Proteger el WiFi. Como asegurar nuestra conexion inalámbrica y evitar que otros se conecten

Picture 6

foto: laughing squid 

Es sinceramente increíble la cantidad de redes inalámbricas desprotegidas que uno puede encontrar con tan solo subir al auto y hacer paradas al azar (también conocido como War Driving). También resulta alarmante ver cómo la mayoría de las conexiones supuestamente protegidas, sufren de dos problemas: están con el password por defecto (1234, admin, o combinaciones igual de simples), o están con encriptación WEP, que puede ser crackeada en cuestión de minutos con conocimientos básicos y una simple laptop.

Lo que veremos en este artículo el día de hoy, es algo bastante sencillo,  pero que hará que las oportunidades de que cualquier persona se meta en nuestra red WiFi sin ninguna invitación, sean mínimas.

 

Paso 0: Lo que no sirve

Antes de pasar al tutorial, veremos algunas cosas que supuestamente deberían asegurar nuestra red casera, pero que no lo hacen:

Ocultar el SSID: El SSID, o en términos simples, el nombre de nuestra red inalámbrica y que pueden cambiar por lo que sea, está ahí sólo para poder identificar una red de otra. Todos los routers ofrecen la posibilidad de ocultar el SSID, pero esto no trae ningún beneficio en cuanto a la seguridad. Claro, no aparecerá en una búsqueda normal, pero basta con utilizar un programa que escuche a la red de modo pasivo (es decir, que monitoree las transmisiones inalámbricas), para poder descubrir, en cuestión de segundos, nuestra Red.

Picture 8

Filtrar direcciones MAC:  Esto también puede sonar como una buena alternativa, pero no lo es. Lo que esta opción hace, es sólo permitir acceso al WiFi a los dispositivos que hemos registrado manualmente  – cada dispositivo tiene una dirección MAC que lo identifica, como una suerte de número de serie, o documento de identidad. Suena genial, no? El problema es que, al igual que en el caso anterior, cualquier programa puede dar un número de serie falso, o siguiendo la analogía, mostrar un documento falso, y así le damos libre acceso a nuestra Red, sin peticiones de passwords, ni nada.

 

Paso 1: Cambiar el password del router

Antes de cambiar nuestro router de WEP a WPA 2, no es mala idea, primero, cambiar el password de nuestro router.

Lo primero que haremos, es entrar en la configuración de nuestro Router. Esto varía entre diferentes marcas, así que tendrán que consultar el manual de usuario (si han perdido el manuel y quieren una copia digital, no se olviden de buscar en Manuals Online).

Pero usualmente, pueden conseguir entrar en el panel, escribiendo: 192.168.1.1 o 192.168.0.1 en cualquier navegador web (como Firefox, o Internet Explorer). El nombre de usuario y contraseña también lo encontrarán en el manual. En caso de que no funcionen, lo mejor que pueden hacer es contactar con la compañía proveedora de internet y pedirle estos datos (pues pueden haberlo modificado)

Picture 7

Una vez dentro, tendremos que buscar la opción que nos permite cambiar el Password del panel de control del router:

Web Configurator

No se olviden de apuntarlo en algún lugar, porque una vez cambiado, si no lo conocemos, no podremos acceder al panel de configuración! (y nos veremos obligados a hacer resetar el router a 0)

 

Paso 2: Cambiar el modo de seguridad / Añadir un password seguro

A pesar de haber sido reemplazado hace bastante tiempo por sus problemas de seguridad y vulerabilidad, el protocolo WEP sigue siendo bastante común en la mayoría de redes caseras. Definitivamente es mejor que nada y mantendrá al menos a las personas comunes fuera de nuestra red.

Pero es como si simplemente, cerráramos la puerta de nuestra casa, sin llave, anunciando a cualquiera que pase por casa “hey, está cerrado, así que no entren”. Pero cualquier persona con siquiera un ligero interés en entrar simplemente puede acercarse a la puerta, y abrirla sin mucha dificultad. De hecho, pronto veremos un tutorial sobre cómo crackear redes WEP, y se sorprenderán con lo simple (y rápido) que podemos obtener un password / usuario de redes en WEP

El otro método de seguridad, WPA / WPA 2, por otro lado, es muchísimo más seguro. No es 100% efectivo, pero sí muchísimo más difícil de crackear que el anterior standard.

Así que nuestra primera prioridad, es la de cambiar nuestra seguridad del Wifi de ninguna / WEP a WPA o WPA 2.

