Mejorar la seguridad de una red Wifi


Actualmente el uso de redes Wireless (Wifi o WLAN) es bastante frecuente a pesar de que tienen sus inconvenientes, entre ellos:

  • Menor rendimiento de la red, una red con Fast Ethernet soporta hasta 100 Mbps (Unos 12,5 MB/seg), mientras que una red Wifi 11g soporta hasta 54 Mbps (Unos 6,75 MB/seg), por otra parte una red Gigabit Ethernet soporta hasta 1.000 Mbps (Unos 125 MB/seg) y el estándar Wifi más actual 11n soporta hasta 600 Mbps (Unos 75 MB/seg), aunque muchos productos Wifi 11n actuales pertenecen al “Borrador” 11n Draft que soporta hasta 300 Mbps (Unos 37,5 MB/seg), como se comenta en esta entrada: Wifi 11n será un estándar en Octubre de 2.009 ).
  • Deficiencias en la cobertura de la red Wifi, que en caso de haberlas suelen arreglarse mejorando las potencia de las antenas Wifi (En esta entrada: Guía para comprar antenas Wifi hay más información); o bien instalado mayor cantidad de puntos de acceso que amplien la cobertura de la red Wifi.
  • Menor seguridad, una red Wifi debe estar cifrada como mínimo con una clave WEP (Actualmente este tipo de claves Wifi se pueden romper y dar acceso a la red local), por lo que lo más aconsejable es que la clave Wifi sea al menos WPA-AES (WPA-TKIP se ha conseguido romper recientemente como se comento en esta entrada: Contraseñas Wifi con WPA-TKIP crackeadas), aunque para ello es necesario que todos los componentes de la red (Router, Puntos de Acceso, Tarjetas inlámbricas,…) sean compatibles con dicho sistema de encriptación.

Para mejorar el nivel de seguridad de una red Wifi (Red Inalámbrica o WLAN) de pequeño tamaño (Ej: Red Wifi doméstica o de una pequeña oficina), se pueden llevar a cabo varias acciones:

  1. Cambiar el usuario (User) y clave (Password) que tiene nuestro router por defecto, ya que los router que entregan los ISP (Telefónica, Orange, Jazztel,…) tienen usuarios y claves bastante conocidos (En esta entrada: Crear contraseñas/claves (Password) seguras se comentan algunos métodos para mejorar la seguridad de las contraseñas).
  2. Cambiar la IP privada del router que tiene por defecto (Suele ser 192.168.1.1) por otra IP privada diferente (Ej: 192.168.2.1), hay tres clases de direcciones IP privadas (Sólo son válidas para redes locales, no son sirven para Internet, es decir no son direcciones IP públicas, porque a cada host (Equipo, Router,…) de internet tiene que tener una dirección IP única):
    1. Clase A,desde la dirección IP: 10.0.0.0 hasta 10.255.255.255 (Se utilizan en redes locales privadas de gran tamaño).
    2. Clase B, desde la dirección IP: 172.16.0.0 hasta 172.31.0.0 (Se usan en redes locales privadas de tamaño medio).
    3. Clase C, desde la dirección IP:  192.168.0.0 hasta 192.168.255.0 (Se emplean en redes locales privadas pequeñas).
  3. Desactivar el Servidor DHCP del Router, esto nos obliga a configurar datos de Red (Dirección IP, Máscara de Subred, Puerta de Enlace y DNS) de los equipos y dispositivos (Ej: Impresora de Red, NAS,…) de forma manual, con esto evitamos que un usuario pueda obtener los datos de configuración de red (Dirección IP, Máscara de Subred, Puerta de Enlace y DNS) de forma automática, es decir con DHCP habilitado el router asigna los datos de configuración de red a cada host que se conecte a él, por lo que si por ejemplo un usuario malintencionado conociera nuestra clave Wifi con DHCP activado podría conectarse sin muchos problemas a nuestra red. Además si necesitamos abrir puertos para aplicaciones es mejor tener direcciones IP privadas fijas ya que asi no se asignan de forma automática copmo hace DHCP. Una alternativa puede ser mantener el servidor DHCP con las IP “minimas” que necesitemos por ejemplo si tenemos solo 10 equipos en nuestra red limitar el servidor DHCP a una máximo de 10 equipos o como mucho unos 11 ó 12 equipos de esta forma evitamos que el servidor DHCP asigne IPs a otros equipos que no pertenezcan a nuestra red pero que si tengan los datos necesarios (Este sistema tiene un “problema” ya que si por ejemplo tenemos 10 equipos y el servidor DHCP limitado por ejemplo a 10 equipo si por alguna razon tenemos uno o mas equipos apagados las direcciones IP que tiene el servidor DHCP están disponibles para cualquier equipo que se conecte a nuestra red por lo que reducir el numero de direcciones IP del servidor DHCP no es una gran mejora de seguridad en una red pequeña, en redes grandes suele usarse DHCP apoyado por otras medidas de seguridad como Firewall por hardware. Asi mismo si mantenemos el servidor DHCP posiblemente nos interese reservar direcciones IP a ciertos equipos de nuestra Red (Ej. Servidores, NAS, Impresoras de red,…) por lo que sería necesario reservar dichas IP para estos dispositivos.
  4. Deshabilitar puertos abiertos conocidos que no utilizamos para internet, como por ejemplo el Puerto 80 (Servidor Web), Puerto 21 (FTP),… Evidentemente para nuestra red local (LAN) si podemos dejarlos abiertos, aunque igualmente pueden cerrarse si no se van a utilizar.
  5. Cambiar el nombre SSID (Service Set IDentifier) de nuestra Red Wifi para no dar pistas sobre el tipo de router que tenemos, es muy habitual que los router de los ISP (Telefonica, Orange,…) tengan como nombre SSID el del propio ISP o algún nombre común (Por ejemplo los típicos WLAN_xx de Telefónica), lo cual proporciona información útil a un posible atacante.
  6. Ocultar el nombre SSID de nuestra Red Wifi, de esta forma evitamos que sea visible para los demás dificultando algo más su detección.
  7. Cambiar el cifrado por defecto que suele ser WEP (Wired Equivalent Privacy), por cifrado WPA/WPA2 (Wi-Fi Protected Access); preferentemente WPA-AES que actualmente es el más seguro, ya que tanto WEP como WPA-TKIP han sido crackeados, y por lo tanto son poco seguros; aunque para poder usar WPA-AES es necesario que toda nuestra Red Wifi (Router, Punto de acceso, Tarjetas inlámbricas, Consolas,…) soporte dicho sistema de encriptación. Actualmente el sistema RADIUS (Remote Authentication Dial-In User Server, Servicio de Usuario de Acceso Telefónico de Autenticación Remota) es el más seguro pero suele utilizarse en entornos empresariales.
  8. Cambiar las claves Wifi con cierta frecuencia, puede ayudar a aumentar el nivel de seguridad de la Red.
  9. Filtrar las direcciones MAC (Media Access Control), cada dispositivo de red tiene una dirección MAC única, por lo tanto si limitamos el acceso a nuestros dispositivos, en teoría no podrían conectarse otros dispositivos que no estuviesen en el filtro MAC, realmente esto se puede “saltar” pero aumenta la dificultad de poder atacar un red Wifi.
  10. Si es posible controlar la intensidad de la señal Wifi que emite el router lo mejor es dejarla al mínimo que nos permita tener cobertura Wifi en la zona que deseamos, por ejemplo si el nivel de potencia se establece del 1 al 5 y por defecto utiliza el 5 (Máxima potencia) y la señal llega hasta la casa del vecino, lo normal sería ir reduciendo el nivel de potencia para que se limite a nuestra casa, de esta forma dificultamos la posibilidad de que alguien se “enganche” a nuestra red Wifi.
  11. Limitar el número máximo de dispositivos Wifi conectados simultáneamente si es posible, de esta forma se puede evitar que se conecten más usuarios de los debidos, por ejemplo si tenemos un único dispositivo Wifi (Ej: Portátil o Netbook) si limitamos la conexión Wifi a un dispositivo, reduciriamos la posibilidad de que un intruso se conectase a nuestra red Wifi.
  12. En caso de no utilizar el Router Wifi/Punto de Acceso durante mucho tiempo lo mejor es desactivar el Wifi o apagar directamente el router, en caso de desactivar y/o apagar el router no borra los valores establecidos ya que estos se guardan en una memoria no volátil.

Una vez finalizada la configuración es aconsejable hacer una copia de seguridad de esta (Si el router lo permite), de esta forma podemos recuperar esta configuración en caso de que tengamos que resetear el router a los valores de fábrica, sin tener que volver a reconfigurar el router desde cero.

Hay que tener en cuenta que algunas de estas acciones se pueden hacer también en redes Ethernet (Cableadas) para mejorar la seguridad de las mismas, aunque en este caso para que alguien se enganche a una red ethernet (Sin ser de forma remota, es decir de forma “directa”) haría conectar un cable de red a nuestro router cosa bastante improbable ya que los router suelen estar dentro de las viviendas/empresas.

Se puede encontrar más información en:

Una respuesta

  1. […] con cable, ya que las redes Wifi sin cifrar permiten el acceso a cualquier usuario (En esta entrada del Blog se comentan algunas medidas de seguridad para aplicar a una red Wifi), mientras que las redes Wifi […]

Los comentarios están cerrados.

A %d blogueros les gusta esto: