Proteger una red Wi-Fi (inalmbrica)

Escrito por quercus y AvPag

Publicado: 3/11/2006

Actualizado: 3/11/2006

NDICE
Introduccin
Cambiar la contrasea de fbrica
Modificar el SSID
Ocultar tu identificador de red SSID
Encritacin !EP "!ired Equivalent Privac#$
Encritacin !PA "!i%&i Protected Access$
Activar el filtrado or direcciones MAC's
Desactivar el servidor D(CP
)ugar con la IP "Subnetting$
Des*abilitar la interfa+
Evitar otros roblemas
,rucar el truco
Conclusiones
INTRODCCI!N
Lo ltimo en redes locales son las redes inalmbricas basadas en tecnologa !i%&i! "al es el boom con este tipo de redes# $ue la mayora de los ISP
regalan con sus accesos a %nternet por ADS-# routers con tecnologa inal&mbrica!
El ob'eti(o de este tutorial es aprender c)mo podemos proteger nuestra red *i+,i# bien encriptando los datos $ue circulan por ella# -iltrando
las MAC de los P./s $ue $ueremos $ue -ormen parte de nuestra red# ocultando nuestra red o desacti(ando el ser(idor 01.P entre otras cosas!
2ediante las encriptaciones 3*EP o *PA4 protegemos nuestra pri(acidad# codi-icando los datos $ue recibimos/transmitimos! .on el -iltrado de
las 2A./s o la ocultaci)n de nuestra red impedimos $ue usuarios a'enos se conecten a nuestra red 3y con ello a %nternet4! .ada uno debe
elegir $u5 pre-iere# si proteger su intimidad o e(itar $ue alguien se apro(ec6e# por e'emplo# de su cone7i)n a %nternet!
Puede $ue $uiz&s $uieras re(isar otros tutoriales antes de continuar con 5ste: Configurar router .avi or /ireless# Crear # configurar tu red /ireless )
Instalar una red !i%&i Ad (oc!
"NTE# DE E$PE%"R
Para poder proteger nuestra red *i+,i tendremos $ue acceder a la con-iguraci)n de nuestro router ) punto de acceso inal&mbrico8 adem&s de
con-igurar *indo9s o el so-t9are correspondiente!
Para acceder a tu router# puedes consultar el tutorial: Cmo acceder v0a /eb a tu router!
.omo recomendaci)n# por sencillez y comodidad# es aconse'able usar *indo9s para establecer la con-iguraci)n inal&mbrica! Para ello# (e a
Inicio > Configuracin > Panel de Control > Conexiones de Red! :elecciona tu cone7i)n de red inal&mbrica# y 6az clic con el bot)n derec6o#
para darle a Propiedades! Pulsa sobre la pesta;a de <edes %nal&mbricas# y asegrate de tener marcada la opci)n =Usar Windows para
establecer mi configuracin de red inalmbrica=:
C"$&I"R '" CONTR"#E(" DE F)&RIC"
>sta debera ser la primera acci)n a realizar# tanto si (as a emplear la cone7i)n *i+,i como si no! ?n producto de -&brica (iene con un per-il y
una contrase;a est&ndar# a -in de -acilitar el acceso a su con-iguraci)n inicial! Estos datos son de sobra conocidos y est&n publicados en
multitud de p&ginas *ebs y -oros y# por consiguiente# es -&cil encontrar en %nternet listados en los $ue -iguran los nombres de usuarios y
contrase;as empleadas por los -abricantes en cada modelo de router! 0ebes seguir cierta metodologa a la 6ora de escoger la contrase;a:
E(ita escribir tu nombre o el de tu pare'a# tu a;o de nacimiento# tu domicilio o tel5-ono y en general toda a$uella in-ormaci)n $ue te
identi-i$ue y $ue pueda ser -&cilmente adi(inable!
%ntercala maysculas# minsculas y nmeros!
@o introduzcas una secuencia de teclas correlati(as como puede ser =abcde*=# =+,-./=# etc!
