¿Cómo proteger tu red inalámbrica?

23 Nov 2008

Introducción

Las redes inalámbricas son extremadamente útiles, nos permiten conectarnos con otros usuarios o acceder a Internet sin estar atados a los cables. Pero estas, en general, pueden extenderse y cubrir áreas de más de 50 metros de distancia del Router, Access Point (AP), etc. también permiten que cualquier persona que se encuentre en el rango cubierto por la señal, pueda acceder a nuestra red privada. Lo cual es peligroso por varias razones:

  1. Cualquiera conectado a nuestra red inalámbrica puede ganar acceso a nuestro disco rígido y/o capturar trafico de la red con información privada como contraseñas, datos de cuentas, etc.
  2. Computadoras que posean virus u otras aplicaciones maliciosas, al conectarse a la red pueden infectar a los demás ordenadores.
  3. Sí alguien utiliza nuestra red para cometer un crimen, la actividad que realizo el criminal puede ser rastreada hacia nuestro router. Por estás, y otra razones, es importante tomar ciertas precauciones de seguridad cuando se instala un router inalámbrico en nuestra casa u oficina.

Paso 1: Cambiar los datos de acceso por defecto del Router o AP

Una vez que el router (o access point) se encuentra conectado, será posible acceder a la configuración del mismo a través de una interfaz Web que requerirá un nombre de usuario y contraseña por defecto para acceder. Como el fabricante provee exactamente el mismo nombre de usuario y contraseña para todos los dispositivos que comercializa, cualquier persona que conozca cuales son estos datos de acceso, podrá entrar a la configuración de nuestro router y hacerse con el control del mismo.

Averiguar el usuario y contraseña de un router es sumamente sencillo si se conoce el modelo. Incluso, en Internet existen cantidad de sitios que proporcionan esta información para todo tipo de marcas y modelos de routers.

Entonces, lo más recomendado es que una vez que hayamos accedido a la página Web del dispositivo, inmediatamente cambiemos el usuario y contraseña de acceso. Este se encuentra generalmente en la sección «Administración» o «Configuración».

A la hora de seleccionar la contraseña, se sugiere utilizar una combinación de números, símbolos y letras, y no usar ningún tipo de información personal o palabras comunes.

Sí se deja el login por defecto, tal como viene de fabrica, solo hará que el router sea fácilmente accesible para el atacante. Quien podrá ganarse del control del mismo.

Paso 2: Usar encriptación (cifrado)

¿En que consiste la encriptación (o cifrado) de datos?

Cuándo dos o más ordenadores comparten información entre sí en una red, otras computadoras conectadas a la misma red pueden ver esos datos también. La encriptación consiste en un proceso que vuelve ilegible la información encriptada de forma que solo se pueda volver a leerla aplicándole una clave (o llave). Esta clave es solo conocida por el emisor y el receptor del mensaje, de forma que si hay alguna otra PC conectada a la red, no podrá ver el mensaje transmitido ya que no posee la clave.

Sistemas de cifrado en protocolos inalámbricos

  1. WEP (Wired Equivalent Privacy o Privacidad Equivalente a Cableado) es un sistema de cifrado antiguo, poco seguro y para nada recomendable. Viene en 64 y 128 bits, ambos modos fácilmente rompibles. En fin, es un cifrado muy inseguro y solo se sugiere usarlo si no se tiene otra opción disponible a mano. Y si se usa este tipo de encriptación se recomienda elegir el modo de 128 bits y cambiar la clave frecuentemente.
  2. WPA (Wi-Fi Protected Access o Acceso Protegido Wi-Fi) es más nuevo y seguro que WEP, y esta disponible cada vez en más ordenadores. WPA2 es la evolución de WPA y es más recomendable aún que su predecesor.

En conclusión, el modo más recomendable de cifrado es sin duda WPA2. Aunque hay que tener cuidado a la hora de establecerlo, ya que no todas las PC’s y dispositivos inalámbricos actuales soportan esta encriptación.

Consejos para elegir una contraseña

  1. Usar un mínimo de ocho caracteres.
  2. Usar una combinación de números, símbolos, mayúsculas y minúsculas.
  3. No usar información personal.
  4. Evitar el uso de palabras o frases comunes como «password» o «administrador».
  5. Cambiar la contraseña de red cada 3 a 6 meses.

