Cita

"Those who are willing to pay a penny of security for a penny of usability will eventually have neither"

19 junio 2014

Asegurando tu Wifi para que no te metan gol


Ya os comenté en un post anterior lo importante que era tener bien configurada la seguridad de la red Wifi y lo peligroso que era conectarse a una que no lo fuera.

Una Wifi abierta es como una portería sin portero. Una mal configurada, como un portero que no rinde. Y conectarnos por ahí, a cualquier Wifi que veamos, sin tomar las debidas precauciones, es como marcar un gol en propia puerta.

Así es que, para que no nos pase lo que a los mejores equipos en los peores momentos y que los ciberdelincuentes no nos metan gol, vamos a repasar algunas ideas básicas de seguridad Wifi.

Aquí explico cómo configurar la Wifi con conexión VDSL del router VH4032N de Vodafone. Pero el ejemplo es extrapolable a cualquier otro router Wifi de las demás compañías.


Lo podemos hacer entrando al router con el usuario "vodafone" (sin comillas). La contraseña es la misma. No hace falta ser administradores.

Lo primero es cambiar la contraseña del router. Para ello, conectaremos el cable RJ45 (el de las cabezas amarillas) al puerto LAN de nuestro equipo y a uno de los LAN de la parte trasera del router. Ya tenemos red y podemos acceder al router tecleando su IP (http://192.168.0.1) en el navegador. La contraseña se cambia en "Configuración Cuenta", como se ve en la imagen:


Un fallo que le veo es que no se pueda entrar por https. Me da por pensar que si alguien ha conseguido colarse, puede estar ahí esperando a ver qué tecleo y se queda con mi clave. Yo es que soy muy paranoica. Por lo que he visto, el router cuenta con un servidor micro_httpd que no lo tiene configurado (habrá que hacerse administrador; dejo eso para una futura entrada). Lo que sí está bien es que telnet y esas cosas están capadas.

De todos modos, la seguridad que viene por defecto es la WPA, que no es la mejor, pero no es mala. No obstante, lo siguiente que vamos a hacer es cambiarla por WPA2, entrando en Wifi, como se ve en la imagen:



También hay que cambiar el nombre SSID por uno que no de pistas a los vecinos sobre el modelo del router. Respecto a lo de ocultar o no el SSID, no hay consenso. Hay quien dice que es mejor ocultarlo para dar menos pistas todavía y que no aparezca nuestra red en la lista de disponibles. Hay quien opina que es mejor dejarlo, ya que hay métodos para averiguar los nombres ocultos y, ocultándolo, estaríamos forzando a nuestros dispositivos a buscar la red, anunciando su nombre, incluso cuando no estamos en casa. Entonces, si se encuentra cerca alguien con conocimientos y malas intenciones podría montar un AP falso para hacer que se conecte el dispositivo automáticamente. No lo tengo muy claro. De todos modos, he optado por dejarlo.

La opción de cifrado que hay que poner es la AES. Existe la posibilidad (en mi router) de poner TKIP o TKIP+AES, pero TKIP es menos seguro. Así es que pondremos AES, sin posiblidad de cambiar a TKIP. Parece que lo han puesto solo por compatibilidad.

Si queremos dejarlo todavía mejor, añadiremos donde dice "Filtrado MAC" las direcciones MAC de nuestros dispositivos. De esta manera, nos aseguramos de que solo éstos se podrán conectar. ¿Cómo sabemos la MAC? Depende del caso, con "ipconfig /all" en el caso de windows, "ifconfig" en Linux, o mirando las propiedades avanzadas de las conexiones wifi de los Android. Cuando queráis conectaros con un nuevo dispositivo, acordaos de añadirlo aquí.

Otra buena medida de seguridad es desactivar cosas como el DLNA y UPnP si no los vas a usar (si vas a hacer un centro multimedia en el hogar, déjalos). Ya sabemos que siempre aparecen vulnerabilidades por todas partes; por eso, es una buena regla que si no lo usas, no lo actives; y por ello inventaron aquel acrónimo que insulta al usuario, al tiempo que lo besa: KISS (Keep It Simple, Stupid). El DHCP yo también lo quito porque siempre me da problemas y asigno las IP de conexión a la Wifi de manera estática.

Algo que no he visto es cómo cerrar la sesión una vez terminado el trabajo; y mira que le he dado vueltas a los menús. La única solución es cerrar el navegador. A mí es que me gusta cerrarlo todo antes de irme porque nunca se sabe. Y más con una conexión http.

En las imágenes que he puesto aparecen los SSID y contraseñas originales de Vodafone. No es buena idea poner en internet imágenes con los datos de nuestra Wifi. El futbol tiene sus riesgos y la internet los suyos. Pero, si somos precavidos, disminuiremos los riesgos de que nos eliminen de la liga.

Si queréis más información sobre por qué y cómo proteger la wifi, os recomiendo este excelente post de la Oficina de Seguridad del Internauta.

1 comentario:

  1. Es cierto, tener nuestra RED segura es bien importante, así evitamos conexiones indeseadas.

    wifi repeater

    ResponderEliminar

A penny for your thoughts