viernes, 9 de marzo de 2012

Práctico: Mejorando la seguridad de nuestra red wifi

Siguiendo el hilo de la entrada "Vecino apaga tu eMule y tu no navegues por la noche, que esto va lento" del blog Al otro lado del mostrador, me gustaría compartir con vosotros una serie de recomendaciones para mejorar la seguridad de vuestra red Wifi, y evitar en lo posible el robo de Wifi, una práctica que, actualmente, está bastante extendida entre aquellos que no quieren pagar una red Wifi, y sin embargo quieren conectarse a Internet.

Como en todo en esta práctica existen diferentes grados, ya que existen personas que, aun conectándose a una red Wifi de manera fraudulenta, lo hacen únicamente porque, por algún motivo determinado (no siempre económico), no pueden o no quieren contratar una línea ADSL, y tratan de minimizar en lo posible el perjuicio que le pueda suponer al propietario de la misma las conexiones que realizan (utilizándola únicamente para navegar o bajar el correo, por ejemplo), llegando incluso a ofrecerse a pagar la mitad del servicio en algunos casos.

Aunque me gustaría pensar que este último grupo es el mayoritario, la razón me dice que, probablemente, a la mayor parte de las personas que roban Wifi les importa un pito el perjuicio que puedan causar al propietario de la línea ADSL, existiendo incluso algunos indeseables que, aprovechando la extendida costumbre de no cambiarle la contraseña al router, tratan de negarle al propietario la posibilidad de conectarse a internet mediante determinadas configuraciones en el mismo.

Si bien es prácticamente imposible blindar completamente una red Wifi doméstica contra intrusiones por parte de expertos en seguridad informática, la gran mayoría de los usuarios que se conectan a redes ajenas tienen un conocimiento informático reducido, limitándose a utilizar aplicaciones que realizan todo el proceso por sí mismas, y que no requieren del usuario más que hacer click un par de veces.

Para realizar estas mejoras en la seguridad de la red Wifi, deberemos acceder a la utilidad de configuración del router, para lo cual deberemos teclear en un navegador de internet la dirección IP del mismo, normalmente "192.168.0.1" o "192.168.1.1", y luego introducir la contraseña por defecto del router, que suele aparecer en el manual del mismo. Si, por el motivo que sea, no disponemos del manual del router, existen múltiples páginas webs en las que podemos conocer estas contraseñas iniciales.

Debéis tener en cuenta que en la gran mayoría de los routers la configuración está disponible únicamente en ingles, por lo que habrá que tener unas ligeras nociones de este idioma para meternos en harina.


1.- CAMBIAR LA CONTRASEÑA DEL ROUTER

Uno de las primeras cosas que deberíamos hacer nada mas conectar el router Wifi es cambiar la contraseña del mismo, para evitar en lo posible que posibles intrusos en nuestra red tengan acceso a la utilidad de configuración web del mismo, y evitar de esta manera que puedan hacer cambios en la configuración del propio router.

La opción correspondiente al cambio de la contraseña es diferente dependiendo del router, si bien suele estar presente en la sección de Administración (en inglés Administration o simplemente Admin), o en Configuración Avanzada (en inglés Advanced Setup).




Para garantizar la seguridad de la contraseña, es recomendable que la misma contenga letras mayúsculas, minúsculas, números y símbolos (@ o #, por ejemplo), y que cuente con una longitud mínima de 10 caracteres (cuanto más larga mejor)

2.- CAMBIAR EL NOMBRE (SSID) DE LA RED WIFI

Aunque en principio puede parecer algo inútil, cambiar el nombre de la red Wifi es una de las precauciones básicas al conectar por primera vez nuestra red Wifi, debido a que existen aplicaciones que permiten conocer la contraseña de nuestra red Wifi mediante SSID por defecto de la misma, si bien esta vulnerabilidad suele estar presente únicamente en conexiones ADSL de Telefónica de tipo WLAN-XX o WLAN-XXXX.

