEP, si cambiamos la configuración de la conexión lógicamente perderemos la conexión al router y no podremos configurarlo. Por lo tanto, primero siempre se debe de configurar el router, la conexión también se perderá pero en este caso ya la recuperamos cuando cambiemos la configuración en el ordenador, pero si lo hacemos al revés, y no tenemos red cableada para ajustar el router tendremos que poner los valores iniciales y el trabajo habrá sido en vano. De la misma forma si estamos operando ya en WPA y queremos cambiar la contraseña primero se debe de cambiar el router y posteriormente en los ordenadores. Y sobre todo si tenemos que configurar varios apartados como es el caso que nos ocupa partiendo de una conexión wireless ya establecida, nunca cambiaremos las dos cosas a la vez, por ejemplo en el caso que nos ocupa, primero modificaremos el apartado de autentificación pero no el del nombre de red y el de canal, puesto que si lo hacemos perderemos la conexión, tendremos que ajustar de nuevo los valores en el ordenador y volver a establecer la conexión al router para modificar el tipo de seguridad en el router y luego vueltas a empezar en el ordenador. Así que si queréis evitar líos hacerlo de forma cableada, y si es una red wifi abierta que queréis pasar a encriptada, modificar solo el apartado de seguridad, luego ya podremos modificar el apartado de canal y nombre de red. Todo depende del manejo que tengamos y de la configuración por defecto del router o la que estemos usando antes de iniciar la configuración WPA-PSK. Solo aconsejo configurar vuestra red wireless con seguridad WEP para analizar los pocos seguras que son, y previo camino para entender la seguridad WPA. Intentar usar el WEP lo menos posible, aunque siempre es mejor que nada.

Cada router es especifico pero siempre se mantienen las mismas secciones principales para gestión de las redes inalámbricas. Para acceder a el usar el mismo navegador y poner la ip que se fijo en la puerta de enlace. O acceder al router como vosotros creáis mas oportuno hacerlo.

 Este apartado es uno de los básicos para el router inalámbrico, que corresponde a la autentificación de seguridad, establecemos que la autentificación sea requerida, el protocolo de seguridad corresponde a WPA-PSK y ponemos una contraseña.

En este caso es lo que diferencia una conexión segura de otra que no lo es. En el análisis de la seguridad WPA y mediante captura y ataque de desautentificación pudimos encontrar la clave ya que era muy fácil para un diccionario, pero mirad en este caso la cantidad de símbolos raros (caracteres especiales) que he puesto, lógicamente no hay ningún diccionario que soporte esto, y mira que estuve probando para genera un súper diccionario con un mínimo de 9 dígitos pero el ordenador se quedaba sin memoria , pues imaginar si le ponemos mas de nueve como es este caso. En el caso que la configuración del router no acepte todos estos símbolos pues lógicamente poner aquello que si son posibles.

 Si al aplicar os sale un error de este tipo:

Esto es debido a que venimos de una conexión con seguridad WEP y antes de nada hay que deshabilitarla. Pero que pasara, pues que si estamos con conexión wifi con WEP perderemos la conexión al router, y de ahí que sea un pesado y diga que la configuración del router siempre es mejor hacerlo de forma cableada.

 Para inhabilitar la WEP:

No es necesario vaciar los valores en Key1-4, pero tampoco esta de mas.

Y en esta caso después de aplicar ya podemos ir a:

Y dejarlo como queremos:

Y el segundo punto importante que se relaciona con conexión wireless en el router sea cual sea el tipo de seguridad corresponde habitualmente a este:

Recordad que estos 2 procesos a la vez solo podrá hacerse si estamos usando una conexión cableada, si usáis una conexión wireless para configurar el router y esta ya esta establecida tanto sea abierta , wep o wpa (para solo modificar la contraseña puesto que lógicamente ya estará todo bien configurado), no toquéis nada de este apartado, solo del otro. En un futuro si os da por cambiar el canal y el nombre de red wireless, pues ya podéis venir a este apartado y cambiarlo, y por supuesto después en los ordenadores.

Habilitamos la conexión wireless, se supone que si el acceso fue mediante conexión wireless, este ya estará establecido, pero si es por acceso de red cableada quizás lo mas normal es que no lo este.

 Poner un nombre de red wireless (ESSID) , elegimos el canal que queramos y si queremos ocultar el ESSID para que no lo mita pues lo hacemos y si no pues no. Hoy en día esto ya no es tan importante, cualquier herramienta básica de captura te lo intenta comunicar, pero como trabajamos en Windows os podéis liar un poco si el nombre de la red inalámbrica esta oculto, por lo tanto yo lo dejaría visible, es decir "No a ocultar ESSID", en un futuro vosotros ya podréis decidirlo, pero realmente es una tontería a mi modo de pensar.

Nota: como veréis estas 2 ventanas siempre están relacionados y cualquier cambio en una afecta a la otra.

 Ahora pasaremos a configurar las tarjetas. O bien "Inicio" - "Todos los programas" - "Accesorios" - "Comunicaciones" - "Configurar red inalámbrica". O bien:

 Pinchamos en "Conexiones de red e Internet" y:

Pinchamos en "Configurar red inalámbrica". Con lo que lanzara el "Asistente para redes inalámbricas".

