Proteger la red WiFi de su hogar contra piratería. ¡Aumentamos la seguridad al máximo! Amenazas y riesgos de seguridad inalámbrica

Para proteger su red Wi-Fi y establecer una contraseña, debe seleccionar el tipo de seguridad de la red inalámbrica y el método de cifrado. Y en esta etapa, mucha gente tiene una pregunta: ¿cuál elegir? ¿WEP, WPA o WPA2? ¿Personal o Empresarial? ¿AES o TKIP? ¿Qué configuraciones de seguridad protegerán mejor su red Wi-Fi? Intentaré responder a todas estas preguntas en el marco de este artículo. Consideremos todos los métodos posibles de autenticación y cifrado. Averigüemos qué parámetros de seguridad de la red Wi-Fi se configuran mejor en la configuración del enrutador.

Tenga en cuenta que el tipo de seguridad, o autenticación, autenticación de red, protección y método de autenticación son todos lo mismo.

El tipo de autenticación y el cifrado son las principales configuraciones de seguridad para una red Wi-Fi inalámbrica. Creo que primero debemos averiguar qué son, qué versiones hay, sus capacidades, etc. Después de lo cual descubriremos qué tipo de protección y cifrado elegir. Te lo mostraré usando el ejemplo de varios enrutadores populares.

Recomiendo encarecidamente configurar una contraseña y proteger su red inalámbrica. Establezca el nivel máximo de protección. Si deja la red abierta, sin protección, cualquiera podrá conectarse a ella. Esto es principalmente inseguro. Y también una carga extra en tu router, una caída en la velocidad de conexión y todo tipo de problemas al conectar diferentes dispositivos.

Protección de red Wi-Fi: WEP, WPA, WPA2

Hay tres opciones de protección. Eso sí, sin contar “Open” (Sin protección).

• WEP(Privacidad equivalente por cable) es un método de autenticación obsoleto e inseguro. Este es el primer método de protección y no muy exitoso. Los atacantes pueden acceder fácilmente a redes inalámbricas protegidas mediante WEP. No es necesario configurar este modo en la configuración de su enrutador, aunque está presente allí (no siempre).
• WPA(Acceso protegido Wi-Fi) es un tipo de seguridad confiable y moderno. Máxima compatibilidad con todos los dispositivos y sistemas operativos.
• WPA2– una versión nueva, mejorada y más confiable de WPA. Hay soporte para el cifrado AES CCMP. Por el momento, esta es la mejor forma de proteger una red Wi-Fi. Esto es lo que recomiendo usar.

WPA/WPA2 puede ser de dos tipos:

• WPA/WPA2 - Personal (PSK) Este es el método de autenticación normal. Cuando solo necesita establecer una contraseña (clave) y luego usarla para conectarse a una red Wi-Fi. Se utiliza la misma contraseña para todos los dispositivos. La contraseña en sí se almacena en los dispositivos. Dónde podrás verlo o cambiarlo si es necesario. Se recomienda utilizar esta opción.
• WPA/WPA2 - Empresa- un método más complejo que se utiliza principalmente para proteger redes inalámbricas en oficinas y diversos establecimientos. Permite un mayor nivel de protección. Se usa solo cuando se instala un servidor RADIUS para autorizar dispositivos (que da contraseñas).

Creo que hemos descubierto el método de autenticación. Lo mejor que puedes usar es WPA2 - Personal (PSK). Para una mejor compatibilidad, para que no haya problemas al conectar dispositivos más antiguos, puede configurar el modo mixto WPA/WPA2. Esta es la configuración predeterminada en muchos enrutadores. O marcado como "Recomendado".

Cifrado de red inalámbrica

Hay dos maneras TKIP Y AES.

Se recomienda utilizar AES. Si tiene dispositivos más antiguos en su red que no admiten el cifrado AES (pero solo TKIP) y habrá problemas para conectarlos a la red inalámbrica, configúrelo en "Auto". El tipo de cifrado TKIP no se admite en el modo 802.11n.

En cualquier caso, si instala estrictamente WPA2 - Personal (recomendado), solo estará disponible el cifrado AES.

¿Qué protección debo instalar en mi router Wi-Fi?

Usar WPA2 - Personal con cifrado AES. Hoy en día, esta es la mejor y más segura forma. Así es como se ven las configuraciones de seguridad de la red inalámbrica en los enrutadores ASUS:

Y así lucen estas configuraciones de seguridad en los enrutadores de TP-Link (con firmware antiguo).

Puede ver instrucciones más detalladas para TP-Link.

Instrucciones para otros enrutadores:

Si no sabes dónde encontrar todas estas configuraciones en tu enrutador, escribe en los comentarios, intentaré decírtelo. No olvides especificar el modelo.

Dado que es posible que los dispositivos más antiguos (adaptadores Wi-Fi, teléfonos, tabletas, etc.) no admitan WPA2 - Personal (AES), en caso de problemas de conexión, configure el modo mixto (Auto).

A menudo noto que después de cambiar la contraseña u otras configuraciones de seguridad, los dispositivos no quieren conectarse a la red. Las computadoras pueden recibir el error "La configuración de red guardada en esta computadora no cumple con los requisitos de esta red". Intente eliminar (olvidar) la red en el dispositivo y conectarse nuevamente. Escribí cómo hacer esto en Windows 7. Pero en Windows 10 necesitas.

Contraseña (clave) WPA PSK

Cualquiera que sea el tipo de método de seguridad y cifrado que elija, debe establecer una contraseña. También conocida como clave WPA, contraseña inalámbrica, clave de seguridad de red Wi-Fi, etc.

La longitud de la contraseña es de 8 a 32 caracteres. Puedes utilizar letras del alfabeto latino y números. También caracteres especiales: - @ $ # ! etc. ¡Sin espacios! ¡La contraseña distingue entre mayúsculas y minúsculas! Esto significa que "z" y "Z" son caracteres diferentes.

