Cómo securizar la red inalámbrica de casa

Me he mudado hace relativamente poco de casa (cualquiera que se haya enfrentado a una mudanza, sabe que todo es relativo :-|), y el panorama en esas fechas estuvo movido respecto a las configuraciones por defecto de las redes inalámbricas que instalan algunos operadores (Telefónica y Jazztel). En la lista de correo de la rootedcon hubo bastante movimiento a este respecto, pero eso da para otro artículo, ya que el debate fue por otros derroteros. Y, finalmente, hace bien poco sale la noticia de que ha caído otro de los router que usa Movistar.

No voy a hablar en esta ocasión de TKIP, AES, VI, MIC, TSC, Beacon frames… ni de los métodos usados para averiguar la contraseña por defecto de los routers. Lo que aquí quiero comentar, como primer artículo, son los diferentes pasos que he seguido para configurar la red inalámbrica de mi casa. No es perfecto, hay opciones mejores que seguro desconozco, así que estoy abierto a comentarios, posibles mejoras y demás…

Ya hay varias guías y blogs que han hablado sobre este tema, por ejemplo del maligno, Inteco redactó una guía y muchos más ejemplos de los que google, bing o vuestro buscador favorito os dará buena cuenta.

En la guía de Inteco, es curioso un punto, pues lo que hacen es preguntar al lector si es realmente necesaria la wifi en su domicilio. Sinceramente, en algunas casas no, ya que sólo hay un equipo, es un sobremesa o un portátil que no se mueve nunca de su sitio, con el router o modem justo al lado, pero sí es cierto que los dispositivos con conectividad inalámbrica nos rodean, están en todos sitios, portátiles, netbooks, tablets, smartphones, consolas, por lo que suele ser útil tenerla. En mi caso, entre los móviles, consolas y portátiles tengo 5 direcciones IP y… ¡¡Sólo somos dos!! Si te paras a pensarlo es una locura, la verdad…

En mi caso particular, tengo un router Comtrend ¿Os suena? 🙂 y las opciones que he tocado son las siguientes:

  • Claves acceso router. Es lo primero que se debería hacer, cambiar el usuario y la contraseña por defecto. Lo primero, en ocasiones no te deja, depende de fabricante y firmware instalado, pero lo segundo sí. Al ser un equipo de casa con un usuario es suficiente.

Cambio usuario y contraseña

  • Controlar los diferentes métodos de acceso (telnet, web, ssh…). Hay que ser consciente de qué forma se puede acceder y controlarlas. Si no lo necesitas, deshabilitar todo acceso desde la WAN no debe suponer un problema. Para la red interna, deja los que creas oportunos.

Deshabilitar servicios

  • Restringir el acceso al panel de control por la IP pública y la wifi. Otra opción básica. Son accesos difícilmente controlables por lo que mejor dejarlos deshabilitados. Si tienes problemas de conexión y llamas a tu proveedor, es posible que necesites habilitar alguno de los servicios, para que ellos puedan hacer algún tipo de chequeo en remoto sobre el equipo, díselo al técnico para que te indique qué necesita. Lo más seguro es que no sepa de qué le hablas y te diga que habilites todos :-/ La captura anterior es aplicable a los servicios y la siguiente a la red desde la que se accede:

Deshabilitar acceso desde diferentes redes

Vale, seguro que alguno está pensando después de ver la captura ¿Y por qué no limita el acceso al panel desde una única dirección IP? Hombre ¿Debo desconfiar de los dispositivos que he configurado manualmente para que se conecten a la red más teniendo en cuenta que el acceso sólo será por la red cableada? Pero es otra opción que se puede tocar…

  • Seguridad WPA2-PSK con clave lo más larga posible. Si la clave es 1234565789 de poco valdrá todo lo que se haga después. AES se selecciona por defecto al usar WPA2. En mi caso, la clave está compuesta por 63 caracteres creados a partir de un generador aleatorio. ¿Exagerado? Seguro, decídselo a mi novia, pero bueno, es lo que hay. Si de todas formas no voy a saber la contraseña ¿Qué más me da ponerla de 30 o de 60 caracteres? 🙂

Configuración Wireless

  • ¿Dar la contraseña de la wifi? Nunca, cualquiera al que se la des podrá esnifar tu tráfico, paranoia 100% 🙂 Para esos casos en que sea necesario, mejor tener una red para los invitados que quieran acceso. Le das un nombre, se configuran los parámetros que quieras, como en la anterior captura y listo. Dos redes para diferentes usos.

Configuración Wireless secundaria

  • Bajar la potencia de emisión del AP. Para una casa no suele ser necesario la máxima potencia. No son demasiados los que proporcinan esta opción, pero si está disponible, para qué va estar publicada tu wifi en la calle cuando sólo la vas a usar en casa.

Configuración avanzada

  • Limitar el número máximo de clientes conectados. En mi caso, son 12, me he curado en salud, aunque por lo general no son más de 5, si viene gente a casa demás, me evito tener que modificarlo cada vez que se da el caso. En la captura anterior se ve donde configurarlo.
  • Averigua los canales de tus vecinos y elige uno lo más alejado posible de éstos. Con esto se evita el solapamiento de las redes, si queréis más información al respecto podéis echar un vistazo a este articulo. La anterior captura nos sirve. Hay muchas aplicaciones para escanear, sólo hay que buscar un poco en vuestro buscador favorito.
  • Modificar la red por defecto. ¿Una red /24? ¿Para qué? Por defecto, casi todos los routers (todos con los que yo he trabajado) traen una red /24 por defecto. Esto permite hasta 254 equipos conectados a la red… ¿Es necesario? Una /29 o /28 será más que suficiente para un entorno casero. Con 8 suele ser más que de sobra para ordenador/es, móviles, consolas y poco más. En mi caso, para ser coherente con el límite de dispositivos conectados que configuré antes, es una /28, permite 14 direcciones IP útiles (la primera ip define la red y la última la dirección de broadcast).

Datos red

  • Definición de una red sin DHCP. ¿DHCP para qué? ¿Cuántos dispositivos se conectan que no los podemos controlar? Esto está relacionado directamente con el punto anterior… Para 8 equipos que va a haber en la red, no es necesario el demonio DHCP funcionando. Yo, como veis, sí tengo un pequeño rango, pero ya veré si pongo la razón en otro artículo 😉
  • Desactivar UPnP (Universal Plug and Play) en el router. Algunos programas peer to peer, juegos e incluso Messenger, usan este protocolo para reconfigurar el desvío de puertos del router hacia nuestro equipo. Una vez un puerto del equipo es visto desde Internet, ya es susceptible de ser atacado.

Bueno, pues creo que con esto es suficiente, son pasos sencillos. Lo sé, es matar moscas a cañonazos en algunos casos y algunas opciones no son de seguridad propieamente dicha, pero bueno, he creído oportuno reflejarlo aquí.

Saludos

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s