Está en la página 1de 9

MAXIMA SEGURIDAD

EN REDES DOMESTICAS
Por Alberto Susin

1
Vamos a configurar un router para obtener la máxima seguridad en una red doméstica, sin elementos
adicionales para protegernos de atacantes que quieran entrar en nuestra red mediante wifi y que un usuario de
calle pueda aplicarlo y también se darán unos consejos por si consiguieran acceder.

Para esta práctica usaremos un simulador router online, el modelo TL-WA801N de tp-link y un router Alpha
ASL2655 para explicar las medidas que vamos a implementar. Simulador

Introducción:
Cuando tenemos una wifi domestica necesitamos introducir una clave para acceder a nuestra red, ¿Y si alguien
ajeno quiere conectarse a nuestra red para navegar, robar nuestras cuentas personales, cometer delitos desde
nuestra red o descargar archivos pesados usando nuestra red?

Pues en contra de toda esta gente pondremos muros entre medio para que les sea más difícil acceder a
nuestra red.

Medidas de seguridad que introduciremos:


Seguridad externa
 Protección WPA2
 Cambiar el SSID
 Contraseña fuerte
 Quitar o cambiar el pin WPS por defecto
 Calibrar la intensidad de nuestra red

Seguridad interna
 Desactivar el DHCP
 Alejarse de las subredes convencionales
 Filtrar por MAC
 Cambiar las contraseñas del router
 Bajar los servicios que no necesitemos
 Configurar el firewall integrado

Otras medidas de seguridad

1º Protección WPA2
Una de las cosas esenciales es poner un tipo de cifrado fuerte con el que viajaran nuestros paquetes, a día de
hoy podemos elegir entre WEP, WPA, WPA2.
El WEP tiene un serio problema y es que cuando capturas un elevado número de paquetes consigues la clave
con un alto número de éxito solo comparando todos estos paquetes y al ser un código de redundancia cíclica
volvió a generar la misma clave como si tuviera que empezar el bucle, así que este lo descartaremos.

Entre WPA y WPA2, el WPA viendo la inseguridad que era WEP se les encargo a un grupo de criptógrafos
desarrollar un algoritmo que fuera capaz de sustituir a WEP y lo tuvieron que hacer rápido porque no podían
dejar a la gente desprotegida, aunque WPA puede darnos seguridad con algunas configuraciones previas
elegiremos WPA2 porque es una versión mejorada que solventaba algunos problemas criptográficos que se
generaron con WPA.

2
2º Cambiar el SSID
El SSID es el nombre público de tu red wifi, este nombre lo cambiaremos por el que queramos aunque es
recomendable que no pongamos un nombre identificativo, por ejemplo evitaremos SSID como: Familia Pérez
Martinez, con lo que ocultaremos que compañía nos da el suministro y wifi/familia, al haber cambiado el SSID
no podrán buscar información sobre el SSID en internet para saber qué modelo de router se enfrentan.

Criptógrafos y hackers han conseguido sacar el algoritmo sobre algunos modelos de router sobre cómo generan
las contraseñas por defecto basándose en la MAC, lo más reciente sucedió con algunos modelos de los routers
Arcadyan(Vodafone) y SMC(Ya.com).

3º Contraseña fuerte
Para protegernos de muchos ataques por diccionario, que lo que hacen es probar millones o en casos billones
de combinaciones hasta dar con la correcta, deberemos configurar una contraseña lo más fuerte posible, pero
sabiendo que la tenemos que recordar y usar nosotros.
Para medir la fortaleza de la clave nos podemos ayudarnos de https://howsecureismypassword.net/ que nos
dirá el nivel de seguridad y el tiempo que tardaría un atacante con un equipo potente sacar la clave.

Lo importante es seguir unas pautas:


 Más de 13 caracteres.
 Poner Mayúsculas y minúsculas
 Poner Números
 Poner caracteres alfanuméricos

Un ejemplo de una clave segura podría ser: (BackTrack4cademy)

En nuestro simulador fácilmente configuraremos así:

3
4º Quitar o cambiar el pin WPS por defecto
WPS son las siglas de Wired Protection Setup, que en verdad no tiene nada que ver con seguridad directamente,
se utiliza para configurar dispositivos básicos como impresoras, ipcams, scaners y algunos otros dispositivos que
se conecten a la red por wifi.