$ODIFIC"R E' ##ID
El ::%0 es el nombre de tu red y si alguien lo conoce# es m&s -&cil descubrirla y conectarse a ella! Los -abricantes normalmente comercializan
sus enrutadores inal&mbricos con el mismo ::%0 gen5rico# de esta -orma los intrusos pueden adi(inar -&cilmente cual es el nombre y
registrarse! Por lo tanto# escoge un nombre con el $ue denominar a tu red! 1azlo con uno $ue no resulte actracti(o a o'os de un e7tra;o# y a
ser posible $ue d5 indicios de un -allo simulado# por e'emplo# =Di0cconnected=# =na1ailable=# etc!
OC'T"R T IDENTIFIC"DOR DE RED ##ID
El simple 6ec6o de ocultar nuestra red a o'os curiosos puede ser un buen m5todo de e(itar intrusiones a'enas! Por e'emplo# *indo9s AP# nos
permite (er las cone7iones de red inal&mbricas a nuestro alcance# y conectarse con un simple clic en Conectar!
Para e(itar en parte aparecer en las bs$uedas de nuestros (ecinos# podemos 6acer $ue nuestra red =no se publicite=! Para ello tenemos $ue
ir a nuestro router y marcar la casilla de ocultar nuestra red 3dependiendo del modelo de router o punto de acceso# 6abr& $ue marcar o
desmarcar# 6abilitar o des6abilitar el SSID roadcast4:
Es importante destacar $ue ocultar nuestra red no impide $ue determinados programas como el 1etStumbler puedan detectarla!
ENCRIPT"CI!N WEP (Wired E2ui1alent Pri1ac3)
Es la m&s conocida y utilizada# debido a $ue es el nico m5todo soportado por la mayora de los dispositi(os ec)nomicos disponibles en el
mercado! :e basa en cla(es de -+ ) 45/ bits! Puedes encontrarte con in-ormaci)n con-usa y aparentemente enga;osa cuando eli'as el
ci-rado *EP! Algunos -abricantes de 6ard9are o-recen la opci)n de ci-rado de +6 bits y de 46+ bits en lugar del ci-rado de 6B ) 12C bits! En
realidad# el ci-rado *EP de B0 bits y el de 6B bits son los t5rminos para se;alar lo mismo# as como el ci-rado *EP de 10B bits y 12C tambi5n
son t5rminos similares para lo mismo! Por lo tanto# algunos -abricantes se re-ieren al est&ndar como B0 bits y 10B bits y otros como 6B bits y
12C bits!
En el router o punto de acceso: tenemos $ue ir al apartado de *ireless# y elegir una autenti-icaci)n abierta 3open4 o compartida 3s6ared4!
0espu5s en la encriptaci)n seleccionaremos *EP# escogemos una codi-icaci)n de 6B ) 12C bits y nos pedir& de 1 a B cla(es 3de 10 dgitos
6e7adecimales para 6B bits# 26 para 12C4! ,uncionara con 1 sola cla(e siempre y cuando luego lo con-iguremos adecuadamente en el P.#
pero si usamos las B# la seguridad ser& mayor! Lo mismo ocurre si usamos una cla(e de 12C bits!
En el P.: (amos a la (entana de Propiedades de la <ed %nal&mbrica# pulsamos sobre el bot)n !gregar# y con-iguramos los mismos par&metros
$ue introdu'imos en el router/punto de acceso:
La encriptaci)n *EP no es la opci)n m&s segura! Es til por$ue por e'emplo (iene pre+con-igurada en muc6os routers de determinados %:P# y
para usuarios no(eles puede ser un punto de inicio! Pero# 6ay $ue insistir# no es 100D segura! :i no puedes conseguir $ue -uncione *EP#
puede ser debido a problemas de autenti-icci)n! E7perimenta utilizando Abierta y .ompartida en cada P. 3selecciona esta opci)n desde la
lista desplegable de autenti-icaci)n de red4!
