Proteger una red Wi-Fi (inalámbrica)

Escrito por quercus y AvPag

Publicado: 3/11/2006
    Actualizado: 3/11/2006
   


ÍNDICE

INTRODUCCIÓN

Lo último en redes locales son las redes inalámbricas basadas en tecnología Wi-Fi. Tal es el boom con este tipo de redes, que la mayoría de los ISP regalan con sus accesos a Internet por ADSL, routers con tecnología inalámbrica.

El objetivo de este tutorial es aprender cómo podemos proteger nuestra red Wi-Fi, bien encriptando los datos que circulan por ella, filtrando las MAC de los PC's que queremos que formen parte de nuestra red, ocultando nuestra red o desactivando el servidor DHCP entre otras cosas.

Mediante las encriptaciones (WEP o WPA) protegemos nuestra privacidad, codificando los datos que recibimos/transmitimos. Con el filtrado de las MAC's o la ocultación de nuestra red impedimos que usuarios ajenos se conecten a nuestra red (y con ello a Internet). Cada uno debe elegir qué prefiere, si proteger su intimidad o evitar que alguien se aproveche, por ejemplo, de su conexión a Internet.

Puede que quizás quieras revisar otros tutoriales antes de continuar con éste: Configurar router Xavi por wireless, Crear y configurar tu red wireless ó Instalar una red Wi-Fi Ad Hoc.

ANTES DE EMPEZAR

Para poder proteger nuestra red Wi-Fi tendremos que acceder a la configuración de nuestro router ó punto de acceso inalámbrico; además de configurar Windows o el software correspondiente.

Para acceder a tu router, puedes consultar el tutorial: Cómo acceder vía web a tu router.

Como recomendación, por sencillez y comodidad, es aconsejable usar Windows para establecer la configuración inalámbrica. Para ello, ve a Inicio > Configuración > Panel de Control > Conexiones de Red. Selecciona tu conexión de red inalámbrica, y haz clic con el botón derecho, para darle a Propiedades. Pulsa sobre la pestaña de Redes Inalámbricas, y asegúrate de tener marcada la opción "Usar Windows para establecer mi configuración de red inalámbrica":

CAMBIAR LA CONTRASEÑA DE FÁBRICA

Ésta debería ser la primera acción a realizar, tanto si vas a emplear la conexión Wi-Fi como si no. Un producto de fábrica viene con un perfil y una contraseña estándar, a fin de facilitar el acceso a su configuración inicial. Estos datos son de sobra conocidos y están publicados en multitud de páginas Webs y foros y, por consiguiente, es fácil encontrar en Internet listados en los que figuran los nombres de usuarios y contraseñas empleadas por los fabricantes en cada modelo de router. Debes seguir cierta metodología a la hora de escoger la contraseña:

  • Evita escribir tu nombre o el de tu pareja, tu año de nacimiento, tu domicilio o teléfono y en general toda aquella información que te identifique y que pueda ser fácilmente adivinable.
  • Intercala mayúsculas, minúsculas y números.
  • No introduzcas una secuencia de teclas correlativas como puede ser "abcdef", "45678", etc.

MODIFICAR EL SSID

El SSID es el nombre de tu red y si alguien lo conoce, es más fácil descubrirla y conectarse a ella. Los fabricantes normalmente comercializan sus enrutadores inalámbricos con el mismo SSID genérico, de esta forma los intrusos pueden adivinar fácilmente cual es el nombre y registrarse. Por lo tanto, escoge un nombre con el que denominar a tu red. Hazlo con uno que no resulte actractivo a ojos de un extraño, y a ser posible que dé indicios de un fallo simulado, por ejemplo, "Discconnected", "Unavailable", etc.

OCULTAR TU IDENTIFICADOR DE RED SSID

El simple hecho de ocultar nuestra red a ojos curiosos puede ser un buen método de evitar intrusiones ajenas. Por ejemplo, Windows XP, nos permite ver las conexiones de red inalámbricas a nuestro alcance, y conectarse con un simple clic en Conectar

Para evitar en parte aparecer en las búsquedas de nuestros vecinos, podemos hacer que nuestra red "no se publicite". Para ello tenemos que ir a nuestro router y marcar la casilla de ocultar nuestra red (dependiendo del modelo de router o punto de acceso, habrá que marcar o desmarcar, habilitar o deshabilitar el SSID Broadcast):

Es importante destacar que ocultar nuestra red no impide que determinados programas como el NetStumbler puedan detectarla.

