- Configuración conexión inalámbrica en
Windows XP Profesional Service Pack 2 con seguridad WPA-PSK.
De sobras esta demostrado que la seguridad en redes inalámbricas mediante
conexiones abiertas y encriptadas con cifrado WEP son de un nivel
realmente bajo, con lo cual nunca entendí como se pudieron lanzar
al mercado este tipo de equipos.
Ahora bien, al final han empezado a hacernos caso y el nivel de
seguridad ha cambiado con la configuración WPA.
Hay varios tipos pero nos vamos a centrar en las mas sencillas que
corresponde a WPA-PSK. Aun así no las tenemos todas consigo sino solo tenéis que
leer el manual que hice de seguridad
alta wpa.
Si todavía no lo habéis leído os lo recomiendo. El nivel de seguridad
en este caso dependerá del tipo de contraseña que el usuario de a los equipos,
aquí ya no vale la cantidad de trafico capturado sino uno en concreto. Pero si
la contraseña es muy simple, pues seguiremos estando en pelotas, pero si
configuramos una contraseña un poco particular y la cambiamos muy a menudo, las
posibilidades que nos rapiñen la conexión es totalmente nula. Puede parecer que
esta configuración es algo complicada y que por eso nadie se atreve a hacerlo,
pero veréis que es muy fácil. De hecho estadísticamente el numero de redes con
encriptación WPA es mínimo y esto no deja de asombrarme. Algunos fabricantes ya
incorporan por defecto este tipo de seguridad, por fin nos hicieron caso. Es
objetivo de todos estar libremente por tu casa en pelotas sin tener que estar
atentos a las miradas de los vecinos pues lo mismo para la conexión a Internet
que tanto cuesta al final de mes.
Con esta configuración ya eliminamos el peligro de la conexiones
wireless y este solo se centrara en la conexión a Internet , peligro mucho mas
grave de todos pero que no es consideración en este manual. Vosotros ya conocéis
de sobras que tipo de firewall y de antivirus os tendréis que poner en vuestros
equipos. Para eso yo soy pésimo. Lo que es mas difícil de conseguir es evitar es que algún gracioso le de por enviarnos constantemente ataques de desautentificación entre nuestro ordenador y nuestro router o punto de acceso,
pero ya se cansara de probar diccionarios. Y para eso hay una cura muy útil,
cambiáis la configuración de WPA a red completamente abierta, esperáis que el
gracioso se conecte y le dejáis un regalito en la carpeta de documentos
compartidos, seguro se le quitan las ganas de jugar con el aireplay en linux.
Para acometer este manual partimos de la base que vamos a operar con un
router inalámbrico que soporte WPA, aunque también puede valer un punto de
acceso, pero esta claro que la conexión a Internet no la da el punto de acceso
sino el modem o el router. No vamos a diseñar una gran red de una gran
corporación o empresa, simplemente necesitamos establecer una conexión
inalámbrica entre un router y un ordenador para poder pasear libremente por la
casa si tener que llevar siempre encima un cable de conexión y disfrutar
libremente de nuestra ADSL allí donde queramos y si tenéis una buen antena, pues
hasta en el parque próximo a vuestras casas. Cuando me refiero a un ordenador
pueden ser varios siempre que la conexión del router a Internet lo permita.
Cuando llegue el momento Windows establece un apartado para grabar los datos y
simplemente mediante una llave de memoria usb podamos introducirla en otro
ordenador y este quede configurado de forma automática, pero ya me conocéis y
odio los procesos automáticos, así que además de la configuración del router
cuando configuremos el ordenador será siempre de forma manual, y si tenemos
varios ordenadores pues repetimos el proceso para cada una. Solo es cuestión de
minutos, he tardado mas en escribir y en hacer la capturas que realmente en
configurar la conexión.
También diremos que tenemos ya instaladas las tarjetas wireless que vayamos a
usar para cada conexión al router. Si tenéis duda de como hacerlo os remito al
manual de instalación
de drivers en Windows para tarjetas wireless.
De la misma forma solo hablare de proceso de autentificación , o sea de
la conexión física aunque sea través de ondas de radio entre tarjetas y router, para la asociación es decir el proceso de obtención de IP, de puerta de
enlace y de DNS es lo mismo que para cualquier red cableada (ethernet). Y se
supone que esto esta mas que explicado. La única diferencia que radica entre
estos dos grupos de redes locales corresponde exclusivamente al proceso d
establecer la comunicación o sea al medio físico, todo el protocolo de conexión
es exactamente el mismo.
