Resumen de redes Wifi

Mucha gente recurre a las redes inalámbricas para conseguir una conexión a Internet de la forma más fácil y cómoda posible. Lo cual puede resultar muy arriesgado ya que la seguridad se puede ver comprometida si no se protege bien. Hoy en día los dispositivos de red tienen una configuración de seguridad que puede llevar mucho tiempo y que no es intuitiva. Las siguientes recomendaciones resumen los pasos que deben tomar para mejorar la seguridad de su red inalámbrica en casa. Tal como ya hemos visto en las secciones anteriores, no hay medidas definitivas ya que existen potentes aplicaciones para romper la seguridad, pero sirven para alejar a muchos “listillos” que intentan entrar sin permiso.

1. Cambio de administrador de contraseñas por defecto (y nombres de usuario)

El método más utilizado para configurar los routers es el método vía Web (navegador). Este método nos muestra una Web con toda la información de configuración del router. Estas herramientas Web están protegidas con una pantalla de login (usuario y contraseña) para que sólo el dueño pueda acceder. Sin embargo, para cualquier equipo determinado, los inicios de sesión que vienen de fábrica siempre son simples y muy bien conocidos por los usuarios malintencionados en Internet. Cambia estos ajustes de inmediato.

2. Encienda (compatible) WPA / cifrado WEP

Todos los equipos Wi-Fi compatible con algún tipo de encriptación. Existen varias tecnologías de encriptación para Wi-Fi en la actualidad. Naturalmente, hay escoger la forma más fuerte de cifrado que funcione con la red inalámbrica (actualmente WPA2).

3. Cambiar el SSID por defecto

Los puntos de acceso y routers utilizan un nombre de red llamado SSID. Los fabricantes suelen enviar todos sus productos con el sistema mismo SSID. Por ejemplo, el SSID para dispositivos Linksys es normalmente “linksys”. Es cierto que conocer el SSID por sí mismo no permite a sus vecinos para entrar en la red, pero es un comienzo. Más importante aún, cuando alguien encuentra un SSID por defecto, siempre se intuye que es una red mal configurada a nivel de seguridad y es más “jugosa” para los usuarios malintencionados. Cambia el SSID por defecto inmediatamente después de la configuración de seguridad inalámbrica.

4. Activar filtrado de direcciones MAC

Cada dispositivo Wi-Fi tiene un identificador único llamado dirección física o dirección MAC. Los puntos de acceso y routers pueden hacer un seguimiento de las direcciones MAC de todos los dispositivos que se conectan a ellos. Muchos de estos productos ofrecen al dueño una opción para introducir las direcciones MAC de su equipo en casa, que restringe la red para permitir sólo las conexiones de los dispositivos. No es el mejor método de seguridad, ya que existen programas que pueden falsificar las direcciones MAC con facilidad, pero sí es un obstáculo más para los piratas informáticos. Los piratas informáticos y sus.

5. Deshabilitar difusión SSID

En la emisión de redes Wi-Fi, el punto de acceso inalámbrico o el router normalmente difunde el nombre de red (SSID). Esta característica fue diseñada para las empresas y los focos móviles, donde los clientes Wi-Fi pueden desplazarse dentro y fuera de su alcance. En el hogar, esta función de roaming es innecesaria, y aumenta la probabilidad de que alguien tratará de conectarse a su red doméstica. Afortunadamente, la mayoría de los puntos de acceso Wi-Fi permiten desactivar la difusión SSID.

6. Desactivar Autoconectar a redes Wi-Fi

Una conexión a una red Wi-Fi abierta como un punto de acceso gratuito inalámbrico o el router de tu vecino expone su equipo a riesgos de seguridad. Aunque normalmente viene deshabilitado, la mayoría de los ordenadores tienen una configuración que permite conectarse automáticamente a cualquiera red disponible sin notificar previo aviso.

7. Asignación de direcciones IP estáticas a los dispositivos

La mayoría de usuarios de redes domésticas tienden hacia el uso de direcciones IP dinámicas. El servicio DHCP es realmente fácil de configurar. Por desgracia, supone una ventaja para los ataques, ya que se puede obtener fácilmente direcciones IP válidas de la red DHCP. Apaga el DHCP en el router o punto de acceso, establece un rango de direcciones IP fijas en su lugar, a continuación, configura cada dispositivo conectado al router.