No recomiendo establecer contraseñas simples. Es mejor crear una contraseña segura que nadie pueda adivinar, incluso si se esfuerza.

Es poco probable que pueda recordar una contraseña tan compleja. Sería bueno escribirlo en alguna parte. No es raro que simplemente se olviden las contraseñas de Wi-Fi. Escribí en el artículo qué hacer en tales situaciones: .

Si necesita aún más seguridad, puede utilizar el enlace de dirección MAC. Es cierto que no veo la necesidad de esto. WPA2: personal emparejado con AES y una contraseña compleja es suficiente.

¿Cómo proteges tu red Wi-Fi? Escribe en los comentarios. Bueno, haz preguntas :)

Actualmente, la mayoría de las empresas y negocios prestan cada vez más atención al uso directo de redes Wi-Fi. Esto se debe a la conveniencia, movilidad y relativa economía de conectar oficinas individuales y la posibilidad de moverlas dentro del alcance del equipo. Las redes Wi-Fi utilizan modelos matemáticos algorítmicos complejos para la autenticación, el cifrado de datos y el control de la integridad de su transmisión, lo que le permitirá estar relativamente tranquilo sobre la seguridad de los datos al utilizar esta tecnología.

Análisis de seguridad de redes inalámbricas.

Actualmente, la mayoría de las empresas y negocios prestan cada vez más atención al uso directo de redes Wi-Fi. Esto se debe a la conveniencia, movilidad y relativa economía de conectar oficinas individuales y la posibilidad de moverlas dentro del alcance del equipo. Las redes Wi-Fi utilizan modelos matemáticos algorítmicos complejos para la autenticación, el cifrado de datos y el control de la integridad de su transmisión, lo que le permitirá estar relativamente tranquilo sobre la seguridad de los datos al utilizar esta tecnología.

Sin embargo, esta seguridad es relativa si no prestas la debida atención a la configuración de tu red inalámbrica. En este punto, ya existe una lista de características "estándar" que un pirata informático puede obtener si es negligente al configurar una red inalámbrica:

Acceso a recursos de la red local;

Escuchar, robar tráfico (es decir, directamente tráfico de Internet);

Distorsión de la información que pasa por la red;

Introducir un punto de acceso falso;

Un poco de teoría.

1997: se publica el primer estándar IEEE 802.11. Opciones de protección de acceso a la red:

1. Se utilizó una contraseña SSID (ID de conjunto de servidores) simple para acceder a la red local. Esta opción no proporciona el nivel de protección requerido, especialmente para el nivel actual de tecnología.

2. Uso de WEP (Privacidad equivalente a cable): es decir, el uso de claves digitales para cifrar flujos de datos mediante esta función. Las claves en sí son contraseñas normales con una longitud de 5 a 13 caracteres ASCII, lo que corresponde a un cifrado de 40 o 104 bits a nivel estático.

2001: introducción del nuevo estándar IEEE 802.1X. Este estándar utiliza claves de cifrado dinámicas de 128 bits, es decir, que cambian periódicamente con el tiempo. La idea básica es que un usuario de la red trabaja en sesiones, al finalizar las cuales se le envía una nueva clave; el tiempo de la sesión depende del sistema operativo (Windows XP; de forma predeterminada, el tiempo de una sesión es de 30 minutos).

Actualmente existen estándares 802.11:

802.11: el estándar base original. Soporta la transmisión de datos a través del canal de radio a velocidades de 1 y 2 Mbit/s.

802.11a: estándar WLAN de alta velocidad. Admite la transmisión de datos a velocidades de hasta 54 Mbit/s a través de un canal de radio en el rango de aproximadamente 5 GHz.

I802.11b: el estándar más común. Admite la transmisión de datos a velocidades de hasta 11 Mbit/s a través de un canal de radio en el rango de aproximadamente 2,4 GHz.

802.11e: requisito de calidad requerido para todas las interfaces de radio IEEE WLAN

802.11f: estándar que describe el orden de comunicación entre puntos de acceso de pares.

802.11g: establece una técnica de modulación adicional para la frecuencia de 2,4 GHz. Diseñado para proporcionar velocidades de transmisión de datos de hasta 54 Mbit/s a través de un canal de radio en el rango de aproximadamente 2,4 GHz.

802.11h: estándar que describe la gestión del espectro de 5 GHz para su uso en Europa y Asia.

802.11i (WPA2): estándar que corrige los problemas de seguridad existentes en las áreas de protocolos de autenticación y cifrado. Afecta a los protocolos 802.1X, TKIP y AES.

Actualmente, se utilizan ampliamente 4 estándares: 802.11, 802.11a, 802.11b, 802.11g.

2003: se introdujo el estándar WPA (Acceso protegido Wi-Fi), que combina los beneficios de la renovación dinámica de claves IEEE 802.1X con codificación TKIP (Protocolo de integridad de clave temporal), Protocolo de autenticación extensible (EAP) y tecnología de verificación de integridad de mensajes MIC ( Verificación de integridad del mensaje).

Además, se están desarrollando en paralelo muchos estándares de seguridad independientes de varios desarrolladores. Los líderes son gigantes como Intel y Cisco.

2004: aparece WPA2, o 802.11i, el estándar más seguro en este momento.

Tecnologías para la protección de redes Fi-Wi.

WEP

Esta tecnología fue desarrollada específicamente para cifrar el flujo de datos transmitidos dentro de una red local. Los datos se cifran con una clave de 40 a 104 bits. Pero ésta no es toda la clave, sino sólo su componente estático. Para mejorar la seguridad, se utiliza el llamado vector de inicialización IV (vector de inicialización), que está diseñado para aleatorizar una parte adicional de la clave, lo que proporciona diferentes variaciones del cifrado para diferentes paquetes de datos. Este vector es de 24 bits. Así, como resultado, obtenemos un cifrado general con una profundidad de bits de 64 (40+24) a 128 (104+24) bits, lo que nos permite operar durante el cifrado tanto con caracteres constantes como seleccionados aleatoriamente. Pero, por otro lado, 24 bits son solo ~16 millones de combinaciones (2 24 potencias), es decir, una vez que expira el ciclo de generación de claves, comienza un nuevo ciclo. La piratería se realiza de forma bastante sencilla:

1) Encontrar una repetición (tiempo mínimo, para una clave de 40 bits, a partir de 10 minutos).

