Redes WiFi seguras

Me ha parecido muy interesante un artículo que lleva dando vueltas por la blogosfera hispana un tiempo, y que he visto reproducido en varios sitios. El artículo se titula ¿Son seguras las redes WiFi? y la verdad, me gusta porque ofrece consejos adecuados para intentar que nuestras redes inalámbricas sean lo más seguras posibles. Su autor es José María Morales, al que yo al menos solía leer a través de http://blog.morales-vazquez.com/ :)

El tema de la seguridad WiFi es un tema muy complicado. Es, con toda probabilidad, es el tipo de conectividad con más posibilidades de ser interceptada y envilecida. La clave del asunto es que todo viaja por el aire, de modo que todo puede ser interceptado.

Los sistemas WEP no valen para nada. Los WPA cifrados sirven un poco más, pero no de mucho más (impresionante Auditor Security Collection). Los filtros MAC te los puedes saltar a la torera haciendo spoofing … es un tema delicado.

No sé que opinará José María, pero yo particularmente confío más en una WiFi con tunelización por protocolo seguro, por ejemplo, estableciendo un túnel SSH con un proxy-caché de apoyo, de modo que el túnel proporcione un componente de seguridad más estable y complicado de romper, si bien las recomendaciones que hace José María impedirán la gran mayoría de intentos de intrusión WiFi que pueda hacer cualquier usuario medio avezado.

José María propone el siguiente resumen de consejos:

  • Ocultar el identificador (SSID) de nuestra red
  • Deshabilitar el DHCP del router y asignar direcciones manualmente a los dispositivos de nuestra red
  • Limitar el número de direcciones IP posibles en nuestra LAN (¿para que diablos queremos una clase C completa?)
  • Realizar filtrados de accesos por MAC
  • Asegurar el acceso a nuestro router.
  • Usar un protocolo seguro y correctamente configurado para el cifrado de las comunicaciones inalámbricas.

Una lectura interesante :)

10 comentarios sobre “Redes WiFi seguras

  1. Otra opción que me parece interesante es utilizar WPA2 combinado con un mecanismo EAP robusto, como EAP-TLS. La ventaja de utilizar EAP-TLS es que no utiliza contraseñas, como en algunas variantes de PEAP, EAP-TTLS o PSK, por lo que no es susceptible a ataques por diccionario.

    La pega, es que requiere disponer de un servidor RADIUS dedicado.

  2. Hola Sergio Hernando, muy bueno el post y el de José María, me han motivado a investigar más sobre el tema :)

    Y ya que estamos con el tema de redes WiFi, tengo un problema con mi red. Me acabo de mudar a una casa de dos pisos, y tenemos tres computadoras conectadas a la red (2 laptops y 1 PC), con tarjetas D-Link y Belkin respectivamente. El router (Zyxel) está colocado en la sala, en la parte delantera de la casa, 1er piso. Cuando uno conecta alguna computadora en el 2do piso, exactamente encima de donde está ubicado el router, la señal es muy buena, pero si uno la coloca en la parte posterior de la casa (2do piso) la señal es pobre o simplemente no hay señal. A qué se debe esto? Cómo podríamos amplificar la señal? Mi papá intentó amplificar la señal desde el mismo router y no hay opción para hacer esto. Sugerencias? Gracias anticipadamente!

  3. eruntale,

    En mi casa (tengo un Comtrend CT-536+, el que pone Jazztel para el ADSL «hasta» 20Mbps, la calidad de la señal entre el salón y el cuarto desciende a un 45-50%, operando la red local no en los 54 Mbps que debería, sino en 11 Mbps.

    Y te hablo de una distancia que no supera los 10 metros, y con un único obstáculo por medio, una pared de pladur :)

    Lo que narras se debe al factor constructivo, es decir, la señal WiFi depende muy mucho de la cantidad de elementos constructivos que tenga que vencer para llegar desde un punto de acceso o el mismo router a la tarjeta WiFi del terminal a conectar. No descartes que lo que te está pasando se deba también a la baja calidad de la señal wireless que emana del Zyxel, que no es precisamentre el mejor router del mercado, ni de la capacidad de las tarjetas WiFi de los terminales que quieres conectar. Todos los factores suman.

    Yo en tu situación posiblemente optara por comprar un punto de acceso adicional y colocarlo allí donde la señal sea peor, de modo que amplifiques la cobertura y arregles el problema de una manera cómoda y económicamente viable.

