Ésta guía puede definirse como una complementación a ésta: http://foro.hispazone.com/wifi/21588...-red-wifi.html
¿Cómo hay que protegerse?
Si con alguna de las cuatro técnicas anteriores hemos detectado a algún intruso, o simplemente queremos prevenir alguna intrusión debemos tomar medidas. La primera y más tonta es usar el cable en lugar del WIFI. La mejor opción siempre que no tengamos ratones en casa. Pero podemos hacer más cosas: Sencillas y avanzadas.
Técnicas sencillas:
Las compañías que nos suministran internet (ISP en sus siglas en inglés) usan normalmente claves inseguras o con un nivel de encriptación insuficiente. Las contraseñas WEP ya están desfasadas por su inseguridad y es conveniente usar protocolos de encriptación más modernos y más fuertes. Podemos conocer el tipo de encriptación que tiene nuestra red inalámbrica, y la contraseña consultando a nuestro ISP, en la documentación del router, o en una pegatina pegada debajo del mismo.
Debemos cambiar la clave de nuestra red, para hacerla más inaccesible a los posibles intrusos. Es aconsejable:
El tipo de encriptación más potente y extendido que tenemos hoy en día es la WPA2-PSK (ver wikipedia) y vamos a ver cómo configurarla.
Técnicas avanzadas de protección:
Los programas de captura de redes inalámbricas son cada vez más sofisticados. Pero podemos aprender mucho de ellos conociendo qué tipo de vulnerabilidades explotan, y tomando medidas para contrarrestar su ataque.
Comentaremos algunos trucos para confundir a los programas de captura más habituales.
Truco 1: Cambiar usuarios por defecto del router inalámbrico
El router inalámbrico viene de fábrica con una serie de parámetros pre-establecidos. Uno de ellos es el referido al acceso a esa ROMPage a la que hemos accedido anteriormente. Hay 3 usuarios:
Estos 3 usuarios suelen tener la misma clave de fábrica que el administrador, así que debemos cambiar la clave de acceso a los tres, puesto que hay que no atacan a la clave de la red wifi en sí, sino que lo hace entrando a través de éstos usuarios.
En el router accederemos a ROM-Page ► Menú Management (Configuración) ► Access control (Control de acceso) y ahí cambiaremos la contraseña de cada uno de los usuarios.
Truco 2: Falseo de BSSID y ESSID con puntos de acceso virtuales
La mayoría de programas y Apps de captura de claves WIFI, compilan información de las redes que escanean en busca de fallos en la seguridad. Y esos fallos no son otros que el dejar los nombres de red, las contraseñas, los nombres de usuario, etc, que el router trae –por defecto- desde fábrica.
Para saber más de la MAC: (Dirección MAC - Wikipedia, la enciclopedia libre) (IEEE IEEE-SA - Registration Authority MA-L Public Listing)
El problema es que, suele ser que los dos últimos números de la MAC suelen ser las dos últimas letras del nombre de la red inalámbrica, esto sirve a las aplicaciones de captura de redes para inferir la contraseña por defecto de cada router.
Ejemplo: Si la mac de un router es: 04:82:1D:5F:82 el nombre por defecto de la red podría ser, WLAN_82 o Jazztel_82.
Debemos cambiar el nombre de la red. A ser posible disimulando ser de otra compañía de ADSL distinta a la nuestra aunque en el nombre inventado hagamos coincidir los dos números finales con los de la MAC del router. Orange_86, Vodafone_AD82, etc. Eso confundirá a los programas de captura.
Podemos hacerlo a un nivel más avanzado gracias a las Redes Virtuales. Cuando el router viene nuevo, viene pre-configurado y con la red inalámbrica activa y con un nombre y una clave que podemos ver escrito en la etiqueta que suele haber pegada bajo el router. También, podemos ver hasta la MAC de nuestro router.
Esa red inalámbrica, sería una “RED REAL”, adicionalmente algunas marcas de router, permiten, crear -dentro de ese mismo router- otras redes WIFI VIRTUALES.
Las ventajas que ofrece esto son muchas.
