El post que buscas se encuentra eliminado, pero este también te puede interesar

Configurar seguridad WiFi con D-link DIR600 paso a paso (II)

Bueno, este post es continuación de

Configurar seguridad WiFi con D-link DIR600 paso a paso (II)

Una serie de post que comienza aquí

Configurando una red WiFi con D-link DIR600 paso a paso (I)


Configurar seguridad WiFi con D-link DIR600 paso a paso (II)


Por lo que si todavía no lo leíste, te aconsejo que lo hagas antes de entrar con éste, de otra forma va a haber mucho que no va a resultar claro:


Conectando a una red protegida

Como ya había comentado en el post anterior, no me voy a detener demasiado en esto, pues hay numerosisimos tutoriales en internet sobre como hacerlo, lo que voy a hacer en cambio es dejar un par de direcciones con tutoriales especialmente sencillos, para ver como se hace con cada tipo de sistema operativo en particular. Para ver como acceder con tablets, teléfonos y demás, es mejor consultar con el manual de usuario de cada dispositivo. Por lo demás ingresar a una red protegida con WEP, o a una protegida con WPA/WPA2 se hace de forma prácticamente igual, por lo que tampoco voy a volver después sobre el tema.

Conectarse a red protegida con Windows XP

Conectarse a red protegida con Windows Vista

Conectarse a red protegida con Windows 7

Conectarse a red protegida con Ubuntu 12 (linux) (Es un vídeo de youtube en inglés, pero se entiende perfecto, en todo caso después hago un tutorial con respecto a esto) La mayor parte de quienes amamos este sysop es lo primero que aprendemos, de modo que no creo que haya problemas.

Conectarse a red protegida con Mac OS. (no le presto demasiada atención, el corazón de Mac OS es Unix, por lo que, salvo por la interfaz de usuario, es prácticamente igual que Linux, si has utilizado uno, rápidamente te vas a sentir cómodo en el otro )

2 - Configurar una codificación WPA/WPA2

¿Y qué es WPA?
WPA son las iniciales de Wi-fi Protected Access, es decir, protección de acceso a WiFi. En realidad existen dos protocolos diferentes que comparten el mismo nombre, el WPA, que como ya habíamos comentado es una solución de transición, y el WPA2 que es mas seguro (y preferible) que utiliza una tecnología de autenticación y encriptamiento (AES) mas avanzadas. Como se configuran prácticamente igual, para nuestros objetivos vamos a tratarlas en un único post, aclarando cuando sea necesario, las diferencias entre una y otra.

En principio, y para distinguirlas facilmente vamos a decir que si utiliza el TKIP (Temporal Key Integrity Protocol) va a ser WPA y si utiliza el AES (Advanced Encription Sistem) va a ser WPA2.

Nuestra primera opción debería ser siempre tratar de configurar una red WPA2/AES, prácticamente todas las tarjetas de red y accesspoint que se frabricaron luego del año 2004 ya incorporan compatibilidad para esta tecnología, por lo que en principio no deberíamos tener problemas. Si existen dudas, consultar con el manual de cada dispositivo y fijarse si la opción está disponible. Si no existe la posibilidad, entonces deberemos tratar de configurar un acceso WPA/TKIP. El DIR 600 soporta ambas opciones, por lo que quienes van a definir el grado de seguridad de la red van a ser los clientes.

Siempre tenemos que tener en mente que todos los dispositivos que van a conectarse a nuestra red soporten el protocolo, porque de otro modo va a haber clientes que van a quedar imposibilitados.

Para poder ingresar a una red WPA/WPA2, necesitamos conocer cual es la clave de red. La clave es una cadena de caracteres que no debe ser obvia. El grado de seguridad de nuestra clave viene definido en principio por su singularidad (es decir por lo "rara" o "extraña" que sea) y en segundo lugar por la longitud de la cadena, una cadena mas larga significa mayor grado de protección, en ningún caso se recomienda utilizar palabras completas en ningún idioma conocido, los mejores enfoques son utilizar cadenas largas perfectamente aleatorias, o un poco menos mejor, utilizar frases desordenadas concatenadas.

