practica 5

PRACTICA  5

Resolución de los problemas de configuración de una red inalámbrica.

En este apéndice se proporcionan soluciones a problemas que pueden surgir durante la instalación y elfuncionamiento del punto de acceso Wireless-G. La descripción proporcionada a continuación le ayudará asolucionar los problemas. Si no puede encontrar la respuesta aquí, visite el sitio Web de Linksys,

Para conseguir una verdadera conectividad sin problemas, la red LAN inalámbrica debe incorporar una serie de funciones. Por ejemplo, todos los nodos y puntos de acceso deben confirmar siempre la recepción de cada mensaje.

Todos los nodos deben mantener el contacto con la red inalámbrica aunque no estén transmitiendo datos. Para contar con estas funciones al mismo tiempo se necesita una tecnología de redes de radiofrecuencia dinámicas que enlacen los puntos de acceso y los nodos. En un sistema de este tipo, el nodo final del usuario busca el mejor acceso posible al sistema.

 En primer lugar, se evalúan factores como la potencia y la calidad de la  señal, así como la carga de mensajes que actualmente está gestionando cada punto de acceso y la distancia de cada uno de ellos hasta la red troncal con cables. Según esta información, el nodo selecciona el punto de acceso adecuado y registra su dirección.

A continuación, las comunicaciones entre el nodo final y el ordenador host se pueden transmitir hacia y desde la red troncal.

Cuando el usuario se mueve, el transmisor de radiofrecuencia del nodo final comprueba el sistema regularmente para determinar si está en contacto con el punto de acceso original o si debe buscar uno nuevo.

Cuando un nodo ya no recibe confirmación de su punto de acceso original, realiza una nueva búsqueda. Cuando encuentra un nuevo punto de acceso, se vuelve a registrar y el proceso de comunicación continúa.

Actividadad de evaluacion 1.2.1

 2.1 IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICA

La seguridad inalámbrica es un aspecto esencial de cualquier red inalámbrica. Es de gran preocupación porque las redes inalámbricas son altamente propensas a amenazas de seguridad accidental. La señal inalámbrica puede ser fácilmente detectado por alguien que está cerca de la red inalámbrica y está equipado con el receptor de la derecha.

Las redes inalámbricas deben ser garantizadas por completo. A veces fallas de seguridad se producen accidentalmente. Alguien que trabaja en su computadora portátil en un lugar dentro del rango de nuestra red inalámbrica puede recibir la señal en su computadora portátil accidentalmente o intencionalmente se puede hacer mediante el uso de un receptor.

       ACCESO NO AUTORIZADO

Puntos de acceso de las empresas no regulados

Un problema de seguridad más persistente pero menos publicitado que el fenómeno del ataque a las redes inalámbricas (War Driving) es la práctica de los empleados de configurar sus propios puntos de acceso inalámbrico y/o traer su propio equipo inalámbrico a la oficina. Los empleados podrían gastar algunos cientos de dólares en el punto de acceso inalámbrico y la tarjeta Ethernet para conectarse a la red empresarial de forma que puedan trabajar desde diversos sitios de la oficina. Generalmente estos puntos de acceso no autorizados son inseguros y el departamento de TI de la empresa no los conoce. Aquí radica el gran peligro de la tecnología inalámbrica: al traspasar un punto de acceso inalámbrico inseguro del empleado, con frecuencia el atacante puede tener total acceso sin filtros a la red empresarial.

Esta práctica común deja relegado al equipo de seguridad empresarial que lucha por actualizarse y proteger la tecnología inalámbrica no reglamentada que fue introducida por los empleados. Algunas veces los departamentos de TI están tratando de proteger la tecnología inalámbrica que aún no comprenden por completo. Algunas cifras indican que el 70 % de las empresas que instalan las redes inalámbricas tienen este problema.

    PUNTOS DE ACCESO NO AUTORIZADO

Un punto de acceso no autorizado, y por tanto “vulnerable”, puede poner en peligro la seguridad de la red inalámbrica y dejarla completamente expuesta al mundo exterior. Para poder eliminar este amenaza, el responsable de red debe primero detectar la presencia de un punto de acceso vulnerable y, a continuación, localizarlo.

Los dos métodos más comunes de localización de puntos de acceso vulnerables son el de convergencia y el de vectores. Ambos métodos presentan ventajas, pero requieren herramientas distintas. Conociendo estos procedimientos, el responsable de red podrá garantizar la seguridad de la red inalámbrica.