2) Hackear el resto de la parte (esencialmente segundos)

3) Puedes infiltrarte en la red de otra persona.

Al mismo tiempo, existen utilidades bastante comunes para descifrar la clave, como WEPcrack.

802.1X

IEEE 802.1X es el estándar fundamental para redes inalámbricas. Actualmente es compatible con Windows XP y Windows Server 2003.

802.1X y 802.11 son estándares compatibles. 802.1X utiliza el mismo algoritmo que WEP, es decir, RC4, pero con algunas diferencias (mayor “movilidad”, es decir, es posible conectar incluso un dispositivo PDA a la red) y correcciones (pirateo WEP, etc.) p.).

802.1X se basa en el Protocolo de autenticación extensible (EAP), Seguridad de la capa de transporte (TLS) y RADIUS (Servicio de usuario de acceso telefónico remoto).

Una vez que el usuario ha pasado la etapa de autenticación, se le envía una clave secreta en forma cifrada durante un breve período de tiempo: el tiempo de la sesión válida actualmente. Al finalizar esta sesión, se genera una nueva clave y se envía nuevamente al usuario. El protocolo de seguridad de la capa de transporte TLS proporciona autenticación mutua e integridad de la transmisión de datos. Todas las claves son de 128 bits.

Por separado, es necesario mencionar la seguridad de RADIUS: se basa en el protocolo UDP (y por lo tanto es relativamente rápido), el proceso de autorización ocurre en el contexto del proceso de autenticación (es decir, no existe autorización como tal), la implementación La versión del servidor RADIUS se centra en el servicio al cliente de proceso único (aunque es posible y multiproceso; la pregunta aún está abierta), admite un número bastante limitado de tipos de autenticación (texto sin cifrar y CHAP) y tiene un grado de seguridad promedio. . En RADIUS, solo se cifran las contraseñas en texto claro, el resto del paquete permanece "abierto" (desde el punto de vista de la seguridad, incluso el nombre de usuario es un parámetro muy importante, pero CHAP es un asunto aparte. La idea es que no haya texto claro). La contraseña en cualquier forma nunca se transmitirá a través de la red. Es decir: al autenticar a un usuario, el cliente envía a la máquina del usuario un cierto desafío (una secuencia aleatoria arbitraria de caracteres), el usuario ingresa una contraseña y con este desafío la máquina del usuario realiza. ciertas acciones de cifrado utilizando la contraseña ingresada (normalmente se trata de un cifrado normal que utiliza el algoritmo MD5 (RFC-1321). Esta respuesta se envía de vuelta al cliente, y el cliente envía todo (desafío y respuesta) al servidor 3A para su autenticación (Autenticación). , Autorización, Contabilidad). lado contraseña de usuario) realiza las mismas acciones con Challeng y compara su Respuesta con la recibida del cliente: converge - el usuario está autenticado, no - rechazo. Por lo tanto, sólo el usuario y el servidor 3A conocen la contraseña en texto sin cifrar, y la contraseña en texto sin cifrar no "viaja" a través de la red y no puede ser pirateada.

WPA

WPA (Acceso protegido Wi-Fi) es un estándar temporal (tecnología para el acceso seguro a redes inalámbricas), que es transitorio a IEEE 802.11i. Básicamente, WPA combina:

802.1X es el estándar fundamental para redes inalámbricas;

EAP: protocolo de autenticación extensible;

TKIP: Protocolo de integridad de clave temporal;

MIC es una tecnología para verificar la integridad de los mensajes (Message Integrity Check).

Los módulos principales son TKIP y MIC. El estándar TKIP utiliza claves de 128 bits seleccionadas automáticamente que se generan de manera impredecible y tienen aproximadamente 500 mil millones de variaciones. Un complejo sistema jerárquico de algoritmo de selección de claves y su reemplazo dinámico cada 10 KB (10 mil paquetes transmitidos) hacen que el sistema sea máximamente seguro. La tecnología Message Integrity Check también protege contra la penetración externa y los cambios en la información. Un algoritmo matemático bastante complejo le permite comparar los datos enviados en un punto y recibidos en otro. Si se notan cambios y el resultado de la comparación no coincide, dichos datos se consideran falsos y se descartan.

Es cierto que TKIP no es el mejor en implementar el cifrado ahora, debido a la nueva tecnología de Estándar de cifrado avanzado (AES) utilizada anteriormente en las VPN.

vpn

Intel propuso la tecnología VPN (red privada virtual) para proporcionar conexiones seguras entre los sistemas cliente y los servidores a través de canales públicos de Internet. La VPN es probablemente una de las más fiables en términos de cifrado y fiabilidad de autenticación.

Existen varias tecnologías de cifrado utilizadas en las VPN, las más populares se describen mediante los protocolos PPTP, L2TP e IPSec con algoritmos de cifrado DES, Triple DES, AES y MD5. La seguridad IP (IPSec) se utiliza aproximadamente entre el 65 y el 70 % del tiempo. Con su ayuda se garantiza casi la máxima seguridad de la línea de comunicación.

La tecnología VPN no fue diseñada específicamente para Wi-Fi; se puede usar para cualquier tipo de red, pero proteger las redes inalámbricas con su ayuda es la solución más correcta.

Ya se ha lanzado una cantidad bastante grande de software (Windows NT/2000/XP, Sun Solaris, Linux) y hardware para VPN. Para implementar la protección VPN dentro de una red, es necesario instalar una puerta de enlace VPN especial (software o hardware), en la que se crean túneles, uno para cada usuario. Por ejemplo, para redes inalámbricas, la puerta de enlace debe instalarse directamente frente al punto de acceso. Y los usuarios de la red necesitan instalar programas cliente especiales, que a su vez también funcionan fuera de la red inalámbrica y el descifrado se realiza más allá de sus fronteras. Aunque todo esto es bastante engorroso, es muy fiable. Pero como todo tiene sus inconvenientes, en este caso son dos:

La necesidad de una administración bastante amplia;

Reducir la capacidad del canal en un 30-40%.

