Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Maxima Seguridad en Redes Domesticas
Maxima Seguridad en Redes Domesticas
EN REDES DOMESTICAS
Por Alberto Susin
1
Vamos a configurar un router para obtener la máxima seguridad en una red doméstica, sin elementos
adicionales para protegernos de atacantes que quieran entrar en nuestra red mediante wifi y que un usuario de
calle pueda aplicarlo y también se darán unos consejos por si consiguieran acceder.
Para esta práctica usaremos un simulador router online, el modelo TL-WA801N de tp-link y un router Alpha
ASL2655 para explicar las medidas que vamos a implementar. Simulador
Introducción:
Cuando tenemos una wifi domestica necesitamos introducir una clave para acceder a nuestra red, ¿Y si alguien
ajeno quiere conectarse a nuestra red para navegar, robar nuestras cuentas personales, cometer delitos desde
nuestra red o descargar archivos pesados usando nuestra red?
Pues en contra de toda esta gente pondremos muros entre medio para que les sea más difícil acceder a
nuestra red.
Seguridad interna
Desactivar el DHCP
Alejarse de las subredes convencionales
Filtrar por MAC
Cambiar las contraseñas del router
Bajar los servicios que no necesitemos
Configurar el firewall integrado
1º Protección WPA2
Una de las cosas esenciales es poner un tipo de cifrado fuerte con el que viajaran nuestros paquetes, a día de
hoy podemos elegir entre WEP, WPA, WPA2.
El WEP tiene un serio problema y es que cuando capturas un elevado número de paquetes consigues la clave
con un alto número de éxito solo comparando todos estos paquetes y al ser un código de redundancia cíclica
volvió a generar la misma clave como si tuviera que empezar el bucle, así que este lo descartaremos.
Entre WPA y WPA2, el WPA viendo la inseguridad que era WEP se les encargo a un grupo de criptógrafos
desarrollar un algoritmo que fuera capaz de sustituir a WEP y lo tuvieron que hacer rápido porque no podían
dejar a la gente desprotegida, aunque WPA puede darnos seguridad con algunas configuraciones previas
elegiremos WPA2 porque es una versión mejorada que solventaba algunos problemas criptográficos que se
generaron con WPA.
2
2º Cambiar el SSID
El SSID es el nombre público de tu red wifi, este nombre lo cambiaremos por el que queramos aunque es
recomendable que no pongamos un nombre identificativo, por ejemplo evitaremos SSID como: Familia Pérez
Martinez, con lo que ocultaremos que compañía nos da el suministro y wifi/familia, al haber cambiado el SSID
no podrán buscar información sobre el SSID en internet para saber qué modelo de router se enfrentan.
Criptógrafos y hackers han conseguido sacar el algoritmo sobre algunos modelos de router sobre cómo generan
las contraseñas por defecto basándose en la MAC, lo más reciente sucedió con algunos modelos de los routers
Arcadyan(Vodafone) y SMC(Ya.com).
3º Contraseña fuerte
Para protegernos de muchos ataques por diccionario, que lo que hacen es probar millones o en casos billones
de combinaciones hasta dar con la correcta, deberemos configurar una contraseña lo más fuerte posible, pero
sabiendo que la tenemos que recordar y usar nosotros.
Para medir la fortaleza de la clave nos podemos ayudarnos de https://howsecureismypassword.net/ que nos
dirá el nivel de seguridad y el tiempo que tardaría un atacante con un equipo potente sacar la clave.
3
4º Quitar o cambiar el pin WPS por defecto
WPS son las siglas de Wired Protection Setup, que en verdad no tiene nada que ver con seguridad directamente,
se utiliza para configurar dispositivos básicos como impresoras, ipcams, scaners y algunos otros dispositivos que
se conecten a la red por wifi.
Depende de nuestras necesidades lo deshabilitaremos o cambiaremos el pin, como consejo si dejamos el pin,
generamos hasta que sea un numero alto, por tema de
fuerza bruta.
La sincronización hace sincronizar los dos dispositivos que pones a emitir y ellos mismos al preguntarse se
asocian.
