NDICE Introduccin Cambiar la contrasea de fbrica Modificar el SSID Ocultar tu identificador de red SSID Encritacin !EP "!ired Equivalent Privac#$ Encritacin !PA "!i%&i Protected Access$ Activar el filtrado or direcciones MAC's Desactivar el servidor D(CP )ugar con la IP "Subnetting$ Des*abilitar la interfa+ Evitar otros roblemas ,rucar el truco Conclusiones INTRODCCI!N Lo ltimo en redes locales son las redes inalmbricas basadas en tecnologa !i%&i! "al es el boom con este tipo de redes# $ue la mayora de los ISP regalan con sus accesos a %nternet por ADS-# routers con tecnologa inal&mbrica! El ob'eti(o de este tutorial es aprender c)mo podemos proteger nuestra red *i+,i# bien encriptando los datos $ue circulan por ella# -iltrando las MAC de los P./s $ue $ueremos $ue -ormen parte de nuestra red# ocultando nuestra red o desacti(ando el ser(idor 01.P entre otras cosas! 2ediante las encriptaciones 3*EP o *PA4 protegemos nuestra pri(acidad# codi-icando los datos $ue recibimos/transmitimos! .on el -iltrado de las 2A./s o la ocultaci)n de nuestra red impedimos $ue usuarios a'enos se conecten a nuestra red 3y con ello a %nternet4! .ada uno debe elegir $u5 pre-iere# si proteger su intimidad o e(itar $ue alguien se apro(ec6e# por e'emplo# de su cone7i)n a %nternet! Puede $ue $uiz&s $uieras re(isar otros tutoriales antes de continuar con 5ste: Configurar router .avi or /ireless# Crear # configurar tu red /ireless ) Instalar una red !i%&i Ad (oc! "NTE# DE E$PE%"R Para poder proteger nuestra red *i+,i tendremos $ue acceder a la con-iguraci)n de nuestro router ) punto de acceso inal&mbrico8 adem&s de con-igurar *indo9s o el so-t9are correspondiente! Para acceder a tu router# puedes consultar el tutorial: Cmo acceder v0a /eb a tu router! .omo recomendaci)n# por sencillez y comodidad# es aconse'able usar *indo9s para establecer la con-iguraci)n inal&mbrica! Para ello# (e a Inicio > Configuracin > Panel de Control > Conexiones de Red! :elecciona tu cone7i)n de red inal&mbrica# y 6az clic con el bot)n derec6o# para darle a Propiedades! Pulsa sobre la pesta;a de <edes %nal&mbricas# y asegrate de tener marcada la opci)n =Usar Windows para establecer mi configuracin de red inalmbrica=: C"$&I"R '" CONTR"#E(" DE F)&RIC" >sta debera ser la primera acci)n a realizar# tanto si (as a emplear la cone7i)n *i+,i como si no! ?n producto de -&brica (iene con un per-il y una contrase;a est&ndar# a -in de -acilitar el acceso a su con-iguraci)n inicial! Estos datos son de sobra conocidos y est&n publicados en multitud de p&ginas *ebs y -oros y# por consiguiente# es -&cil encontrar en %nternet listados en los $ue -iguran los nombres de usuarios y contrase;as empleadas por los -abricantes en cada modelo de router! 0ebes seguir cierta metodologa a la 6ora de escoger la contrase;a: E(ita escribir tu nombre o el de tu pare'a# tu a;o de nacimiento# tu domicilio o tel5-ono y en general toda a$uella in-ormaci)n $ue te identi-i$ue y $ue pueda ser -&cilmente adi(inable! %ntercala maysculas# minsculas y nmeros! @o introduzcas una secuencia de teclas correlati(as como puede ser =abcde*=# =+,-./=# etc! $ODIFIC"R E' ##ID El ::%0 es el nombre de tu red y si alguien lo conoce# es m&s -&cil descubrirla y conectarse a ella! Los -abricantes normalmente