Aparte de eso, una VPN es una opción bastante clara. Además, recientemente, el desarrollo de equipos VPN va precisamente en la dirección de mejorar la seguridad y la movilidad. La solución VPN IPsec completa de la serie Cisco VPN 5000 es un excelente ejemplo. Además, esta línea incluye sólo la única solución VPN basada en cliente actualmente compatible con Windows 95/98/NT/2000, MacOS, Linux y Solaris. Además, con todos los productos VPN 5000 se incluye una licencia gratuita para utilizar la marca y distribuir el software cliente VPN IPsec, lo cual también es importante.

Puntos clave sobre la protección de las redes Fi-Wi de una organización.

A la luz de todo lo anterior, puede asegurarse de que los mecanismos y tecnologías de protección disponibles actualmente le permitan garantizar la seguridad de su red cuando utilice Fi-Wi. Naturalmente, si los administradores no se basan sólo en la configuración básica, sino que se encargan de realizar ajustes. Por supuesto, no se puede decir que de esta manera su red se convierta en un bastión inexpugnable, pero al asignar fondos suficientemente importantes para el equipo, tiempo para la configuración y, por supuesto, para el monitoreo constante, puede garantizar la seguridad con una probabilidad de aproximadamente 95%.

Puntos clave a la hora de organizar y configurar una red Wi-Fi que no se deben descuidar:

- Seleccionar e instalar un punto de acceso:

> antes de comprar, lea atentamente la documentación y la información disponible actualmente sobre los agujeros en la implementación del software para esta clase de equipo (el conocido ejemplo de un agujero en el IOS de los routers Cisco que permite a un atacante acceder a la hoja de configuración) . Podría tener sentido limitarse a comprar una opción más económica y actualizar el sistema operativo del dispositivo de red;

> explorar protocolos compatibles y tecnologías de cifrado;

> siempre que sea posible, compre dispositivos que utilicen WPA2 y 802.11i, ya que utilizan una nueva tecnología de seguridad: Estándar de cifrado avanzado (AES). Por el momento, estos pueden ser puntos de acceso (AP) de doble banda a las redes IEEE 802.11a/b/g Cisco Aironet 1130AG y 1230AG. Estos dispositivos son compatibles con el estándar de seguridad IEEE 802.11i, la tecnología de protección contra intrusiones Wi-Fi Protected Access 2 (WPA2) que utiliza el estándar de cifrado avanzado (AES) y garantizan capacidad para satisfacer las más altas demandas de los usuarios de LAN inalámbrica. Los nuevos AP aprovechan las tecnologías IEEE 802.11a/b/g de doble banda y siguen siendo totalmente compatibles con versiones anteriores de dispositivos que ejecutan IEEE 802.11b;

> preparar previamente las máquinas del cliente para que funcionen junto con el equipo adquirido. Es posible que el sistema operativo o los controladores no admitan algunas tecnologías de cifrado en este momento. Esto ayudará a evitar perder tiempo al implementar la red;

> no instale un punto de acceso fuera del firewall;

> Ubique antenas dentro de las paredes del edificio y limite la potencia de radio para reducir la probabilidad de conexión desde el exterior.

> utilice antenas direccionales, no utilice el canal de radio predeterminado.

- Configuración del punto de acceso:

> si su punto de acceso le permite negar el acceso a su configuración a través de una conexión inalámbrica, utilice esta función. Inicialmente, no permita que un pirata informático controle nodos clave a través de radio cuando se infiltre en su red. Deshabilite los protocolos de transmisión de radio como SNMP, interfaz de administración web y telnet;

> asegúrese (!) de utilizar una contraseña compleja para acceder a la configuración del punto de acceso;

> si el punto de acceso le permite controlar el acceso de los clientes mediante direcciones MAC, asegúrese de utilizarlo;

> si el equipo le permite prohibir la transmisión del SSID, asegúrese de hacerlo. Pero al mismo tiempo, un hacker siempre tiene la oportunidad de obtener el SSID al conectarse como cliente legítimo;

> la política de seguridad debería prohibir a los clientes inalámbricos realizar conexiones ad hoc (dichas redes permiten que dos o más estaciones se conecten directamente entre sí, sin pasar por los puntos de acceso que dirigen su tráfico). Los piratas informáticos pueden utilizar varios tipos de ataques contra sistemas que utilizan conexiones ad-hoc. El principal problema de las redes ad-hoc es la falta de identificación. Estas redes pueden permitir que un pirata informático realice ataques de intermediario, denegación de servicio (DoS) y/o comprometa los sistemas.

- Seleccionar una configuración dependiendo de la tecnología:

> si es posible, deniegue el acceso a los clientes con SSID;

> si no hay otra opción, asegúrese de habilitar al menos WEP, pero no menos de 128 bits.

> si, al instalar los controladores de dispositivos de red, se le ofrece la posibilidad de elegir entre tres tecnologías de cifrado: WEP, WEP/WPA y WPA, seleccione WPA;

> si la configuración del dispositivo ofrece la opción: “Clave compartida” (es posible interceptar la clave WEP, que es la misma para todos los clientes) y “Sistema abierto” (es posible integrarse en la red si se conoce el SSID ) - seleccione “Clave compartida”. En este caso (si utiliza autenticación WEP), lo más recomendable es habilitar el filtrado por dirección MAC;

> Si su red no es grande, puede elegir Clave precompartida (PSK).

> si es posible utilizar 802.1X. Sin embargo, al configurar un servidor RADIUS, es recomendable seleccionar el tipo de autenticación CHAP;

> el nivel máximo de seguridad en este momento lo proporciona el uso de VPN: utilice esta tecnología.