Si habéis pasado a este punto, es que
tenéis ya instalada correctamente vuestra tarjeta wireless aunque esta no este
operativa, y tampoco es importante saber en estos momentos de que forma esta
trabajando, con saber que esta el driver puesto y es el correcto con esto
bastara. Recordad la aspa roja que nos indicaba que el sistema había detectado
una o mas redes wireless disponibles, o quizás ninguna si todavía no hemos
preparado el router inalámbrico.
O en el caso de que no haya ninguna:
Pero en ambos casos la tarjeta ya esta preparada para trabajar, respecto a lo
que a nivel de driver se refiere.
Si vuestro punto de acceso o router inalámbrico no soporta WPA mejor podéis
dejar de leer. Respecto a las tarjetas tienen que ser realmente viejas como para
que no puedan operar de esa forma.
Cada tarjeta tiene su aplicación personal para poder ser configurada,
pero como no podemos establecer un manual para cada aplicación, nosotros lo
haremos siempre con el sistema operativo, visto esto no dará una idea correcta
de trabajar para cada aplicación. Pero con los pasos aquí explicados y a no ser
que sean tarjetas un poco especificas el problema esta mas que resuelto.
Por lo tanto pasemos a configurar el router inalámbrico y la
conexión del ordenador a dicho router. Un grave error que todo el mundo acomete
es liarse primero a configurar la tarjeta, pero esto nunca debe de hacerse en
primer lugar, lo primero es configurar el router o el punto de acceso, una vez
hecho esto, no olvidamos de el y pasamos a configurar las tarjetas. Porque esto
es tan importante, muy sencillo, si estamos trabando con una conexión ya
cableada el orden casi no importa, pero si estamos trabajando con una
conexión inalámbrica ya establecida entre router y tarjeta sea del modo no
protegido o sea del modo con seguridad WEP, si cambiamos la configuración de la
conexión lógicamente perderemos la conexión al router y no podremos
configurarlo. Por lo tanto, primero siempre se debe de configurar el router, la
conexión también se perderá pero en este caso ya la recuperamos cuando cambiemos
la configuración en el ordenador, pero si lo hacemos al revés, y no tenemos red
cableada para ajustar el router tendremos que poner los valores iniciales y el
trabajo habrá sido en vano. De la misma forma si estamos operando ya en WPA y
queremos cambiar la contraseña primero se debe de cambiar el router y
posteriormente en los ordenadores. Y sobre todo si tenemos que configurar varios
apartados como es el caso que nos ocupa partiendo de una conexión wireless ya
establecida, nunca cambiaremos las dos cosas a la vez, por ejemplo en el caso
que nos ocupa, primero modificaremos el apartado de autentificación pero no el
del nombre de red y el de canal, puesto que si lo hacemos perderemos la
conexión, tendremos que ajustar de nuevo los valores en el ordenador y volver a
establecer la conexión al router para modificar el tipo de seguridad en el
router y luego vueltas a empezar en el ordenador. Así que si queréis
evitar líos hacerlo de forma cableada, y si es una red wifi abierta que queréis
pasar a encriptada, modificar solo el apartado de seguridad, luego ya podremos
modificar el apartado de canal y nombre de red. Todo depende del manejo que
tengamos y de la configuración por defecto del router o la que estemos usando
antes de iniciar la configuración WPA-PSK. Solo aconsejo configurar vuestra red
wireless con seguridad WEP para analizar los pocos seguras que son, y previo
camino para entender la seguridad WPA. Intentar usar el WEP lo menos posible,
aunque siempre es mejor que nada.
Cada router es especifico pero siempre se mantienen las mismas secciones
principales para gestión de las redes inalámbricas. Para acceder a el usar el
mismo navegador y poner la ip que se fijo en la puerta de enlace. O acceder al
router como vosotros creáis mas oportuno hacerlo.
Este apartado es uno de los básicos para el router inalámbrico, que
corresponde a la autentificación de seguridad, establecemos que la
autentificación sea requerida, el protocolo de seguridad corresponde a WPA-PSK y
ponemos una contraseña.
En este caso es lo que diferencia una conexión segura de otra que no lo es.
En el análisis de la seguridad WPA y mediante captura y ataque de desautentificación pudimos encontrar la clave ya que era muy fácil para un
diccionario, pero mirad en este caso la cantidad de símbolos raros (caracteres
especiales) que he
puesto, lógicamente no hay ningún diccionario que soporte esto, y mira que
estuve probando para genera un súper diccionario con un mínimo de 9 dígitos pero
el ordenador se quedaba sin memoria , pues imaginar si le ponemos mas de nueve
como es este caso. En el caso que la configuración del router no acepte todos
estos símbolos pues lógicamente poner aquello que si son posibles.