ENCRIPTACIÓN WEP (Wired Equivalent Privacy)

Es la más conocida y utilizada, debido a que es el único método soportado por la mayoría de los dispositivos ecónomicos disponibles en el mercado.  Se basa en claves de 64 ó 128 bits. Puedes encontrarte con información confusa y aparentemente engañosa cuando elijas el cifrado WEP. Algunos fabricantes de hardware ofrecen la opción de cifrado de 40 bits y de 104 bits en lugar del cifrado de 64 ó 128 bits. En realidad, el cifrado WEP de 40 bits y el de 64 bits son los términos para señalar lo mismo, así como el cifrado WEP de 104 bits y 128 también son términos similares para lo mismo. Por lo tanto, algunos fabricantes se refieren al estándar como 40 bits y 104 bits y otros como 64 bits y 128 bits.

En el router o punto de acceso: tenemos que ir al apartado de Wireless, y elegir una autentificación abierta (open) o compartida (shared). Después en la encriptación seleccionaremos WEP, escogemos una codificación de 64 ó 128 bits y nos pedirá de 1 a 4 claves (de 10 dígitos hexadecimales para 64 bits, 26 para 128). Funcionaría con 1 sola clave siempre y cuando luego lo configuremos adecuadamente en el PC, pero si usamos las 4, la seguridad será mayor. Lo mismo ocurre si usamos una clave de 128 bits.

En el PC: vamos a la ventana de Propiedades de la Red Inalámbrica, pulsamos sobre el botón Agregar, y configuramos los mismos parámetros que introdujimos en el router/punto de acceso:

La encriptación WEP no es la opción más segura. Es útil porque por ejemplo viene pre-configurada en muchos routers de determinados ISP, y para usuarios noveles puede ser un punto de inicio. Pero, hay que insistir, no es 100% segura. Si no puedes conseguir que funcione WEP, puede ser debido a problemas de autentificción. Experimenta utilizando Abierta y Compartida en cada PC (selecciona esta opción desde la lista desplegable de autentificación de red).

ENCRIPTACIÓN WPA (Wi-Fi Protected Access)

Surgió como alternativa segura y eficaz al WEP, se basa en el cifrado de la información mediante claves dinámicas, que se calculan a partir de una contraseña. Es precisamente aquí donde está el punto flaco, si no se emplea una contraseña suficientemente larga y compleja, es posible que lleguen a desvelarla.

En el router o punto de acceso: al igual que anteriormente, hay que ir al apartado de Wireless y seleccionar la opción WPA. En este caso no tendremos una simple opción, pues habrá que escoger entre WPA-Radius o WPA-PreSharedKey (WPA-PSK), como su propio nombre indica, su único requerimiento es compartir una clave entre los diferentes clientes que se van a autentificar en un determinado punto de acceso o router que también la conoce. Este método no es tan seguro como el uso de un servidor de autentificación central del tipo Radius, pero es suficiente en entornos que necesiten conectar de forma segura a unos pocos equipos. Por sencillez es recomentable el WPA-PSK, que simplemente pide escoger la encriptación (AES o TKIP) y una clave de, mínimo, 8 dígitos y de máximo 63. TKIP es el algorítmo aprobado y certificado para WPA, algunos productos son compatibles con el cifrado avanzado (AES) pero no han sido certificados porque no funcionan con el hardware de distintos suministradores. Así que selecciona TKIP para evitar que el router trabaje innecesariamente o bién la combinación de los dos métodos disponibles (TKIP+AES), así no tendrás problemas de compatibilidad.

