Dado que en la actualidad existen ofertas muy accesibles de puntos de acceso inalámbricos, es necesario sentarse a pensar cómo se debe proteger correctamente una red .
Ahora bien, cada vez que algún conocido se compra un router inalámbrico (cada vez más populares), siempre viene la pregunta del millón... ¿y cómo lo protejo? ... y la respuesta fácil sería busca en Google, pero dado los resultados conseguidos... parece que la tarea es tan ardua, que algunos prefieren dejarla para otro día (día que por cierto... nunca llega).
Por este mismo motivo, mi intención es brindar información sobre como proteger una red inalámbrica, pero más bien analizando las soluciones propuestas en varios sitios de Internet, y desmitificando cuales en realidad son en vano, sea porque alguien con experiencia puede saltearse las mismas, o bien porque no tienen sentido alguno... para nada.
Se toma cada consejo de forma individual, lo que no indica que los mismos no sirvan en forma grupal limitando el espectro de ataque, aunque tampoco garantizan -de la mejor manera posible- la seguridad de una red inalámbrica.
Esconder SSID
Uno de los consejos habituales es esconder la SSID, pero... ¿qué es esto?... es un código que se utiliza dentro de los paquetes de una red inalámbrica, a fines de identificar que son parte de la red, y que van dirigidos a determinado punto de acceso.
Este consejo no serviría, ya que con un poco de análisis del tráfico de la red, obtenemos el presunto SSID oculto, por ende... solo sería una molestia mínima para quien intenta acceder a la red.
Ahora bien, esconder la SSID permite en cierta forma pasar desapercibido, lo que disminuye el riesgo de ataque a dicha red... aunque si alguien está dispuesto a buscar, encontrar y romper... esta medida será inútil (y de estos sujetos, abundan).
Filtrar direcciones MAC
Las direcciones MAC son como las SSID pero de cada nodo conectado a la red (clientes), es decir, funcionan identificando de manera única cada host y están embebidos, en cierta forma, dentro de la placa de red. Este valor (MAC) se puede cambiar virtualmente en una placa de red, a fines de simular ser otro host.
Algunos suelen aconsejar filtrar las MAC a solo aquellas que conocemos... y esto es, por un lado, molesto (cada vez que incorporamos un cliente a la red, tenemos que modificar la tabla de MACs) y por otro lado no es del todo seguro.
¿Por qué no sirve? Porque si alguien se empecina en analizar los paquetes de la red, descubrirá las MAC de los hosts conectados de forma fácil, y luego procederá a modificar la MAC de su placa de red para simular ser -ese- alguien autorizado... saltando nuestras presunta protección.
Cifrado WEP
Este tipo de cifrado ya fue vulnerado reiteradas veces, y a día de hoy es prácticamente necesario evitar usarlo, ya que las herramientas para romper la seguridad del mismo están disponibles por toda la red.
Entonces, tampoco sirve... una opción mejor sería WPA, que describiremos más adelante.
Desactivar DHCP / Restringir direcciones IPs de la red
Uno de los consejos que he notado más extraño... el hecho de desactivar DHCP y luego, encima, restringir las direcciones IPs de la red.
El servidor de DHCP se encarga de asignar automáticamente las direcciones IP de la red, por ende, si lo desactivamos... el trabajo se hace de forma manual, lo que implica mayor trabajo para quien administra el punto de acceso.
Por otro lado, restringir las direcciones IPs, si bien supone limitar la cantidad de personas que puede acceder a una red (en teoría), es fácil de disuadir haciéndose pasar por alguien al que ya le fue otorgado un IP, clonando su MAC, como dijimos anteriormente. En una red común, esto generaría un conflicto de paquetes (colisión), pero en una red inalámbrica, el conflicto no sería fácilmente detectado.
Poner Firewall en los clientes
Este, sin duda, se lleva todos los premios... ya que los clientes de la red (entiendase como todo aquello que no funciona como punto de acceso) no garantizan en absoluto la seguridad de la red por su cuenta, si no es que interviene el punto de acceso dentro de este conjunto. Es decir, por más que se pongan Firewalls, lo único que van a lograr, es proteger dichos clientes... y no la red inalámbrica en sí, ni menos aún, el punto de acceso.
