WEBVTT 00:00.540 --> 00:02.490 Instructor: En esta lección vamos a hablar 00:02.490 --> 00:04.710 de cómo proteger tus redes inalámbricas de algunas 00:04.710 --> 00:06.900 de las amenazas que se ciernen sobre ellas. 00:06.900 --> 00:09.930 Ahora bien, las redes inalámbricas nos ofrecen mucha comodidad, 00:09.930 --> 00:13.050 pero también conllevan un montón de riesgos de seguridad porque, 00:13.050 --> 00:15.720 a diferencia de una red por cable, siempre que esté dentro 00:15.720 --> 00:18.600 de la zona de cobertura de esa señal inalámbrica, puedo conectarme 00:18.600 --> 00:21.780 a ella con mi smartphone, mi tableta o mi portátil. 00:21.780 --> 00:24.180 Para proteger tu red, tienes que asegurarte 00:24.180 --> 00:26.250 de que sabes a qué se conectan tus dispositivos 00:26.250 --> 00:28.260 y, una vez conectados, de que los datos 00:28.260 --> 00:31.470 que se envían van a estar cifrados. 00:31.470 --> 00:33.420 Ahora lo primero que queremos hacer es asegurarnos 00:33.420 --> 00:36.240 de que todo lo que transmitimos se hace en privado para aumentar 00:36.240 --> 00:38.280 la seguridad de nuestras redes. 00:38.280 --> 00:39.360 Una de las formas de hacerlo 00:39.360 --> 00:41.700 es lo que se llama clave precompartida. 00:41.700 --> 00:44.040 Ahora, una clave precompartida es cuando ambos puntos 00:44.040 --> 00:46.529 finales, tanto tu punto de acceso como tu cliente en tu portátil 00:46.529 --> 00:49.590 o smartphone tienen la misma clave de encriptación. 00:49.590 --> 00:52.230 Si utilizo una contraseña en un lado y la misma contraseña 00:52.230 --> 00:55.080 en el otro y coinciden, se está utilizando la misma clave 00:55.080 --> 00:58.200 precompartida para crear ese túnel de cifrado. 00:58.200 --> 00:59.460 Ahora bien, hay un par de problemas 00:59.460 --> 01:01.350 cuando se utiliza una clave precompartida. 01:01.350 --> 01:04.710 En primer lugar, la escalabilidad se convierte en un gran problema para nosotros. 01:04.710 --> 01:07.530 Digamos que tengo una oficina con 50 usuarios diferentes 01:07.530 --> 01:09.690 conectados a la red inalámbrica y todos ellos 01:09.690 --> 01:12.150 utilizan la misma clave precompartida. 01:12.150 --> 01:14.160 Pero supongamos que mañana entro en el trabajo 01:14.160 --> 01:15.990 y despido a uno de los empleados. 01:15.990 --> 01:18.210 Ahora, ese empleado conoce la clave precompartida, así 01:18.210 --> 01:19.650 que adivina qué tenemos que hacer. 01:19.650 --> 01:21.480 Tenemos que cambiar la clave precompartida 01:21.480 --> 01:23.850 y, como yo tengo que cambiar esa clave precompartida, 01:23.850 --> 01:26.550 ahora los otros 50 empleados tienen que saber cuál es esa nueva 01:26.550 --> 01:28.950 clave y así todos podemos cambiarla. 01:28.950 --> 01:31.710 Es como cambiar la llave de la puerta principal de tu casa. 01:31.710 --> 01:32.940 Si tienes 10 familiares, 01:32.940 --> 01:35.400 ahora tienes que hacer 10 copias de esa llave. 01:35.400 --> 01:37.410 Como todos sus clientes utilizan la misma contraseña 01:37.410 --> 01:39.630 y esa misma clave, nos resulta muy difícil cambiar 01:39.630 --> 01:42.120 y hacer una gestión adecuada de las claves. 01:42.120 --> 01:43.470 Esa es una de las grandes razones 01:43.470 --> 01:46.590 por las que no utilizamos claves precompartidas en grandes entornos. 01:46.590 --> 01:49.350 Pero si estás en una pequeña oficina o un entorno de oficina en casa 01:49.350 --> 01:51.930 como tu casa o una pequeña oficina de 10 empleados o menos puedes 01:51.930 --> 01:54.660 seguir adelante y utilizar una clave pre-compartida porque es 01:54.660 --> 01:57.030 realmente fácil de configurar las redes de esa manera porque 01:57.030 --> 01:59.070 sólo tienes un par de dispositivos. 