Localización

Un punto de acceso “vulnerable” puede poner en peligro la seguridad de la red inalámbrica. Se dice que un punto de acceso es vulnerable cuando éste es instalado por un usuario sin el conocimiento o aprobación del responsable de la red. Por ejemplo, un empleado trae su router inalámbrico a la oficina para tener acceso inalámbrico en una reunión. O bien, otra posibilidad con peores intenciones, es que alguien ajeno a la empresa instale un punto de acceso a la red para obtener conexión gratuita a Internet o para acceder a información confidencial. En cualquiera de los casos, estos puntos de acceso no autorizados carecen de la configuración de seguridad adecuada, bien por ignorancia o de manera intencionada. La red de la empresa queda totalmente expuesta al mundo exterior por culpa de estos puntos de acceso.

Los responsables de redes disponen de diferentes soluciones que facilitan la detección de los puntos de acceso vulnerables de la red. Sin embargo, la identificación de una vulnerabilidad no es más que la mitad del trabajo. El responsable de red debe a continuación localizar la ubicación de dicho punto de acceso. Una vez localizado, puede eliminarlo de la red o reconfigurarlo de acuerdo con los parámetros de seguridad adecuados.

Los dos métodos más utilizados para localizar puntos de acceso vulnerables son el de convergencia y el de vectores. El método de búsqueda utilizado depende de las herramientas de que se dispongan.

      ATAQUES MAN-IN-THE MIDDLE  (intermediarios).

En criptografía, un ataque man-in-the-middle (MitM o intermediario, en español) es un ataque en el que el enemigo adquiere la capacidad de leer, insertar y modificar a voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado. El atacante debe ser capaz de observar e interceptar mensajes entre las dos víctimas. El ataque MitM es particularmente significativo en el protocolo original de intercambio de claves de Diffie-Hellman, cuando éste se emplea sin autenticación

Posibles subataquesEl ataque MitM puede incluir algunos de los siguientes subataques:

Intercepción de la comunicación (eavesdropping), incluyendo análisis del tráfico y posiblemente un ataque a partir de textos planos (plaintext) conocidos.

Ataques a partir de textos cifrados escogidos, en función de lo que el receptor haga con el mensaje descifrado.

Ataques de sustitución.

Ataques de repetición.

Ataque por denegación de servicio (denial of service). El atacante podría, por ejemplo, bloquear las comunicaciones antes de atacar una de las partes. La defensa en ese caso pasa por el envío periódico de mensajes de status autenticados.

MitM se emplea típicamente para referirse a manipulaciones activas de los mensajes, más que para denotar intercepción pasiva de la comunicación.

Defensas contra el ataque La posibilidad de un ataque de intermediario sigue siendo un problema potencial de seguridad serio, incluso para muchos criptosistemas basados en clave pública. Existen varios tipos de defensa contra estos ataques MitM que emplean técnicas de autenticación basadas en:

Claves públicas

Autenticación mutua fuerte

Claves secretas (secretos con alta entropía)

Passwords (secretos con baja entropía)

Otros criterios, como el reconocimiento de voz u otras características biométricas

La integridad de las claves públicas debe asegurarse de alguna manera, pero éstas no exigen ser secretas, mientras que los passwords y las claves de secreto compartido tienen el requerimiento adicional de la confidencialidad. Las claves públicas pueden ser verificadas por una autoridad de certificación (CA), cuya clave pública sea distribuida a través de un canal seguro (por ejemplo, integrada en el navegador web o en la instalación del sistema operativo).

      DENEGACIÒN DE SERVICIOS.

Ataque de denegación de servicio

En seguridad informática, un ataque de denegación de servicio, también llamado ataque DoS (de las siglas en inglés Denial of Service), es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos. Normalmente provoca la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima.

Se genera mediante la saturación de los puertos con flujo de información, haciendo que el servidor se sobrecargue y no pueda seguir prestando servicios, por eso se le dice "denegación", pues hace que el servidor no dé abasto a la cantidad de usuarios. Esta técnica es usada por los llamados Crackers para dejar fuera de servicio a servidores objetivo.

Una ampliación del ataque Dos es el llamado ataque distribuido de denegación de servicio, también llamado ataque DDoS (de las siglas en inglés Distributed Denial of Service) el cual lleva a cabo generando un gran flujo de información desde varios puntos de conexión.

La forma más común de realizar un DDoS es a través de una botnet, siendo esta técnica el ciberataque más usual y eficaz.

En ocasiones, esta herramienta ha sido utilizada como un notable método para comprobar la capacidad de tráfico que un ordenador puede soportar sin volverse inestable y perjudicar los servicios que desempeña. Un administrador de redes puede así conocer la capacidad real de cada máquina

B. CONFIGURACIÓN DE PARÁMETROS PARA EL ESTABLECIMIENTO DE LA SEGURIDAD Y PROTECCIÓN DE DISPOSITIVOS INALÁMBRICOS.

       DESCRIPCIÓN GENERAL DEL PROTOCOLO DE SEGURIDAD INALÁMBRICO

La seguridad es un aspecto que cobra especial relevancia cuando hablamos de redes inalámbricas. Para tener acceso a una red cableada es imprescindible una conexión física al cable de la red. Sin embargo, en una red inalámbrica desplegada en una oficina un tercero podría acceder a la red sin ni siquiera estar ubicado en las dependencias de la empresa, bastaría con que estuviese en un lugar próximo donde le llegase la señal. Es más, en el caso de un ataque pasivo, donde sólo se escucha la información, ni siquiera se dejan huellas que posibiliten una identificación posterior.