Ahora bien, si se pone un Firewall detrás del punto de acceso, estaremos protegiendo a este de las conexiones externas... y nuevamente, dejando de lado las conexiones inalámbricas, las cuales son el motivo de nuestra preocupación. Por ende... no nos sirve.
Fijar solo un modo de red a usar (a/g/b/n)
Este consejo, lo encontré en manuales rápidos de seguridad, y si bien podrían demostrar un punto efectivo en conjunto con otras medidas, lo considero como inútil por el simple hecho de que estaríamos limitando nuestras propias posibilidades (es decir, solo deberíamos adquirir equipos con soporte 802.11 a o 802.11 b, etc...), y a su vez, porque si del otro lado alguien tiene un equipo con el mismo soporte... ya están dentro de nuestro rango de permitidos.
Cambiar nombre SSID por defecto
Si bien antes dijimos que ocultar la SSID es algo, en cierta forma, inútil (porque si lo desean, la descubrirán fácilmente), cambiar el nombre de esta no lo es tanto... ¿por qué? sencillo, porque cada Router tiene sus mañas, y si mañana sale una vulnerabilidad remota para el modelo que poseemos, es muy probable que si no hemos cambiado el nombre de SSID por defecto, y alguien está empecinado con acceder a nuestra red, tome cartas en el asunto para hacer de las suyas en un abrir y cerrar de ojos.
Ahora bien, cuando pongan el nombre nuevo... traten de ser creativos (Marcianito, en mi caso, gracias a que mi novia le dice así por sus dos antenas), al menos así le robarán una sonrisa a quien les intenta robar su conexión inalámbrica.
Bloquear acceso de administración via WiFi
Otro aspecto a tener en cuenta, es el bloqueo del acceso al panel de control por medio de conexiones inalámbricas. Esto, si bien es un beneficio, también es una contra... ya que cualquiera podría ponerse a probar claves contra el panel de administración del punto de acceso, y a la larga terminaríamos con un intruso poniéndonos una configuración débil, adaptada a las necesidades de este. En cuanto a la contra, es que solo podremos administrar dicho punto de acceso con una conexión cableada.
Cabe destacar, en este punto, el cambiar la clave que viene por defecto en el Router... aunque normalmente este aspecto lo cubren los Wizards de la configuración inicial.
Bloquear administración remota
Algunos routers, permiten el acceso remoto a la administración de este, tal como lo hacen por medio de Web. La explicación es similar al punto anterior... ya que se debe intentar minimizar el flanco de ataque.
Cifrado WPA o WPA2
Este cifrado, mencionado anteriormente, tiene dos versiones actualmente... siendo más segura la segunda, como era de esperarse. Aún así, muchos siguen usando la primera versión, y esta es bastante útil, como a la vez segura (de momento).
El cifrado WPA requiere que ingresemos una clave compartida que podremos componer de valores alfanuméricos como también algunos símbolos. Esta clave será la que cifre el contenido entre el punto de acceso y el cliente, por ende, si un sujeto se sienta a analizar una vasta cantidad de información por un tiempo lo suficientemente largo, acabará por obtenerla. Aún así, es poco probable... pero hagan caso al punto siguiente.
Cambiar clave de acceso del punto de acceso, de forma periódica
Un buen consejo, que siempre se tiene en cuenta cuando hablamos de contraseñas, es cambiar la misma cada determinado tiempo, a fines de que si... alguien está analizando nuestra red con ataques de fuerza bruta, nunca logre descifrarla por completo... a tiempo.
Si bien revisar un registro no es tan avanzado como parece, el hecho de sentarse cada determinada cantidad de días para analizarlo, no es tan satisfactorio tampoco... por ende, muy pocas personas lo hacen (normalmente, aquellos que son paranoicos...).
Para poder realizar este tipo de controles, es necesario que el router tolere la creación de registros, y también hay que habilitar expresamente dicha opción (ya que viene desactivada por defecto en la mayoría de los productos), por ende habrá que navegar entre el panel de control del punto de acceso para saber donde está (si es que lo tiene, nuevamente).
