Noticias:

Aun no se sabe en qué época está El Corte Inglés. Seguiremos informando.

Menú Principal

Seguridad en redes WiFi, mitos y verdades

Iniciado por Paradox, 10 de Agosto de 2008, 14:14

0 Miembros y 1 Visitante están viendo este tema.

Paradox

Con la proliferación de los routers inalámbricos de los proveedores se dan cada vez más casos de personas que detectan que les estan usurpando ancho de banda mediante conexiones fraudulentas a sus equipos.

Sobre la seguridad en internet no acabaríamos nunca de hablar, ya que es un tema tan enormemente complejo y variado que no se puede simplificar. Pero me gustaría dar algunos consejos para que podáis protegeros.

En concreto, cuando hablamos de las conexiones WiFi estamos añadiendo un elemento de fragilidad en nuestro sistema. Un elemento que nos compromete la seguridad. Ese elemento es el hecho de que alguien puede conectarse a nuestra red sin que le veamos, ya que estará usando la red sin hilos.

Aquí os pongo una relación de las distintas "protecciones" para la red inalámbrica, y su grado de efectividad.

Filtrado MAC
Por muchos considerado el mejor sistema de protección para accesos no deseados.

Antes de nada, ¿qué es una dirección MAC (Media Access Control address)? Una MAC es una dirección física escrita en nuestro adaptador de red (router, ethernet, ...). Esa dirección debería ser única, e identifica el proveedor y otros datos como pueden ser el país de fabricación, el número de série, etc...
Tiene una ventaja respecto a la dirección IP. La dirección MAC es (en principio) inmutable.

El filtrado MAC impide la conexión al router a determinadas MACs. Normalmente se puede configurar de dos maneras:
1.- Denegar las MACs listadas (lista negra): con esa opción impedimos que se nos conecten algunas direcciones MAC que no queremos que usen nuestros sistemas.
2.- Aceptar sólo MACs listadas (lista blanca): con esa opción se impide el acceso a todo el mundo menos a las direcciones MAC listadas.

Mito: Es la forma más efectiva de impedir accesos no deseados.
Realidad: NO, es la PEOR de todas las protecciones.
Explicación: El filtrado MAC es equivalente a tener un portero en la entrada con una lista de nombres. El portero pregunta al cliente cuál es su nombre. Cuando el cliente le dice el nombre el portero mira la lista y si el cliente está permitido, le deja pasar. En caso contrario, le deniega la entrada.
A mucha gente le puede parecer el sistema más seguro, pero... y si os digo que la lista de gente admitida se puede saber con anterioridad?
No podemos saber quién está en la lista, pero sí quién ha entrado alguna vez, por lo tanto podemos modificar la MAC de nuestro adaptador para simular ser alguien que ya sabemos que ha podido acceder con anterioridad.
¿Es fácil de obtener esa lista? Es trivial, es tan simple que cualquier programa sniffer proporciona ese dato.
Conclusión: Es la peor de las protecciones, pues es de las más recomendadas y a la vez la más fácil de romper.

Ocultar SSID
El SSID es el identificador de nuestra red inalámbrica, para conectar a una red necesitamos especificar el SSID.

Mito: Ocultar dicha información dificulta el acceso a personas que no conocen el SSID por adelantado.
Realidad: NO, es de las protecciones más ridículas, el SSID se sigue transmitiendo.
Explicación: Desactivando la opción SSID broadcasting (u ocultación de SSID) sólo evita lo que se llama SSID beaconing en el punto de acceso.
Básicamente hay 5 mecanismos que envían el SSID haciendo broadcast, el SSID beaconing es sólo uno de ellos. Por lo tanto esa opción sólo evita que el punto de acceso se vaya anunciando, pero cuando haya tráfico en dicha red el SSID se mostrará.
Sólo permanecerá el SSID oculto en caso de que nadie esté asociado ni realizando peticiones para asociarse a dicho punto de acceso.
Conclusión: No merece ni el click en la configuración del router para activarlo, es tan trivial que no merece la pena activarlo.
Además, más que una solución es un inconveniente. En caso de usar varios APs para permitir WiFi roaming los clientes pueden perder la conexión pensando que no encuentran el SSID. Además, dificulta la configuración, ya que algunos programas de configuración de red buscan los SSID en vez de preguntar por el nombre manualmente.

