miércoles, 5 de mayo de 2010

Tutorial para proteger mas nuestra red wifi.

http://www.hostalalcazar.com/imagenes/wifi-logo.jpg

Aclaro: Este tutorial no lo hice yo lo saque de taringa!, probe crear la clave de encriptacion (WEP) y me funciono muy bien.
____________________________________________________________
Este tutorial esta echo sobre una Fonera a la que le han instalado el software DD-WRT y la han convertido en un perfecto Router el cual tiene prácticamente todas las últimas opciones en cuanto a la seguridad. Con esto les quiero decir que es muy posible que no encuentren alguna de estas opciones en los Routers ya que algunas solo se incluyen en los modelos bastante modernos. Como cliente para la configuración de la red voy a usar Linux Ubuntu 8.10.

No necesitan tener este Router, ni Ubuntu ya que con este articulo no especifico sobre ningun modelo de Router porque todos poseen un entorno de configuración diferente pero tienen más o menos las mismas opciones. Este artículo puede servirles para haceros una idea de lo que se puede configurar en un Router y en un ordenador respecto a la seguridad wireless.

Para comenzar vamos a arrancar (en mi caso) Linux Ubuntu e instalaremos algunos paquetes si es que no los tenemos ya instalados para que podamos usar claves de encriptación mas potentes que la WEP como por ejemplo WPA y WPA2. Para ello abriremos una Terminal desde el menú Aplicaciones -> Accesorios -> Terminal y teclearemos lo siguiente …

apt-get install wpagui wpasupplicant

Una vez instaladas estas herramientas abrimos un navegador e introducimos la dirección de nuestro Router o punto de acceso (AP) para poder modificar unas cuantas opciones. La dirección web con la que podéis acceder suele ser la http://192.168.1.1 (en mi caso es así) o http://192.168.0.1 … en Windows van a Ejecutar->(escriben) cmd -> ENTER
Les abre la consola de Comandos de Windows y tipean IPconfig y allí tendrán la dirección del Punto de Acceso.

MODIFICAR CLAVE DE ENCRIPTACIÓN

Una vez dentro del panel de control de nuestro Router vamos a buscar la opción donde podemos configurar la clave de encriptación para que podamos conectarnos a él. No puedo especificar donde se encuentran estas opciones ya que cada fabricante las pone a su gusto así que tendrán que buscarlas ustedes mismos pero no se preocupen que suelen estar en diferentes sitios pero viene siendo básicamente lo mismo.

En mi caso nos encontramos con esto …

Actualmente mi Router DD-WRT dispone de una clave de encriptación WEP de 128 bits compuesta por 26 caracteres hexadecimales y la voy a cambiar por una clave WPA2 personal de 8 a 63 caracteres alfanumericos y hasta 64 solo numericos. Introducimos el nuevo password que vamos a usar (preferentemente se intercalaran números y letras) y si nos deja elegir algoritmos WPA, WPA2 introducimos TKIP para complicar un poco mas las cosas …

Una vez que lo tengamos le damos a guardar y si estas conectado a tu Router vía wifi seguro que en segundos se te intentará reconectar pidiéndonos la nueva clave de encriptación …

Introducimos el nuevo password y listo !!

Con esto ya estaremos conectados a nuestro Router vía Wifi con una de las claves encriptadas mas potentes de hoy en día.

FILTRADO DE DIRECCIONES MAC

A continuación vamos a poner alguna traba más al atacante incluyendo un filtro MAC a nuestro Router donde le indicaremos solo las direcciones MAC que vamos a permitir conectarse a nuestro punto de acceso. Una dirección MAC es como un DNI que tiene cada tarjeta de red con el que podemos identificar el adaptador de red sin un numero IP especifico. Este método no es infalible ya que con algunos conocimientos podemos clonar la dirección MAC de otros dispositivos pero hay que tener en cuenta que el atacante tiene que saber como hacerlo así que hay vamos con la siguiente traba con la que se van a encontrar …

Antes de nada tenemos que saber cual es la dirección MAC de nuestra tarjeta de red Wifi para poderla incluir en la lista de direcciones MAC permitidas. Para esto abriremos una Terminal en el cliente con (Linux Ubuntu) y teclearemos: ifconfig

Mi tarjeta de red es detectada como ra0 …

Como ven en lo subrayado en naranja en la primera linea hay unos 12 caracteres seguido de (direcciónHW XX:XX:XX:XX:XX:XX ), tenemos que apuntarnos esa dirección de este ordenador y de todos los que queramos que se conecten a nuestro Router wifi ya que a continuación vamos a introducirle estas direcciones al Router para que solo de paso a estas y no a otras que no estén en la lista.

Accedemos a nuestro Router, en mi caso encuentro una pestaña que se llama por defecto (Flitro MAC) en sus Routers tienen que aparecer esta opción por algún otro sitio. La mayoría de los Routers dejan introducir una lista de direcciones MAC y después vos podés decirle si los de esa lista quieres que se conecten o no. En mi caso voy a usar dicha lista para que si puedan conectarse …

Introducimos las direcciones MAC de todos nuestros ordenadores con targetas de red Wifi …

Y guardamos la configuración para que los cambios surjan efecto. Ahora si la dirección MAC de la tarjeta de red del atacante no esta en la lista no podrá conectarse. Bueno en algunos Routers si que podrían conectarse pero no podrían navegar y con esto ya tenemos alguna traba mas.

