Conexin a redes inalmbricas (Wifi) desde terminal

Introduccin.

Configurar y conectarse a una red Wifi desde la interfaz grfica es un procedimiento

relativamente trivial, dejando que todos los procedimientos los realicen NetworkManager o
Connman. Sin embargo ha circunstancias en las cuales puede ser necesario conectarse a una
red Wifi desde una terminal. A continuacin describir los procedimientos para conectarse a
los dos tipos de redes Wifi ms utilizados, WEP y WPA, con configuraciones bsicas
utilizadas en dispositivos como seran los puntos de acceso de los modem ADSL de
Prodigy Infinitum.
Que es WPA? Por qu debera usarlo en lugar de WEP?

WPA (Wi-Fi Protected Access) y WPA2 es una clase de sistemas para el aseguramiento de
redes inalmbricas. WPA fue creado en respuesta a las serias debilidades de otros
protocolos como WEP (Wired Equivalent Privacy). Implementa la mayora de lo que
conforma el estndar IEEE 802.11i y fue diseado para funcionar con todas los
dispositivos para redes inalmbricas, excepto los puntos de acceso de primera generacin.
WPA2 implementa todo el estndar IEEE 802.11i, pero no funciona con muchos
dispositivos viejos.
WPA fue creado por el grupo industrial y comercial Alianza Wi-Fi, dueos de la marca
registrada Wi-Fi y certificadores de los dispositivos que ostenten dicho nombre.
Los datos utilizan el algoritmo RC4 con una clave de 128 bits y un vector de inicializacin
de 48 bits. Una de las mejoras ms sobresalientes sobre su predecesor, WEP, es TKIP
(Temporal Key Integrity Protocol o Protocolo de integridad de clave temporal), el cual
consiste en el cambio dinmico mientras se utiliza el sistema. Cuando se combina con
Vectores de Inicializacin mayores, hace considerablemente ms difcil realizar ataques
para la obtencin de llaves, como ocurre con WEP.
Adems de proporcionar autenticacin y ciframiento, WPA proporciona mejor integridad
de la carga til. La verificacin de redundancia cclica (CRC o Cyclic Redundancy Check)
utilizada en WEP es insegura porque permite alterar la carga til y actualizar el mensaje de
verificacin de redundancia cclica sin necesidad de conocer la clave WEP. En cambio
WPA utiliza un Cdigo de Integridad de Mensaje (MIC o Message Integrity Code) que
es en realidad un algoritmo denominado Michael, que fue el ms fuerte que se pudo
utilizar con dispositivos antiguos para redes inalmbricas a fin de no dejar obsoletos a
stos. El Cdigo de Integridad de Mensaje de WPA incluye un un mecanismo que
contrarresta los intentos de ataque para vulnerar TKIP y bloques temporales.

En resumen, WPA hace ms difcil vulnerar las redes inalmbricas al incrementar los
tamaos de las claves y Vectores de Inicializacin, reduciendo el nmero de paquetes
enviados con claves relacionadas y aadiendo un sistema de verificacin de mensajes.
Adems de poder utilizar una clave compartida (PSK o Pre-Shared Key), lo cual suple la
complejidad de implementacin de un servidor de autenticacin 802.1X en hogares y
oficinas pequeas, WPA puede utilizar Protocolos Extensibles de Autenticacin (EAP o
(Extensible Authentication Protocol), como los siguientes:

EAP-TLS
EAP-TTLS/MSCHAPv2
PEAPv0/EAP-MSCHAPv2
PEAPv1/EAP-GTC
EAP-SIM
EAP-LEAP

Entre los diversos servidores que pueden utilizarse para este tipo de implementaciones, est
FreeRADIUS. Alcance Libre cuenta con un modesto documento para la configuracin de
esta implementacin.
Equipamiento lgico necesario.
Instalacin a travs de yum.

Se requieren los paquetes wireless-tools y wpa_supplicant. Para instalar o actualizar el

equipamiento lgico necesario en CentOS, Fedora o Red Hat Enterprise Linux y
versiones posteriores de stos, slo se necesita ejecutar como root lo siguiente:
yum -y install wireless-tools wpa_supplicant

Si utiliza openSUSE o SUSE Linux Enterprise, slo se necesita ejecutar lo siguiente para
instalar o actualizar el equipamiento lgico necesario, en caso de que ste estuviese
ausente:
yast -i wireless-tools wpa_supplicant

Si utiliza Debian o Ubuntu y versiones posteriores, slo se necesita ejecutar lo siguiente

para instalar o actualizar el equipamiento lgico necesario, en caso de que ste estuviese
ausente:
sudo apt-get install wireless-tools wpa_supplicant

Preparativos.

En sistemas operativos basados sobre CentOS, Fedora, Red Hat Enterprise Linux,
openSUSE y SUSE Linux Enterprise, el primer paso consiste en cambiarse al usuario
root:

su -l

En sistemas operativos basados sobre Ubuntu Linux, se puede utilizar el mandato sudo para
todos los procedimientos, precediendo todos los mandatos utilizados con sudo.
sudo cualquier mandato utilizado

Ejemplos:
sudo ifup lo
sudo iwconfig wlan0
sudo iwlist wlan0 scan

Debido a que seguramente el servicio NetworkManager har conflicto con los

procedimientos, se debe detener ste:
service NetworkMananger stop

Muchos componentes del sistema requieren que est activa la interfaz de retorno del
sistema (loopback), por lo que es importante iniciar sta:
ifup lo

Para poder comenzar a utilizar la interfaz Wifi, solo basta ejecutar el mandato iwconfig
sobre dicha interfaz:
iwconfig wlan0

Es buena idea realizar un escaneado de las redes Wifi disponibles para asegurarse se puede
acceder a la red Wifi deseada y para determinar el protocolo a utilizar:
iwlist wlan0 scan

Autenticando en el punto de acceso.

