Muchos son los artículos que andan dando vueltas por internet sobre cómo proteger una red inalámbrica (WiFi), pero la mayoría de estos son más bien consejos caseros y sin muchos fundamentos.
Dado que en la actualidad existen ofertas muy accesibles de puntos de acceso inalámbricos, es necesario sentarse a pensar cómo se debe proteger correctamente una red WiFi.
Conexiones de WiFi y su seguridad
Internet es grande, muy grande, y cuando una persona sale a buscar información, recurre a un buscador como Google donde uno encuentra entre los primeros lugares no necesariamente la mejor información, sino aquella que ha logrado buen posicionamiento.
Ahora bien, cada vez que algún conocido se compra un router inalámbrico (cada vez más populares), siempre viene la pregunta del millón ¿y cómo lo protejo? La respuesta fácil sería: busca en Google; pero dado los resultados conseguidos parece que la tarea es tan ardua, que algunos prefieren dejarla para otro día (día que por cierto... nunca llega).
Por este mismo motivo, mi intención es brindar información sobre cómo proteger una red inalámbrica, pero más bien analizando las soluciones propuestas en varios sitios de Internet, y desmitificando cuales en realidad son en vano, sea porque alguien con experiencia puede saltearse las mismas, o bien porque no tienen sentido alguno.
Está claro que todo sería más sencillo si todos tuviéramos redes libres y pudiéramos compartir información y tasa de conexión de forma casi anárquica, sin embargo, esto por ahora no es real, así que comencemos analizando consejos poco útiles para proteger nuestra red y luego iremos a aquellos consejos que sí sirven para proteger una conexión WiFi.
Consejos que no sirven para proteger una red WiFi
En este apartado la idea es mencionar consejos que son ampliamente difundidos, y que no sirven por alguna cuestión en particular, dejando en claro cual es la misma.
Se toma cada consejo de forma individual, lo que no indica que los mismos no sirvan en forma grupal limitando el espectro de ataque, aunque tampoco garantizan de la mejor manera posible la seguridad de una red inalámbrica.
Esconder SSID para proteger la red de WiFi
Uno de los consejos habituales es esconder la SSID, pero... ¿qué es esto? SSID es un código que se utiliza dentro de los paquetes de una red inalámbrica, a fines de identificar que son parte de la red, y que van dirigidos a determinado punto de acceso.
Este consejo no serviría, ya que con un poco de análisis del tráfico de la red, obtenemos el presunto SSID oculto, por ende solo sería una molestia mínima para quien intenta acceder a la red.
Ahora bien, esconder la SSID permite en cierta forma pasar desapercibido, lo quedisminuye el riesgo de ataque a dicha red. Aunque si alguien está dispuesto a buscar, encontrar y romper, esta medida será inútil (y de estos sujetos, abundan).
Filtrar direcciones MAC
Las direcciones MAC son como las SSID pero de cada nodo conectado a la red (clientes), es decir, funcionan identificando de manera única cada host y están embebidos, en cierta forma, dentro de la placa de red. Este valor (MAC) se puede cambiar virtualmente en una placa de red, a fines de simular ser otro host.
Algunos suelen aconsejar filtrar las MAC a solo aquellas que conocemos y esto es, por un lado, molesto (cada vez que incorporamos un cliente a la red, tenemos que modificar la tabla de MACs) y por otro lado no es del todo seguro.
¿Por qué no sirve? Porque si alguien se empecina en analizar los paquetes de la red, descubrirá las MAC de los hosts conectados de forma fácil, y luego procederá a modificar la MAC de su placa de red para simular ser -ese- alguien autorizado, saltando de esta forma nuestra presunta protección.
Cifrado WEP para proteger WiFi
Este tipo de cifrado ya fue vulnerado reiteradas veces, y a día de hoy es prácticamente necesario evitar usarlo, ya que las herramientas para romper la seguridad del mismo están disponibles por toda la red.