En cualquier caso, y para curarnos en salud, no está de más cambiar el nombre de nuestra red Wifi, evitando además la posibilidad de coincida con el de la red de un vecino (que ya seria casualidad).



Para cambiar el nombre de la red Wifi debemos acceder a la sección "Wireless Basic Settings" o simplemente "Wireless" de la configuración de nuestro router, en la cual deberemos cambiar el campo SSID, y luego pulsar el botón "Submit Changes", "Save Changes", "Apply Changes" o algo por el estilo.

3.- CONFIGURAR EL TIPO DE SEGURIDAD DE LA RED WIFI

Existen varias posibilidades de encriptación Wifi que podemos configurar en nuestro router, siendo las más comunes WEP, WPA y WPA2.

La encriptación WEP es, muy posiblemente, la mas común en redes Wifi españolas, debido a que se trata de la fijada por defecto en la mayor parte de los routers de telefónica, siendo además el menos seguro de los tres modos enumerados, y existiendo muchas utilidades que, con un par de clicks, permiten conectarse a este tipo de redes sea cual sea la contraseña.


 

Es, por tanto, recomendable evitar el modo WEP, y configurar nuestra red utilizando otras encriptaciones más seguras como WPA (con seguridad TKIP) o, preferiblemente WPA2 (con seguridad TKIP+AES), las cuales cuentan con un nivel de protección muy superior al de la primera, y la posibilidad de utilizar una contraseña bastante más larga, la cual será mucho mas difícil de descifrar para este tipo de aplicaciones.

Para cambiar el tipo de encriptación deberemos dirigirnos a la opción "Security" presente en la sección "Wireless" o "Advanced Setup" o, en determinados routers "Advanced Wireless Settings" o algo similar.

En el caso de conexiones Wifi domesticas deberemos seleccionar la opción "Pre-Shared Key" para indicar al router que la contraseña será siempre la misma (hasta que decidamos cambiarla manualmente), al contrario que en las redes Wifi empresariales, en las cuales la contraseña puede cambiar automáticamente para mejorar la seguridad de las mismas.

4.- CAMBIAR LA CONTRASEÑA DE LA RED WIFI

Como explicaba anteriormente, WPA y WPA2 permiten una contraseña más segura que la permitida por WEP, ofreciendo la posibilidad de contraseñas de hasta 63 caracteres en el caso de WPA2, por lo que es muy recomendable cambiar la misma una vez hayamos cambiado la encriptación.

Para configurar una nueva contraseña será suficiente con cambiar el contenido de "Pre-Shared Key" o "Passphrase" presente en la opción "Security" a la que me refería en el apartado anterior.

Para garantizar la seguridad de la contraseña, es recomendable utilizar una frase lo más larga posible que contenga letras mayúsculas, minúsculas, espacios, números y símbolos (@ o #, por ejemplo), procurando que no nos resulte muy complicada de recordar.

5.- ACTIVAR EL FILTRADO MAC (OPCIONAL)

Todas las tarjetas de red, ya sean Ethernet o Wifi, disponen de un identificador único llamado dirección MAC (también llamada dirección física), que se compone de una serie de números hexadecimales (concretamente 6 bloques de 2 números cada uno), y que están fijadas en el hardware de la misma, no siendo posible cambiarla físicamente (aunque si enmascararla).




Los routers Wifi cuentan, normalmente, con una opción llamada "MAC Filtering" (Filtrado MAC) o "Access Control" (Control de acceso) que, de estar activada, nos permite configurar que direcciones MAC (cada una de ellas correspondiente a una tarjeta de red) pueden conectarse a internet a través de dicho router, restringiendo el acceso de dispositivos que no hayan sido añadidos al router previamente.