Actualizar Firmware
Este aspecto en realidad no tiene mucho que ver con la seguridad si lo pensamos rápidamente..., aunque si existe alguna vulnerabilidad en el modelo de router que poseemos, este punto será el que nos salve las papas.
Ojo, desde TechTear no nos hacemos cargo de lo que pueda suceder al actualizar el Firmware, solo háganlo si están al tanto de los riesgos a los que se meten (consejo, si se demora mucho, no lo apaguen... déjenlo que haga su trabajo hasta que termine solito).
Atacar tu propia red
¿Y este loco que dice?... ya sé, estarán pensando cualquier cosa, es como decir que para comprobar que tu casa se aguanta un incendio, hay que prender un fósforo y sentarse a ver... no.
La idea detrás de esto, es que si son lo suficientemente paranoicos, o bien, tienen tiempo de sobra... se sienten a investigar sobre el tema y pongan a prueba su propia red. Con esto, aprenderán muchísimo, y podrán conocer las falencias explicadas en los consejos que no sirven mencionados en este mismo artículo.
Sin duda, se divertirán... claro, si les gustan estos temas de seguridad.
Lo que si está claro, es que ningún sistema es cien por ciento seguro, por ende no esperen ser invulnerables... sino solo menos propensos a ser vulnerados.
Habrá quienes concuerden con los consejos y con sus explicaciones, como habrá quienes no ... por lo que invito a ambas partes a compartir sus experiencias, y si es necesario, corregir algunos puntos ya que no soy experto en seguridad informática, pero es un tema que me apasiona.
Nota: Este artículo surge como inspiración de ver que un sitio importante y reconocido de la red, publicó unos pocos consejos que aquí mismo desestimo... por experiencia propia, no por capricho.
Introducción
Internet es grande, muy grande... y cuando una persona sale a buscar información, recurre a un buscador como ... donde uno encuentra entre los primeros lugares no necesariamente la mejor información, sino aquella que ha logrado buen posicionamiento.Ahora bien, cada vez que algún conocido se compra un router inalámbrico (cada vez más populares), siempre viene la pregunta del millón... ¿y cómo lo protejo? ... y la respuesta fácil sería busca en Google, pero dado los resultados conseguidos... parece que la tarea es tan ardua, que algunos prefieren dejarla para otro día (día que por cierto... nunca llega).
Por este mismo motivo, mi intención es brindar información sobre como proteger una red inalámbrica, pero más bien analizando las soluciones propuestas en varios sitios de Internet, y desmitificando cuales en realidad son en vano, sea porque alguien con experiencia puede saltearse las mismas, o bien porque no tienen sentido alguno... para nada.
Consejos que no sirven
En este apartado, la idea es mencionar consejos que son ampliamente difundidos, y que no sirven por alguna cuestión en particular, dejando en claro cual es la misma.Se toma cada consejo de forma individual, lo que no indica que los mismos no sirvan en forma grupal limitando el espectro de ataque, aunque tampoco garantizan -de la mejor manera posible- la seguridad de una red inalámbrica.
Esconder SSID
Uno de los consejos habituales es esconder la SSID, pero... ¿qué es esto?... es un código que se utiliza dentro de los paquetes de una red inalámbrica, a fines de identificar que son parte de la red, y que van dirigidos a determinado punto de acceso.
Este consejo no serviría, ya que con un poco de análisis del tráfico de la red, obtenemos el presunto SSID oculto, por ende... solo sería una molestia mínima para quien intenta acceder a la red.
Ahora bien, esconder la SSID permite en cierta forma pasar desapercibido, lo que disminuye el riesgo de ataque a dicha red... aunque si alguien está dispuesto a buscar, encontrar y romper... esta medida será inútil (y de estos sujetos, abundan).
Filtrar direcciones MAC
Las direcciones MAC son como las SSID pero de cada nodo conectado a la red (clientes), es decir, funcionan identificando de manera única cada host y están embebidos, en cierta forma, dentro de la placa de red. Este valor (MAC) se puede cambiar virtualmente en una placa de red, a fines de simular ser otro host. Algunos suelen aconsejar filtrar las MAC a solo aquellas que conocemos... y esto es, por un lado, molesto (cada vez que incorporamos un cliente a la red, tenemos que modificar la tabla de MACs) y por otro lado no es del todo seguro.