El canal de las redes inalámbricas, al contrario que en las redes cableadas privadas, debe considerarse inseguro. Cualquiera podría estar escuchando la información transmitida. Y no sólo eso, sino que también se pueden inyectar nuevos paquetes o modificar los ya existentes (ataques activos). Las mismas precauciones que tenemos para enviar datos a través de Internet deben tenerse también para las redes inalámbricas.

Conscientes de este problema, el IEEE publicó un mecanismo opcional de seguridad, denominado WEP, en la norma de redes inalámbricas 802.11. Pero WEP, desplegado en numerosas redes WLAN, ha sido roto de distintas formas, lo que lo ha convertido en una protección inservible. Para solucionar sus deficiencias, el IEEE comenzó el desarrollo de una nueva norma de seguridad, conocida como 802.11i, que permitiera dotar de suficiente seguridad a las redes WLAN. El problema de 802.11i está siendo su tardanza en ver la luz. Su aprobación se espera para finales de 2004. Algunas empresas en vistas de que WEP (de 1999) era insuficiente y de que no existían alternativas estandarizadas mejores, decidieron utilizar otro tipo de tecnologías como son las VPNs para asegurar los extremos de la comunicación(por ejemplo, mediante IPSec). La idea de proteger los datos de usuarios remotos conectados desde Internet a la red corporativa se extendió, en algunos entornos, a las redes WLAN.

No ajena a las necesidades de los usuarios, la asociación de empresas Wi-Fidecidió lanzar un mecanismo de seguridad intermedio de transición hasta que estuviese disponible 802.11i, tomando aquellos aspectos que estaban suficientemente avanzados del desarrollo de la norma. El resultado, en 2003, fue WPA.

Con este trabajo, se pretende ilustrar las características, funcionamiento, aplicaciones, fallas y alternativas del protocolo de seguridad WEP.

Definición

WEP (Wired Equivalent Privacy, Privacidad Equivalente al Cable) es el algoritmo opcional de seguridad para brindar protección a las redes inalámbricas, incluido en la primera versión del estándar IEEE 802.11, mantenido sin cambios en las nuevas 802,11a y 802.11b, con el fin de garantizar compatibilidad entre distintos fabricantes. El WEP es un sistema de encriptación estándar implementado en la MAC y soportado por la mayoría de las soluciones inalámbricas. En ningún caso es compatible con IPSec.

Estándar

El estándar IEEE 802.11 proporciona mecanismos de seguridad mediante procesos de autenticación y cifrado. En el modo de red Ad Hoc o conjunto de servicios avanzados, la autenticación puede realizarse mediante un sistema abierto o mediante clave compartida. Una estación de red que reciba una solicitud puede conceder la autorización a cualquier estación, o sólo a aquellas que estén incluidas en una lista predefinida. En un sistema de clave compartida, sólo aquellas estaciones que posean una llave cifrada serán autenticadas.

El estándar 802.11 especifica una capacidad opcional de cifrado denominada WEP ( Wireless Equivalent Privacy); su intención es la de establecer un nivel de seguridad similar al de las redes cableadas. WEP emplea el algoritmo RC4 de RSA Data Security, y es utilizado para cifrar las transmisiones realizadas a través del aire.

WEP es un elemento crítico para garantizar la confidencialidad e integridad de los datos en los sistemas WLAN basados en el estándar 802.11, así como para proporcionar control de acceso mediante mecanismos de autenticación. Consecuentemente, la mayor parte de los productos WLAN compatibles con 802.11 soportan WEP como característica estándar opcional.

Cifrado:

WEP utiliza una clave secreta compartida entre una estación inalámbrica y un punto de acceso. Todos los datos enviados y recibidos entre la estación y el punto de acceso pueden ser cifrados utilizando esta clave compartida. El estándar 802.11 no especifica cómo se establece la clave secreta, pero permite que haya una tabla que asocie una clave exclusiva con cada estación. En la práctica general, sin embargo, una misma clave es compartida entre todas las estaciones y puntos de acceso de un sistema dado.

  AUTENTICACIÓN DE UNA LAN INALÁMBRICA

Con el fin de solucionar estos problemas surge el protocolo 802.1x, que aunque lleve ya algunos años en el mercado, pocas empresas lo utilizan, debido a su complejidad de instalación. Pero gracias a esta guía que implemente las cosas van hacer mucho más fácil y compleja su instalación.