ENCRIPT"CI!N WP" (Wi-Fi Protected "cce00)
:urgi) como alternati(a segura y e-icaz al *EP# se basa en el ci-rado de la in-ormaci)n mediante cla(es din&micas# $ue se calculan a partir de
una contrase;a! Es precisamente a$u donde est& el punto -laco# si no se emplea una contrase;a su-icientemente larga y comple'a# es posible
$ue lleguen a des(elarla!
En el router o punto de acceso: al igual $ue anteriormente# 6ay $ue ir al apartado de *ireless y seleccionar la opci)n *PA! En este caso no
tendremos una simple opci)n# pues 6abr& $ue escoger entre *PA+<adius o *PA+Pre:6aredEey 3*PA+P:E4# como su propio nombre indica# su
nico re$uerimiento es compartir una cla(e entre los di-erentes clientes $ue se (an a autenti-icar en un determinado punto de acceso o router
$ue tambi5n la conoce! Este m5todo no es tan seguro como el uso de un ser(idor de autenti-icaci)n central del tipo <adius# pero es su-iciente
en entornos $ue necesiten conectar de -orma segura a unos pocos e$uipos! Por sencillez es recomentable el *PA+P:E# $ue simplemente pide
escoger la encriptaci)n 3AES o ,2IP4 y una cla(e de# mnimo# C dgitos y de m&7imo 63! T7IP es el algortmo aprobado y certi-icado para
*PA# algunos productos son compatibles con el ci-rado a(anzado 3"E#4 pero no 6an sido certi-icados por$ue no -uncionan con el 6ard9are de
distintos suministradores! As $ue selecciona "E%P para e(itar $ue el router traba'e innecesariamente o bi5n la combinaci)n de los dos
m5todos disponibles 3T7IP8"E#4# as no tendr&s problemas de compatibilidad!
En el P.: (amos a la (entana de Propiedades de la <ed %nal&mbrica# pulsamos sobre el bot)n !gregar# y con-iguramos los mismos par&metros
$ue introdu'imos en el router/punto de acceso:
El nico problema de este tipo de encriptaci)n es $ue no todos los adaptadores de red inal&mbricos o routers/puntos de acceso lo soportan#
aun$ue la tendencia actual es $ue el 6ard9are sea compatible! En el caso de $ue no lo sea# comprueba si e7isten actualizaciones disponibles#
desc&rgalas e inst&lalas! "ambi5n debes asegurarte de $ue tu (ersi)n de *indo9s admite el ci-rado *PA! *indo9s AP con :er(ice PacF 2
3:P24 es compatible# las (ersiones anteriores no lo son! :i no tienes instalado :P2# descarga el parc6e desde aqu0!
Aun$ue *indo9s AP tambi5n tiene soporte completo para !PA3# la (ersi)n certi-icada -inal de *PA! Puedes descargar el parc6e apropiado
desde Microsoft!
9:a0e tambi:n
Para obtener instrucciones m&s detalladas sobre el uso de *PA# consulta el artculo =!ireless Securit#4 !PA Ste b# Ste= de P. 2agazine!
Para obtener m&s in-ormaci)n consulta la base de conocimientos de 2icroso-t# art0culo 5678579
"anto para WP" como para WEP# es recomendable cambiar su cla(e con regularidad ya $ue si alguien super(isa tu red y captura los
pa$uetes durante un largo periodo de tiempo# podra desci-rar su ci-rado! :i cambias regularmente de cla(e# ser& muc6o m&s di-icil por$ue
tendr& menos tiempo y datos para 6acerlo! Asimismo# 6abilitando 5stos puedes reducir la (elocidad de transmisi)n de datos
signi-icati(amente! Esa es la raz)n por la $ue es importante empezar con una se;al potente# para $ue la p5rdida de (elocidad sea reducida!
"CTI9"R E' FI'TR"DO POR DIRECCIONE# $"C;0
Gtra opci)n para proteger la red de (isitantes e7ternos es restringir las 2A./s! La 2A. es# por decirlo en t5rminos sencillos# el identi-icador de
nuestro adaptador de red! Estas direcciones son -i'as# y est&n grabadas en la propia tar'eta! .ada tar'eta tiene una distinta y est&n -ormadas
por 12 dgitos 6e7adecimales y tiene este aspecto 00+.0+26+10+1E+.3! La primera parte de la direcci)n identi-ica al -abricante de la tar'eta o
dispositi(o y la ltima es un nmero asignado de -orma secuencial!