8. Habilitar cortafuegos en cada ordenador y el router

Los routers modernos incorporan un firewall o servidor de seguridad. Asegúrate de que el firewall de su router está encendido. Evitaras muchas intrusiones vía inalámbrica y vía Internet.

9. Colocación del router o punto de acceso

La señal Wifi que normalmente llegan al exterior de una casa y a menudo llegan a casas de vecinos y en la calle. Al instalar una red inalámbrica doméstica, la posición del punto de acceso o router determina su alcance. Si existe un exceso de alcance de la red en el exterior rata de colocar estos dispositivos cerca del centro de la casa en lugar de cerca de las ventanas para minimizar “las fugas”. Otra forma es reducir la potencia de transmisión.

10. Apagar la Red durante períodos prolongados de no utilización

Por último, apaga el router cuando no lo utilices durante mucho tiempo. Si bien, no es práctico apagar y encender los dispositivos con frecuencia, por lo menos la posibilidad de hacerlo durante un viaje o por la noche. También se puede desactivar el Wifi en un router sin necesidad que apagar toda la red. Sin red inalámbrica, no hay ataque wifi.

Filtrado MAC

Por muchos considerado el mejor sistema de protección para accesos no deseados.
Una MAC es una dirección física escrita en nuestro adaptador de red (router, Ethernet, …). Esa dirección debería ser única, e identifica el proveedor y otros datos como pueden ser el país de fabricación, el número de serie, etc… Tiene una ventaja respecto a la dirección IP. La dirección MAC es (a priori) única e inmutable.

El filtrado MAC impide la conexión al router a determinadas MACs. Normalmente se puede configurar de dos maneras:

• Denegar las MACs listadas: con esa opción impedimos que se nos conecten algunas direcciones MAC que no queremos que usen nuestros sistemas.
• Aceptar sólo MACs listadas: con esa opción se impide el acceso a todo el mundo menos a las direcciones MAC listadas.

Mito: Es la forma más efectiva de impedir accesos no deseados.
Realidad: es la peor de todas las protecciones.
Explicación: El filtrado MAC es equivalente a tener un portero en la entrada con una lista de nombres. El portero pregunta al cliente cuál es su nombre. Cuando el cliente le dice el nombre el portero mira la lista y si el cliente está permitido, le deja pasar. En caso contrario, le deniega la entrada.

No se puede saber quién está en la lista, pero sí quién ha entrado alguna vez, por lo tanto se puede modificar la MAC del adaptador para simular ser alguien que ha podido acceder con anterioridad. Es fácil obtener estas MAC, es tan simple que cualquier programa sniffer proporciona ese dato.
Conclusión: Es la peor de las protecciones, pues es de las más recomendadas y a la vez la más fácil de romper.

Ocultar SSID

El SSID es el identificador de nuestra red inalámbrica, para conectar a una red necesitamos especificar el SSID.

Mito: Ocultar dicha información dificulta el acceso a personas que no conocen el SSID por adelantado.
Realidad: el SSID se sigue transmitiendo.
Explicación: Desactivando la opción SSID broadcasting (u ocultación de SSID) sólo evita lo que se llama SSID beaconing en el punto de acceso.
Básicamente hay 5 mecanismos que envían el SSID haciendo broadcast, el SSID beaconing es sólo uno de ellos. Por lo tanto esa opción sólo evita que el punto de acceso se vaya anunciando, pero cuando haya tráfico en dicha red el SSID se mostrará.
Sólo permanecerá el SSID oculto en caso de que nadie esté asociado ni realizando peticiones para asociarse a dicho punto de acceso.
Conclusión: Es totalmente ineficaz en términos de seguridad.

Desactivar DHCP

El DHCP es el protocolo de auto-configuración para los clientes de red. Permite que un cliente configure los DNS, gateway, IP, máscara de red y otros parámetros de configuración de forma automática.

