Seguridad en redes WiFi: mitos y verdades

Con la proliferación de los routers inalámbricos de los proveedores se dan cada vez más casos de personas que detectan que les estan usurpando ancho de banda mediante conexiones fraudulentas a sus equipos.

Sobre la seguridad en internet no acabaríamos nunca de hablar, ya que es un tema tan enormemente complejo y variado que no se puede simplificar. Pero me gustaría dar algunos consejos para que podáis protegeros.

En concreto, cuando hablamos de las conexiones WiFi estamos añadiendo un elemento de fragilidad en nuestro sistema. Un elemento que nos compromete la seguridad. Ese elemento es el hecho de que alguien puede conectarse a nuestra red sin que le veamos, ya que estará usando la red sin hilos.

Aquí os pongo una relación de las distintas "protecciones" para la red inalámbrica, y su grado de efectividad.

Filtrado MAC
Por muchos considerado el mejor sistema de protección para accesos no deseados.

Antes de nada, ¿qué es una dirección MAC (Media Access Control address)? Una MAC es una dirección física escrita en nuestro adaptador de red (router, ethernet, ...). Esa dirección debería ser única, e identifica el proveedor y otros datos como pueden ser el país de fabricación, el número de série, etc...
Tiene una ventaja respecto a la dirección IP. La dirección MAC es (en principio) inmutable.

El filtrado MAC impide la conexión al router a determinadas MACs. Normalmente se puede configurar de dos maneras:
1.- Denegar las MACs listadas (lista negra): con esa opción impedimos que se nos conecten algunas direcciones MAC que no queremos que usen nuestros sistemas.
2.- Aceptar sólo MACs listadas (lista blanca): con esa opción se impide el acceso a todo el mundo menos a las direcciones MAC listadas.

Mito: Es la forma más efectiva de impedir accesos no deseados.
Realidad: NO, es la PEOR de todas las protecciones.
Explicación: El filtrado MAC es equivalente a tener un portero en la entrada con una lista de nombres. El portero pregunta al cliente cuál es su nombre. Cuando el cliente le dice el nombre el portero mira la lista y si el cliente está permitido, le deja pasar. En caso contrario, le deniega la entrada.
A mucha gente le puede parecer el sistema más seguro, pero... y si os digo que la lista de gente admitida se puede saber con anterioridad?
No podemos saber quién está en la lista, pero sí quién ha entrado alguna vez, por lo tanto podemos modificar la MAC de nuestro adaptador para simular ser alguien que ya sabemos que ha podido acceder con anterioridad.
¿Es fácil de obtener esa lista? Es trivial, es tan simple que cualquier programa sniffer proporciona ese dato.
Conclusión: Es la peor de las protecciones, pues es de las más recomendadas y a la vez la más fácil de romper.

Ocultar SSID
El SSID es el identificador de nuestra red inalámbrica, para conectar a una red necesitamos especificar el SSID.

Mito: Ocultar dicha información dificulta el acceso a personas que no conocen el SSID por adelantado.
Realidad: NO, es de las protecciones más ridículas, el SSID se sigue transmitiendo.
Explicación: Desactivando la opción SSID broadcasting (u ocultación de SSID) sólo evita lo que se llama SSID beaconing en el punto de acceso.
Básicamente hay 5 mecanismos que envían el SSID haciendo broadcast, el SSID beaconing es sólo uno de ellos. Por lo tanto esa opción sólo evita que el punto de acceso se vaya anunciando, pero cuando haya tráfico en dicha red el SSID se mostrará.
Sólo permanecerá el SSID oculto en caso de que nadie esté asociado ni realizando peticiones para asociarse a dicho punto de acceso.
Conclusión: No merece ni el click en la configuración del router para activarlo, es tan trivial que no merece la pena activarlo.
Además, más que una solución es un inconveniente. En caso de usar varios APs para permitir WiFi roaming los clientes pueden perder la conexión pensando que no encuentran el SSID. Además, dificulta la configuración, ya que algunos programas de configuración de red buscan los SSID en vez de preguntar por el nombre manualmente.

Desactivar DHCP
El DHCP es el protocolo de auto-configuración para los clientes de red. Permite que un cliente configure los DNS, gateway, IP, máscara de red y otros parámetros de configuración de forma automática.