01:59.070 --> 02:00.720 En lo que respecta a la seguridad 02:00.720 --> 02:04.110 inalámbrica, existen tres métodos principales. 02:04.110 --> 02:08.250 El primero es WEP, y luego tenemos WPA y WPA2. 02:08.250 --> 02:09.570 Cuando hablamos de WEP, nos referimos 02:09.570 --> 02:11.850 a Privacidad equivalente por cable. 02:11.850 --> 02:13.680 Esta fue la seguridad inalámbrica 02:13.680 --> 02:15.240 original que se inventó con la 02:15.240 --> 02:18.840 primera versión de wifi con 802. 11. 02:18.840 --> 02:21.600 Ahora, afirmaba que era tan segura como las redes cableadas, 02:21.600 --> 02:24.240 de ahí el nombre de "privacidad equivalente por cable". Pero la verdad es que no es seguro 02:24.240 --> 02:26.580 y hoy en día nunca deberías 02:26.580 --> 02:29.550 usar WEP porque es un protocolo 02:29.550 --> 02:32.070 muy inseguro. 02:32.070 --> 02:35.250 WEP funciona mediante una clave precompartida. 02:35.250 --> 02:38.880 Todo el mundo tiene la misma clave y es una clave estática de 40 02:38.880 --> 02:41.370 bits que es muy pequeña y fácil de forzar o adivinar 02:41.370 --> 02:44.130 utilizando un ordenador potente. 02:44.130 --> 02:46.410 Con el tiempo, para hacer que WEP fuera más 02:46.410 --> 02:49.470 seguro, mejoraron la clave de 40 bits a 64 bits y luego de 02:49.470 --> 02:52.560 nuevo a 128 bits, y eso resolvió el problema de la longitud 02:52.560 --> 02:54.628 de la clave, pero no resolvió un problema 02:54.628 --> 02:58.440 diferente conocido como el vector de inicialización. 02:58.440 --> 02:59.850 Ahora la forma en que funciona 02:59.850 --> 03:02.820 WEP es que utiliza un vector de inicialización de 24 bits 03:02.820 --> 03:05.400 que es una serie de 24 unos y ceros y van a ser llamados 03:05.400 --> 03:08.040 este vector de inicialización. 03:08.040 --> 03:10.590 Esto se envía en texto claro y si capturas suficientes 03:10.590 --> 03:12.540 de estos vectores de inicialización puedes 03:12.540 --> 03:15.750 realmente descifrar la clave de cifrado y adivinar hacia atrás la clave 03:15.750 --> 03:18.960 precompartida que utilizaste para tu contraseña de WEP. 03:18.960 --> 03:21.642 De hecho, utilizando Aircrack NG, puedes hacerlo en unos 03:21.642 --> 03:24.990 dos o tres minutos con la mayoría de los portátiles modernos. 03:24.990 --> 03:28.020 Ahora, el siguiente del que queremos hablar es WPA. 03:28.020 --> 03:31.590 WPA o Wifi Protected Access fue el sustituto de WEP debido 03:31.590 --> 03:33.150 a la debilidad con este vector 03:33.150 --> 03:35.850 de inicialización de 24 bits. 03:35.850 --> 03:37.920 Para superarlo, introdujeron algo conocido 03:37.920 --> 03:41.280 como TKIP, el protocolo de integridad de clave temporal. 03:41.280 --> 03:44.790 Ahora TKIP sustituye ese vector de inicialización 03:44.790 --> 03:47.610 de 24 bits por un nuevo vector de 48 bits. 03:47.610 --> 03:49.260 Esto duplicó su potencia, pero 03:49.260 --> 03:50.850 sigue considerándose bastante 03:50.850 --> 03:53.280 débil en la informática moderna. 03:53.280 --> 03:54.870 La otra cosa que hicieron fue 03:54.870 --> 03:57.420 añadir un nuevo tipo de cifrado llamado RC4, 03:57.420 --> 04:00.870 o Rivest Cipher 4 y es bastante bueno, pero de nuevo, para los 04:00.870 --> 04:03.630 estándares de hoy en día se considera débil. 