El protocolo 802.1x ofrece un marco en el que se lleva a cabo un proceso de autentificación del usuario, así como un proceso de variación dinámica de claves, todo ello ajustado a un protocolo, denominado EAP (Extensible Authentication Protocol). Mediante este procedimiento, todo usuario que esté empleando la red se encuentra autentificado y con una clave única, que se va modificando de manera automática y que es negociada por el servidor y el cliente de manera transparente para el usuario. El servicio soporta múltiples procesos de autenticación tales como Kerberos, Radius, certificados públicos, claves de una vez, etc. Aunque no es el objetivo de esta guía enumerar los diferentes procesos de autentificación, basta con mencionar que Windows 2003 Server ® soporta este servicio.

Para entender cómo funciona el protocolo 802.1x sigamos el siguiente esquema.

       El cliente, que quiere conectarse a la red, manda un mensaje de inicio de EAP que da lugar al proceso de autentificación. Siguiendo con nuestro ejemplo, la persona que quiere acceder a la FUP pediría acceso al guardia de seguridad de la puerta.

 El punto de acceso a la red respondería con una solicitud de autentificación EAP. En nuestro ejemplo, el guardia de seguridad respondería solicitando el nombre y el apellido del cliente, así como su huella digital. Además, antes de preguntarle, el guarda de seguridad le diría una contraseña al cliente, para que éste sepa que realmente es un guardia de seguridad.

       El cliente responde al punto de acceso con un mensaje EAP que contendrá los datos de autentificación. ‘Nuestro cliente le daría el nombre y los apellidos al guardia de seguridad además de su huella digital’.

     El servidor de autentificación verifica los datos suministrados por el cliente mediante algoritmos, y otorga acceso a la red en caso de validarse. En nuestro caso, el sistema de la FUP verificaría la huella digital, y el guardia validaría que se correspondiese con el cliente.

      El punto de acceso suministra un mensaje EAP de aceptación o rechazo, dejando que el cliente se conecte o rechazándolo. Nuestro guardia de seguridad le abrirá la puesta o no, en función de la verificación al cliente.

       Una vez autentificado, el servidor acepta al cliente, por lo que el punto de acceso establecerá el puerto del cliente en un estado autorizado. Nuestro cliente estará dentro de la FUP.

De esta manera, el protocolo 802.1x provee una manera efectiva de autentificar, se implementen o no claves de autentificación WEP. De todas formas, la mayoría de las instalaciones 802.1x otorgan cambios automáticos de claves de encriptación usadas solo para la sesión con el cliente, no dejando el tiempo necesario para que ningún sniffer sea capaz de obtener la clave.

       ENCRIPTACIÓN

Se trata de una medida de seguridad que es usada para almacenar o transferir información delicada que no debería ser accesible a terceros. Pueden ser contraseñas, nos. de tarjetas de crédito, conversaciones privadas, etc.

Para encriptar información se utilizan complejas fórmulas matemáticas y para desencriptar, se debe usar una clave como parámetro para esas fórmulas.
El texto plano que está encriptado o cifrado se llama criptograma.

Aclaración: encriptación vs. cifrado

Se prefiere el uso de la palabra "cifrado" en lugar de "encriptación", debido a que esta última es una mala traducción del inglés encrypt.

La Tarjeta PC de la computadora portátil recibe y transmite información digital sobre una frecuencia de radio de 2,4 GHz. La tarjeta convierte la señal de radio en datos digitales (en realidad, pequeños paquetes de información) que la PC puede comprender y procesar.

La tarjeta PCI se conecta a una computadora de escritorio y funciona de modo similar a la Tarjeta PC, con la diferencia de que es especial para Portátiles.

El punto de acceso de software permite que una PC conectada a una red Ethernet (un tipo de red de área local muy común) pueda desempeñarse como punto de acceso de hardware.

El punto de acceso de hardware recibe y transmite información de forma similar a la tarjeta PC. Se conecta a la red Ethernet mediante un conector RJ-45 y maneja el tráfico entrante y saliente entre la red fija y los usuarios de la LAN INALÁMBRICA o "clientes", actuando así como un hub inalámbrico. En otras palabras, el punto de acceso de hardware se desempeña como portal o rampa de ingreso, para que los usuarios inalámbricos puedan acceder a una LAN cableada.

Es importante destacar que, tal como ocurre en una autopista en horas de máximo tráfico, cuantos más usuarios se hallan en el punto de acceso, tanto más lento será el tráfico. El punto de acceso de hardware se conecta a un hub, conmutador o encaminado, pero también puede conectarse directamente a un servidor mediante un adaptador de cable.

