www.ProtegeTuOrdenador.

com

Proteger una red Wifi

Copyright (c) 2008 www.ProtegeTuOrdenador.com. Se otorga permiso para copiar,distribuir y/o modificar este documento bajo los trminos de la Licencia de Documentacin Libre de GNU, Versin 3 o Licencia de Documentacin Libre de GNU o cualquier otra versin posterior publicada por la Free Software Foundation; sin Secciones Invariantes ni Textos de Cubierta Delantera ni Textos de Cubierta Trasera. Una copia de la licencia est incluida en la seccin titulada GNU Free Documentation License.

Pgina 1

www.ProtegeTuOrdenador.com

ndice de contenido
Objetivo................................................................................................................................................3 Modificar el SSID que viene por defecto.............................................................................................3 Denegar el acceso a la administracin remota del router.....................................................................3 Establecer un cifrado WPA o WPA2....................................................................................................3 Cambiar la contrasea peridicamente.................................................................................................4 Desactivar broadcasting SSID..............................................................................................................4 Deshabilitar DHCP...............................................................................................................................4 Limitar el nmero mximo de equipos que pueden conectarse...........................................................4 Filtrar las direcciones MAC.................................................................................................................5 Verificar los logs del router..................................................................................................................5

Pgina 2

www.ProtegeTuOrdenador.com

Objetivo
El presente documento tiene como objetivo proteger una red inalmbrica, cada vez ms comunes en el mbito domstico. Este tipo de redes son muy cmodas puesto que evitan los tan odiados cables, pero necesitan alguna medida de proteccin, puesto que cualquiera podra acceder a la informacin que enviamos a travs de dicha red. Las medidas que aqu proponemos son, en general, aplicables a todos los routers. Sin embargo, puede que encontris alguna que no sea vlida para vuestro caso particular (sobre todo si el router es algo antiguo). Para cualquier consulta especfica podis acudir a los foros de www.protegetuordenador.com. Nota: Las medidas que a continuacin se enumeran tienen por objeto la proteccin de una red inalmbrica domstica. En ningn caso deberan ser aplicadas para proteger una red de un entorno corporativo; para ello deber aplicar otras medidas adicionales.

Modificar el SSID que viene por defecto

SSID = Service Set IDentifier: Cdigo que usan los paquetes de una red inalmbrica para comunicarse entre s (todos los paquetes de una misma red llevan el mismo SSID). Por defecto, nuestro router inalmbrico viene con un SSID y una contrasea genricos. De hecho, si buscamos en Internet el modelo y la marca de nuestro router, no tendremos muchas dificultades para encontrarlos. Lo primero que hemos de hacer es cambiar la contrasea por defecto a una contrasea segura; asimismo, debemos cambiar el SSID. Qu SSID pongo? Pues aqu hay que ser un poco ingeniosos. No debis poner vuestro nombre, o el nmero de vuestra vivienda... Lo que aconsejamos es que creis un identificador complejo, usando incluso caracteres especiales como interrogaciones, guiones bajos,etc. Podis complicar la cosa un poquito ms ocultando el SSID; de este modo, vuestra red no ser visible a los dems y, en teora, slo podra conectarse quien conociese el SSID. En realidad, alguien que escanee la red podra obtener nuestro SSID oculto, por lo que es una medida poco efectiva.

Denegar el acceso a la administracin remota del router

Algunos routers permiten la administracin remota (esto es, acceder a la configuracin desde otro ordenador); debemos desactivar esta opcin, ya que si alguien consiguiese nuestra contrasea podra acceder al router y modificar los parmetros del mismo a su antojo... Slo deberamos acceder al router desde el ordenador que lo tenga conectado fsicamente.