- Contraseñas y claves:

> cuando utilice un SSID, cumpla con los mismos requisitos que la protección con contraseña: el SSID debe ser único (¡no olvide que el SSID no está cifrado y puede interceptarse fácilmente!);

> utilice siempre las teclas más largas posibles. No utilice claves de menos de 128 bits;

> no se olvide de la protección con contraseña: utilice un generador de contraseñas, cámbielas después de un cierto período de tiempo, mantenga las contraseñas en secreto;

> en la configuración suele haber una opción entre cuatro claves predefinidas: úselas todas y cámbielas según un algoritmo determinado. Si es posible, no se centre en los días de la semana (en cualquier organización siempre hay personas que trabajan los fines de semana; ¿qué impide la implementación de la red en estos días?).

> Intente utilizar claves largas que cambien dinámicamente. Si utiliza claves y contraseñas estáticas, cámbielas después de un cierto período de tiempo.

> instruir a los usuarios a mantener la confidencialidad de las contraseñas y claves. Es especialmente importante si algunas personas usan computadoras portátiles que tienen en casa para iniciar sesión.

- Configuración de red:

> utilice NetBEUI para organizar recursos compartidos. Si esto no contradice el concepto de su red, no utilice el protocolo TCP/IP en redes inalámbricas para organizar carpetas e impresoras compartidas.

> no permitir el acceso de invitados a recursos compartidos;

> intente no utilizar DHCP en su red inalámbrica; utilice direcciones IP estáticas;

> limitar el número de protocolos dentro de la WLAN solo a los necesarios.

- General:

> utilizar cortafuegos en todos los clientes de la red inalámbrica, o al menos activar el cortafuegos para XP;

> monitorear periódicamente las vulnerabilidades, actualizaciones, firmware y controladores de sus dispositivos;

> utilizar escáneres de seguridad periódicamente para identificar problemas ocultos;

> Determinar las herramientas para realizar escaneos inalámbricos y con qué frecuencia realizar estos escaneos. El escaneo inalámbrico puede ayudar a localizar puntos de acceso no autorizados.

> si las finanzas de su organización lo permiten, compre sistemas de detección de intrusos (IDS, IntrusionDetection System), como por ejemplo:

CiscoWorks Wireless LAN Solution Engine (WLSE), que incluye varias funciones nuevas: autorreparación, detección avanzada de manipulación, inspección automatizada del sitio, espera activa y seguimiento de clientes con informes en tiempo real.
CiscoWorks WLSE es una solución centralizada a nivel de sistema para administrar toda la infraestructura inalámbrica basada en productos Cisco Aironet. Las capacidades avanzadas de administración de dispositivos y radio respaldadas por CiscoWorks WLSE simplifican las operaciones de red inalámbrica en curso, permiten una implementación perfecta, mejoran la seguridad y garantizan la máxima disponibilidad al tiempo que reducen los costos operativos y de implementación.

El sistema Hitachi AirLocation utiliza una red IEEE802.11b y es capaz de funcionar tanto en interiores como en exteriores. La precisión para determinar las coordenadas de un objeto, según los desarrolladores, es de 1 a 3 m, algo más precisa que la característica similar de los sistemas GPS. El sistema consta de un servidor de determinación de coordenadas, un servidor de control, un conjunto de varias estaciones base, un conjunto de equipos WLAN y software especializado. El precio mínimo del kit es de unos 46,3 mil dólares. El sistema determina la ubicación del dispositivo requerido y la distancia entre este y cada punto de acceso calculando el tiempo de respuesta del terminal a las señales enviadas por puntos conectados a la red con una distancia entre nodos de. 100-200 metros. Por lo tanto, para una ubicación suficientemente precisa del terminal son suficientes sólo tres puntos de acceso.

Sí, los precios de dichos equipos son bastante altos, pero cualquier empresa seria puede decidir gastar esta cantidad para tener confianza en la seguridad de su red inalámbrica.

Dado que las redes inalámbricas utilizan ondas de radio, la calidad de la red depende de muchos factores. El ejemplo más llamativo es la interferencia de las señales de radio, que puede degradar significativamente el rendimiento y el número de usuarios admitidos, hasta llegar a la total imposibilidad de utilizar la red. La fuente de interferencia puede ser cualquier dispositivo que emita una señal de potencia suficiente en el mismo rango de frecuencia que el punto de acceso: desde puntos de acceso vecinos en un centro de oficinas densamente poblado hasta motores eléctricos en producción, auriculares Bluetooth e incluso hornos microondas. Por otro lado, los atacantes pueden utilizar la interferencia para lanzar un ataque DoS en la red.
Los extranjeros que operan en el mismo canal que los puntos de acceso legítimos no sólo permiten el acceso a la red, sino que también interrumpen la funcionalidad de la red inalámbrica "correcta". Además, para atacar a los usuarios finales y penetrar en la red mediante el ataque Man-In-The Middle, los atacantes a menudo bloquean los puntos de acceso de una red legítima, dejando solo uno: su punto de acceso con el mismo nombre de red.

Conexión

Además de las interferencias, existen otros aspectos que afectan la calidad de la comunicación en las redes inalámbricas. Debido a que el entorno inalámbrico es un entorno compartido, cada cliente mal configurado o antena de punto de acceso fallida puede causar problemas tanto en la capa física como en la de enlace de datos, lo que resulta en un servicio deficiente para otros clientes en la red.

¿Qué hacer?