Modo de infraestructura.- Cuando se selecciona el modo de infraestructura (en la PC mediante la utilidad de configuración), el usuario puede enviar y recibir señales de radio (información) a través de un punto de acceso, el cual puede ser mediante hardware o software. Este punto de acceso se conecta a una red convencional mediante un cable, recibe la señal de radio del cliente y la convierte a formato digital que la red y el servidor pueden comprender y procesar. Si el usuario solicita información (por ejemplo, una página web), el punto de acceso envía una señal de radio a la PC del usuario de la LAN INALÁMBRICA. Los puntos de acceso están ubicados en las conexiones de red donde cualquier computadora, impresora u otro dispositivo de red se conectaría mediante un cable RJ-45 (similar a un enchufe telefónico, pero ligeramente más grande).

  LAN inalámbrica con infraestructura

  Modo de pares: Cuando se selecciona el modo entre pares (peer to peer), los usuarios se conectan a otras computadoras (ya sea portátiles o de mesa) equipadas con productos inalámbricos IEEE 802.11b de alta velocidad. Este modo se utiliza cuando no existen redes cableadas cuando un grupo de usuarios desea configurar su propia red para colaborar y compartir archivos. En el extremo de servidor/red, el gerente de tecnología de la información debe instalar un paquete de software, que su departamento debe introducir en el servidor apropiado.

      Este paquete de software permite configurar, administrar y controlar el seguimiento del tráfico inalámbrico a través de la red.

     Cada punto de acceso de hardware ofrece un caudal dehasta 11 Mbps. Esta capacidad es adecuada para las siguientes actividades:

  * 50 usuarios, en su mayoría inactivos, que ocasionalmente consultan mensajes de correo electrónico de texto.
* 25 usuarios principales que utilizan intensamente servicios de correo electrónico y cargan o descargan archivos de tamaño moderado.
* 10 a 20 usuarios que constantemente están conectados a la red y trabajan con archivos grandes.

     Para aumentar la capacidad, pueden agregarse más puntos de acceso, lo que brinda a los usuarios mayor oportunidad de ingresar a la red. Es importante destacar que las redes se consideran optimizadas cuando los puntos de acceso corresponden a distintos canales

    Ejemplo: Una compañía puede establecer 3 puntos de acceso (con un alcance de hasta 100 metros cada uno) en 3 oficinas adyacentes, cada uno configurado a un canal distinto. En teoría, esto permitiría que numerosos usuarios "compartiesen" una capacidad total de hasta 33 Mbps (si bien ningún usuario podría alcanzar velocidades superiores a 11 Mbps). En la realidad, dado que los clientes se comunican con el punto de acceso que les ofrece la señal más intensa, el ancho de banda no necesariamente se distribuye uniformemente entre todos los usuarios.

    LAN troncal cableada como una Ethernet. Conecta varios servidores, estaciones de trabajo, o dispositivos de encaminamiento para conectar otra red Existe un Modulo de Control que funciona como interfaz con la LAN inalámbrica.

    LAN inalámbrica de celda única

     LAN inalámbrica de celdas múltiples Existen varios módulos de control interconectados por una LAN cableada. Cada modulo da servicio a varios sistemas finales inalámbricos dentro de su rango de transmisión.

CONTROL DEL ACCESO A LA LAN INALÁMBRICO

Practicas 1,2,3,,4

PRACTICA 1

v  Primero lo que hicimos fue conectar el Access point a una laptop.

v  Después dimos a inicio

v  Clic en equipo

v  Clic en re para seleccionar propiedades

v  Buscamos el 3com

v  Después le dimos en estado y propiedades

v  Seleccionamos en protocolo internet

v  Propiedades

v  Le asignamos una dirección ip la cual: 192.168.1.4

v  Después nos apareció la subred: 255.255.255.0

v  Le dimos en aceptar

v  Y cerrar

PRACTICA 2

Configuración de un cliente inalámbrico

Configuración de los clientes inalámbricos de Windows XP (sin WPA o WPA2)

La configuración de los clientes inalámbricos de Windows XP para la autenticación de sistema abierto y WEP depende de si el controlador de adaptador de red inalámbrico admite la configuración inalámbrica automática y de si utiliza Windows XP con SP2, Windows XP con SP1 o Windows XP sin ningún Service Pack instalado.