¿Y es segura una codificación WPA?
Bueno, como ya explicamos en el post anterior la codificación WPA2 es para entornos "civiles" de lo mejorcito que hay, no es adecuada para entornos de seguridad empresarial, bancaria o similares, ya que si se cuenta con suficiente poder de cálculo la seguridad de WPA se reduce a prácticamente nada, esto, como todo, depende de la relación costo/beneficio. Si el secreto que se está tratando de proteger es lo suficientemente jugoso, siempre habrá recursos para instalar un sistema lo suficientemente potente. Sin ir mas lejos por un precio relativamente bajo es posible instalar un clúster de PC's corriendo sobre Linux, para tener prácticamente todos los beneficios de una supercomputadora trituradora de números, o peor aún contratar un servicio como el de WPA Cracker (http://www.wpacracker.com) que pone a disposición de cualquiera que quiera pagar (nada mas que 17 dólares!!!) un clúster de 400 PC's y un diccionario de 300 millones de palabras para reventar en 20 minutos cualquier codificación WPA que se ponga a tiro. También existe la posibilidad de programar spiderbots o botnets para robar ciclos de computación a usuarios desprevenidos (hay algunas sospechas de que esta podría haber sido la finalidad del famoso gusano Conficker, y del todavía mas sospechoso Stuxnet) creando de este modo enormes redes de millones de computadoras para tareas criptográficas oscuras... Pero esto ya entra dentro de lo que suele conocerse como "dark cloud computing" y no es el sentido de este post. Como dijimos, para entornos "civiles" por lo general va sobrado. Una máquina potente con cuatro núcleos y dos placas gráficas funcionando con tecnología CUDA puede tardar hasta cinco días en triturar una clave WPA2 (y esto sólo si cuenta con un diccionario lo suficientemente grande), esto es mas que suficiente para desanimar a los "hackers" de bolsillo que suelen andar dando vueltas por ahí.

Sin embargo WPA y WPA2 poseen un grave fallo que surge como un añadido de última hora al protocolo, es una caracteristica llamada Wi-Fi Protected Setup, que sirve para que los usuarios sin experiencia en configuración de redes puedan establecer una red protegida prácticamente sin intervención. Como muchas otras características destinadas a minimizar la intervención del usuario, esta está diseñada para maximizar la provocación de problemas. Uno de nuestros primeros pasos va a ser desactivarla.

Manos a la obra

Primer paso: Ya estamos conectados a nuestro router inalámbricamente y tenemos acceso a Internet. Vamos a ingresar al Web GUI de nuestro router tipeando en la barra de nuestro navegador de preferencia la dirección 192.168.2.1, que es la que habíamos definido para nuestro router, y llenando los campos que aparecen con el correspondiente nombre de usuario y la contraseña que habíamos elegido, en nuestro ejemplo eran "admin" y "3s7r3pt0coc0" respectivamente.

Segundo paso: Vamos a elegir la pestaña SETUP y en la tabla de la izquierda la opción WIRELESS SETUP, deberíamos aparecer en esta pantalla:

Wifi


Tercer paso:
Aquí, vamos a quitarnos de encima aquella terrible falencia que comentábamos sobre las configuraciones automáticas, en la sección WiFI Protected Setup (Also Called WCN 2.0 In Windows Vista) vamos a desmarcar la casilla que dice "ENABLE", deshabilitando la brecha de seguridad (HORROR; AHORA VAMOS A TENER QUE CONFIGURAR TODO A PULSO!! )

Cuarto paso:

Nos vamos a mover por la pantalla hasta la sección "WIRELESS SECURITY MODE" y en el menú desplegable elegimos la opción "Enable WPA/WPA2 Wireless Security (enhanced)", vamos a verlo con mas detalle:

wep


Quinto paso: Aquí vamos a definir que tipo de cifrado, lo que a su vez va a definir si utilizamos una codificación WPA o una WPA2.

Recordemos siempre que nuestros clientes tienen que soportar el protocolo, de otro modo no van a poder conectar, sin embargo nuestro primer objetivo va a ser siempre definir una codificación WPA2, pero vamos a ver ambas opciones:

Para definir una codificación WPA2:
En la opción que dice Cipher Type, vamos a elegir "AES"
Y en la opción que dice PSK / EAP, vamos a elegir "PSK". ¿Qué es esto? bueno PSK significa Pre Shared Key, es decir clave compartida predefinida, esta opción me permite ingresar manualmente la clave de red en cada uno de los dispositivos que configuro. La opción EAP, se utiliza si yo cuento con un servidor RADIUS, que básicamente es una máquina dedicada a monitorear todo el tráfico entre dos o mas redes, cumpliendo las funciones de autenticar o no a diferentes clientes y de permitir o no acceso a estas redes, además de crear protocolos túnel entre los clientes o entre los clientes y el servidor cumpliendo de este modo con dos o tres pasos de codificación y no solo uno. Esta última es una opción bastante mas segura, pero para implementarla requiere uno o mas servidores dedicados, y es un bastante mas difícil de configurar. Se utiliza sobre todo en medianas empresas que cuentan con varias subredes medianamente independientes, o para redes de area extendida donde los clientes hacen roaming. Quizás otro día con tiempo, y no tratando específicamente el tema del DIR 600 comente como hacerlo.

Para definir una codificación WPA:
Esta va a ser nuestra segunda opción, si tenemos dispositivos que no soporten la codificación WPA2. En la opción que dice Cipher Type, vamos a elegir "TKIP"
Y en la opción que dice PSK / EAP, vamos a elegir nuevamente PSK

Ya sólo queda elegir la clave introducirla en el campo que dice "Network Key" y grabar la configuración.