En resumen, las redes inalámbricas dan lugar a nuevas clases de riesgos y amenazas que no pueden protegerse mediante medios cableados tradicionales. Incluso si Wi-Fi está formalmente prohibido en una organización, esto no significa que uno de los usuarios no instale un extraño y, por lo tanto, reduzca a cero todas las inversiones en seguridad de la red. Además, debido a la naturaleza de las comunicaciones inalámbricas, es importante controlar no sólo la seguridad de la infraestructura de acceso, sino también monitorear a los usuarios que pueden convertirse en el objetivo de un ataque por parte de un atacante o que simplemente pueden cambiar accidental o intencionalmente de la red corporativa a una conexión no segura.
seguridad Agregar etiquetas

Una de las principales preocupaciones de todas las LAN inalámbricas (y de todas las LAN cableadas, de hecho) es la seguridad. La seguridad es aquí tan importante como para cualquier usuario de Internet. La seguridad es un tema complejo y requiere atención constante. Se puede causar un daño enorme al usuario debido al hecho de que utiliza puntos de acceso aleatorios (puntos de acceso) o puntos de acceso WI-FI abiertos en casa o en la oficina y no utiliza cifrado ni VPN (red privada virtual). Esto es peligroso porque el usuario introduce sus datos personales o profesionales y la red no está protegida de intrusiones externas.

WEP

Al principio, era difícil proporcionar una seguridad adecuada a las LAN inalámbricas.

Los piratas informáticos se conectaron fácilmente a casi cualquier red WiFi accediendo a las primeras versiones de sistemas de seguridad como Wired Equivalent Privacy (WEP). Estos acontecimientos dejaron su huella y, durante mucho tiempo, algunas empresas se mostraron reacias a implementar redes inalámbricas o no las implementaron en absoluto, por temor a que los datos transmitidos entre dispositivos WiFi inalámbricos y puntos de acceso Wi-Fi pudieran ser interceptados y descifrados. Así, este modelo de seguridad ralentizó la integración de redes inalámbricas en las empresas y puso nerviosas a las personas que utilizaban redes WiFi en casa. Luego, IEEE creó el Grupo de Trabajo 802.11i, que trabajó para crear un modelo de seguridad integral para proporcionar autenticación y cifrado AES de 128 bits para proteger los datos. La Wi-Fi Alliance presentó su propia versión intermedia de esta especificación de seguridad 802.11i: Wi-Fi Protected Access (WPA). El módulo WPA combina varias tecnologías para solucionar las vulnerabilidades del sistema WEP 802.11. Por lo tanto, WPA proporciona una autenticación de usuario confiable utilizando el estándar 802.1x (autenticación mutua y encapsulación de datos transmitidos entre dispositivos cliente inalámbricos, puntos de acceso y servidor) y el Protocolo de autenticación extensible (EAP).

El principio de funcionamiento de los sistemas de seguridad se muestra esquemáticamente en la Fig. 1.

Además, WPA está equipado con un módulo temporal para cifrar el motor WEP mediante cifrado de clave de 128 bits y utiliza el Protocolo de integridad de clave temporal (TKIP). Y una verificación de mensajes (MIC) evita que los paquetes de datos sean modificados o formateados. Esta combinación de tecnologías protege la confidencialidad y la integridad de la transmisión de datos y garantiza la seguridad controlando el acceso para que sólo los usuarios autorizados tengan acceso a la red.

WPA

Para mejorar aún más la seguridad WPA y el control de acceso, se crea una clave maestra nueva y única para la comunicación entre el equipo inalámbrico y los puntos de acceso de cada usuario y para proporcionar una sesión de autenticación. Y también, en la creación de un generador de claves aleatorias y en el proceso de generación de una clave para cada paquete.

El IEEE ratificó el estándar 802.11i en junio de 2004, ampliando significativamente muchas capacidades gracias a la tecnología WPA. La Wi-Fi Alliance ha reforzado su módulo de seguridad en el programa WPA2. Así, el nivel de seguridad para la transmisión de datos WiFi del estándar 802.11 ha alcanzado el nivel requerido para la implementación de soluciones y tecnologías inalámbricas en las empresas. Uno de los cambios significativos de 802.11i (WPA2) a WPA es el uso del Estándar de cifrado avanzado (AES) de 128 bits. WPA2 AES utiliza el modo anti-CBC-MAC (un modo de operación para un bloque de cifrado que permite usar una única clave tanto para el cifrado como para la autenticación) para proporcionar confidencialidad, autenticación, integridad y protección de reproducción de los datos. El estándar 802.11i también ofrece almacenamiento en caché de claves y autenticación previa para organizar a los usuarios en todos los puntos de acceso.

WPA2

Con 802.11i, toda la cadena de módulos de seguridad (inicio de sesión, credenciales, autenticación y cifrado de datos) se vuelve más sólida y efectiva en la protección contra ataques dirigidos y no dirigidos. El sistema WPA2 permite al administrador de la red Wi-Fi pasar de los problemas de seguridad a la gestión de operaciones y dispositivos.

El estándar 802.11r es una modificación del estándar 802.11i. Esta norma fue ratificada en julio de 2008. La tecnología del estándar transfiere de manera más rápida y confiable jerarquías clave basadas en la tecnología Handoff a medida que el usuario se mueve entre puntos de acceso. El estándar 802.11r es totalmente compatible con los estándares WiFi 802.11a/b/g/n.

También existe el estándar 802.11w, cuyo objetivo es mejorar el mecanismo de seguridad basado en el estándar 802.11i. Este estándar está diseñado para proteger los paquetes de control.

Los estándares 802.11i y 802.11w son mecanismos de seguridad para redes WiFi 802.11n.

Cifrar archivos y carpetas en Windows 7

La función de cifrado le permite cifrar archivos y carpetas que posteriormente serán imposibles de leer en otro dispositivo sin una clave especial. Esta característica está presente en versiones de Windows 7 como Professional, Enterprise o Ultimate. A continuación se cubrirán formas de habilitar el cifrado de archivos y carpetas.

Habilitar el cifrado de archivos:

Inicio -> Computadora (seleccione el archivo a cifrar) -> botón derecho del mouse sobre el archivo -> Propiedades -> Avanzado (pestaña General) -> Atributos adicionales -> Marque la opción Cifrar contenido para proteger datos -> Aceptar -> Aplicar -> Ok (Seleccione Aplicar solo al archivo)->

Habilitar el cifrado de carpetas:

Inicio -> Computadora (seleccione la carpeta para cifrar) -> botón derecho del mouse en la carpeta -> Propiedades -> Avanzado (pestaña General) -> Atributos adicionales -> Marque la casilla Cifrar contenido para proteger datos -> Aceptar -> Aplicar - > Ok (Seleccione Aplicar solo al archivo) -> Cerrar el cuadro de diálogo Propiedades (Haga clic en Aceptar o Cerrar).