comercializan sus enrutadores inal&mbricos con el mismo ::%0 gen5rico# de esta -orma los intrusos pueden adi(inar -&cilmente cual es el nombre y registrarse! Por lo tanto# escoge un nombre con el $ue denominar a tu red! 1azlo con uno $ue no resulte actracti(o a o'os de un e7tra;o# y a ser posible $ue d5 indicios de un -allo simulado# por e'emplo# =Di0cconnected=# =na1ailable=# etc! OC'T"R T IDENTIFIC"DOR DE RED ##ID El simple 6ec6o de ocultar nuestra red a o'os curiosos puede ser un buen m5todo de e(itar intrusiones a'enas! Por e'emplo# *indo9s AP# nos permite (er las cone7iones de red inal&mbricas a nuestro alcance# y conectarse con un simple clic en Conectar! Para e(itar en parte aparecer en las bs$uedas de nuestros (ecinos# podemos 6acer $ue nuestra red =no se publicite=! Para ello tenemos $ue ir a nuestro router y marcar la casilla de ocultar nuestra red 3dependiendo del modelo de router o punto de acceso# 6abr& $ue marcar o desmarcar# 6abilitar o des6abilitar el SSID roadcast4: Es importante destacar $ue ocultar nuestra red no impide $ue determinados programas como el 1etStumbler puedan detectarla! ENCRIPT"CI!N WEP (Wired E2ui1alent Pri1ac3) Es la m&s conocida y utilizada# debido a $ue es el nico m5todo soportado por la mayora de los dispositi(os ec)nomicos disponibles en el mercado! :e basa en cla(es de -+ ) 45/ bits! Puedes encontrarte con in-ormaci)n con-usa y aparentemente enga;osa cuando eli'as el ci-rado *EP! Algunos -abricantes de 6ard9are o-recen la opci)n de ci-rado de +6 bits y de 46+ bits en lugar del ci-rado de 6B ) 12C bits! En realidad# el ci-rado *EP de B0 bits y el de 6B bits son los t5rminos para se;alar lo mismo# as como el ci-rado *EP de 10B bits y 12C tambi5n son t5rminos similares para lo mismo! Por lo tanto# algunos -abricantes se re-ieren al est&ndar como B0 bits y 10B bits y otros como 6B bits y 12C bits! En el router o punto de acceso: tenemos $ue ir al apartado de *ireless# y elegir una autenti-icaci)n abierta 3open4 o compartida 3s6ared4! 0espu5s en la encriptaci)n seleccionaremos *EP# escogemos una codi-icaci)n de 6B ) 12C bits y nos pedir& de 1 a B cla(es 3de 10 dgitos 6e7adecimales para 6B bits# 26 para 12C4! ,uncionara con 1 sola cla(e siempre y cuando luego lo con-iguremos adecuadamente en el P.# pero si usamos las B# la seguridad ser& mayor! Lo mismo ocurre si usamos una cla(e de 12C bits! En el P.: (amos a la (entana de Propiedades de la <ed %nal&mbrica# pulsamos sobre el bot)n !gregar# y con-iguramos los mismos par&metros $ue introdu'imos en el router/punto de acceso: La encriptaci)n *EP no es la opci)n m&s segura! Es til por$ue por e'emplo (iene pre+con-igurada en muc6os routers de determinados %:P# y para usuarios no(eles puede ser un punto de inicio! Pero# 6ay $ue insistir# no es 100D segura! :i no puedes conseguir $ue -uncione *EP# puede ser debido a problemas de autenti-icci)n! E7perimenta utilizando Abierta y .ompartida en cada P. 3selecciona esta opci)n desde la lista desplegable de autenti-icaci)n de red4! ENCRIPT"CI!N WP" (Wi-Fi Protected "cce00) :urgi) como alternati(a segura y e-icaz al *EP# se basa en el ci-rado de la in-ormaci)n mediante cla(es din&micas# $ue se calculan a partir de una contrase;a! Es precisamente a$u donde est& el punto -laco# si no se emplea una contrase;a su-icientemente larga y comple'a# es posible $ue lleguen a des(elarla! En el router o punto de acceso: al igual $ue anteriormente# 6ay $ue ir al apartado de *ireless y seleccionar la opci)n *PA! En este caso no tendremos una simple opci)n# pues 6abr& $ue escoger entre *PA+<adius o *PA+Pre:6aredEey 3*PA+P:E4# como su propio nombre indica# su nico re$uerimiento es compartir una cla(e entre los di-erentes clientes $ue se (an a autenti-icar en un determinado punto de acceso o router $ue tambi5n la conoce! Este m5todo no es tan seguro como el uso de un ser(idor de autenti-icaci)n central del tipo <adius# pero es su-iciente en entornos $ue necesiten conectar de -orma segura a unos pocos e$uipos! Por sencillez es recomentable el *PA+P:E# $ue simplemente pide escoger la encriptaci)n 3AES o ,2IP4 y una cla(e de# mnimo# C dgitos y de m&7imo 63! T7IP es el algortmo aprobado y certi-icado para *PA# algunos productos son compatibles con el ci-rado a(anzado 3"E#4 pero no 6an sido certi-icados por$ue no -uncionan con el 6ard9are de distintos suministradores! As $ue selecciona "E%P para e(itar $ue el router traba'e innecesariamente o bi5n la combinaci)n de los dos m5todos disponibles 3T7IP8"E#4# as no tendr&s problemas de compatibilidad! En el P.: (amos a la (entana de Propiedades de la <ed %nal&mbrica# pulsamos sobre el bot)n !gregar# y con-iguramos los mismos par&metros $ue introdu'imos en el router/punto de acceso: El nico problema de este tipo de encriptaci)n es $ue no todos los adaptadores de red inal&mbricos o routers/puntos de acceso lo soportan# aun$ue la tendencia actual es $ue el 6ard9are sea compatible! En el caso de $ue no lo sea# comprueba si e7isten actualizaciones disponibles# desc&rgalas e inst&lalas! "ambi5n debes asegurarte de $ue tu (ersi)n de *indo9s admite el ci-rado *PA! *indo9s AP con :er(ice PacF 2 3:P24 es compatible# las (ersiones anteriores no lo son! :i no tienes instalado :P2# descarga el parc6e desde aqu0! Aun$ue *indo9s AP tambi5n tiene soporte completo para !PA3# la (ersi)n certi-icada -inal de *PA! Puedes descargar el parc6e apropiado desde Microsoft! 9:a0e tambi:n Para obtener instrucciones m&s detalladas sobre el uso de *PA# consulta el artculo =!ireless Securit#4 !PA Ste b# Ste= de P. 2agazine! Para obtener m&s in-ormaci)n consulta la base de conocimientos de 2icroso-t# art0culo 5678579 "anto para WP" como para WEP# es recomendable cambiar su cla(e con regularidad ya $ue si alguien super(isa tu red y captura los pa$uetes durante un largo periodo de tiempo# podra desci-rar su ci-rado! :i cambias regularmente de cla(e# ser& muc6o m&s di-icil por$ue tendr& menos tiempo y datos para 6acerlo! Asimismo# 6abilitando 5stos puedes reducir la (elocidad de transmisi)n de datos signi-icati(amente! Esa es la raz)n por la $ue es importante empezar con una se;al potente# para $ue la p5rdida de (elocidad sea reducida! "CTI9"R E' FI'TR"DO POR DIRECCIONE# $"C;0 Gtra opci)n para proteger la red de (isitantes e7ternos es restringir las 2A./s! La 2A. es# por decirlo en t5rminos sencillos# el identi-icador de nuestro adaptador de red! Estas direcciones son -i'as# y est&n grabadas en la propia tar'eta! .ada tar'eta tiene una distinta y est&n -ormadas por 12 dgitos 6e7adecimales y tiene