Entonces, tampoco sirve, una opción mejor sería WPA, que describiremos más adelante.
Desactivar DHCP / Restringir direcciones IPs de la red
Uno de los consejos que he notado más extraño es el de desactivar DHCP y luego, encima, restringir las direcciones IPs de la red.
El servidor de DHCP se encarga de asignar automáticamente las direcciones IP de la red, por ende, si lo desactivamos el trabajo se hace de forma manual, lo que implica mayor trabajo para quien administra el punto de acceso.
Por otro lado, restringir las direcciones IPs, si bien supone limitar la cantidad de personas que puede acceder a una red (en teoría), es fácil de disuadir haciéndose pasar por alguien al que ya le fue otorgado un IP, clonando su MAC, como dijimos anteriormente.
En una red común, esto generaría un conflicto de paquetes (colisión), pero en una red inalámbrica, el conflicto no sería fácilmente detectado.
Poner Firewall en los clientes
Este, sin duda, se lleva todos los premios ya que los clientes de la red (entiéndase como todo aquello que no funciona como punto de acceso) no garantizan en absoluto la seguridad de la red por su cuenta, si no es que interviene el punto de acceso dentro de este conjunto.
Es decir, por más que se pongan Firewalls, lo único que van a lograr, es proteger dichos clientes y no la red inalámbrica en sí, ni menos aún, el punto de acceso.
Ahora bien, si se pone un Firewall detrás del punto de acceso, estaremos protegiendo a este de las conexiones externas, y nuevamente, dejando de lado lasconexiones inalámbricas, las cuales son el motivo de nuestra preocupación. Por ende... no nos sirve.
Fijar sólo un modo de red a usar (a/g/b/n)
Este consejo, lo encontré en manuales rápidos de seguridad, y si bien podrían demostrar un punto efectivo en conjunto con otras medidas, lo considero como inútil por el simple hecho de que estaríamos limitando nuestras propias posibilidades (es decir, solo deberíamos adquirir equipos con soporte 802.11 a o 802.11 b, etc), y a su vez, porque si del otro lado alguien tiene un equipo con el mismo soporte ya están dentro de nuestro rango de permitidos.
Consejos para proteger una red de WiFi
Los consejos que se listarán a continuación, son en su mayoría útiles para asegurar la red, aunque no por sí solos. Es decir, hay que utilizarlos en conjunto, a fines de minimizar el riesgo, o mejor dicho, maximizar la seguridad.
Cambiar nombre SSID por defecto
Si bien antes dijimos que ocultar la SSID es algo, en cierta forma, inútil (porque si lo desean, la descubrirán fácilmente), cambiar el nombre de esta no lo es tanto ¿por qué? sencillo, porque cada router tiene sus mañas.
Si mañana sale una vulnerabilidad remota para el modelo de router que poseemos, es muy probable que si no hemos cambiado el nombre de SSID por defecto, y alguien está empecinado con acceder a nuestra red, tome cartas en el asunto para hacer de las suyas en un abrir y cerrar de ojos.
Ahora bien, cuando pongan el nombre nuevo traten de ser creativos (Murciégalo, en mi caso, gracias a que mi novia le dice así por sus dos antenas que parecen orejas), al menos así le robarán una sonrisa a quien les intenta robar su conexión inalámbrica.
Bloquear acceso de administración vía WiFi
Otro aspecto a tener en cuenta, es el bloqueo del acceso al panel de control por medio de conexiones inalámbricas. Esto, si bien es un beneficio, también es una contra ya que cualquiera podría ponerse a probar claves contra el panel de administración del punto de acceso, y a la larga terminaríamos con un intruso poniéndonos una configuración débil, adaptada a las necesidades de este.
En cuanto a la contra, es que solo podremos administrar dicho punto de acceso con una conexión cableada.
Cabe destacar, en este punto, el cambiar la clave que viene por defecto en el router, aunque normalmente este aspecto lo cubren los Wizards de la configuración inicial.