Establecer un cifrado WPA o WPA2

Si tu punto de acceso lo soporta, activa el cifrado WPA o WPA2. Las redes que slo usan cifrado WEP son absolutamente vulnerables, as que si tienes este tipo de proteccin vete olvidando de la seguridad; incluso alguien con escasos conocimientos puede acceder a tu red en poco tiempo... WPA o WPA2 proporcionan autentificacin en el acceso y privacidad en las comunicaciones. En estos protocolos podemos distinguir dos mtodos de funcionamiento: AEP( Extensible Authentication Protocol) y PSK (Pre Shared Key). Normalmente los routers se refieren al primer mtodo como WPA y al segundo como WPA-PSK, aunque la nomenclatura puede variar. El primer Pgina 3

www.ProtegeTuOrdenador.com mtodo necesita un servidor externo para la autenticacin (se suele usar en entornos profesionales), mientras que el segundo no ( por eso se usa en entornos caseros). Por tanto, usaremos PSK a no ser que dispongamos de un segundo ordenador que podamos configurar como servidor de autenticacin (con esto podramos montar un sistema de autenticacin ms robusto). Para PSK necesitaremos configurar la clave que nos proporcionar la autenticacin (cifra el contenido de la comunicacin entre el punto de acceso y el cliente); como siempre aconsejamos, debis introducir una contrasea segura

Como protocolos podemos usar dos opciones: AES o TKIP. Si est disponible, la opcin que recomendamos es AES, que es un algoritmo de cifrado en s, mientras que TKIP es una mejora del protocolo WEP para reemplazar el cifrado. Las opciones, como veis, son variadas. No hemos de perdernos en las nomenclaturas si tenemos las cosas claras: siempre es preferible WPA2 a WPA y AES a TKIP, aunque la configuracin mnima de seguridad (WPA + TKIP) es bastante segura de por s (sobre todo si hemos elegido una contrasea compleja).

Cambiar la contrasea peridicamente

Este punto es de aplicacin general para todo aquello que lleve contrasea y es el ms fcil de aplicar, aunque la realidad es que casi nadie lo hace... De este modo nos aseguramos que nadie pueda descifrar nuestra contrasea por fuerza bruta, ya que estos ataques requieren tiempo. Si cambiamos la contrasea el atacante tendr que empezar de cero. Hasta aqu las medidas realmente efectivas. A continuacin vamos a enumerar algunas otras que, si bien nos pueden servir ante atacantes inexpertos, son ineficaces frente a personas con conocimientos informticos algo ms avanzados:

Desactivar broadcasting SSID

Con esta medida, cada equipo que quiera conectarse a la red deber introducir manualmente el SSID de la misma.

Deshabilitar DHCP
El router puede actuar como un servidor DHCP, sirviendo direcciones ip a quien se las solicite. Desactivando esta opcin, cualquier equipo que quiera conectarse deber introducir una ip de nuestro rango manualmente. Ejemplo: un router con esta opcin habilitada facilita una direccin ip a un equipo que quiere conectarse a la red. Si se deshabilita, el usuario tendr que introducir una direccin ip vlida, una mscara de subred y la direccin ip de la puerta de enlace. Adems, probablemente tendr que introducir unos servidores DNS vlidos.

Limitar el nmero mximo de equipos que pueden conectarse

Con esto limitamos el acceso a la red a un nmero determinado de equipos. Ejemplo: si slo tenemos un equipo que va a conectarse a la red inalmbrica, podemos limitar a uno el nmero de equipos que pueden conectarse. Si no le indicamos nada, podran conectarse hasta 255 equipos...

Pgina 4

www.ProtegeTuOrdenador.com

Filtrar las direcciones MAC

Las direcciones MAC identifican a cada dispositivo de red y, en teora, son nicas. Podemos configurar qu direcciones MAC tendrn acceso a nuestra red, especificndolas manualmente en la configuracin del router. Ejemplo: si la mac del equipo que queremos conectar es 00:11:22:33:44:55, pues la aadimos como direccin vlida. Supongamos que el router recibe una peticin de un equipo con mac 11:22:33:44:55:66; como esa mac no aparece en la lista de direcciones vlidas, le denegar el acceso.

Verificar los logs del router

Esto, en realidad, no es ninguna medida de proteccin, sino que es una forma de verificar si estamos siendo atacados. Nuestro router debe permitir la creacin de logs y hemos de habilitarla, puesto que viene deshabilitada por defecto.

Pgina 5