    Saludos :)

  4. Felipe,

    Me parece muy interesante tu comentario. En cuanto pueda a ver si documento un caso de WPA+EAP-TLS. No tengo clara la elección, en este campo abundan los protocolos propietarios de autenticación, habrá que investigar el tema.

    Lo del servidor Radius tampoco es tanto problema, en los entornos donde le veo utilidad (corporativos y domésticos avanzados) siempre hay un Apache corriendo y por tanto, se monta un FreeRadius y se le mete un módulo al servidor Web y a salir corriendo (si hay necesidad de autenticación vía Web) y si no hay necesidad de autenticación vía Web, pues se deja corriendo el servidor Radius en una máquina que esté online 24×7.

    PD: ¿Sabías que EAP-TLS fue cosa por Microsoft? Fíjate en la cabecera del RFC. :)

  5. Creo que a la hora de implantar una red wifi deberiamos recordar para qué sirven éstas, y qué ventajas e inconvenientes tienen respecto de las redes cableadas. Parece que a veces se nos olvida. Y es que montar una wifi (casi) tan segura como un cable físico, empieza a costar dinero.

    Siempre deberiamos analizar los costes y beneficios de ambas posibilidades. Ante los argumentos a favor de las redes wifi (movilidad, coste de infraestructura) hay que empezara poner al otro lado de la balanza la necesidad de implementacion de soluciones de seguridad que en redes cableadas son menos necesarias.

    Lo digo porque me da la impresion de que se pone wifi porque sí, porque está de moda. Recuerdo que mi jefe casi me crucifica porque en una oficina que estaban construyendo, recomendé cablear en vez de poner una wifi molona.

  6. No puedo estar más de acuerdo, José Antonio.

    Es un tema que hemos pasado todos por alto, centrándonos en la técnica más que en los fundamentos, pero me gusta que comentes que muchas veces se puede resolver con un RJ-45 la conectividad sin recurrir a tecnologías inalámbricas.

    La balanza de costes y seguridad, que a fin de cuentas es un mini-análisis del riesgo, no la hace nadie. En entornos domésticos es obvio que no se hace, y en entornos corporativos, se hace poco. Es muy típico desplegar las WiFis y luego parchear problemas de seguridad y conectividad, o lo que es peor, desplegarlas para luego ni molestarse en analizar esa red WLAN y las implicaciones de la ausencia de seguridad.

    De todos modos, mientras los ISPs sigan vendiendo la WiFi abierta por defecto como kit ADSL autoinstalable megaguay, esto va ir sólo a peor. Otro caso más, el enésimo, de la escasa cultura de la seguridad de la información que por desgracia nos rodea.

    Saludos ;)

  7. Hola Sergio. Gracias por tú mención. Yo también sigo tú blog desde hace mucho tiempo :-)

    En cuanto a mi post, me reitero en lo dicho: yo considero que un cifrado WAP es, hoy por hoy, suficientemente seguro siempre y cuando se elija una frase password adecuada y de la suficiente longitud. Localizar las tramas en las que se intercambia el password inicial es sencillo porque es un protocolo libre y abierto (afortunadamente) pero luego para forzarlo no hay mas remedio que entrar en un ataque por fuerza bruta (con cowpatty, preferiblemente, que es una de las herramientas que recomiendo en el post) y claro, si la contraseña que elijes es «12345678» pues para eso dejalo en abierto y hazte popular en el barrio pero si escoges algo medianamente serio (+val3n dos t3t4s que dos carretas o carr0matos # vet3 tu 4 saber que es lo que esta p@sando con la 1gles1a en este pu7o sigl0!) o realmente eres el objetivo de alguna oscura trama terrorista o el presunto cracker se aburrirá mucho antes de que haya averiguado la entrada. Y si no prueba a ver ;-)

  8. Yo siempre he pensado que usar WEP es cómo ponerte un cartel en el que pides que te roben y justo al lado dejas las llaves de tu casa. Para eso, mejor no usar ningún tipo de cifrado por que así la gente que hackea las redes wifi sólo por el mero echo de superar un reto, no se fijarán tanto en ti. Sin embargo, poniendo WEP estás pidiendo a gritos que se salten tu wifi.

  9. Hola a todos, tengo un modem zyxel 660 y cuando lo pongo en WAP no asigna direccion ip a las pc cuando se quieren conectar, alguien sabe que puedo hacer para solucionar esto ?
    Muchas Gracias

Comentarios cerrados.