Esta opción también varía de router a router, pero generalmente lo encontrarán bajo una opción que se llame Wireless, o Wireless Configurations, o similares:

Web Configurator-1

TP-LINK

Dentro de las opciones disponibles del router, encontrarán también algo llamado Security Option, o Encryption Type, 802.1x/WPA o similares. Aquí, tenemos que elegir WPA2-PSK o, de no estar disponible, WPA-PSK.

WPA2-PSK

TP-LINK-1

Nota: Bajo WPA2, verán la opción de cambiar el tipo de encriptación. Utilizar AES (en lugar de TKIP), es mucho más seguro.

 

WPA-PSK

Web Configurator-2 

Por qué el PSK? Porque el otro modo de WPA, el Enterprise, requiere el uso de un server RADIUS (Remote Authentication Dial In User Service) aparte que, seguramente, no podremos implementar, sobre todo si se trata de una red casera. Por lo tanto, vamos a depender del modo de encriptación más seguro de WPA / WPA 2, además del siguiente paso, un Passkey o password de la red WiFi fuerte.

 

Paso 3: Contraseña de la Red

Llegamos al último paso!

Para terminar de asegurar nuestra red, además de un buen tipo de encriptación, es necesario un password relativamente fuerte para evitar los ataques de “fuerza bruta”, que intentan adivinar el password probando millones de combinaciones.

Esto se consigue, principalmente, mezclando diferentes tipos de caracteres y evitando usar palabras disponibles en diccionarios (o palabras que existen).

En el 2006, vimos una interesante manera de cómo generar contraseñas seguras, donde básicamente, se sugiere utilizar al menos uno de cada fila de estos caracteres:

0123456789
abcdefghijklmnopqrstuvwxyz
ABCDEFGHIJKLMNOPQRSTUVWXYZ
@#$%^&*()-_+=
~`[]{}|\:;’<>,.?/

Y combinarlos para crear algo como 0aG8$.?&bd.

Con flojera? Prueben SafePasswd, que también puede generar passwords seguros

Picture 9

Por supuesto, también tendrán que recordarlos, así que no es mala idea anotarlo en una pequeña tira, y pegarlo debajo del router, además de tenerlo apuntado en un programa como LastPass.

 

Conclusión

Y ahí lo tienen! Tres simples pasos que harán de nuestra red WiFi, una con una seguridad a miles de años luz que la standard.  Así que si sospechan que alguien está utilizando el WiFi sin nuestro permiso, no se olviden de implementar estos tips!

About Arturo Goga

Hey! Mi nombre es Arturo Goga. Si el artículo te agrada, no olvides suscribirte a la página. Puedes leer más en Sobre el autor, o bien ponerte en contacto conmigo. Aquí mi perfil en Google+ También puedes suscribirte en Facebook!

  • http://viperhoot.com viperhoot

    Espero pronto publiques el tutorial sobre cómo crackear redes WEP.
    juas juas!!!

    • http://www.arturogoga.com Arturo

      Si, ese se viene después :)

  • Juan

    Esta bueno el tutorial para quienes desconozcan el tema, pero te dire Arturo que actualmente los carriers aplican este metodo para sus clientes, hace poco hice un cambio de router y ellos usaron este metodo para la seguridad, a unos amigos tambien me han comentado que asi es la seguridad tambien de sus routers, es muy util para antiguos clientes que aun siguen con sus routewrs antiguos y podrian cambiarlo a estas opciones :)

  • http://keitakayama.blogspot.com/ Kei

    Arturo, ¿Cómo puedo saber quien se conecta a mi red wifi?. Mi red esta protegida por la contraseña que me dieron en telmex. Pero aveces siento que esta cosa no es segura.

  • http://www.arturogoga.com Arturo

    @Kei
    Dentro de la configuración del router, deberías encontrar una opción llamada MAC List, o Association List, o algo por el estilo, que te dará una lista de todos los dispositivos conectados actualmente al router vía Wi-Fi.

  • http://keitakayama.blogspot.com/ Kei

    Arturo, no sé ni como entrar a lo que me has dicho. Lo que sucede es que cuando los de Telmex vinieron a instalarlo yo estaba en colegio, y cuando regresé me encontre con el router ya instalado. Nisiquiera tengo el CD del driver.

  • Pingback: Resumen diario del 14 August 2009 – Recórcholis.net

  • Camelpx

    Hola Arturo!!!