Ocultación del SSID

Ahora lo que haremos es que nuestro Router no sea visible por otros clientes Wifi y así pasaremos mas desapercibidos. Para ello tenemos que buscar la opción SSID o en mi caso (Bradcast SSID Inalámbrico) …

Y lo desactivaremos. Con esto conseguimos que nadie pueda ver nuestro Router pero claro ahora tendremos que poder conectarnos nosotros mismos. De momento se desconecta la red inalámbrica. Ahora lo que necesitamos hacer desde el cliente es conectarnos a una red inalámbrica oculta. Si hacemos click sobre el icono de red veremos al final de la lista de puntos de acceso una opción que dice (Conectar a otra red inalámbrica oculta) …

Pinchamos sobre la opción y veremos la siguiente ventana …

Ahora tenemos que introducirle el nombre que tiene nuestro Router (SSID) para que pueda encontrarlo y en seguridad inalámbrica marcaremos la opción (WPA y WPA2 personal). Seguidamente se mostrará una nueva casilla para introducir el password. Se lo introducimos, pulsamos el botón (Conectar) y listo …

CAMBIANDO IPs POR DEFECTO

Esto puede poner a nuestro atacante las cosas aun mas difíciles ya que tendrá que averiguar cual es el rango de IP privada que usamos. Los rangos de IPs privadas que se usan generalmente son las de 192.168.x.x. Por norma la primera Ip privada de ese rango es la que lleva el router para localizarlo fácilmente en la red. Si el atacante le pusiera a su tarjeta de red una IP de este rango posiblemente esta traba no serviría para nada pero antes de que esto pase podríamos complicarle las cosas aun mas cambiando la IP por defecto del Router 192.168.0.1 por ejemplo por otra con otro numero algo mas extraño por ejemplo 192.168.0.47. Si aun queremos complicarlo aún más podríamos cambiar no solo la IP interna que por defecto nos trae el Router si no que podríamos cambiarla por otra de otro rango totalmente diferentes como por ejemplo las 172.X.X.X o 10.X.X.X. Al cambiar todo el rango todas las ips que se conecten a ese Router deberán cambiarse al mismo rango para que puedan reconocerse. No podemos tener tangos IP diferentes conectados a nuestra red de area local. Si uno es 192.168.0.47 los demás serán 192.168.0.48 y así sucesivamente.

CAMBIANDO PASSWORD

Una de las cosas fundamentales que hay que cambiar nada mas llegar a nuestras manos un Router Wifi no es nada mas ni nada menos que el password de acceso al terminal de configuración que viene por defecto. Si dejamos esto por defecto es posible que si alguien consigue conectarse a nuestra red posiblemente podrá acceder al panel de configuración del Router y allí hacerse con el control del mismo. Esto es una de las cosas que muchos pasan por algo pero os aseguro que es una de las primeras cosas que uno hace cuando se conecta a una red ajena. Así que buscad la opción para cambiar el password de administrador del Router y cambiarla por una que solo vosotros sepais así evitaremos el tener que resetearlo y volver a configurarlo desde cero una vez pueda haber sido manipulado por un posible atacante.

De momento ya tenemos una clave de encriptación WPA2 Personal + Flitro MAC + Broadcast SSID Oculta, hemos cambiado el password de acceso al Router y también hemos cambiado la Ip por defecto.

DESACTIVANDO ASIGNACIÓN DE IPs AUTOMATICA CON DHCP

Para finalizar este Post sobre seguridad Wireless voy a desactivar el servidor DHCP que nos proporciona una IP automáticamente cuando nos conectamos al Router. Esto puede ser un poco desconcertante para los mas novatos ya que consiguen el password pero el Router no les asigna una IP y si además como anteriormente expliqué le cambiamos el rango IP puede volverse un poco loco buscando el rango que tiene nuestra red y despues la IP del Router para usarlo como puerta de enlace.

Si desactivamos la opción DHCP en nuestro Router ya no se nos asignará automaticamente una IP por lo que debemos introducir una estática a nuestros ordenadores clientes con el mismo rango de IP que le dimos al Router. Metodos para cambiar la IP de nuestra tarjeta de red a una estatica hay varios para Linux Debian y para Linux Ubuntu pero sea cual sea el metodo que usen recuerden que tan sólo puede cambiar las IP de una máquina a otra conectada a la red en el último número. Han habido veces que he llegado a una red y me he encontrado unas máquinas con 192.168.0.X y otras con 192.168.1.X puede ser confuso localizar el error cuando hay muchos equipos conectados y si hacemos las cosas bien desde el principio evitaremos Dolores de cabeza.
Publicado por en No hay comentarios:
Suscribirse a: Comentarios (Atom)