Seguridad en redes WiFi: mitos y verdades

Además de todos los métodos de protección nombrados hay algunos más que utilizo yo (combinado con wpa, ocultación SSID, filtrado MAC, y desactivación de DHCP):
1) Reducir la potencia de la señal Wi-fi a lo mínimo necesario. Por defecto vienen con la potencia al máximo. Si la ajustas bien te libras de que tu señal alcanza la calle. A mi me llega con tener cobertura en un par de habitaciones de mi casa, así que lo tengo al 25 % de potencia.
2) Para las descargas "largas" utilizar un ordenador conectado directamente por cable. Muchos de los ataques se basan en recoger la "suficiente" información, sino hay tráfico se lo ponemos más difícil.
3) Desactivar el wifi si no lo vamos utilizar. Si salgo un par de días de viaje, dejo descargando en el ordenador de sobremesa conectado por cable.
4) Apagar el router si no lo utilizo.
5) Utilizar algún programilla de detección de intrusos Wi-fi, hay varios y son efectivos.

#30 La contramedida a esa medida de seguridad cuesta menos de 1 euro:
http://criticacreacion.files.wordpress.com/2008/06/pringles.jpg

#14 Es lo que pasa cuando se prima el contenido por encima del continente.

Deberías practicarlo, quizá descubras que mas allá de los medios informativos generalistas y los portales de noticias también existen contenidos que pueden ser interesantes.

#39 Te dan una IP del rango privado, que pueden ser de estos 3 tipos:
192.168.x.x
10.x.x.x
172.16-??.x.x

Normalmente son del primer rango. El segundo se usa para uso interno de los ISP y el tercero al ser un poco mas raro se usa poco.

La mayoría de routers wifi vienen configurados de la misma manera y el usuario raramente cambia esos rangos de IPs. Por eso siempre te da IPs parecidas, aunque es raro que te de exactamente la misma. La que te dan es la siguiente libre del rango asignado. Si por ejemplo hay 3 equipos conectados tendrán la 192.168.100.2,.3 y .4. A ti te tocará la 192.168.100.5.

También es cierto que lo habitual es que solo haya un equipo conectado a esa red y tu siempre seas el segundo (en redes de equipos residenciales, en empresas es otro mundo).

Yo además del WPA2 también soy partidario del posterior puteo, a fin de cuentas si han sido tan listos para conseguir entrar en una red protegida, se espera que sean igual de listos protegiendo sus propios equipos. Un sniffer como el Iris permite hacer muchas diabluras, jijiji.

#4,eso para Windows supongo.En Linux,pese al "miedo" que la gente tiene a la consola,son 3 comandos para cambiar la MAC y si somos estrictos,el que cambia esta es solo uno,los otros 2 son para apagar y encender la tarjeta.Personalmente prefiero Linux para utilizar las herramientas de hackeo,aparte de que mi tarjeta en Windows no puede ponerse en modo monitor y en Linux es un simple comando.

#ifconfig wlan0 down
#ifconfig wlan0 hw ether 00:11:22:33:44:55
#ifconfig wlan0 up
#iwconfig wlan0 mode monitor

Ah,se me olvidaba.Cambiar la MAC en Windows es tan sencillo como entrar a la configuración de la tarjeta de red (se entra desde las propiedades de la tarjeta) y en las opciones avanzadas hay un apartado que se suele llamar "Local Administration MAC Network Address" (o "direccion MAC administrada localmente" si tenéis suerte y sale en español).Ponéis ahí la MAC que queráis sin espacios ni nada,todos los números/letras seguidos y listo.

#27,hace tiempo yo tenía limitadas y fijadas por MAC las 3 ip que usaban los 3 pc que se conectaban y un día que vino un colega estuvimos un buen rato intentando conectarnos porque no nos dejaba,lógico por el mínimo de ips en la red y por el filtrado MAC.Cuando me di cuenta,subí una ip más y entro sin problemas jeje,pero aun así,si no has detectado las MAC que se conectan a esa red,lo tienes jodido para entrar de forma bruta.

No hay nada seguro, y menos en wireless. Lo mejor es usar una combinación de tecnologías, y aun así..

Ocultación SSID + Filtrado MAC + Cifrado WPA/AES + Infraestructura PK con X.509 y RADIUS

Pues yo tengo la red abierta en casa. ¿Por qué?
Porqué cuando estudias en la ciudad y tienes una urgencia en la que necesitas acceso a Internet por lo que sea, siempre agradeces alguna red abierta.
Y porqué vivo en una casa de campo sin otra casa a menos de 200m y la señal no llega al exterior.

Mito: WPA2 es mas seguro que WPA

Realidad: No, ambos protocolos tienen un nivel de seguridad similar.

Explicación: Son protocolos distintos, uno no supone una evolución sobre el otro. Los vectores de ataque no son por lo tanto comparables.

#8 como hacemos todos

#56 A ver, esto es como todo, el nivel de tu defensa depende del nivel de los ataques esperados...

Por supuesto que si contratan a un equipo de los 20 mejores juankers del mundo en un sotano con 2 sacos de cafe de colombia se van a mear en cualquier cosa que un usuario normal pueda hacer, pero para defenderse de la graaaaan mayoria de amenazas de internet con tener un SO seguro y 4 conceptos de seguridad es suficiente.

#42 Ya no es el compartir el ancho de banda con los demás, si no que por ejemplo cualquiera puede conectarse a tu wifi sin compartir ellos nada a cambio, es decir "gorroneando" sin hacer nada por la causa y encima se podrian hasta descargar material como pornografia infantil y encima desde tu IP. Luego demuestra que no eras tú...

#26 Tomo nota sobretodo del punto 1. Tiene mucha lógica.

#6 Muy buen artículo. Espero que mi router sea dificil de juankear porque si no vaya gracia

Hace tiempo escribí un artículo que quizás te sirva: http://bulleting.blogspot.com/2006/04/10-secretos-sobre-la-seguridad-de-un.html

#36 No es solo por ti, pero sois varios los que usáis el SSID oculto, pero hace ya un rato que avisan por aquí que ocultar el SSID puede darte más problemas que ventajas.

Yo estaba preocupado por mi wifi, no quería que me robasen la señal, lo que hice fue recubrir las paredes que van a la calle con plomo, luego pinté por encima, porque el gris del plomo desentonaba con las cortinas, las ventanas siempre tienen las persianas bajadas, que aún siendo de aluminio también protegen mi wifi.

Estoy muy feliz, ahora sé que nadie me va a robar la wifi.

(Últimamente me cuesta respi......

#56 Ahí le has dao... 100% de acuerdo

La seguridad de mi red:

- WPA2-PSK
- POTENCIA WIFI AJUSTADA A MIS NECESIDADES (como dice #26)

La clave la obtengo de aquí https://www.grc.com/passwords.htm

WPA2 sufre de ataques por fuerza bruta. Pero la generacion de la página que os comento es totalmente entrópica. Por lo tanto genera claves virtualmente imposibles de romper.

Todo lo demás (MAC ACL's, DHCP, etc) son medidas poco efectivas, (Si alguien se salta el WPA2-PSK con esa clave, en teoría es altamente problable que se salte las otras dos medidas en menos tiempo), y si me las evito, gano en comodidad.

Para fanáticos de la seguridad siempre queda la opción de montar un servidor RADIUS.

Hay otra opción que no aparece en el documento: Proteger la red por medio de vpn, aunque hay divergencias en cuanto a si es más o menos seguro que WPA/WPA2 (http://blogs.zdnet.com/Ou/?p=489&page=1). En este caso, estableces una vpn entre todas las máquinas de la red local de modo que el tráfico vaya cifrado entre ellas y hasta el router.

El caso es que de este modo puedes mantener la red abierta para todo el mundo y no abres tu tráfico local (protegiendo contrasñas y recursos compartidos locales, por ejemplo) e incluso puedes configurar el punto de acceso para que permita a los "invitados" sólo el tráfico HTTP e incluso limitar su ancho de banda por medio de QoS para garantizarte un mínimo de calidad, que por algo eres el que pagas y una cosa es compartir y otra muy distinta permitir que abusen de ti...

#72 Tengo dudas sobre esto que voy a decir, pero es muy posible que si das la clave también estés permitiendo que descifren tus conexiones y puedan ver el contenido.

#15 Con DD-WRT sí se puede. Cómprate un router que soporte DD-WRT (mirar la wiki particular de DD-WRT para más detalles) y es cuestión de meterle 2 SSID (sí, se puede). Una privada y otra abierta. A la abierta le limitas las funciones que quieras mediante el QoS ¡y listo!

#29 Cuando hablamos de seguridad jamás debes contar con que el atacante sea un inútil o no tenga ciertas herramientas.

Si se puede hacer alguien lo hará y si quieres evitarlo eres tu quien tiene que poner las medidas suficientes.

Otra alternativa es poner el punto de acceso en modo abierto y asumir el hecho y consecuencias de no tener seguridad alguna.

No hay peor inseguridad que la falsa sensación de seguridad.

Una pregunta de no experto: siempre que me conecto a una wifi (siempre lo hago legalmente, no crackeo ), siempre me dan la misma IP, incluso en diferentes lugares geográficos. ¿Por qué?

Y, ¿qué pasaría si esa IP ya está cogida por otro ordenador?

#52 Es que hay un usuario en tusseries con tu nick. Ese usuario subia "la que se avecina" entre otras series.
Un saludo

Lo malo de proteger la red es que no la puedes compartir, por ejemplo, yo quiero tener mi red protegida ante posibles delincuentes que quieran acceder a datos privados, si nembargo, no tendría ningún problema en que alguien utilizase mi wifi para hacer una llamada por voip, o para ver el periódico o chatear un poco. Lo malo es que no se puede diferenciar entre unos y otros.

#49 Lo que se dice forrar,no, pero poner alguna peli cochina...
¿Que haria yo sin ti dsigual?
La verdad es que has aportado mucho a mi entretenimiento, sinceramente, gracias.

#12 ¿Estas diciendo que tus contraseñas de tusseries.com viajan en claro?

efecto meneame is working...

#64 ¿de verdad crees que en esa pagina usan randomizadores indeterministas? jajajajajjaj

Por lo que a mi respecta la única forma efectiva 100% de mantener tu red WiFi segura es NO conectándola, nunca, bajo ningún concepto

Buena información, mal que le pese #14 el Cutre.

Para crear una buena contraseña solo hace falta recurrir a nemotecnicos.. por ejemplo

Mi Profesora De Informatica 2 Esta Buenisima De La Muerte

Mpdi2ebdlM

Primer y ultimo carácter en mayúsculas y adiós ataque de diccionarios y con fuerza bruta échale horas.

Lo malo es que TODOS los sistemas operativos tienen "errores", muchos programas son susceptibles de ser EXPLOTADOS, y google ayuda MUCHO.

Las redes WIFI se pueden explotar de muchísimas formas, también es cierto que limitar la potencia del Punto de acceso o evitar el uso de antenas omnidireccionales ayuda a tener una red mas segura, yo por ejemplo tengo un linksys con dd-wrt, le tengo puesto un horario al wifi wpa2 con filtrado mac.

Y de vez en cuando si estoy aburrido lo dejo abierto para ver quien se cuela en mi red y aprovecho para echarle un vistazo a sus documentos compartidos //pcdelvecinoquemechupaelinternet y le mando a su impresora un texto en letra grande.. HOLA VECINA ME MOLAN ESTAS FOTOS QUE ESTAS COMPARTIENDO CONMIGO, LAS PUEDO PONER EN INTERNET???

Cuidadito con meterse en redes abiertas porque no todo el que tiene una red abierta es un PARDILLO DESPISTAO, quizás es alguien mas listo que tu que esta capturando TODO tu trafico de SU Internet, y echando un vistazo a lo que hay compartido en SU RED.. osea TU PC.

TODO lo inalambrico NO es seguro.

Si quieres seguridad... usa cable ( y aun.. asi.. )

Muy buen artículo. Espero que mi router sea dificil de juankear porque si no vaya gracia >.<

Añadiré que el foro de ogame no soportaría el aluvión de visitas que puede suponer una portada de meneame y los BA intentarían denunciar a meneame por tirarles el foro, probablemente, a la respuesta dada por Mskina.

Y que me decís de las SpeedTouchxx?, con esas no hacen falta ni el aircrack, ya que por defecto usan WEP, y el algoritmo para generar las claves de éste hace tiempo que es público, con lo que en 1 segundo te da la clave de la red

#72 Si quieres ver el tráfico en claro de una red cifrada, y tienes la clave, solamente usando un comando (airdecap-ng) tendrás un log en claro. Después cargas ese log en el Wireshark por ejemplo y ya tendrás lo que quieres.

http://www.aircrack-ng.org/doku.php?id=airdecap-ng.es

Así que #73 Tiene toda la razón.

un saludo

Pues no pensaba yo que mis vecinos fueran hackers de esos de peli americana...

Bendito etherchange ^^

Sin duda, la mejor solución es WPA, ni filtrado mac + loquesea. Para que alguien se salte un WPA tiene que estar muy puesto en el tema y además que la contraseña sea una secuencia con significado que se puede sacar de diccionarios.

La mejor protección es la que tengo en casa, unos muros cojonudos. A dos o tres habitaciones de distancia la señal se pierde un huevo y si está a más distancia como no se amplifique está complicado.

Aunque mi seguridad se basa en no tener ninguna, sólo tengo un rango de ips que admite el router, que son 2 (para un sobremesa y un portátil) y si alguien se conecta cogerá una ip idéntica y se notará.
Al no tener seguridad quien quiera conectarse lo hará tranquilo y yo , en teoría, lo notaré.

Ninguno de los dos ofrecen una protección total. Si bien es cierto que el cifrado de WPA es más decente y la privacidad vendra practicamente determinada por la clave, es un protocolo vulnerable a ataques de denegacion de servicio (DOS) mediante envenenamiento de peticiones (con un par de peticiones mal formadas por minuto puedes dejar a alguien sin conexion).

WPA de momento funciona muy bien con esa salvedad, pero hay que tener en cuenta que utilizar un protocolo de cifrado no lo es todo. En el documento se dice que 'ni siquiera vale la pena activar la opcion de ocultar SSID', sinceramente creo que activar eso permite filtrar a mas de un lameruzo... al igual que el filtrado por MAC. Toda red es insegura por definicion y mas aun lo son las inalambricas.

#29 como rompes una contraseña WiFi de manera tan rapida y sencilla ?

Yo uso filtrado por mac address, WPA y con el SSID Oculto

#49 el estandar version "g" de wireless http://en.wikipedia.org/wiki/802.11g , ya que la version "b" si que tenia una falla de seguridad intrinseca al protocolo: http://www.computerworld.com/printthis/2004/0,4814,93221,00.html

#22

La verdad es que yo ya comparto el escaso mega que tengo con 4 usuarios de mi casa. Imagínate la velocidad que tendría si se sumaran X del resto de vecinos... Lo mismo otros sí pueden ir diciendo "Me sobraan los meegass"

#40, lo de "no merece ni el clic para activarlo" es básicamente porque seguramente da más problemas que ventajas.
El filtrado MAC y la ocultación SSID para mí son lo peor, por la falsa sensación de seguridad, si bien es cierto que seguro que pararán a muchos lamers que están siguiendo un "airodump howto".

#31 donde venden Pringles a 1€?

#26 "dejo descargando en el ordenador de *sobremesa* conectado por cable" Bueno eso es relativo, no lo puede hacer todo el mundo, dado que a veces la roseta del teléfono o el router están en un pasillo o en la otra punta de la casa, a veces, mover el sobremesa no es tarea fácil, sobre todo por los muebles, los cables recogidos con cualquier invento del ikea y demás. (Lo dice alguien que antes de tener wifi y portátil se sacaba el desktop entero al patio/jardín, el cable y el módem colgando por la ventana evidentemente patio privado)

Filtrado MAC: Por muchos considerado el mejor sistema de protección para accesos no deseados.

Será considerado el mejor sistema por aquellos que no conocen un programita llamado MAC Changer (http://www.alobbs.com/macchanger).

¿Y no habeis pensado en ponerlo por cable y pasar del WIFI? Así lo tengo yo en casa y no pienso cambiarlo.

sacar contraseñas .. hoy por hoy, sobre todo las WLAN_XX es la cosa mas sencilla y rapida. pero la gente normal no esta para estas ostias. el que sabe hacerlo, lo hace en un segundo, y pilla toda clase de contraseñas, el que piensa: joder, quiero el guugle y el mesenje grati ... po lo tanto vu a pilla una red de un vessino ... le costara un poquito mas aprender a hacerlo. y la mayoria de la gente normal, ni piensan ni padecen, pues ni saben entrar a su propia red inalambrica.

no nos hagamos los chulos, joe.

#32 eh. aqui nadie ha dicho que sea inutil nadie. solo digo que no flipeis tanto con la seguridad. que un hacker se metera ahi donde quiera, y no creo qeu se esfuerze demasiado en ir a por alguien como tu y como yo.

al contrario, creo que si ve una red tan segura ... algo escondera ........ quien sabe ....

De la seguridad en Internet, sea por WIFI o por cable o por 3g, no hay que preocuparse, ya que NO EXISTE, una vez que todos tengamos claro esto, podriamos compartir nuestro internet con una Fonera si queremos ganar algunos privilegios en otros lugares, o ganar unas pelillas.. http://www.fon.com/es/ y si tenemos algo serio en nuestro ordenador BACKUPS o DESCONECTARLO DE INTERNET.

Toda discusión sobre que es mas seguro o menos es una tontería, cada uno tiene que valorar y cuidar lo que es importante para el, a nivel profesional hay que gastarse mucha pasta para blindar un sistema a prueba de hackers (pagar a un par de israelitas por ejemplo), no os creáis que con un antivirus, un firewall y actualizando el sistema estáis seguros, ES TODO UNA ILUSIÓN.

Hay esta ese ultimo fallo en el .net de Vista

http://searchsecurity.techtarget.com/news/article/0,289142,sid14_gci1324395,00.html

o ese de hace ya tiempo del nucleo de linux.

La unica manera de estar seguro es no estar conectado.

#12 ¿De verdad cuesta tanto poner una clave?

#43 Romper una clave del 802.11g para arriba no es trivial, no os flipeis.
Otra cosa es que la descubras por ingenieria social, o por que dejaron la por defecto del router o alguna falla de seguridad concreta en un router.

No me puedo creer que un articulo copy&pasted en un foro cutre pueda llegar a la portada de menéame, no me lo creo.