Sigo caminando por la calle y observando que mi teléfono capta decenas de Wifi allá por donde paso, que muchas están sin clave, y que otras tantas de ellas tienen como clave "1234", "admin" o "internet". Menos mal que no "voy a malas", y prefiero seguir navegando por mi 3G si no es una Wifi a propósito abierta y con conocimiento del administrador de que esté compartida, porque no me quiero imaginar, ya no sólo hogares, sino empresas que deben estar abiertas por este protocolo.
Seguro que hay cientos manuales por Internet que explican cómo hacer una Wifi segura, pero así de memoria, me gustaría repasar algunos consejos básicos y sugerir a los administradores o informáticos encargados de un router Wifi que se aseguren que se cumplen estos requisitos.
- Desactivar el broadcast: es decir, que el nombre que le das a tu Wifi no aparezca público si yo hago un escaner de Wifi's. De esa forma, sólo tu conoces el nombre, y no pongas "nombre de tu empresa" o "wifi", sino algo más complicado, no tiene por qué quedar bonito, sólo lo conoces tú y los ordenadores que van a usar esa Wifi.
- Usa encriptado WEP2 como poco: aunque se ha demostrado que es posible corromper cualquier encriptación de Wifi, al menos lo ponemos un poco más difícil. No dejes tu Wifi abierta en ese sentido.
- Y sin duda la más importante de todas filtra las conexiones por MAC. Todos los dispositivos de red tienen lo que se llama una MAC ADDRESS, como una IP o un DNI único de cada dispositivo. En la configuración de los routers puedes dar de alta sólo las MAC ADDRESS de los dispositivos que tu quieras, por ejemplo, tu teléfono, tu ordenador, tu portatil, o los ordenadores de toda una oficina si quieres. En la configuración de la tarjeta de red de cada dispositivo verás este identificador formado por parejas de números hexadecimales (por ejemplo: A0:54:12:87:F4:BB:C0:43)
- Y como no, normas básicas como cambiar la clave cada 2 o 3 meses, repasar la configuración …
Obviamente, siempre hay alguien que sabe saltarse todas estas cosas, pero … ¿para qué cerramos con llave nuestra puerta de casa? Para dificultar y tener al margen al 99.99% de los posibles ladrones, ¿no? Pues aquí lo mismo. No facilitéis la vida tanto con la cantidad de programas que hay en el mercado ahora mismo que pulsando un botón te entran en una Wifi semi-desprotegida.
Dos cosas, un apunte y una pregunta a los informaticos.
20 de mayo de 2009El apunte. Nunca he conseguido “echar a camino” mis wifi’s desactivandole el broadcast. Si lo desactivo, no me funcionan, por mucho que configure manualmente todo el el AP.
La pregunta. ¿Por que nadie entre las recomendaciones para la seguridad wifi no incluye esta? limitar el servidor DHCP a una sola direccion (Caso de que sea valido/posible). Si trabajo con servidor de IP’s y solo activo una, nadie podra entrar en mi red, no??
Y por que no mejor se enseña a configurar un buen firewall y se comparte la red sin abusar!! El 99% de la gente no aprobecha su conexión al 100%, y seguro que a mucha gente de paso le salvais el culo dejando que se conecten a ver su mail, etc…
Seriamos todos más felices.
20 de mayo de 2009Primer punto es desactivar el DHCP en los routers, y asignar manualmente la IP a cada puesto que tenga que conectarse. Así evitamos a priori que cualquier intruso obtenga una dirección válida de nuestra red.
Luego, correcto, desactivar Broadcasting y activar MAC Filter, pero lo que comentas de poner clave WEP2 creo que no sería necesario, si ya estás filtrando el acceso por MAC no será necesario poner otro paso para entrar en la red, digo yo. Además que por lo que tengo entendido al activar únicamente el filtrado MAC la velocidad de la WiFi es más alta al no perder tanto tiempo en el intercambio de seguridad.
Y tercero, un buen firewall.
20 de mayo de 2009Si desactivamos DHCP solamente ponemos un pequeño impedimento a la red, puesto que el “visitante” no sabe el rango de direcciones válido en nuestra red.