5º Desactivar el DHCP
El DHCP es el encargado de dar a los nuevos usuarios de la red una ip para poder comunicarse con otras
máquinas en la red y tener conexión a internet, el objetivo de desactivar DHCP es que si alguien entra en nuestra
red esta deberá introducir manualmente una ip valida.
Esta medida puede ser contraproducente, pues para algunos usuarios o el administrador de la red puede ser
engorroso ir por cada nuevo dispositivo a configurarle una ip dentro del rango valido.
4
6º Alejarse de las subredes convencionales
Como suplemento de seguridad a la medida anterior deberemos cambiar las redes más normales que se usan
por defecto, las redes por defecto suelen tener rangos en 192.168.0.0 /24 y la 192.168.1.0/24. Siendo el router
el 192.168.0.1 o el 254 en la red.
El 24 hace referencia a la máscara de red (255.255.255.0) que especifica que el rango de direcciones es desde la 0 a la 255.
La ip address referencia la ip del router, y el Gateway, es la puerta de acceso a internet, que por regla general
utilizaremos la misma.
Diseñamos una red 192.168.40.16/28, en la que nuestras ips para nuestros equipos van desde 17 a 30, esto nos
acortara el rango de direcciones a supervisar.
5
7º Filtrado por MAC o IP
Esta medida restringirá el acceso a los dispositivos que especifiquemos, la MAC es un numero único que
identifica al dispositivo y la IP es como el ticket de la cola de una carnicería que te identifica para ese router que
suele darlo en DHCP.
En esta imagen vemos como denegamos a 2 intrusos que habían tenido a nuestra red y que los detecte porque el DHCP les
dio una ip y quedaron reflejados en el panel.
Estas medidas son buenas medidas de seguridad para aquellos que han conseguido la clave de la red wifi y con
los filtrados les denegamos el acceso, pero con buenos conocimientos estas medidas pueden ser esquivadas.
Desde el punto de vista el atacante veremos cómo este monitorizara todas las redes wifi que estén en el aire y
ve aquellos routers que están emitiendo y también los clientes con el router o punto de acceso asociado, con lo
que sabrá la MAC valida del cliente para ese router.
6
Para ips simplemente tendría que asignarse otra ip distinta a la que le hemos baneado.
Ambas medidas tanto filtrado por IP como por MAC son peligrosas, porque una mala configuración puede dejar
a todos los clientes sin conexión. Aparte pueden ser muy engorrosas si hacemos que solo las IP/MAC que
deseemos tengan acceso. Así que debemos valorar si implementarla con los pros y contras que nos aportan
como administradores.
Para este apartado mencionar, que esta medida puede ser atacada con exploits públicos que hay para cada
router y modelo. La página de referencia para exploits en routers es http://routerpwn.com
También deberemos tener el firmware del router a la última versión estable oficial de nuestro fabricante, así
podemos defendernos de la mayoría de estos ataques.
7
9º Bajar servicios que no necesitemos
Muchos routers traen varias rutas para acceder a él: HTTP,HTTPs, Tel et, FTP, Sa ba, ICMP, SSH… para darle un
buen nivel de seguridad desactivaremos todos menos SSH, pero sabemos que para un administrador el HTTP
acceder a un panel de control grafico es más intuitivo con lo que lo dejamos activo, el resto los desactivaremos,
ya que no aportan funcionalidades diferentes a lo que hacemos.
Enable SPI: Es un inspeccionador de paquetes que examina los paquetes que contienen información para prevenirse que no son
maliciosos de un atacante.
8
12º Otras medidas
Apagar wifi temporalmente
Una buena medida es aplicar las medidas por lógica y sentido común, al haber configurado un cifrado WPA2 y
una contraseña fuerte los atacantes usaran fuerza bruta generada, diccionarios o tablas rainbow para probar las
combinaciones hasta acertar, si apagamos nuestra wifi cuando no la estemos usando como puede ser por las
noches hasta que llegamos a mediodía, esto les cortaría el ataque.
Implementando como mínimo parte de estas medidas ya podéis dormir un poco más tranquilos, a no ser que
seas un objetivo concreto, pero un atacante sediento de datos siempre ira a por la red más fácil de acceder.
Saludos!