Truco 3: Filtrado de MACs
Como ya indicábamos anteriormente al crear una red inalámbrica podemos elegir el número de dispositivos que queremos que se conecten a ella. El rango de dispositivos más común es entre 1 y 16 clientes o dispositivos que pueden conectarse a una misma red WIFI. Con éste tipo de limitaciones, un hacker que capturase nuestra red se podría conectar igualmente. Y lo peor de todo, es que si; por ejemplo; configuramos el límite de nuestra red WIFI en 4 dispositivos y nos conectamos los 5ºs, no podremos entrar a nuestra propia red.
Para evitar esto existe una cosa llamada filtrado de MACs, que no es otra cosa que indicarle al router exactamente qué dispositivos pueden conectarse a nuestra red WIFI identificando a cada cliente por su número MAC único. Esto garantiza que sólo esos dispositivos permitidos puedan conectarse.
Para hacer un filtrado de MAC debemos hacer lo siguiente:
Este método no es absolutamente infalible, puesto que es fácil cambiar una dirección MAC de cualquier dispositivo con conexión inalámbrica.
Truco 4: Limitar el acceso a nuestra red local, usando IP's fijas y desactivando DHCP
El filtrado de MAC’s constituye una barrera más eficaz que el establecimiento de IP’s fijas en nuestro router puesto que el filtrado de MAC’s nos protege ANTES de que la contraseña WIFI haya podido ser quebrantada. Es decir, antes de que ésta haya podido ser averiguada por nuestros posibles atacantes y antes de que esos intrusos estén dentro de nuestra red. Establecer IP’s fijas nos protege después; cuando ya están dentro, limita sus movimientos, temporalmente.
Por todo eso; conviene recordar que es conveniente cambiar la contraseña de nuestra red WIFI con relativa frecuencia y establecer siempre claves de la encriptación más fuerte que permita nuestro router, o los dispositivos que vamos a conectar a él.
Cuando conectamos cualquier dispositivo a nuestra red, bien sea por cable, o por vía inalámbrica; el router se encarga -a través del servidor DHCP- de asignar a cada uno de esos dispositivos –cada uno con su MAC correspondiente- una dirección IP distinta que los identificará en la red. Esta IP puede ser distinta cada vez que conectemos un dispositivo (cliente) y su número viene fijado de forma automática dentro de un rango pre-establecido en el servidor DHCP, esto se conoce, como IP dinámica en una red LAN. Lo que nosotros vamos a hacer es desactivar el servidor DHCP para establecer manualmente y en función de nuestras necesidades ese rango de IP’s y vamos a asignar también una IP determinada a cada cliente conectado a nuestra red.
Establecer IP’s fijas:
Como decíamos; el método puede variar según el modelo de router. Pero, en líneas generales en todos; el procedimiento tiene rasgos comunes y fácilmente identificables en cualquier marcha de router.
El proceso será el siguiente:
Como nota, decir que algunos routers permiten actualizar IP para la MAC que hayas seleccionado en esa IP, lo que es bastante útil ya que si algún intruso coge nuestra IP (que ya es difícil si hemos hecho todos los pasos bien) para poder conectarse a la wifi, cada X tiempo, el router puede actualizar la información, haciendo coincidir la IP asignada a la MAC del dispositivo, por lo que el intruso debería acertar también con nuestra MAC.
Pasos a seguir:
a) Pulsamos (Agregar) (Add Entries) (Añadir) para añadir una IP y vincularla a un dispositivo específico usando su MAC.
b) Introducimos en el recuadro para la IP, una que esté dentro del intervalo que establecimos antes. E introducimos en el recuadro para la MAC, la que corresponda al dispositivo al que queremos asignar esa dirección IP de forma permanente.
c) Guardar la configuración que acabamos de establecer. Pulsando el botón (Aply/Save). Algunos routers pueden requerir el reinicio del sistema.
d) Aparte de configurar las IP’s estáticas en el router, debemos configurarlas en nuestros dispositivos que vayamos a usar.
d.1) Para un PC con Windows debemos ir al “Centro de redes y recursos compartidos”, en el menú que aparece a la izquierda seleccionamos “Cambiar configuración del adaptador”, click derecho sobre el adaptador mediante el cual nos conectemos a internet y seleccionamos “Propiedades”, buscamos “Protocolo de Internet versión 4 (TCP/IPv4) y tendremos que rellenar algunos campos:
-Dirección IP: La que hayamos asignado en el router a ese dispositivo.