El filtrado de contraseñas y direcciones MAC debería protegerlo de la piratería. De hecho, la seguridad depende en gran medida de su precaución. Los métodos de seguridad inadecuados, las contraseñas sencillas y una actitud descuidada hacia los extraños en su red doméstica brindan a los atacantes oportunidades de ataque adicionales. En este artículo, aprenderá cómo descifrar una contraseña WEP, por qué debería abandonar los filtros y cómo proteger su red inalámbrica por todos lados.

Protección contra invitados no invitados

Su red no es segura, por lo tanto, tarde o temprano, un extraño se conectará a su red inalámbrica, tal vez ni siquiera a propósito, ya que los teléfonos inteligentes y las tabletas pueden conectarse automáticamente a redes no seguras. Si simplemente abre varios sitios, lo más probable es que no suceda nada malo excepto el consumo de tráfico. La situación se complicará más si un visitante comienza a descargar contenido ilegal a través de su conexión a Internet.

Si aún no ha tomado ninguna medida de seguridad, vaya a la interfaz del enrutador a través de un navegador y cambie sus datos de acceso a la red. La dirección del enrutador suele verse así: http://192.168.1.1. Si este no es el caso, puede averiguar la dirección IP de su dispositivo de red a través de la línea de comando. En el sistema operativo Windows 7, haga clic en el botón "Inicio" e ingrese el comando "cmd" en la barra de búsqueda. Llame a la configuración de red con el comando "ipconfig" y busque la línea "Puerta de enlace predeterminada". La IP especificada es la dirección de su enrutador, que debe ingresarse en la barra de direcciones del navegador. La ubicación de la configuración de seguridad de su enrutador varía según el fabricante. Como regla general, se encuentran en una sección con el nombre “WLAN | Seguridad".

Si tu red inalámbrica utiliza una conexión no segura, debes tener especial cuidado con el contenido que se encuentra en carpetas compartidas, ya que si no está protegido estará disponible para otros usuarios. Al mismo tiempo, en el sistema operativo Windows XP Home, la situación con el acceso compartido es simplemente catastrófica: de forma predeterminada, las contraseñas aquí no se pueden configurar en absoluto; esta función solo está presente en la versión profesional. En cambio, todas las solicitudes de red se realizan a través de una cuenta de invitado no segura. Puede proteger su red en Windows XP mediante una pequeña manipulación: inicie la línea de comando, ingrese "net user guest YourNewPassword" y confirme la operación presionando la tecla "Enter". Después de reiniciar Windows, podrá acceder a los recursos de la red solo si tiene una contraseña; sin embargo, lamentablemente no es posible realizar un ajuste más preciso en esta versión del sistema operativo. Administrar la configuración de uso compartido es mucho más conveniente en Windows 7. Aquí, para limitar la cantidad de usuarios, simplemente vaya al "Centro de redes y recursos compartidos" en el Panel de control y cree un grupo en el hogar protegido con contraseña.

La falta de una protección adecuada en una red inalámbrica es fuente de otros peligros, ya que los piratas informáticos pueden utilizar programas especiales (sniffers) para identificar todas las conexiones desprotegidas. De esta manera, será fácil para los piratas informáticos interceptar sus datos de identificación de varios servicios.

piratas informáticos

Como antes, los dos métodos de seguridad más populares hoy en día son el filtrado de direcciones MAC y la ocultación del SSID (nombre de la red): estas medidas de seguridad no le mantendrán seguro. Para identificar el nombre de la red, un atacante solo necesita un adaptador WLAN, que cambia al modo de monitoreo mediante un controlador modificado, y un rastreador, por ejemplo, Kismet. El atacante monitorea la red hasta que un usuario (cliente) se conecta a ella. Luego manipula los paquetes de datos y, por lo tanto, expulsa al cliente de la red. Cuando el usuario se vuelve a conectar, el atacante ve el nombre de la red. Parece complicado, pero en realidad todo el proceso sólo lleva unos minutos. Evitar el filtro MAC también es sencillo: el atacante determina la dirección MAC y la asigna a su dispositivo. De este modo, la conexión de un extraño pasa desapercibida para el propietario de la red.

Si su dispositivo solo admite el cifrado WEP, tome medidas inmediatas; incluso personas no profesionales pueden descifrar dicha contraseña en unos minutos.

Particularmente popular entre los ciberestafadores es el paquete de software Aircrack-ng, que, además del rastreador, incluye una aplicación para descargar y modificar los controladores del adaptador WLAN y también permite recuperar la clave WEP. Los métodos de piratería más conocidos son los ataques PTW y FMS/KoreK, en los que se intercepta el tráfico y se calcula una clave WEP en función de su análisis. En esta situación, sólo tiene dos opciones: primero, debe buscar el firmware más reciente para su dispositivo, que admitirá los últimos métodos de cifrado. Si el fabricante no proporciona actualizaciones, es mejor negarse a utilizar dicho dispositivo, ya que al hacerlo pone en peligro la seguridad de su red doméstica.

El consejo popular de reducir el alcance de la red Wi-Fi sólo da una apariencia de protección. Los vecinos aún podrán conectarse a su red, pero los atacantes suelen utilizar adaptadores de Wi-Fi con un alcance mayor.

Puntos de acceso públicos

Los lugares con Wi-Fi gratuito atraen a los ciberestafadores porque a través de ellos pasan enormes cantidades de información y cualquiera puede utilizar herramientas de piratería. Los puntos de acceso público se pueden encontrar en cafeterías, hoteles y otros lugares públicos. Pero otros usuarios de las mismas redes pueden interceptar sus datos y, por ejemplo, tomar el control de sus cuentas en diversos servicios web.