En el PC: vamos a la ventana de Propiedades de la Red Inalámbrica, pulsamos sobre el botón Agregar, y configuramos los mismos parámetros que introdujimos en el router/punto de acceso:

El único problema de este tipo de encriptación es que no todos los adaptadores de red inalámbricos o routers/puntos de acceso lo soportan, aunque la tendencia actual es que el hardware sea compatible. En el caso de que no lo sea, comprueba si existen actualizaciones disponibles, descárgalas e instálalas. También debes asegurarte de que tu versión de Windows admite el cifrado WPA. Windows XP con Service Pack 2 (SP2) es compatible, las versiones anteriores no lo son. Si no tienes instalado SP2, descarga el parche desde aquí.

Aunque Windows XP también tiene soporte completo para WPA2, la versión certificada final de WPA. Puedes descargar el parche apropiado desde Microsoft.

Véase también

Tanto para WPA como para WEP, es recomendable cambiar su clave con regularidad ya que si alguien supervisa tu red y captura los paquetes durante un largo periodo de tiempo, podría descifrar su cifrado. Si cambias regularmente de clave, será mucho más dificil porque tendrá menos tiempo y datos para hacerlo. Asimismo, habilitando éstos puedes reducir la velocidad de transmisión de datos significativamente. Esa es la razón por la que es importante empezar con una señal potente, para que la pérdida de velocidad sea reducida.

ACTIVAR EL FILTRADO POR DIRECCIONES MAC's

Otra opción para proteger la red de visitantes externos es restringir las MAC's. La MAC es, por decirlo en términos sencillos, el identificador de nuestro adaptador de red. Estas direcciones son fijas, y están grabadas en la propia tarjeta. Cada tarjeta tiene una distinta y están formadas por 12 dígitos hexadecimales y tiene este aspecto 00-C0-26-10-1E-C3. La primera parte de la dirección identifica al fabricante de la tarjeta o dispositivo y la última es un número asignado de forma secuencial.

En el PC: lo primero que tenemos que averiguar es nuestra MAC. Para ello, vamos a Inicio > Ejecutar > cmd > Aceptar. En la ventana que nos aparece escribimos ipconfig /all y le damos a Intro, nos saldrá algo similar a esto:

Hay que fijarse y tener cuidado. Como se puede ver en la captura, dos adaptadores de red, uno ethernet y otro inalámbrico, montados en el mismo PC, tienen MAC diferente. Esto significa que si, por ejemplo, filtramos nuestro router y ponemos la MAC del adaptador inalámbrico, no podremos conectarnos a nuestra propia red si optamos por usar el cable y el adaptador ethernet.

En el router o punto de acceso: una vez apuntada nuestra MAC (o MAC's), tenemos que acceder al router o punto de acceso para establecer el filtrado:

En este caso podemos establecer una lista a la que permitir (Allow) conectarse o a la que denegar (Deny) la conexión. Este es uno de los métodos más efectivos para proteger la red y resulta prácticamente obligatoria su activación.

DESACTIVAR EL SERVIDOR DHCP

El servidor DHCP integrado en el enrutador distribuye las direcciones IP siempre a cada PC. Por lo tanto, otro método para deterner a los intrusos es limitar el número de direcciones IP al número de ordenadores que realmente posees. Si decides mantener activado el DHCP restringiendo el rango de direcciones que asigna, no tienes más que modificar los valores "Start IP Address", en donde debes introducir la primera dirección que debe asignar el servidor, y "End IP Address", en donde debes indicar dónde termina el cojunto de direcciones que puede asignar el router, es decir, la última dirección IP válida. Para terminar, puedes especificar el tiempo de duración de la asignación en Leased Time (hour), es decir, el tiempo durante el cuál una dirección pertenecerá a un cliente, pasado el cuál podría ser asignada a otro.

Para desactivar el servidor DHCP y configurar todas las direcciones de los dispositvos manualmente, marca la casilla "Disable DHCP Server", de este modo evitarás que el router conceda a un equipo externo los datos de conexión de tu red, pasando a formar parte de ella. Desafortunadamente esto implica que tendrás que introducir la dirección IP, la puerta de enlace y los DNS directamente a mano en cada PC.