-Máscara de subred: Debería ponerse automáticamente, si no lo hace, poner ésta: 255.255.255.0
-Puerta de enlace predeterminada: Es la IP del router, la misma que ponemos en la barra de dirección del navegador para poder acceder a él desde la ROM Page.
d.2) Si queremos asignar un dispositivo Android por wifi, en caso de Android 4.3, vamos a “Ajustes”, “Wifi”, mantenemos pulsado sobre la red a la que vayamos a conectarnos, “Modificar Red” y ahí tendremos que rellenar los campos al igual que en Windows.
Con todos estos pasos dificultaremos la intrusión en nuestra red WIFI. Sin embargo cabe recordar que cambiar la contraseña de forma habitual es muy recomendable.
PD: Gracias a Nehalem por la guía casi en su totalidad :D
¿Cómo hay que protegerse?
Si con alguna de las cuatro técnicas anteriores hemos detectado a algún intruso, o simplemente queremos prevenir alguna intrusión debemos tomar medidas. La primera y más tonta es usar el cable en lugar del WIFI. La mejor opción siempre que no tengamos ratones en casa. Pero podemos hacer más cosas: Sencillas y avanzadas.
Técnicas sencillas:
Las compañías que nos suministran internet (ISP en sus siglas en inglés) usan normalmente claves inseguras o con un nivel de encriptación insuficiente. Las contraseñas WEP ya están desfasadas por su inseguridad y es conveniente usar protocolos de encriptación más modernos y más fuertes. Podemos conocer el tipo de encriptación que tiene nuestra red inalámbrica, y la contraseña consultando a nuestro ISP, en la documentación del router, o en una pegatina pegada debajo del mismo.
Debemos cambiar la clave de nuestra red, para hacerla más inaccesible a los posibles intrusos. Es aconsejable:
- Renovarla y cambiarla de forma periódica (1 vez al mes al menos).
- Usar claves lo más largas posible,
- A ser posible tipo ASCII.
- Que incluya letras, mayúsculas, minúsculas.
- Preferiblemente no palabras conocidas en ningún idioma, sino letras aleatorias.
- E incluyendo símbolos y números entre esas letras.
El tipo de encriptación más potente y extendido que tenemos hoy en día es la WPA2-PSK (ver wikipedia) y vamos a ver cómo configurarla.
- Accedemos al router de la forma que indicamos anteriormente.
- Buscamos entre las categorías la referida a redes inalámbricas (Wireless)
- Dentro de “Wireless” hemos de buscar la referida a Seguridad
- En la sección “Seguridad” podemos configurar todo lo referido a las contraseñas de acceso a nuestra red wifi.
- Debemos seleccionar nuestra red por su nombre ( o BSSID como aparece en algunos routers)
- Seleccionamos también el tipo de encriptación que vamos a elegir para nuestra red.
- Y ya sólo queda inventarnos una clave lo más rara posible. Para hacerlo hay hasta webs que nos pueden ayudar. Sin embargo por seguridad es preferible hacer uso de nuestro ingenio.
Técnicas avanzadas de protección:
Los programas de captura de redes inalámbricas son cada vez más sofisticados. Pero podemos aprender mucho de ellos conociendo qué tipo de vulnerabilidades explotan, y tomando medidas para contrarrestar su ataque.
Comentaremos algunos trucos para confundir a los programas de captura más habituales.
Truco 1: Cambiar usuarios por defecto del router inalámbrico
El router inalámbrico viene de fábrica con una serie de parámetros pre-establecidos. Uno de ellos es el referido al acceso a esa ROMPage a la que hemos accedido anteriormente. Hay 3 usuarios:
- Admin: El que hemos usado anteriormente, y que más cosas puede modificar en la ROMPage.
- User: Con menos acceso que el administrador, permite hacer configuraciones básicas.
- Support: Este usuario puede ser usado por el soporte técnico de la compañía, para darnos algún tipo de soporte y/o cambiar configuraciones, en nuestro router.