Mito: Combinado con usar IPs poco frecuentes (por ejemplo un subrango de 172.16.0.0/12) dificulta al hacker para configurar la red.
Realidad: NO, es muy fácil descubrir qué IPs usan los clientes ya asociados y deducir la máscara de red y el gateway a partir de ahí.
Explicación: En las tramas IP se encapsulan las direcciones IP por lo que con un sniffer es muy simple ver qué IPs generan tráfico e incluso qué gateway utilizan.
Conclusión: No es una protección fiable para nada. Y facilita mucho la configuración de clientes o sea que suele ser mayor la molestia que la posible seguridad que ofrece.

WEP con claves de 128bits o más
La encriptación WEP (Wired Equivalent Privacy) es la primera implementación de seguridad para redes inalámbricas, ha demostrado ser muy poco segura y actualmente es posible romperla en minutos.

Mito: Usando WEP con claves largas (128bits, 256bits, ...) dificultan romper la encriptación.
Realidad: Usar claves WEP de más longitud retrasan pero no impiden romper la encriptación.
Explicación: WEP utiliza unos vectores de iniciación que se repiten con mayor o menor frecuencia. Las herramientas que se usan para petar encriptación WEP generan tráfico expresamente para aumentar la repetición de los mismos vectores y permitir descubrir el password en pocos minutos.
Conclusión: Aún usando claves relativamente seguras los programas que se usan para petar redes inalámbricas permiten inyectar tráfico que facilitan enormemente romper la encriptación, sea cual sea la longitud de las claves (y los vectores de iniciación).

WPA ó WPA2 (y variaciones)
WPA es la solución que salió tras el desastre de WEP. WPA corrige las deficiencias de su predecesor y permite configurar redes inalámbricas seguras que no pueden romperse fácilmente en cuestión de tiempo o de forma automática.

Mito: WPA y WPA2 son inexpugnables hasta la fecha.
Realidad: WPA (y WPA2) son protocolos mucho más seguros que WEP, no tienen fallos en el diseño y por lo tanto dificultan mucho petar una red de ese tipo, pero no son invulnerables a los ataques de fuerza bruta.
Explicación: WPA elimina los defectos de WEP, usa un sistema de autenticación más complejo, usa cifrado RC4, añade verificación de integridad al mensaje, e incluye protecciones contra ataques de repetición.
Conclusión: WPA (y WPA2) es la mejor solución actualmente, pero no son inexpugnables.

¿Cómo puedo protegerme, entonces?
No hay receta para eso, en la seguridad informática siempre hay gente que buscará vulnerabilidades en los diseños. Por ejemplo, una vulnerabilidad en el algoritmo de cifrado RC4 o en el sistema TKIP podría perjudicar a WPA.
Actualmente el único ataque contra WPA es la fuerza bruta, lo que implica que sólo será realmente efectivo si el password que usamos está basado en diccionario o es muy simple.

Básicamente lo más aconsejable a día de hoy es hacer lo siguiente:

Quote:

Usar WPA ó WPA2. WEP no es seguro ni puede hacerse seguro, de ningún modo. Yo mismo, para enseñarle a un amigo le peté su WEP de 128bits en 5 minutos, es terriblemente fácil.
Usar TKIP para WPA en caso de que esté disponible, ya que aumenta la seguridad WPA. Y si está disponible AES, mucho mejor.
Usar un password complejo, de más de 8 carácteres, mezcla de carácteres alfanuméricos y carácteres "raros", por ejemplo: X$gh98NjKX$qp.K8J7dfX.z/3
Cambiar el password de vez en cuando si es posible (por ejemplo, si hay pocos clientes).
Usar Windows XP SP1 (mínimo) o SP2 (mejor) o superior (eso incluye Linux ) ya que el soporte WPA no está hasta el SP1, y está mejorado en SP2.
Siento el tocho post, iba a contestar sobre el filtro MAC en otro hilo pero ya estaba cerrado cuando he enviado la respuesta, así que abro un thread nuevo ya que creo que el tema se lo merece y las preguntas sobre WiFi y su seguridad son cada vez más frecuentes.

fuente:cientoseis

generar passwords para claves WPA

Quote:

Originalmente publicado por Paul Sernine

Para generar passwords para claves WPA, os recomiendo esta página, es mucho mejor usar uno de estos que otro más fácil de memorizar.