A travs de redes WEP.

Para redes inalmbricas con autenticacin a travs de cifrado WEP, que se caracterizan por
tener una seguridad muy pobre, el procedimiento es simple. Slo basta utilizar dos
mandatos. El primero define el nombre del punto de acceso a utilizar:
iwconfig wlan0 essid punto-de-acceso

El segundo mandato se utiliza para definir la clave de acceso a utilizar, sea de 64 o 128 bit.
iwconfig wlan0 key clave-de-acceso

Si se utiliza una clave WEP tipo ASCII, se define de la siguiente manera:

iwconfig wlan0 key s:clave-de-acceso

A travs de redes WPA.

Se procede a determinar el nombre de la red Wifi a utilizar y la clave de acceso. El mandato

wpa_passphrase se utilizar para generar un archivo de configuracin a utilizar
posteriormente:
wpa_passphrase punto-de-acceso clave-de-acceso >
/root/wpa.conf

Si se realiza el procedimiento desde Ubuntu Linux, el mandato anterior fallar si se utiliza

sudo debido a limitaciones de seguridad de sudo y deber utilizarse entonces el siguiente:
sudo bash -c "wpa_passphrase punto-de-acceso clave-de-acceso >
/root/wpa.conf"

Lo anterior generar el archivo wpa.conf dentro del directorio de inicio del usuario root.
Para iniciar la autenticacin con la red Wifi, se utiliza el mandato wpa_supplicant con las
opciones -B, para enviar el procesos a segundo plano, -D, para especificar el controlador a
utilizar y -c, para especificar el archivo de configuracin creado en el paso anterior.
wpa_supplicant -B -Dwext -iwlan0 -c/root/wpa.conf

Asignando parmetros de red a la interfaz.

Utilizando dhclient.

Lo ms comn es utilizar el mandato dhclient para dejar que el servidor DHCP del punto
de acceso o la LAN se encargue de asignar los parmetros de red para la interfaz. Es buena
idea indicar a dhclient que libere el prstamo que estuviera asignado en el servidor DHCP:
dhclient -r

Para obtener una nueva direccin IP, se utiliza el mandato dhclient de la siguiente manera:
dhclient wlan0

Asignando manualmente los parmetros de red.

Si se conocen los datos para la configuracin de red, tambin es posible asignarlos

manualmente. En el siguiente ejemplo, se asigna a la interfaz wlan0 la direccin IP
192.168.70.50, con mscara de subred 255.255.255.128 (25 bit) y puerta de enlace
192.168.70.1:
ip addr add 192.168.70.50/25 dev wlan0
ip route add default via 192.168.70.1 dev wlan0

Para definir el servidor DNS, como el usuario root, se edita el archivo /etc/resolv.conf y se
define la direccin IP del servidor DNS a utilizar. En el siguiente ejemplo, se define
192.168.70.1 como servidor DNS:

echo "nameserver 192.168.70.1" > /etc/resolv.conf

Si se realiza el procedimiento desde Ubuntu Linux o Debian, el mandato anterior fallar si

se utiliza sudo debido a limitaciones de seguridad de sudo y deber utilizarse entonces el
siguiente:
sudo bash -c "echo 'nameserver 192.168.70.1' >
/etc/resolv.conf"

Asignacin permanente de parmetros de red en CentOS, Fedora y

Red Hat Enterprise Linux.

Solo es necesario crear el archivo de interfaz, dentro de /etc/sysconfig/network-scripts/

siguiendo el siguiente formato:
ifcfg-Auto_punto-de-acceso

Como ejemplo, si se desea conectar el sistema a un punto de acceso denominado alcance2,

se debe crear el archivo /etc/sysconfig/network-scripts/ifcfg-Auto_alcance2:
vim /etc/sysconfig/network-scripts/ifcfg-Auto_alcance2

Si se va a conectar a travs de DHCP y utilizar cifrado WEP, poner el siguiente contenido:

NAME="Auto alcance2"
ONBOOT=yes
TYPE=Wireless
BOOTPROTO=dhcp
ESSID=alcance2
MODE=Managed
SECURITY_MODE=open
DEFAULTKEY=1
PEERDNS=yes
PEERROUTES=yes
DHCP_CLIENT_ID=nombre-equipo
DHCP_HOSTNAME=nombre-equipo

Si se va a conectar a travs de DHCP y utilizar cifrado WPA, poner el siguiente contenido:

NAME="Auto alcance2"
ONBOOT=yes
TYPE=Wireless
BOOTPROTO=dhcp
ESSID=alcance2
MODE=Managed
KEY_MGMT=WPA-PSK
PEERDNS=yes
PEERROUTES=yes
DHCP_CLIENT_ID=nombre-equipo
DHCP_HOSTNAME=nombre-equipo

Para la clave de acceso del punto de acceso, es necesario crear el archivo

/etc/sysconfig/network-scripts/keys-Auto_alcance2:

vim /etc/sysconfig/network-scripts/keys-Auto_alcance2

Si se va a conectar por WEP, poner el siguiente contenido:

KEY_PASSPHRASE1=clave-de-acceso

Si se va a conectar por WPA, poner el siguiente contenido:

WPA_PSK=clave-de-acceso

Hecho todo lo anterior, ser posible iniciar la interfaz ejecutando el siguiente mandato:
ip link set wlan0 up

Cuando sea necesario detener la interfaz, se ejecuta el siguiente mandato.

ip link set wlan0 down