Estos 3 usuarios suelen tener la misma clave de fábrica que el administrador, así que debemos cambiar la clave de acceso a los tres, puesto que hay que no atacan a la clave de la red wifi en sí, sino que lo hace entrando a través de éstos usuarios.
En el router accederemos a ROM-Page ► Menú Management (Configuración) ► Access control (Control de acceso) y ahí cambiaremos la contraseña de cada uno de los usuarios.
Truco 2: Falseo de BSSID y ESSID con puntos de acceso virtuales
La mayoría de programas y Apps de captura de claves WIFI, compilan información de las redes que escanean en busca de fallos en la seguridad. Y esos fallos no son otros que el dejar los nombres de red, las contraseñas, los nombres de usuario, etc, que el router trae –por defecto- desde fábrica.
- El BSSID es el nombre de la red: WLAN_xx, Jazztel_xx, etc.
- El ESSID es la M.A.C. del router o AP (Access Point o Punto de acceso en español) La M.A.C. del router o punto de acceso. Es como un código alfanumérico de 6 pares de caracteres separados por dos puntos (:) que identifican la marca y hasta el modelo de un dispositivo físico conectado a una red. Es como la matrícula de los coches, pues cada ordenador, o móvil, tiene la suya propia.
Para saber más de la MAC: (Dirección MAC - Wikipedia, la enciclopedia libre) (IEEE IEEE-SA - Registration Authority MA-L Public Listing)
El problema es que, suele ser que los dos últimos números de la MAC suelen ser las dos últimas letras del nombre de la red inalámbrica, esto sirve a las aplicaciones de captura de redes para inferir la contraseña por defecto de cada router.
Ejemplo: Si la mac de un router es: 04:82:1D:5F:82 el nombre por defecto de la red podría ser, WLAN_82 o Jazztel_82.
Debemos cambiar el nombre de la red. A ser posible disimulando ser de otra compañía de ADSL distinta a la nuestra aunque en el nombre inventado hagamos coincidir los dos números finales con los de la MAC del router. Orange_86, Vodafone_AD82, etc. Eso confundirá a los programas de captura.
Podemos hacerlo a un nivel más avanzado gracias a las Redes Virtuales. Cuando el router viene nuevo, viene pre-configurado y con la red inalámbrica activa y con un nombre y una clave que podemos ver escrito en la etiqueta que suele haber pegada bajo el router. También, podemos ver hasta la MAC de nuestro router.
Esa red inalámbrica, sería una “RED REAL”, adicionalmente algunas marcas de router, permiten, crear -dentro de ese mismo router- otras redes WIFI VIRTUALES.
- Creamos las redes virtuales.
- Ocultamos la red principal, aunque tengamos el nombre cambiado.
- Usamos cada día una de esas redes virtuales, de forma alternativa.
Las ventajas que ofrece esto son muchas.
- Le podemos poner el nombre y el tipo de clave que queramos.
- Tenemos una red con una MAC que el router se inventa automáticamente.
- Si además dejamos la red principal oculta y no nos conectamos por ella, será CASI imposible que la capturen. Porque los programas de captura necesitan que haya un flujo de datos, un tráfico, entre el router o punto de acceso y el cliente que esté conectado a ese punto de acceso. Al no haberlo, no podrán capturar nada. Y al tampoco haber clientes asociados a esa red; tampoco pueden simular ellos el tráfico con el uso de programas de inyección de paquetes como AirReplay-ng, AirScript o similares, porque existen métodos para suplantar las MAC’s de cualquier cliente asociado a una red. Haciéndose pasar por uno de los clientes asociados reales, copiando su MAC pueden confundir al router, y hacer que les empiece a mandar paquetes con información que contienen la clave. Se necesitan más de 2 millones de paquetes para desencriptar una clave WPA2 de una red inalámbrica, lo que sería difícil de conseguir debido al poco flijo de datos que habría en la red principal.
- Las redes WIFI nos permiten hacer un filtrado inicial limitando el número de usuarios conectados a una determinada red.