Pero esto es muy sencillo:
Pongo mi direccion 192.168.67.3 (por ejemplo) y la máscara de red en 255.255.0.0
Una vez hecho esto cojo un escaneador y busco el gateway (el router). Seguro que lo encuentro en 192.168.0.X 192.168.1.X o 192.168.2.X (en qualquier caso, en menos de 10 minutos está encontrado).
De DNS ponemos uno público: 192.179.1.100
TOTAL: que lo del DHCP no sirve de mucho ….
El encriptado… creo que en vez de WEP2 se ha confundido. Quería decir WPA2, que realmente es seguro (si es que hay algo que se le pueda llamar así realmente).
Si no se pone la encriptación y sólo se pone filtrado por MAC, es sencillo escuchar un rato (no hay encriptación!), pillar un número de MAC válido, y cambiar el número de MAC de nuestro dispositivo (se puede cambiar en muchos modelos de tarjeta).
Si queréis una recomendación:
Usar la red 10.x.x.x (que también es válida para redes locales, al igual que 192.168.x.x), poned WPA2, sin SSID Broadcasting y filtro de MAC.
O aún mejor, como lo hago yo:
dejad la red completamente abierta, para que las personas que pasen por ahí puedan bajarse el correo, consultar Google Maps y acceder a otros servicios. Si véis que alguien está conectado 2 días seguidos durante la noche, le baneais su MAC(son personas que están abusando). Compartir es bueno ! (hoy por ti, mañana por mi)
Saludos
20 de mayo de 2009(perdón por la errata)
20 de mayo de 2009De DNS ponemos uno público: 194.179.1.100
megazero77:
ciertamente la encriptación reduce la velocidad al incorporar una nueva capa, pero no reduce la velocidad respecto a Internet, puesto que la conexion Wifi es de 54MB, y Internet es de 1,2,6,o 10 MB…
Y el firewall ciertamente imprescindibe, pero con el de windows es suficiente (bloquear un puerto, o avisarnos de que un programa abre uno en modo escucha no es tan difícil…)
20 de mayo de 2009Ya bueno, Jordi, evidentemente que alguien con conocimientos de packet sniffing y escaneo de puertos es capaz de sacarte gateways, MACs y lo que haga falta. Yo me estaba ubicando en un entorno más estándard, el típico vecino que te roba la conexión por las noches para bajarse porno del eMule.
Y lo de cambiar la configuración de la red interna, metiendo por medio routers y demás, tampoco está al alcance del 80% de los usuarios de Internet.
Pero sí, para alguien que entienda todas las recomendaciones que has dado en tu post lo agradecerá :)
20 de mayo de 2009HOla, creo que se nos escapa que en la práctica puedes ponerle toda la protección del mundo a la wifi, pero como no seas tú sólo el que la use, vete preparando para que te estén llamando cada dos por tres para configurar la wifi.
20 de mayo de 2009No entiendo a la gente que pone lo de compartir la red. ¿Sabéis la grave problemática de seguridad que eso conlleva? Existen infinidad de maneras de saltar restricciones de seguridad. Pero bueno, allá cada cual con lo que haga con sus datos personales.
20 de mayo de 2009La protección por filtro del MAC address es la más fácil de sortear: hoy en día la mayoría de las placas permiten modificar su MAC address por panel de control (sin programitas raros), aunque se necesita un programa no tan común para averiguar cuáles MAC son las habilitadas (un simple monitor de red alcanza; los hay gratuitos para Windows y Linux, así que supongo que para Mac también). En el caso de las redes LAN (Ethernet) se dificulta el clonado de MAC porque para que sea realmente útil la PC clonada debe estar apagada, pero en WiFi el apagado es la norma, así que… a no confiar en el filtrado por MAC. Por supuesto yo igual lo pondría, porque elimina a los advenedizos inexpertos, pero cualquier búsqueda de “cómo entrar a una red WiFi” en Google va a enseñar a clonar la MAC como primer medida. Incluso, si se trata de una red corporativa (con WEP2 y una buena password) no le pondría el filtro por MAC porque supone una sobrecarga administrativa importante cada vez que alguien quiere usar la red y la supuesta “seguridad adicional” no justifica la molestia.