En el P.: lo primero $ue tenemos $ue a(eriguar es nuestra 2A.! Para ello# (amos a Inicio > "#ecutar > cmd > !ceptar! En la (entana $ue
nos aparece escribimos ipconfig $all y le damos a Intro# nos saldr& algo similar a esto:
1ay $ue -i'arse y tener cuidado! .omo se puede (er en la captura# dos adaptadores de red# uno et6ernet y otro inal&mbrico# montados en el
mismo P.# tienen $"C di*erente! Esto signi-ica $ue si# por e'emplo# -iltramos nuestro router y ponemos la 2A. del adaptador inal&mbrico#
no podremos conectarnos a nuestra propia red si optamos por usar el cable y el adaptador et6ernet!
En el router o punto de acceso: una (ez apuntada nuestra 2A. 3o 2A./s4# tenemos $ue acceder al router o punto de acceso para establecer
el -iltrado:
En este caso podemos establecer una lista a la $ue <ermitir 3Allo94 conectarse o a la $ue denegar 30eny4 la cone7i)n! Este es uno de los
m5todos m&s e-ecti(os para proteger la red y resulta pr&cticamente obligatoria su acti(aci)n!
DE#"CTI9"R E' #ER9IDOR D=CP
El ser(idor 01.P integrado en el enrutador distribuye las direcciones %P siempre a cada P.! Por lo tanto# otro m5todo para deterner a los
intrusos es limitar el nmero de direcciones %P al nmero de ordenadores $ue realmente posees! :i decides mantener acti(ado el 01.P
restringiendo el rango de direcciones $ue asigna# no tienes m&s $ue modi-icar los (alores =Start IP !ddress=# en donde debes introducir la
primera direcci)n $ue debe asignar el ser(idor# y ="nd IP !ddress=# en donde debes indicar d)nde termina el co'unto de direcciones $ue puede
asignar el router# es decir# la ltima direcci)n %P (&lida! Para terminar# puedes especi-icar el tiempo de duraci)n de la asignaci)n en %eased
&ime 36our4# es decir# el tiempo durante el cu&l una direcci)n pertenecer& a un cliente# pasado el cu&l podra ser asignada a otro!
Para desacti(ar el ser(idor 01.P y con-igurar todas las direcciones de los disposit(os manualmente# marca la casilla =Disable D'CP Ser(er=#
de este modo e(itar&s $ue el router conceda a un e$uipo e7terno los datos de cone7i)n de tu red# pasando a -ormar parte de ella!
0esa-ortunadamente esto implica $ue tendr&s $ue introducir la direcci)n %P# la puerta de enlace y los 0@: directamente a mano en cada P.!
>?"R CON '" IP (#&NETTIN?)
Los di-erentes rangos de direcciones %P son los $ue logran $ue los e$uipos se =(ean= entre s! @ormalmente es un (alor $ue no se suele tener
en cuenta# pero modi-icando la m&scara de subred es posible restringir el nmero de dispositi(os m&7imo! Por e'emplo# cuando se usa una
direcci)n del tipo 1H2!16C!1!A la m&scara 2II!2II!2II!0 indica $ue pertenecen a la misma red l)gica todos los dispositi(os del rango# es
decir# desde la %P 1H2!16C!1!1 6asta la 1H2!16C!1!2II! Por e'emplo# si (an a =con(i(ir= dos dispositi(os se puede restringir a un m&7imo de
dos el nmero de direcciones %P (&lidas y por tanto el nmero de e$uipos $ue pueden estar acti(os simult&neamente! Para ello tendr&s $ue
emplear la m&scara 2II!2II!2II!2I2 y usar dos direcciones %P adecuadas! Para e(itar complicaciones puedes usar una de las calculadoras %P
e7istentes en %nternet disponible aqu0! 0e este modo# lograr&s $ue un posible =intruso= tenga muy complicado encontrar una direcci)n para
comunicarse con tu router# ya $ue no puede 6aber dos direcciones %P iguales en la misma red! Este m5todo es para usuarios a(anzados!
