en la empresa en la que trabajo tenemos un wireless el cual lo utilizamos para movilizar 5 portatiles por toda la empresa . el problema surguio cuando un funcionario llevo su portatil personal y por cosas del destino el gerente le entrego la clave Terrible error.... bueno tal fue el caso que el caballero descarga musica y otras cosas xxx que en verdad nos ocuparon el ancho de banda lo que es peor aun es que este contenido lleva a que se manejen virus infectando la red wireless asi que toco que renombrar toda la red y aplicar los trucos de este tutorial y otros mas...
| |
 Hace ya varias semanas que voy jugando con el LiveCD WifiWay y mi Fonera testeando la seguridad de mi red Wifi. Como pudisteis ver en el vídeo del articulo ” Como desencriptar una clave web de 64 o 128 bits ” en unos pocos minutos se pueden sacar las claves WEP sin problemas pero por si no lo sabíais hay varias maneras de poner trabas a quien quiera atacarnos y así podremos sentirnos un poco mas seguros … Nunca estaremos seguros ya que cada dia hay mas aplicaciones que hacen de las redes wifi un amasijo de agujeros por donde se escapa la información pero lo que si podemos hacer es intentar pasar desapercibidos y si no fuese así quizas se lo pongamos tan complicado que desista el ataque que planeo hacernos a algo que estamos pagando. Se que a mas de uno le hubiera gustado que hiciera un manual detallado sobre como desencriptar claves WEP, WPA y las que sean para que podáis tener ADSL en cualquier lado e incluso regalarle alguno a un conocido para impresionarle o hacerle un favor pero no puede ser así. Se que hay muchos manuales en la red que explican como hacerlo pero no seré yo quien lo explique ya que no me parece ético. Os cuento … Ayer charle un rato con un amigo que hace tiempo me comentaba que quería colarse en la ADSL de algún Router Wifi para navegar un poco y ver que era esto de internet. Yo le explique que con el LiveCD de WifiWay se podían desencriptar muchas de las encriptaciones que existen para las redes Wireless. Todo quedo hay … Cuando le vi lo primero que me dijo fue ” Ya me he bajado 10 PXXXXXXXX “. Mi reacción ante ese comentario fue … ¿ No decías que solo era para navegar ? …. No se si me entendéis, me parece perfecto que alguien pueda necesitar en un momento dado una ADSL para mirar el correo o hacer algo puntual por necesidad. Lo que no me parece correcto es el abuso, osea que este hombre ” aunque me dijo que no tenia candadito ” saturo todo el ancho de banda a vete tu a saber quien seria el pobre ignorante y no le dejo navegar durante todas las horas que se estuvo descargando todo ese contenido.  Se que muchos estaréis en desacuerdo con mi punto de vista pero como dice el slogan del Blog este es el otro punto de vista. Si alguien necesita ayuda puede guiarse por las siguientes lineas … suerte ! A continuación voy a tratar de explicaros como poner varias trabas para que nadie ” o casi nadie ” consiga colarse en nuestra red Wifi y pueda aprovecharse de algo que estamos pagando cada uno de nuestro bolsillo. Como veis me corto un poco a la hora de explicar el como se desencripta una clave web ya que pienso que no esta bien aprovecharse de los demás pero por el contrario no voy a cortarme mucho a la hora de explicar como protegernos para que nadie se pueda sentir vulnerable contra este tipo de ataques y otros mas.  Todas estas técnicas se pueden aplicar conjuntamente o por separado pero pensad que cuantas mas trabas pongamos a quien nos ataca, mas fácil será que pase de nosotros y se valla a por otra red que no sea tan complicada de hackear … Os comento que voy a hacer esta practica sobre una Fonera a la que le he instalado el software DD-WRT y la he convertido en un perfecto Router el cual tiene prácticamente todas las ultimas opciones en cuanto a la seguridad se refiere. Con esto os quiero decir que es muy posible que no encontréis alguna de estas opciones en vuestros Routers ya que algunas solo se incluyen en los modelos bastante modernos. Como cliente para la configuración de la red voy a usar Linux Ubuntu 8.10. No necesitas tener el mismo Router que yo ni el mismo sistema operativo ya que con este articulo no pretendo especificar en sobre ningun modelo de Router porque todos poseen un entorno de configuración diferente pero tienen mas o menos las mismas opciones. Este articulo puede serviros para haceros una idea de lo que se puede configurar en un Router y en un ordenador