Desactivar DHCP
El DHCP es el protocolo de auto-configuración para los clientes de red. Permite que un cliente configure los DNS, gateway, IP, máscara de red y otros parámetros de configuración de forma automática.

Mito: Combinado con usar IPs poco frecuentes (por ejemplo un subrango de 172.16.0.0/12) dificulta al hacker para configurar la red.
Realidad: NO, es muy fácil descubrir qué IPs usan los clientes ya asociados y deducir la máscara de red y el gateway a partir de ahí.
Explicación: En las tramas IP se encapsulan las direcciones IP por lo que con un sniffer es muy simple ver qué IPs generan tráfico e incluso qué gateway utilizan.
Conclusión: No es una protección fiable para nada. Y facilita mucho la configuración de clientes o sea que suele ser mayor la molestia que la posible seguridad que ofrece.

WEP con claves de 128bits o más
La encriptación WEP (Wired Equivalent Privacy) es la primera implementación de seguridad para redes inalámbricas, ha demostrado ser muy poco segura y actualmente es posible romperla en minutos.

Mito: Usando WEP con claves largas (128bits, 256bits, ...) dificultan romper la encriptación.
Realidad: Usar claves WEP de más longitud retrasan pero no impiden romper la encriptación.
Explicación: WEP utiliza unos vectores de iniciación que se repiten con mayor o menor frecuencia. Las herramientas que se usan para petar encriptación WEP generan tráfico expresamente para aumentar la repetición de los mismos vectores y permitir descubrir el password en pocos minutos.
Conclusión: Aún usando claves relativamente seguras los programas que se usan para petar redes inalámbricas permiten inyectar tráfico que facilitan enormemente romper la encriptación, sea cual sea la longitud de las claves (y los vectores de iniciación).

WPA ó WPA2 (y variaciones)
WPA es la solución que salió tras el desastre de WEP. WPA corrige las deficiencias de su predecesor y permite configurar redes inalámbricas seguras que no pueden romperse fácilmente en cuestión de tiempo o de forma automática.

Mito: WPA y WPA2 son inexpugnables hasta la fecha.
Realidad: WPA (y WPA2) son protocolos mucho más seguros que WEP, no tienen fallos en el diseño y por lo tanto dificultan mucho petar una red de ese tipo, pero no son invulnerables a los ataques de fuerza bruta.
Explicación: WPA elimina los defectos de WEP, usa un sistema de autenticación más complejo, usa cifrado RC4, añade verificación de integridad al mensaje, e incluye protecciones contra ataques de repetición.
Conclusión: WPA (y WPA2) es la mejor solución actualmente, pero no son inexpugnables.

¿Cómo puedo protegerme, entonces?
No hay receta para eso, en la seguridad informática siempre hay gente que buscará vulnerabilidades en los diseños. Por ejemplo, una vulnerabilidad en el algoritmo de cifrado RC4 o en el sistema TKIP podría perjudicar a WPA.
Actualmente el único ataque contra WPA es la fuerza bruta, lo que implica que sólo será realmente efectivo si el password que usamos está basado en diccionario o es muy simple.

Básicamente lo más aconsejable a día de hoy es hacer lo siguiente:

  • Usar WPA ó WPA2. WEP no es seguro ni puede hacerse seguro, de ningún modo. Yo mismo, para enseñarle a un amigo le peté su WEP de 128bits en 5 minutos, es terriblemente fácil.
  • Usar TKIP para WPA en caso de que esté disponible, ya que aumenta la seguridad WPA. Y si está disponible AES, mucho mejor.
  • Usar un password complejo, de más de 8 carácteres, mezcla de carácteres alfanuméricos y carácteres "raros", por ejemplo: X$gh98NjKX$qp.K8J7dfX.z/3
  • Cambiar el password de vez en cuando si es posible (por ejemplo, si hay pocos clientes).
  • Usar Windows XP SP1 (mínimo) o SP2 (mejor) o superior (eso incluye Linux :D) ya que el soporte WPA no está hasta el SP1, y está mejorado en SP2.
Siento el tocho post, iba a contestar sobre el filtro MAC en otro hilo pero ya estaba cerrado cuando he enviado la respuesta, así que abro un thread nuevo ya que creo que el tema se lo merece y las preguntas sobre WiFi y su seguridad son cada vez más frecuentes.

