INSTTITUTO SUPERIOR TECNICO “MAYOR PEDRO TRAVERSARI”

NOMBRE: JONATHAN ALEXANDER PAREDES

TEMA: CONEXIONES SEGURAS PARA EL ROUTER

OBJETIVOS

Conocer las conexiones mas relevantes acerca de nuestro router para así mejorar la seguridad
del mismo y evitar vulnerabilidades de terceros.

MARCO TEORICO

Protocolo de seguridad de la red Wi-Fi

En caso de querer proteger nuestra red Wi-Fi con una contraseña, tanto para prevenir intrusos
como para maximizar nuestra seguridad y privacidad, será necesario elegir el protocolo de
seguridad a utilizar. Las opciones que suelen estar disponibles en los routers hogareños son
tres: WEP, WPA y WPA2. Actualmente la utilización de WEP y WPA esta desaconsejada, ya
que estos protocolos no son tan seguros como WPA2 e incluso existen múltiples ataques contra
ellos. En caso de no contar con la opción de WPA2, la opción de WPA sería la segunda mejor,
ya que WEP es muy inseguro.

Una vez que elegimos WPA2 podemos encontrarnos con dos opciones: personal y Enterprise.
Para uso hogareño es aconsejable la versión personal, ya la que la versión Enterprise requiere
tener instalado un servidor Radius para manejar las contraseñas.

Una vez que elegimos WPA2 personal es posible que nos encontremos con otras dos opciones
relacionadas a qué algoritmo de cifrado utilizará nuestra red: AES o TKIP. Dado que TKIP es
un algoritmo más antiguo y considerado menos seguro, se aconseja utilizar AES.

Aislar dispositivos conectados vía Wi-Fi

Muchos routers cuentan con la funcionalidad de aislar a los dispositivos que se conectan a la
red Wi-Fi de forma que estos no puedan comunicarse entre ellos, pero que sí puedan conectarse
a Internet. Se recomienda activar esta configuración, ya que representa un gran obstáculo para
un atacante que logra conectarse a la red y quiere comprometer otros dispositivos conectados
a la misma.
Cabe destacar que esta configuración puede limitar ciertas funcionalidades legítimas, por
ejemplo, acceder a una impresora para imprimir documentos a través de la red Wi-Fi. En este
tipo de casos deberá evaluarse si se desea priorizar la funcionalidad o la seguridad que aporta
esta configuración.

Red oculta/SSiD oculto

Si bien activar esta configuración no aporta seguridad contra un atacante experimentado, ayuda
a que nuestra red pase más desapercibida y agrega un obstáculo más a quien quiera ingresar de
forma no autorizada. Hay que tener en cuenta que los usuarios legítimos que quieran ingresar
deberán realizar algunos pasos extra, por lo que no es una configuración cómoda para utilizar
en redes de invitados.

Desactivar WPS

WPS o Wi-Fi Protected Setup es un estándar impulsado por la Wi-Fi Alliance con el fin de
facilitar a los usuarios la configuración de redes Wi-Fi. Actualmente su utilización esta
desaconsejada, dado que se conocen serias vulnerabilidades en algunos mecanismos utilizados
por este estándar que podrían ser utilizadas por un atacante para acceder fácilmente a la red.
Por lo tanto, se aconseja buscar la configuración correspondiente y desactivar WPS.

Configurar una red de invitados

La mayoría de los routers hogareños más modernos ofrece la posibilidad de crear una red guest,
también conocida como red de invitados. Básicamente, su objetivo es montar una red paralela
a la principal con el fin de que allí se conecten todos los usuarios visitantes. Esta red
generalmente podrá ser configurada con sus propios protocolos de seguridad, SSID,
contraseña, etc. y es conveniente seguir la mayor cantidad posible de las recomendaciones aquí
mencionadas.
Este ítem es extremadamente importante desde el punto de vista de la seguridad informática,
ya que responde a uno de sus principios básicos: que cada usuario pueda acceder únicamente a
la mínima cantidad de recursos necesaria. Imaginemos la siguiente situación:

Organizamos una fiesta en nuestra casa e invitamos a muchos amigos, los cuales a su vez traen
a sus amigos y otros acompañantes que no conocemos. Como todos ellos quieren acceder a
Internet, compartimos la contraseña de nuestra red Wi-Fi.

Si no contamos con una red de invitados, todas estas personas a las cuales no conocemos
tendrán acceso ilimitado a la red donde se encuentran nuestros dispositivos. Es decir, a la red
donde podríamos tener información sensible, confidencial, donde realizamos actividades
bancarias, etc. Esto representa un riesgo muy grande, ya que cualquiera de esas personas podría
tener intenciones maliciosas y, aunque no realice ninguna en ese momento, podría volver más
adelante y conectarse a nuestra red desde el exterior de nuestro domicilio sin que nosotros lo
sepamos. Aun si todas estas personas fuesen totalmente confiables y bien intencionadas, no
tenemos ninguna garantía de que sus dispositivos no hayan sido previamente comprometidos
y estén siendo utilizados como una plataforma para lanzar nuevos ataques.