El controlador de adaptador de red inalámbrico admite la configuración inalámbrica automática con Windows XP con SP2

Utilice el siguiente procedimiento para configurar Windows XP con SP2 para la red inalámbrica en modo de infraestructura si el adaptador de red inalámbrico admite la configuración inalámbrica automática:

1.	Instale el adaptador de red inalámbrico en Windows XP con SP2. Este proceso incluye la instalación de los controladores adecuados para el adaptador de red inalámbrico para que aparezca como una conexión inalámbrica en Conexiones de red.
2.	Cuando el equipo esté dentro del alcance del punto de acceso inalámbrico de su casa o pequeña empresa, Windows XP debe detectarlo y mostrar el mensaje Redes inalámbricas detectadas en el área de notificación de la barra de tareas.
3.	Haga clic en el mensaje de notificación. Si no recibe una notificación, haga clic con el botón secundario en el adaptador de red inalámbrico en Conexiones de red y haga clic en Ver redes inalámbricas disponibles. En cualquier caso, debe aparecer un cuadro de diálogo con el nombre de la conexión inalámbrica.
4.	Haga doble clic en el nombre de la red inalámbrica. Windows XP intentará conectarse a la red inalámbrica.
5.	Debido a que Windows XP no se ha configurado con la clave de cifrado WEP para la red inalámbrica, se producirá un error en el intento de conexión y Windows XP mostrará el cuadro de diálogo Conexión de red inalámbrica. Escriba la clave WEP en Clave de red y en Confirme la clave de red; a continuación, haga clic en Conectar.
6.	Si el mensaje de estado de la red inalámbrica en el cuadro de diálogo Conexión de red inalámbrica es Conectado, ya ha finalizado. Si el mensaje de estado de la red inalámbrica en el cuadro de diálogo Conexión de red inalámbrica es La autenticación no se completó satisfactoriamente, haga clic en Cambiar el orden de las redes preferidas en la lista Tareas relacionadas. En la ficha Redes inalámbricas de las propiedades del adaptador de red inalámbrica, haga clic en el nombre de la red inalámbrica en Redes preferidas y, a continuación, haga clic en Propiedades.
7.	En Autenticación de red, haga clic en Abierta. En Cifrado de datos, haga clic en WEP. En Clave de red y Confirme la clave de red, escriba la clave de cifrado WEP tal como está configurada en el punto de acceso inalámbrico.
8.	En Índice de la clave, seleccione el índice de clave correspondiente a la posición de memoria de clave de cifrado tal como está configurado en el punto de acceso inalámbrico.
9.	Haga clic en Aceptar para guardar los cambios en la red inalámbrica.
10.	Haga clic en Aceptar para guardar los cambios en el adaptador de red inalámbrico.

En la figura 3 se muestra un ejemplo del cuadro de diálogo Propiedades de red inalámbrica de Windows XP con SP2 para una red inalámbrica doméstica con la siguiente configuración:

•	SSID es HOME-AP
•	Está habilitada la autenticación de sistema abierto.
•	Está habilitado WEP
•	La clave de cifrado WEP tiene una longitud de 104 bits, en formato hexadecimal, se utiliza el índice de clave 1 (la primera posición de clave de cifrado) y consta de la secuencia "8e7cd510fba7f71ef29abc63ce".

PRACTICA 3

CONFIGURACIÓN DE SEGURIDAD INALÁMBRICA.

Linksys desea que las redes inalámbricas sean totalmente seguras y fáciles de usar. La generación actual de productos Linksys proporciona varias funciones de seguridad de red. Sin embargo, para implementarlas debe realizar una acción específica. Por este motivo, debe tener en cuenta los siguientes puntos cuando configure o utilice la red inalámbrica.

Precauciones de seguridad

A continuación se muestra una lista completa de precauciones de seguridad que se deben tener en cuenta (como se muestra en esta guía del usuario; se deben seguir, como mínimo, los pasos 1 a 5):

1. Cambie el SSID predeterminado.

2. Desactive la difusión de SSID.

3. Cambie la contraseña predeterminada de la cuenta de administrador.

4. Active el filtrado de direcciones MAC.

5. Cambie el SSID de forma periódica.

6. Utilice el algoritmo de encriptación más alto posible. Utilice WPA si está disponible. Tenga en cuenta que de esta forma se puede reducir el rendimiento de la red.

7. Cambie las claves de encriptación WEP de forma periódica.

Para garantizar la seguridad de la red, se deben seguir, como mínimo, los pasos uno a cinco.

Amenazas de seguridad a las que se enfrentan las redes inalámbricas

Las redes inalámbricas se detectan fácilmente. Los hackers saben que para conectarse a una red inalámbrica, los productos de redes inalámbricas buscan en primer lugar “mensajes de baliza”. Estos mensajes se pueden descifrar fácilmente y contienen la mayor parte de la información de la red, como el SSID (identificador del conjunto de servicios) de la misma. A continuación se detallan los pasos que puede realizar:

Cambie la contraseña del administrador de forma regular. Con cada dispositivo de red inalámbrica que utilice, tenga en cuenta que los parámetros de red (SSID, claves WEP, etcétera) están almacenados en su firmware. El administrador de red es la única persona que puede cambiar los parámetros de red. Si un hacker consigue la contraseña del administrador, él también podrá cambiar esos parámetros. Por lo tanto, póngale difícil obtener esa información. Cambie la contraseña del administrador de forma regular.

