Proteger una red Wi-Fi (inalámbrica)
|
| Escrito por quercus y
AvPag
|
|
Publicado: |
3/11/2006 |
|
| |
|
Actualizado: |
3/11/2006 |
|
|
|
ÍNDICE
INTRODUCCIÓN
Lo
último en redes locales son las redes inalámbricas basadas
en tecnología Wi-Fi. Tal es el boom con
este tipo de redes, que la mayoría de los ISP
regalan con sus accesos a Internet por ADSL,
routers
con tecnología inalámbrica.
El
objetivo de este tutorial es aprender cómo podemos proteger nuestra red
Wi-Fi, bien encriptando los datos que circulan por ella, filtrando las MAC
de los PC's que queremos que formen parte de nuestra red, ocultando
nuestra red o desactivando el servidor DHCP entre otras cosas.
Mediante
las encriptaciones (WEP o WPA) protegemos nuestra privacidad,
codificando los datos que recibimos/transmitimos. Con el filtrado de
las MAC's o la ocultación de nuestra red impedimos que usuarios ajenos
se conecten a nuestra red (y con ello a Internet). Cada uno debe elegir
qué prefiere, si proteger su intimidad o evitar que alguien se
aproveche, por ejemplo, de su conexión a Internet.
Puede
que quizás quieras revisar otros tutoriales antes de continuar con
éste: Configurar
router Xavi por wireless, Crear y configurar tu red wireless
ó Instalar una red Wi-Fi Ad Hoc.
ANTES
DE EMPEZAR
Para
poder proteger nuestra red Wi-Fi tendremos que acceder a la
configuración de nuestro router ó punto de acceso inalámbrico; además
de configurar Windows o el software
correspondiente.
Para
acceder a tu router, puedes consultar el tutorial: Cómo acceder vía
web a tu router.
Como
recomendación, por sencillez y comodidad, es aconsejable usar Windows
para establecer la configuración inalámbrica. Para ello, ve a Inicio
> Configuración > Panel de Control > Conexiones de
Red. Selecciona tu conexión de red inalámbrica, y haz clic
con el botón derecho, para darle a Propiedades. Pulsa sobre la pestaña
de Redes Inalámbricas, y asegúrate de tener marcada la opción "Usar
Windows para establecer mi configuración de red inalámbrica":
CAMBIAR LA
CONTRASEÑA DE FÁBRICA
Ésta
debería ser la primera acción a realizar, tanto si vas a emplear la
conexión Wi-Fi como si no. Un producto de fábrica viene con un perfil y
una contraseña estándar, a fin de facilitar el acceso a su
configuración inicial. Estos datos son de sobra conocidos y están
publicados en multitud de páginas Webs y foros y, por consiguiente, es
fácil encontrar en Internet listados en los que figuran los nombres de
usuarios y contraseñas empleadas por los fabricantes en cada modelo de
router. Debes seguir cierta metodología a la hora de escoger la
contraseña:
- Evita
escribir tu nombre o el de tu pareja, tu año de nacimiento, tu
domicilio o teléfono y en general toda aquella información que te
identifique y que pueda ser fácilmente adivinable.
- Intercala
mayúsculas, minúsculas y números.
- No
introduzcas una secuencia de teclas correlativas como puede ser "abcdef",
"45678", etc.
MODIFICAR EL SSID
El
SSID es el nombre de tu red y si alguien lo conoce, es más fácil
descubrirla y conectarse a ella. Los fabricantes normalmente
comercializan sus enrutadores inalámbricos con el mismo SSID genérico,
de esta forma los intrusos pueden adivinar fácilmente cual es el nombre
y registrarse. Por lo tanto, escoge un nombre con el que denominar a tu
red. Hazlo con uno que no resulte actractivo a ojos de un extraño, y a
ser posible que dé indicios de un fallo simulado, por ejemplo, "Discconnected",
"Unavailable", etc.
OCULTAR TU IDENTIFICADOR DE RED SSID
El
simple hecho de ocultar nuestra red a ojos curiosos puede ser un buen
método de evitar intrusiones ajenas. Por ejemplo, Windows XP, nos
permite ver las conexiones de red inalámbricas a nuestro alcance, y
conectarse con un simple clic en Conectar.