21 de mayo de 2009Lo que hay que leer que el filtrado MAC es fácil de saltar es como decir que el DNI es fácil de falsificar pro que puedes fotocopiar lo en color o escanearlo.
Eso es simple y llanamente “MENTIRA”.
Que se puede saltar por supuesto pero de fácil y rápido nada de nada, y no creo que compense mucho el tiempo y el esfuerzo para conectarse a la red de un vecino para “chuparle Internet” con la MAC ya creas el suficiente impedimento para que se lo piense dos veces y el que se la salte pues se lo ha ganado ¿no?
Otra cosilla mucho mas simple es cuando no estés conectado o bajando cosas pro ejemplo en empresas por las noches en oficinas, los fines de semana, apagar el router y listo.
Pero con la MAC mas que suficiente.
22 de mayo de 2009@Adr3im:
22 de mayo de 2009Es muy feo eso de que lo traten a uno de mentiroso. El procedimiento es muy sencillo y rápido. Tal vez tú no estés familiarizado, pero no se trata de eso. No voy a escribir aquí cómo se hace por razones obvias, pero no lleva más de cinco minutos y solamente se requiere bajar un programa gratuito muy tradicional (nada rarito).
@Adr3im:
25 de mayo de 2009Como dice Guille, es bastante sencillo, es cosa de darse una vuelta por google y listo.
aqui el unico mentiroso es Adr3im, pues esta calificando de “mentira” algo que es verdadero.
la clonacion de macs es muy sencilla, yo lo hago ya hace mas de 3 años en mucho menos de 5 minutos.
lo que le aconsejo a este señor es que investigue un poco más, ya que tiene el conocimiento bien limitado.
saludos.
10 de junio de 2009!!!GRAXIAAAAAAAASSSSSS¡¡¡ LLEVABA VARIOS MESES TIO CON PROBLEMAS X LA CONEXION DE VARIOS WIFIS DEL BARRIO LES STABA PAGANDO EL INTERNET XD JAJA SII ESO DICEN TIO SI A TI NO TE CUESTA MAS…CLRO KE NO XO SI ME PONIA MI PC COMO UNA VERDADERA EJEEM MIERDECILLAA CON PERDON ASII KE MIRAA LO CONSEGUI GRAXIAS A VOSOTROS UN SALUDO DESDE CADIZ.SEGUID ASI XF MIL GRAXIAAS.
21 de octubre de 2009BYE
NO SE PORQUE SE PREOCUPAN TANTO DE LA SEGURIDAD DE WIFI,todos saben que es insegura,si uno pone restricciones de seguridad ,estamos seduciendo a un hacker a tener una afrenta con nosotros,para ellos ,nuestra red es un desafio y en – media hora ya han penetrado,yo mismo lo he visto,luego la red ,funciona mal,lenta,porque un hacker se ensaño con nosotros y pum ,regresamos al cableado,ahora son mejores las targetas de red a 1000 gigabits,por cable,y son superseguras a menos que alguien en persona use una de nuestras maquinas,acaso alguno de vosotros paga por los derechos de aire para realizar esas emisiones sin cables?de alguna manera hemos de pagar,Mi recomendacion :usen red habierta,con filtrado mac,y restricciones de ancho de banda para cada mac,exepto las de nuestras maquinas que tendran las mac ,con mayor ancho de banda,es bonito compartir,pero cuando alguien entra a nuestra red,y ve la escasa velocidad,de seguro ya no querra volber a lidiar con esa coneccion gratuita,y lenta,ja ja ,busquense un buen informatico que se los ponga en practica,adio
29 de marzo de 2010No he visto jamás un comentario más estupido:
“usen red habierta,con filtrado mac”
Sí Jhon sí, pongamos todos las wifis **HABIERTAS**.
Semos juankers.
29 de marzo de 2010