Truco 3: Filtrado de MACs
Como ya indicábamos anteriormente al crear una red inalámbrica podemos elegir el número de dispositivos que queremos que se conecten a ella. El rango de dispositivos más común es entre 1 y 16 clientes o dispositivos que pueden conectarse a una misma red WIFI. Con éste tipo de limitaciones, un hacker que capturase nuestra red se podría conectar igualmente. Y lo peor de todo, es que si; por ejemplo; configuramos el límite de nuestra red WIFI en 4 dispositivos y nos conectamos los 5ºs, no podremos entrar a nuestra propia red.
Para evitar esto existe una cosa llamada filtrado de MACs, que no es otra cosa que indicarle al router exactamente qué dispositivos pueden conectarse a nuestra red WIFI identificando a cada cliente por su número MAC único. Esto garantiza que sólo esos dispositivos permitidos puedan conectarse.
Para hacer un filtrado de MAC debemos hacer lo siguiente:
- Acceder al router por la ROM-Page como se indica en ésta guía.
- Dirigirnos hasta la categoría o menú “Wireless” puesto que es una configuración de éste servicio.
- Buscar entre ellos, el submenú o subcategoría: “MAC Filter” o filtrado de MACs.
- Es muy básico el método. Una vez dentro, debemos elegir el nombre de la red o punto de acceso (Access Point) para el que vamos a establecer ese filtrado y decimos que vamos a Permitir (ALLOW) la conexión a esa MAC en concreto.
- Una vez hayamos seleccionado la red, procedemos a añadir; UNO A UNO, los dispositivos que vamos a permitir la conexión. Podemos copiar las MACs (Copiar/Pegar) de Station Info; para conocer nuestra MAC véase, en ésta misma guía, Truco 4/Paso 5/Apartado d).
- Y ya está, ya estaría filtrada esa MAC para esa red en concreto y sólo un dispositivo que la posea podría conectarse.
Este método no es absolutamente infalible, puesto que es fácil cambiar una dirección MAC de cualquier dispositivo con conexión inalámbrica.
Truco 4: Limitar el acceso a nuestra red local, usando IP's fijas y desactivando DHCP
El filtrado de MAC’s constituye una barrera más eficaz que el establecimiento de IP’s fijas en nuestro router puesto que el filtrado de MAC’s nos protege ANTES de que la contraseña WIFI haya podido ser quebrantada. Es decir, antes de que ésta haya podido ser averiguada por nuestros posibles atacantes y antes de que esos intrusos estén dentro de nuestra red. Establecer IP’s fijas nos protege después; cuando ya están dentro, limita sus movimientos, temporalmente.
Por todo eso; conviene recordar que es conveniente cambiar la contraseña de nuestra red WIFI con relativa frecuencia y establecer siempre claves de la encriptación más fuerte que permita nuestro router, o los dispositivos que vamos a conectar a él.
Cuando conectamos cualquier dispositivo a nuestra red, bien sea por cable, o por vía inalámbrica; el router se encarga -a través del servidor DHCP- de asignar a cada uno de esos dispositivos –cada uno con su MAC correspondiente- una dirección IP distinta que los identificará en la red. Esta IP puede ser distinta cada vez que conectemos un dispositivo (cliente) y su número viene fijado de forma automática dentro de un rango pre-establecido en el servidor DHCP, esto se conoce, como IP dinámica en una red LAN. Lo que nosotros vamos a hacer es desactivar el servidor DHCP para establecer manualmente y en función de nuestras necesidades ese rango de IP’s y vamos a asignar también una IP determinada a cada cliente conectado a nuestra red.
Establecer IP’s fijas:
- Limita el acceso a un rango determinado de clientes de red.
- Impide que a un cliente o usuario infiltrado y desconocido en nuestra red local; se le asigne una IP y éste adquiera conexión plena a nuestra red wifi, cosa que le permitiría disponer de internet gratuitamente y/o acceder a nuestros ficheros personales.
Como decíamos; el método puede variar según el modelo de router. Pero, en líneas generales en todos; el procedimiento tiene rasgos comunes y fácilmente identificables en cualquier marcha de router.
El proceso será el siguiente:
- Desactivaremos el servidor DHCP para dejar que el router deje de asignar IPs automáticamente a cada cliente que se conecte.