¿Y como elijo la clave?
En principio las consideraciones a tener en cuenta son las mismas que para una codificación WEP, el protocolo WPA sin embargo me permite utilizar claves mas largas y de longitud no tan estrictamente definidas. WPA permite utilizar claves formadas por cualquier caracter imprimible (espacio incluido) de entre 8 y 63 caracteres de longitud. Para evitar ataques por diccionario se recomienda que sean claves verdaderamente aleatorias combinando mayúsculas, minúsculas y símbolos, o en su defecto frases alfanuméricas recortadas y/o desordenadas. Para evitar ataques por fuerza bruta, es recomendable que la clave tenga al menos 13 caracteres, 20 si uno quiere estar tranquilo.

Un ejemplo de clave aleatoria podría ser

OaFFus/N`-,iy!FSqH[U

Uno de frases recombinadas sería (esta es a modo de ejemplo, no es especialmente segura, pues he visto varios diccionarios que recogen algunas variantes)

M1 m4ma-m3.m1m4

Como siempre al elegir la clave tenemos que tener en cuenta que:

-Combine letras mayúsculas y minúsculas, números y caracteres especiales ($, #, @, etc.).

-No incluya NINGUNA información personal, como nombres, fechas de cumpleaños, aniversarios el nombre de alguna mascota, novio/novia.

-No contenga palabras completas en ningún idioma, por raras que sean.

-No sea obvia. Claves como "qwertyui", "12345678" o "contraseña" no son ni originales ni seguras.

Y después de hacer todo eso cambiar la contraseña Wi-Fi cada cierto tiempo siguiendo las mismas recomendaciones. Ninguna clave es segura eternamente.

Si esto aún no te convence, y siguiendo con las mismas recomendaciones que para WEP, puedes utilizar un generador aleatorio de claves como el que aparece



Aquí marcamos las casilla WPA 504 bits (63 caracteres) si queremos una clave mas segura o WPA 160 bits (20 caracteres) si queremos una un poco mas fácil, todas las casillas que dicen composición, y elegimos la casilla "caracteres" o "hexadecimal" según el gusto personal, le damos al botón generar y hecho tenemos la clave lista para copiar.

También podemos hacer uso del generador MD5 (Ver post anterior). Inserto una frase que me resulte fácil de recordar tal como "febo asoma los zapatos de mi abuela son de goma" y obtener el número de resumen correspondiente, como el estándar WPA permite hasta 63 caracteres puedo copiar los 32 caracteres del resumen directamente, la ventaja es que el número generado siempre es el mismo para la misma frase, por lo que nunca se me va a perder. El generador se encuentra



Por ejemplo el hash md5 para la anterior frase es:

fc4ed1e4ce6650143cf6a648dba14e04



Sexto paso: Una vez que tengamos nuestra clave la copiamos momentáneamente a un archivo de texto en el block de notas y desde alli la copiamos a la configuración del router y a todos los dispositivos que queramos conectar. Esto es para asegurarnos que vamos a utilizar la misma clave para todos los dispositivos y que no se nos pierda ningún dígito en el camino finalmente grabamos la configuración pinchando en "SAVE SETTINGS" y listo, tenemos nuestra red funcionando en modo WPA/WPA2


NOTA CON RESPECTO A ESTA CONFIGURACIÓN: Una vez que grabemos esta configuración nuestra conexión se va a perder, pues nuestro cliente va a estar todavía funcionando en modo no seguro, por lo que ahora vamos a tener que configurar la clave en nuestro cliente.

Una última recomendación sería, luego de que tengamos toda nuestra red configurada y funcionando, guardar un archivo de backup con todas las configuraciones hasta ahora obtenidas, para recuperarlas rápidamente en caso de necesitarlo. A esto lo explico en: Configurando una red WiFi con D-link DIR600 pas a paso (III), mas específicamente en el Segundo paso: del punto 7 (7 - Preconfigurando la conexión wireless vía Ethernet parte III)

Aún nos queda un poquito mas para aquellos que como yo tienen el modo paranoico ON, que es deshabilitar la difusión del SSID, y configurar la tabla de acceso por filtrado MAC. Pero a eso lo voy a tratar en un post posterior. que


SIGUIRÁ AQUÍ (Post actualmente en construcción)

No te lo pierdas!!

Anuncios

8 comentarios - Configurar seguridad WiFi con D-link DIR600 paso a paso (II)

@illuminist +1
excelentes tus post, me sirvieron para configurar de nuevo mi red desde cero, lastima que no se ven post asi ultimamente van +10
@Torcaza +1
Te dejé 10 y si tuviera 30 te los dejaría! Gracias a tu extenso pero super entendible y tremendamente detallado tutorial -para los que queremos saber cómo funcionan las "cosas"- configuré mi DIR-600 a pleno. Mil gracias!
@Janetera +1
Muchas gracias!!!! Me ayudó mucho toooodo el tutorial para configurar mi red, y espero el siguiente capítulo
@wimora +1
definitivamente excelente
muchas gracias
@MidoriRose
No harás un post para poder crear una blacklist en el modem?
@pepeposs
Excerlente!!! Me Ayudaron muchisimos todos tus post de este tema!
Algunas partes tecnicas muy detalladas las pase por alto, con la informacion general fue suficiente.
Muchas gracias!!!!