Para
evitar en parte aparecer en las búsquedas de nuestros vecinos, podemos
hacer que nuestra red "no se publicite". Para ello tenemos que ir a
nuestro router y marcar la casilla de ocultar nuestra red (dependiendo
del modelo de router o punto de acceso, habrá que marcar o desmarcar,
habilitar o deshabilitar el SSID Broadcast):
Es
importante destacar que ocultar nuestra red no impide que determinados
programas como el NetStumbler
puedan detectarla.
ENCRIPTACIÓN WEP (Wired Equivalent
Privacy)
Es
la más conocida y utilizada, debido a que es el único método soportado
por la mayoría de los dispositivos ecónomicos disponibles en el
mercado. Se basa en claves de 64
ó 128 bits. Puedes encontrarte con
información confusa y aparentemente engañosa cuando elijas el cifrado
WEP. Algunos fabricantes de hardware ofrecen la opción de cifrado de 40
bits y de 104 bits en lugar del cifrado
de 64 ó 128 bits. En realidad, el cifrado WEP de 40 bits y el de 64
bits son los términos para señalar lo mismo, así como el cifrado WEP de
104 bits y 128 también son términos similares para lo mismo. Por lo
tanto, algunos fabricantes se refieren al estándar como 40 bits y 104
bits y otros como 64 bits y 128 bits.
En
el router o punto de acceso: tenemos que ir al apartado de
Wireless, y elegir una autentificación abierta (open) o compartida
(shared). Después en la encriptación seleccionaremos WEP, escogemos una
codificación de 64 ó 128 bits y nos pedirá de 1 a 4 claves (de 10
dígitos hexadecimales para 64 bits, 26 para 128). Funcionaría con 1
sola clave siempre y cuando luego lo configuremos adecuadamente en el
PC, pero si usamos las 4, la seguridad será mayor. Lo mismo ocurre si
usamos una clave de 128 bits.
En
el PC: vamos a la ventana de Propiedades de la Red
Inalámbrica, pulsamos sobre el botón Agregar, y
configuramos los mismos parámetros que introdujimos en el router/punto
de acceso:
La
encriptación WEP no es la opción más segura. Es útil porque por ejemplo
viene pre-configurada en muchos routers de determinados ISP, y para
usuarios noveles puede ser un punto de inicio. Pero, hay que insistir,
no es 100% segura. Si no puedes conseguir que funcione WEP, puede ser
debido a problemas de autentificción. Experimenta utilizando Abierta y
Compartida en cada PC (selecciona esta opción desde la lista
desplegable de autentificación de red).
ENCRIPTACIÓN WPA (Wi-Fi Protected
Access)
Surgió
como alternativa segura y eficaz al WEP, se basa en el cifrado de la
información mediante claves dinámicas, que se calculan a partir de una
contraseña. Es precisamente aquí donde está el punto flaco, si no se
emplea una contraseña suficientemente larga y compleja, es posible que
lleguen a desvelarla.
En
el router o punto de acceso: al igual que anteriormente, hay
que ir al apartado de Wireless y seleccionar la opción WPA. En este
caso no tendremos una simple opción, pues habrá que escoger entre
WPA-Radius o WPA-PreSharedKey (WPA-PSK), como su propio nombre indica,
su único requerimiento es compartir una clave entre los diferentes
clientes que se van a autentificar en un determinado punto de acceso o
router que también la conoce. Este método no es tan seguro como el uso
de un servidor de autentificación central del tipo Radius, pero es
suficiente en entornos que necesiten conectar de forma segura a unos
pocos equipos. Por sencillez es recomentable el WPA-PSK, que
simplemente pide escoger la encriptación (AES o TKIP)
y una clave de, mínimo, 8 dígitos y de máximo 63. TKIP
es el algorítmo aprobado y certificado para WPA, algunos productos son
compatibles con el cifrado avanzado (AES)
pero no han sido certificados porque no funcionan con el hardware de
distintos suministradores. Así que selecciona TKIP para evitar que el
router trabaje innecesariamente o bién la combinación de los dos
métodos disponibles (TKIP+AES), así no
tendrás problemas de compatibilidad.