- Asignaremos un rango de IP’s que limite en cantidad, el número de posibles clientes admitidos en nuestra red local.
- Por último, asignaremos -dentro del rango anteriormente establecido- una IP fija a cada uno de los clientes, dispositivos, etc, que conectemos a nuestra red (Hay que hacerlo para los elementos conectados por WIFI y por cable). Cada cliente está identificado con su propia MAC, y será imposible que alguien se cuele si no sabe qué IP hemos asignado a cada dispositivo.
Como nota, decir que algunos routers permiten actualizar IP para la MAC que hayas seleccionado en esa IP, lo que es bastante útil ya que si algún intruso coge nuestra IP (que ya es difícil si hemos hecho todos los pasos bien) para poder conectarse a la wifi, cada X tiempo, el router puede actualizar la información, haciendo coincidir la IP asignada a la MAC del dispositivo, por lo que el intruso debería acertar también con nuestra MAC.
Pasos a seguir:
- Acceder a la ROM-Page del router, indicado en ésta guía.
- Buscamos la categoría referida a LAN (Local area Network). Suele estar en el menú "Router". En el caso de nuestro router es: Advanced configuration►LAN
- Desactivamos el servidor DHCP poniéndolo (disable). Para ello sólo hemos de marcarlo donde corresponda.
- Hemos de configurar el intervalo de IPs. Debemos fijar la IP de "inicio del intervalo de direcciones IP", (Start IP Address) y fijar la "IP de fin del intervalo de direcciones IP". Por ejemplo la IP de comienzo y fin que vamos a poner son las 192.168.1.28 y 192.168.1.38 pero podrían ser cualquier otras, siempre que tengan una terminación entre 1 y 254 (Máscara subnet, no hablaremos de ella).
- En nuestro router, este paso no se puede realizar si el servidor DHCP está desactivado, así que habrá que hacerlo al revés. Desactivaremos el servidor DHCP después de haber establecido el intervalo a nuestro gusto. Establecemos una IP fija y única para cada dispositivo -identificado con su dirección MAC correspondiente-. Este paso es el que más mola. Debemos tener apuntadas y a mano, las direcciones MAC de cada uno de los dispositivos que vamos a configurar.
a) Pulsamos (Agregar) (Add Entries) (Añadir) para añadir una IP y vincularla a un dispositivo específico usando su MAC.
b) Introducimos en el recuadro para la IP, una que esté dentro del intervalo que establecimos antes. E introducimos en el recuadro para la MAC, la que corresponda al dispositivo al que queremos asignar esa dirección IP de forma permanente.
c) Guardar la configuración que acabamos de establecer. Pulsando el botón (Aply/Save). Algunos routers pueden requerir el reinicio del sistema.
d) Aparte de configurar las IP’s estáticas en el router, debemos configurarlas en nuestros dispositivos que vayamos a usar.
d.1) Para un PC con Windows debemos ir al “Centro de redes y recursos compartidos”, en el menú que aparece a la izquierda seleccionamos “Cambiar configuración del adaptador”, click derecho sobre el adaptador mediante el cual nos conectemos a internet y seleccionamos “Propiedades”, buscamos “Protocolo de Internet versión 4 (TCP/IPv4) y tendremos que rellenar algunos campos:
-Dirección IP: La que hayamos asignado en el router a ese dispositivo.
-Máscara de subred: Debería ponerse automáticamente, si no lo hace, poner ésta: 255.255.255.0
-Puerta de enlace predeterminada: Es la IP del router, la misma que ponemos en la barra de dirección del navegador para poder acceder a él desde la ROM Page.
d.2) Si queremos asignar un dispositivo Android por wifi, en caso de Android 4.3, vamos a “Ajustes”, “Wifi”, mantenemos pulsado sobre la red a la que vayamos a conectarnos, “Modificar Red” y ahí tendremos que rellenar los campos al igual que en Windows.
Con todos estos pasos dificultaremos la intrusión en nuestra red WIFI. Sin embargo cabe recordar que cambiar la contraseña de forma habitual es muy recomendable.
PD: Gracias a Nehalem por la guía casi en su totalidad :D