SSID. Hay varias cosas que se deben tener en cuenta sobre el SSID:

1. Desactive la difusión.

2. Haga que sea único.

3. Cámbielo con frecuencia.

La mayoría de los dispositivos de red inalámbrica le ofrecen la opción de difundir el SSID. Si bien esta opción puede ser más práctica, permite que cualquier persona pueda iniciar sesión en la red inalámbrica, entre otros, los hackers. Por lo tanto, no lo difunda.

Los productos de redes inalámbricas incluyen un SSID predeterminado definido de fábrica (el SSID predeterminado de Linksys es “linksys”). Los hackers conocen estos parámetros predeterminados y pueden comprobar si son los que tiene definidos en la red. Cambie el SSID para que sea único y no esté relacionado con su empresa ni con los productos de red que utiliza.

Cambie el SSID de forma regular para que cualquier hacker que haya accedido a la red inalámbrica tenga dificultades desde el principio para entrar en el sistema.

Direcciones MAC. Active el filtrado de direcciones MAC. Este filtrado permite proporcionar acceso sólo a los nodos inalámbricos con determinadas direcciones MAC. Esto dificulta al hacker el acceso a la red con una dirección MAC aleatoria.

Encriptación WEP. La privacidad equivalente a conexión con cables (WEP) se suele considerar una panacea en materia de seguridad inalámbrica. Esto supone una exageración de la capacidad de WEP. Este método sólo puede proporcionar el nivel de seguridad necesario para que el trabajo del hacker sea más difícil.

Puede optimizar la clave WEP de varias formas:

1. Utilice el nivel máximo de encriptación posible.

2. Utilice autenticación de “clave compartida”.

3. Cambie la clave WEP de forma regular.

WPA. El acceso Wi-Fi protegido (WPA) es el último y mejor estándar disponible en seguridad Wi-Fi. Hay cuatro modos disponibles: WPA-Personal, WPA2-Personal, WPA-Enterprise y RADIUS. WPA-Personal le ofrece dos métodos de encriptación para elegir: TKIP (protocolo de integridad de clave temporal), que utiliza un método de encriptación más fiable e incorpora MIC (código de integridad del mensaje) para ofrecer protección contra hackers, y AES (estándar de encriptación avanzado), que utiliza una encriptación simétrica de datos de bloques de 128 bits. WPA2-Personal sólo utiliza la encriptación AES, más fiable que TKIP. WPA-Enterprise ofrece dos métodos de encriptación, TKIP y AES, con claves de encriptación dinámica. RADIUS (servicio de usuario de acceso telefónico de autenticación remota) utiliza un servidor RADIUS para la autenticación.

WPA-Personal. Si no dispone de un servidor RADIUS, seleccione el tipo de algoritmo que desee utilizar, TKIP o AES, e introduzca una contraseña en el campo Passphrase (Frase de paso) de 8 a 63 caracteres.

WPA2-Personal. Introduzca una contraseña en el campo Passphrase (Frase de paso) de 8 a 63 caracteres.

WPA-Enterprise. Uso de WPA junto con un servidor RADIUS (sólo se debe utilizar si hay un servidor RADIUS conectado al router o a otro dispositivo). WPA-Enterprise ofrece dos métodos de encriptación, TKIP y AES, con claves de encriptación dinámica. Introduzca la dirección IP y el número de puerto del servidor RADIUS, junto con una clave compartida entre el dispositivo y el servidor. Por último, introduzca un periodo de renovación de clave de grupo (Group Key Renewal),

que indica al dispositivo la frecuencia con que debe cambiar las claves de encriptación.

RADIUS. Uso de WEP junto con un servidor RADIUS (sólo se debe utilizar si hay un servidor RADIUS conectado al router o a otro dispositivo.) En primer lugar, introduzca la dirección IP y el número de puerto del servidor

RADIUS, junto con una clave compartida entre el dispositivo y el servidor. A continuación, seleccione una clave WEP y un nivel de encriptación WEP, y genere una clave WEP mediante la frase de paso o introduzca la clave WEP manualmente.

La implantación de la encriptación puede tener un impacto negativo sobre el rendimiento de la red, pero si está transmitiendo datos de gran importancia por la red, debe utilizar la encriptación.

Estas recomendaciones de seguridad le aportarán tranquilidad durante el uso de la tecnología más flexible y práctica que Linksys puede ofrecerle.

PRACTICA 4.-

Unidad de aprendizaje: Configuración de dispositivos de red inalámbricos.

Práctica: Configuración básica de una red inalámbrica.

Propósito de la práctica Conecta y configura un Punto de Acceso (Access Point) para crear una red inalámbrica básica.

Escenario: Laboratorio de informática Duración 2 hrs.

Materiales, Herramientas,

Instrumental, Maquinaria

y Equipo.

Desempeños

3 Estaciones de trabajo

1 switch.

1 Router.

1 Access Point.

4 cables directos.

