-1Son seguras las redes wi-fi?

Internet est plagada de tutoriales acerca de como crackear una red wi-fi. El ltimo lo vi ayer en el menme y es tan simple que no merece la pena siquiera echarle un vistazo pero raxor de bandaancha envi a los comentarios otro realmente bueno. En cualquier caso no es algo que parezca preocuparle a demasiada gente: a poco que nos paseemos por ah podemos comprobar que existen centenares de personas dispuestas a hacerle la competencia a FON por su propia cuenta y riesgo. Volviendo al ttulo son seguras las redes wi-fi? Si, sin duda. Una red wi-fi (con los dispositivos actuales) se puede configurar con relativamente muy poco esfuerzo de forma que sea absolutamente infranqueable para el 99,99% de los mortales. Y no vamos a tener la mala fortuna de que la simptica y guapa vecina del piso de al lado no sea la azafata que dice ser y disponga de tecnologa secreta de la CIA y un super-ordenador para utilizarla. Te has fijado si baja la intensidad de la luz de tus bombillas cuando ella llega a casa? Hacer seguras las comunicaciones con un router wifi casero es bastante sencillo. Existen unas pocas de medidas que simplemente serviran para hacer desistir al vecino que se ha ledo el timo artculo de PC-WORLD pero que no est de ms utilizar, a saber: Ocultar el identificador (SSID) de nuestra red Deshabilitar el DHCP del router y asignar direcciones manualmente a los dispositivos de nuestra red Limitar el nmero de direcciones IP posibles en nuestra LAN (para que diablos queremos una clase C completa?) Realizar filtrados de accesos por MAC Aparte de estas argucias existen dos medidas que son las que realmente nos garantizan la seguridad en nuestra red: Asegurar el acceso a nuestro router. Usar un protocolo seguro y correctamente configurado para el cifrado de las comunicaciones inalmbricas. Slo dos. No hace falta nada ms. Asegurar el acceso a nuestro router es bien sencillo. Lo primero que debemos de hacer es cambiar la contrasea de acceso al mismo. No seamos rcanos en esto. Se trata de una contrasea que no tenemos que memorizar porque estar en nuestra casa y a salvo de miradas indiscretas. Basta con escribirla en un pos-it y guardarla pegada tras la portada de uno de nuestros libros favoritos, as que usaremos una cadena de caractres absolutamente ininteligible del tama mximo permitido por nuestro router, generada automticamente por un programa y que use letras maysculas y minsculas, nmeros y signos. Existen mltiples utilidades para esta labor: os indico una pero a vuestro aire. Una pequea mana personal: yo elijo siempre una password que empieze por un smbolo en lugar de por una letra o nmero. Casi todos los programas que realizan ataques por fuerza bruta comienzan probando nmeros y cifras as que esto retrasar unos cuantos meses el trabajo de t vecina. A continuacin debemos de limitar el acceso a la interfaz de configuracin del router. Deberamos de deshabilitar el acceso a travs de la WAN (por motivos diferentes al tratado en este post) y, en cuanto a la LAN, limitaremos el acceso a la configuracin del mismo exclusivamente a travs de la IP de nuestro equipo (no olvideis que hemos tenido que deshabilitar anteriormente el DHCP y asignar IPs manualmente) La segunda medida absolutamente necesaria es el cifrado: olvidaros del WEP, por favor, y elegid WPA o WPA2. En este punto y, segn vuestro router, os podeis encontrar

diferentes opciones: WPA, WPA2, WPA-PSK, WPA-EAP, etc. cul diablos es la buena? Vayamos por partes. WPA y WPA2 (Wi-Fi Protected Access) proporcionan autenticacin en el acceso y privacidad en las comunicaciones. A grandes rasgos tienen dos modos de funcionamiento: el llamado modo empresarial o EAP (Extensible Authentication Protocol) que precisa de un servidor de autenticacin externo y el modo personal o PSK (Pre Shared Key) que no lo necesita. Existen cinco standards diferentes de autenticacin EAP cuyos detalles, si os interesan, podeis consultar aqu o aqu. La nomenclatura en los routers con los que he trabajado no suele ser demasiado clara: normalmente cuando slo pone WPA se estn refiriendo al modo empresarial y cuando lo hacen al modo personal pone WPA-PSK, pero en algunas ocaciones me he encontrado que el modo personal es WPA y el empresarial WPA-EAP. Un lo, pero para identificarlos basta una nota: si se estn refiriendo al PSK nos exigir una frase password mientras que si se refieren al EAP nos pedir la direccin de un servidor de autenticacin. Fcil no? Nos centramos en el PSK, pues. Todo lo dicho para la contrasea de administracin del router es vlido para la frase password que nos proporcionar la autenticacin y que es necesario introducir en ambos extremos de la comunicacin. Nada de elegir la ya manida En un lugar de la mancha de cuyo nombre no quiero acordarme ni, por supuesto la tambin muy explotada Muchos aos despus, frente al pelotn de fusilamiento, el coronel Aureliano Buenda haba de recordar aquella tarde remota en que su padre lo llev a conocer el hielo. Usad una frase o un dicho familiar o usado entre vuestros amigos y que no tenga mucho significado fuera de vuestro entorno. Como protocolos se suelen ofrecer dos opciones: TKIP o AES. Cual elegimos? Si disponemos de las dos opciones en cliente y servidor AES, sin lugar a dudas, que es un verdadero algoritmo de cifrado. TKIP es, en realidad, un apao que se lanz para reemplazar el cifrado usado por WEP sin necesidad de reemplazar el hardware. Pero no temais: se trata de un mecanismo suficientemente seguro (por el momento, al menos) para la labor que realiza. Y por ltimo cul es la diferencia entre WPA y WPA2? En la forma, WPA fue definido por la Wi-Fi alliance y WPA2 estandarizado por la IEEE en forma de la norma 802.11i. En el fondo se reemplaz el cdigo de autenticacin de mensajes que usaba WAP WPA (llamado Algoritmo de Michael) por CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) y RC4 es sustituido por AES como algoritmo de cifrado. Aqu los fabricantes tambin suelen introducir cierta confusin: me he encontrado routers que, por ejemplo, te permiten elegir WPA y AES o WPA2 y TKIP lo cual no es muy coherente pero teniendo las cosas claras la configuracin es bien sencilla: preferimos WPA2 antes que WPA y AES por delante de TKIP aunque podemos estar tranquilos de que si escogemos una frase password adecuada la combinacin ms dbil (WPA y TKIP) es lo suficientemente segura como para no tener que preocuparnos de nadie. Salvo de la vecina, ya sabeis Para quien, una vez configurado, quiera auditar la seguridad de sus comunicaciones existen dos herramientas bsicas para ello: aircraft (disponible para GNU/LINUX y windows) y cowpatty un proyecto semiabandonado hecho en C standard e independiente de la plataforma. ACTUALIZACIN: Durante estos cinco aos se ha encontrado alguna vulnerabilidad en WPA que lo hacen bastante menos seguro que WPA2. En Security by Default han publicado recientemente un buen resumen de las caractersticas de este ltimo.