respecto a la seguridad wireless. Para comenzar vamos a arrancar ” en mi caso Linux Ubuntu ” e instalaremos algunos paquetes si es que no los tenemos ya instalados para que podamos usar claves de encriptación mas potentes que la WEP como por ejemplo WPA y WPA2. Para ello abriremos una Terminal desde el menú Aplicaciones -> Accesorios -> Terminal y teclearemos lo siguiente …  apt-get install wpagui wpasupplicant Una vez instaladas estas herramientas abrimos un navegador e introducimos la dirección de nuestro Router o punto de acceso ( AP ) para poder modificar unas cuantas opciones. La dirección web con la que podéis acceder suele ser la http://192.168.1.1 ( en mi caso es así ) o http://192.168.0.1 … MODIFICAR CLAVE DE ENCRIPTACIÓNUna vez dentro del panel de control de nuestro Router vamos a buscar la opción donde podemos configurar la clave de encriptación para que podamos conectarnos a el. No puedo especificar donde se encuentran estas opciones ya que cada fabricante las pone a su gusto así que tendréis que buscarlas vosotros mismos pero no os preocupéis que suelen estar en diferentes sitios pero viene siendo básicamente lo mismo. Actualmente mi Router DD-WRT dispone de una clave de encriptación WEP de 128 bits compuesta por 26 caracteres hexadecimales y la voy a cambiar por una clave WPA2 personal de 8 a 63 caracteres alfanumericos y hasta 64 solo numericos. Introducimos el nuevo password que vamos a usar ( preferentemente se intercalaran números y letras ) y si nos deja elegir algoritmos WPA, WPA2 introducimos TKIP para complicar un poco mas las cosas …  Una vez lo tengamos le damos a guardar y si estas conectado a tu Router vía wifi seguro que en segundos se te intentará reconectar pidiéndonos la nueva clave de encriptación …  Introducimos el nuevo password y listo !! Con esto ya estaremos conectados a nuestro Router vía Wifi con una de las claves encriptadas mas potentes de hoy en día. FILTRADO DE DIRECCIONES MACA continuación vamos a poner alguna traba mas al atacante incluyendo un filtro MAC a nuestro Router donde le indicaremos solo las direcciones MAC que vamos a permitir conectarse a nuestro punto de acceso. Una dirección MAC es como un DNI que tiene cada tarjeta de red con el que podemos identificar el adaptador de red sin un numero IP especifico. Este método no es infalible ya que con algunos conocimientos podemos clonar la dirección MAC de otros dispositivos pero hay que tener en cuenta que el atacante tiene que saber como hacerlo así que hay vamos con la siguiente traba con la que se van a encontrar … Antes de nada tenemos que saber cual es la dirección MAC de nuestra tarjeta de red Wifi para poderla incluir en la lista de direcciones MAC permitidas. Para esto abriremos una Terminal en el cliente con ( Linux Ubuntu) y teclearemos … ifconfig Como veis en lo subrayado en naranja en la primera linea hay unos 12 caracteres seguido de ( direcciónHW XX:XX:XX:XX:XX:XX ), tenemos que apuntarnos esa dirección de este ordenador y de todos los que queramos que se conecten a nuestro Router wifi ya que a continuación vamos a introducirle estas direcciones al Router para que solo de paso a estas y no a otras que no estén en la lista. Accedemos a nuestro Router, en mi caso encuentro una pestaña que se llama por defecto ( Flitro MAC ) en vuestro Router tiene que aparecer esta opción por algún otro sitio. La mayoría de los Routers dejan introducir una lista de direcciones MAC y después tu puedes decirle si los de esa lista quieres que se conecten o no. En mi caso voy a usar dicha lista para que si puedan conectarse …  Introducimos las direcciones MAC de todos nuestros ordenadores con targetas de red Wifi … Y guardamos la configuración para que los cambios surjan efecto. Ahora si la dirección MAC de la tarjeta de red del atacante no esta en la lista no podrá conectarse. Bueno en algunos Routers si que podrían conectarse pero no podrían navegar y con esto ya tenemos alguna traba mas. Ocultación del SSIDAhora lo que aremos es que nuestro Router no sea visible por otros clientes Wifi y así pasaremos mas desapercibidos. Para ello tenemos que buscar la opción SSID o en mi caso ( Bradcast SSID Inalámbrico ) …  Y lo desactivaremos. Con esto conseguimos que nadie pueda ver nuestro Router pero claro ahora tendremos que poder conectarnos nosotros mismos. De momento se desconecta la red inalámbrica. Ahora lo que necesitamos hacer desde el cliente es conectarnos a una