NOTA: Hilo copiado del original en Ogein (http://board.ogame.com.es/thread.php?threadid=807840).
Prefiero tenerlo aquí pues allí es fácil perderle la pista y si lo cierran no podré modificarlo.
I am not under any orders to make the world a better place.

Aliena

Pero no des esos consejos, cojones, que yo necesito internec :lol:
Si hay gente que puede permitirse pagar una conexión... hay gente que no... hay que compartirrr!!

(Oh, maldita comunista)

Faerindel


Paradox

Deberías ver el lado positivo :O

Si la gente protege sus redes será más divertido petarlas.

Ese post es un copy&paste verbatim del que hice para ogein, por lo que es "UltraLegal-ogame-compliant".
I am not under any orders to make the world a better place.

Poliuk


estranged1977

Interesante el articulo, solo que difiero en general acerca de la utilidad o no del filtrado MAC y el resto de los mitos.

Es cierto que el filttrado MAC, cambiar las ip a algunas poco comunes y desactivar el dhcp, y el tema de ocultar el SSID no son tecinicas muy seguras, incluso pueden ser molestas, sin embargo y en mi larga experiencia puedo afirmarles que si son utiles, sobre todo en entornos de trabajo en donde los usuarios generalmente son los mismos, como pueden ser oficinas pequeñas y medianas, hogares, etc. Porque?

Simple, esto es lo mismo que cuando queremos proteger un automovil de un delincuente, si exponemos un aparcadero con 10 vehiculos, y solo uno de ellos le agregamos alarmas, vidrios oscuros y laminas de seguridad, inmovilizadores, etc, lo mas seguro es que el ladron (sobre todo el inexperto) elija cualquiera de los otros, en el tema informatico pasa exactamente los mismo, los llamados "hackers" en realidad no lo son en su mayoria, ya que por lo general son personas que recien estan comenzando y que se cuelgan de programas creados por hackes verdaderos y que se pueden descargar de internet para intentar entrar a una red WIFI, pasa muy seguido que algun internauta vio por ahi un liveCD de alguna distro de Linux que le recomendaron para "hackear" redes, se lo bajo y probablemente siguiendo instrucciones la hizo funcionar, y seguramente si encontro una red solamente protegida con WEP en una de esas logra entrar, pero les aseguro que esa persona de escasos conocimientos dificilmente podra diquiera averiguar una SSID, menos aun conocer la MAC Address, peor aun sabra que puede usar el programa macchanger para cambiar su MAC ADDRESS, menos aun sabra averiguar las IP de la red interna.

Lo mas seguro es que ese "hacker" si se le puede llamar asi, decida abortar y buscar una red mas facil de entrar, obviamente si estamos tratando con un hacker de verdad lo mas probable es que averigue todo y nos haga pedazos la red inalambrica, pero les aseguro que es muy dificil ser victima sobre todo en un entorno de hogar y oficina pequeña de un hacker de esos.

Ciertamente la idea es poner la mayor cantidad de obstaculos a los intrusos.

Sin embargo es un hecho que todas las opciones anteriores cuando se trata de una empresa en la que ofrecemos el servicio de WIFI se vuelve mas engorroso, sin embargo creo saber un par de opciones que pueden ser un aporte.

1.- Definitivamente WPA, no importa el nivel, ya deshechando WEP tenemos ganado bastante.

2.- Radius server, no es dificili configurar uno, si tenemos que dar acceso a clientes de un cyber por ejemplo es una buena opcion, podemos poner limitantes segun los usuarios, etc.

3.- Que el router solo se encarge de entregar acceso inalambrico y de nada mas, la seguridad debe estar a cargo de un equipo con cortafuegos, asimismo como la conexion a internet debe ser entragada por un servidor ojala con linux en el cual podamos incorporar limites de descargas de archivos y politicas de seguridad, podemos hacerlo en el mismo radius server.

4.- Agregar una red inalambrica abierta y totalmente desprotegida (solo protegiendo el acceso a la configuracion del router obviamente), en la cual cualquiera pueda entrar y navegar a su antojo, por supuesto limitando drasticamente la velocidad para no afectar la nuestra. Obviamente esta red debe estar compeltamente separada de la nuestra, por que? se preguntaran, simple muchas veces nos encontramos con personas que simplemente quieren navegar gratis, es cierto que lo ideal seria que paguen por navegar como todos lo hacemos, pero es un hecho, entonces asi nos evitamos que intenten ingresar a nuestra red que queremos protejer, para que sacar humo de la cabeza tratando de ingresaa una ed si tenemos una al lado completamente abierta???

