Chatear en RedIrc

jueves, 14 de abril de 2016

Seguridad en Internet, asegurar redes wireless

Seguridad wireless

Si bien es cierto que las redes inalámbricas no ofrecen demasiada seguridad comparando con las alambricas pero podemos asegurarlas usando algún que otro método y mecanismo para aumentar la seguridad lo suficiente en estas redes. Debemos de usar un mecanismo de cifrado y autentificación robusto como RADIUS, pero esto conlleva tener un servidor siempre activo para gestionar los accesos a la red.

Para asegurar nuestra wireless es recomendable usar cifrados WPA (Wi-Fi Protected Access) con algoritmo de cifrado AES (Advanced Encryption Standard), lo que sería WPA2 que ofrece un cifrado mejor frente a sus predecesores WEP/WAP. Este método así como otras opciones de seguridad las podemos gestionar desde nuestro punto de acceso (AP) o Router.

En la mayoría de los APs o routers se admiten múltiples mecanismos y métodos de cifrado, es IMPORTANTE que cambiemos el cifrado así como la clave de acceso de la red wireless ya que esta será una predefinida por el servidor de Internet (ISP) y en muchos casos, esta clave puede ser predecible.

Entrar al Punto de acceso o Router


Para modificar el método de cifrado así como ciertos mecanismos para asegurar nuestra red inalámbrica debemos dirigirnos a la IP del router que normalmente es la puerta de enlace.

Para saber la IP del router abrimos un interprete de comandos y ejecutamos lo siguiente:
ipconfig
ipconfig en windows


En MacOS, Linux/UNIX:
ip route get 8.8.8.8

ip route get

También podríamos averiguar la IP del router haciendo un tracepath aunque lo habitual es que sea la misma IP que la puerta de enlace.

Lo siguiente es acceder al router, usando esta dirección de IP en el navegador accederemos a su configuración, buscamos el apartado WIFI, Wireless, inalámbrico o algo similar y modificamos el cifrado, en mi caso tengo un HG556a de Vodafone lo deje de esta manera:


[update headline="Usuario y clave del router"]El usuario y la clave de nuestro AP/Router suele venir detrás del mismo serigrafiado o en una pegatina, si no fuera el caso puedes probar en routerpasswords para probar con la clave por defecto.[/update]

Configurar nuestra red Wireless


Por supuesto que debemos de escribir una contraseña decente, o sea, que esta contenga números, letras y caracteres especiales.

Podemos ocultar el nombre de nuestro wifi (SSID), esto evita que al escanear las redes wireless disponibles esta no aparezca,  esto dará un toque mas de seguridad a nuestra red, en mi caso solo es tildar sobre "Ocultar SSID 1:", en otros routers puede salir como "Hide Broadcast", "Hide SSID" o algo similar (mirar el manual del AP/Router).

Otra opción interesante es crear listas de acceso por MAC (ACL), lo que sería permitir a los ordenadores que tienen una dirección MAC dada, descartando al resto, en mi caso en la parte inferior  de la imagen anterior puedo ir añadiendo las MAC de mis ordenadores. Para saber la MAC de un PC podemos ejecutar el comando:
ipconfig /all
Direccion fisica en Windows


En MacOS, Linux/UNIX:
ifconfig

ifconfig linux

Cuidado con el sistema WPS (Wi-Fi Protected Setup), se podría usar ataques por fuerza bruta para conectar a un AP usando PINs aleatorios La particularidad del WPS es facilitar el acceso a los dispositivos wireless evitando introducir claves largas, si no lo vas a usar yo lo deshabilitaría.

Una opción algo mas avanzada es deshabilitar el DHCP en el router y asignar IPs estáticas a los clientes wireless, esto ofrece algo más de seguridad ya que usando DHCP estamos dando información extra. Luego debemos asegurarnos de usar las ip's correctas en cada estación, estas no deben repetirse


Ejemplo de configuración de IP estatica de una estación:


Algún mecanismo de seguridad


Si usamois IP estatica en los clientes podemos asegurar mas si nuestro router tiene firewall como sería netfilter, podemos bloquear los accesos con otras IPs, por ejemplo, si asignamos la IP 10.0.0.2 y el interfaz wireless es wlan0 sería ejecutar en el AP/Router:
iptables -I INPUT -i wlan0 ! -s 10.0.0.2 -j DROP

Para evitar técnicas de hacking MITM (Man In The Middle) o ARP Poisoning se recomienda usar asignaciones estáticas en la tabla ARP para fijar nuestro router y evitar que envenenen la cache (esta técnica funciona cuando el atacante esta conectado a la misma red wireless que tu). Suponiendo la IP 10.0.0.1 y la MAC 00:11:22:33:44:55 es la del router sería:
netsh interface ipv4 add neighbors "Interfaz" 10.0.0.1 00:11:22:33:44:55
En Linux/UNIX
arp -s 10.0.0.1 00:11:22:33:44:55
En MacOS:
arp -S 10.0.0.1 00:11:22:33:44:55
[update headline="Nombre de Interfaz"]El nombre de Interfaz lo podemos saber con el comando netsh interface ip show config[/update]

Cierto es que un usuario experimentado en redes y seguridad sabrá sortear muchos métodos de seguridad que hemos aplicado, por ejemplo, puede modificar su MAC por una que este en la lista de permitidas pero al menos se lo ponemos mas difícil :)

No hay comentarios:

Publicar un comentario