Técnicas para proteger una red inalámbrica

Mayo 2nd, 2005

Se ha hecho muy frecuente, especialmente por la facilidad de uso e instalación y la gran cantidad de ofertas ofreciendo routers ADSL inalámbricos por parte de muchas operadoras, el uso una red inalámbrica por parte de particulares. Estas redes, muchas veces innecesarias puesto solo hay un ordenador conectado a ellas, suelen venir poco protegidas por defecto, por lo que un intruso lo tiene fácil para acceder a nuestra red y, como mínimo, obtener acceso gratuito a Internet a través de ellas.

Hay una serie de técnicas que nos permiten evitar estas situaciones:

  • No mostrar el SSID. El SSID es el nombre que utiliza el punto de acceso para identificarse ante los que se quieren conectar. Todos los puntos de acceso llevan uno por defecto que suele ser dependiente de la marca de este. Los más comunes son default, 3com, linksys,… Para evitar que alguien conozca el SSID debemos evitar que el punto de acceso lo vaya mostrando. Suele bastar con desactivar la opción “SSID Broadcast”. Es recomendable, también, cambiarlo y poner uno que solo nosotros conozcamos.
  • Filtrar direcciones MAC. Las direcciones MAC identifican a cada una de las tarjetas de red inalámbricas que se conectan al punto de acceso. Podemos configurar este último para que solo permita acceder a aquellas tarjetas que tienen un determinada dirección MAC, de forma que las que no esten autorizadas por nosotros no puedan conectarse a la red.
  • Utilizar cifrado. Como mínimo hay que activar WEP, pero este es un protocolo antiguo e inseguro por lo que es muy recomendable utilizar WPA si nuestro hardware lo permite. Esto permitirá que el tráfico que se envía entre las tarjetas y el punto de acceso viaje cifrado y que solo aquellos que conozcan las claves utilizadas puedan conectarse a la red.
  • Desactivar DHCP. El protocolo DHCP asigna direcciones IP automáticamente a los ordenadores que se conectan a la red. Esto permite acceder a la red sin necesidad de configurar el acceso en el ordenador, cosa que facilita la tarea a alguien que intente conectarse a nuestra red, por lo que desactivaremos esta opción y asignaremos las direcciones IP a mano an cada ordenador que se vaya a conectar.

Pero leidos estos consejos lo más importante a tener en cuenta es que no sirven de mucho. Todos ellos son fácilmente evitables por un atacante:

  • El SSID se puede obtener por otras vias puesto que el método anterior solo desactiva una de las maneras de enviar el SSID. Cualquiera que pueda leer el tráfico inalámbrico podrá obtener el SSID.
  • El filtrado de direcciones MAC presupone que estas no se pueden cambiar, cosa que no es cierta, puesto que son fácilmente modificables. Simplemente descubriendo la dirección de algún cliente autorizado ya podremos conectarnos a la red.
  • El protocolo WEP puede romperse en pocos segundos si hay suficiente tráfico en la red (incluso en el caso que no lo haya este puede ser generado por parte del atacante)
  • Descubrir el rango de direcciones IP de una red es cosas de niños, así que el atacante solo tiene que escoger una dirección que no esté siendo utilizada y aprovecharla para conectarse.

Significa esto que no vale la pena utilizar estas medidas? Al contrario. Poniendo un símil, que haya ladrones que sean capaces de abrir cerraduras no quiere decir que no cerremos con llave la puerta de casa. Igualmente, estas técnicas evitarán que cualquiera pasando por la calle pueda acceder a nuestra red (lo que los ingleses llaman un passer-by), pero no pararán a un atacante que esté determinado a acceder a ella.

Existen otras formas de proteger redes inalámbricas (túneles a través de VPN, autentificación contra servidores Radius,…), pero suelen estar reservadas al segmento profesional, especialmente por la dificultad de puesta en marcha y mantenimiento de estas. La única forma realmente segura de proteger una red inalámbrica es no teniendo una.

Referencias:

Guardado en Seguridad 101 | Comentarios desactivados en Técnicas para proteger una red inalámbrica

Los comentarios están cerrados.