Añado enlace al tuto de como detectar intrusos wifi

http://marcianitos.org../../../showthre...190#post196190

Excelente Post Nintendero, me parece de gran ayuda para todos aquellos que tengan Wifi en casa y quieran darle un poco de seguridad.

La verdad es que el número de redes WPA / WPA2, está creciendo aunque las WEP son mayoritarias aún.

Para generar passwords para claves WPA, os recomiendo esta página, es mucho mejor usar uno de estos que otro más fácil de memorizar. Al fin y al cabo ¿para qué necesitamos conocer de memoria la clave del Wifi?

gracias paul , si no te importa edito el primer post con la pagina para generar passwords

saludetes

Yo contraté hace poco intenné con un proveedos y me ofrecieron el wifi ese, y yo dije que ni de coña, que quería cablecito. El que quiera chupar de intenné gratis que lo haga de otro, jiji.

Añadido enlace al tuto de como detectar intrusos wifi

arriba para aquellos que no lo hayan visto

Quote:

Originalmente publicado por NiNTeNDeRo

Mito: Usando WEP con claves largas (128bits, 256bits, ...) dificultan romper la encriptación.
Realidad: Usar claves WEP de más longitud retrasan pero no impiden romper la encriptación.

Yo creo que las dos lineas dicen lo mismo, una verdad como un templo.

"Usando WEP con claves largas (128bits, 256bits, ...) dificultan romper la encriptación." <- es totalmente cierto, no es ningun mito, realmente DIFICULTA romper la encriptación. No es ningún mito.

Yo utilizo WEP + filtrado MAC porque es lo único que soporta el mierda de wifi de la Nintendo DS, pero sólo enciendo el wifi cuando tengo que usarlo con las consolas portátiles o el móvil (que no es muy a menudo). Ya lo he repetido en otras ocasiones, pero lo digo una vez más. Lo mejor por seguridad, velocidad y contaminación electromagnética es tener el wifi desactivado cuando sea posible. Para quien pueda cablearse su casa, pienso que es la mejor opción, y mejor si es con cable CAT6 XD.

yo utilizo lo mismo que doragasu.. Si pudiera cablearme lo haría pero no puedor

saludetes!

Es cierto que aumentar la longitud de la clave aumenta la dificultad, pero esto es algo relativo. Con un método de fuerza bruta, la dificultad aumenta de forma exponencial con la longitud de la clave (es lo que ocurre, por ejemplo, en WPA). Pasar de 128 a 256 bits supondría multiplicar la dificultad por un número del orden de 10 elevado a 38, que es una cifra astronómica. Pero con WEP la situación es muy distinta. Aquí se utilizan ataques estadísticos sobre las vulnerabilidades criptográficas que tiene el protocolo. Con WEP, pasar de 128 bits a 256 puede significar sólo, por poner un ejemplo, que en lugar de necesitar medio millón de paquetes se necesiten dos millones, o que en lugar de tardar 10 minutos se tarden 40. Es cierto que aumenta la dificultad, pero no de manera significativa; sigue siendo completamente inseguro. De hecho, parte de las debilidades criptográficas de WEP tienen que ver con los vectores de inicialización, que son siempre de 24 bits independientemente del tamaño de la clave. Pero bueno, el que no tenga más opción que utilizar WEP, y si su hardware se lo permite, evidentemente es mejor usar una clave de 256 bits que una de 128.

Sobre las medidas de seguridad adicionales: SSID oculto, filtrado MAC y deshabilitar DHCP, puede decirse que es casi trivial saltárselas. Yo asumo que para el que se haya informado lo suficiente para atacar una red con WEP no van a suponer ningun escollo. Una medida que me parece más eficaz es la que ha dicho Doragasu: conectar la red wifi sólo cuando se use. Eso hara que resulte una red poco atractiva, especialmente para los leechers.

Para la gente que quiera usar wifi y estar tranquila, recordarles que actualmente los únicos ataques que hay sobre WPA y WPA2 son ataques de diccionario y ataques de fuerza bruta sobre la clave. Los cuales no son ningún problema utilizando claves fuertes. Es algo de lo que ya se habló en este otro hilo.

Saludos.