¿Por qué no sirve? Porque si alguien se empecina en analizar los paquetes de la red, descubrirá las MAC de los hosts conectados de forma fácil, y luego procederá a modificar la MAC de su placa de red para simular ser -ese- alguien autorizado... saltando nuestras presunta protección.
Cifrado WEP
Este tipo de cifrado ya fue vulnerado reiteradas veces, y a día de hoy es prácticamente necesario evitar usarlo, ya que las herramientas para romper la seguridad del mismo están disponibles por toda la red.
Entonces, tampoco sirve... una opción mejor sería WPA, que describiremos más adelante.
Desactivar DHCP / Restringir direcciones IPs de la red
Uno de los consejos que he notado más extraño... el hecho de desactivar DHCP y luego, encima, restringir las direcciones IPs de la red.
El servidor de DHCP se encarga de asignar automáticamente las direcciones IP de la red, por ende, si lo desactivamos... el trabajo se hace de forma manual, lo que implica mayor trabajo para quien administra el punto de acceso.
Por otro lado, restringir las direcciones IPs, si bien supone limitar la cantidad de personas que puede acceder a una red (en teoría), es fácil de disuadir haciéndose pasar por alguien al que ya le fue otorgado un IP, clonando su MAC, como dijimos anteriormente. En una red común, esto generaría un conflicto de paquetes (colisión), pero en una red inalámbrica, el conflicto no sería fácilmente detectado.
Poner Firewall en los clientes
Este, sin duda, se lleva todos los premios... ya que los clientes de la red (entiendase como todo aquello que no funciona como punto de acceso) no garantizan en absoluto la seguridad de la red por su cuenta, si no es que interviene el punto de acceso dentro de este conjunto. Es decir, por más que se pongan Firewalls, lo único que van a lograr, es proteger dichos clientes... y no la red inalámbrica en sí, ni menos aún, el punto de acceso. Ahora bien, si se pone un Firewall detrás del punto de acceso, estaremos protegiendo a este de las conexiones externas... y nuevamente, dejando de lado las conexiones inalámbricas, las cuales son el motivo de nuestra preocupación. Por ende... no nos sirve.
Fijar solo un modo de red a usar (a/g/b/n)
Este consejo, lo encontré en manuales rápidos de seguridad, y si bien podrían demostrar un punto efectivo en conjunto con otras medidas, lo considero como inútil por el simple hecho de que estaríamos limitando nuestras propias posibilidades (es decir, solo deberíamos adquirir equipos con soporte 802.11 a o 802.11 b, etc...), y a su vez, porque si del otro lado alguien tiene un equipo con el mismo soporte... ya están dentro de nuestro rango de permitidos.
Consejos que sirven
Los consejos que se listarán a continuación, son en su mayoría útiles para asegurar la red, aunque no por si solos. Es decir, hay que utilizarlos en conjunto, a fines de minimizar el riesgo... o mejor dicho, maximizar la seguridad.Cambiar nombre SSID por defecto
Si bien antes dijimos que ocultar la SSID es algo, en cierta forma, inútil (porque si lo desean, la descubrirán fácilmente), cambiar el nombre de esta no lo es tanto... ¿por qué? sencillo, porque cada Router tiene sus mañas, y si mañana sale una vulnerabilidad remota para el modelo que poseemos, es muy probable que si no hemos cambiado el nombre de SSID por defecto, y alguien está empecinado con acceder a nuestra red, tome cartas en el asunto para hacer de las suyas en un abrir y cerrar de ojos.
Ahora bien, cuando pongan el nombre nuevo... traten de ser creativos (Marcianito, en mi caso, gracias a que mi novia le dice así por sus dos antenas), al menos así le robarán una sonrisa a quien les intenta robar su conexión inalámbrica.
Bloquear acceso de administración via WiFi
Otro aspecto a tener en cuenta, es el bloqueo del acceso al panel de control por medio de conexiones inalámbricas. Esto, si bien es un beneficio, también es una contra... ya que cualquiera podría ponerse a probar claves contra el panel de administración del punto de acceso, y a la larga terminaríamos con un intruso poniéndonos una configuración débil, adaptada a las necesidades de este. En cuanto a la contra, es que solo podremos administrar dicho punto de acceso con una conexión cableada.