Para conocer la dirección MAC de una tarjeta de red en Windows deberemos acceder al "Símbolo del sistema" y luego introducir el comando "ipconfig /all", el cual nos mostrara abundante características de las tarjetas de red presentes en el sistema, entre ellas la dirección MAC de las mismas:

Aunque se trata de una de las maneras más seguras de blindar una red Wifi, la necesidad de configurar en el router cada una de las direcciones físicas de la(s) tarjeta(s) de red de todos los dispositivos que utilicemos en la misma (ordenadores, teléfonos, tablets, etc.), hace que su uso no esté muy extendido.


6.- BUSCANDO AYUDA PARA CONFIGURAR UN ROUTER EN CONCRETO

Existen múltiples páginas web en las cuales podemos encontrar información específica sobre cómo realizar estos y otros procedimientos en la mayor parte de los routers actuales, siendo dos de las más conocidas adslayuda y adslzone.

16 comentarios:

Javi dijo...

Fantástico trabajo,pero yo siempre me he quedado prendado por la ABSOLUTA dificultad de tener un programa o una tecla rápida a través de la cual saber si hay chupopteros robando señal:he visto varios programs,todos me han parecido un tostón (listas blancas/negras,etc),sé que existe el comando Net view también,pero nada que me permita ver al instante -en el modem anterior si te metias en la configuracion,tras 3 o 4 pasos se veía-.
No sé,yo pido algo más intuitivo,en Panel de Control o en Conexiones de red algo más intuitivo y sobre todo rápido para saber si hay hurto o no...
Porque lo de las lucecitas de status de los modem´s es de coña.Se supone (en algunos ) que si parpadean hay actividad en la red...no pocas veces ,de madrugada y con la CPU apagada,lo he visto parpadear y me he levantado a desenchufar y mascullando contra el supuesto intruso..y no estoy tan seguro de que lo fuera tal..cada tecnico de ONO te dice una cosa..

Kullman dijo...

Para evitar chupopteros lo mejor es el filtrado MAC, que ahi ya te olvidas...

Javi dijo...

Una pregunta:hace dos semanas los de ONO me duplicaron velocidad y cambiaron modem -por un Hitron,que me va bien pero del que he leido atroces criticas-.
Hasta ahi estupendo (creo que es un proceso en el que tambien está la compañia beneficiada al quitarse de enmedio modems antiguos)y mas puesto que es gratis.
Le comente al tecnico lo de los posibles chupopteros y me dijo "con la encriptacion que esto trae,olvidate".Es una contraseña WPA ,consta de 12 caracteres entre numeros y letras.
Pero al ir conectando dispositivos,uno de los portatiles se conecto directamente al wifi.....sin haber requerido la contraseña nueva..
Me quede pasmado.
¿Esto es porque reconoce la red la MAC antigua y "pasa" de pedir contraseña nueva?
La verdad,pasé del asunto,me dije :sí sí mucha WPA pero para mí que esto sigue siendo un coladero.
De ahi que me queje de que no se pueda monitorizar rápido el hurto.

Kullman dijo...

Aun con filtrado MAC, si tiene encriptacion WPA activa deberia pedirte la contraseña de todas maneras (son complementarias).

Como no sea por el protocolo WPS, que si pulsas un boton en el router te da carta blanca durante 30 segundos, no se que puede ser.

Con WPA2 y una contraseña fuerte 25-30 caracteres de tipo "Mi Tio Pepito Fue @l Merc@do", va a ser dificil que te entren los chupopteros, y si ademas añades filtrado MAC, mas dificil todavia.

Miguel dijo...

@Javi, normalmente tendrías que haber reconfigurado el portátil con la nueva encriptación y nueva pass. Asegúrate de que tienes activas las nuevas opciones de seguridad de tu modem/router.

Por otro lado, por ejemplo en la configuración de mi router existe una pantallita que me permite ver todos los dispositivos conectados en ese momento por DHCP (IP, MAC y tiempo de conexión)... y también existen logs que muestran los intentos de conexión, fallidos o exitosos.