Protección de cookies. Algunos métodos de ataque son realmente tan simples que cualquiera puede utilizarlos. La extensión Firesheep para el navegador Firefox lee y enumera automáticamente las cuentas de otros usuarios, incluidos Amazon, Google, Facebook y Twitter. Si un pirata informático hace clic en una de las entradas de la lista, inmediatamente tendrá acceso completo a la cuenta y podrá cambiar los datos del usuario a su discreción. Firesheep no descifra contraseñas, solo copia cookies activas y no cifradas. Para protegerse de este tipo de intercepciones, debe utilizar el complemento especial HTTPS Everywhere para Firefox. Esta extensión obliga a los servicios en línea a utilizar siempre una conexión cifrada a través de HTTPS si el servidor del proveedor del servicio lo admite.

Protección de Android. En el pasado reciente, se ha llamado la atención sobre una falla en el sistema operativo Android que podría permitir a los estafadores obtener acceso a sus cuentas en servicios como Picasa y Google Calendar, así como leer sus contactos. Google solucionó esta vulnerabilidad en Android 2.3.4, pero la mayoría de los dispositivos comprados anteriormente por los usuarios tienen instaladas versiones anteriores del sistema. Para protegerlos, puede utilizar la aplicación SyncGuard.

WPA 2

La mejor protección la proporciona la tecnología WPA2, que los fabricantes de equipos informáticos utilizan desde 2004. La mayoría de los dispositivos admiten este tipo de cifrado. Pero, al igual que otras tecnologías, WPA2 también tiene su punto débil: mediante un ataque de diccionario o el método de fuerza bruta, los piratas informáticos pueden descifrar contraseñas, pero sólo si no son fiables. Los diccionarios simplemente revisan las claves almacenadas en sus bases de datos; por regla general, todas las combinaciones posibles de números y nombres. Contraseñas como “1234” o “Ivanov” se adivinan tan rápido que el ordenador del hacker ni siquiera tiene tiempo de calentarse.

El método de fuerza bruta no implica el uso de una base de datos ya preparada, sino, por el contrario, la selección de una contraseña enumerando todas las combinaciones posibles de caracteres. De esta manera, un atacante puede calcular cualquier clave; la única pregunta es cuánto tiempo le llevará hacerlo. La NASA, en sus directrices de seguridad, recomienda una contraseña de al menos ocho caracteres, y preferiblemente dieciséis. En primer lugar, es importante que esté formado por letras minúsculas y mayúsculas, números y caracteres especiales. A un hacker le llevaría décadas descifrar esa contraseña.

Su red aún no está completamente protegida, ya que todos los usuarios dentro de ella tienen acceso a su enrutador y pueden realizar cambios en su configuración. Algunos dispositivos ofrecen funciones de seguridad adicionales que también deberías aprovechar.

En primer lugar, desactive la capacidad de manipular el enrutador a través de Wi-Fi. Desafortunadamente, esta función sólo está disponible en ciertos dispositivos, como los enrutadores Linksys. Todos los modelos de enrutadores modernos también tienen la capacidad de establecer una contraseña para la interfaz de administración, lo que le permite restringir el acceso a la configuración.

Como cualquier programa, el firmware del enrutador es imperfecto: no se excluyen pequeñas fallas o agujeros críticos en el sistema de seguridad. Por lo general, la información sobre esto se difunde instantáneamente por Internet. Compruebe periódicamente si hay nuevo firmware para su enrutador (algunos modelos incluso tienen una función de actualización automática). Otra ventaja de actualizar el firmware es que puede agregar nuevas funciones al dispositivo.

El análisis periódico del tráfico de la red ayuda a reconocer la presencia de invitados no invitados. En la interfaz de administración del enrutador puede encontrar información sobre qué dispositivos se conectaron a su red y cuándo. Es más difícil saber cuántos datos ha descargado un usuario en particular.

Acceso de invitados: un medio para proteger su red doméstica

Si protege su enrutador con una contraseña segura utilizando cifrado WPA2, ya no correrá ningún peligro. Pero sólo hasta que compartas tu contraseña con otros usuarios. Amigos y conocidos que, con sus smartphones, tablets o portátiles, quieran acceder a Internet a través de tu conexión son un factor de riesgo. Por ejemplo, no se puede descartar la posibilidad de que sus dispositivos estén infectados con malware. Sin embargo, no tendrá que rechazar a sus amigos por esto, ya que los modelos de enrutadores de gama alta, como Belkin N o Netgear WNDR3700, brindan acceso de invitados específicamente para tales casos. La ventaja de este modo es que el enrutador crea una red separada con su propia contraseña y no se utiliza la red doméstica.

Fiabilidad de la clave de seguridad

WEP (PRIVACIDAD EQUIVALENTE POR CABLE). Utiliza un generador de números pseudoaleatorios (algoritmo RC4) para obtener la clave, así como vectores de inicialización. Dado que este último componente no está cifrado, es posible que terceros intervengan y recreen la clave WEP.

WPA (ACCESO PROTEGIDO WI-FI) Basado en el mecanismo WEP, pero ofrece una clave dinámica para mayor seguridad. Las claves generadas con el algoritmo TKIP se pueden descifrar mediante el ataque Bek-Tevs o Ohigashi-Moriya. Para ello, los paquetes individuales se descifran, manipulan y envían de vuelta a la red.

WPA2 (ACCESO PROTEGIDO WI-FI 2) Utiliza el algoritmo confiable AES (Advanced Encryption Standard) para el cifrado. Junto con TKIP, se ha añadido el protocolo CCMP (Counter-Mode/CBC-MAC Protocol), que también se basa en el algoritmo AES. Hasta ahora, una red protegida por esta tecnología no podía ser hackeada. La única opción para los piratas informáticos es un ataque de diccionario o "método de fuerza bruta", cuando la clave se adivina adivinando, pero con una contraseña compleja es imposible adivinarla.