Bloquear administración remota
Algunos routers, permiten el acceso remoto a la administración de este, tal como lo hacen por medio de Web. La explicación es similar al punto anterior ya que se debe intentar minimizar el flanco de ataque.
Cifrado WPA o WPA2
Este cifrado, mencionado anteriormente, tiene dos versiones actualmente... siendo más segura la segunda, como era de esperarse. Aún así, muchos siguen usando la primera versión, y esta es bastante útil, como a la vez segura (de momento).
El cifrado WPA requiere que ingresemos una clave compartida que podremos componer de valores alfanuméricos como también algunos símbolos. Esta clave será la que cifre el contenido entre el punto de acceso y el cliente, por ende, si un sujeto se sienta a analizar una vasta cantidad de información por un tiempo lo suficientemente largo, acabará por obtenerla. Aún así, es poco probable... pero hagan caso al punto siguiente.
Cambiar clave de acceso del punto de acceso de forma periódica
Un buen consejo, que siempre se tiene en cuenta cuando hablamos de contraseñas, es cambiar la misma cada determinado tiempo, a fin de que si alguien está analizando nuestra red con ataques de fuerza bruta, nunca logre descifrarla por completo.
Proteger WiFi de forma avanzada
Revisar registros del Router inalámbrico
Si bien revisar un registro no es tan avanzado como parece, el hecho de sentarse cada determinada cantidad de días para analizarlo, no es tan satisfactorio tampoco, por ende, muy pocas personas lo hacen (normalmente, aquellos que son paranoicos).
Para poder realizar este tipo de controles, es necesario que el router tolere la creación de registros, y también hay que habilitar expresamente dicha opción (ya que viene desactivada por defecto en la mayoría de los productos), por ende, habrá que navegar entre el panel de control del punto de acceso para saber dónde está (si es que lo tiene, nuevamente).
Actualizar Firmware
Este aspecto en realidad no tiene mucho que ver con la seguridad si lo pensamos rápidamente..., aunque si existe alguna vulnerabilidad en el modelo de router que poseemos, este punto será el que nos salve en última instancia.
Ojo, desde Techtear no nos hacemos cargo de lo que pueda suceder al actualizar el Firmware, solo háganlo si están al tanto de los riesgos a los que se meten. Por otra parte te ofrecemos un consejo: si se demora mucho, no lo apagues, déjalo que haga su trabajo hasta que termine solito.
Atacar tu propia red
¿Y este loco qué dice? Ya sé, estarán pensando cualquier cosa, es como decir que para comprobar que tu casa se aguanta un incendio, hay que prender un fósforo y sentarse a ver... bueno, no.
La idea detrás de esto, es que si son lo suficientemente paranoicos, o bien, tienen tiempo de sobra se sienten a investigar sobre el tema y pongan a prueba su propia red. Con esto, aprenderán muchísimo, y podrán conocer las falencias explicadas en los consejos que no sirven mencionados en este mismo artículo.
Sin duda, se divertirán mucho, claro, si les gustan estos temas de seguridad.
Cómo proteger una red inalámbrica
Desde Techtear no esperamos que te conviertas en un Kevin Mitnick de las redes inalámbricas, ni en un experto de seguridad inalámbrica hogareña, sino más bien ahorrarte trabajo a la hora de proteger tu red WiFi, y saber qué sirve, qué no, y por qué no (algo que muchos suelen dejar de lado).
Lo que sí está claro, es que ningún sistema es 100% seguro, por ende no esperen ser invulnerables, sino solo menos propensos a ser atacados.
Habrá quienes concuerden con los consejos y con sus explicaciones, como habrá quienes no, por lo que invito a ambas partes a compartir sus experiencias, y si es necesario, corregir algunos puntos ya que no soy experto en seguridad informática, pero es un tema que me apasiona.
0 comentarios:
Publicar un comentario