04:03.630 --> 04:06.690 WPA también quería añadir algo de integridad a los dispositivos 04:06.690 --> 04:09.090 y lo hizo asegurándose de que nadie pudiera realizar 04:09.090 --> 04:11.820 un ataque de intermediario y cambiar la información. 04:11.820 --> 04:14.760 Para ello, utilizaban un sistema llamado MIC (comprobación 04:14.760 --> 04:16.980 de la integridad de los mensajes), que consiste 04:16.980 --> 04:19.050 en aplicar un hash a los datos antes de que se 04:19.050 --> 04:21.300 envíen, de modo que se pueda verificar que no se 04:21.300 --> 04:24.090 han modificado durante el tránsito por la red. 04:24.090 --> 04:26.460 Ahora, WPA también vio que hay un defecto con esta 04:26.460 --> 04:28.320 clave precompartida y ser capaz de enviar 04:28.320 --> 04:30.990 nuevas claves muy rápidamente, por lo que añadieron 04:30.990 --> 04:34.290 algo conocido como modo de empresa dentro de WPA. 04:34.290 --> 04:36.270 Con el modo de empresa, un usuario podría 04:36.270 --> 04:38.820 autenticarse antes de intercambiar claves y luego 04:38.820 --> 04:40.500 podría crear nuevas claves temporalmente 04:40.500 --> 04:43.680 entre el cliente y el punto de acceso. 04:43.680 --> 04:46.740 Esto trató de resolver el problema de la escalabilidad de 04:46.740 --> 04:49.650 la clave precompartida, pero al final WPA se sigue considerando 04:49.650 --> 04:51.450 débil para los estándares actuales 04:51.450 --> 04:54.300 y se sustituye por una versión más moderna conocida como 04:54.300 --> 04:56.850 WPA2 o Wifi Protected Access 2. 04:56.850 --> 04:59.160 Ahora, WPA2 es el estándar actual y los creados 04:59.160 --> 05:02.460 como parte del 802. 11i estándar. 05:02.460 --> 05:04.770 Se implementó por primera vez, fue Wireless 05:04.770 --> 05:07.620 G, y luego en Wireless N y Wireless AC. 05:07.620 --> 05:09.390 Requiere una autenticación y un cifrado 05:09.390 --> 05:11.970 y unas comprobaciones de integridad más estrictos. 05:11.970 --> 05:15.300 La comprobación de la integridad se realiza mediante CCMP. 05:15.300 --> 05:17.550 Ahora bien, CCMP son las siglas de Counter Mode 05:17.550 --> 05:19.080 with Cipher Blockchaining Message 05:19.080 --> 05:20.910 Authentication Code Protocol, que 05:20.910 --> 05:22.817 es un trabalenguas que no tendrás que memorizar 05:22.817 --> 05:25.560 para el examen ni lo que significa. 05:25.560 --> 05:28.890 Lo que sí debes recordar es que cada vez que veas 05:28.890 --> 05:33.210 CCMP debes pensar que esto es parte de la seguridad WPA2. 05:33.210 --> 05:34.890 Lo segundo que hicieron fue 05:34.890 --> 05:37.680 sustituir el antiguo mecanismo de cifrado de 05:37.680 --> 05:40.350 RC4 a través de VES Cipher 4 por el nuevo conocido 05:40.350 --> 05:43.410 como Advanced Encryption Standard o AES. 05:43.410 --> 05:47.047 Ahora AES utiliza una clave de 128 bits y algunos modelos 05:47.047 --> 05:50.700 más nuevos pueden utilizar una clave de 256 bits o más. 05:50.700 --> 05:52.995 Esto le proporciona una mayor seguridad y confidencialidad 05:52.995 --> 05:56.280 de los datos que circulan por esta red inalámbrica. 05:56.280 --> 05:58.410 En el momento de esta grabación en particular, 05:58.410 --> 06:01.890 AES todavía no se ha roto y WPA2, el algoritmo en sí no se ha roto 06:01.890 --> 06:03.990 por lo que es una buena cosa para usar 06:03.990 --> 06:05.400 si usted tiene una contraseña 06:05.400 --> 06:07.950 larga y fuerte. 