@Kullman, otra cosilla interesante aunque quizá hoy en día poco eficaz es deshabilitar el broadcast del SSID. De esa manera, en la teoría solo podrían conectar a la red wifi quienes supieran el SSID de la red de antemano (digo en teoría porque hoy en día existe muchas aplicaciones que muestran redes aunque no se 'publique' su SSID)


Buen manual, un saludo,

Kullman dijo...

Tienes razon Miguel, no lo he puesto porque queria mantener el manual muy sencillo, y aunque ocultar el SSID es muy sencillo, luego conectarse a redes ocultas no lo es tanto, y eso sin tener en cuenta que muchas aplis te las detectan igualmente.

Maroto dijo...

Este programa te dice los ordenadores conectados a tu router, si hay mas de los que esperabas ya sabes que se han colado en tu red. Lo encontré hace unos días por casualidad, si alguien lo conoce que nos de su opinión.

http://www.nirsoft.net/utils/wireless_network_watcher.html

PD: Kullman muy buen blog. Para cuando la comparativa de los SSD?

Kullman dijo...

Me parece que esta aplicacion es poco mas que un escaner de IPs,

Doc dijo...

El problema de aumentar la seguridad de la encriptación de acceso es que tienes que asegurarte de que todos los dispositivos que vayan a conectarse, sean capaces de "entenderse" con ese cifrado. Es decir, si tienes una Pda o un móvil antiguo con Wifi, es probable que sólo pueda conectarse mediante encriptación Wep, con lo que aumentar la seguridad en el router impedirá que puedas conectarte con este dispositivo.

En este caso, lo mejor es hacer un filtrado Mac y una lista en TXT con las direcciones Mac de todos los dispositivos a los que le vas a permitir el acceso... y esa lista bien guardadita, no la vaya a encontrar algún vecino gorrón y averigüe cómo enmascarar su propia Mac para colarse en tu router.

Kullman dijo...

Coincido contigo aunque, en cualquier caso, es mejor sustituir la PDA o movil antiguo, que descuidar la seguridad de la red wifi.

Anónimo dijo...

Hola, una pregunta; ¿si tengo una red en un lugar donde no vive nadie nada más que yo y quien vive por allí está lo suficientemente lejos para no poder pillar mi wifi, estaría seguro sin contraseña? es decir, para no estar metiendo cada poco tiempo la contraseña al móvil, (en el PC va solo). ¿Que me aconsejas, dejarlo sin contraseña o hacerle algún tipo de modificación?

Kullman dijo...

Yo pondria al menos filtrado MAC, de esa manera solo se pondrian conectar los dispositivos que hayas agregado en el router previamente, y no tendrias que introducir contraseña.

Yo tuve mi red wifi de esta manera durante un par de años y nunca tuve problemas de seguridad, aunque en aquellos momentos el pirateo de wifi no estaba tan extendido.

Anónimo dijo...

Buenas.

Tengo varios ordenadores en mi casa, conectados a mi mismo router, el caso es que en cada uno de ellos guardo información según cuando haya utilizado el ordenador, y es un follón tener que ir al otro ordenador con un pen y transportarlo al que ahora uso, total, que un amigo me dijo que si está conectado un dispositivo en tu red puedes entrar al disco duro, ¿es cierto? Si fuera así ¿cómo se hace?

Soy un poco inexperto en esto, gracias de antemano.
Saludos.

Kullman dijo...

Existen muchos tutoriales en la red que explican como compartir carpetas en una red local, que es lo que te haria falta en este caso.

Anónimo dijo...

.. 7 años sin pagar un centavo ! SIEMPRE hay "bugs" ! ... la vida es asi , si eres torpe HODETE ! ! ! jajajajajajaja ... que vos dennn por el... wifii ... jajajaja

Kullman dijo...

Quizas haya bugs, pero si consigo haceros la vida mas dificil me conformo...