Si al aplicar os sale un error de este tipo:
Esto es debido a que venimos de una conexión con seguridad WEP y antes de
nada hay que deshabilitarla. Pero que pasara, pues que si estamos con conexión
wifi con WEP perderemos la conexión al router, y de ahí que sea un pesado y diga
que la configuración del router siempre es mejor hacerlo de forma cableada.
Para inhabilitar la WEP:
No es necesario vaciar los valores en Key1-4, pero tampoco esta de mas.
Y en esta caso después de aplicar ya podemos ir a:
Y dejarlo como queremos:
Y el segundo punto importante que se relaciona con conexión wireless en el
router sea cual sea el tipo de seguridad corresponde habitualmente a este:
Recordad que estos 2 procesos a la vez solo podrá hacerse si estamos usando
una conexión cableada, si usáis una conexión wireless para configurar el router
y esta ya esta establecida tanto sea abierta , wep o wpa (para solo modificar la
contraseña puesto que lógicamente ya estará todo bien configurado), no toquéis
nada de este apartado, solo del otro. En un futuro si os da por cambiar el canal
y el nombre de red wireless, pues ya podéis venir a este apartado y cambiarlo, y
por supuesto después en los ordenadores.
Habilitamos la conexión wireless, se supone que si el acceso fue mediante
conexión wireless, este ya estará establecido, pero si es por acceso de red
cableada quizás lo mas normal es que no lo este.
Poner un nombre de red wireless (ESSID) , elegimos el canal que queramos
y si queremos ocultar el ESSID para que no lo mita pues lo hacemos y si no pues no.
Hoy en día esto ya no es tan importante, cualquier herramienta básica de captura
te lo intenta comunicar, pero como trabajamos en Windows os podéis liar un poco si el
nombre de la red inalámbrica esta oculto, por lo tanto yo lo dejaría visible, es
decir "No a ocultar ESSID", en un futuro vosotros ya podréis decidirlo, pero
realmente es una tontería a mi modo de pensar.
Nota: como veréis estas 2 ventanas siempre están
relacionados y cualquier cambio en una afecta a la otra.
Ahora pasaremos a configurar las tarjetas. O bien "Inicio" - "Todos los
programas" - "Accesorios" - "Comunicaciones" - "Configurar red
inalámbrica". O
bien:
Pinchamos en "Conexiones de red e Internet" y:
Pinchamos en "Configurar red inalámbrica". Con lo que lanzara el
"Asistente para redes inalámbricas".
Pinchamos en "Siguiente" y:
Seleccionamos
la opción de configura una nueva red inalámbrica, y si esta ya esta
establecida y solo queremos modificar pues seleccionamos "Agregar
nuevos equipos". Pero aconsejo siempre usar la primera
opción, aunque ya partamos de una conexión inicial.
Ponemos el
Nombre de red al igual que en el router y cambiamos algunas cosas
tales como:
Pinchamos en siguiente.
Introducimos
la contraseña para el cifrado, podemos esconder los caracteres o no,
según vosotros creías.
Pasamos de
la unidad USB y seleccionamos "Configurar una red manualmente".
Y pinchamos en
"Siguiente". Al cabo de casi nada el asistente nos indica que la
configuración finalizo correctamente. A mi nunca me salio un
error con problemas en la configuración así que no tengo captura de
ello.
En cualquier momento podemos cancelar e iniciar el
asistente mas tarde.
Podemos
imprimir la configuración por si tenemos mala memoria, sobre todo
de las contraseña utilizada. Y simplemente pulsamos "Finalizar".
Vemos que
la conexión ya es real, y se pone de manifiesto en un icono de la
Área de notificación de la barra de tareas.
Aun así
para comprobarlo, pinchamos sobre ese icono. Y si ese icono no
saliera podemos hacerlo mediante acceso al panal de control y en
conexiones de red y veréis fácilmente el icono que caracteriza a
este tipo de conexión inalámbrica, pues simplemente pincháis en el
y también os saldrá las misma pantalla. Pero siempre sale el icono
a menos que este ocultado por nosotros.
Si el nombre de
red wireless hubiera sido configurado como oculto. Se vería de
esta forma:
Recordad que si es la
primera vez que configuráis una red wireless con seguridad WPA-PSK
es mejor no ocultar el nombre de red, una vez que se haya
finalizado el proceso y comprobemos que nuestra conexión a
Internet esta establecida podemos volver al router y ocultar el
nombre, recordad en el caso que estamos viendo y con este súper
router seria: "Hide ESSID" debe de estar seleccionado.