El principal beneficio de la red de invitados será separar y compartimentar a los dispositivos

en los que confiamos de aquellos en los que no confiamos. Por lo tanto, esta configuración es
fundamental para la seguridad de toda red hogareña (para el caso de redes corporativas hay
configuraciones aún más sofisticadas).
Nombre de red genérico

Es muy conveniente, en complemento al ítem anterior, utilizar nombres de red genéricos que
no puedan ser asociados a la ubicación, dirección, dueños o integrantes de la red. Si bien este
punto no aporta seguridad en sí, sirve para casos en los que el atacante podría ser un vecino,
alguien que nos conozca o alguien que esté intentando atacarnos de forma dirigida. Por
ejemplo, si vivimos en un edificio y tenemos un vecino llamado Juan al cual conocemos; al
observar que hay una red Wi-Fi llamada Red_De_Juan, uno podría intentar ingresar a esa red
mediante un ataque que utilice contraseñas generadas a partir de información relacionada a
Juan: fecha de cumpleaños, nombre de sus hijos, número de departamento, etc. (lo cual no sería
posible si Juan hubiese utilizado las buenas prácticas de elección de contraseña). El fin de
utilizar nombres de red genéricos es no aportar ningún tipo de información adicional a un
eventual atacante.

ARP binding / Ligado ARP

Las tablas ARP sirven para asociar una dirección IP con una dirección MAC y son
extremadamente necesarias para el funcionamiento de los protocolos de comunicación, por lo
tanto, cada dispositivo de red cuenta con su propia tabla ARP y el router no es una excepción.

Como sabemos, el protocolo ARP sirve para comunicar información que luego será guardada
en las tablas ARP. Sin embargo, este no realiza ningún tipo de autenticación o verificación de
la integridad de la información que maneja, por lo que un atacante malicioso podría alterar
arbitrariamente la información de dichas tablas. Esto es un gran problema de seguridad, ya que
alterar esa información puede llevar a ataques de DoS, MITM, etc.

Dado que estas tablas pueden cambiar dinámicamente en base a la información recibida y que
esta información podría ser maliciosa, una posible medida a tomar es definir tablas ARP donde
algunas entradas sean estáticas y no cambien dinámicamente. Esta medida se conoce como
ARP binding o “ligado ARP” y consiste en ligar una dirección MAC a una dirección IP de
modo tal que esa entrada de la tabla no pueda ser modificada y, por ende, ninguna de las
direcciones pueda ser asociada a otra dirección dinámicamente.

Por lo tanto, se aconseja ligar la dirección MAC de los dispositivos conocidos a su dirección
IP con el fin de evitar que estos sean víctimas de ataques MITM u otros ataques basados en
ARP poisoning.
Firewall y protección DoS

Muchos routers cuentan con funcionalidades como Firewall SPI y mecanismos de control de
ataques DoS. El firewall SPI sirve para controlar el tráfico que pasa a través de la red,
analizando el estado de las conexiones y sus características. En caso de encontrar tráfico inusual
o malicioso se toman medidas para detener o bloquear dichas comunicaciones. Es conveniente
que esta funcionalidad este activada, ya que representa una medida más de protección contra
un eventual atacante.

El control anti-DoS funciona monitoreando el tráfico en busca de floodings o inundaciones de

paquetes, es decir, en busca de uno o más host que esté enviando una cantidad muy grande de
paquetes en muy poco tiempo con el fin de saturar la red. Algunas variantes de ataques DoS
que suelen ser contempladas en routers hogareños son:

• ICMP flood: se inunda la red con paquetes ICMP.

• UDP flood: se inunda la red con paquetes UDP.
• SYN flood: se inunda la red con paquetes TCP SYN.

Usualmente, cuando se encuentra un host de la red llevando a cabo alguno de estos ataques se
lo bloquea automáticamente.

Hay que considerar que, si bien esta funcionalidad también es muy positiva en cuanto a
seguridad, según su configuración podría llegar a consumir muchos recursos del router. A su
vez, si la red en cuestión es una red hogareña asegurada y controlada, este tipo de ataques
podrían no ser tan usuales. Por lo tanto, será necesario tener en cuenta el costo/beneficio y, en
caso de optar por utilizarla, estar atentos a la performance durante el proceso de configuración
con el fin de encontrar una que no impacte negativamente.

Desactivar servicios no utilizados

Todos aquellos servicios o configuraciones que no sean utilizados deberían ser desactivados.
Esto se debe a que cada servicio que abre un puerto, acepta conexiones del exterior o permite
algún tipo de acceso puede transformarse en un eventual vector de ataque a nuestra red. Por lo
tanto, cuanto menor sea la cantidad de servicios y puertos abiertos, también serán menores las
opciones que tendrá un atacante para comprometer la red. Algunos ejemplos de esto son: UPnP,
zonas DMZ, NAT forwarding, etc.

Actualizar firmware

Es una buena práctica mantener el firmware de nuestro router actualizado a la última versión.
Esto es importante, ya que cuando se lanzan nuevas versiones los fabricantes suelen corregir
fallas, agregar nuevas funcionalidades, mejorar las ya presentes y corregir vulnerabilidades de
seguridad. Es importante destacar que las nuevas versiones del firmware deben ser descargadas
exclusivamente del sitio oficial del fabricante del router, ya que de lo contrario no tenemos
garantías de su integridad.

CONCLUSIONES

En la presente investigación analítica y resumida, hemos aprendido a realizar operaciones

dentro de nuestro router, como proceder a redes publicas, para invitados, y privadas para el
dueño, y activar o desactivar opciones para la seguridad del mismo. Sin olvidar las
actualizaciones de nuestro router, ya que con cada una de esta se mejoraran fallas.

BIBLIOGRAFIA

https://www.welivesecurity.com/la-es/2019/12/16/guia-configurar-router-optimizar-
seguridad-red-wi-fi/