Pinchamos en "Siguiente" y:

 Seleccionamos la opción de configura una nueva red inalámbrica, y si esta ya esta establecida y solo queremos modificar pues seleccionamos "Agregar nuevos equipos". Pero aconsejo siempre usar la primera opción, aunque ya partamos de una conexión inicial.

Ponemos el Nombre de red al igual que en el router y cambiamos algunas cosas tales como:

Pinchamos en siguiente.

 Introducimos la contraseña para el cifrado, podemos esconder los caracteres o no, según vosotros creías.

Pasamos de la unidad USB y seleccionamos "Configurar una red manualmente".

 Y pinchamos en "Siguiente". Al cabo de casi nada el asistente nos indica que la configuración finalizo correctamente. A mi nunca me salio un error con problemas en la configuración así que no tengo captura de ello.

 En cualquier momento podemos cancelar e iniciar el asistente mas tarde.

Podemos imprimir la configuración por si tenemos mala memoria, sobre todo de las contraseña utilizada. Y simplemente pulsamos "Finalizar".

Vemos que la conexión ya es real, y se pone de manifiesto en un icono de la Área de notificación de la barra de tareas.

Aun así para comprobarlo, pinchamos sobre ese icono. Y si ese icono no saliera podemos hacerlo mediante acceso al panal de control y en conexiones de red y veréis fácilmente el icono que caracteriza a este tipo de conexión inalámbrica, pues simplemente pincháis en el y también os saldrá las misma pantalla. Pero siempre sale el icono a menos que este ocultado por nosotros.

 Si el nombre de red wireless hubiera sido configurado como oculto. Se vería de esta forma:

Recordad que si es la primera vez que configuráis una red wireless con seguridad WPA-PSK es mejor no ocultar el nombre de red, una vez que se haya finalizado el proceso y comprobemos que nuestra conexión a Internet esta establecida podemos volver al router y ocultar el nombre, recordad en el caso que estamos viendo y con este súper router seria: "Hide ESSID" debe de estar seleccionado. En el supuesto que la conexión no se produzca de manera automática, en esta ventana vemos que podemos actualizar la lista de redes, conectar y desconectar nuestro equipo de cualquier red, así como cambiar a configuración avanzada y gestionar todo el protocolo de comunicación TCP/IP. En este caso la conexión se produzco de manera automática pero esta captura se hizo después de haber desconectado la red para que pudierais ver el botón  "Conectar" y como debe de hacerse por si no se ha conectado a la primera.

 Pues ya esta es que no hay mas. Si queréis lo vemos con el Netstumbler y el airodump.

En esta caso el NetStumbler no acierta ni a la de dos. Por eso Kismet (GNU/Linux) y airodump (Windows/Linux) es mejor, además que no te da los clientes, pero si es el mejor para analizar los problemas de señal.
 

Podemos analizar la conexión y la cobertura.

 Es bastante buena. Incluso si hacemos un test de velocidad nos daría un resultado similar a una red cableada.

 Lo analizamos con el airodump, siempre que tengamos otra tarjeta que acepte el modo monitor en Windows, nunca con la misma que usamos para la conexión normal con seguridad WPA-PSK:

 En esta caso el airodump si acierta con el tipo de seguridad. Además podemos comprobar que los clientes que hay son solo los nuestros.

 Con el airodump se analizan los clientes inalámbricos, pero para mas seguridad podemos usar "el Look@LAN" y comprar todos los clientes asociados que pueda haber en la red. En este caso vemos que nadie mas esta asociado a nuestra red.

 Solo esta el router (NOT WIN) y mi ordenador (WINDOWS). Y ya de paso analizamos el router y nos vale para entender como funciona este programa. También se complementa este programa con el "IP Scanner" que incluso te dan nombres de trabajo y de equipos, pero siempre para elementos conectados en la misma red, o sea autentificados y asociados.

¡ Mas cosas abiertas en mi instalación para acceso externo a mis equipos ya no puede haber en mi sistema ¡

Pero este tipo de seguridad correspondería a otro portal Web y seguro vosotros sabéis mas que yo de esto, y además este equipo con el que estoy haciendo el manual lo uso de conejillo para pruebas de IIS (y mas cosas) y es tan viejo que si le pongo firewall y antivirus no hay manera que pueda navegar medianamente rápido.

 También de paso observamos la información que nos da del router. Solo presento la ventana principal, pero pinchando con el ratón en cualquiera de ellas se obtiene mucho mas información.

La configuración y el manual para WPA en Windows XP profesional con Service Pack 2 acabo mucho antes, pero hemos intentado aprovechar para añadir algunos elementos extras mas, y ver algunas herramientas que muchos usan para conocer información de nuestro equipo, pero esto, esta claro que solo se puede hacer si estas autentificado y asociado, cosa difícil de conseguir que nos hagan si estamos con seguridad con WPA-PSK, con una matización, siempre que hayamos puesto una clave muy difícil y rara. Y además podemos usar esta herramientas para nuestro propio análisis de comprobación de seguridad y comprobar que no hay ningún parásito en nuestra conexión wireless.

 Si comparáis este manual con el Manual básico configuración WEP en Windows XP SP2 es muy similar y el contenido es casi es el mismo, por lo tanto con el mismo trabajo tenemos una seguridad mucho mas alta. El otro manual es ideal para iniciarse en las conexiones de redes inalámbricas y el estudio de la auditoria wireless.