CONFIGURACIÓN DEL PUNTO DE ACCESO

Descripción general

Una vez conectado el punto de acceso a la red con cables, puede comenzar la configuración. Este asistente de

Configuración le guía por los pasos necesarios para configurar el punto de acceso.

Uso del asistente de configuración

1. Introduzca el CD-ROM del asistente de configuración en la unidad de CD-ROM. El asistente de configuración

se debe ejecutar de forma automática y debe aparecer la pantalla Welcome (Bienvenido). Si no es así, haga

clic en el botón Start (Inicio) y seleccione Run (Ejecutar). En el campo que aparece, escriba D:\setup.exe

(donde “D” es la letra de la unidad de CD-ROM).

2. En la pantalla Welcome (Bienvenido), haga clic en el botón Click Here to Start (Haga clic aquí para empezar)

o Setup (Configuración) si es la primera vez que ejecuta el asistente de configuración. Éstas son las otras

opciones:

User Guide (Guía del usuario): Haga clic en el botón User Guide (Guía del usuario) para abrir el archivo PDF

de esta guía del usuario.

Exit (Salir): Haga clic en el botón Exit (Salir) para salir del asistente de configuración.

3. Lo más recomendable es configurar el punto de acceso mediante un PC de la red con cables. Conecte el cable de red al router o conmutador de red. Haga clic en el botón Next (Siguiente).

4. En esta pantalla se muestra cómo deberá estar conectado el punto de acceso mientras se ejecuta el asistente de configuración. Conecte el otro extremo del cable de red al puerto de red Ethernet del punto de acceso.

Haga clic en el botón Next (Siguiente).

5. Conecte el adaptador de corriente al punto de acceso y a una toma de corriente. Haga clic en el botón Next

(Siguiente).

6. Asegúrese de que las luces Power (Alimentación), Act (Actividad) y Link (Enlace) del punto de acceso están encendidas en el panel frontal. Si no lo están, compruebe las conexiones de los cables. Haga clic en el botón Next (Siguiente) para continuar.

7. El asistente de configuración realizará una búsqueda del punto de acceso en la red y a continuación mostrará una lista con la información de estado del punto de acceso seleccionado. Si la red sólo dispone de este punto de acceso, no aparece ninguno más. Si aparece más de uno, seleccione el que desee haciendo clic en él. Haga clic en el botón Yes (Sí) para cambiar la configuración o en el botón No para mantener la configuración.

8. Se le solicita que acceda al punto de acceso seleccionado. Introduzca la contraseña predeterminada, admin. A continuación, haga clic en Entrar (el nombre de usuario y la contraseña se pueden modificar en la ficha Administration [Administración] - Management [Gestión] de la utilidad basada en Web).

                                         

9. A continuación aparece la pantalla Basic Settings (Parámetros básicos). Introduzca un nombre descriptivo en el campo Device Name (Nombre del dispositivo). Cree una contraseña que controlará el acceso a la utilizad basada en Web y al asistente de configuración del punto de acceso.

Si el router de red asigna de forma automática una dirección IP al punto de acceso, seleccione Automatic-DHCP (Automática-DHCP). Si desea asignar una dirección IP estática o fija al punto de acceso, seleccione Static IP (IP estática). Introduzca la dirección IP, la máscara de subred y los parámetros predeterminados de la puerta de enlace. Si no está seguro

De los cambios que se deben realizar, mantenga los valores predeterminados.

A continuación, haga clic en el botón Next (Siguiente) para continuar o en Back (Atrás) para volver a la página anterior.

Device Name (Nombre del dispositivo): Introduzca un nombre descriptivo para el punto de acceso.

Password (Contraseña): Introduzca una contraseña que controlará el acceso a la utilidad y al asistente De configuración. IP Address (Dirección IP): La dirección IP debe ser única en la red (la dirección IP predeterminada es 192.168.1.245).

Subnet Mask (Máscara de subred): La máscara de subred del punto de acceso deberá ser la misma que la máscara de subred de la red Ethernet.

Default Gateway (Puerta de enlace predeterminada): Introduzca la dirección IP de la puerta de enlace de la red(normalmente, el router).

Haga clic en el botón Next (Siguiente) para continuar o en el botón Back (Atrás) para volver a la pantalla anterior.

10. Hay dos formas de configurar los parámetros inalámbricos del punto de acceso: mediante SecureEasySetup y con la configuración manual.

Si tiene otros dispositivos SecureEasySetup, como adaptadores para ordenadores portátiles o impresoras, puede utilizar la función SecureEasySetup del punto de acceso para configurar la red inalámbrica. Vaya a la sección “Uso de la función SecureEasySetup del punto de acceso”.

Si no tiene más dispositivos SecureEasySetup, vaya a la sección “Configuración manual de los parámetros inalámbricos del punto de acceso”.