La utilidad de WEP, los ESSID cerrados, el filtrado de MAC y el redireccionamiento de puertos SSH

La utilidad de WEP, los ESSID cerrados, el filtrado de MAC y el redireccionamiento de puertos SSH

listo trae a primer plano el tema de la activación de WEP, los ESSID cerrados y el filtrado de direcciones M A(1 como medidas de protección, liste tipo de
 
defensas son "evitables" y después de haber leído los capítulos anteriores del libro, sabrá cómo hacerlo. Sin embargo, sigue habiendo buenas razones para activar estas medidas de protección. Uno de estos motivos es legal. Un atacan te que consiga vencer cualquiera de estas medidas no puede decir que no lo sabía y afirmar que su asociación con la red fue puramente accidental. Por eso, el protocolo WEP o un ESSID cerrado pueden servir como una especie de advertencia que dice: "esperamos un cierto nivel de privacidad en esta red; manténgase alejado". Una organización que pierda datos o activos valiosos tras un ataque inalámbrico puede ser demandada por una insuficiente diligencia exigible si no se despliegan contramedidas de seguridad. Sin embargo, si estas protecciones se encuentran implementadas, la culpa debe desplazarse hacia otra parte (fabricantes, diseñadores de estándares, obras de texto que aseguran que "una clave WEP estática es suficiente", etc.).
Otro motivo más es elevar el listón. Penetrar cualquier tipo de defensa requiere tiempo y esfuerzo. El tiempo va relacionado con la alimentación de la batería y con una mayor posibilidad de ser detectado. Una gran parte de los crackers inalámbricos son del tipo que sólo desea robar ancho de banda. Utilizan portátiles preinstalados con Windows y NetStumbler para encontrar redes inalámbricas abiertas en busca de una conexión gratuita a Internet, que podrían utilizar para descargar pornografía y software pirata, o para enviar correo basura. Con el sistema y las herramientas de las que pueden disponer, lo más normal es que no puedan romper el protocolo WEP, generar marcos personalizados para descubrir los ESSID ocultos o lanzar ataques de intermediario o de denegación de servicio sobre la capa 2. Puede que con su conocimiento ni siquiera sepan cómo cambiar la dirección MAC de su interfaz inalámbrica. Por eso, las medidas de seguridad básicas le protegerán de este tipo de atacante, pero no suponga nunca jamás que todos los crackers están así de poco cualificados. En algún momento crucial puede que no sea éste el caso.
Un redireccionamiento de puertos SSH correctamente implementado puede elevar el listón de forma importante. Una buena idea es compilar su demonio sshd con soporte para TCP Wrappers y denegar todo el tráfico distinto de SSH en la red inalámbrica mientras se filtra el tráfico SSH procedente de las direcciones IP desconocidas (no olvide desactivar DHCP). Esto puede combinarse con éxito con el filtrado de direcciones MAC y el uso de tablas ARP de caché estática . Un ejemplo típico del uso del redireccionamiento de puertos SSH es la exportación de aplicaciones de X Windows mediante SSH:
arhontus# ssh -X -f maquinaservidorX aplicacionX_a_utilizar
Además de proporcionar cifrado de datos y autentificación de usuarios, esto permitirá ahorrar ciclos de CPU y energía de la batería en la máquina móvil. Otro ejemplo bastante habitual es navegar a través de la Web o comprar en red mediante un servidor intermedio o proxy que funcione sobre la pasarela inalámbrica, protegiendo la sesión de navegación mediante SSH:
arhontus# ssh -L 5777:localhost:3128 maquinaproxy
A continuación debería configurar su navegador para utilizar la dirección localhost: 5777 como servidorproxy HTTP y lo habrá conseguido (siempre que el servidor intermedio escuche en el puerto 3128 en el otro extremo). La elección del puerto 5777 en una máquina local es completamente aleatoria, mientras que los servidores proxy Squid escuchan en el puerto 3128 de una de las pasarelas inalámbricas. Si su máquina móvil es un sistema Windows, puede utilizar aplicaciones de terceros para los túneles SSH. Por ejemplo, en PuTTY, puede hacer lo siguiente:
1.    Desde el menú de la izquierda de la ventana de PuTTY Configuration, seleccione Connection>SSH>Tunnels.
2.    En el apartado Add new forwarded port, escriba el número de puerto en el que va a escuchar su máquina en el campo Source port.
3.    En el campo Destination escriba localhost: 5777.
4.    Asegúrese de que está seleccionada la opción Local y, a continuación, haga clic sobre el botón Add.
5.    En el cuadro de texto Forwarded ports debería aparecer la regla de redireccionamiento recién añadida. Si necesita eliminar el puerto redirigido, selecciónelo y haga clic sobre el botón Remove.
6.    Guarde los cambios volviendo a la página correspondiente a la categoría Session y haciendo clic sobre el botón Save.
7.    Ahora ya hemos definido el túnel de redireccionamiento de puertos. Para activarlo, bastará con que acceda al servidor SSH.
El número de posibles ejemplos de empleo del redireccionamiento de puertos SSH es infinito y no vamos a profundizar más en este tema. Solamente comentaremos que debería asegurarse de utilizar el protocolo SSHv2 siempre que pueda y de que su servidor y clientes SSH se encuentran actualizados y no poseen ningún agujero de seguridad conocido (o tendrá que asimilar la posibi-lidad de ser atacado por Trinity en años venideros). Sea tan paranoico como nosotros. Ya hemos comentado con anterioridad que la selección de sistemas de elirado predeterminados presente en el archivo / etc/ssh/ssh_conf ig en I Jiuix es:
 
#Ciphers aesl2 8-cbc, 3des-cbc,blowfish-cbc, castl2 8-cbc, arc-four, aesl92-cbc, aes2 56-cbc
Le recomendamos sustituir esta línea por esta otra:
Ciphers aes2 56-cbc, aesl92-cbc, aesl2 8-cbc, blowfish-cbc,cast128-cbc,   3des-cbc,arcfour
Y añadir al archivo las siguientes líneas:
MACs hmac-ripemdl6 0 , hmac-shal, hmac-md5,hmac-shal-96,hmac-md5-96 HostKeyAlgorithms ssh-dss, ssh-rsa
En el próximo capítulo descubrirá el porqué de este consejo, donde comentaremos y compararemos entre sí prácticamente todos los métodos de cifrados mencionados. Por supuesto que algunos criptógrafos encontrarán que nuestras sugerencias son algo subjetivas, pero es de esperar.
A modo de resumen, el redireccionamiento de puertos SSH sirve como añadido rápido y fácil a las tradicionales contramedidas inalámbricas débiles como WEP y el filtrado de direcciones MAC. Aunque para algunos entornos en particular podría ser suficiente (compárelo con el uso del filtrado de protocolos comentado en el capítulo 8), si lo que busca es una solución de seguridad inalámbrica más completa por encima de la capa de enlace de datos, le reco-mendamos encarecidamente que tenga en cuenta el uso de IPSec.