este aspecto 00+.0+26+10+1E+.3! La primera parte de la direcci)n identi-ica al -abricante de la tar'eta o dispositi(o y la ltima es un nmero asignado de -orma secuencial! En el P.: lo primero $ue tenemos $ue a(eriguar es nuestra 2A.! Para ello# (amos a Inicio > "#ecutar > cmd > !ceptar! En la (entana $ue nos aparece escribimos ipconfig $all y le damos a Intro# nos saldr& algo similar a esto: 1ay $ue -i'arse y tener cuidado! .omo se puede (er en la captura# dos adaptadores de red# uno et6ernet y otro inal&mbrico# montados en el mismo P.# tienen $"C di*erente! Esto signi-ica $ue si# por e'emplo# -iltramos nuestro router y ponemos la 2A. del adaptador inal&mbrico# no podremos conectarnos a nuestra propia red si optamos por usar el cable y el adaptador et6ernet! En el router o punto de acceso: una (ez apuntada nuestra 2A. 3o 2A./s4# tenemos $ue acceder al router o punto de acceso para establecer el -iltrado: En este caso podemos establecer una lista a la $ue <ermitir 3Allo94 conectarse o a la $ue denegar 30eny4 la cone7i)n! Este es uno de los m5todos m&s e-ecti(os para proteger la red y resulta pr&cticamente obligatoria su acti(aci)n! DE#"CTI9"R E' #ER9IDOR D=CP El ser(idor 01.P integrado en el enrutador distribuye las direcciones %P siempre a cada P.! Por lo tanto# otro m5todo para deterner a los intrusos es limitar el nmero de direcciones %P al nmero de ordenadores $ue realmente posees! :i decides mantener acti(ado el 01.P restringiendo el rango de direcciones $ue asigna# no tienes m&s $ue modi-icar los (alores =Start IP !ddress=# en donde debes introducir la primera direcci)n $ue debe asignar el ser(idor# y ="nd IP !ddress=# en donde debes indicar d)nde termina el co'unto de direcciones $ue puede asignar el router# es decir# la ltima direcci)n %P (&lida! Para terminar# puedes especi-icar el tiempo de duraci)n de la asignaci)n en %eased &ime 36our4# es decir# el tiempo durante el cu&l una direcci)n pertenecer& a un cliente# pasado el cu&l podra ser asignada a otro! Para desacti(ar el ser(idor 01.P y con-igurar todas las direcciones de los disposit(os manualmente# marca la casilla =Disable D'CP Ser(er=# de este modo e(itar&s $ue el router conceda a un e$uipo e7terno los datos de cone7i)n de tu red# pasando a -ormar parte de ella! 0esa-ortunadamente esto implica $ue tendr&s $ue introducir la direcci)n %P# la puerta de enlace y los 0@: directamente a mano en cada P.! >?"R CON '" IP (#&NETTIN?) Los di-erentes rangos de direcciones %P son los $ue logran $ue los e$uipos se =(ean= entre s! @ormalmente es un (alor $ue no se suele tener en cuenta# pero modi-icando la m&scara de subred es posible restringir el nmero de dispositi(os m&7imo! Por e'emplo# cuando se usa una direcci)n del tipo 1H2!16C!1!A la m&scara 2II!2II!2II!0 indica $ue pertenecen a la misma red l)gica todos los dispositi(os del rango# es decir# desde la %P 1H2!16C!1!1 6asta la 1H2!16C!1!2II! Por e'emplo# si (an a =con(i(ir= dos dispositi(os se puede restringir a un m&7imo de dos el nmero de direcciones %P (&lidas y por tanto el nmero de e$uipos $ue pueden estar acti(os simult&neamente! Para ello tendr&s $ue emplear la m&scara 2II!2II!2II!2I2 y usar dos direcciones %P adecuadas! Para e(itar complicaciones puedes usar una de las calculadoras %P e7istentes en %nternet disponible aqu0! 