red inalámbrica oculta. Si hacemos click sobre el icono de red veremos al final de la lista de puntos de acceso una opción que dice ( Conectar a otra red inalámbrica oculta ) …  Pinchamos sobre la opción y veremos la siguiente ventana … Ahora tenemos que introducirle el nombre que tiene nuestro Router ( SSID ) para que pueda encontrarlo y en seguridad inalámbrica marcaremos la opción ( WPA y WPA2 personal ). Seguidamente se mostrará una nueva casilla para introducir el password. Se lo introducimos, pulsamos el botón ( Conectar ) y listo …  CAMBIANDO IPs POR DEFECTOEsto puede poner a nuestro atacante las cosas aun mas difíciles ya que tendrá que averiguar cual es el rango de IP privada que usamos. Los rangos de IPs privadas que se usan generalmente son las de 192.168.x.x. Por norma la primera Ip privada de ese rango es la que lleva el router para localizarlo fácilmente en la red. Si el atacante le pusiera a su tarjeta de red una IP de este rango posiblemente esta traba no serviría para nada pero antes de que esto pase podríamos complicarle las cosas aun mas cambiando la IP por defecto del Router 192.168.0.1 por ejemplo por otra con otro numero algo mas extraño por ejemplo 192.168.0.47. Si aun queremos complicarlo aun mas podriamos cambiar no solo la IP interna que por defecto nos trae el Router si no que podríamos cambiarla por otra de otro rango totalmente diferentes como por ejemplo las 172.X.X.X o 10.X.X.X. Al cambiar todo el rango todas las ips que se conecten a ese Router deberán cambiarse al mismo rangoo para que puedan reconocerse. No podemos tener tangos IP diferentes conectados a nuestra red de area local. Si uno es 192.168.0.47 los demás serán 192.168.0.48 y así sucesivamente. CAMBIANDO PASSWORDUna de las cosas fundamentales que hay que cambiar nada mas llegar a nuestras manos un Router Wifi no es nada mas ni nada menos que el password de acceso al terminal de configuración que viene por defecto. Si dejamos esto por defecto es posible que si alguien consigue conectarse a nuestra red posiblemente podrá acceder al panel de configuración del Router y alli hacerse con el control del mismo. Esto es una de las cosas que muchos pasan por algo pero os aseguro que es una de las primeras cosas que uno hace cuando se conecta a una red ajena. Así que buscad la opción para cambiar el password de administrador del Router y cambiarla por una que solo vosotros sepais así evitaremos el tener que resetearlo y volver a configurarlo desde cero una vez pueda haber sido manipulado por un posible atacante. De momento ya tenemos una clave de encriptación WPA2 Personal + Flitro MAC + Broadcast SSID Oculta, hemos cambiar el password de acceso al Router y también hemos cambiado la Ip por defecto. La cosa se complica he !!! DESACTIVANDO ASIGNACIÓN DE IPs AUTOMATICA CON DHCPPara finalizar este articulo sobre seguridad Wireless voy a desactivar el servidor DHCP que nos proporciona una IP automáticamente cuando nos conectamos al Router. Esto puede ser un poco desconcertante para los mas novatos ya que consiguen el password pero el Router no les asigna una IP y si además como anteriormente expliqué le cambiamos el rango IP puede volverse un poco loco buscando el rango que tiene nuestra red y despues la IP del Router para usarlo como puerta de enlace. Si desactivamos la opción DHCP en nuestro Router ya no se nos asignará automaticamente una IP por lo que debemos introducir una estática a nuestros ordenadores clientes con el mismo rango de IP que le dimos al Router. Metodos para cambiar la IP de nuestra tarjeta de red a una estatica hay varios para Linux Debian y para Linux Ubuntu pero sea cual sea el metodo que useis recordad que tan solo puede cambiar ls IP de una maquina a otra conectada a la red en el ultimo numero. Han habido veces que he llegado a una red y me he encontrado unos ordenadores con 192.168.0.X y otros con 192.168.1.X puede ser confuso localizar el error cuando hay muchos equipos conectados y si hacemos las cosas bien desde el principio evitaremos males de cabeza. Despues de este especie de manual orientativo que os acabo de hacer tan solo me queda decir que por muchas trabas que pongamos lo importante no es intentar ser invulnerables si no el pasar desapercibidos porque si somos el objetivo de alguien y este alguien posee conocimientos suficientes para saltarse todas estas trabas es posible que ni aun así estemos seguros. Así es la informática amigos, sed buenos |