Cabe destacar, en este punto, el cambiar la clave que viene por defecto en el Router... aunque normalmente este aspecto lo cubren los Wizards de la configuración inicial.
Bloquear administración remota
Algunos routers, permiten el acceso remoto a la administración de este, tal como lo hacen por medio de Web. La explicación es similar al punto anterior... ya que se debe intentar minimizar el flanco de ataque.
Cifrado WPA o WPA2
Este cifrado, mencionado anteriormente, tiene dos versiones actualmente... siendo más segura la segunda, como era de esperarse. Aún así, muchos siguen usando la primera versión, y esta es bastante útil, como a la vez segura (de momento).
El cifrado WPA requiere que ingresemos una clave compartida que podremos componer de valores alfanuméricos como también algunos símbolos. Esta clave será la que cifre el contenido entre el punto de acceso y el cliente, por ende, si un sujeto se sienta a analizar una vasta cantidad de información por un tiempo lo suficientemente largo, acabará por obtenerla. Aún así, es poco probable... pero hagan caso al punto siguiente.
Cambiar clave de acceso del punto de acceso, de forma periódica
Un buen consejo, que siempre se tiene en cuenta cuando hablamos de contraseñas, es cambiar la misma cada determinado tiempo, a fines de que si... alguien está analizando nuestra red con ataques de fuerza bruta, nunca logre descifrarla por completo... a tiempo.
Consejos avanzados
Revisar registros del Router inalámbricoSi bien revisar un registro no es tan avanzado como parece, el hecho de sentarse cada determinada cantidad de días para analizarlo, no es tan satisfactorio tampoco... por ende, muy pocas personas lo hacen (normalmente, aquellos que son paranoicos...). Para poder realizar este tipo de controles, es necesario que el router tolere la creación de registros, y también hay que habilitar expresamente dicha opción (ya que viene desactivada por defecto en la mayoría de los productos), por ende habrá que navegar entre el panel de control del punto de acceso para saber donde está (si es que lo tiene, nuevamente).
Actualizar Firmware
Este aspecto en realidad no tiene mucho que ver con la seguridad si lo pensamos rápidamente..., aunque si existe alguna vulnerabilidad en el modelo de router que poseemos, este punto será el que nos salve las papas.
Ojo, desde TechTear no nos hacemos cargo de lo que pueda suceder al actualizar el Firmware, solo háganlo si están al tanto de los riesgos a los que se meten (consejo, si se demora mucho, no lo apaguen... déjenlo que haga su trabajo hasta que termine solito).
Atacar tu propia red
¿Y este loco que dice?... ya sé, estarán pensando cualquier cosa, es como decir que para comprobar que tu casa se aguanta un incendio, hay que prender un fósforo y sentarse a ver... no.
La idea detrás de esto, es que si son lo suficientemente paranoicos, o bien, tienen tiempo de sobra... se sienten a investigar sobre el tema y pongan a prueba su propia red. Con esto, aprenderán muchísimo, y podrán conocer las falencias explicadas en los consejos que no sirven mencionados en este mismo artículo.
Sin duda, se divertirán... claro, si les gustan estos temas de seguridad.
Conclusión
El autor de este artículo no espera que te conviertas en un Kevin Mitnick de las redes inalámbricas, ni en un experto de seguridad inalámbrica hogareña, sino más bien ahorrarte trabajo a la hora de proteger tu red WiFi, y saber que sirve, que no ... y porqué no (algo que muchos suelen dejar de lado).Lo que si está claro, es que ningún sistema es cien por ciento seguro, por ende no esperen ser invulnerables... sino solo menos propensos a ser vulnerados.
Habrá quienes concuerden con los consejos y con sus explicaciones, como habrá quienes no ... por lo que invito a ambas partes a compartir sus experiencias, y si es necesario, corregir algunos puntos ya que no soy experto en seguridad informática, pero es un tema que me apasiona.
Nota: Este artículo surge como inspiración de ver que un sitio importante y reconocido de la red, publicó unos pocos consejos que aquí mismo desestimo... por experiencia propia, no por capricho.
Comentarios
Publicar un comentario