Tiene dos posibles configuraciones: Sincronización por botón o por pines.


El pin es una clave de 4 u 8 números, que si lo dejamos por defecto es como dejar la contraseña principal por
defecto y un probable éxito del atacante. Algunos programas para móviles y de ataque como la suite aircrack-
ng, reaver, goyscriptWPS y muchos más tienen un diccionario con las claves por defecto para cada modelo de
router, el pin de la mayoría de estos routers es 12345670.

Depende de nuestras necesidades lo deshabilitaremos o cambiaremos el pin, como consejo si dejamos el pin,
generamos hasta que sea un numero alto, por tema de
fuerza bruta.

Para un atacante es más rápido hacer fuerza bruta a un pin


de 8 números que sabes que tendrás éxito a medio plazo y
que obtendrá la clave wifi mejor que por diccionario a la
principal que puede ser inhumana de sacar.

La sincronización hace sincronizar los dos dispositivos que pones a emitir y ellos mismos al preguntarse se
asocian.

5º Desactivar el DHCP
El DHCP es el encargado de dar a los nuevos usuarios de la red una ip para poder comunicarse con otras
máquinas en la red y tener conexión a internet, el objetivo de desactivar DHCP es que si alguien entra en nuestra
red esta deberá introducir manualmente una ip valida.
Esta medida puede ser contraproducente, pues para algunos usuarios o el administrador de la red puede ser
engorroso ir por cada nuevo dispositivo a configurarle una ip dentro del rango valido.

4
6º Alejarse de las subredes convencionales
Como suplemento de seguridad a la medida anterior deberemos cambiar las redes más normales que se usan
por defecto, las redes por defecto suelen tener rangos en 192.168.0.0 /24 y la 192.168.1.0/24. Siendo el router
el 192.168.0.1 o el 254 en la red.

 El 24 hace referencia a la máscara de red (255.255.255.0) que especifica que el rango de direcciones es desde la 0 a la 255.

La ip address referencia la ip del router, y el Gateway, es la puerta de acceso a internet, que por regla general
utilizaremos la misma.

Diseñamos una red 192.168.40.16/28, en la que nuestras ips para nuestros equipos van desde 17 a 30, esto nos
acortara el rango de direcciones a supervisar.

Una vez tenemos la red diseñada lo introducimos en nuestro router.


- Ip Address: Es la ip del router
- Subnet Mask: El rango de direcciones
- Gateway: Es el dispositivo que nos da acceso a internet, lo que será el mismo que Ip Address.

5
7º Filtrado por MAC o IP
Esta medida restringirá el acceso a los dispositivos que especifiquemos, la MAC es un numero único que
identifica al dispositivo y la IP es como el ticket de la cola de una carnicería que te identifica para ese router que
suele darlo en DHCP.

En los filtrados tenemos 2 opciones:


Solo permitir las MAC/IP que se especifique para tener acceso a la red.
Solo denegar las MAC/IP que se especifique para que no acceda a la red.

En esta imagen vemos como denegamos a 2 intrusos que habían tenido a nuestra red y que los detecte porque el DHCP les
dio una ip y quedaron reflejados en el panel.

Estas medidas son buenas medidas de seguridad para aquellos que han conseguido la clave de la red wifi y con
los filtrados les denegamos el acceso, pero con buenos conocimientos estas medidas pueden ser esquivadas.

Desde el punto de vista el atacante veremos cómo este monitorizara todas las redes wifi que estén en el aire y
ve aquellos routers que están emitiendo y también los clientes con el router o punto de acceso asociado, con lo
que sabrá la MAC valida del cliente para ese router.