En
el PC: vamos a la ventana de Propiedades de la Red
Inalámbrica, pulsamos sobre el botón Agregar, y
configuramos los mismos parámetros que introdujimos en el router/punto
de acceso:
El
único problema de este tipo de encriptación es que no todos los
adaptadores de red inalámbricos o routers/puntos de acceso lo soportan,
aunque la tendencia actual es que el hardware sea compatible. En el
caso de que no lo sea, comprueba si existen actualizaciones
disponibles, descárgalas e instálalas. También debes asegurarte de que
tu versión de Windows admite el cifrado WPA. Windows XP con Service
Pack 2 (SP2) es compatible, las versiones anteriores no lo son. Si no
tienes instalado SP2, descarga el parche desde aquí.
Aunque
Windows XP también tiene soporte completo para WPA2,
la versión certificada final de WPA. Puedes descargar el parche
apropiado desde Microsoft.
Véase
también
Tanto
para WPA como para WEP,
es recomendable cambiar su clave con regularidad ya que si alguien
supervisa tu red y captura los paquetes durante un largo periodo de
tiempo, podría descifrar su cifrado. Si cambias regularmente de clave,
será mucho más dificil porque tendrá menos tiempo y datos para hacerlo.
Asimismo, habilitando éstos puedes reducir la velocidad de transmisión
de datos significativamente. Esa es la razón por la que es importante
empezar con una señal potente, para que la pérdida de velocidad sea
reducida.
ACTIVAR EL FILTRADO POR DIRECCIONES
MAC's
Otra
opción para proteger la red de visitantes externos es restringir las
MAC's. La MAC es, por decirlo en términos sencillos, el identificador
de nuestro adaptador de red. Estas
direcciones son fijas, y están grabadas en la propia tarjeta. Cada
tarjeta tiene una distinta y están formadas por 12 dígitos
hexadecimales y tiene este aspecto 00-C0-26-10-1E-C3. La primera parte
de la dirección identifica al fabricante de la tarjeta o dispositivo y
la última es un número asignado de forma secuencial.
En
el PC: lo primero que tenemos que averiguar es nuestra MAC.
Para ello, vamos a Inicio > Ejecutar > cmd
> Aceptar. En la ventana que nos aparece escribimos ipconfig
/all y le damos a Intro, nos saldrá
algo similar a esto:
Hay
que fijarse y tener cuidado. Como se puede ver en la captura, dos
adaptadores de red, uno ethernet y otro inalámbrico, montados en el
mismo PC, tienen MAC diferente. Esto
significa que si, por ejemplo, filtramos nuestro router y ponemos la
MAC del adaptador inalámbrico, no podremos conectarnos a nuestra propia
red si optamos por usar el cable y el adaptador ethernet.
En
el router o punto de acceso: una vez apuntada nuestra MAC (o
MAC's), tenemos que acceder al router o punto de acceso para establecer
el filtrado:
En
este caso podemos establecer una lista a la que permitir
(Allow) conectarse o a la que denegar
(Deny) la conexión. Este es uno de los métodos más efectivos para
proteger la red y resulta prácticamente obligatoria su activación.
DESACTIVAR EL SERVIDOR DHCP
El
servidor DHCP integrado en el enrutador distribuye las direcciones IP
siempre a cada PC. Por lo tanto, otro método para deterner a los
intrusos es limitar el número de direcciones IP al número de
ordenadores que realmente posees. Si decides mantener activado el DHCP
restringiendo el rango de direcciones que asigna, no tienes más que
modificar los valores "Start IP Address", en donde
debes introducir la primera dirección que debe asignar el servidor, y "End
IP Address", en donde debes indicar dónde termina el cojunto
de direcciones que puede asignar el router, es decir, la última
dirección IP válida. Para terminar, puedes especificar el tiempo de
duración de la asignación en Leased Time (hour),
es decir, el tiempo durante el cuál una dirección pertenecerá a un
cliente, pasado el cuál podría ser asignada a otro.
Para
desactivar el servidor DHCP y configurar todas las direcciones de los
dispositvos manualmente, marca la casilla "Disable DHCP Server",
de este modo evitarás que el router conceda a un equipo externo los
datos de conexión de tu red, pasando a formar parte de ella.
Desafortunadamente esto implica que tendrás que introducir la dirección
IP, la puerta de enlace y los DNS directamente a mano en cada PC.