En el supuesto que la conexión no se produzca de manera
automática, en esta ventana vemos que podemos actualizar la lista
de redes, conectar y desconectar nuestro equipo de cualquier red,
así como cambiar a configuración avanzada y gestionar todo el
protocolo de comunicación TCP/IP. En este caso la conexión se
produzco de manera automática pero esta captura se hizo después de
haber desconectado la red para que pudierais ver el botón
"Conectar" y como debe de hacerse por si no se ha conectado a la
primera.
Pues ya esta es que no hay mas. Si
queréis lo vemos con
el Netstumbler y el airodump.
En esta caso el NetStumbler no acierta ni a la de dos. Por eso
Kismet (GNU/Linux) y airodump (Windows/Linux) es mejor, además que
no te da los clientes, pero si es el mejor para analizar los
problemas de señal.
Podemos analizar la conexión y la cobertura.
Es bastante buena.
Incluso si hacemos un test de velocidad nos daría un resultado
similar a una red cableada.
Lo analizamos con el airodump,
siempre que tengamos otra tarjeta que acepte el modo monitor en
Windows, nunca con la misma que usamos para la conexión normal con
seguridad WPA-PSK:
En esta caso el
airodump si acierta con el tipo de seguridad. Además podemos
comprobar que los clientes que hay son solo los nuestros. Si esta
captura la paso por el aircrack me daría el famoso "trafico
deseado" que su nombre en ingles nunca me acuerdo, ya que aunque
no tenemos tantas posibilidades en Windows como en linux de realizar desautentificación
mediante "Ataque 0" (exceptuando
tarjeta con chipset atheros y el programa CommView para wifi) si podemos tener todo
el día el airodump funcionando hasta esperar que se proceda al
intercambio de claves en el inicio de la conexión entre el router
wireless (AP) y el ordenador (tarjeta wireless). Si analizamos o
analizan el trafico después de ese momento de intercambio de
claves no les servirá para nada. Y aunque consigan el intercambio
de claves tampoco les servirá para nada, ya que si me habéis hecho
caso y habéis puesto una contraseña con caracteres especiales (si
lo soporta vuestro router) números y letras y de una longitud que
no sea la mínima permitida y exigida, difícilmente esta contraseña
estará soportada por cualquier diccionario de claves por muy bueno
que sea.
Con el airodump se analizan los clientes
inalámbricos, pero para mas seguridad podemos usar "el Look@LAN" y
comprar todos los clientes asociados que pueda haber en la red. En
este caso vemos que nadie mas esta asociado a nuestra red.
Solo esta el router
(NOT WIN) y mi ordenador (WINDOWS). Y ya de paso analizamos el router y nos vale para entender como funciona este programa.
También se complementa este programa con el "IP Scanner" que
incluso te dan nombres de trabajo y de equipos, pero siempre para
elementos conectados en la misma red, o sea autentificados y
asociados.
¡
Mas cosas abiertas en mi instalación para acceso externo a mis
equipos ya no puede haber en mi sistema ¡
Pero este tipo de seguridad correspondería a otro portal Web y
seguro vosotros sabéis mas que yo de esto, y además este equipo
con el que estoy haciendo el manual lo uso de conejillo para
pruebas de IIS (y mas cosas) y es tan viejo que si le pongo
firewall y antivirus no hay manera que pueda navegar medianamente
rápido.
También
de paso observamos la información que nos da del router. Solo
presento la ventana principal, pero pinchando con el ratón en
cualquiera de ellas se obtiene mucho mas información.
La configuración y el manual para WPA en Windows XP profesional
con Service Pack 2 acabo mucho antes, pero hemos intentado aprovechar para
añadir algunos elementos extras mas, y ver algunas herramientas
que muchos usan para conocer información de nuestro equipo, pero
esto, esta claro que solo se puede hacer si estas autentificado y
asociado, cosa difícil de conseguir que nos hagan si estamos con
seguridad con WPA-PSK, con una matización, siempre que
hayamos puesto una clave muy difícil y rara. Y además podemos usar
esta herramientas para nuestro propio análisis de comprobación de
seguridad y comprobar que no hay ningún parásito en nuestra
conexión wireless.
Si comparáis este manual con el
Manual básico configuración WEP en
Windows XP SP2 es muy similar y el contenido es casi es
el mismo, por lo tanto con el mismo trabajo tenemos una seguridad
mucho mas alta. El otro manual es ideal para iniciarse en las
conexiones de redes inalámbricas y el estudio de la auditoria
wireless.