6
Para ips simplemente tendría que asignarse otra ip distinta a la que le hemos baneado.

Ambas medidas tanto filtrado por IP como por MAC son peligrosas, porque una mala configuración puede dejar
a todos los clientes sin conexión. Aparte pueden ser muy engorrosas si hacemos que solo las IP/MAC que
deseemos tengan acceso. Así que debemos valorar si implementarla con los pros y contras que nos aportan
como administradores.

8º Cambiar las contraseñas del router


El acceso al router es como tener acceso al poder absoluto de la red, si este acceso cae en malas manos puede
ser letal, no hace falta que sea mal intencionado, un parámetro mal configurado puede dejarnos sin acceso
como vimos en filtrados por ip y Mac, para que esto no ocurra debemos cambiar la cuenta por defecto que traen
los routers, en su gran mayoría son admin-admin o 1234-1234.

Para este apartado mencionar, que esta medida puede ser atacada con exploits públicos que hay para cada
router y modelo. La página de referencia para exploits en routers es http://routerpwn.com

Exploit: ASL-26555 Remote Administration Password Disclosure

También deberemos tener el firmware del router a la última versión estable oficial de nuestro fabricante, así
podemos defendernos de la mayoría de estos ataques.

7
9º Bajar servicios que no necesitemos
Muchos routers traen varias rutas para acceder a él: HTTP,HTTPs, Tel et, FTP, Sa ba, ICMP, SSH… para darle un
buen nivel de seguridad desactivaremos todos menos SSH, pero sabemos que para un administrador el HTTP
acceder a un panel de control grafico es más intuitivo con lo que lo dejamos activo, el resto los desactivaremos,
ya que no aportan funcionalidades diferentes a lo que hacemos.

10º Configurar el firewall


Si nuestro router cuenta con un servicio de firewall podremos configuralo, deberemos ver que es cada opción y
ponerlo restrictivo pero que afecte lo menos posible al tráfico de la red.

Enable SPI: Es un inspeccionador de paquetes que examina los paquetes que contienen información para prevenirse que no son
maliciosos de un atacante.

11º Calibrar la intensidad de nuestra red


Por último calibraremos la intensidad de nuestra red wifi para que tenga una señal menos lejana pero que en
nuestro hogar llegue buena señal. En el caso de no llegar a puntos de nuestro hogar podemos incluir puntos de
acceso para tener varios puntos wifi en el que conectarse y repita la señal al router, también debemos mirar que
alcance tiene para cubrir la zona que necesitemos pero sin excederse demasiado, los routers funcionan mejor
en plantas bajas y como consejo tenerlo en un lugar centrado del hogar y en último caso poner puntos de acceso
wifi.

8
12º Otras medidas
Apagar wifi temporalmente
Una buena medida es aplicar las medidas por lógica y sentido común, al haber configurado un cifrado WPA2 y
una contraseña fuerte los atacantes usaran fuerza bruta generada, diccionarios o tablas rainbow para probar las
combinaciones hasta acertar, si apagamos nuestra wifi cuando no la estemos usando como puede ser por las
noches hasta que llegamos a mediodía, esto les cortaría el ataque.

Ver clientes conectados


Para saber si alguien ha entrado usaremos programas que nos monitorice a todos los que estén en la red.
Podemos ayudarnos de programas como Softperfect(PC), Nmap(PC) y Fing(Todas las plataformas).

Revisar los logs


Ante un suceso extraño podemos ir a consultar los logs del router para saber que ha pasado, por ejemplo ante
un reinicio o desautentificación de uno o varios usuarios, lo que nos permitirá saber rápidamente porque
sucedió y quien lo hizo.

Quitar el acceso al router desde Internet


Algunos routers tienen una opción WAN, esto significa que sabiendo la ip publica y las credenciales que le
hayamos dado de acceso se puede acceder desde cualquier punto de internet a nuestro router, así que a no ser
que sea 100% necesario lo tendremos desactivado.

Búsqueda de routers Alpha ASL-26555 a través de shodan.

Implementando como mínimo parte de estas medidas ya podéis dormir un poco más tranquilos, a no ser que
seas un objetivo concreto, pero un atacante sediento de datos siempre ira a por la red más fácil de acceder.
Saludos!

También podría gustarte