JUGAR CON LA IP (SUBNETTING)
Los
diferentes rangos de direcciones IP son los que logran que los equipos
se "vean" entre sí. Normalmente es un valor que no se suele tener en
cuenta, pero modificando la máscara de subred es posible restringir el
número de dispositivos máximo. Por ejemplo, cuando se usa una dirección
del tipo 192.168.1.X la máscara 255.255.255.0 indica que pertenecen a
la misma red lógica todos los dispositivos del rango, es decir, desde
la IP 192.168.1.1 hasta la 192.168.1.255. Por ejemplo, si van a
"convivir" dos dispositivos se puede restringir a un máximo de dos el
número de direcciones IP válidas y por tanto el número de equipos que
pueden estar activos simultáneamente. Para ello tendrás que emplear la
máscara 255.255.255.252 y usar dos direcciones IP adecuadas. Para
evitar complicaciones puedes usar una de las calculadoras IP existentes
en Internet disponible aquí. De este modo, lograrás que
un posible "intruso" tenga muy complicado encontrar una dirección para
comunicarse con tu router, ya que no puede haber dos direcciones IP
iguales en la misma red. Este método es para usuarios avanzados.
DESHABILITAR LA
INTERFAZ
Si
no vas a utilizar tu conexión Wi-Fi durante una temporada, por ejemplo
cuando te vayas de vacaciones, o no dispones de ningún dispositivo con
este tipo de conexión lo mejor es que desactives la interfaz, ya que es
la forma más segura de evitar posibles "intrusos" y además ahorrarás al
router trabajo innecesario.
EVITAR OTROS
PROBLEMAS
Las
redes inalámbricas vecinas pueden crear interferencias importantes en
tu sistema Wi-Fi si funcionan en el mismo canal o en uno cercano. Para
evitar esto cambia de canal, deja al menos 5
canales entre tu red inalámbrica y las "colindantes". Por ejemplo
puedes tener dos redes sin problemas en los canales 1,6 y 11 o bien 1,7
y 13.
Con el programa Netstumbler, Wi-Fi Defense o myWiFizone entre otros,
puedes ver todas las redes en tu radio de alcance y su número de canal.
TRUCAR EL TRUCO
A
pesar de todas estas precauciones, seguramente alguien podrá entrar en
tu red o, al menos, descubrir información sobre ella. Los que se
dedican a realizar expediciones en busca de redes inalámbricas
normalmente les dicen a todo el mundo que han encontrado redes sin
proteger. Por lo tanto, existe la posibilidad de que la información
sobre tu red aparezca en un listado en un sitio Web disponible
públicamente para que todo el mundo pueda verla. Si éste es el caso,
alguien puede utilizar dicha información para intentar entrar en tu red.
Primero
localiza la dirección MAC de tu router. Normalmente este dato aparece
listado en una de las pantallas del mismo, pero si no sabes cómo
encontrarla dirígete a la línea de comandos (Inicio >
Ejecutar > Cmd) y realiza un ping a la dirección IP
del router. Por ejemplo:
Ping
192.168.1.1
En
realidad no necesitas realizar ningún ping, pero es recomendable porque
al hacerlo, la información de la dirección MAC se colocará en el
protocolo de resolución (ARP) desde la caché de tu PC. Tras realizar el
ping escribe el siguiente comando:
Arp
-a
La
dirección MAC aparecerá listada directamente debajo de la Dirección
física.
Luego
dirígete a la Web http://wigle.net.
Haz clic en el vínculo "Searching" (buscar) que se
encuentra en la parte central de la pantalla. Tendrás que registrarte
en el sitio pero es gratuito, así que hazlo antes de proceder a la
búsqueda. Tras registrarte inicia sesión y en el cuadro "BSSID
or MAC" escribe
la dirección MAC, incluyendo dos puntos (:) entre los números en lugar
de los guiones (-) mostrados por Arp. Por ejemplo:
00:7b:db1a:7e:4g
Haz
clic en "Query" (consultar), si se abre una
pantalla vacía no existe ninguna información sobre tu red. Pero si
aparece encontrarás una gran información sobre ella, incluyendo su
SSID, el canal en el que emite y otra información de identificación.
CONCLUSIONES
- Si
tu hardware te lo permite, usa WPA.
- Si
no te preocupa la privacidad de tus datos, solo que nadie se aproveche
de tu red Wi-Fi, usa el filtrado MAC.
-
Procura esconder tu red para evitar tentaciones.
-
WEP es fácilmente atacable, úsala combinada con algún otro método de
protección.
|