Professional Documents
Culture Documents
Introduccin.
WPA (Wi-Fi Protected Access) y WPA2 es una clase de sistemas para el aseguramiento de
redes inalmbricas. WPA fue creado en respuesta a las serias debilidades de otros
protocolos como WEP (Wired Equivalent Privacy). Implementa la mayora de lo que
conforma el estndar IEEE 802.11i y fue diseado para funcionar con todas los
dispositivos para redes inalmbricas, excepto los puntos de acceso de primera generacin.
WPA2 implementa todo el estndar IEEE 802.11i, pero no funciona con muchos
dispositivos viejos.
WPA fue creado por el grupo industrial y comercial Alianza Wi-Fi, dueos de la marca
registrada Wi-Fi y certificadores de los dispositivos que ostenten dicho nombre.
Los datos utilizan el algoritmo RC4 con una clave de 128 bits y un vector de inicializacin
de 48 bits. Una de las mejoras ms sobresalientes sobre su predecesor, WEP, es TKIP
(Temporal Key Integrity Protocol o Protocolo de integridad de clave temporal), el cual
consiste en el cambio dinmico mientras se utiliza el sistema. Cuando se combina con
Vectores de Inicializacin mayores, hace considerablemente ms difcil realizar ataques
para la obtencin de llaves, como ocurre con WEP.
Adems de proporcionar autenticacin y ciframiento, WPA proporciona mejor integridad
de la carga til. La verificacin de redundancia cclica (CRC o Cyclic Redundancy Check)
utilizada en WEP es insegura porque permite alterar la carga til y actualizar el mensaje de
verificacin de redundancia cclica sin necesidad de conocer la clave WEP. En cambio
WPA utiliza un Cdigo de Integridad de Mensaje (MIC o Message Integrity Code) que
es en realidad un algoritmo denominado Michael, que fue el ms fuerte que se pudo
utilizar con dispositivos antiguos para redes inalmbricas a fin de no dejar obsoletos a
stos. El Cdigo de Integridad de Mensaje de WPA incluye un un mecanismo que
contrarresta los intentos de ataque para vulnerar TKIP y bloques temporales.
En resumen, WPA hace ms difcil vulnerar las redes inalmbricas al incrementar los
tamaos de las claves y Vectores de Inicializacin, reduciendo el nmero de paquetes
enviados con claves relacionadas y aadiendo un sistema de verificacin de mensajes.
Adems de poder utilizar una clave compartida (PSK o Pre-Shared Key), lo cual suple la
complejidad de implementacin de un servidor de autenticacin 802.1X en hogares y
oficinas pequeas, WPA puede utilizar Protocolos Extensibles de Autenticacin (EAP o
(Extensible Authentication Protocol), como los siguientes:
EAP-TLS
EAP-TTLS/MSCHAPv2
PEAPv0/EAP-MSCHAPv2
PEAPv1/EAP-GTC
EAP-SIM
EAP-LEAP
Entre los diversos servidores que pueden utilizarse para este tipo de implementaciones, est
FreeRADIUS. Alcance Libre cuenta con un modesto documento para la configuracin de
esta implementacin.
Equipamiento lgico necesario.
Instalacin a travs de yum.
Si utiliza openSUSE o SUSE Linux Enterprise, slo se necesita ejecutar lo siguiente para
instalar o actualizar el equipamiento lgico necesario, en caso de que ste estuviese
ausente:
yast -i wireless-tools wpa_supplicant
Preparativos.
En sistemas operativos basados sobre CentOS, Fedora, Red Hat Enterprise Linux,
openSUSE y SUSE Linux Enterprise, el primer paso consiste en cambiarse al usuario
root:
su -l
En sistemas operativos basados sobre Ubuntu Linux, se puede utilizar el mandato sudo para
todos los procedimientos, precediendo todos los mandatos utilizados con sudo.
sudo cualquier mandato utilizado
Ejemplos:
sudo ifup lo
sudo iwconfig wlan0
sudo iwlist wlan0 scan
Muchos componentes del sistema requieren que est activa la interfaz de retorno del
sistema (loopback), por lo que es importante iniciar sta:
ifup lo
Para poder comenzar a utilizar la interfaz Wifi, solo basta ejecutar el mandato iwconfig
sobre dicha interfaz:
iwconfig wlan0
Es buena idea realizar un escaneado de las redes Wifi disponibles para asegurarse se puede
acceder a la red Wifi deseada y para determinar el protocolo a utilizar:
iwlist wlan0 scan
Para redes inalmbricas con autenticacin a travs de cifrado WEP, que se caracterizan por
tener una seguridad muy pobre, el procedimiento es simple. Slo basta utilizar dos
mandatos. El primero define el nombre del punto de acceso a utilizar:
iwconfig wlan0 essid punto-de-acceso
El segundo mandato se utiliza para definir la clave de acceso a utilizar, sea de 64 o 128 bit.
iwconfig wlan0 key clave-de-acceso
Lo anterior generar el archivo wpa.conf dentro del directorio de inicio del usuario root.
Para iniciar la autenticacin con la red Wifi, se utiliza el mandato wpa_supplicant con las
opciones -B, para enviar el procesos a segundo plano, -D, para especificar el controlador a
utilizar y -c, para especificar el archivo de configuracin creado en el paso anterior.
wpa_supplicant -B -Dwext -iwlan0 -c/root/wpa.conf
Lo ms comn es utilizar el mandato dhclient para dejar que el servidor DHCP del punto
de acceso o la LAN se encargue de asignar los parmetros de red para la interfaz. Es buena
idea indicar a dhclient que libere el prstamo que estuviera asignado en el servidor DHCP:
dhclient -r
Para obtener una nueva direccin IP, se utiliza el mandato dhclient de la siguiente manera:
dhclient wlan0
Para definir el servidor DNS, como el usuario root, se edita el archivo /etc/resolv.conf y se
define la direccin IP del servidor DNS a utilizar. En el siguiente ejemplo, se define
192.168.70.1 como servidor DNS:
vim /etc/sysconfig/network-scripts/keys-Auto_alcance2
Hecho todo lo anterior, ser posible iniciar la interfaz ejecutando el siguiente mandato:
ip link set wlan0 up