06:07.950 --> 06:09.810 Actualmente, la única forma de descifrar 06:09.810 --> 06:12.720 estas redes es mediante ataques a las contraseñas, lo que significa 06:12.720 --> 06:14.640 que intentan adivinar las contraseñas adivinando 06:14.640 --> 06:16.500 todas las opciones posibles mediante un ataque 06:16.500 --> 06:19.350 de fuerza bruta o un ataque de diccionario. 06:19.350 --> 06:20.700 Así que, si quieres proteger tus 06:20.700 --> 06:24.210 redes, asegúrate de que utilizas una contraseña buena, larga y segura. 06:24.210 --> 06:27.390 WPA2 también admite dos modos diferentes en función de la 06:27.390 --> 06:29.370 red en la que vayas a utilizarlo. 06:29.370 --> 06:32.070 Si lo usas en casa o en una pequeña oficina, utilizarás una 06:32.070 --> 06:33.900 clave precompartida en la que todo el mundo 06:33.900 --> 06:35.520 tendrá la misma contraseña. 06:35.520 --> 06:37.800 Esto se conoce como modo personal. 06:37.800 --> 06:40.260 La otra forma es utilizarlo en un entorno grande 06:40.260 --> 06:42.030 donde se utiliza el modo de empresa 06:42.030 --> 06:43.500 y es donde todos y cada usuario 06:43.500 --> 06:46.560 obtiene un único nombre de usuario y contraseña única para ellos 06:46.560 --> 06:48.990 y van a utilizar un servidor de autenticación central 06:48.990 --> 06:55.320 utilizando WPA2 nativo o descargar que a un 801. 06:55.320 --> 06:55.320 Servidor de autenticación 1x. 06:55.320 --> 06:56.360 Para el examen, quiero 06:56.360 --> 06:59.040 que recuerdes cuatro cosas sobre la seguridad inalámbrica 06:59.040 --> 07:00.120 y si recuerdas las cuatro 07:00.120 --> 07:02.340 cosas de esta tabla lo harás muy bien. 07:02.340 --> 07:04.590 En primer lugar, siempre que veas la palabra 07:04.590 --> 07:06.270 abierta en referencia a una red inalámbrica, 07:06.270 --> 07:10.440 significa que no hay seguridad, ni protección, ni contraseña. 07:10.440 --> 07:11.820 Si oyes WEP, quiero que 07:11.820 --> 07:14.580 lo asocies con vectores de inicialización. 07:14.580 --> 07:15.990 Ese es el fallo de WEP y es lo 07:15.990 --> 07:17.880 que te van a explicar en el examen. 07:17.880 --> 07:19.235 WEP es débil, WEP es malo. 07:19.235 --> 07:22.140 WEP utiliza vectores de inicialización. 07:22.140 --> 07:23.995 Si ves WPA, quiero que pienses en 07:23.995 --> 07:27.227 TKIP y RC4 porque TKIP era todo lo que se utilizaba para 07:27.227 --> 07:29.520 sustituir los vectores de inicialización 07:29.520 --> 07:31.680 y RC4 era su forma de cifrado. 07:31.680 --> 07:35.070 De nuevo, WPA se considera débil, no lo uses. 07:35.070 --> 07:37.920 A continuación, si ves WPA2, deberías 07:37.920 --> 07:41.250 pensar en las siglas CCMP y AES. 07:41.250 --> 07:43.470 CCMP es un protocolo de integridad y AES 07:43.470 --> 07:46.350 es el mecanismo de cifrado que utilizamos. 07:46.350 --> 07:48.720 Esta es su clave para responder a las preguntas inalámbricas 07:48.720 --> 07:50.760 de seguridad el día del examen. 07:50.760 --> 07:53.760 A continuación, vamos a hablar un poco sobre el filtrado de direcciones MAC. 07:53.760 --> 07:56.457 Podemos configurar nuestros puntos de acceso con una 07:56.457 --> 07:58.470 ACL y esta será capaz de mirar esas direcciones 07:58.470 --> 08:01.020 y permitir o denegar que ciertas direcciones MAC 08:01.020 --> 08:02.700 se conecten a la red. 08:02.700 --> 08:05.340 Por ejemplo, si mi iPhone intenta conectarse a la red 08:05.340 --> 08:08.010 y no está autorizado o está en la lista de denegados, 08:08.010 --> 08:09.720 no podrá realizar ese apretón de manos 08:09.720 --> 08:11.460 y no podrá comunicarse. 08:11.460 --> 08:13.230 Ahora bien, el problema con el filtrado de 08:13.230 --> 08:15.150 Mac sigue residiendo en el hecho de que es realmente 08:15.150 --> 08:17.520 fácil cambiar tu dirección MAC y falsearla. 