0e este modo# lograr&s $ue un posible =intruso= tenga muy complicado encontrar una direcci)n para comunicarse con tu router# ya $ue no puede 6aber dos direcciones %P iguales en la misma red! Este m5todo es para usuarios a(anzados! DE#="&I'IT"R '" INTERF"% :i no (as a utilizar tu cone7i)n *i+,i durante una temporada# por e'emplo cuando te (ayas de (acaciones# o no dispones de ningn dispositi(o con este tipo de cone7i)n lo me'or es $ue desacti(es la inter-az# ya $ue es la -orma m&s segura de e(itar posibles =intrusos= y adem&s a6orrar&s al router traba'o innecesario! E9IT"R OTRO# PRO&'E$"# Las redes inal&mbricas (ecinas pueden crear inter-erencias importantes en tu sistema *i+,i si -uncionan en el mismo canal o en uno cercano! Para e(itar esto cambia de canal# de'a al menos , canales entre tu red inal&mbrica y las =colindantes=! Por e'emplo puedes tener dos redes sin problemas en los canales 1#6 y 11 o bien 1#J y 13! .on el programa @etstumbler# *i+,i 0e-ense o my*i,izone entre otros# puedes (er todas las redes en tu radio de alcance y su nmero de canal! TRC"R E' TRCO A pesar de todas estas precauciones# seguramente alguien podr& entrar en tu red o# al menos# descubrir in-ormaci)n sobre ella! Los $ue se dedican a realizar e7pediciones en busca de redes inal&mbricas normalmente les dicen a todo el mundo $ue 6an encontrado redes sin proteger! Por lo tanto# e7iste la posibilidad de $ue la in-ormaci)n sobre tu red aparezca en un listado en un sitio *eb disponible pblicamente para $ue todo el mundo pueda (erla! :i 5ste es el caso# alguien puede utilizar dic6a in-ormaci)n para intentar entrar en tu red! Primero localiza la direcci)n 2A. de tu router! @ormalmente este dato aparece listado en una de las pantallas del mismo# pero si no sabes c)mo encontrarla dirgete a la lnea de comandos 3Inicio > "#ecutar > Cmd4 y realiza un ping a la direcci)n %P del router! Por e'emplo: Ping 4@5A4-/A4A4 En realidad no necesitas realizar ningn ping# pero es recomendable por$ue al 6acerlo# la in-ormaci)n de la direcci)n 2A. se colocar& en el protocolo de resoluci)n 3A<P4 desde la cac65 de tu P.! "ras realizar el ping escribe el siguiente comando: "r< -a La direcci)n 2A. aparecer& listada directamente deba'o de la 0irecci)n -sica! Luego dirgete a la *eb *tt4::/igle9net! 1az clic en el (nculo =Searc)ing= 3buscar4 $ue se encuentra en la parte central de la pantalla! "endr&s $ue registrarte en el sitio pero es gratuito# as $ue 6azlo antes de proceder a la bs$ueda! "ras registrarte inicia sesi)n y en el cuadro =SSID or *!C= escribe la direcci)n 2A.# incluyendo dos puntos 3:4 entre los nmeros en lugar de los guiones 3+4 mostrados por Arp! Por e'emplo: 66B.bBdb4aB.eB+g 1az clic en =+uer,= 3consultar4# si se abre una pantalla (aca no e7iste ninguna in-ormaci)n sobre tu red! Pero si aparece encontrar&s una gran in-ormaci)n sobre ella# incluyendo su ::%0# el canal en el $ue emite y otra in-ormaci)n de identi-icaci)n! CONC'#IONE# :i tu 6ard9are te lo permite# usa *PA! :i no te preocupa la pri(acidad de tus datos# solo $ue nadie se apro(ec6e de tu red *i+,i# usa el -iltrado 2A.! Procura esconder tu red para e(itar tentaciones! *EP es -&cilmente atacable# sala combinada con algn otro m5todo de protecci)n!