JUGAR CON LA IP (SUBNETTING)

Los diferentes rangos de direcciones IP son los que logran que los equipos se "vean" entre sí. Normalmente es un valor que no se suele tener en cuenta, pero modificando la máscara de subred es posible restringir el número de dispositivos máximo. Por ejemplo, cuando se usa una dirección del tipo 192.168.1.X la máscara 255.255.255.0 indica que pertenecen a la misma red lógica todos los dispositivos del rango, es decir, desde la IP 192.168.1.1 hasta la 192.168.1.255. Por ejemplo, si van a "convivir" dos dispositivos se puede restringir a un máximo de dos el número de direcciones IP válidas y por tanto el número de equipos que pueden estar activos simultáneamente. Para ello tendrás que emplear la máscara 255.255.255.252 y usar dos direcciones IP adecuadas. Para evitar complicaciones puedes usar una de las calculadoras IP existentes en Internet disponible aquí. De este modo, lograrás que un posible "intruso" tenga muy complicado encontrar una dirección para comunicarse con tu router, ya que no puede haber dos direcciones IP iguales en la misma red. Este método es para usuarios avanzados.

DESHABILITAR LA INTERFAZ

Si no vas a utilizar tu conexión Wi-Fi durante una temporada, por ejemplo cuando te vayas de vacaciones, o no dispones de ningún dispositivo con este tipo de conexión lo mejor es que desactives la interfaz, ya que es la forma más segura de evitar posibles "intrusos" y además ahorrarás al router trabajo innecesario.

EVITAR OTROS PROBLEMAS

Las redes inalámbricas vecinas pueden crear interferencias importantes en tu sistema Wi-Fi si funcionan en el mismo canal o en uno cercano. Para evitar esto cambia de canal, deja al menos 5 canales entre tu red inalámbrica y las "colindantes". Por ejemplo puedes tener dos redes sin problemas en los canales 1,6 y 11 o bien 1,7 y 13.

Con el programa Netstumbler, Wi-Fi Defense o myWiFizone entre otros, puedes ver todas las redes en tu radio de alcance y su número de canal.

TRUCAR EL TRUCO

A pesar de todas estas precauciones, seguramente alguien podrá entrar en tu red o, al menos, descubrir información sobre ella. Los que se dedican a realizar expediciones en busca de redes inalámbricas normalmente les dicen a todo el mundo que han encontrado redes sin proteger. Por lo tanto, existe la posibilidad de que la información sobre tu red aparezca en un listado en un sitio Web disponible públicamente para que todo el mundo pueda verla. Si éste es el caso, alguien puede utilizar dicha información para intentar entrar en tu red.

Primero localiza la dirección MAC de tu router. Normalmente este dato aparece listado en una de las pantallas del mismo, pero si no sabes cómo encontrarla dirígete a la línea de comandos (Inicio > Ejecutar > Cmd) y realiza un ping a la dirección IP del router. Por ejemplo:

Ping 192.168.1.1

En realidad no necesitas realizar ningún ping, pero es recomendable porque al hacerlo, la información de la dirección MAC se colocará en el protocolo de resolución (ARP) desde la caché de tu PC. Tras realizar el ping escribe el siguiente comando:

Arp -a

La dirección MAC aparecerá listada directamente debajo de la Dirección física.

Luego dirígete a la Web http://wigle.net. Haz clic en el vínculo "Searching" (buscar) que se encuentra en la parte central de la pantalla. Tendrás que registrarte en el sitio pero es gratuito, así que hazlo antes de proceder a la búsqueda. Tras registrarte inicia sesión y en el cuadro "BSSID or MAC" escribe la dirección MAC, incluyendo dos puntos (:) entre los números en lugar de los guiones (-) mostrados por Arp. Por ejemplo:

00:7b:db1a:7e:4g

Haz clic en "Query" (consultar), si se abre una pantalla vacía no existe ninguna información sobre tu red. Pero si aparece encontrarás una gran información sobre ella, incluyendo su SSID, el canal en el que emite y otra información de identificación.

CONCLUSIONES

  • Si tu hardware te lo permite, usa WPA.
  • Si no te preocupa la privacidad de tus datos, solo que nadie se aproveche de tu red Wi-Fi, usa el filtrado MAC.
  • Procura esconder tu red para evitar tentaciones.
  • WEP es fácilmente atacable, úsala combinada con algún otro método de protección.