El otro día veíamos cómo conectarse con redes wifi WPA con WPS activado y vulnerable. Hoy vamos a estudiar cómo mejorar la seguridad de nuestra propia red wifi siguiendo unos pasos básicos que, además, nos permitirán aprender ciertos conceptos elementales.

Este tutorial es de nivel básico apto para cualquier usuario con una mínima habilidad e ideal para pequeñas empresas que buscan mejorar sus sistemas.

Empezando…

Puesto que muchos routers domésticos y en oficinas incluyen la función WPS (WI-FI Protected Setup), iniciálmente diseñado para la conexión fácil de dispositivos a la red wifi mediante pulsación de un botón o introduciendo un número PIN; se consiguió averiguar el modo de funcionamiento de dicho sistema hasta descubrir que lo componían dos bloques de números de 4 cifras cada uno y que los routers no limitaban el número de intentos de acceso.

Así, con herramientas como “Reaver” de Craig Heffner que ya explicábamos en el tutorial anterior, podemos pedirle al sistema que vaya probando números hasta encontrar el adecuado.

Paso 1. Acceder a la configuración del router

En primer lugar, es conveniente acceder a la configuración del router. Este punto es sencillo si conoces la dirección IP del mismo. En caso contrario, inicia la línea de comandos y ejecuta “ipconfig /all”:

Iniciar CMD

Iniciar línea de comandos windows desde la barra Cortana

Os aparecerá una pantalla en negro con un cursor que espera la introducción de comandos. Escribes “ipconfig /all” y el sistema te mostrará un resultado similar a la siguiente captura:

ipconfig /all ejecutado desde la línea de comandos de Windows 10

ipconfig /all ejecutado desde la línea de comandos de Windows 10

Localiza la “puerta de enlace” y toma nota de los números indicados. Esa es la dirección IP de tu router.

Ahora puedes abrir un navegador de tu gusto (Chrome, Firefox, IExplorer, Midori, Lynx…) e insertar la dirección IP en la barra de navegación:

acceso-al-router-navegador-ip-informatica-coslada

Paso 2. Navegar por los menús del router.

En este punto no podremos mostraros capturas porque cada modelo de router tiene sus propias opciones pero sí podremos indicaros, de modo resumido, cuáles son las modificaciones que deberemos realizar para mejorar la seguridad en el acceso WIFI.

En primer lugar, debemos localizar las opciones “WIFI” del router. Allí debería encontrarse todo lo relacionado con las opciones de seguridad tales como SSID, cambio de claves y demás. Las operaciones que debéis ejecutar son:

  • Cambiar la clave de administración por defecto del router. Ésto es un paso fundamental, básico e imprescindible. No puede ser que vuestro router sea accesible con el usuario “admin” con clave “1234”. Si alguien consiguiera conectarse a vuestra red wifi, tendría acceso a las opciones del router.
  • Comprobar si estáis usando WEP o WPA. En caso de que sigáis con WEP, es básico pasar a WPA2-PSK con TKIP+AES (tipo de cifrado). No activéis el modo “empresarial” ya que éste es el que se utiliza para ampliar la seguridad utilizando un servidor “Radius”. Si queréis saber algo más, podéis echar un vistazo al videotutorial que os explica cómo configurar un RADIUS.
  • Cambiar la clave WIFI preinstalada. Aunque es difícil que obtengan la clave, es importante utilizar una clave personal siguiendo estos consejos: No usar información personal; insertar al menos 8 cifras con mayúsculas, minúsculas y números. Podéis usar el “creador de claves” que tenemos aquí.
  • Cambiar el SSID o nombre de vuestro wifi. Incluso podríais impedir la emisión del nombre (desactivar broadcast del SSID). Desactivar la emisión puede conseguir que los profanos no disparen contra vuestra red, aunque es probable que atraiga a los más duchos por aquello del interés por lo oculto 😉
  • Si tenéis activada la asignación de IPs automáticas (DHCP), deberíais limitar el número de asignaciones a las necesarias en vuestra red. Por ejemplo, indicar un rango de 5 a 10 IPs para que el router asigne números hasta ese límite. Os basta con contar el número de dispositivos que queréis que se conecten: Teléfonos, tablets, portátiles, sobremesas… etc.
  • Desactivar el DHCP podría ser interesante, pero te obligaría a configurar IPs fijas en cada dispositivo.
  • Desactiva el WPS. Es probable que ni siquiera tengas constancia de que exista la opción del WPS así que, simplemente, elimínalo. Se está utilizando la vulnerabilidad del WPS actualmente tal y como explicábamos en el tutorial anterior.
  • Si tu router lo admite y necesitas WPS, limita el número de intentos fallidos. Esto hará que el “reaver” o el “wifite” interrumpan el ataque durante un tiempo determinado que implicaría aumentar la cantidad de horas que el atacante necesita para conectarse. Incluso, si lo admite, podrías bloquear la MAC del atacante lo que supondría que el tipo tendría que saber cómo cambiar la MAC (no es difícil, pero te quitas de en medio a los script-kiddies).
  • Filtrar por MAC podría ayudar a evitar que los desconocidos se conecten. Este filtrado hace que el router compruebe las direcciones físicas de los dispositivos contra su lista blanca. Si la MAC está en la lista, se le permitirá el acceso. El problema es que te obliga a saber las MACs de los dispositivos habituales y agregarlas a la lista blanca del router. Es una medida de seguridad que elimina también a los script-kiddies pero no a los más hábiles.

Conclusiones

Con estos pasos básicos y un poco de habilidad no sólo conseguiremos mejorar la seguridad sino, también, aprender un poco acerca del funcionamiento de las redes. Es importante aumentar el conocimiento debido a la cantidad de peligros a los que te enfrentas sólo por disponer de una conexión wifi. Recuerda que tu wifi está emitiendo en todas las direcciones (broadcast) y siempre está a la escucha, de tal modo que cualquier persona puede recibir y enviar paquetes.

Existen más opciones para aumentar la seguridad, pero no es este el tutorial ideal para explicarlas. Implica conocer un poco más la estructura y funcionamiento de las redes. Creo que, con los enlaces adicionales que tienes en el tutorial y un poco de ganas, podrías aprender mucho más.

Si consideras que necesitas alguna aclaración, no dudes en insertar un comentario 🙂

Las capturas utilizadas en este tutorial son propias, extraídas de una máquina virtual con Windows 10. El artículo se ha escrito de memoria, así que podría contener algún error o faltar algún asunto. Como siempre, podéis usarlo en vuestros trabajos pero siempre con licencia Creative Commons: Compartir-Igual-NoComercial-Mención. Nos basta con que digas de dónde has sacado la información o enlazar aquí.