Mito: Combinado con usar IPs poco frecuentes (por ejemplo un subrango de 10.0.0.0/12) dificulta al hacker para configurar la red.
Realidad: No, es muy fácil descubrir qué IPs usan los clientes ya asociados y deducir la máscara de red y el gateway a partir de ahí.
Explicación: En las tramas IP se encapsulan las direcciones IP por lo que con un sniffer es muy simple ver qué IPs generan tráfico e incluso qué gateway utilizan.
Conclusión: Suele ser mayor la molestia que la posible seguridad que ofrece.

WEP con claves de 128bits o más

La encriptación WEP (Wired Equivalent Privacy) es la primera implementación de seguridad para redes inalámbricas, ha demostrado ser muy poco segura y actualmente es posible romperla en minutos.

Mito: Usando WEP con claves largas (128bits, 256bits, …) es más complicado romper la encriptación.
Realidad: Usar claves WEP de más longitud retrasan pero no impiden romper la encriptación.
Explicación: WEP utiliza unos vectores de iniciación que se repiten con mayor o menor frecuencia. Las herramientas que se usan para “romper” encriptación WEP generan tráfico expresamente para aumentar la repetición de los mismos vectores y permitir descubrir el password en pocos minutos.
Conclusión: Aún usando claves relativamente seguras los programas que se usan para “romper” redes inalámbricas permiten inyectar tráfico que facilitan enormemente romper la encriptación, sea cual sea la longitud de las claves (y los vectores de iniciación).

WPA ó WPA2 (y variaciones)

WPA es la solución que salió tras el desastre de WEP. WPA corrige las deficiencias de su predecesor y permite configurar redes inalámbricas seguras que no pueden romperse fácilmente en cuestión de tiempo o de forma automática.

Mito: WPA y WPA2 son inexpugnables hasta la fecha.
Realidad: WPA (y WPA2) son protocolos mucho más seguros que WEP, no tienen fallos en el diseño y por lo tanto dificultan mucho crackear una red de ese tipo, pero no son invulnerables a los ataques de fuerza bruta.
Explicación: WPA elimina los defectos de WEP, usa un sistema de autenticación más complejo, usa cifrado RC4, añade verificación de integridad al mensaje, e incluye protecciones contra ataques de repetición.
Conclusión: WPA (y WPA2) es la mejor solución actualmente, pero no son inexpugnables.

Desactivar WPS

El sistema WPS nos facilita la conexion a nuestra red de diversos dispositivos, de forma automática.

Mito: Estamos protegidos porque existen 100.000.000 de posibilidades, para descubrir los 8 digitos del PIN y para cada intento requiere al menos 2 segundos porque hay que esperar la respuesta del Router, supondria 6 años 5 meses 4 dias 19 horas 33 minutos y 20 segundos.
Realidad: es muy fácil descubrir el PIN por medio de diversos programas.
Explicación: Por un fallo de diseño en el sistema WPS, el Router en cuanto detecta que los 4 primeros digitos son erroneos ya nos responde que no es correcto, por eso se reduce a solo 11.000 posibilidades, debido a que solo hay que “acertar” con dos grupos de números por separado: uno de cuatro y otro de tres, pues el último es solo un checksum, en la practica se tarda entre 2 y 10 horas en sacar el PIN y con ello la clave WPA.
Conclusión: Desactivar el sistema WPS, es superior el riesgo que las ventajas que ofrece.

¿Seguridad 100% Fiable?

Hemos visto como el sistema wifi es vulnerable y hoy no hay receta para tener una seguridad al 100%, en la seguridad informática siempre hay gente que buscará vulnerabilidades en los diseños.
Actualmente el único ataque contra WPA es la fuerza bruta, lo que implica que sólo será realmente efectivo el ataque, si la contraseña que usamos está basada en diccionario o es muy simple. Pero podemos decir que en la practica si la clave es WPA, compleja y larga y tienes además algún tipo de seguridad mas, como filtrado por MAC, o DHCP desactivado, prácticamente estamos seguros ya que el acceso a nuestra red seria tan complejo, que se necesitaría mucho tiempo y sin garantías de que se podría conseguir, lo que haría desistir a cualquiera.