    Felicitaciones por la web cada vez mejor.

    Una Consulta, hay manera de saber quienes se estan colgando de mi red wifi

  • Roydan

    Es cierto con wifislax se obtienen las claves wep en menos de 10 minutos, y si hay filtrado mac. tambien indica.
    Sin conocimientos avanzados incluso. en youtube hay algunos tutoriales sencillos.
    La wpa tambien se puede pero es mas dificil, se necesitan diccionarios grandes. que estan en la web. pero es mas complicado.
    suerte con tus tutoriales

  • http://yobelcito-com.blogspot.com/ Yobelcito

    Hola disculpa que te moleste con mis preguntas tontas

    pero tengo algunas dudas este tuto es para todo los rauter inalambricos?

    en el caso de telmex y su internet con antena como hago para que no me roben internet pero el rauter no es wifi es con cable pero si tiene antena telmex que se hace en este caso?

    y mi ultima pregunta que me he echo siempre
    asi como un hardware tiene su programa para controlarlo un rauter sea inalambrico o cableado tambien tiene su programa?? o solo es conectar y nada mas

  • http://www.magma-creations.com Francisco Diaz M.

    Tambien estare esperando el post de crackear redes, ya que olvide el pass para entrar al config de mi router y no quiero resetearlo, sabes de alguna pagina donde den password por default para entrar a los routers??

    Saludos.

  • EpsI

    Holas,

    El articulo esta bacan, son cosas esenciales y/o de sentido comun que alguien que decide volverse “inalambrico” deberia leer (de entradita nomas) antes de implementar un WiFi AP/Router

    Quisiera acotar algunas cosillas sobre lo que Arturo postea:

    1. WPA ya es crakeable (via Brute force attack offline)
    No interesa el algoritmo de proteccion de se utilice, siempre se puede enganiar al router e injectar trafico para que el cliente recopile N data y, posteriormente off-line se aplique el merecido brute-force.
    Asi que, si tu cliente lo soporta, WPA2 es la alternativa para home-users que lindan con la paranoia :)

    2. Algo recomendable (que muy poca gente lo hace) es limitar el rango de la red WiFi. Osea, evitar que la senial se expanda mas de lo necesario.
    La gran mayoria de WiFi routers poseen una opcion (algo tecnica) que permiten reducir la potencia de energia hacia las antenas y consecuentemente reducir el rango de covertura.
    Tambien, existe algo que se denomina, Wifi Site-Survey, consiste en recorrer el perimetro de una zona e ir mapeando (atraves de software/hardware) para darse una idea que tan potente es la senial dentro del perimetro medido.
    El Site-Survey por lo general se ejecuta en implementaciones Enterprise pero en los ultimos tiempos se recomienda para poder evitar interferencias (con tus vecinos), accurate wifi range (medida aproximada de la senial) y/o evitar conflictos al momento de roaming – ojo, todo esto a nivel casero -
    Asi que, pueden experimentar bajandose el software de Ekahau
    http://www.ekahau.com/products/heatmapper/overview.html

    Espero con esto poder compartido algo de mis experiencias en lo que se refiere a Wifi

    Saludos,

    pd: Arturo no te malees y deja pasar mi post ps

  • Pingback: Linkos postvacacional | Entre machacas y becarios

  • EpsI
  • Pingback: Todo lo que necesitas saber sobre Wi Fi « marrufo9

  • Euge

    Hola!, me sirvio tu explicacion, pero no encuentro como solucionar mi problema.
    Compre el router Nexxt Nebula 150, y no tuve problemas para conectar una notebook a internet, pero cuando quiero conectar una segunda notebook no me deja, se que puede ser algo muy simple, pero no lo se, desde muy agradecida por lo que me puedas aportar.
    saludos!!

  • OmAr

    Me sIrBiO mUcHo gRaCiAsS
    eXeLeNnTe

  • http://gravatar.com/lightraito lightraito

    Hola, gracias por los Tips; mi consulta es: en mi Router también tengo la opción para limitar el radio de alcance de la señal de mi wi fi, eso servirá de algo, o de todas maneras hay antenas que jalan mi señal, por ejemplo antes estaba al 100 % ahora lo puse al 10%, gracias

  • http://pepepepepe.com pxtxr

    jajajajaja a mi vecino ya le vole la seguridad y cambio todo eso y despues de todo todavia le logre volar la otra contrasela que tenia