Bueno ojala haya sido un aporte, es dificil tener seguridad perfecta, mas aun ahora que proliferan los aparatos inalambricos y los manuales para "hackers" por internet, no queda otra que actualizarce unomismo diariamente.

Saludos

davixe

alguien tiene algun manualcillo para tontos de como ''compartir'' internés?, se lo del wifislax y to eso pro no hay alguna otra manera de hacerlo con windows(concretamente vista) [y no no es para mi, yo jamas usaria vista xD]


__________

Mskina

Cita de: estranged1977 en 11 de Agosto de 2008, 07:09
4.- Agregar una red inalambrica abierta y totalmente desprotegida (solo protegiendo el acceso a la configuracion del router obviamente), en la cual cualquiera pueda entrar y navegar a su antojo, por supuesto limitando drasticamente la velocidad para no afectar la nuestra. Obviamente esta red debe estar compeltamente separada de la nuestra, por que? se preguntaran, simple muchas veces nos encontramos con personas que simplemente quieren navegar gratis, es cierto que lo ideal seria que paguen por navegar como todos lo hacemos, pero es un hecho, entonces asi nos evitamos que intenten ingresar a nuestra red que queremos protejer, para que sacar humo de la cabeza tratando de ingresaa una ed si tenemos una al lado completamente abierta???

Mira tu que es una solición jodidamente facil y nunca se me había pasado por la cabeza :lol:

Gracias por el consejo ^^

Paradox

Estoy completamente de acuerdo con lo dicho por estranged1977.

Cuando digo que "ocultación de SSID" y "filtrado MAC" son de lo peor, tal y como aclaro en el thread de meneame o en el hilo original de Ogein me refiero a la falsa sensación de seguridad que dan, pues evitar estos dos filtros es absolutamente trivial.

Pero como medida "extra" y teniendo en cuenta las grandes limitaciones que tienen son, evidentemente, una medida de seguridad más. Para mí la ocultación de SSID me produce más problemas que ventajas puesto que uso varios AP's con el mismo SSID para hacer roaming y algunos clientes (Windows) se lian un poco si no encuentran el SSID.

Otra cosa curiosa y fue lo que me hizo escribir el hilo es que tengo un compañero informático que era muy feliz diciendo que tenía su Wifi sin cifrado pero con filtro MAC, de ese modo permitía sólo el acceso a sus amigos y no requería password.
Cuando me dijo eso y viendo que se quedaba tan feliz fue como un jarro de agua fría y por eso decidí desmitificar esas chapuzas.
Para los que no comprendan la gravedad de la situación hacer eso es como invitar a leer todo tu tráfico.
Aún suponiendo que el filtro MAC funcionara y permitiera cortar el tráfico todo el tráfico generado hacia y desde el AP es sin cifrar lo que significa que cualquiera puede leer todo lo que haces, por ejemplo tus contraseñas de correo, puesto que pocos proveedores usan SMTP con STARTTLS y POP3/IMAP con SSL.

En cuanto al mencionado punto 4 es lo que hago y estoy completamente de acuerdo otra vez.
En mi casa tengo mis APs para mi uso y de mis amigos/familiares/... y luego tengo un AP de FON (www.fon.es) que te facilita la compartición de ancho de banda y además te facilita la gestión de limitar el ancho de banda compartido.
Ese AP usa una red completamente separada y sale a través de un firewall que impide el acceso a mis redes personales y las VPN del trabajo.

Nunca es posible hacer una red 100% segura ya que la seguridad total es una utopía, pero tomando medidas puedes acercarte mucho a ello ;)
I am not under any orders to make the world a better place.

Últimos mensajes

Adivina la película de Ningüino CDR-lar
[Ayer a las 18:01]


Marvel Cinematic Universe de M.Rajoy
[25 de Marzo de 2024, 09:33]


Dos balas, una vida de Mskina
[21 de Marzo de 2024, 15:12]


El escritor escacharrado X de M.Rajoy
[19 de Marzo de 2024, 16:31]


Mafia, conceptos básicos e hilo de dudas de M.Rajoy
[19 de Marzo de 2024, 09:05]