08:17.520 --> 08:19.500 Los usuarios con conocimientos pueden cambiar la dirección 08:19.500 --> 08:21.960 de su Mac muy rápidamente utilizando herramientas disponibles gratuitamente 08:21.960 --> 08:24.630 y realmente se tarda unos cinco segundos en hacerlo. 08:24.630 --> 08:26.100 Esto detendrá a algunas personas, 08:26.100 --> 08:29.190 pero no es infalible y no va a detener a todo el mundo. 08:29.190 --> 08:30.660 Si quieres cambiar la dirección 08:30.660 --> 08:33.420 de tu Mac y utilizas herramientas como Mac Address Changer 08:33.420 --> 08:36.210 para Windows, Mac Daddy X para sistemas OSX y MAC, o Mac changer 08:36.210 --> 08:37.890 para Linux, todas ellas son herramientas 08:37.890 --> 08:40.560 realmente fáciles de usar. 08:40.560 --> 08:42.411 Las direcciones Mac no van a ser una 08:42.411 --> 08:46.500 fuente de gran protección para ti, pero según el examen, es una protección que 08:46.500 --> 08:48.840 puedes utilizar para formar parte de tu estrategia 08:48.840 --> 08:50.940 de defensa y profundidad. 08:50.940 --> 08:53.100 Así que, en el mundo real, no te preocupes demasiado 08:53.100 --> 08:55.230 por el filtrado de Mac, pero para el examen sí lo 08:55.230 --> 08:57.450 consideran una buena medida de seguridad. 08:57.450 --> 09:00.300 A continuación, tenemos la desactivación de su difusión SSID 09:00.300 --> 09:02.550 que se considera una ayuda de seguridad menor, 09:02.550 --> 09:04.410 así como para proteger sus redes. 09:04.410 --> 09:06.930 Ahora, de acuerdo con el examen, al igual que el filtrado MAC 09:06.930 --> 09:08.730 dicen que esto es una buena cosa que hacer. 09:08.730 --> 09:10.260 Sin embargo, en el mundo real 09:10.260 --> 09:13.200 no se tarda mucho en encontrar un SSID oculto. 09:13.200 --> 09:15.390 Ahora bien, ¿qué es exactamente un SSID? 09:15.390 --> 09:17.850 Bueno, son las siglas de server set identifier 09:17.850 --> 09:20.520 y es como se llama en realidad tu red inalámbrica. 09:20.520 --> 09:22.260 Por ejemplo, si vas a Starbucks, tienen 09:22.260 --> 09:24.390 uno que se llama "Starbucks Guest" o si vas a 09:24.390 --> 09:27.360 mi casa, tengo uno que se llama "Dion" y así puedes ver que el 09:27.360 --> 09:29.160 conjunto de servidores sale y dice: 09:29.160 --> 09:31.920 "Oye, Dion está aquí, ¿debería conectarme a él? Y si buscas una red, ves toda la lista 09:31.920 --> 09:33.120 de nombres que hay 09:33.120 --> 09:35.700 a tu alrededor, ¿verdad? 09:35.700 --> 09:38.670 Bueno, si desactivas la emisión del Server Set 09:38.670 --> 09:40.230 ID, no lo emitirá y no aparecerá 09:40.230 --> 09:42.630 en tus redes disponibles. 09:42.630 --> 09:44.670 De este modo, el usuario tiene que teclear manualmente 09:44.670 --> 09:46.350 el nombre para conectarse a tu red, por lo que 09:46.350 --> 09:48.210 tiene que saber realmente que está ahí. 09:48.210 --> 09:49.920 Ahora, el problema con esto es que usando 09:49.920 --> 09:52.680 técnicas de penetración inalámbrica, es realmente fácil encontrarlos 09:52.680 --> 09:55.080 y aún así podrás conectarte a ellos. 09:55.080 --> 09:57.240 Si todo lo que haces es desactivar tu difusión, 09:57.240 --> 09:58.740 no es muy seguro. 09:58.740 --> 10:01.320 Pero si haces esto en combinación con el filtrado MAC y tener 10:01.320 --> 10:03.240 una buena contraseña larga y fuerte, estás 10:03.240 --> 10:04.830 empezando a estratificar la seguridad 10:04.830 --> 10:06.903 y te da una mejor postura de seguridad.