Protegiendo nuestra red WiFi

Desde su aparición en el año 1997, el estándar IEEE 802.11, en la práctica Wi-Fi (Wireless Fidelity), ha sido toda una revolución permitiéndonos la conexión a las redes de nuestra empresa con nuestros terminales móviles (ordenadores portátiles, tabletas, smartphones,…) además, son muchos los dispositivos que sin ser móviles se configuran para la conexión inalámbrica en lugar de hacerlo de manera cableada (ordenadores de sobremesa, consolas de videojuegos, Smart TV’s, antenas repetidoras, etc.).
Partiendo de la base de que deberíamos de optar por la conexión con cable siempre que nos sea posible debido a la velocidad y seguridad intrínsecas, existe una serie de pautas a seguir para hacer
nuestra red WiFi mas robusta y segura.
Comencemos introduciendo una serie de conceptos básicos en este tipo de redes:
PUNTO DE ACCESO: Conocido como AP (Access Point), es el dispositivo que interconecta terminales inalámbricos a la red de computadores conformando una red inalámbrica y a su vez el vínculo a la red cableada. Dicho AP puede estar conectado a otro nodo (switch, router, AP, etc) mediante cable o de manera inalámbrica, conformando en este caso un radioenlace.
MAC: También conocida como dirección física, la dirección MAC es un identificador único para cada dispositivo de red compuesto por 48 bits (se muestra en 6 bloques hexadecimales). Los primeros 24 bits determinan al fabricante y el resto lo configura el IEEE (Institute of Electrical and Electronics Engineers).
SSID (Service Set IDentifier):  Es el nombre que adopta la red WiFi y se compone de un código alfanumérico de 32 caracteres.
BSSID (Basic Service Set IDentifier): Se corresponde con la MAC de dicho AP.
A continuación continuaremos con algunos consejos a tener en cuenta para hacer mas segura nuestra red (aplicables tanto para dispositivos exclusivamente puntos de acceso como para los routers suministrados por nuestros proveedores de Internet).
1. Cambiar la contraseña por defecto para acceder al panel de control del AP/Router. Sería sencillo buscar en la red el modelo y su password por defecto. Cualquiera que acceda al panel de control podría dejar incomunicada la red.
2. Cambiar la SSID y la contraseña de acceso a nuestra red WiFi. En el pasado se ha conseguido liberar mediante ingeniería inversa algunos algoritmos que relacionaban nombre y password de algunos proveedores conocidos.
3. Ocultar nuestra red WiFi. Este método permitiría aislarnos de algunos curiosos con sencillas aplicaciones de crackeo pero no sirve de mucho con la mayoría de programas para auditar redes inalámbricas, lo cuáles nos muestras todas las redes del espectro, ocultas o no.
4. Podemos mapear una lista de direcciones MAC de modo que permitamos el acceso a los clientes que componen dicha lista (white list o lista blanca) o por el contrario, denegar el acceso a una serie de equipos (black list o lista negra). A esta técnica se le conoce como Filtrado de MAC, si bien es cierto que puede resultar tediosa en zonas donde los clientes cambian con frecuencia. Al igual que ocurría con la técnica de ocultación de la SSID, la del filtrado MAC no es una técnica del todo segura pues existen programas que nos permiten cambiar la MAC (accediendo previamente a la lista).
5. Podemos eliminar el servicio DHCP de modo que alguien que consiga la clave de la red WiFi se le impida la asignación de una IP para ello además, deberíamos cambiar el direccionamiento por defecto de modo que el cliente desconozca el rango de la red (casos típicos de 192.168.0.X y 192.168.1.X). Este método es bastante efectivo pero alguien con determinados conocimientos podría ‘esnifar’ la red para obtener una trama que le indique el rango IP.
6. La principal regla para securizar nuestra red WiFi es configurar el cifrado al máximo permitido, lo ideal es seleccionar WPA2 siempre que sea nos sea posible, en su defecto a WPA (en ocasiones las tarjetas de red de los clientes son viejas y no permiten este cifrado). Extraer las claves de una red con encriptación tipo WEP es relativamente sencillo. Desencriptar claves WPA requiere complicados ataques basados en diccionarios.
* Para este último punto y para el resto de pasos que así lo requieran, tenemos que elegir contraseñas robustas. Lo ideal es que contengan un mínimo de 8 caracteres compuestos por números, letras y símbolos permitidos (arrobas, barras, …) y que no se compongan de palabras fácilmente reconocibles en diccionarios. En esencia, los ataques a WPA/WPA2 se basan en diccionarios ‘fabricados’ por personas y siguiendo diferentes patrones (abecedario, ordenación de números, palabras conocidas,…). Un buen método es optar por palabras compuestas por ciertos números en la posición de las vocales (ej.: w1f1h0g@r).

7. Por último y no menos importante, recomiendo desactivar la función WPS de nuestro router (la mayoría de las veces viene activado de fábrica). Existe una vulnerabilidad que permite extraer la clave WPA del router sin necesidad de complicados diccionarios. WPS es un protocolo de comunicación que facilita la conexión de dispositivos a la red WiFi mediante la introducción de un PIN y Reaver es una aplicación que facilita el crackeo de dicha clave aprovechando dicha vulnerabilidad.


Anuncios