DE#="&I'IT"R '" INTERF"%
:i no (as a utilizar tu cone7i)n *i+,i durante una temporada# por e'emplo cuando te (ayas de (acaciones# o no dispones de ningn dispositi(o
con este tipo de cone7i)n lo me'or es $ue desacti(es la inter-az# ya $ue es la -orma m&s segura de e(itar posibles =intrusos= y adem&s
a6orrar&s al router traba'o innecesario!
E9IT"R OTRO# PRO&'E$"#
Las redes inal&mbricas (ecinas pueden crear inter-erencias importantes en tu sistema *i+,i si -uncionan en el mismo canal o en uno cercano!
Para e(itar esto cambia de canal# de'a al menos , canales entre tu red inal&mbrica y las =colindantes=! Por e'emplo puedes tener dos redes
sin problemas en los canales 1#6 y 11 o bien 1#J y 13!
.on el programa @etstumbler# *i+,i 0e-ense o my*i,izone entre otros# puedes (er todas las redes en tu radio de alcance y su nmero de
canal!
TRC"R E' TRCO
A pesar de todas estas precauciones# seguramente alguien podr& entrar en tu red o# al menos# descubrir in-ormaci)n sobre ella! Los $ue se
dedican a realizar e7pediciones en busca de redes inal&mbricas normalmente les dicen a todo el mundo $ue 6an encontrado redes sin
proteger! Por lo tanto# e7iste la posibilidad de $ue la in-ormaci)n sobre tu red aparezca en un listado en un sitio *eb disponible pblicamente
para $ue todo el mundo pueda (erla! :i 5ste es el caso# alguien puede utilizar dic6a in-ormaci)n para intentar entrar en tu red!
Primero localiza la direcci)n 2A. de tu router! @ormalmente este dato aparece listado en una de las pantallas del mismo# pero si no sabes
c)mo encontrarla dirgete a la lnea de comandos 3Inicio > "#ecutar > Cmd4 y realiza un ping a la direcci)n %P del router! Por e'emplo:
Ping 4@5A4-/A4A4
En realidad no necesitas realizar ningn ping# pero es recomendable por$ue al 6acerlo# la in-ormaci)n de la direcci)n 2A. se colocar& en el
protocolo de resoluci)n 3A<P4 desde la cac65 de tu P.! "ras realizar el ping escribe el siguiente comando:
"r< -a
La direcci)n 2A. aparecer& listada directamente deba'o de la 0irecci)n -sica!
Luego dirgete a la *eb *tt4::/igle9net! 1az clic en el (nculo =Searc)ing= 3buscar4 $ue se encuentra en la parte central de la pantalla! "endr&s
$ue registrarte en el sitio pero es gratuito# as $ue 6azlo antes de proceder a la bs$ueda! "ras registrarte inicia sesi)n y en el cuadro =SSID
or *!C= escribe la direcci)n 2A.# incluyendo dos puntos 3:4 entre los nmeros en lugar de los guiones 3+4 mostrados por Arp! Por e'emplo:
66B.bBdb4aB.eB+g
1az clic en =+uer,= 3consultar4# si se abre una pantalla (aca no e7iste ninguna in-ormaci)n sobre tu red! Pero si aparece encontrar&s una
gran in-ormaci)n sobre ella# incluyendo su ::%0# el canal en el $ue emite y otra in-ormaci)n de identi-icaci)n!
CONC'#IONE#
:i tu 6ard9are te lo permite# usa *PA!
:i no te preocupa la pri(acidad de tus datos# solo $ue nadie se apro(ec6e de tu red *i+,i# usa el -iltrado 2A.!
Procura esconder tu red para e(itar tentaciones!
*EP es -&cilmente atacable# sala combinada con algn otro m5todo de protecci)n!