21.10.08

Seguridad Wi-Fi - Claves MAC

Si bien la medida de seguridad por excelencia es la utilización de una clave WEP o WPA, ya que tiene que ver con el cifrado de datos, hoy vamos a ver las "Claves MAC" simplemente porque son más faciles de explicar.

La sigla MAC (Media Access Control - Control de Acceso al Medio) puede hacer referencia a dos cosas: al producto de Wi-Fi que define el acceso al medio, y/o a un número de identificación globalmente único que identifica (valga la redundancia) a cada dispositivo de comunicación (cada placa de red). En este caso nos referiremos a este segundo significado, también conocido como dirección MAC.

El hecho es que existe un único número que identifica a cada placa de red (del mundo), sin repetirse nunca, único; y que fue creado para facilitar las comunicaciones del protocolo Ethernet. La ventaja de la dirección MAC frente a la dirección IP es que la primera es única para cada equipo, mientras que la segunda la asigna cada red y puede ser modificada por sus usuarios. Por lo tanto, la identificación que ofrece la dirección MAC es única e inequívoca.

Aprovechando esta particularidad de las direcciones MAC es que algunas configuraciones nos permiten definir qué número MAC puede comunicarse/conectarse y cual no, es decir, se puede definir una lista de números MAC permitidos (una lista blanca); al resto, no se les permitirá el acceso. Es por eso que no solo sirve para protegerse de intrusos, hasta dentro de una red pequeña se puede "decir" quien sí y quien no, debe o puede conectarse.

El filtro MAC es una buena barrera de acceso, no obstante, tiene una debilidad: un pirata experimentado puede descubrir los números MAC autorizados, modificar este número en su equipo y entrar en la red. Por supuesto que un usuario normal no puede modificar los números MAC, pero es bueno (y justo) saber que existen procedimientos que lo permiten hacer.

Los números MAC están formados por 48 bits, o lo que es lo mismo, por 12 caracteres hexadecimales que suelen representarse como una cadena de seis grupos de dos cifras, separados por dos puntos (ejemplo: 12:AB:57:00:40:96). Este número lo asigna cada fabricante a cada una de las placas de red que produce, y tiene la particularidad, como dijimos antes, de ser único (identificación globalmente única).

Los números MAC fueron definidos por el IEEE para ser utilizados con la red Ethernet. De los 48 bits que dispone, los últimos 24 identifican al fabricante de la placa o tarjeta (ejemplo: 00:40:96 corresponde a Airones/Cisco, y 00:40:5E a Philips). Este identificador se conoce como OUI (Organizationally Unique Identifier - Identificador Único de Organización), pudiendo cada fabricante disponer de más de uno de éstos. Los otros (primeros) 24 bits identifican a cada placa producida. Para más información visitar http://standards.ieee.org/regauth/oui/index.shtml.

Si tiene Windows XP y desea conocer el número MAC introduzca ipconfig/all en el Símbolo del Sistema (Inicio/Programas/Accesorios). Puede pasar que teniendo Windows XP Prof. tenga que poner getmac en el Símbolo del Sistema; es cuestión de probar, nada se va a romper.

Finalmente, para habilitar el filtro MAC, se debe acceder a las opciones de configuración del punto de acceso, buscar la opción correspondiente (MAC Filter, Connection Control o similar) e introducir la lista de números MAC permitidos. Un número MAC puede, eventualmente, eliminarse de la lista; así que no hay problema si hoy queremos permitir a unos y otros y en el futuro no. Algunos puntos de acceso permiten, además, al lado de cada número MAC agregar una observación, aclaración o nota para poder identificar con más facilidad a su propietario.

Como ven, es una medida simple y medianamente efectiva, que si bien no nos garantiza estar a salvo de "intrusos profesionales", por lo menos (como dije antes) nos permitirá dormir un poco más tranquilos. ¿O no era eso lo que buscábamos?

No hay comentarios.:

Publicar un comentario