Paso 3: Cambiar el SSID

El SSID (Service Set IDentifier) es básicamente el nombre que identifica a la red inalámbrica. Los fabricantes incluyen en los dispositivos un identificador por defecto que suele tratarse de la marca del router. Este es del tipo «Wireless», «Thomson», «Linksys», «WLAN», etc. Conviene cambiar este nombre por defecto, por otro menos llamativo para que el atacante descarte nuestra red de la lista de objetivos. Ya que un nombre sugerente puede hacernos blanco fácil de diversos ataques. Para hacer esto, simplemente accedemos a la configuración del router vía Web y procedemos con los siguientes pasos:

  1. Acceder a la solapa «Wireless» o «Configuración Inalámbrica».
  2. Buscar el campo llamado SSID.
  3. Cambiar el nombre por defecto por uno distintivo. No usar ninguno que indique nuestra localización.

Consejos para elegir un buen SSID

No usar direcciones, nombre de la compañía, o ninguna otra identificación que delate quienes somo o donde estamos ubicados.

Al igual que con los datos por defecto de usuario/contraseña, los atacantes conocen los nombres por defecto SSIDs de los fabricantes y por lo tanto estarán un paso más cerca de vulnerar nuestra red.

Paso 4: Deshabilitar el Broadcasting (difusión de SSID)

Deshabilitar Broadcasting SSID

Deshabilitar Broadcasting SSID

Las redes inalámbricas por defecto realizan un «broadcasting» (o difusión, transmisión) del SSID para que cualquier computadora o dispositivo que se encuentra en el rango cubierto por la señal, vea que tal red esta disponible en el área. Pero al difundir nuestra SSID, estamos distribuyendo información fundamental de acceso a la red.

Entonces, al deshabilitar la opción de broadcasting cualquiera que quiera acceder a la red necesitará el SSID y la contraseña.

Generalmente, la opción para deshabilitar Broadcasting se encuentra en la misma página donde configuramos el SSID.

Paso 5: Habilitar filtrado por dirección MAC

Todas las computadoras tienen una dirección MAC (Media Access Control address o dirección de control de acceso al medio), un identificador hexadecimal único e inalterable (en teoría). Al activar el filtrado por MAC solo los dispositivos que posean las direcciones MAC especificadas podrán conectarse a la red inalámbrica. Para activar el filtrado por dirección MAC debemos acceder a la sección «Wireless» del router, luego a «Wireless Mac Filter» y crear un listado donde se agregara una por una las direcciones MAC de las computadoras que tendrán acceso a la red inalámbrica.

Si bien es cierto que la dirección MAC de una placa de red no es única e inalterable, ya que existen diversidad de aplicaciones que permiten clonar y modificar estos valores hexadecimales. Sin embargo, el filtrado por MAC es una medida de seguridad muy interesante y confiable.

Paso 6: Proteger la computadora

Asegurarse de utilizar todas las herramientas de software posible para proteger la computadora.

  1. Configurar una contraseña de acceso para el ordenador. En Windows XP dirigirse a «Panel de control» y luego a «Cuentas de Usuario». En Mac OS X, buscar la sección «Seguridad» en «Preferencias del sistema».
  2. Los Firewalls (o Corta Fuegos) son fundamentales para prevenir que atacantes accedan a nuestra computadora, ya que estos se encargan de denegar el acceso a conexiones sospechosas. Asegurarse de configurar el Firewall incluido en el router así como instalar un corta fuegos por software en cada una de las PCs.
  3. Instalar software anti-virus y anti-spyware, y mantenerlos actualizados para prevenir que virus o spywares (softwares espías) se instalen en la computadora sin nuestro conocimiento.
  4. Deshabilitar «compartir archivos e impresoras» en la PC. Solo habilitar esta opción cuando se utilice.
  5. Encriptar (cifrar) nuestras carpetas y archivos privados.
  6. Deshabilitar la opción de conectarse automáticamente a redes inalámbricas. Si viajamos con nuestra portátil a distintos sitios, no queremos que esta se conecte automáticamente a cualquier punto de acceso inalámbrico abierto. Solo conectarse a redes confiables.

Otros consejos

Consejos extras para proteger nuestra conexión WiFi:

  • Ubicar el router en el centro de nuestra casa u oficina y lejos de las ventanas, para que haya menos señal hacia afuera de las paredes.
  • Utilizar escaners para comprobar la seguridad de la red.
  • Cuando nos conectemos a redes inalámbricas publicas, no asumir que son seguras. Al contrario, evitar enviar o recibir informasión sensible a través de este tipo de redes.
  • Utilizar una VPN (Virtual Private Network o Red Privada Virtual), ya que mantienen cifrada la información que se transmite.

23 Nov 2008 @ 4:50 hs.